[发明专利]防火墙系统及其处理方法

说明书

技术领域

本发明涉及信息安全技术，特别是指一种防火墙系统及其处理方法。

背景技术

对于智能电视来说，除了具有电视节目的接收功能外，还可以连接互联网，以及安装各种应用程序的功能。为了避免网络上的非法信息，如病毒数据、黑客信息、垃圾信息等被下载或安装，也需要为电视提供防火墙，以对非法或可疑的信息进行拦截，以及对用户执行的具有风险的程序进行拦截。

目前，对于计算机来说，由于其内置的存储器容量大、CPU性能高，因此，其防火墙的部署方式均是：在该终端上安装相应的防火墙，以及相应的庞大的规则库，并定期的通过互联网上的防火墙软件服务商提供的服务器下载并更新规则库，以保证防火墙的更新。

而对于电视、手机、PDA等用户终端来说，其内置的存储器容量较小，CPU性能远远低于计算机上使用的CPU的性能，因此，在诸如电视等上述装置上安装防火墙和庞大的规则库，会大大降低这些装置的运行性能，甚至影响用户的使用。即使目前存在手机上的防火墙软件，其也是功能简单、规则库非常小，并不能达到真正意义上的防护能力。

发明内容

有鉴于此，本发明的主要目的在于提供一种防火墙及其处理方法，以适用于电视、手机、PDA等难以安装完整的防火墙规则库的用户终端。

本发明提供的一种防火墙系统，包括：

设置在用户终端的防火墙引擎模块1，用于捕获用户终端接收到的来自因特网的数据包或用户执行的应用程序的进程，并根据其具有的防火墙的部分规则判断是拦截或放行，并将非确定的数据包或应用程序进程的信息上传至安全平台服务器，根据安全平台服务器返回的结果执行拦截或放行；

设置在安全平台服务器的防火墙引擎模块3，用于根据其具有的防火墙的全部规则判断用户终端上传的非确定的数据包或应用程序进程信息是拦截或放行，并将判断结果返回给用户终端。

由上，电视、手机、PDA等用户终端不必安装完整的防火墙的规则库，由安全平台服务器侧具有完整的规则库。

其中，所述设置在用户终端的防火墙引擎模块1包括：

子规则库13，存储有所述防火墙的部分规则；

捕获子模块11，用于捕获所述数据包或所述应用程序进程；

特征分析子模块12，用于对所捕获的数据包、应用程序进程的信息，根据子规则库13中的规则进行分析和判断，确定是拦截或放行，并将非确定的数据包或应用程序进程的信息上传至安全平台服务器，根据安全平台服务器返回的结果作为其判断结果执行拦截或放行。

由上，用户终端的防火墙引擎模块上设置子规则库，仅存储有部分规则，可以实现基本、常用的防火墙功能，实现对数据包、应用进程的快速判断。

其中，所述设置在安全平台服务器的防火墙引擎模块3包括：

规则库32，存储有所述防火墙的全部规则；

特征分析子模块31，用于接收用户终端上传的数据包或应用程序进程的信息，并根据规则库32中的规则进行分析和判断，确定是拦截或放行，并将结果返回给用户终端。

由上，安全平台服务器的防火墙引擎模块设置完整的防火墙规则库，在用户终端不能判断的情况下，由安全平台服务器使用其完整的防火墙规则库对数据包或应用程序的进程进行判断，保证判断的全面性。

可选的，用户终端还设置有配置信息上传模块2，用于将用户终端的硬件和内置软件的信息上传至安全平台服务器；

所述安全平台服务器还设置有子规则库生成模块4，用于根据用户终端上传的所述信息为该用户终端创建所述子规则库13。

由上，客户端的子规则库是由安全平台服务器根据用户终端的配置信息所创建，实现了不同的用户终端具有与其性能、软件所匹配的子规则库。

本发明提供的防火墙的处理方法，包括步骤：

A、设置在用户终端的防火墙引擎模块捕获用户终端接收到的来自因特网的数据包或用户执行的应用程序的进程，并根据其子规则库分析，以判断是拦截或放行，不能根据子规则库确定时，将数据包或应用程序进程的信息上传至安全平台服务器；

B、设置在安全平台服务器的防火墙引擎模块接收所述数据包或应用程序进程的信息，并根据其规则库分析，以判断是拦截或放行，并将确定的结果返回给用户终端；所述规则库规则数量大于所述子规则库的规则数量

C、设置在用户终端的防火墙引擎模块根据接收的所述结果对所述数据包或应用程序进程拦截或放行。

可选的，步骤A前还包括：

将用户终端的配置信息上传至安全平台服务器；