[发明专利]一种应用层防火墙及其处理方法

说明书

本发明公开了一种应用层防火墙的处理方法，检测网络侧发送的数据包是否包含应用层数据；若是，触发应用层中的第一应用逻辑功能和第二应用逻辑功能，根据所述第一应用逻辑功能处理所述数据包中的非应用层数据，并根据所述第二应用逻辑功能处理所述应用层数据；若否，触发应用层中的第一应用逻辑功能，根据所述第一应用逻辑功能处理所述数据包中的非应用层数据。本发明还同时公开了一种应用层防火墙。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种应用层防火墙及其处理方法。

背景技术

防火墙(Firewall)，也称防护墙，是由Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)，防火墙是一种位于内部网络与外部网络之间的网络安全系统。依照特定的规则，防火墙放行符合规则的传输信息，禁止不符合规则的传输信息通过。

传输控制协议洪水(Transmission Control Protocol Flood，TCP Flood)是一种利用传输控制协议(Transmission Control Protocol，TCP)/因特网互联协议(InternetProtocol，IP)的缺陷发起的攻击，其实质上是一种无意义的TCP包，通常都是同步序号(Synchronous，SYN)、确认(Acknowledgement，ACK)、结束(Finish，FIN)和复位(Reset，RST)这类的包，即TCP Flood不带有与应用层相关的数据信息，因此，TCP Flood在通过应用层防火墙时，无需对TCPFlood进行处理。然而，TCP Flood在通过应用层防火墙时，却引起应用层防火墙触发某些的功能，如：应用识别(Deep Packet Inspection，DPI)功能，即当到达应用层防火墙时，TCP Flood虽然不包含应用层数据，但依旧会触发应用识别功能，从而使应用层防火墙进行针对应用识别的初始化和数据创建的操作，从而增大应用层防火墙的开销。

由于增大应用层防火墙的开销，会影响其防御性能，因此，亟需寻找一种降低应用层防火墙开销的方法。

发明内容

有鉴于此，本发明实施例期望提供一种应用层防火墙及其处理方法，能够降低应用层防火墙的开销。

为达到上述目的，本发明的技术方案是这样实现的：

本发明实施例提供了一种应用层防火墙的处理方法，所述方法包括：

检测网络侧发送的数据包是否包含应用层数据；

若是，触发应用层中的第一应用逻辑功能和第二应用逻辑功能，根据所述第一应用逻辑功能处理所述数据包中的非应用层数据，并根据所述第二应用逻辑功能处理所述应用层数据；

若否，触发应用层中的第一应用逻辑功能，根据所述第一应用逻辑功能处理所述数据包中的非应用层数据。

上述方案中，所述第一应用逻辑功能包括：端口识别功能和检测功能；

所述根据所述第一应用逻辑功能处理所述数据包中的非应用层数据，包括：

根据所述端口识别功能识别非应用层数据中传输控制协议TCP首部的端口号，以根据所述端口号识别所述数据包的数据类型；

或者，根据所述检测功能检测目标可选字段信息，所述目标可选字段信息为非应用层数据中的TCP首部或因特网互联协议IP首部的可选字段信息。

上述方案中，所述根据所述第二应用逻辑功能处理所述应用层数据，包括：

获取所述应用层数据的特征信息，查找预设特征库中与所述特征信息匹配的预设特征信息，将所查找到的预设特征信息对应的应用类型确定为所述应用层数据的应用类型；

或者，获取所述应用层数据的特征信息，确定所述特征信息与预设防御库中的预设防御信息匹配时，对所述应用层数据进行入侵防御处理。