防火墙内核安全组件一体化的方法技术

一种防火墙内核安全组件一体化的方法，防火墙各组件的开发往往是相对独立的，对用户而言也是割裂的几个部分。本发明专利技术首先构架应当一体化，在结构上不严格区分各组件间的差异；其次安全策略的配置和检查应当一体化，对用户而言配置是统一的，对系统而言检查工作时前后相承的，再次应当有一条完整的数据包和当前策略匹配点的传输途径，可以使数据包经过各个检查点并最终通过防火墙。对于一体化系统结构的实现，统一定义在操作系统内核的调用接口点，包过滤、攻击检测和应用代理根据功能目标，分别在最合适的接口点插入检查函数，相互之间可进行有效的协作等。

【技术实现步骤摘要】

【技术保护点】
防火墙内核安全组件一体化的方法，其特征在于对防火墙系统的设计，采用一体化构架的流水线方式处理的系统结构，一体化组织的安全策略，以及一条内核中数据包和当前策略匹配点的传输路径；对于一体化系统结构的实现，统一定义在操作系统内核的调用接口 点，包过滤、攻击检测和应用代理根据功能目标，分别在最合适的接口点插入检查函数，相互之间可进行有效的协作；对一体化组织的安全策略的实现，使用从保护目标为根结点出发的树形结构组织安全策略，策略树的不同分支之间互斥，保证每次匹配都唯一确定 一个子分支或叶结点，叶结点即表明防火墙应当采取的动作；包过滤对安全策略的检查最终结果若是送交代理分支，则代理可以继续从这个检查点向下进行匹配；策略树在内核中由各安全组件共享，当前检查点随数据包在协议栈中传递，使得检查可具有延续性。

【技术特征摘要】

【专利技术属性】
技术研发人员：蔡圣闻，李论，金毅，齐竞艳，
申请(专利权)人：江苏南大苏富特软件股份有限公司，南京大学，
类型：发明
国别省市：84[中国|南京]