[发明专利]一种面向网络隐藏的防火墙设计方法及系统

说明书

本发明公开了一种面向网络隐藏的防火墙设计方法及系统。对于需要网络隐藏功能的环境（譬如软件定义边界）中，首先，注册中心对通信双方进行前期的身份认证与要素告知、时间同步，用于指导通信的进一步开展；接着，注册中心在需在网络流量客户端和服务端部署端口协商模块，降低了诸如流量嗅探、端口攻击等网络攻击风险；最后，本系统将防火墙管理规则的数据结构转换为可扩展的计数式布隆过滤器，实现了报文的高速处理，解决了原有防火墙在大量规则操作下因为效率过低导致系统失效的问题，系统具有安全性高，数据处理高效的优点。

技术领域

本发明属于网络安全技术领域，是一种适用于大流量、高并发网络并且满足网络隐藏需求的防火墙方法及系统。

背景技术

防火墙是一个由计算机硬件和软件组成的系统，部署于网络边界，是一种位于内部网络与外部网络之间的网络安全系统。它的设计基于网络技术和信息安全技术基础上的应用性安全技术，依照特定的规则，允许或是限制传输的数据通过，起到安全过滤和安全隔离外网攻击、入侵等有害的网络安全信息和行为。

为了满足数据过滤与安全隔离功能的动态实现，已经提出了多种系统设计。例如Netfilter/IPtables。其中，IPtables工作在用户空间(user space)，对IP信息包进行操作策略的时候设计一套预先设定的规则，存储在专用的数据包过滤表中，这些表中的规则被分组放在链(chain)中，IPtables起到控制作用，使规则的增加、删除、修改和用户可交互。而Netfilter工作在Linux内核空间(kernel space)，由信息包的过滤表(HOOK点)组成，在相应的HOOK点上插入规则，便可以实现在数据包过滤的各个环节的逻辑控制。

由于诸如软件定义边界等，需要网络隐藏功能的环境中，在网络边界处的数据流有大流量、高并发的特点，并且服务端对于数据流的处理需要经过一定验证，进一步降低了处理速度。在诸如软件定义边界的网络使用场景下，传统防火墙的数据包接收过程易于遭受信息嗅探、端口攻击等安全问题，此外，基于IPtables中chain数据结构的规则操作面对上述大流量、高并发数据下，会出现因为规则操作的效率低下导致系统失灵的现象。

为了满足大量数据下对数据高效率操作的需求，提出了许多对数据结构的改良，例如传统布隆过滤器，设计一个二进制向量作为存储容器和一系列随机映射函数，增加数据时，对数据进行上述一系列随机映射，查询数据时，将数据映射，对上述二进制向量的各位查询，如果上述映射没有全部命中，则判断该数据不存在。

目前布隆过滤器的应用场景主要是利用其快速判重、高效去重和低内存占用的优势，提升系统性能和安全性，譬如服务器使用基于布隆过滤器的缓存来避免请求直接存入数据库造成大量冗余信息，可以快速查询请求是否合法，合法则允许请求，不合法则禁止访问，从而避免了整体业务被数据库管理操作效率低下影响的情况。在大数据分析和数据库系统中使用布隆过滤器用于快速判断数据是否已经存在，减少重复插入和更新操作，提高系统性能。

公开(公告)号为CN104601557A的专利《一种基于软件定义网络的恶意网站防护方法及系统》能够检测DNS请求数据的域名信息是否存在于白名单和黑名单生成的布隆过滤器内，对于可疑的DNS请求数据提取主机名，判定该主机名是否可信。但是此发明的目标是判定主机是否可信，使用布隆过滤器优化了主机名查询效率的过程，并没有真正提高防火墙对流量规则管理的性能。

公开(公告)号为CN101567815的专利《域名服务器DNS放大攻击的有效检测与抵御方法》利用基于布隆过滤器的算法记录DNS请求包的四元组信息：包括源IP、目的IP、源端口、DNS ID，并以此来判断DNS响应包是否为攻击包。但是此发明的目标是利用布隆过滤器快速检查DNS请求包中的内容，当处于大流量、高并发的网络环境中，随着数据包的数量上升，此发明仅仅优化了数据包检查过程，并没有优化防火墙对流量规则管理的部分。