專利名稱::在終端設(shè)備上同時(shí)實(shí)現(xiàn)遠(yuǎn)程訪問控制和隔離區(qū)應(yīng)用的方法
技術(shù)領(lǐng)域:
:本發(fā)明涉及一種寬帶接入終端設(shè)備上的訪問控制方法�,尤其涉及的是一種利用Linux內(nèi)核的Netfilter機(jī)制,通過配置iptables規(guī)則�,同時(shí)實(shí)現(xiàn)遠(yuǎn)程訪問控制功能和DMZ(DemilitarizedZone,隔離區(qū))應(yīng)用方法。
背景技術(shù):
:現(xiàn)有技術(shù)中�����,遠(yuǎn)程訪問控制(RemoteAccessControl,以下簡稱RA)功能指的是在被管理設(shè)備上實(shí)現(xiàn)對于管理員通過遠(yuǎn)程操作的方式訪問設(shè)備�,讀寫設(shè)備信息行為的控制。具體的講���,管理員可能通過多種方式遠(yuǎn)程訪問設(shè)備�,如HTTP方式�、TELNET方式、SNMP方式���、TFTP方式等�����,每種方式訪問所使用的網(wǎng)絡(luò)端口都是可以靈活配置的�����。由此�,在被管理設(shè)備上對于每種方式的訪問提供使能和禁用的設(shè)置選項(xiàng),并且允許用戶對各種方式訪問的端口號進(jìn)行設(shè)置�����,這樣的設(shè)備就具備了RA功能�����。上述各種遠(yuǎn)程訪問方式的主要區(qū)別在于�,根據(jù)通訊協(xié)議不同,在設(shè)備上實(shí)現(xiàn)不同的服務(wù)器功能��,如HTTP方式需要設(shè)備實(shí)現(xiàn)HTTP服務(wù)器功能��,TELNET方式需要實(shí)現(xiàn)TELNET服務(wù)器��,等等���。而針對各種遠(yuǎn)程訪問方式,設(shè)備的RA技術(shù)原理是類似的,因此限于篇幅��,本發(fā)明主要以HTTP方式的遠(yuǎn)程訪問為例展開說明�����,下文所提到的遠(yuǎn)程訪問方式也主要以HTTP方式為例���,但其它方式的RA實(shí)現(xiàn)技術(shù)也在本發(fā)明的保護(hù)范圍內(nèi)�。圖1是現(xiàn)有技術(shù)HTTP方式RA的原理示意圖���。從圖中可以看到�,設(shè)備支持HTTP方式RA的前提是已經(jīng)實(shí)現(xiàn)了HTTP服務(wù)器功能��,該服務(wù)器在HTTP協(xié)議規(guī)定的標(biāo)準(zhǔn)端口(80端口)上監(jiān)聽和處理來訪HTTP報(bào)文�����。當(dāng)設(shè)備開啟了RA功能后���,RA模塊會(huì)根據(jù)用戶設(shè)置的端口號(如8080端口)����,將該端口的遠(yuǎn)程來訪HTTP報(bào)文重定向到標(biāo)準(zhǔn)端口,以便設(shè)備的HTTP服務(wù)器能夠處理該才艮文�����,從而滿足遠(yuǎn)程用戶通過特定端口以HTTP方式遠(yuǎn)程訪問設(shè)備的要求���。DMZ(DemilitarizedZone)即俗稱的隔離區(qū)或非軍事區(qū)�����,與軍事區(qū)和信任區(qū)相對應(yīng)���,作用是把WEB,e-mail等允許外部訪問的服務(wù)器單獨(dú)接在該區(qū)端口���,使整個(gè)需要保護(hù)的內(nèi)部網(wǎng)絡(luò)接在信任區(qū)端口后���,不允許任何訪問,實(shí)現(xiàn)內(nèi)夕卜網(wǎng)分離�����,從而達(dá)到用戶需求��。DMZ可以理解為一個(gè)不同于外網(wǎng)或內(nèi)網(wǎng)的特殊網(wǎng)絡(luò)區(qū)域���,DMZ內(nèi)通常放置一些不含機(jī)密信息的公用服務(wù)器���,比如Web、Mail����、FTP等。這樣來自外網(wǎng)的訪問者可以訪問DMZ中的服務(wù)�����,但不可能接觸到存放在內(nèi)網(wǎng)中的公司機(jī)密或私人信息等����,即使DMZ中服務(wù)器受到破壞,也不會(huì)對內(nèi)網(wǎng)中的機(jī)密信息造成影響�。如圖2所示是現(xiàn)有技術(shù)外網(wǎng)用戶通過DMZ訪問內(nèi)網(wǎng)主機(jī)上提供的HTTP服務(wù)的原理示意圖。從圖中可以看到����,終端設(shè)備實(shí)現(xiàn)DMZ功能的原理就是讓用戶設(shè)置DMZ主機(jī)的IP地址,然后根據(jù)用戶的設(shè)置����,將外網(wǎng)用戶的訪問報(bào)文全部重定向轉(zhuǎn)發(fā)到內(nèi)網(wǎng)主機(jī)上���。對于外網(wǎng)用戶而言,他們是以終端設(shè)備的網(wǎng)絡(luò)側(cè)地址為目標(biāo)地址發(fā)起HTTP請求���,而實(shí)際提供HTTP服務(wù)的是內(nèi)網(wǎng)主機(jī)上的HTTP服務(wù)器����。RA和DMZ功能的實(shí)現(xiàn)很大程度上依托了Linux內(nèi)核的Netfilter機(jī)制���。Linux從2.4內(nèi)核版本開始將包篩選功能分解為兩大塊Netfilter鉤子函數(shù)和iptables包處理模塊a前者提供了方便的方式來在數(shù)據(jù)包通過Linux內(nèi)核的不同位置上截獲和操縱處理過的IP包�;而后者實(shí)現(xiàn)了三個(gè)規(guī)則列表分別用于IP數(shù)據(jù)包的過濾����、轉(zhuǎn)發(fā)和處理。如圖3所示是現(xiàn)有技術(shù)Netfilter機(jī)制的原理示意圖����,顯示了一個(gè)IP數(shù)據(jù)包通過Netfilter系統(tǒng)的全過程。從圖中可以看到��,整個(gè)系統(tǒng)主要工作在網(wǎng)5絡(luò)層��,當(dāng)前主要的網(wǎng)絡(luò)層協(xié)議是IPv4,Linux為IPv4定義了五個(gè)Netfilter鉤子函數(shù),分別為NF_IP_PRE—ROUTING�、NF—IP_LOCAL_IN�、NF一IP一FORWARD、NF_IP_LOCAL_OUT和NF一IP一POST—ROUTING.對于進(jìn)入系統(tǒng)的IP數(shù)據(jù)包�,經(jīng)過第一個(gè)鉤子函數(shù)NF_IP_PRE_ROUTING進(jìn)行處理;然后交給路由代碼進(jìn)4亍路由選擇����,判斷該數(shù)據(jù)包是需要轉(zhuǎn)發(fā)還是發(fā)給本機(jī)的;若是發(fā)給扣K的���,則該數(shù)據(jù)包經(jīng)過鉤子函數(shù)NF一IPJX)CAL一IN處理以后����,傳遞給#的上層協(xié)議處理���;若該數(shù)據(jù)包應(yīng)該被轉(zhuǎn)發(fā)���,則它被NI^n^FORWARD處理;經(jīng)過轉(zhuǎn)發(fā)的數(shù)據(jù)包經(jīng)過最后一個(gè)鉤子函數(shù)NF_IP_POST__ROUTING處理以后����,再交由下層協(xié)議傳輸?shù)骄W(wǎng)絡(luò)上�。對于本地系統(tǒng)產(chǎn)生的外發(fā)數(shù)據(jù)包���,經(jīng)過鉤子函數(shù)NF_EP_LOCAL—OUT處理后���,交給路由選擇代碼處理,然后經(jīng)過NF_IP_POST_ROUTING處理以后交給下層協(xié)議外發(fā)���。iptables作為一個(gè)包處理模塊����,主要實(shí)現(xiàn)了三個(gè)IP規(guī)則列表(table):filter表�、nat表和mangle表,分別用于IP包的過濾����、轉(zhuǎn)發(fā)和處理;每個(gè)規(guī)則表中可以包含若干條規(guī)則鏈(chain);每條規(guī)則鏈中又可以包含若干條規(guī)則(rule)��,因此可以將iptables模塊的處理機(jī)制理解為一個(gè)table-chain-rule的層次關(guān)系����。iptables定義了五種預(yù)定義規(guī)則鏈,依次為PREROUTING鏈、INPUT鏈���、FORWARD鏈���、OUTPUT鏈和POSTROUTING鏈,分別對應(yīng)于圖3中的五個(gè)Netfilter鉤子函數(shù)所在的檢查點(diǎn)�,這些規(guī)則鏈中定義的規(guī)則將作為各檢查點(diǎn)報(bào)文處理的依據(jù)�����。iptables還支持用戶自定義鏈(user-definedchains)�,自定義鏈的好處在于可以針對各種業(yè)務(wù)分別定義規(guī)則鏈,從而使得各種業(yè)務(wù)的iptables處理規(guī)則分類清晰����,易于管理員維護(hù)。iptables的規(guī)則匹配原則是五種預(yù)定義規(guī)則鏈都有自己默認(rèn)的報(bào)文處理方式��,報(bào)文的匹配按照順序匹配的原則從規(guī)則鏈的第一條規(guī)則開始進(jìn)行��,當(dāng)沒有規(guī)則得到匹配時(shí)就使用默認(rèn)的處理方式�;自定義鏈必須基于預(yù)定義規(guī)則鏈創(chuàng)建,預(yù)定義鏈中可以包含跳轉(zhuǎn)到自定義鏈的規(guī)則����,隸屬于同一個(gè)預(yù)定義鏈的自定義鏈之間也可以相互跳轉(zhuǎn)���,但是不同檢查點(diǎn)上的規(guī)則鏈?zhǔn)遣荒芟嗷ヌD(zhuǎn)的;如果某個(gè)自定義鏈的規(guī)則都沒有得到匹配��,則返回指向這條自定義鏈的那條規(guī)則所在規(guī)則鏈的下一條規(guī)則繼續(xù)匹配����。在目前的寬帶接入應(yīng)用中,運(yùn)營商出于運(yùn)營和維護(hù)的需要����,希望終端設(shè)備提供RA功能,以《更管理員以遠(yuǎn)程登錄的方式查看設(shè)備信息�、完成相關(guān)配置任務(wù),這樣可以節(jié)省下不菲的人工上門服務(wù)費(fèi)用��。另一方面�����,寬帶用戶���,特別是企業(yè)用戶希望終端設(shè)備的防火墻提供對企業(yè)內(nèi)部網(wǎng)絡(luò)安全防護(hù)的同時(shí)�,也開放一些內(nèi)部網(wǎng)絡(luò)服務(wù)供外部網(wǎng)絡(luò)客戶使用,如企業(yè)Web服務(wù)器��、FTP服務(wù)器和論壇等���。這就要求終端設(shè)備也具備DMZ的功能���,現(xiàn)有的RA和DMZ技術(shù)的實(shí)現(xiàn)流程圖如圖4a和圖4b所示。從圖4a中可以看到��,RA技術(shù)主要涉及到iptables的PREROUTING鏈和INPUT鏈��,DMZ技術(shù)主要涉及到iptables的PREROUTING鏈和FORWARD鏈���,兩者的處理規(guī)則可能發(fā)生沖突的地方是在PREROUTING鏈中。在圖4a中可知����,當(dāng)RA的端口為非標(biāo)準(zhǔn)端口(如8080端口)時(shí),RA在PREROUTING鏈中增加的規(guī)則是重定向8080端口才艮文到80端口���,并且丟棄80端口來訪報(bào)文����;從圖4b中可知,DMZ在PREROUTING鏈中的操作是將80端口的來訪報(bào)文轉(zhuǎn)發(fā)給內(nèi)網(wǎng)主機(jī)上的HTTP服務(wù)器����。這樣就帶來了兩個(gè)問題首先,RA的設(shè)置和DMZ的設(shè)置是兩個(gè)獨(dú)立的操作��,設(shè)備自身沒有辦法約束用戶的操作次序�����,因此在同一個(gè)鏈中添加的規(guī)則往往是后添加的生效(假設(shè)各個(gè)模塊添加規(guī)則的原則都是將該規(guī)則添到規(guī)則鏈的頭部)�。如果用戶先設(shè)置RA,那么DMZ在PREROUTING鏈中將80端口的報(bào)文都轉(zhuǎn)發(fā)了,RA就不生效了����;反之也是一樣,如果用戶先設(shè)置DMZ,那么RA在PREROUTING鏈中將80端口的來訪報(bào)文都丟棄了��,DMZ的轉(zhuǎn)發(fā)操作無法實(shí)現(xiàn)�。同樣的,用戶在操作上完全可能將一個(gè)正生效的功能禁用�,即使RA和DMZ已經(jīng)同時(shí)生效了,用戶做出了禁用RA的操作�����,那么按照RA模塊通常的做法,是應(yīng)該刪除丟棄80端口報(bào)文的規(guī)則的�,但是實(shí)際上這條規(guī)則并不存在,否則DMZ是不可能生效的���,這樣刪除一條不存在的規(guī)則�,會(huì)給系統(tǒng)帶來不必要的開銷��。其次���,RA和DMZ的設(shè)置都會(huì)在PREROUTING鏈中添加規(guī)則����,隨著設(shè)置條目的增加�����,PREROUTING鏈中的規(guī)則會(huì)越來越多�,給設(shè)備的維護(hù)帶來了很大的困難�����,管理員要花費(fèi)一定的精力來區(qū)分屬于不同應(yīng)用的規(guī)則���,特別是如果由于人為的原因造成配置錯(cuò)誤引起業(yè)務(wù)沖突的情況下�����,排除故障查找原因的工作難度也會(huì)相應(yīng)增大�。雖然目前基于Linux系統(tǒng)的終端設(shè)備一般都支持上述兩方面的功能,但是兩者同時(shí)生效的實(shí)現(xiàn)卻很少�。主要原因在于,Linux的網(wǎng)絡(luò)實(shí)現(xiàn)中�����,上述功能都是通過設(shè)置iptables規(guī)則來實(shí)現(xiàn)的�����,同時(shí)實(shí)現(xiàn)兩方面的功能不可避免的會(huì)遭遇在同一個(gè)規(guī)則鏈中兩種應(yīng)用的處理規(guī)則沖突情況下的報(bào)文匹配優(yōu)先次序問題��。因此現(xiàn)有技術(shù)一般情況下���,DMZ應(yīng)用的優(yōu)先級都是最低的��,無法確保RA功能生效的前提下���,DMZ應(yīng)用也工作正常����;另一方面���,當(dāng)用戶手動(dòng)取消DMZ設(shè)置后�����,又不能保證RA功能仍然正常工作��。這兩方面的現(xiàn)有技術(shù)問題都需要在設(shè)計(jì)上做出相應(yīng)的考慮�����,因此����,現(xiàn)有技術(shù)還有待于改進(jìn)和發(fā)展�。
發(fā)明內(nèi)容本發(fā)明的目的在于提供一種在終端設(shè)備上同時(shí)實(shí)現(xiàn)遠(yuǎn)程訪問控制和隔離區(qū)應(yīng)用的方法��,作為終端設(shè)備上的訪問控制策略���,同時(shí)實(shí)現(xiàn)RA和DMZ應(yīng)用�����,既滿足運(yùn)營商遠(yuǎn)程管理運(yùn)營和維護(hù)的需要���,也確保運(yùn)營商可以順利提供DMZ應(yīng)用服務(wù)�。本發(fā)明的技術(shù)方案包括一種在終端設(shè)備上同時(shí)實(shí)現(xiàn)遠(yuǎn)程訪問控制和隔離區(qū)應(yīng)用的方法�,其包括以下步驟A、利用Linux的Netfilter包篩選機(jī)制����,在iptables模塊初始化的過程中在可能發(fā)生沖突的預(yù)定義鏈中優(yōu)先加載跳轉(zhuǎn)遠(yuǎn)程訪問控制自定義鏈的規(guī)則;B����、在遠(yuǎn)程訪問控制的實(shí)現(xiàn)中增加對隔離區(qū)是否使能的判斷,同時(shí)在隔離區(qū)的實(shí)現(xiàn)中保證對遠(yuǎn)程訪問控制規(guī)則鏈進(jìn)行處理���。所述的方法�����,其中���,所述步驟A中還包括設(shè)置所述遠(yuǎn)程訪問控制和隔離區(qū)應(yīng)用采用不同的端口�。一般情況下�����,遠(yuǎn)程訪問控制使用非標(biāo)準(zhǔn)協(xié)議端口���,隔離區(qū)應(yīng)用采用標(biāo)準(zhǔn)協(xié)議端口�。所述的方法�,其中,以HTTP訪問方式為例�����,所述遠(yuǎn)程訪問控制采用8080端口���;所述隔離區(qū)應(yīng)用采用80端口�。也即����,隔離區(qū)端口為標(biāo)準(zhǔn)協(xié)議端cr。所述的方法��,其中���,所述步驟B還包括對于遠(yuǎn)程訪問控制的實(shí)現(xiàn)步驟Bl���、判斷用戶的操作指令,如果是啟用遠(yuǎn)程訪問�,則在遠(yuǎn)程訪問控制自定義鏈中增加規(guī)則,將遠(yuǎn)程訪問控制端口來訪的報(bào)文重定向到隔離區(qū)端口�����;如果是禁用遠(yuǎn)程訪問�����,則在遠(yuǎn)程訪問控制自定義鏈中刪除規(guī)則��,取消將遠(yuǎn)程訪問控制端口來訪報(bào)文重定向到隔離區(qū)端口的操作�����。所述的方法���,其中����,所述步驟B1還包括Bll、在啟用遠(yuǎn)程訪問時(shí)����,判斷系統(tǒng)是否還啟用了隔離區(qū)服務(wù),如果啟用���,不做任何處理����;否則在遠(yuǎn)程訪問控制自定義鏈中增加規(guī)則�,丟棄隔離區(qū)端口來訪的報(bào)文。所述的方法���,其中���,所述步驟B1還包括B12、在禁用遠(yuǎn)程訪問時(shí)���,判斷系統(tǒng)是否啟用了隔離區(qū)服務(wù)�,如果啟用��,不做任何處理;否則刪除遠(yuǎn)程訪問控制自定義鏈中的規(guī)則�,取消丟棄隔離區(qū)端口來訪報(bào)文的操作。9所述的方法�����,其中��,所述步驟B還包括對于隔離區(qū)應(yīng)用的實(shí)現(xiàn)具體步驟B2���、判斷用戶的操作指令,如果是啟用隔離區(qū)應(yīng)用���,則修改來訪報(bào)文的目的地址�,重定向該報(bào)文到內(nèi)網(wǎng)主機(jī)的相同端口上繼續(xù)執(zhí)行���;如果是禁用隔離區(qū)應(yīng)用�,則刪除將來訪報(bào)文重定向到內(nèi)網(wǎng)主機(jī)隔離區(qū)端口的處理規(guī)則�。所述的方法,其中�,所述步驟B2還包括B21、在啟用隔離區(qū)應(yīng)用時(shí)����,判斷系統(tǒng)是否啟用了遠(yuǎn)程訪問控制����,如果未啟用����,不做任何處理;否則在遠(yuǎn)程訪問控制的自定義鏈中刪除丟棄隔離區(qū)端口來訪報(bào)文的處理規(guī)則���。所迷的方法��,其中�����,所述步驟B2還包括B22���、在禁用隔離區(qū)應(yīng)用時(shí),判斷系統(tǒng)是否啟用了遠(yuǎn)程訪問控制服務(wù)���,如果未啟用����,不^l任何處理;否則在遠(yuǎn)程訪問控制的自定義鏈中恢復(fù)丟棄隔離區(qū)端口來訪報(bào)文的處理規(guī)則�。所述的方法,其中��,所述步驟A還包括定義遠(yuǎn)程訪問控制在PREROUTING鏈中的自定義規(guī)則鏈RAPRE��,隔離區(qū)應(yīng)用的自定義規(guī)則鏈DMZPRE,并在iptables模塊初始化時(shí)����,在PREROUTING鏈的頭部前兩條規(guī)則分別定義為無條件跳轉(zhuǎn)RAPRE鏈和無條件跳轉(zhuǎn)DMZPRE鏈�。本發(fā)明所提供的一種在終端設(shè)備上同時(shí)實(shí)現(xiàn)遠(yuǎn)程訪問控制和隔離區(qū)應(yīng)用的方法,由于引入了自定義鏈的概念�,以自定義鏈的方式約定了RA和DMZ兩種應(yīng)用的優(yōu)先級關(guān)系,從而達(dá)到了兩者同時(shí)生效的目的�,彼此不會(huì)因?yàn)閷Ψ焦δ艿纳c失效而影響自身的正常工作;且在實(shí)現(xiàn)上簡單方便�,開銷較小,對系統(tǒng)的性能影響很小�����。圖1是現(xiàn)有技術(shù)的HTTP方式中RA功能實(shí)現(xiàn)的原理示意圖�;圖2是現(xiàn)有技術(shù)的DMZ功能實(shí)現(xiàn)的原理示意圖3是現(xiàn)有技術(shù)的Netfilter機(jī)制原理示意圖4a是現(xiàn)有技術(shù)中RA技術(shù)功能實(shí)現(xiàn)的流程圖4b是現(xiàn)有技術(shù)中DMZ技術(shù)功能實(shí)現(xiàn)的流程圖5a是本發(fā)明方法RA和DMZ同時(shí)生效情況下RA功能實(shí)現(xiàn)的流程圖5b是本發(fā)明方法RA和DMZ同時(shí)生效情況下DMZ功能實(shí)現(xiàn)的流程圖。具體實(shí)施例方式以下結(jié)合附圖�,將對本發(fā)明的較佳實(shí)施例進(jìn)行更為詳細(xì)的說明���。本發(fā)明在終端設(shè)備上同時(shí)實(shí)現(xiàn)遠(yuǎn)程訪問控制和隔離區(qū)應(yīng)用的方法利用了Linux的Netfilter包篩選機(jī)制,以iptables自定義鏈的方式區(qū)分遠(yuǎn)程訪問控制RA功能實(shí)現(xiàn)需要的規(guī)則和DMZ功能實(shí)現(xiàn)需要的規(guī)則�����。首先�����,在iptables模塊初始化的過程中�,設(shè)置在可能發(fā)生沖突的預(yù)定義鏈中優(yōu)先加載跳轉(zhuǎn)RA自定義鏈的規(guī)則,以滿足RA優(yōu)先級高于DMZ的要求���。此外���,由于RA的優(yōu)先級高于DMZ,因此要保證兩者同時(shí)生效�����,RA的端口號應(yīng)該和DMZ有所區(qū)分��,如果DMZ使用標(biāo)準(zhǔn)端口(如HTTP為80端口)�����,則RA應(yīng)該設(shè)置成其它端口(如HTTP的RA改為8080端口訪問)。然后�,在RA的實(shí)現(xiàn)中增加對DMZ是否使能的判斷,同時(shí)在DMZ的實(shí)現(xiàn)中考慮對RA規(guī)則鏈進(jìn)行處理����。以下將分別描述RA和DMZ的實(shí)現(xiàn)步驟。按照前文
背景技術(shù):
的遠(yuǎn)程訪問控制一節(jié)中的約定���,主要以HTTP方式"為例進(jìn)行說明����,但顯然本發(fā)明應(yīng)用于其他協(xié)議方式是等同的處理方式����。如圖5a所示��,本發(fā)明在終端設(shè)備上同時(shí)實(shí)現(xiàn)遠(yuǎn)程訪問控制和隔離區(qū)應(yīng)用的方法中��,對于遠(yuǎn)程訪問控制RA的實(shí)現(xiàn)�,具體包括如下步驟步驟A、判斷用戶的操作指令�,如果是啟用8080端口上的HTTP方式遠(yuǎn)程訪問�����,則繼續(xù)執(zhí)行步驟B;如果是禁用8080端口上的HTTP方式遠(yuǎn)程訪問�����,則跳到步驟D;步驟B�、在RA自定義鏈中增加規(guī)則����,將8080端口來訪的TCP報(bào)文重定向到80端口;步驟C、判斷系統(tǒng)是否啟用了DMZ服務(wù)�,如果啟用,不做任何處理����;否則在RA自定義鏈中增加規(guī)則,丟棄80端口來訪的TCP報(bào)文���;步驟D����、在RA自定義鏈中刪除規(guī)則�,取消將8080端口來訪TCP報(bào)文重定向到80端口的操作�����;步驟E�、判斷系統(tǒng)是否啟用了DMZ服務(wù)���,如果啟用了���,不做任何處理;否則刪除RA自定義鏈中的規(guī)則�,取消丟棄80端口來訪的TCP報(bào)文的操作。對于DMZ功能的實(shí)現(xiàn)�����,具體包括如下步驟步驟F�����、判斷用戶的操作指令�����,如果是啟用DMZ����,則繼續(xù)執(zhí)行步驟G;如果是禁用DMZ,則跳到步驟I;步驟G���、修改來訪TCP報(bào)文的目的地址�����,重定向該報(bào)文到內(nèi)網(wǎng)主機(jī)的相同端口上�;步驟H���、判斷糸統(tǒng)是否啟用了RA��,如果未啟用���,不做任何處理;否則在RA的自定義鏈中刪除丟棄80端口來訪的TCP報(bào)文的處理規(guī)則��;步驟I����、刪除將來訪TCP報(bào)文重定向到內(nèi)網(wǎng)主機(jī)80端口的處理規(guī)則;步驟J、判斷系統(tǒng)是否啟用了RA服務(wù)���,如果未啟用��,不做任何處理���;否則在RA的自定義鏈中恢復(fù)丟棄80端口來訪的TCP報(bào)文的處理規(guī)則。本發(fā)明在終端設(shè)備上同時(shí)實(shí)現(xiàn)遠(yuǎn)程訪問控制和隔離區(qū)應(yīng)用的方法�,首先是針對RA和DMZ兩種應(yīng)用分別定義了各自的自定義鏈,從RA和DMZ現(xiàn)有4支術(shù)的實(shí)現(xiàn)原理可以看出RA的實(shí)現(xiàn)���,在底層iptables規(guī)則鏈中的處理主要涉及PREROUTING鏈和INPUT鏈��;而DMZ的實(shí)現(xiàn)����,在底層主要涉及PREROUTING鏈和FORWARD鏈����。由此可見,兩種應(yīng)用的沖突主要體現(xiàn)在PREROUTING鏈中相應(yīng)規(guī)則的處理順序上�����。因此�,本發(fā)明方法定義RA在PREROUTING鏈中的自定義規(guī)則鏈RAPRE,DMZ的自定義規(guī)則鏈DMZPRE��,在iptables模塊初始化的時(shí)候�,在PREROUTING鏈的頭部前兩在自定義鏈定義完成后,就可以分別實(shí)現(xiàn)RA功能和DMZ功能了����。由于在PREROUTING鏈中定義了自定義鏈RAPRE和DMZPRE,且前者優(yōu)先得到匹配����,因此,通過HTTP方式的RA訪問所使用的端口號和訪問DMZ內(nèi)網(wǎng)主機(jī)HTTP服務(wù)器的端口號必須有所區(qū)別�����,否則�,只有RA才能生效。這里本發(fā)明各較佳實(shí)施例中設(shè)置所述遠(yuǎn)程訪問控制和隔離區(qū)應(yīng)用釆用不同的端口���,一般情況下�,遠(yuǎn)程訪問控制使用非標(biāo)準(zhǔn)協(xié)議端口��,隔離區(qū)應(yīng)用采用標(biāo)準(zhǔn)協(xié)議端口。以HTTP訪問方式為例���,所述遠(yuǎn)程訪問控制釆用8080端口�����;所述隔離區(qū)應(yīng)用采用80端口�,也即���,隔離區(qū)端口為標(biāo)準(zhǔn)協(xié)議端口�。不妨假設(shè)了RA使用的是8080端口����,DMZ使用的是標(biāo)準(zhǔn)80端口;但顯然��,技術(shù)實(shí)際應(yīng)用中并不僅限于上述端口的選擇����,可以選擇其他端口。如圖5a所示����,本發(fā)明具體實(shí)施例的在終端設(shè)備上同時(shí)實(shí)現(xiàn)遠(yuǎn)程訪問控制和隔離區(qū)應(yīng)用的方法中��,RA的實(shí)現(xiàn)具體實(shí)施例過程主要包括如下幾個(gè)步驟步驟ll、判斷用戶的操作指令�����,如果是啟用8080端口上的HTTP方式遠(yuǎn)程訪問���,則繼續(xù)執(zhí)行步驟12;如果是禁用8080端口上的HTTP方式遠(yuǎn)程訪問�,則跳到步驟14;步驟12����、在RAPRE鏈中增加8080端口來訪的TCP報(bào)文重定向到80端口的處理規(guī)則;步驟13��、判斷系統(tǒng)是否啟用了DMZ服務(wù)����,如果啟用了,不做任何處理�����,直接跳到步驟16;否則在RAPRE鏈中增加丟棄80端口來訪的TCP報(bào)文處理規(guī)則����;然后���,跳到步驟16;步驟14、在RAPRE鏈中刪除8080端口來訪TCP才艮文重定向到80端13口的處理規(guī)則���;步驟15����、判斷系統(tǒng)是否啟用了DMZ服務(wù)�,如果啟用,不做任何處理��,直接跳到步驟17;否則在RAPRE鏈中刪除丟棄80端口來訪TCP報(bào)文的處理規(guī)則���,然后跳到步驟17���。步驟16、在INPUT鏈中增加規(guī)則�����,接受80端口上收到的TCP報(bào)文�����,流程結(jié)束。步驟17�、在INPUT鏈中刪除規(guī)則����,不再接受80端口上收到的TCP報(bào)文,���;?���?汲式Y(jié)束��。本發(fā)明方法對于現(xiàn)有RA實(shí)現(xiàn)技術(shù)的主要改進(jìn)就在于步驟3和步驟5�。步驟13的作用是正常情況下,當(dāng)用戶設(shè)置RA時(shí)��,如果選擇了8080端口遠(yuǎn)程訪問����,那么就不能允許用戶通過80端口遠(yuǎn)程訪問,需要在RAPRE鏈中增加規(guī)則�����,丟棄80端口上收到的來訪報(bào)文;而此時(shí)如果DMZ已經(jīng)啟用�����,如果仍然按正常情況增加該規(guī)則���,由于RAPRE鏈先于DMZPRE鏈被執(zhí)行�,則80端口的來訪報(bào)文都先被RA模塊丟棄了��,導(dǎo)致訪問DMZ內(nèi)網(wǎng)主機(jī)的報(bào)文沒有辦法被DMZ模塊轉(zhuǎn)發(fā)處理�����。因此判斷DMZ啟用的時(shí)候�����,RA只要不做操作即可���,訪問80端口的報(bào)文都會(huì)被DMZ模塊處理�����,DMZ生效��,RA同時(shí)工作正常�����。步驟15的作用是當(dāng)禁用RA時(shí)�,如果發(fā)現(xiàn)DMZ已啟用,說明RAPRE鏈中本來就不存在丟棄80端口來訪報(bào)文的規(guī)則���,因此也就不需要做任何刪除操作了。如圖5b所示��,本發(fā)明方法實(shí)現(xiàn)DMZ功能的主要步驟包括步驟21���、判斷用戶的操作指令����,如果是啟用DMZ,則繼續(xù)執(zhí)行步驟22;如果是禁用DMZ,則跳到步驟24;步驟22����、在DMZRPE鏈中增加一條處理規(guī)則,修改來訪TCP報(bào)文的目的地址��,重定向才艮文到內(nèi)網(wǎng)主機(jī)的80端口上;步驟23����、判斷系統(tǒng)是否在非80端口上啟用了RA,如果未啟用���,不做任何處理�,直接跳到步驟26;否則在RAPRE鏈中刪除丟棄80端口來訪的TCP報(bào)文的處理規(guī)則�����,然后跳到步驟26���。步驟24��、在DMZPRE鏈中刪除將來訪TCP報(bào)文重定向到內(nèi)網(wǎng)主機(jī)80端口的處理規(guī)則���;步驟25、判斷系統(tǒng)是否在非80端口上啟用了RA服務(wù)����,如果未啟用,不做任何處理,直接跳到步驟27;否則在RAPRE鏈中增加丟棄80端口來訪TCP報(bào)文的處理規(guī)則�,然后跳到步驟27;'步驟26、在FORWARD鏈中增加規(guī)則�,接受發(fā)往內(nèi)網(wǎng)主機(jī)地址的報(bào)文,流程結(jié)束��。步驟27�����、在FORWARD鏈中刪除規(guī)則��,不再接受發(fā)往內(nèi)網(wǎng)主機(jī)地址的報(bào)文��,流程結(jié)束�。本發(fā)明對于現(xiàn)有DMZ實(shí)現(xiàn)技術(shù)的主要改進(jìn)就在于步驟23和步驟25���。步驟23的作用是正常情況下�����,當(dāng)用戶設(shè)置RA時(shí)����,如果用戶選擇從非80端口遠(yuǎn)程訪問i殳備(如8080端口),那么就不再允許用戶通過80端口遠(yuǎn)程訪問��,需要在RAPRE鏈中添加一條規(guī)則�����,丟棄80端口上收到的從外網(wǎng)來訪的TCP報(bào)文�����;而由于RAPRE鏈先于DMZPRE鏈被執(zhí)行����,則80端口的來訪報(bào)文都被RA模塊丟棄了,導(dǎo)致訪問DMZ內(nèi)網(wǎng)主機(jī)的報(bào)文沒有�、辦法被DMZ模塊轉(zhuǎn)發(fā)處理,因此在用戶啟用DMZ的時(shí)候�����,如果發(fā)現(xiàn)RA已經(jīng)處于啟用生效狀態(tài)���,就需要由DMZ模塊來刪除RAPRE鏈中的這條規(guī)則���,這樣既沒有影響到RA的正常工作�����,DMZ也能正常生效.步驟25的作用是當(dāng)禁用DMZ時(shí)�����,如果發(fā)現(xiàn)用戶已經(jīng)在非80端口上啟用了RA,說明之前DMZ和RA同時(shí)生效的情形下��,RAPRE鏈中已不存在丟棄80端口來訪TCP報(bào)文的這條規(guī)則���,因此DMZ模塊需要在RAPRE鏈中恢復(fù)這條規(guī)則,以確保RA的功能符合用戶的需求外網(wǎng)用戶只能從其設(shè)定的非80端口訪問該設(shè)備��,而無法從80端口訪問����。綜上,本發(fā)明方法引入了自定義鏈的概念��,在PREROUTING鏈中定義了RA的自定義鏈RAPRE����,DMZ的自定義鏈DMZPRE,并且在PREROUTING鏈初始化的時(shí)候優(yōu)先添加跳轉(zhuǎn)RAPRE鏈的規(guī)則�,這樣�����,以自定義鏈的方式約定了RA和DMZ兩種應(yīng)用的優(yōu)先級關(guān)系在RA的所有規(guī)則在PREROUTING鏈中都得到匹配后才有可能進(jìn)行DMZ的規(guī)則匹配����。此外��,管理員在維護(hù)配置條目規(guī)則的時(shí)候也更加一目了然�,在PREROUTING鏈中只有跳轉(zhuǎn)各個(gè)業(yè)務(wù)自定義鏈的規(guī)則,具體的處理規(guī)則都在自定義鏈中定義�����,條理分明��,便于維護(hù)��。其次��,在RA和DMZ各自的處理流程中分別增加了對于對方功能是否啟用的判斷以及對于對方自定義鏈規(guī)則的操作����,從而達(dá)到了兩者同時(shí)生效的目的,彼此不會(huì)因?yàn)閷Ψ焦δ艿纳c失效而影響自身的正常工作���,在實(shí)現(xiàn)上筒單方便��,開銷較小����,對系統(tǒng)的性能影響很小.應(yīng)當(dāng)理解的是,上述針對本發(fā)明較佳實(shí)施例的描述較為詳細(xì)��,并不能因此而認(rèn)為是對本發(fā)明專利保護(hù)范圍的限制����,本發(fā)明的專利保護(hù)范圍應(yīng)以所附權(quán)利要求為準(zhǔn)。權(quán)利要求1����、一種在終端設(shè)備上同時(shí)實(shí)現(xiàn)遠(yuǎn)程訪問控制和隔離區(qū)應(yīng)用的方法,其包括以下步驟A��、利用Linux的Netfilter包篩選機(jī)制���,在iptables模塊初始化的過程中在可能發(fā)生沖突的預(yù)定義鏈中優(yōu)先加載跳轉(zhuǎn)遠(yuǎn)程訪問控制自定義鏈的規(guī)則�;B��、在遠(yuǎn)程訪問控制的實(shí)現(xiàn)中增加對隔離區(qū)是否使能的判斷��,同時(shí)在隔離區(qū)的實(shí)現(xiàn)中保證對遠(yuǎn)程訪問控制規(guī)則鏈進(jìn)行處理��。2��、根據(jù)權(quán)利要求1所述的方法�����,其特征在于����,所述步驟A中還包括設(shè)置所述遠(yuǎn)程訪問控制和隔離區(qū)應(yīng)用采用不同的端口。3��、根據(jù)權(quán)利要求2所述的方法�����,其特征在于����、,所述遠(yuǎn)程訪問控制采用非標(biāo)準(zhǔn)端口���;所述隔離區(qū)應(yīng)用采用標(biāo)準(zhǔn)端口���。4�、根據(jù)權(quán)利要求2所述的方法����,其特征在于,所述步驟B還包括對于遠(yuǎn)程訪問控制的實(shí)現(xiàn)步驟Bl���、判斷用戶的操作指令�����,如果是啟用遠(yuǎn)程訪問�,則在遠(yuǎn)程訪問控制自定義鏈中增加規(guī)則�,將遠(yuǎn)程訪問控制端口來訪的報(bào)文重定向到隔離區(qū)端口;如果是禁用遠(yuǎn)程訪問�����,則在遠(yuǎn)程訪問控制自定義鏈中刪除規(guī)則���,取消將遠(yuǎn)程訪問控制端口來訪^J:重定向到隔離區(qū)端口的操作��。5���、根據(jù)權(quán)利要求4所述的方法,其特征在于�,所述步驟B1還包括Bll、在啟用遠(yuǎn)程訪問時(shí)�,判斷系統(tǒng)是否還啟用了隔離區(qū)服務(wù),如果啟用��,不做任何處理�����;否則在遠(yuǎn)程訪問控制自定義鏈中增加規(guī)則���,丟棄隔離區(qū)端口來訪的報(bào)文����。6���、根據(jù)權(quán)利要求4所述的方法�,其特征在于�����,所述步驟B1還包括B12、在禁用遠(yuǎn)程訪問時(shí)�,判斷系統(tǒng)是否啟用了隔離區(qū)服務(wù),如果啟用��,不做任何處理��;否則刪除遠(yuǎn)程訪問控制自定義鏈中的規(guī)則����,取消丟棄隔離區(qū)端口來訪報(bào)文的操作。7�、根據(jù)權(quán)利要求2所述的方法,其特征在于�����,所述步驟B還包括對于隔離區(qū)應(yīng)用的實(shí)現(xiàn)具體步驟B2���、判斷用戶的操作指令��,如果是啟用隔離區(qū)應(yīng)用���,則修改來訪報(bào)文的目的地址,重定向該報(bào)文到內(nèi)網(wǎng)主機(jī)的相同端口上繼續(xù)執(zhí)行;如果是禁用隔離區(qū)應(yīng)用�����,則刪除將來訪報(bào)文重定向到內(nèi)網(wǎng)主機(jī)隔離區(qū)端口的處理規(guī)則��。8����、根據(jù)權(quán)利要求7所述的方法�,其特征在于,所述步驟B2還包括B21����、在啟用隔離區(qū)應(yīng)用時(shí),判斷系統(tǒng)是否啟用了遠(yuǎn)程訪問控制���,如果未啟用���,不做任何處理;否則在遠(yuǎn)程訪問控制的自定義鏈中刪除丟棄隔離區(qū)端口來訪報(bào)文的處理規(guī)則�。9、根據(jù)權(quán)利要求7所述的方法��,其特征在于,所述步驟B2還包括B22���、在禁用隔離區(qū)應(yīng)用時(shí)����,判斷系統(tǒng)是否啟用了遠(yuǎn)程訪問控制服務(wù)��,如果未啟用����,不做任何處理;否則在遠(yuǎn)程訪問控制的自定義鏈中恢復(fù)丟棄隔離區(qū)端口來訪才艮文的處理規(guī)則����。10、根據(jù)權(quán)利要求1所述的方法�����,其特征在于���,所述步驟A還包括定義遠(yuǎn)程訪問控制在PREROUTING鏈中的自定義規(guī)則鏈RAPRE��,隔離區(qū)應(yīng)用的自定義規(guī)則鏈DMZPRE���,并在iptables模塊初始化時(shí)�����,在條件跳轉(zhuǎn)DMZPRE鏈�。全文摘要本發(fā)明公開了一種在終端設(shè)備上同時(shí)實(shí)現(xiàn)遠(yuǎn)程訪問控制和隔離區(qū)應(yīng)用的方法��,其包括以下步驟利用Linux的Netfilter包篩選機(jī)制�����,在iptables模塊初始化的過程中在可能發(fā)生沖突的預(yù)定義鏈中優(yōu)先加載跳轉(zhuǎn)遠(yuǎn)程訪問控制自定義鏈的規(guī)則�;在遠(yuǎn)程訪問控制的實(shí)現(xiàn)中增加對隔離區(qū)是否使能的判斷��,同時(shí)在隔離區(qū)的實(shí)現(xiàn)中保證對遠(yuǎn)程訪問控制規(guī)則鏈進(jìn)行處理��。本發(fā)明方法由于引入了自定義鏈的概念��,以自定義鏈的方式約定了RA和DMZ兩種應(yīng)用的優(yōu)先級關(guān)系�����,從而達(dá)到了兩者同時(shí)生效的目的�,彼此不會(huì)因?yàn)閷Ψ焦δ艿纳c失效而影響自身的正常工作�����;且在實(shí)現(xiàn)上簡單方便���,開銷較小,對系統(tǒng)的性能影響很小���。文檔編號H04L29/06GK101621499SQ200810068419公開日2010年1月6日申請日期2008年7月3日優(yōu)先權(quán)日2008年7月3日發(fā)明者捷任申請人:中興通訊股份有限公司