【技术实现步骤摘要】
一种面向网络隐藏的防火墙设计方法及系统
[0001]本专利技术属于网络安全
,是一种适用于大流量、高并发网络并且满足网络隐藏需求的防火墙方法及系统。
技术介绍
[0002]防火墙是一个由计算机硬件和软件组成的系统,部署于网络边界,是一种位于内部网络与外部网络之间的网络安全系统。它的设计基于网络技术和信息安全技术基础上的应用性安全技术,依照特定的规则,允许或是限制传输的数据通过,起到安全过滤和安全隔离外网攻击、入侵等有害的网络安全信息和行为。
[0003]为了满足数据过滤与安全隔离功能的动态实现,已经提出了多种系统设计。例如Netfilter/IPtables。其中,IPtables工作在用户空间(user space),对IP信息包进行操作策略的时候设计一套预先设定的规则,存储在专用的数据包过滤表中,这些表中的规则被分组放在链(chain)中,IPtables起到控制作用,使规则的增加、删除、修改和用户可交互。而Netfilter工作在Linux内核空间(kernel space),由信息包的过滤表(HOOK点...
【技术保护点】
【技术特征摘要】
1.一种面向网络隐藏的防火墙设计系统,该系统包括:注册中心,一个可信任的第三方主机,管理员在系统运行开始前,注册中心向所述客户端和所述服务端发送后续过程需要的信息;客户端,系统中用户使用的通讯主机,可以向所述服务端发送请求报文以申请与服务端的通信资格;服务端,系统中对所述客户端发送的请求报文进行认证,并根据结果抉择是否与所述客户端提供进一步通讯服务的主机。2.根据权利要求1所述的一种面向网络隐藏的防火墙设计系统,其特征在于:所述的客户端内部包含了所述的端口协商算法,所述的服务端内部包含了所述防火墙以及端口协商算法,在所述防火墙内部包含了所述规则注册模块和可扩展计数式布隆过滤器;所述端口协商算法使用于客户端与服务端内部,使用静态的固定口令与动态的时间同步信息生成口令并根据口令选择通信端口;所述可扩展的计数式布隆过滤器位于所述服务端的防火墙内部,是用于提高规则管理性能的存储介质;所述规则注册模块位于所述服务端的防火墙内部,用于控制内核防火墙的通信规则来控制服务端与外界的通信。3.一种面向网络隐藏的防火墙设计方法,其特征在于:具体步骤如下:S1,网络环境部署:部署所述注册中心,为所述客户端以及服务端预先进行身份认证与要素告知以及时间同步等预处理;S2,服务端部署:将所述可扩展的计数式布隆过滤器和规则注册模块部署到所述服务端的防火墙内部;S3,构造发送流量:客户端通过注册中心提供的时间同步信息与端口协商算法产生发送端口,向所述服务器的指定端口发送大流量的数据包;S4,服务端嗅探过程:所述服务端持续使用端口协商算法持续嗅探指定端口,对发送来的数据包进行端口判别,如果上述数据包未发送到指定端口则默认丢弃该数据包,并继续进行嗅探过程;S5,服务端规则处理与通信过程:如果上述服务端成功接收数据包,则建立规则并存储在可扩展的计数式布隆过滤器中,根据数据包内容和源IP地址建立与客户端的通信,建立成功后使用规则注册模块删除内核防火墙中与上述客户端进行连接的规则,如果客户端主动断开连接,首先删除上述可扩展的计数式布隆过滤器中的对应规则,由于规则删除,如果客户端尝试继续与服务端通信,则需要返回步骤S4,如果客户端在通信证向服务端发送第二次通信请求,查询上述可扩展的计数式布隆过滤器,若规则存在则丢弃请求,此外,双端通信存在链路生存期,超时后自动断开通信链路。4.根据权利要求3所述的一种面向网络隐藏的防火墙设计方法,其特征在于,所述步骤S1中的注册中心是一个可被信任的第三方,功能...
【专利技术属性】
技术研发人员:张玉健,金锡诚,孙雨虹,胡金炜,李雨桐,
申请(专利权)人:东南大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。