【技术实现步骤摘要】
一种实现高性能状态防火墙的方法及装置
[0001]本专利技术涉及信息安全领域的防火墙技术,尤其涉及一种基于流状态控制的高性能状态防火墙。
技术介绍
[0002]随着计算机网络快速发展,网络攻击复杂性不断上升,病毒,木马,后门等混合威胁的泛滥,让网络层和应用层面临着更大的安全威胁,防火墙是一种可以保护网络信息安全的设备,由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。计算机流入流出的所有网络通信和数据包均要经过此防火墙。最早的防火墙是基于包过滤的方式,到最后加入了状态监测的机制,状态防火墙也是目前主流的防火墙技术。
[0003]传统的基于包过滤的防火墙,采用逐包过滤原则,效率非常低,并且很容易被攻击者绕开安全策略。状态检测也只能监视网络层和传输层数据。为了...
【技术保护点】
【技术特征摘要】
1.一种实现高性能状态防火墙的方法及装置,其特征在于,包括数据包处理模块VPP,所述数据包处理模块VPP用于从网络接口接收及发送数据;所述数据包处理模块VPP包括路由模块、防火墙策略模块和流状态模块;所述路由模块用于查询路由信息并转发数据,所述防火墙策略模块用于匹配用户下发的防火墙策略,对首次建立会话的数据流按IP地址,协议,端口号进行安全策略匹配,所述流状态模块,用于对成功通过防火墙策略的数据流创建流会话,对已经建立了会话的流进行流状态检测,对于防火墙策略发生改变和路由发生改变时刷新流表,定期检查流表,对于超过生命周期都没有状态更新的流,从流表中删除。2.根据权利要求1所述的一种实现高性能状态防火墙的方法及装置,其特征在于,所述流状态模块内设有流会话表,当一条数据流通过防火墙时,从所述流会话表中查询该条数据流,获取该条流的状态信息和路由信息,将所述数据流与流会话表进行匹配,根据匹配结果对所述数据流进行处理。3.根据权利要求2所述的一种实现高性能状态防火墙的方法及装置,其特征在于,根据匹配结果对所述数据流进行相应地处理的过程包括,在所述流会话表中查询到所述数据流,则根据该条流的状态信息和路由信息实现快速转发出防火墙。4.根据权利要求2所述的一种实现高性能状态防火墙的方法及装置,其特征在于,根据匹配结果对所述数据流进行相应地处理的过程包括,在流状态模块的流会话表中没有查询到所述数据流信息,则该条数据流需要经过路由模块查询路由以及防火墙安全策略模块匹配安全策略,当数据包...
【专利技术属性】
技术研发人员:ꢀ五一IntClH零四L二九零六,
申请(专利权)人:中创为成都量子通信技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。