本发明专利技术公开了一种应用层防火墙的处理方法,检测网络侧发送的数据包是否包含应用层数据;若是,触发应用层中的第一应用逻辑功能和第二应用逻辑功能,根据所述第一应用逻辑功能处理所述数据包中的非应用层数据,并根据所述第二应用逻辑功能处理所述应用层数据;若否,触发应用层中的第一应用逻辑功能,根据所述第一应用逻辑功能处理所述数据包中的非应用层数据。本发明专利技术还同时公开了一种应用层防火墙。
【技术实现步骤摘要】
一种应用层防火墙及其处理方法
本专利技术涉及网络安全
,尤其涉及一种应用层防火墙及其处理方法。
技术介绍
防火墙(Firewall),也称防护墙,是由GilShwed于1993年专利技术并引入国际互联网(US5606668(A)1993-12-15),防火墙是一种位于内部网络与外部网络之间的网络安全系统。依照特定的规则,防火墙放行符合规则的传输信息,禁止不符合规则的传输信息通过。传输控制协议洪水(TransmissionControlProtocolFlood,TCPFlood)是一种利用传输控制协议(TransmissionControlProtocol,TCP)/因特网互联协议(InternetProtocol,IP)的缺陷发起的攻击,其实质上是一种无意义的TCP包,通常都是同步序号(Synchronous,SYN)、确认(Acknowledgement,ACK)、结束(Finish,FIN)和复位(Reset,RST)这类的包,即TCPFlood不带有与应用层相关的数据信息,因此,TCPFlood在通过应用层防火墙时,无需对TCPFlood进行处理。然而,TCPFlood在通过应用层防火墙时,却引起应用层防火墙触发某些的功能,如:应用识别(DeepPacketInspection,DPI)功能,即当到达应用层防火墙时,TCPFlood虽然不包含应用层数据,但依旧会触发应用识别功能,从而使应用层防火墙进行针对应用识别的初始化和数据创建的操作,从而增大应用层防火墙的开销。由于增大应用层防火墙的开销,会影响其防御性能,因此,亟需寻找一种降低应用层防火墙开销的方法。
技术实现思路
有鉴于此,本专利技术实施例期望提供一种应用层防火墙及其处理方法,能够降低应用层防火墙的开销。为达到上述目的,本专利技术的技术方案是这样实现的:本专利技术实施例提供了一种应用层防火墙的处理方法,所述方法包括:检测网络侧发送的数据包是否包含应用层数据;若是,触发应用层中的第一应用逻辑功能和第二应用逻辑功能,根据所述第一应用逻辑功能处理所述数据包中的非应用层数据,并根据所述第二应用逻辑功能处理所述应用层数据;若否,触发应用层中的第一应用逻辑功能,根据所述第一应用逻辑功能处理所述数据包中的非应用层数据。上述方案中,所述第一应用逻辑功能包括:端口识别功能和检测功能;所述根据所述第一应用逻辑功能处理所述数据包中的非应用层数据,包括:根据所述端口识别功能识别非应用层数据中传输控制协议TCP首部的端口号,以根据所述端口号识别所述数据包的数据类型;或者,根据所述检测功能检测目标可选字段信息,所述目标可选字段信息为非应用层数据中的TCP首部或因特网互联协议IP首部的可选字段信息。上述方案中,所述根据所述第二应用逻辑功能处理所述应用层数据,包括:获取所述应用层数据的特征信息,查找预设特征库中与所述特征信息匹配的预设特征信息,将所查找到的预设特征信息对应的应用类型确定为所述应用层数据的应用类型;或者,获取所述应用层数据的特征信息,确定所述特征信息与预设防御库中的预设防御信息匹配时,对所述应用层数据进行入侵防御处理。上述方案中,所述应用层数据包括:TCP/IP参考模型、或开放系统互联OSI参考模型中应用层所对应的数据。本专利技术实施例还提供了一种应用层防火墙,所述应用层防火墙包括:检测模块,用于检测网络侧发送的数据包是否包含应用层数据;第一触发模块,用于确定数据包包含应用层数据时,触发应用层中的第一应用逻辑功能和第二应用逻辑功能;第二触发模块,还用于确定数据包不包含应用层数据时,触发应用层中的第一应用逻辑功能;第一处理模块,用于根据所述第一应用逻辑功能处理所述数据包中的非应用层数据;第二处理模块,用于根据所述第二应用逻辑功能处理所述应用层数据。上述方案中,所述第一应用逻辑功能包括:端口识别功能和检测功能;所述第一处理模块包括:识别子模块,用于根据所述端口识别功能识别非应用层数据中传输控制协议TCP首部的端口号,以根据所述端口号识别所述数据包的数据类型;检测子模块,用于根据所述检测功能检测目标可选字段信息,所述目标可选字段信息为非应用层数据中的TCP首部或因特网互联协议IP首部的可选字段信息。上述方案中,所述第二处理模块包括:第一处理子模块,用于获取所述应用层数据的特征信息,查找预设特征库中与所述特征信息匹配的预设特征信息,将所查找到的预设特征信息对应的应用类型确定为所述应用层数据的应用类型;第二处理子模块,用于获取所述应用层数据的特征信息,确定所述特征信息与预设防御库中的预设防御信息匹配时,对所述应用层数据进行入侵防御处理。上述方案中,所述应用层数据包括:TCP/IP参考模型、或OSI参考模型中应用层所对应的数据。本专利技术实施例提供的应用层防火墙及其处理方法,检测网络侧发送的数据包是否包含应用层数据;若是,触发应用层中的第一应用逻辑功能和第二应用逻辑功能,根据所述第一应用逻辑功能处理所述数据包中的非应用层数据,并根据所述第二应用逻辑功能处理所述应用层数据;若否,触发应用层中的第一应用逻辑功能,根据所述第一应用逻辑功能处理所述数据包中的非应用层数据。可见,本专利技术实施例将应用层防火墙中原有的应用层的功能,如应用识别功能和入侵防御功能,分别划分为第一应用逻辑功能和第二应用逻辑功能,根据数据包中是否包含应用层数据来确定是否触发第二应用逻辑功能,其有益效果包括如下两个方面:一方面,当接收到网络侧发送的不包含应用层数据的数据包,如TCP类攻击包时,只触发第一应用逻辑功能来响应该攻击类TCP包,避免了第二应用逻辑功能被触发,因此,避免了相应的初始化和数据创建等过程,从而降低了应用层防火墙的开销;另一方面,当接收到网络侧发送的具有应用层数据的数据包时,触发第一应用逻辑功能和第二应用逻辑功能响应该数据包,对该数据包进行端口识别、相应的初始化、数据创建、对应用进行识别、过滤和入侵防御等,从而达到应用应用层防火墙的防御效果。附图说明图1为一种应用层防火墙的网络系统示意图;图2为本专利技术实施例公开的一种应用层防火墙的处理方法的实现流程示意图;图3为本专利技术实施例公开的一种应用层防火墙的组成结构示意图;图4为本专利技术实施例公开的另一种应用层防火墙的处理方法的实现流程示意图;图5为一种数据包的格式示意图;图6为一种数据包到达应用层防火墙时触发第一应用逻辑功能和第二应用逻辑功能的示意图。具体实施方式为了使本专利技术的目的、技术方案和优点更加清楚,下面将结合附图对本专利技术作进一步地详细描述,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本专利技术保护的范围。图1为应用层防火墙的网络系统示意图,如图1所示,所述网络系统包括:内网中的服务器或主机、应用层防火墙和外网的客户端。这里,所述内网中的服务器或主机,可以包括普通家庭用户、企业或政府机构等用户的服务器或主机,所述服务器可以包括:文件存储服务器、数据库服务器、邮件服务器、应用服务器、文件传输(FileTransferProtocol,FTP)服务器和万维网(Web)服务器等;所述主机可以包括台式电脑、个人笔记本电脑和掌上电脑等。其中,所述内网为应用层防火墙本文档来自技高网...
【技术保护点】
一种应用层防火墙的处理方法,其特征在于,所述方法包括:检测网络侧发送的数据包是否包含应用层数据;若是,触发应用层中的第一应用逻辑功能和第二应用逻辑功能,根据所述第一应用逻辑功能处理所述数据包中的非应用层数据,并根据所述第二应用逻辑功能处理所述应用层数据;若否,触发应用层中的第一应用逻辑功能,根据所述第一应用逻辑功能处理所述数据包中的非应用层数据。
【技术特征摘要】
1.一种应用层防火墙的处理方法,其特征在于,所述方法包括:检测网络侧发送的数据包是否包含应用层数据;若是,触发应用层中的第一应用逻辑功能和第二应用逻辑功能,根据所述第一应用逻辑功能处理所述数据包中的非应用层数据,并根据所述第二应用逻辑功能处理所述应用层数据;若否,触发应用层中的第一应用逻辑功能,根据所述第一应用逻辑功能处理所述数据包中的非应用层数据。2.根据权利要求1所述的处理方法,其特征在于,所述第一应用逻辑功能包括:端口识别功能和检测功能;所述根据所述第一应用逻辑功能处理所述数据包中的非应用层数据,包括:根据所述端口识别功能识别非应用层数据中传输控制协议TCP首部的端口号,以根据所述端口号识别所述数据包的数据类型;或者,根据所述检测功能检测目标可选字段信息,所述目标可选字段信息为非应用层数据中的TCP首部或因特网互联协议IP首部的可选字段信息。3.根据权利要求1所述的处理方法,其特征在于,所述根据所述第二应用逻辑功能处理所述应用层数据,包括:获取所述应用层数据的特征信息,查找预设特征库中与所述特征信息匹配的预设特征信息,将所查找到的预设特征信息对应的应用类型确定为所述应用层数据的应用类型;或者,获取所述应用层数据的特征信息,确定所述特征信息与预设防御库中的预设防御信息匹配时,对所述应用层数据进行入侵防御处理。4.根据权利要求1至4任一项所述的处理方法,其特征在于,所述应用层数据包括:TCP/IP参考模型、或开放系统互联OSI参考模型中应用层所对应的数据。5.一种应用层防火墙,其特...
【专利技术属性】
技术研发人员:陈鑫,
申请(专利权)人:北京网康科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。