[发明专利]一种基于规则描述语言的动态配置过滤规则的方法

说明书

本发明涉及一种基于规则描述语言的动态配置过滤规则的方法，所述方法主要包括：建立规则描述语言,建立会话连接，确定会话连接状态，进行过滤字段，匹配规则字段，赋予操作语句表达式，会话连接的操作动作，定义操作运算符，过滤字段字符的转换操作，进行动态过滤等。本发明所述方法的优越效果在于：基于规则描述语言动态过滤规则广泛适用于防火墙、网关、网络通讯处理机、各类带有网络接口的计算设备以及工业用的控制器等的有效过滤保护。

技术领域

本发明涉及网络通讯设备的安全防护方法，更详细地说，涉及防火墙、网关、网络通讯处理机以及各类带有网络接口的计算设备、工业用的控制器、PLC、RTU中应用的网络过滤保护方法。

背景技术

在现有的防火墙、网关、网络通讯设备以及各类带有网络接口的计算设备，如计算机、工业用的控制器、PLC、RTU的过滤技术中，防火墙得到快速发展，典型的防火墙是用于对网络边界的保护或用于对于不同的安全域之间的网络通讯实施安全规则的过滤。

在现有技术中广泛应用的包过滤型的防火墙，是依据安全保护的原则，根据已知的网络帧的结构特征，如IP源地址、IP目的地址、协议类型、目的端口号(有时还包括MAC地址，源端口号)设置是否放行还是禁止的过滤规则，对网络帧进行匹配，为了保障安全性，有时还要对网络包中的有效数据内容进行分析匹配过滤。

现有的防火墙是根据已知的网络结构和可预见的网络数据内容设计过滤规则程序，开发成防火墙产品，在网络现场应用时根据用户的安全要求对过滤规则进行配置，然后下装到防火墙过滤模块中，启动防火墙进行防护过滤。

如果在防火墙应用中，出现了新的结构特征或对网络数据内容有了更多的过滤要求，而现有的防火墙设计没有能覆盖这些要求时，则需对防火墙软件进行修改，再升级更新防火墙，配置过滤规则后，实施新的网络安全保护。

在现有专利技术中，如专利公开号CN104519065，发明名称为一种支持过滤ModbusTCP协议的工控防火墙实现方法，所述方法包括如下步骤：

1)将防火墙设置为桥接模式，将Modbus TCP主站和Modbus TCP从站分别设置于防火墙不同的以太网接口上；

2)防火墙包过滤模块对所有进入防火墙的数据包进行系统安全检查；

3)管理员自定义数据包过滤规则，当数据包满足自定义数据包过滤规则时允许通过，否则将数据包丢弃；

4)防火墙包过滤模块对数据包是否为Modbus TCP协议进行检测，当数据包为Modbus TCP协议时允许通过，否则将数据包丢弃；

5)防火墙通过Modbus TCP模块进行Modbus TCP协议过滤。

上述专利申请在使用上具有局限性。

发明内容

为了克服现有技术中的缺陷，本发明提供的一种基于规则描述语言的动态配置过滤规则的方法。本发明所述方法的具体步骤如下:

步骤一、建立规则描述语言

1、建立会话连接

建立会话连接正向与会话连接逆向，即由客户机向服务器发出连接请求的方向，由关键字forward link(前向链路)整数表示，从0开始，0，1，2……；会话连接逆向，即由服务器向客户机做出响应的方向；由关键字backrward link(后向链路)整数表示，从0开始，0，1，2……；

其中，同一个会话连接中，会话连接正向和会话连接逆向的整数须相等。

2、确定会话连接状态

所述一个会话连接由两个或两个以上的状态组成，由关键字stat整数表示，整数从0开始，按序增加为0，1，2……；会话创建时的状态为会话开始状态，会话结束时为会话结束状态，