[发明专利]防火墙系统及其处理方法

权利要求书

1.一种防火墙系统，其特征在于，包括：

设置在用户终端的防火墙引擎模块(1)，用于捕获用户终端接收到的来自因特网的数据包或用户执行的应用程序的进程，并根据其具有的防火墙的部分规则判断是拦截或放行，并将非确定的数据包或应用程序进程的信息上传至安全平台服务器，根据安全平台服务器返回的结果执行拦截或放行；

设置在安全平台服务器的防火墙引擎模块(3)，用于根据其具有的防火墙的全部规则判断用户终端上传的非确定的数据包或应用程序进程信息是拦截或放行，并将判断结果返回给用户终端。

2.根据权利要求1所述的系统，其特征在于，所述设置在用户终端的防火墙引擎模块(1)包括：

子规则库(13)，存储有所述防火墙的部分规则；

捕获子模块(11)，用于捕获所述数据包或所述应用程序进程；

特征分析子模块(12)，用于对所捕获的数据包、应用程序进程的信息，根据子规则库(13)中的规则进行分析和判断，确定是拦截或放行，并将非确定的数据包或应用程序进程的信息上传至安全平台服务器，根据安全平台服务器返回的结果作为其判断结果执行拦截或放行。

3.根据权利要求1或2所述的系统，其特征在于，所述设置在安全平台服务器的防火墙引擎模块(3)包括：

规则库(32)，存储有所述防火墙的全部规则；

特征分析子模块(31)，用于接收用户终端上传的数据包或应用程序进程的信息，并根据规则库(32)中的规则进行分析和判断，确定是拦截或放行，并将结果返回给用户终端。

4.根据权利要求3所述的系统，其特征在于，

用户终端还设置有配置信息上传模块(2)，用于将用户终端的硬件和内置软件的信息上传至安全平台服务器；

所述安全平台服务器还设置有子规则库生成模块(4)，用于根据用户终端上传的所述信息为该用户终端创建所述子规则库(13)。

5.一种防火墙的处理方法，其特征在于，包括步骤：

A、设置在用户终端的防火墙引擎模块捕获用户终端接收到的来自因特网的数据包或用户执行的应用程序的进程，并根据其子规则库分析，以判断是拦截或放行，不能根据子规则库确定时，将数据包或应用程序进程的信息上传至安全平台服务器；

B、设置在安全平台服务器的防火墙引擎模块接收所述数据包或应用程序进程的信息，并根据其规则库分析，以判断是拦截或放行，并将确定的结果返回给用户终端；所述规则库规则数量大于所述子规则库的规则数量

C、设置在用户终端的防火墙引擎模块根据接收的所述结果对所述数据包或应用程序进程拦截或放行。

6.根据权利要求5所述的方法，其特征在于，步骤A前还包括：

将用户终端的配置信息上传至安全平台服务器；

安全平台服务器根据所述配置信息为该用户终端创建所述子规则库并传输给该用户终端。

7.根据权利要求6所述的方法，其特征在于，所述配置信息包括硬件配置的信息、内置软件的信息；

所述创建所述子规则库的步骤包括：

确定用户终端硬件配置的性能，根据相应性能值创建相应复杂度的子规则库；

生成与所述内置软件信息中的软件对应的规则，写入所述子规则库。

8.根据权利要求7所述的方法，其特征在于，创建的所述相应复杂的子规则库包括：

第一复杂度：包括对进程名字分析、程序MD5值分析、网络基本信息分析的规则；

第二复杂度：包括对IO操作的信息分析、资源消耗信息分析的规则；

第三复杂度：包括对数据包内容分析、数据关键字分析、网络协议特征分析的规则。

9.根据权利要求5所述的方法，其特征在于，步骤C还包括：

设置在用户终端侧防火墙引擎模块根据接收的所述结果所对应的规则加入其子规则库。

10.根据权利要求9所述的方法，其特征在于，还包括：

设置在用户终端侧防火墙引擎模块对其子规则库中一定时期未被使用的规则进行删除。