[发明专利]Linux基于流的过滤系统的设计方法

说明书

技术领域

本发明涉及Linux基于流的过滤系统的设计方法，属于网络安全技术领域。

背景技术

随着Internet网络的越来越盛行，网络安全问题也越来越重要，为此人们研究了多种过滤系统来保障网络安全运行。目前多种操作系统，包括Unix(linux)、网络操作系统(CISCO IOS)等等，都提供了一种包过滤的方法，即检查每个流经设备的数据包，根据预先设定的策略检查包的内容进而判断是否丢弃该数据包；由于需要对每个数据包进行检查，对系统性能的消耗也非常大，尤其面临千兆、万兆网络时，包过滤可能成为系统瓶颈。在mips 600MHz CPU 1G memory的linux上进行过试验，当iptables规则达到一千条时，系统响应非常慢甚至不可用。

由于软件实现的包过滤对性能的影响极大，故大部分网络防火墙都是用专有硬件实现，其成本非常高，对于一般规模的企业是无法接受的。包过滤检查了每一个数据，即认为各个数据包之间是没有联系的，前一个包是否丢弃、放行，对于后一个包没有什么影响，但实际上网络上的数据流都是有联系的，比如某个时刻用户A访问www.g.cn网站，则这个应用交互的数据流都是HTTP报文，而且IP和端口都是固定的，如果网管人员只想对应用、用户进行过滤，则这个行为的所有数据包都有相同的过滤条件，可以将这些包称为一个流，即如果流内第一个包被丢弃，则流内的其他包也要被丢弃，第一个包被接受，则流内的其他包也要被接受。如果对一个包进行分流的操作时间远远小于对该包进行过滤检查的时间，则这种想法是可行的。而实际上Linux内核已经对包进行分流操作了，这就是conntrack模块所做的，即不管系统内是否有过滤条件，每一个包都要进行入流操作。因此判断流行为可以极大的提高系统性能，举例来说，一个网络行为流可能包含多个数据包，少则几个，多则几百个，之前的包过滤系统需要查看所有的包，而基于流的过滤系统一般只需要检查第一个数据包，相比包过滤，可以提升几倍到几百倍的效率。

发明内容

本发明针对目前包过滤系统的不足，提供一种Linux基于流的过滤系统的设计方法，改善系统的性能。

Linux基于流的过滤系统的设计方法，特点是：在流的定义中增加一个属性“流行为”，表示该流是需要被丢弃、接受，还是需要进行包过滤；在流的定义中增加一个属性“过滤策略是否修改标志”，表示在处理该流时过滤策略是否修改，如果修改需要响应；提炼过滤策略中的相同部分，如果不需要对流进行应用层协议进行过滤，则不需要进行协议分析判断该报文的行为，被丢弃的包不需要进行协议分析；如果需要应用层的过滤，则在协议分析之后进行流过滤；因此根据过滤策略的不同，流过滤应用于不同的地方；当过滤条件改变时，已经存在的流进行处理，即不根据该流行为进行判断。

进一步地，上述的Linux基于流的过滤系统的设计方法，具体包括以下步骤——

①输入为需要过滤的报文，首先获取对应的流(linux conntrack)，如果获取不到则接受报文不处理，否则按流标志处理，如果标志等于全局标志，表示该流的生命周期内过滤策略没有修改，直接取流行为，不需要进行包过滤；如果标志不等于全局标志，则设置流行为为“继续过滤”，下一步对该报文进行包过滤，并将流标志置为全局标志；

②当需要进行包过滤时，获取包过滤匹配的结果；当不需要进行包过滤时，直接取流行为；如果为接受，则设置流行为为“接受”并接受该包，如果为丢弃，则置流行为为“丢弃”并丢弃该包，如果没有匹配到，即查看应用协议是否需要深度分析，是则接受报文且不作任何操作，否则获取全局默认动作，并按该动作置上流行为，同时决定报文接受还是丢弃。

本发明技术方案突出的实质性特点和显著的进步主要体现在：

1)提出流过滤的思想，极大的提高了过滤模块的性能；

2)响应过滤策略的实时修改，修改之后的过滤策略立即生效；

3)提出组处理的方式，将有相同行为的包统一处理，以替换原先需要的每个包的处理；比如在路由转发时，相同流的出入设备都是相同的，读者可以通过该发明提出基于流的路由转发方案，以省去每个包的路由过程。

附图说明

下面结合附图对本发明技术方案作进一步说明：

图1：流过滤流程示意图；

图2：包过滤流程示意图；

图3：过滤策略修改流程示意图。

具体实施方式