[发明专利]流过滤防火墙无效
| 申请号: | 200310119186.4 | 申请日: | 2003-12-23 |
| 公开(公告)号: | CN1555170A | 公开(公告)日: | 2004-12-15 |
| 发明(设计)人: | 曹斌 | 申请(专利权)人: | 沈阳东软软件股份有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 沈阳东大专利代理有限公司 | 代理人: | 朱光林 |
| 地址: | 110179辽宁省沈阳市*** | 国省代码: | 辽宁;21 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明涉及一种计算机网络防火墙,其基本的控制方法是:以状态包过滤的形态实现对应用层的保护,通过内嵌的专门实现的TCP协议栈,在状态检测包过滤的基础上实现了透明的应用信息过滤机制,从防火墙工作在链路层或IP层,在规则允许下,两端可以直接的访问,但是对于任何一个被规则允许的访问,数据是以“流”的方式从一个会话流向另一个会话,由于防火墙的应用层策略位于流的中间,防火墙的标准设计,具备完善的身份鉴别、访问控制和审计能力,同时,系统提供了丰富的GUI方式的管理和监控工具,能够方便的对系统进行安全策略配置、用户管理、实时监控、审计查询、流量管理等操作,为保证系统的安全运行,系统能够有效的防范多种DOS的攻击手段,并对攻击事件进行报警。 | ||
| 搜索关键词: | 流过 防火墙 | ||
【主权项】:
1、一种流过滤防火墙,其特征在于流过滤防火墙实现的方法由三部分组成:1)状态包过滤在链路层或者是IP层实现状态包过滤,防火墙从数据包中提取连接状态信息(TCP的连接状态信息,有:TCP_SYN、TCP_ACK,以及UDP和ICMP的模拟连接状态信息),并把这些信息放到动态连接表中动态维护,当后续数据包来时,将后续数据包及其状态信息和其前一时刻的数据包及其状态信息进行比较,防火墙就能做出决策:后续的数据包是否允许通过。2)专用的TCP/UDP协议栈这个协议栈是个标准的TCP/UDP协议的实现,依据TCP/UDP协议的定义对出入防火墙的数据包进行了完整的重组,重组后的数据流交给应用层过滤逻辑进行过滤。3)应用层安全策略根据不同的应用层协议,按照用户制定的应用层安全策略对应用层数据进行过滤,由于防火墙的应用层策略位于数据流的中间,因此可以在任何时候代替服务器或客户端参与应用层的会话,从而起到了与应用代理防火墙相同的控制能力。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于沈阳东软软件股份有限公司,未经沈阳东软软件股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/200310119186.4/,转载请声明来源钻瓜专利网。
