[发明专利]一种无IP防火墙的安全规则配置方法

权利要求书

1.一种无IP防火墙的安全规则配置方法，其特征在于，包括以下步骤：

(1)、部署无IP防火墙

将防火墙直接串联在被保护设备前方，使所有发送到被保护设备的数据包都通过无IP防火墙；

(2)、使用防火墙管理系统探测网络中的所有无IP防火墙

防火墙管理系统向网络中已知的被保护设备发送特殊的探测数据包，探测数据包会经过被保护设备前方的无IP防火墙，探测数据包在经过防火墙时会被截获、识别、处理；

(2.1)、防火墙管理系统发送探测数据包

防火墙管理系统向网络中已知其IP地址的被保护设备发送探测数据包，若被保护设备前部署了无IP防火墙，那该探测数据包通过无IP防火墙，无IP防火墙产生响应并回复防火墙管理系统；否则探测数据包失效；

(2.2)、无IP防火墙识别探测数据包

无IP防火墙先识别数据包类型，若检测是探测包，就交给探测包处理模块；当探测数据包经过无IP防火墙时，无IP防火墙先检测该探测数据包的目的端口，若目的端口符合规则，再继续检测应用层协议头，若无IP防火墙检测到应用层协议头，则进入步骤(2.3)；

(2.3)、无IP防火墙处理探测数据包

首先解析收到的探测数据包，提取探测数据包中防火墙管理系统的IP地址和MAC地址并保存到无IP防火墙本地；再将防火墙MAC地址与被保护设备IP地址作为探测结果；

(2.4)、无IP防火墙上传探测结果信息至防火墙管理系统

无IP防火墙读取步骤(2.3)提取的防火墙管理系统IP地址与MAC地址，并作为目的IP地址与目的MAC地址，同时将探测结果作为数据包内容，并加上自定义应用层协议头，进行数据包封装，标记为探测结果数据包再上传至防火墙管理系统，进入步骤(2.5)；

(2.5)、防火墙管理系统处理探测结果数据包

防火墙管理系统解析探测结果数据包，读取探测结果数据包中的无IP防火墙MAC地址与被保护设备的IP地址，确定出无IP防火墙具体保护设备，并将该无IP防火墙MAC地址与被保护设备的IP地址保存在防火墙管理系统；

(3)防火墙管理系统对网络中的无IP防火墙进行规则配置

(3.1)防火墙管理系统发送配置包

防火墙管理系统找到所有可以保护的设备IP，接着在防火墙管理系统中编辑规则配置信息，再将目的IP地址设置为被保护设备的IP地址，增加自定义应用层协议头，并连同规则配置信息一起封装成规则配置数据包；

(3.2)、无IP防火墙识别规则配置数据包

无IP防火墙先识别数据包类型，若检测是规则配置数据包，就交给配置包处理模块；当规则配置数据包经过无IP防火墙时，无IP防火墙检测规则配置数据包的目的端口，若目的端口符合规则，再继续检测应用层协议头，若无IP防火墙检测到应用层协议头，则进入步骤(3.3)；

(3.3)、无IP防火墙处理规则配置数据包

无IP防火墙对规则配置数据包进行解析，读取出规则配置信息，再根据规则配置信息生成防火墙安全规则，最后将安全规则的日志信息作为配置结果；

(3.4)、无IP防火墙上传配置结果信息至防火墙管理系统

无IP防火墙读取步骤(2.3)提取的防火墙管理系统IP地址与MAC地址，并作为目的IP地址与目的MAC地址，同时将配置结果作为数据包内容，并加上自定义应用层协议头，进行数据包封装，标记为配置结果数据包再上传至防火墙管理系统，进入步骤(3.5)；

(3.5)、防火墙管理系统处理配置结果数据包

防火墙管理系统收到配置结果数据包后，确认安全规则配置成功，并解析配置结果信息保存到数据库。

2.根据权利要求1所述的一种无IP防火墙的安全规则配置方法，其特征在于，所述的探测数据包包括：1)、特殊的目的端口；2)、自定义的应用层协议头。