基于通用协议分析引擎的内核级透明代理方法技术

一种实现防火墙内核级透明代理的方法，它的工作步骤如下：防火墙包过滤在链路层和ＩＰ层对数据包进行安全策略检查后，将其通过专用通道传送到ＴＣＰ层透明代理，代理在确认用户身份后，接着包过滤未完成的工作继续进行安全检查，并利用通用协议分析引擎对数据流进行协议判定以及会话状态分析控制，最终在内外网两条连接之间对数据进行代理转发。通过这种方法，可在网关和网桥两种模式下，无需用户改变原有的网络结构和设置，向用户提供具有身份认证和细粒度访问控制功能的透明代理。

【技术实现步骤摘要】

【技术保护点】
基于通用协议分析引擎的内核级透明代理方法，其特征为至少包含以下几个步骤：步骤１：包过滤模块在链路层和ＩＰ层，对通过的数据包进行安全检查；步骤２：根据安全策略将数据包转发、丢弃或送交内核代理；步骤３：内核代理在确认用户身份后， 继续进行安全检查；步骤４：对符合安全策略的，内核代理代替目标服务器同用户建立连接；步骤５：内核代理将用户发来的请求传送通用协议分析引擎进行协议判定；步骤６：内核代理根据安全策略决定是否建立与目标服务器的连接； 步骤７：对符合安全策略的连接，内核代理在内外两条连接间进行代理转发，并将所有通过的数据送通用协议分析引擎进行分析检查。

【技术特征摘要】

【专利技术属性】
技术研发人员：蔡圣闻，朱佳来，李论，伍卫民，
申请(专利权)人：江苏南大苏富特软件股份有限公司，南京大学，
类型：发明
国别省市：84[中国|南京]