[发明专利]Linux系统中数据的处理方法和装置

说明书

本申请公开了一种Linux系统中数据的处理方法和装置。所述方法包括：在检测到Linux系统中有等待传输的数据包后，获取数据包在Linux系统中所需调用的进程的标识信息；根据所述进程的标识信息，获取所述进程的数据包过滤策略；根据所述数据包过滤策略，对所述数据包进行处理。

技术领域

本申请涉及信息处理领域，尤指一种Linux系统中数据的处理方法和装置。

背景技术

防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的边界上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关(SecurityGateway)，从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。

在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。

主机防火墙可以有效的阻止木马/病毒程序连接外部主机，从而防止信息数据的泄露，或者被黑客利用对互联网上的机器进行DDOS攻击。在主机安全Linux系统后，如何提升Linux系统的主机的安全性是亟待解决的问题。

发明内容

为了解决上述技术问题，本申请提供了一种Linux系统中数据的处理方法和装置，能够实现基于进程的网络访问控制。

为了达到本申请目的，本申请提供了一种Linux系统中数据的处理方法，包括：

在检测到Linux系统中有等待传输的数据包后，获取数据包在Linux系统中所需调用的进程的标识信息；

根据所述进程的标识信息，获取所述进程的数据包过滤策略；

根据所述数据包过滤策略，对所述数据包进行处理。

在一个示例性实施例中，所述根据所述数据包过滤策略，对所述数据包进行处理，包括：

判断所述数据包的特征信息是否符合所述数据包过滤策略；

如果所述数据包的特征符合所述数据包的过滤策略，则控制允许所述进程传输所述数据包；否则，控制所述进程不传输所述数据包；

其中，所述特征信息包括所述数据包的源地址、目的地址、源端口、目的端口和传输协议中的至少一个。

在一个示例性实施例中，所述判断所述数据包的特征信息是否符合所述数据包过滤策略，包括：

获取所述数据包的进程的名称和套接字；

根据所述进行的名称和套接字，创建对所述数据包进行报文过滤的处理任务；

调用所述Linux系统中对应的处理模块对创建的处理任务进行响应，完成对所述数据包的报文过滤操作。

在一个示例性实施例中，调用所述Linux系统中对应的处理模块对创建的处理任务进行响应，完成对所述数据包的报文过滤操作，包括：

如果所述数据包的数据方向为外发数据，调用所述Linux系统中netfilter子系统对创建的处理任务进行响应，完成对所述数据包的报文过滤操作；