[发明专利]一种无IP防火墙的安全规则配置方法

摘要

本发明公开了一种无IP防火墙的安全规则配置方法，通过将无IP防火墙部署在被保护设备前端，防火墙管理系统在发送的探测数据包以及配置数据包时，并不是直接发送到无IP防火墙，而是通过向被保护设备发送数据，由防火墙截获，识别以及处理来完成安全规则配置。为了对数据包进行准确识别，该发明首先使用特殊端口号作为第一个特征，接着使用自定义应用层协议包头作为第二个特征，最后再针对识别的数据包类型进行相应的的处理。

主权项

1.一种无IP防火墙的安全规则配置方法，其特征在于，包括以下步骤：/n(1)、部署无IP防火墙/n将防火墙直接串联在被保护设备前方，使所有发送到被保护设备的数据包都通过无IP防火墙；/n(2)、使用防火墙管理系统探测网络中的所有无IP防火墙/n防火墙管理系统向网络中已知的被保护设备发送特殊的探测数据包，探测数据包会经过被保护设备前方的无IP防火墙，探测数据包在经过防火墙时会被截获、识别、处理；/n(2.1)、防火墙管理系统发送探测数据包/n防火墙管理系统向网络中已知其IP地址的被保护设备发送探测数据包，若被保护设备前部署了无IP防火墙，那该探测数据包通过无IP防火墙，无IP防火墙产生响应并回复防火墙管理系统；否则探测数据包失效；/n(2.2)、无IP防火墙识别探测数据包/n无IP防火墙先识别数据包类型，若检测是探测包，就交给探测包处理模块；当探测数据包经过无IP防火墙时，无IP防火墙先检测该探测数据包的目的端口，若目的端口符合规则，再继续检测应用层协议头，若无IP防火墙检测到应用层协议头，则进入步骤(2.3)；/n(2.3)、无IP防火墙处理探测数据包/n首先解析收到的探测数据包，提取探测数据包中防火墙管理系统的IP地址和MAC地址并保存到无IP防火墙本地；再将防火墙MAC地址与被保护设备IP地址作为探测结果；/n(2.4)、无IP防火墙上传探测结果信息至防火墙管理系统/n无IP防火墙读取步骤(2.3)提取的防火墙管理系统IP地址与MAC地址，并作为目的IP地址与目的MAC地址，同时将探测结果作为数据包内容，并加上自定义应用层协议头，进行数据包封装，标记为探测结果数据包再上传至防火墙管理系统，进入步骤(2.5)；/n(2.5)、防火墙管理系统处理探测结果数据包/n防火墙管理系统解析探测结果数据包，读取探测结果数据包中的无IP防火墙MAC地址与被保护设备的IP地址，确定出无IP防火墙具体保护设备，并将该无IP防火墙MAC地址与被保护设备的IP地址保存在防火墙管理系统；/n(3)防火墙管理系统对网络中的无IP防火墙进行规则配置/n(3.1)防火墙管理系统发送配置包/n防火墙管理系统找到所有可以保护的设备IP，接着在防火墙管理系统中编辑规则配置信息，再将目的IP地址设置为被保护设备的IP地址，增加自定义应用层协议头，并连同规则配置信息一起封装成规则配置数据包；/n(3.2)、无IP防火墙识别规则配置数据包/n无IP防火墙先识别数据包类型，若检测是规则配置数据包，就交给配置包处理模块；当规则配置数据包经过无IP防火墙时，无IP防火墙检测规则配置数据包的目的端口，若目的端口符合规则，再继续检测应用层协议头，若无IP防火墙检测到应用层协议头，则进入步骤(3.3)；/n(3.3)、无IP防火墙处理规则配置数据包/n无IP防火墙对规则配置数据包进行解析，读取出规则配置信息，再根据规则配置信息生成防火墙安全规则，最后将安全规则的日志信息作为配置结果；/n(3.4)、无IP防火墙上传配置结果信息至防火墙管理系统/n无IP防火墙读取步骤(2.3)提取的防火墙管理系统IP地址与MAC地址，并作为目的IP地址与目的MAC地址，同时将配置结果作为数据包内容，并加上自定义应用层协议头，进行数据包封装，标记为配置结果数据包再上传至防火墙管理系统，进入步骤(3.5)；/n(3.5)、防火墙管理系统处理配置结果数据包/n防火墙管理系统收到配置结果数据包后，确认安全规则配置成功，并解析配置结果信息保存到数据库。/n