[发明专利]数据包过滤规则配置方法、装置及系统

说明书

本发明提供了一种数据包过滤规则配置方法、装置及系统，其中，该方法包括：发送携带有预定标识的配置请求至服务端，其中，预定标识包括以下至少之一：数据包过滤规则的请求方的标识、数据包过滤规则的标识；接收服务端根据所述配置请求下发的数据包过滤规则；加载数据包过滤规则至请求方的数据包过滤驱动程序。通过本发明的方法，解决了相关技术中数据包过滤规则的配置导致操作复杂的问题，简化了数据包过滤规则的配置过程，提高了对网络连接控制的灵活性。

技术领域

本发明涉及通信领域，具体而言，涉及一种数据包过滤规则配置方法、装置及系统。

背景技术

现代互联网中网络攻击、病毒和钓鱼网站等各种威胁终端安全的手段肆虐接入互联网的终端设备，网络数据包技术作为防火墙的基本技术，对终端的安全联网起到非常重要的作用，通过设置从英特网进入终端的数据包或者从终端进入英特网的数据包的拦截或允许，使不符合规则的数据包不能通过。

传统的数据包过滤技术一般在终端的防火墙中进行控制，由终端使用者设置相应的过滤规则，这种方式不便于对于终端过滤规则的集中管理，对网络接入的可控性不强，不适用于终端集中管理的场景。一旦某一台终端规则设置不合理，导致受到网络的攻击以及病毒的感染而危及到网络内的其他终端。

也有一些包过滤技术采用了C/S的架构，由服务器对客户端的包过滤规则进行了相应的参数配置，由客户端在初始阶段与服务器建立连接，然后由服务器将相应的配置参数发给客户端，客户端随即启动包过滤流程。在一定程度上解决了统一管理客户端的功能，但是这种方式容易在需要对终端的网络接入进行差异化控制的应用场景中存在不足，同时如果需要实时的修改过滤规则，则需要断开连接，重新进行连接，参数配置以及启动过滤。在一定程度上增加了操作的复杂性。

针对相关技术中数据包过滤规则的配置导致操作复杂的问题，目前尚未提出有效的解决方案。

发明内容

本发明提供了一种数据包过滤规则配置方法、装置及系统，以至少解决数据包过滤规则的配置导致操作复杂的问题。

根据本发明的一个方面，提供了一种数据包过滤规则配置方法，包括：发送携带有预定标识的配置请求至服务端，其中，所述预定标识包括以下至少之一：数据包过滤规则的请求方的标识、所述数据包过滤规则的标识；接收所述服务端根据所述配置请求下发的所述数据包过滤规则；加载所述数据包过滤规则至所述请求方的数据包过滤驱动程序。

优选地，在所述服务端中保存有所述数据包过滤规则的请求方的标识与所述数据包过滤规则的对应关系，和/或，保存有所述数据包过滤规则的标识与所述数据包过滤规则的对应关系。

优选地，在加载所述数据包过滤规则至所述请求方的所述数据包过滤驱动程序之后，所述方法还包括：通过所述数据包过滤驱动程序，过滤所述请求方与网络进行通信的数据包；发送所述数据包的拦截日志至所述服务端，其中，所述拦截日志是根据所述数据包过滤规则拦截的数据包的信息生成的。

优选地，过滤所述请求方与网络进行通信的所述数据包包括：在所述数据包为传输层数据包的情况下，通过传输驱动程序接口层过滤所述数据包；在所述数据包为网络层和/或数据链路层的数据包的情况下，通过中间层驱动程序过滤所述数据包。

优选地，在所述数据包过滤规则为基于应用程序控制的数据包过滤规则的情况下，过滤所述请求方与网络通信的数据包包括：根据所述数据包过滤规则和所述数据包中携带的应用程序标识，分别过滤所述请求方的一个或多个应用程序与网络进行通信的数据包。

优选地，接收所述服务端根据所述配置请求下发的所述数据包过滤规则还包括：接收所述服务端根据所述配置请求下发的更新的所述数据包过滤规则，其中，所述更新的所述数据包过滤规则包括以下至少之一：所述服务端根据所述请求方发送的拦截日志和预定算法确定的数据包过滤规则，和/或所述服务端根据用户的输入确定的数据包过滤规则。