本发明专利技术提供了一种方法和系统,用于在网络设备中执行防火墙结构。该防火墙结构包括多个网络层、第一个防火墙引擎以及一个或多个呼出模块。这些层将信息包和信息包信息发送到第一个防火墙引擎,保持信息包上下文并将其传递到随后的各个层,并且处理这些信息包。第一个防火墙引擎将该信息包信息与一个或多个被安装的过滤器进行比较,并将动作返回到这些层,指出如何处置该信息包。这些呼出提供额外的功能性(例如,侵入检测、记录和双亲控制特点)。
【技术实现步骤摘要】
本专利技术一般涉及计算机系统和网络安全性。更具体地说,本专利技术涉及在一个或多个网络设备中所执行的防火墙结构。
技术介绍
网络协议的设计用于促进通过公开的数据交换而在各个网络设备之间进行通信。这种公开的数据交换大大增强了网络设备完成任务的用途,同时,它也引起一些问题,这是因为网络协议不是为网络安全性而设计,因此一般不提供网络安全性。被耦合到公用网和专用网(例如,局域网(LANs)、广域网(WANs)、内联网和因特网)的计算机容易受到直接或间接地与该网络耦合的其他网络设备的恶意攻击。这类恶意的攻击包括盗窃数据、“服务拒绝”(DOS)攻击、计算机病毒扩散和类似的攻击。当将计算机耦合到网络时,会出现其他有关的问题(例如,控制儿童对不合需要的或不适当的web站点的访问)。防火墙一般是用来保护用户个人、网络设备和网络避免遭遇恶意攻击的一种工具,同时,也增加了通过实施策略来控制网络上的数据交换的能力。通过检查网络信息包,并通过根据该检查来确定是应该允许还是相反地阻断这些信息包进一步穿过网络,防火墙可执行策略。经由防火墙而加以执行的这项策略由一个或多个过滤器来定义。每个过滤器包括过滤器参数和关联的动作。这些过滤器参数被用来识别受制于该防火墙策略的网络信息包,并包括诸如硬件地址(例如,“媒体访问控制”(MAC)地址)、网络地址(例如,“网际协议”(IP)地址)、协议类型(例如,“传输控制协议”(TCP))、端口号和类似物等信息。该动作定义应该如何处置具有与这些过滤器参数相匹配的参数的信息包。一个特殊的例子是该过滤器包括“统一资源定位器”(URL)地址(例如,“http//www.foo.com”),作为它的参数。该过滤器进一步使阻断动作(即,丢弃该信息包)与那个URL地址相关联。只要防火墙检查信息包并且通过那个检查而将URL地址“http//www.foo.com”识别为被嵌入该信息包中,服务器就丢弃该信息包,从而防止它穿过网络。通过包括分层网络结构的网络堆栈来发送和接收信息包,网络设备可以交换数据。存在不同的网络结构模型,但大多数至少包括应用层、传输层、网络层和链路层。网络信息包序贯地穿过每个层,并且,当每个层被穿过时,信息包经历处理。关于出站信息包,应用层根据应用协议(例如,其中的一些是“超文本传输协议”(HTTP)、“文件传输协议”(FTP)和“简单邮件传输协议”(SMTP))来处理数据。其他的层(例如,网络层和传输层)通过将该数据嵌入TCP头部和IP头部中,来对其进行分组(packetize)。这些层通过(例如)分析头部、为数据解除分组(unpacketize)等,来为入站信息包执行互换处理。由这些层执行的分层“堆栈”结构和处理功能会产生动态信息包结构,由此,当信息包穿过网络协议堆栈时,包括这些信息包参数的信息包内容会发生变化。防火墙检查位于分层网络堆栈内的检查点处的信息包。一方面,该检查点在应用层处。例如,防火墙被用作“分层服务供应者”(LSP)。应用层处的信息包包括基础数据,该基础数据将被传送到另一个网络设备或者已从另一个网络设备那里被加以接收。通过检查该应用层处的该信息包,可允许防火墙识别应用层参数(例如,URL地址)并将这些应用层参数与这些过滤器参数进行比较。但是,其他的信息包参数(例如,IP地址、端口号、MAC地址和类似物)不可用,这是因为它们要么还没有被加入出站信息包,要么已从入站信息包被分析掉。另一方面,在网络堆栈(作为被置于链路层与网络层之间的中间驱动器)的较低层次处执行防火墙检查点。网络堆栈的这些较低层次处的信息包包括最大数量的参数(例如,接口号、MAC地址、IP地址、协议类型、端口和有效载荷数据)。虽然这些信息包包括这类参数,但是,这并不表示认为可以容易地识别这些参数。在该防火墙接收该信息包之后,该防火墙需要分析并解释该有关的信息包参数,用于和这些过滤器参数进行比较。这样,网络堆栈中的这些层以及该防火墙两者都执行多余的信息包分析和解释功能。专利技术概述本专利技术针对一种防火墙结构,该防火墙结构允许将防火墙过滤器应用于网络堆栈内的所有层处的网络信息包。该结构包括能够处理来自网络信息包的层参数的设置层处理器。这些层参数是与该层处理器关联的参数;这些层参数包括该层处理器从该网络信息包中分析的、加入该网络信息包的或从该网络信息包中导出的参数。这些层处理器进一步能够发出包括这些层参数的分类请求。该结构也包括第一个防火墙引擎,该防火墙引擎包括层接口、一组被安装的过滤器和查找部件。该层接口接收作为该分类请求的一部分而被加以发送的这些层参数。这第一个防火墙引擎查找部件使用这些层参数来从这个被安装的过滤器组中识别一个或多个匹配过滤器。每个匹配过滤器包括一个动作,该动作指示该层处理器是否允许该信息包进一步穿过网络,或者是否阻断信息包。这第一个防火墙引擎经由该层接口而至少将一个动作返回到该层处理器。在本专利技术的实施例中,层处理器保持信息包上下文。层处理器从前一层处理器那里接收信息包上下文,并将信息包上下文发送到第一个防火墙引擎。第一个防火墙引擎中的该查找部件结合这些层参数来使用信息包上下文,以识别这一个或多个匹配过滤器。该层处理器也通过增加这些层参数、然后将修改过的信息包上下文发送到下一层处理器,来修改信息包上下文。在本专利技术的另一个实施例中,一个或多个呼出(callout)被包括在内,作为该防火墙结构的一部分。这一个或多个呼出模块中的每个呼出模块提供(允许和阻断以外的)增加的功能性,例如信息包记录功能、“网际协议安全性”(IPSec)验证和双亲控制的执行。当呼出模块被识别为这些匹配过滤器之一中的那个动作时,在该信息包上执行该呼出模块。在本专利技术的另一个实施例中,提供了第二个防火墙引擎。第二个防火墙引擎经由管理API而将新的过滤器加入这个被安装的过滤器组。第二个防火墙引擎也包括第一个防火墙引擎的实例,它被称作“过滤器模块”,该过滤器模块在第二个防火墙引擎内复制第一个防火墙引擎的各项服务。通过以下参照附图而对说明性实施例的详细描述,本专利技术的额外的特点和优点将会变得一目了然。附图简述所附如权利要求书详细地陈述了本专利技术的这些特点,但通过以下结合附图的详细说明,可以最佳程度地理解本专利技术及其目的和优点。在这些附图中附图说明图1是框图,大体说明了其上驻留本专利技术的示范计算机系统;图2是框图,大体说明了使用本专利技术的示范网络环境;图3是框图,大体说明了本专利技术的防火墙结构;图4是框图,说明了用于本专利技术的示范过滤器;图5是框图,说明了用于本专利技术的示范信息包上下文的数据结构;图6是框图,说明了用于本专利技术的示范应用编程接口组;图7是框图,说明了用于本专利技术的示范应用编程接口;图8是框图,说明了根据本专利技术的、由网络层来执行的功能;以及,图9是框图,说明了用于本专利技术的示范呼出组。专利技术的详细说明揭示了一种防火墙结构,该防火墙结构允许多层处理(在这里被称作“层”)处的过滤。该结构包括用户模式处理和在操作系统中执行的核心模式处理。作为选择,在操作系统以外的一个或多个程序模块中或在单一操作系统模式以内执行该防火墙结构。该核心模式处理包括多个层,这多个层包括协议堆栈、核心防火墙引擎以及一个或多个呼出。协议堆栈包括应用层、传输层、网络层和链路层。按需要增加本文档来自技高网...
【技术保护点】
一种在计算机系统内加以执行的防火墙构架,用于提供信息包的多层过滤,其特征在于,所述防火墙构架包括:一组层处理器,每个层处理器能够处理和该层处理器关联的该信息包的层参数,并且,每个层处理器进一步能够发出包括这些层参数的分类请求;以及,第一个防火墙引擎,它包括:层接口,用于从请求层处理器接收第一层参数,并用于将动作返回到该请求层,该请求层处理器是该层处理器组中的一个层处理器;一组被安装的过滤器;以及,查找部件,用于从该被安装的过滤器组中识别至少一个匹配过滤器,并从该匹配过滤器中识别将由该层接口返回的动作。
【技术特征摘要】
...
【专利技术属性】
技术研发人员:BD斯瓦恩德,PG枚菲尔德,
申请(专利权)人:微软公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。