数据过滤器管理装置.pdf

数据过滤器管理装置
    【技术领域】

    本发明的领域是数据处理领域，更具体来说是在连接到其他公共或专用网络或用户终端的公用或专用网络中的一点过滤数据的领域。

    技术背景

    数据过滤一般是由装有称为防火墙的处理装置的数据处理服务器提供的。防火墙通常是为了保护专用(或内部)局域网(LAN)及孤立用户终端，免受一般来源于公共(或外部)广域网(WAN)诸如因特网的外部攻击或入侵。其还可用来限制专用网用户对公共网的访问和/或对内部或外部网络保护服务器。

    防火墙必须配置为提供上述功能至少之一，或换言之能够过滤由装有防火墙的服务器接收的数据包。定义过滤器的一次(或基本)规则一般是为用于这一目的。因而配置防火墙就在于向其施加主动过滤器(active filter)的一个排序的序列(按术语的数学意义)。在接收数据包时，包的特征与排序序列的过滤器的特征比较，并只允许具备与过滤器特征可比特征的数据包通过。

    配置防火墙是一种困难的操作，这要由其所属的网络的管理员人工进行。因为这一静态地人工干预，所得的配置可能在功能上正确，但可能是不适当或并非最优。其甚至是错误的。所有这些情形下，服务器的性能都要通常降低。

    由于网络频繁地演变，防火墙必须经常重新配置，这不仅增加了出错或失当的危险，而且还占用网络管理员大量的时间。

    【发明内容】

    于是，本发明的一个目的是要通过提出一种防火墙管理装置而克服某些或所有上述缺陷，该装置实时考虑网络的参数或由网络提供的服务的修改和演变，以及不可预见的事件。

    为此，提出了一种适于安装在数据处理服务器中的数据处理装置，该服务器适于接收一次数据(或数据包)，并在通过防火墙型的控制装置基于一次规则施用专用处理之后传送所述一次数据。

    该装置的特征在于，其包括i)第一表，该表以可参数化的形式并以与一次标识符对应的关系，存储称为“一次元规则”的一次规则集的“定义/原型”(每一一次元规则或集合包括至少一个一次规则)，以及ii)管理装置，其适于连接到该控制装置，并在由二次数据的服务器接收之后，在接收表示由控制装置提供的操作参数的辅助数据时，选择第一表中至少一个一次标识符，并使辅助数据与其相关联，以定义专用过程。

    在本文中，表述“辅助数据”是指在服务器接收二次数据之后，必须分配给要在控制装置诸如防火墙中实现的元规则的一次规则操作参数的数据(或值)。并且本文中，表述“二次数据”是指，任何由服务器(或其控制装置)接收的、其内容被解释为对于重新配置控制装置的要求的信息。这可以指包含在一次数据包中的数据(或字段)或在网络中发生的事件，例如添加插件(card)。

    这样，每当证明必要时，基于在第一表中定义并存储的一次元规则以及由服务器提供的信息(辅助数据)，该管理装置能够动态地、且无须人工干预重新配置控制装置。

    根据本发明的另一特点，该装置可包括管理装置可访问的一个第二表(并如第一表那样最好结合在其中)，其中以对至少一个选择的(或激活的)与辅助数据相关的一次标识符对应的关系存储二次标识符(即指定在控制装置中采用的元规则，带有由辅助数据表示的操作参数)。这种情形下，如果管理装置在接收辅助数据时能够确定，在第二表中是否已存在对应的选择的二次标识符，以便使其与要适应专用过程的新的辅助数据相关联。这意味着，被修改的仅仅是需要修改的配置部分，而不是整个的配置。

    在第二表中一定的选择的一次元规则，可被分组为也由与辅助数据相关联的第二标识符表示的二次元规则。

    二次标识符可以或可以不与一次标识符等同。例如，如果其仅在防火墙中单一参数集合(或辅助数据集)下执行，则一次元规则在第一表和第二表中可具有相同的(一次)标识符。反之，如果其在防火墙中不同的参数集合下执行，则一次元规则应当带有与其一次标识符不同的二次标识符。

    这些(一次)元规则与“超级”(二次)元规则进一步减少了(重新)配置时间。

    管理装置最好包括多个管理子模块，每一个用于管理辅助数据与一个或多个一次或二次元规则的相关联(重要的是子模块划分了它们负责的一次或二次元规则)，并适于在接收辅助数据时确定哪些管理子模块对应于它们。这便于并缩短了重新配置。

    此外，管理装置在接收一定的辅助数据时，适于从第二表删除至少一个存储的二次标识符(这相当于在控制装置级不选择或停用一次的或二次的元规则)。该管理装置在接收由服务器通信的补充数据时，可等同地适于适配，删除或修改一次或二次元规则，或在与一次或二次元规则相关联的第二表中的辅助数据。

    此外，管理装置与表最好是一个“元防火墙”的部分，其管理配备于服务器并包括控制装置的防火墙。

    本发明还提供了配备上述类型装置的防火墙。

    本发明进而提供了动态处理数据的方法，该方法在于基于一次规则，对由数据处理服务器接收的一次数据施用专用过程，使得接收的一次数据在其由服务器传送之前被处理。

    这一方法的特征在于，其包括一个预先步骤，在该步骤以可参数化的形式并与一次标识符对应的关系，在第一表存储称为“一次元规则”的至少一个一次规则，并在接收到二次数据之后接收由服务器传送的表示操作参数的辅助数据时，选择第一表中至少一个一次标识符，并使辅助数据与一次标识符相关联，以定义专用过程。

    根据本发明的另一特征，在预先步骤中，在一个第二表中存储二次标识符，其每一个与至少一个选择的同辅助数据相关联的一次标识符有对应关系。

    第二表中一定的一次元规则可分组为由二次标识符表示的二次元规则。

    根据本发明的另一特征，并行地进行第一表中一次或二次元规则的选择，及二次表中与表示选择的一次或二次元规则的二次标识符相关联的辅助数据的修改。

    此外，当收到一定的辅助数据时，该方法可删除存储在第二表中的一次或二次元规则至少之一。类似地，在收到由服务器传送的补充数据时，可向第二表添加，从其删除或修改一次或二次元规则。

    根据本发明的装置和方法，虽然不是唯一的，但却特别适合用于过滤公共和专用远程通信网中的数据。

    【附图说明】

    在阅读以下详细的说明并研究附图时，本发明的其他特征和先进性将是明显可见的，其中：

    图1很简略地示出与公共和专用网连接并装有根据本发明的装置的一服务器，以及

    图2是根据本发明的装置的一个实施例的框图。

    【具体实施方式】

    附图是针对大部分特性的，因而构成了本发明描述的部分，如果必要也有助于本发明的定义。

    以下的描述涉及安装在一个数据处理服务器2中的数据处理装置1，该服务器安装在公共(或外部)网络3与专用(或内部)网络4之间的连接结点(或点)，如图1所示。然而，该服务器可安装在许多其他地方，例如在服务供应商或有线运营者处。

    例如，公共网3是因特网，而专用网4是连接到多个用户终端的局域网(LAN)。

    当然，装置1可安装在与服务器2连接的辅助设备类的一个外部单元，这时它将直接连接到外部网络(因特网)。

    在所示的例子中，就流入和流出(一次)的数据包基本上等同的意义上来说，服务器是“路由器”型的。例如，服务器2适于交换语音数据。例如，其装有通过内部网络4通信的多个电子电路卡。这些卡之一提供对外部网络3(这里是因特网)的访问，因而装有WAN接口(ADSL，ISDN，以太网)。每个卡有其自己的特许，特别是关于其可在内部网4上产生，给予内部网其他数据处理硬件的通信量类型。

    服务器2最好还主控可配置或可参数化服务，例如电子邮件模块，因特网模块，虚拟专用网(VPN)模块等等。

    服务器2还装有业内专业人员所周知的防火墙5，并主要是为过滤通过输入/输出接口6从外部网3，或通过输入/输出接口7从内部网4接收的一次数据包。

    这样防火墙5保护用户终端Ti，或这里是专用网4，避免来自外部网3的侵扰与攻击。

    可以设想任何类型的过滤，只要是基于向由服务器2接收的一次数据包施用可参数化基本(或一次)规则。这可推广到整个的网络或一个网络的一些部分，或适配于每一用户。如果其适配于每一用户，则过滤同样用于用户的认证。

    当然，防火墙可配置为提供过滤以外的功能。其特别可存储用户终端与外部网之间交换的一定的信息。这个问题一般是在适当的存储器中保存先前接受的连接的坐标(用户地址，各种web站点上访问的网页的地址(例如URL)，访问的数据和时间)。其还可以配置为向较高层防火墙OSI模型馈送数据包分析，例如对于这样的防火墙，作为其应用层元件的一个功能，其能够决定接收还是拒绝一个包。进而其还可以配置为保留一定交换的包的轨迹(“LOG”模式)和/或修改一定的包的内容(网址转换(NAT)模式-例如用于屏蔽内部网的IP地址)。其还可以配置为检测病毒。

    在所示的例子中，防火墙4构成根据本发明的装置1的一部分。然而，装置1另外可简单地与一“本地”防火墙连接，以便动态地管理并控制其配置。

    以下参照图2详细描述本发明的处理装置1的一个例子。

    如以上指出，这例子中装置1首先包括构成防火墙5的一个控制模块。由于这一防火墙基本上等同于标准(或本地)的防火墙，故不详述。具体来说，在以下忽略其分层结构，因为这对于业内专业人员是非常熟悉的。

    防火墙模块5是为从服务器2通过其输入/输出接口6和7之一接收一次数据包，以便向其施加基于可参数化基本(或一次)规则定义的专用处理(或过滤)操作。

    更准确来说，首先通过安装定义了主动过滤器的可参数化一次规则的一个排序序列而配置防火墙模块5，使得所述过滤器作为它们自身特征的一个函数，可相继地并按已排序的方式施加到包，诸如源和目标地址，输入与输出网址，通过IP协议的交换，诸如TCP，UDP或ICMP(例如在因特网的情形下)，或作为适用于交换协议的参数的函数，诸如在TCP及UDP情形下的源和目标端口，或在ICMP情形下的包类型。

    防火墙的配置一般必须默认禁止所有通信，且主动过滤器应当只对必须被授权的通信量一定的子集授权。例如，连接内部网与因特网的路由器可采用以下简化的规则：

    ·接受与以前接受的包相关的包；

    ·接受来自内部网(LAN)及去向因特网的包，例如如果它们是HTTP或HTTPS(TCP/80与TCP/443)类型；

    ·接受来自LAN及去向路由器的包，例如如果它们是DNS(UDP/53)或Echo Request(ICMP，请求反应)类型；

    ·接受与公司LAN上规定地址“*@*”的邮件服务器相关的包，例如来自因特网并去向LAN上地址*@*的SMTP(TCP/25)包，或来自地址*@*并去向因特网的POP3(TCP/25与TCP/110)包。

    由于过滤功能的结果，防火墙模块5向服务器2传送或者是被处理的一次数据，即当过滤并其中可施加完整的和/或修改时的一次数据，或者拒绝所收到的一次数据的消息。当然，一次数据在其由防火墙模块5接收之后还可仅仅是通过服务器。

    装置1包括一管理模块8，用于优化定义服务器配置的基本规则的排序的序列，但更重要的是，每当服务器2(或其防火墙模块5)接收二次数据，例如该数据对应于内部网4上的修改，或对应于内部网4或外部网3上不可预见的事件，以及对其提供高级安全性时，使其能够动态地以最优的方式被重新配置。

    更准确地说，管理模块8是为动态适配防火墙模块5的配置，这首先是对于服务器2的物理(或硬件)特性，例如其包含的电子电路卡的数目，卡的类型，或内部网4的拓扑结构，其次是对于服务器的操作配置，例如使其可提供一定的可参数化的内部和/或外部服务，因而这必定是会演变的，其中可采用对一定的用户终端和/或用户许可的出现的特别的限制，以及第三，不可预见内部和/或外部事件的发生，诸如未列出的攻击或列出的攻击，例如试图连接到主控服务(http，VPN，telnet)，端口扫描的企图，在LAN/WAN接口处通信量的修改，诸如向因特网站点或服务，带有远程终端的链路的连接或从其断开，或与认证过程相关联的安全(或加密)通道的出现/消失，或在由服务或由卡执行任务期间产生的刺激。

    为了满足上述的功能，管理模块8包含一个配置模块9，其连接到又称为“元防火墙”模块并连接到防火墙模块5的“连接”模块10。

    如果服务器2接收与物理(或硬件)特征修改，与服务参数(的修改)，或“上下文”信息(刺激)相关的二次数据，则它产生向管理模块8寻址的辅助(或补充)数据，以请求其(重新)配置它的防火墙模块5。在收到这一辅助数据时，管理模块8将其传送到它的第一配置模块9。

    配置模块9是一决策单元，其决定对防火墙模块5当前配置进行修改的机会，而元防火墙10负责其实际的实现。

    元防火墙10包含一个接口(或“引擎”)子模块，其连接到防火墙模块5并连接到至少第一存储器12，其中存储定义可参数化基本(或一次)规则与一次标识符之间的对应关系的第一表T1。

    更准确地说，称为(一次)元规则的的基本(或一次)规则的集合(或类)的定义/原型存储在第一表中。每一元规则对于选定的过滤类别是特定的。每一集合或类(或一次元规则)包括至少一个基本的或一次规则，但为了定义一个过滤器一般需要多个基本规则。

    一次标识符与每一个一次元规则或规则类相关联。因而元规则每一个具有在表T1中存储的定义(或原型)。这些定义最好在装置的设计阶段借助于编译工具产生，并考虑到防火墙5及其使用。实际上，编译工具产生其内容符合防火墙模块5的元规则(或其能够在可由防火墙模块5理解的等价的一次规则中反映)。

    第一配置模块9知道元规则的一次标识符列表及它们对应的辅助数据的类型。于是，在接收辅助数据(例如指示新的ISDN型IP连接已由内部网4的终端请求)时，第一配置模块9可从其首先推导数据类型(多个)，并随之对于待(重新)配置的防火墙模块5，推导出必须与辅助数据相关联的元规则(多)。然后它对元防火墙10的引擎11提供一次标识符(多个)以及相关联的辅助数据(或参数值)。

    在第一实施例中，在接收一次标识符(多个)与辅助数据(或参数值)时，引擎11从第一表T1提取相关联的定义，并对指定的一次元规则的参数分配收到的值(或辅助数据)。这样，其产生一个或多个新的一次元规则，传送给防火墙模块5，以便以这些元规则代替或添加到已变得不适用的规则(多个)。

    这一实施例只修改了防火墙模块5与由服务器2提供的辅助数据相关的部分配置，且如果防火墙模块5能够简单而快速地提供其配置参数，则是有利的。这种情形下，引擎11能够告知防火墙模块5中当前的配置是什么配置，并只修改已经改变的参数。然而如果防火墙模块5没有设计为提供其配置参数，或不能简单并快速地这样作，则这第一实施例可能不是最优的实施例。实际上，由于不知道在防火墙模块5中已被激活的一次元规则，必须使用提供的参数值重新计算所有它的规则，如果这一类包含数目很大的基本规则，这可能证明是一冗长的过程。特别是在随机事件的情形下，这是更困难的或甚至不可能，因为这预示着要保存所有事件的所有特征数据，并设置防火墙模块5的一次规则的参数，如以下所述，这等于把表T2向上游处理级转移。

    因而本发明的装置可采取与图2所示稍微不同的形式。在这第二实施例中，元防火墙10包括一个第二存储器13，其连接到引擎11并存储二次标识符与一次标识符之间的对应关系的一个第二表T2，其指定“激活的”(或选择的)一次元规则，因为它们是防火墙模块5当前配置的部分，这与定义作为该配置的一部分的元规则的参数的当前值的辅助数据相关联。换言之，第二存储器13存储防火墙模块5的当前配置。

    例如如果一次元规则只与防火墙模块5中单个的参数集(或单个的辅助数据集)使用，则一定的二次标识符可能等同于一定的一次标识符。然而，如果对应的一次元规则与防火墙模块5中几个不同的参数集使用，则二次标识符不同于一次标识符。

    第一配置模块9最好知道二次标识符的列表，及它们对应的辅助数据的类型。于是在接收由第一配置模块9提供的二次标识符(多个)与值时，引擎11首先检查第二表T2，以便确定其是否按与辅助数据(或值)的对应关系包含所述二次标识符(多个)，其中可使用的不同于所接收的数据。

    如果不是这种情形，其按第一实施例中那样进行。因而其从第一表T1提取与收到的二次或一次标识符相关联的元规则定义，并向该元规则的参数分配收到的值(或辅助数据)。它还可决定从第二表T2删除元规则。这种情形下，其首先重新构成与老的辅助数据相关联的一次规则集，并从防火墙模块5删除它们。如果防火墙模块5不提供识别激活的一次规则的简单的装置(由于元防火墙提供使用二次标识符识别元规则的简单装置，因而可以假设为是这样的情形)，修改元规则还预示着先删除其老版本。

    这样，产生了一类新的基本规则，并发送到防火墙模块5，以代替已变得不适用的规则，或添加到已被激活的元规则。然后元规则及相关的辅助数据的二次标识符存储在第二表T2，从现在起它们定义当前配置的部分。

    然而，如果第二表T2中存在一次或二次标识符，则提取与一次标识符相关联的辅助数据，并只代替必须改变的数据。当然，如果已由第一配置模块9引入新的参数，则还可添加辅助数据(或值)。然后对防火墙模块5发送修改的元规则(多个)或定参数的新元规则(多个)，以便使它们替代或添加到已变得不适当的元规则。然后新的辅助数据以同相关联的二次标识符及一次标识符对应的的关系存储在第二表T2中，因为从现在起它们定义了当前配置的部分。

    为了进一步加速重新配置的处理，构成二次元规则的类(或一次元规则类)的类还可在第二表T2中组成。这种情形下，如果二次元规则是以所述辅助数据而被激活(或选择)，则这些二次元规则与二次标识符相关联，它们也按对相关联的一次标识符和辅助数据对应的关系存储在第二表T2中。

    还可在对应关系表中建立一次元规则的规则之间，或二次元规则的一次元规则之间，或一次或二次元规则之间的优先级。

    引擎11最好适于按第一配置模块9的命令，从第二表T2删除与在防火墙模块5中不再有效的一次元规则相关联的二次标识符。引擎11最好还适于按第一配置模块9的命令，在第二表T2中添加或修改与新的一次或第二元规则相关联的二次标识符，或向二次元规则添加或从其去除一个或多个一次元规则。其还可适于按命令在同一个二次元规则内合并属于至少两个不同的一次或二次元规则的一次或二次元规则，或把一个一次或二次元规则分离为至少两个一次或二次元规则，以生成新的过滤器定义。

    由第一配置模块11发送的命令最好是从服务器2接收的命令(或补充数据)的结果。

    以下描述在第二表T2中保存数据的两个解释性例子。如上所述，第一表T1包括与一次标识符有对应关系的一次元规则的定义或原型。例如，一次标识符“Email”指定以下三个一次规则原型的集合：

    ·规则1：Flow＝FromLanToWan Source＝$1 Protocol＝tcpDestinationPort＝smtp Action＝ACCEPT

    ·规则2：Flow＝FromLanToWan Source＝$1 Protocol＝tcpDestinationPort＝pop3 Action＝ACCEPT

    ·规则3：Flow＝FromLanToWan Destination＝$1 Protocol＝tcpDestinationPort＝smtp Action＝ACCEPT

    这一Email元规则用来在内部网(LAN)上的电子邮件服务器与因特网上的ISP服务器之间交换电子邮件。其只包括一个参数(辅助数据)“$1”，该参数对应于LAN上电子邮件服务器的ISP地址。

    这一参数使用对三个一次规则原型特定的语法发送。

    刻划一次规则的其他参数(“Protocol＝tcp”，“DestinationPort＝smtp”或“FromLanToWan”)在第一表的项中静态地定义。

    如果希望使用服务器地址10.0.0.1(或辅助数据)激活一次元规则Email，则按与这一例子中也可以是Email的二次标识符的对应关系，在第二表T2中保存与地址10.0.0.1相关联的一次标识符Email。在第二表T2中，这可按以下的形式“Email→Email 10.0.0.1”表示。

    可使用“元防火墙添加Email 10.0.0.1”类型的命令实现保存。

    如果服务器地址必须随后被修改，或元规则Email必须随后被删除，则分别发出命令“元防火墙添加Email 20.0.0.1”及“元防火墙删除Email”。

    如果安装演变，例如包含地址为“10.0.0.2”的第二电子邮件服务器，并希望使用单个的二次元规则管理两个服务器，则二次标识符“服务器”可与该二次元规则相关联。

    为了保存在第二表T2中指定二次元规则及相关联辅助数据的这一二次标识符，发出“元防火墙addin Server Email 10.0.0.1”及“元防火墙appendin Server Email 10.0.0.2”的命令。

    在第二表T2中这可表示为以下形式：

    ·Server→Email 10.0.0.1

              Email 10.0.0.2

    如果证明必须，则元规则服务器可通过“元防火墙删除Server”命令删除。

    虽然这不是必须的，但第一配置模块9可被划分为多个配置子模块，每一个负责激活并设置(一次和/或二次)元规则的分开的集合的参数(辅助参数)，使得在接收一次数据时只调用与其相关联的模块。这种情形下，每一子模块适于对本身连接到第一表T1的一部分的引擎11的一部分寻址。模块之间可能存在以来关系。这种情形下，调用第一模块意味着模块本身转而调用其依赖的或与其相关联的模块。这可进而降低计算重新配置所需的时间。

    以上以两个连接但分开的模块的形式描述了配置模块9和元防火墙10。然而它们可组成一个单个的模块8。

    此外，已经描述了本身构成防火墙的一个装置。然而，当防火墙模块已按本地的形式安装在服务器2中时，本发明的装置不包含防火墙模块5是合理的。因而，这种情形下，本发明的装置只由管理模块8组成，这时该模块必须安装在服务器2中，以便在其中与本地防火墙模块连接。

    此外，装置1的一定的模块，诸如第一配置模块9和引擎11，可采用软件的模块(多个)的形式。然而，它们可等同地至少部分地以电子电路(硬件)，或以软件模块与电子电路组合的形式实现。软件模块可以由Java，C或C++写成。

    元防火墙10的功能(具体来说通过表T1和T2对规则的命名)也可集成到标准防火墙5中。

    本发明还提供了动态数据处理的方法，用于对由数据处理服务器12接收的一次数据施加基于一次规则的专用过程，使得收到的一次数据在其由所述服务器传送之前被处理。

    这一方法可使用上述的装置实现。通过该方法的步骤提供的主要的和可选的功能及子功能，基本上与由构成上述装置的各种装置提供的功能等同，只是根据本发明实现该方法主功能的步骤描述如下。

    该方法包括一个预先步骤，其中以可参数化形式按与一次标识符对应的关系，在第一表T1中存储一次规则(称为“一次元规则”，由至少一个一次规则组成)的集合，此后在第一表T1中选择一定的一次标识符，并在接收二次数据接收之后由服务器2传送的表示操作参数的辅助数据时，在第一表中选择至少一个一次标识符，并使辅助数据与该一次标识符相关联，以定义专用过程。

    此外，在预先步骤，二次标识符可存储在第二表T2中，每一个与至少一个选择的与辅助数据相关联的一次标识符有对应关系。

    此外，第一表T1中一次元规则的选择，及与表示表T2中选择的一次或二次元规则的二次标识符相关联的辅助数据的修改，两者可并行执行。

    本发明不限于以上仅以例子的方式描述的装置和方法的实施例，而是囊括属于以下权利要求范围业内专业人员可以设想的所有变种。