【技术实现步骤摘要】
一种防火墙实现方法、装置、设备及存储介质
[0001]本专利技术涉及防火墙
,尤其涉及一种防火墙实现方法、装置、设备及存储介质。
技术介绍
[0002]防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在的破坏性的侵入。目前主要通过包过滤技术和状态检测技术实现同一会话的数据包过滤,然而上述这两种现行的方案存在以下问题:
[0003](1)包过滤技术由于tcp/ip协议特性,会话的客户端是随机的、服务端端口是固定的。在客户端给服务端发数据时,数据包的源端口为客户端端口,目的端口为服务端端口;而在服务端给客户端回数据包时,数据包的源端口为服务端端口,目的端口为客户端端口。由于这个特性,包过滤技术必然要添加大量防火墙策略,这需要大量的人力物力,而且还不能保证防火墙策略的精准,这就导致了安全问题。
[0004](2)状态检测技术的出现节省人力和物力,同时解决了防火墙策略精确添加的问题,然而也带来了新问题,同一会话的数据包必须要进出同一台或同一对主备防火墙,组网的自由性受到限制。
【技术保护点】
【技术特征摘要】
1.一种防火墙实现方法,其特征在于,包括:接收进入防火墙的数据包;其中,所述数据包至少携带有五元组;在所述数据包满足预设的防火墙放行条件时,将所述防火墙生成的会话识别信息添加入所述数据包,并放行所述数据包通过所述防火墙,以使得其他防火墙利用所述会话识别信息确定是否放行所述数据包;其中,所述会话识别信息包括:防火墙身份信息、随机数加密值和散列值,所述散列值是基于所述五元组计算得到的。2.如权利要求1所述的防火墙实现方法,其特征在于,当接收到的所述数据包未携带有会话识别信息时,所述防火墙放行条件包括:所述数据包与预设的防火墙策略匹配成功。3.如权利要求1所述的防火墙实现方法,其特征在于,当接收到的所述数据包还携带有放行所述数据包的原始防火墙生成的原始会话识别信息时,所述防火墙放行条件包括:对所述五元组和解密结果进行散列计算得到的散列值,与原始散列值一致;其中,利用原始防火墙的公钥对原始随机数加密值进行解密得到所述解密结果,所述原始会话识别信息包括:原始防火墙身份信息、所述原始随机数加密值和所述原始散列值。4.如权利要求1所述的防火墙实现方法,其特征在于,通过以下步骤生成所述会话识别信息:生成所述防火墙身份信息;生成随机数;对所述五元组和所述随机数进行散列计算,得到所述散列值;采用防火墙的私钥对所述随机数进行加密,得到所述随机数加密值。5.如权利要求1或3所述的防火墙实现方法,其特征在于,所述将所...
【专利技术属性】
技术研发人员:刘锦昌,王志国,张弛,黄刚,刘东,
申请(专利权)人:咪咕文化科技有限公司中国移动通信集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。