[发明专利]用于包过滤的基于SOC的装置及其包过滤方法

权利要求书

1.一种包括芯片和驱动器的装置，所述芯片包括防火墙引擎，

其中，驱动器识别将被发送的包的主进程，并仅在所述主进程被允许将所述包发送到外部装置的情况下将所述包发送到芯片，

其中，芯片通过将用于包过滤的规则应用于从驱动器接收的包来执行过滤。

2.如权利要求1所述的装置，还包括：存储单元，存储针对每个进程的规则DB，所述针对每个进程的规则DB根据进程将包定义为被允许或被阻止，

其中，驱动器获得包括在将被发送的包中的主进程ID，并通过参照针对每个进程的规则DB确定具有所述主进程ID的进程是否被允许将包发送到外部装置，并且仅在所述进程被允许发送包的情况下将所述包发送到芯片。

3.如权利要求1所述的装置，其中，如果将被发送的包的主进程不被允许将包发送到外部装置，则驱动器不将包发送到芯片。

4.如权利要求3所述的装置，其中，如果将被发送的包的主进程不被允许将包发送到外部装置，则驱动器停止执行所述主进程。

5.如权利要求1所述的装置，其中，所述芯片还包括网络接口卡，并通过将所述规则应用于通过网络接口卡接收的包来将所述包发送到驱动器，或者不将所述包发送到驱动器。

6.如权利要求5所述的装置，其中，驱动器识别从芯片接收的包的主进程，并仅在从芯片接收的包的主进程被允许从外部装置接收包的情况下将所述包发送到所述主进程。

7.如权利要求1所述的装置，还包括：防火墙用户接口，提供包括用于从用户接收IP、协议和端口中的至少一个的信息的区域的规则设置屏幕，

其中，防火墙用户接口将用户通过规则设置屏幕输入的规则发送到芯片，并且所述芯片使用从防火墙用户接口接收的规则来执行包过滤。

8.如权利要求7所述的装置，其中，规则设置屏幕包括配置帮助器，

其中，所述配置帮助器提供网络应用的列表，并且如果用户从所述列表中包括的网络应用中选择了至少一个网络应用，则所述配置帮助器将用于执行选择的网络应用所必要的IP、协议和端口中的至少一个输入到所述区域。

9.如权利要求7所述的装置，其中，规则设置屏幕包括用于输入针对每个进程的规则的区域，所述针对每个进程的规则根据进程将包定义为被允许或被阻止。

10.一种安装有片上系统(SOC)并包括网络进程的装置的包过滤方法，所述包过滤方法包括：

由所述装置识别将被发送的包的主进程，并仅在将被发送的包的主进程被允许将所述包发送到外部装置的情况下将所述包发送到SOC；

由SOC通过应用用于包过滤的规则来对从所述装置发送的包进行过滤。

11.如权利要求10所述的包过滤方法，其中，所述装置存储针对每个进程的规则DB，所述针对每个进程的规则DB根据进程将包定义为被允许或被阻止，

其中，所述装置获得包括在包中的主进程ID，并通过参照针对每个进程的规则DB确定具有所述主进程ID的进程是否被允许将包发送到外部装置，并且仅在所述进程被允许将所述包发送到外部装置的情况下将所述包发送到SOC。

12.如权利要求10所述的包过滤方法，其中，如果将被发送的包的主进程不被允许将包发送到外部装置，则所述装置不将包发送到SOC。

13.如权利要求12所述的包过滤方法，其中，如果将被发送的包的主进程不被允许将包发送到外部装置，则所述装置停止执行所述主进程。

14.如权利要求10所述的包过滤方法，其中，所述SOC还包括网络接口卡，并且所述SOC通过将规则应用于通过网络接口卡接收的包来执行包过滤。

15.如权利要求14所述的包过滤方法，其中，所述装置识别从SOC接收的包的主进程，并仅在从SOC接收的包的主进程被允许接收包的情况下将所述包发送到所述主进程。

16.如权利要求10所述的包过滤方法，还包括：

由所述装置提供规则设置屏幕，所述规则设置屏幕包括用于从用户接收IP、协议和端口中的至少一个的信息的区域，

由所述装置将用户通过规则设置屏幕输入的规则发送到SOC，并且由SOC使用从所述装置发送的规则来对包进行过滤。