一种基于用户身份过滤的方法以及防火墙技术

本发明专利技术提出一种基于用户身份过滤的方法以及防火墙。从应用层数据中识别用户身份信息，并且根据用户身份信息和行为记录来实现访问控制和会话管理。本发明专利技术能够对单个用户行为进行细粒度控制，针对不同的用户采取相应的安全策略。可以防止恶意用户访问服务，或在网络状况不好的情况下限制某些用户的访问。

【技术实现步骤摘要】

本专利技术涉及网络安全及计算机安全领域，尤其涉及一种基于用户身份过滤的方法以及防火墙。
技术介绍
防火墙是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网和公共网的界面上构造的保护屏障。它是一种计算机硬件和软件的结合，是^ternet与 htranet之间建立起的一个安全网关，从而保护内部网免受非法用户的入侵。现有的防火墙从实现原理和方法上可以划分为包过滤型防火墙和代理服务型防火墙。其中(1)包过滤防火墙，包括简单包过滤和状态检测包过滤，工作于网络层和传输层， 对数据包进行过滤，过滤的依据是系统内置的逻辑，如访问控制列表。 简单包过滤防火墙通过检查数据流中的每个数据包的源地址、目的地址、所用的端口号、协议状态等元素，或它们的组合来确定是否允许该数据包通过，只能处理单个数据包，不跟踪会话。包过滤技术的优点是简单实用，实现成本低，实时性好。其缺点是只能根据数据包的来源、目标和端口等网络信息进行判断，容易受到地址欺骗，无法识别基于应用层的入侵，更无法支持针对特定用户的安全策略。 状态检测防火墙是对传统包过滤防火墙的功能的扩展，它根据数据包不同标志位的参数的变化对每一个连接进行跟本文档来自技高网...

【技术保护点】

【技术特征摘要】

【专利技术属性】
技术研发人员：裘晓峰，郝明阳，赵粮，张春红，成城，纪阳，
申请(专利权)人：北京邮电大学，
类型：发明
国别省市：