防火墙内核安全组件一体化的方法.pdf

摘要
申请专利号：	CN200410065183.1	申请日：	2004.10.29
公开号：	CN1604539A	公开日：	2005.04.06
当前法律状态：	终止	有效性：	无权
法律详情：	专利权的终止(未缴年费专利权终止)授权公告日：2007.5.23\|\|\|专利权人的姓名或者名称、地址的变更变更事项:专利权人变更前:江苏南大苏富特软件股份有限公司地址: 江苏省南京市北京西路金银街邮编: 210008；南京大学地址: 江苏省南京市汉口路22号邮编: 210093变更后:南京大学地址: 江苏省南京市汉口路22号邮编: 210093；江苏南大苏富特软件股份有限公司地址: 江苏省南京市北京西路金银街邮编: 210008\|\|\|授权\|\|\|实质审查的生效\|\|\|公开
IPC分类号：	H04L12/24; H04L29/06	主分类号：	H04L12/24; H04L29/06
申请人：	江苏南大苏富特软件股份有限公司; 南京大学
发明人：	蔡圣闻; 李论; 金毅; 齐竞艳
地址：	210008江苏省南京市北京西路金银街
优先权：
专利代理机构：	南京苏高专利事务所	代理人：	成立珍
PDF下载：	PDF下载

内容摘要

一种防火墙内核安全组件一体化的方法，防火墙各组件的开发往往是相对独立的，对用户而言也是割裂的几个部分。本发明首先构架应当一体化，在结构上不严格区分各组件间的差异；其次安全策略的配置和检查应当一体化，对用户而言配置是统一的，对系统而言检查工作时前后相承的，再次应当有一条完整的数据包和当前策略匹配点的传输途径，可以使数据包经过各个检查点并最终通过防火墙。对于一体化系统结构的实现，统一定义在操作系统内核的调用接口点，包过滤、攻击检测和应用代理根据功能目标，分别在最合适的接口点插入检查函数，相互之间可进行有效的协作等。

权利要求书

1.  防火墙内核安全组件一体化的方法，其特征在于对防火墙系统的设计，采用一体化构架的流水线方式处理的系统结构，一体化组织的安全策略，以及一条内核中数据包和当前策略匹配点的传输路径；
对于一体化系统结构的实现，统一定义在操作系统内核的调用接口点，包过滤、攻击检测和应用代理根据功能目标，分别在最合适的接口点插入检查函数，相互之间可进行有效的协作；
对一体化组织的安全策略的实现，使用从保护目标为根结点出发的树形结构组织安全策略，策略树的不同分支之间互斥，保证每次匹配都唯一确定一个子分支或叶结点，叶结点即表明防火墙应当采取的动作；包过滤对安全策略的检查最终结果若是送交代理分支，则代理可以继续从这个检查点向下进行匹配；策略树在内核中由各安全组件共享，当前检查点随数据包在协议栈中传递，使得检查可具有延续性。

2、  根据权利要求1所述的防火墙内核安全组件一体化的方法，其特征在于防火墙进行数据包检查的方法包含以下步骤：
步骤1：在底半队列中进行混合模式处理，判定当前数据包交网关还是网桥处理模块；
步骤2：在路由前做以下工作
步骤201：基本安全检查；
步骤202：组播广播处理；
步骤203：进行目的NAT；
步骤204：进行攻击检测；
步骤205：上层协议检查-对TCP协议：首先进行攻击检测，然后查全状态表并根据结果丢弃或转发，对syn包在全状态表中未查到的，进行安全策略检查，根据结果丢弃/送代理/添加全状态表并转发；对UDP协议：先查状态表，能查到的进行转发，查不到的进行安全策略检查，并根据结果决定是丢弃还是添加状态表并转发；对ICMP协议：如果是差错包，直接转发，否则查状态表，能查到的进行转发，查不到的进行安全策略检查，并根据结果决定是丢弃还是添加状态表并转发。
步骤3：应用代理支撑：对匹配到的需要应用代理检查的数据包，将当前检查点和数据包同时送交TCP层。
步骤4：应用代理从队列中获取数据包以及相关安全策略检查点，继续进行安全策略检查，并实行代理功能。
步骤5：路由后做以下工作
步骤501：进行攻击检测；
步骤502：进行流量控制；
步骤503：进行源NAT。

3、  根据权利要求1所述的防火墙内核安全组件一体化的方法，其特征在于在内核中数据包和当前策略匹配点传递的实现：利用skb传递当前安全策略检查状态，通过协议栈专用通道传送数据包。

4、  根据权利要求1所述的防火墙内核安全组件一体化的方法，其特征在于对路由前数据包，首先检查防火墙开/关状态，如果状态为关，直接按操作系统原有流程进行操作，否则开始基本的安全检查，并根据组播/广播策略对组播/广播包进行处理，然后根据收包网卡的区域属性，进行目的NAT，接下来调用攻击检测对网络层攻击进行探测，最后对传输层协议分别进行后续处理。

5、  根据权利要求1所述的防火墙内核安全组件一体化的方法，其特征在于对TCP数据包，首先对其进行传输层的攻击检测，然后分析其是不是syn包，如果不是直接查全状态表判断对其进行的操作，如果是，接下来查其源端口，判断是否是某些协议的动态连接，如果可能是则查状态表判断是否当前确实有相应的该协议的通讯，若存在即可放行，如果不是动态连接，则根据策略树进行安全检查，最后根据结果丢弃/转发数据包、或者通过专用通道送代理处理。

6、  根据权利要求1所述的防火墙内核安全组件一体化的方法，其特征在于对UDP数据包，先查状态表判断是否存在虚连接，如果存在则转发，如果不存在，则根据策略树进行安全检查，并根据结果丢弃/转发数据包，转发数据包时，同时添加状态表相应项。

7、  根据权利要求1所述的防火墙内核安全组件一体化的方法，其特征在于对ICMP数据包，如果承载的是差错返回数据，则直接转发，否则查询状态表判断是否存在虚连接，如果存在则直接转发，如果不存在，则根据策略树进行安全检查，并根据结果丢弃/转发数据包，转发数据包时，同时添加状态表相应项。

说明书

防火墙内核安全组件一体化的方法
                           技术领域
本发明涉及一种防火墙内核安全组件组织的方法，特别是将包过滤、攻击检测、应用代理结合为一体的方法，属于计算机网络安全领域。
                           背景技术
由于防火墙主要安全组件攻击检测、包过滤、应用代理通常都被分别单独实现，它们使用的安全策略也相对独立。对用户而言，这样的架构缺乏直观性，在逻辑上也比较分散，很难体现实际的相关性，容易产生矛盾和错误的配置；对系统而言，相互协作困难，效率上由于分别进行安全策略检查，存在很多重复的匹配项，特别是应用代理通常实现在应用层，数据传递时需要进行多次内存复制，对系统性能影响很大。因此，将各个安全组件在内核中进行一体化实现，无疑是一种很好地解决手段。
                           发明内容
本发明的主要目的在于提供一种将防火墙安全组件，如包过滤、攻击检测、应用代理，在操作系统内核中一体化实现的方法，在策略配置上它将更加具备统一性和直观性，在系统工作中，它将有更简便的协作手段和更高的处理效率。
本发明的目的是这样实现的：
对防火墙系统的设计，采用一体化构架的流水线方式处理的系统结构，一体化组织的安全策略，以及一条内核中数据包和当前策略匹配点的传输路径。
对于一体化系统结构的实现，统一定义在操作系统内核的调用接口点，包过滤、攻击检测和应用代理根据功能目标，分别在最合适的接口点插入检查函数，相互之间可进行有效的协作。
对一体化组织的安全策略的实现，使用从保护目标为根结点出发的树形结构组织安全策略，策略树的不同分支之间互斥，保证每次匹配都唯一确定一个子分支或叶结点，叶结点即表明防火墙应当采取的动作；包过滤对安全策略的检查最终结果若是送交代理分支，则代理可以继续从这个检查点向下进行匹配；策略树在内核中由各安全组件共享，当前检查点随数据包在协议栈中传递，使得检查可具有延续性。
防火墙对数据包进行安全检查的一个完整步骤包括：
步骤1：在底半队列中进行混合模式处理，判定当前数据包交网关还是网桥处理模块；
步骤2：在路由前做以下工作
步骤201：基本安全检查；
步骤202：组播广播处理；
步骤203：进行目的NAT；
步骤204：进行攻击检测；
步骤205：上层协议检查-对TCP协议：首先进行攻击检测，然后查全状态表并根据结果丢弃或转发，对syn包在全状态表中未查到的，进行安全策略检查，根据结果丢弃/送代理/添加全状态表并转发；对UDP协议：先查状态表，能查到的进行转发，查不到的进行安全策略检查，并根据结果决定是丢弃还是添加状态表并转发；对ICMP协议：如果是差错包，直接转发，否则查状态表，能查到的进行转发，查不到的进行安全策略检查，并根据结果决定是丢弃还是添加状态表并转发。
步骤3：应用代理支撑：对匹配到的需要应用代理检查的数据包，将当前检查点和数据包同时送交TCP层。
步骤4：应用代理从队列中获取数据包以及相关安全策略检查点，继续进行安全策略检查，并实行代理功能。
步骤5：路由后做以下工作
步骤501：进行攻击检测；
步骤502：进行流量控制；
步骤503：进行源NAT。
在内核中数据包和当前策略匹配点传递的实现，是利用skb传递当前安全策略检查状态，通过协议栈专用通道传送数据包。
                           附图说明
图1为本发明的内核一体化安全组件的结构图；
图2为本发明的方法流程图：对路由前数据包，根据防火墙开/关状态的流程，以及安全检查，并根据组播/广播策略对组播/广播包进行处理的流程。
图3为本发明的方法流程图：对TCP数据包进行传输层的攻击检测，并根据策略树进行安全检查的流程图
图4为本发明的方法流程图，对UDP数据包查询状态表判断是否存在虚连接，并根据策略树进行安全检查的流程图
图5为本发明的方法流程图，对ICMP数据包查询状态表判断是否存在虚连接，并根据策略树进行安全检查的流程图
图6为本发明内核协议栈一体化结构图
                         具体实施方式
以下结合附图和具体实施例对本发明做进一步说明：
参见图1，包过滤、供给检测、应用代理等防火墙核心安全组件共存于操作系统内核中，在Ip_rcv调用点，Arp代理、全状态模块、策略树模块共同实现包过滤的功能，攻击检测和地址转换模块完成其相应功能，透明代理支撑则对skb进行修改，提过对TCP层的应用代理的支持；对直接转发的包进行路由查找后发出，对需要送交代理的包，经协议栈专用通道传送到TCP层，代理分析处理后发出；在Ip_output调用点，透明代理支撑对代理发出的包再次做修改后发出，攻击检测和地址转换模块再次进行操作，此外，流量控制模块实现包过滤对数据包流量的控制功能。
图2、图3、图4、图5说明了防火墙对数据包的主要处理流程。
参见图2，对路由前数据包，首先检查防火墙开/关状态，如果状态为关，直接按操作系统原有流程进行操作，否则开始基本的安全检查，并根据组播/广播策略对组播/广播包进行处理，然后根据收包网卡的区域属性，进行目的NAT，接下来调用攻击检测对网络层攻击进行探测，最后对传输层协议分别进行后续处理，分别如图3、图4、图5所示。
参见图3，对TCP数据包，首先对其进行传输层的攻击检测，然后分析其是不是syn包，如果不是直接查全状态表判断对其进行的操作，如果是，接下来查其源端口，判断是否是某些协议的动态连接，如果可能是则查状态表判断是否当前确实有相应的该协议的通讯，若存在即可放行，如果不是动态连接，则根据策略树进行安全检查，最后根据结果丢弃/转发数据包、或者通过专用通道送代理处理。
参见图4，对UDP数据包，先查状态表判断是否存在虚连接，如果存在则转发，如果不存在，则根据策略树进行安全检查，并根据结果丢弃/转发数据包，转发数据包时，同时添加状态表相应项。
参见图5，对ICMP数据包，如果承载地是差错返回数据，则直接转发，否则查询状态表判断是否存在虚连接，如果存在则直接转发，如果不存在，则根据策略树进行安全检查，并根据结果丢弃/转发数据包，转发数据包时，同时添加状态表相应项。
当数据包经过专用通道到达TCP层应用代理时，应用代理从其中抽取数据进行分析，并从skb中取得包过滤已经分析到的安全检查点，从而接着根据策略树进行应用层安全的检查工作，具体代理过程以及数据包发出流程在此不再赘述。
最后应当说明：上述实施例仅用以说明本发明，而并非限制本发明的技术方案，尽管参照上述的实例对本发明已经进行了详细说明，但是，本领域的普通技术人员应当理解，仍然可以对本发明进行修改或者等同替换，因此，一切不脱离本发明的精神和范围的技术方案及其相关改进，均应涵盖在本发明的权利要求范围当中。