[发明专利]一种基于网络过滤器的内容过滤网关实现方法

说明书

技术领域

本发明属于通信技术领域，具体设计内核态数据数据包采集与过滤，会话还原，用户态与内核态的通信，透明模式的实现等。可以根据会话完整内容进行过滤，阻止非法的数据包通过。

背景技术

互联网满足了人们几千年来苦苦追求的“快”和“没有限制”的突破时空的至高境界，实现人们的自由之梦，他契合了人的原始本性，达到的“自由”程度超越了以前人们的想象。互联网的开放、让人们前所未有地享受到不受约束获得各种信息发布言论的自由，但同时也带来了许多信息安全问题。

有数据显示，近几年青少年花在看电视的时间已经少于上网的时间，网络正成为青少年认识的世界、获得知识、休闲娱乐的一种工具。网络中的信息内容五花八门，大多未经过严格的把关和筛选，虽然能满足部分教育、信息及休闲上的需要，但亦存在大量让家长、社会头痛的，易对青少年产生负面影响的淫秽色情、暴力恐怖、反政府以及种族歧视等网站。

第二类安全问题是病毒感染和垃圾邮件的威胁。隐藏在网络中的有害代码通过病毒、蠕虫、木马程序等对计算机进行攻击，这些病毒不断在增长，而且发展速度相当之快，破坏性愈来愈大。智能化、人性化、隐蔽化、多样化也在逐渐成为新世纪电脑病毒的发展趋势。大量的垃圾邮件也严重影响了用户对互联网的正常使用，大量垃圾邮件降低了网络运行效率占用网络带宽，造成邮件服务器拥塞，进而降低整个网络的运行效率，给同在一台服务器上的其他用户带来影响。

另外一类信息安全问题就是对机密信息的威胁。现在利用网络窃取或泄露公司机密的案例屡见不鲜。这种行为给企业带来了巨大的危害。企业的最新成果，核心竞争力可能在一瞬间不复存在，从而造成巨大的经济损失。有的企业为了避免这种现象，甚至禁止员工上互联网，这无疑给工作带来了很大的不便。

内容过滤是网络安全的新课题，它的任务是从动态信息源中过滤掉在一段时期内比较固定的非需求信息。通过在网络中加入内容分析过滤功能，对内能够帮助受保护网络消除通过网络对机密信息造成的泄漏，对外可以过滤掉网络中的不健康内容及垃圾信息。既可阻止不良信息对人们的侵害，适应社会对意识形态方面的要求，同时，通过规范用户的上网行为，提高工作效率，合理利用网络资源，减少病毒对网络的侵害，这就是内容过滤技术的根本内涵。

目前，在网络边界的过滤包括基于网络层的包过滤技术和基于应用层的代理技术。

基于网络层的包过滤技术，据分组包头源地址，目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包则被从数据流中丢弃。但是这种方式无法理解应用层信息，而大多数内容过滤都是针对应用层进行的，所以很难进行内容过滤。此外该方式进行内容过滤时，是进行单包过滤，由于缺少上下文关联信息，影响准确度。

基于应用层的代理技术，也叫应用网关，它作用在应用层，其特点是完全″阻隔″了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。应用层代理能够理解各种应用协议，能方便的进行内容过滤，但是对用户不透明，必须为每种应用分别编写不同的代理程序。而且速度较慢，对网络性能较大。

发明内容

本发明的目的在于提出一种基于网络过滤器的内容过滤网关实现方法，可以提高数据采集的效率，对非法的数据包进行实时的阻断，以透明的方式工作，高效的在网络层过滤应用层信息。

一种基于网络过滤器的内容过滤网关实现方法，用一个内容过滤网关透明的串联在网络边界，以无IP方式，在网络层来过滤所有出入局域网的数据，所诉内容过滤网关运行Linux kernel 2.4操作系统，安装双网卡，每块网卡都设置为混杂模式，使用brctl配置两块网卡为网桥来实现透明串联在网络边界上。

本发明的特征在于依次含有以下步骤：

步骤1，初始化：

在所述内容过滤网关中设有：

数据包捕获模块，数据包处理模块，以及数据包转发模块，这些模块工作在Linux系统的内核态，还设有内容分析模块，工作在用户态；在所述这些模块中：

数据包捕获模块，注册了设定的过滤函数，对于那些需要转发的数据包，送往数据包转发模块转发，对于需要进行内容过滤的数据包，则送往数据包处理模块；