本发明专利技术所述面向对象方式的防火墙访问控制方法,是在核心层采用面向对象方式来实现访问控制,从而合并类似的访问控制规则,以达到减少访问规则数量、在系统满负荷时提高防火墙整体性能。所述访问控制方法是按以下内容顺序实现的:第一步,对于防火墙的访问控制对象进行分类;第二步,将分类信息通过接口函数传递至系统核心层;第三步,配置面向对象的访问控制规则;第四步,将配置规则通过接口函数传递至核心层;第五步,核心层把配置规则中的对象标识与预先定义的对象的具体信息联系起来,对通过防火墙的数据进行访问控制。
【技术实现步骤摘要】
面向对象方式的防火墙访问控制方法
本专利技术涉及一种计算机网络防火墙访问控制方法,所述的控制方法是基于面向对象方式的访问控制。
技术介绍
现有计算机网络系统中的防火墙普遍采用LINUX操作系统,防火墙访问控制的实现方式是针对TCP/IP协议中的某一具体参数实现的。例如,可以针对特定的IP地址、访问协议类型、或是针对某个特定的端口,根据上述控制参数可实现在防火墙核心层中批量处理各类数据包。目前也有防火墙采用在管理层面上对上述控制参数进行封装,而在应用界面上表示成面向对象的方式,比如定义WWW服务为TCP协议+80端口。但是实际上,在核心控制层中仍直接针对上述控制参数来实现访问控制。按照上述现有的防火墙访问控制方法,由于对数据包处理并不是真正面向访问对象的控制模式,因而大量的数据包在其核心层中是在不同的规则中实现的,随着类似规则的重复调用,不同控制参数的数据处理时间被大大延长。当系统满负荷运转时,此类因控制规则重复实现而造成的时间浪费会造成系统资源被大量挤占,并直接导致防火墙性能下降、造成系统拥堵。
技术实现思路
本专利技术所述面向对象方式的防火墙访问控制方法,其目的在于解决上述问题和不足而通过在核心层采用面向对象方式来实现访问控制,从而合并类似的访问控制规则,以达到减少访问规则数量、在系统满负荷时提高防火墙整体性能。所述的面向对象方式的防火墙访问控制方法,是按以下内容顺序实现的:第一步,对于防火墙的访问控制对象进行分类。-->访问控制对象的分类原则,是根据控制规则中的各参数进行分类。比如,在控制规则中通常包含有源地址、目标地址、协议内容、源端口、目标端口和时间段等基本信息。由于在实施控制时,防火墙会按照不同的权限对访问对象进行分类,因而可根据地址类、服务类和时间类进行分类定义。对于防火墙要控制的各个对象进行定义,定义的具体内容包括有定义名称(供用户使用时引用)、唯一标识(即用户组ID,供系统核心层查询时使用)、以及对象的具体信息。(1)、地址类定义由于某些IP(网络协议)地址具有相同的访问权限,针对IP地址的访问控制规则较多,所以可避免类似规则被重复调用,有利于缩短访问控制时间。其定义结构主要包括:类型(mask_type),用以标识后面的地址是ip-ip、还是ip/mask结构。按地址类进行分类管理时,一个地址对象中可能包含很多单独的IP地址(ip-ip),也可能包含一个网段(ip/mask)。用户组ID(group_id),此为唯一标识,供系统核心层查询时使用;IP地址,表示为单独的IP地址(ip-ip)、或是网段(ip/mask)。(2)、服务类定义是按照访问控制的协议内容对访问对象进行分类,此类分类定义的定义结构主要包括:服务组ID(ser_id),此为唯一标识,供系统核心层查询时使用;协议内容(protocol);源端口数(scount);目标端口数(dcount);源端口(sport);目标端口(dport)。(3)、时间类定义是按照访问控制的时间段信息对访问对象进行分类,此类分类定义的-->定义结构主要包括:时间组ID(time_id),此为唯一标识,供系统核心层查询时使用;是否有效的标识位(is_valid:2);开始时间(start:11);终止时间(end:11);日期标识位(w0:1,w1:1,w2:1,w 3:1,w4:1,w5:1,w6:1;表示从周日至周六)。第二步,将分类信息通过接口函数传递至系统核心层。按上一步访问控制对象的定义分类,将分类定义结构信息在核心层建立访问对象链表。访问对象链表的结构,是将上述访问对象定义信息依次链接起来,具体的链表结构是:指向下一个对象的指针(link*next);访问对象的定义信息(classobject),即访问控制对象的实际定义内容,包括有地址类、服务类和时间类定义的具体结构内容的实体。对链表的操作是通用的,保留链表的头部和尾部指针,增加时可以直接连接到尾部,删除时根据ID号判断删除。第三步,配置面向对象的访问控制规则。所述的访问控制规则是由上述步骤预先分类定义的结构所决定,具体的结构包括有:来源地址组ID(src_id:10);目标地址组ID(dst_id:10);来源接口(ingress:4);目标接口(engress:4);是否生效的标志位(enable:1);服务组ID(service_id:8);时间组ID(time_id:8);处理方式的标志位(action:8);会话数限制位(session_limit);-->第四步,将配置规则通过接口函数传递至核心层。按上一步配置的面向对象访问控制规则,在核心层建立访问控制规则链表,具体的链表结构是:指向下一个对象的指针(link*next);控制规则的定义结构(class object)。对链表的操作是通用的,保留链表的头部和尾部指针,增加时可以直接连接到尾部,删除时根据ID号判断删除。第五步,核心层把配置规则中的对象标识与预先定义的对象的具体信息联系起来,对通过防火墙的数据进行访问控制。如上内容,本专利技术所述的面向对象方式的防火墙访问控制方法,是真正面向访问对象的控制模式,其优点和有益效果是:在系统满负荷运转时,大量的数据包在核心层中可按照合并的类似规则进行遍历控制,访问规则数量相应减少,可有效地避免类似规则的重复调用,节约系统资源而有助于提高防火墙控制性能。附图说明图1是所述防火墙访问控制方法的数据结构及相互关系示意图。具体实施方式结合图1所示的数据结构及相互关系,所述面向对象方式的防火墙访问控制是这样实现的:第一步,对于防火墙的访问控制对象进行分类。对于防火墙要控制的各个对象进行定义,包括来源地址、目标地址、构成某种服务的协议与端口号、时间等。包括有,(1)、地址类定义结构:类型(mask_type),用以标识后面的地址是ip-ip、还是ip/mask结构;保留位(reserve);用户组ID(group_id);IP地址,表示为单独的IP地址(ip-ip)、或是网段(ip/mask);-->(2)、服务类定义结构:服务组ID(ser_id);协议内容(protocol);源端口数(scount);目标端口数(dcount);源端口(sport);目标端口(dport)。(3)、时间类定义结构:时间组ID(time_id);是否有效的标识位(is_valid:2);开始时间(start:11);终止时间(end:11);保留位(reserve);日期标识位(w0:1,w1:1,w2:1,w3:1,w4:1,w5:1,w6:1;表示从周日至周六)。第二步,将分类信息通过接口函数传递至系统核心层。在核心层建立访问对象链表,链表数据结构是:指向下一个对象的指针(link*next);访问对象的定义信息(class object)。第三步,配置面向对象的访问控制规则。访问控制规则是由上述步骤预先分类定义的结构所决定,具体结构是:来源地址组ID(src_id:10);目标地址组ID(dst_id:10);来源接口(ingress:4);目标接口(engress:4);是否生效的标志位(enable:1);保留位(reserve);服务组ID(service_id:8);--本文档来自技高网...
【技术保护点】
一种面向对象方式的防火墙访问控制方法,其特征在于:所述的控制方法是按以下内容顺序实现的,第一步,对于防火墙的访问控制对象进行分类;对于防火墙要控制的各个对象进行定义,定义的具体内容包括有定义名称、唯一标识、以及对象的具体信息 ;第二步,将分类信息通过接口函数传递至系统核心层;将分类定义结构信息在核心层建立访问对象链表,访问对象链表的结构是将上述访问对象定义信息依次链接起来;对链表的操作是保留链表的头部和尾部指针,增加时可以直接连接到尾部, 删除时根据ID号判断删除;第三步,配置面向对象的访问控制规则;第四步,将配置规则通过接口函数传递至核心层;第五步,核心层把配置规则中的对象标识与预先定义的对象的具体信息联系起来,对通过防火墙的数据进行访问控制; 当有新建立的链接时,链接数据包被发送到核心层。核心层按先后顺序遍历访问控制规则链表;对每一个访问控制规则,首先根据数据包的来源地址进行比对,方法是通过访问控制规则的来源对象ID,获取ID表示的对象的具体信息,把对象中的每一条信息与 来源数据包的来源地址进行比较,判断是否符合;如果符合,则比对数据包中的其他信息;如果不符合,则比对下一条访问控制规则。...
【技术特征摘要】
1、一种面向对象方式的防火墙访问控制方法,其特征在于:所述的控制方法是按以下内容顺序实现的,第一步,对于防火墙的访问控制对象进行分类;对于防火墙要控制的各个对象进行定义,定义的具体内容包括有定义名称、唯一标识、以及对象的具体信息;第二步,将分类信息通过接口函数传递至系统核心层;将分类定义结构信息在核心层建立访问对象链表,访问对象链表的结构是将上述访问对象定义信息依次链接起来;对链表的操作是保留链表的头部和尾部指针,增加时可以直接连接到尾部,删除时根据ID号判断删除;第三步,配置面向对象的访问控制规则;第四步,将配置规则通过接口函数传递至核心层;第五步,核心层把配置规则中的对象标识与预先定义的对象的具体信息联系起来,对通过防火墙的数据进行访问控制;当有新建立的链接时,链接数据包被发送到核心层。核心层按先后顺序遍历访问控制规则链表;对每一个访问控制规则,首先根据数据包的来源地址进行比对,方法是通过访问控制规则的来源对象ID,获取ID表示的对象的具体信息,把对象中的每一条信息与来源数据包的来源地址进行比较,判断是否符合;如果符合,则比对数据包中的其他信息;如果不符合,则比对下一条访问控制规则。2、根据权利要求1所述的面向对象方式的防火墙访问控制方法,其特征在于:所述的防火墙访问控制对象,根据地址类、服务类和时间类进行分类定义;(1)、地址类定义的结构主要是,类型(mask_type);用户组ID(group_id);IP地址,表示为单独的IP地址(ip-ip)、或是网段(ip/mask);(...
【专利技术属性】
技术研发人员:文中领,王锋,权晓文,
申请(专利权)人:海信集团有限公司,
类型:发明
国别省市:95[中国|青岛]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。