[发明专利]一种网络过滤服务系统及方法

说明书

本发明提出了一种网络过滤服务系统及方法，所述系统包括：终端设备、网关、过滤服务器和应用服务器；网关预置由过滤服务器推送的基于源地址的过滤配置信息，并判断接收的数据包源地址是否落入过滤配置信息中；过滤服务器用于接收由网关转发的数据包，识别出数据包的源地址，并基于预置的源地址过滤规则对数据包进行过滤；应用服务器基于过滤后的数据包进行相关业务处理。本发明通过在网关中预置由过滤服务器推送的基于源地址的过滤配置信息，并根据过滤配置信息对接收到指定源地址的数据包不做地址转化，以便于过滤服务器能够基于源地址的过滤规则对该数据包进行过滤，从而解决了传统网关与基于源地址的过滤器之间无法适配的问题。

技术领域

本发明涉及网络通信技术领域，尤其涉及一种网络过滤服务系统及方法。

背景技术

互联网满足了人们几千年来苦苦追求的“快”和“没有限制”的突破时空的至高境界，实现人们的自由之梦，他契合了人的原始本性，达到的“自由”程度超越了以前人们的想象。互联网的开放让人们前所未有地享受到不受约束获得各种信息发布言论的自由，但同时也带来了许多信息安全问题。

目前，为了解决信息安全的问题，通常在网络边界设置过滤器来进行信息过滤，具体可以根据分组包头源地址、目的地址和端口号、协议类型等标志来确定是否允许数据包通过，只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包则被从数据流中丢弃。然而，当企业内网中的通信设备与外网的通信设备进行通信时，需要由网关将源IP地址转换成与目的IP地址相对应的形式，才能实现正常通信。

例如外网的一通信设备在外网中的IP地址为192.168.14.25，但内网中的通信设备则不会存在这样的IP地址，因此外网的通信设备无法直接采用其外网IP地址与内网的通信设备进行直接通信。外网的通信设备只有通过网关将源外网地址（即192.168.14.25）转换为内网适用的IP地址形式（如11.33.14.25）才能与内网的通信设备进行通信。如此一来，则会导致过滤器无法正常识别源IP地址，进而无法根据基于源IP地址的过滤规则来确定是否允许对应的数据包通过。

发明内容

鉴于上述内容，有必要提供一种网络过滤服务系统及方法，其能够基于源地址的过滤规则对数据包进行有效过滤。

本发明第一方面提出一种网络过滤服务系统，所述系统包括：终端设备、网关、过滤服务器和应用服务器；所述终端设备运行在外网环境中，其通过所述网关访问内网中的应用服务器；

所述终端设备，用于产生访问所述应用服务器的数据包并将所述数据包传送给所述网关；

所述网关，预置由所述过滤服务器推送的基于源地址的过滤配置信息，在接收到所述终端设备的数据包后，判断所述数据包的源地址是否落入所述过滤配置信息中，若是，则不对所述数据包的源地址进行转换；

所述过滤服务器，用于接收由所述网关转发的数据包，识别出所述数据包的源地址，并基于预置的源地址过滤规则对所述数据包的内容进行过滤处理；

所述应用服务器，用于接收由所述过滤服务器过滤后的数据包，并基于过滤后的数据包进行相关业务处理。

进一步的，所述网关判断所述数据包的源地址未落入所述过滤配置信息中，则将所述数据包的源地址转化为与内网适配的地址形式。

进一步的，所述过滤服务器预存有源地址过滤规则的映射表，在所述映射表中包括源地址列和过滤规则列，所述源地址列中的源地址与所述过滤规则列中的过滤规则一一对应。

进一步的，所述映射表支持更新功能，当所述映射表中的源地址被更新时，则所述过滤服务器基于更新后的源地址向所述网关重新推送过滤配置信息，实现所述过滤服务器中的映射表与所述网关中的过滤配置信息之间的源地址信息同步。