一種報文過濾系統(tǒng)及方法【專利摘要】本發(fā)明涉及路由器防火墻領(lǐng)域����,尤其涉及一種報文過濾系統(tǒng)及方法。本發(fā)明通過對一數(shù)據(jù)是否進行了網(wǎng)絡(luò)層的封裝進行判斷���,如果進行了網(wǎng)絡(luò)層的封裝則對網(wǎng)絡(luò)層的封裝進行解除封裝以獲得封裝的第一過濾信息�����,之后對第一過濾信息進行過濾�,從而實現(xiàn)對數(shù)據(jù)的網(wǎng)絡(luò)層的封裝的第一過濾信息進行過濾,完善了路由器防火墻的過濾功能��,提高了數(shù)據(jù)通過路由設(shè)備傳輸?shù)陌踩禂?shù)����?����!緦@f明】一種報文過濾系統(tǒng)及方法
技術(shù)領(lǐng)域:
[0001]本發(fā)明涉及路由器防火墻領(lǐng)域�����,尤其涉及一種報文過濾系統(tǒng)及方法���?�!?br>背景技術(shù):
】[0002]網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備上的防火墻能夠?qū)笪牡膫鬏斶M行過濾���,通常企業(yè)級的網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備工作于無線橋接模式下,工作于橋接模式下的網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備能夠解析0SI(0penSystemInterconnect1n���,開放式系統(tǒng)互聯(lián))參考模型中的物理層和報文鏈路層的過濾信息�,而對于位于第三層的網(wǎng)絡(luò)層的過濾信息并不能進行解析,因此防火墻在橋接模式下的過濾機制不盡完善���?!?br/>發(fā)明內(nèi)容】[0003]針對現(xiàn)有技術(shù)存在的問題��,現(xiàn)提供了一種報文過濾系統(tǒng)及方法�。[0004]具體的技術(shù)方案如下:[0005]—種報文過濾系統(tǒng),應(yīng)用于無線橋接模式下的網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備轉(zhuǎn)發(fā)報文的過程中����,所述網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備包括:[0006]存儲模塊I,存儲有過濾規(guī)則����;[0007]判斷模塊2,與所述存儲模塊I連接�����,用以判斷所述報文是否為DNS(DomainNameSystem����,域名系統(tǒng))特征的報文��;[0008]解析模塊3�����,與所述判斷模塊2連接���,用以于所述報文為DNS報文時,讀取所述DNS報文的域名����,并且所述解析模塊3用以對所述DNS報文進行域名解析以獲取所述DNS報文的IP地址�;[0009]過濾模塊4,分別與所述存儲模塊1����、所述判斷模塊2、所述解析模塊3連接���,用以獲取并利用所述過濾規(guī)則對所述域名和所述IP(InternetProtocol�����,網(wǎng)絡(luò)協(xié)議)地址進行過濾���。[0010]優(yōu)選的�����,所述網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備設(shè)有多個無線接口�����,每個所述無線接口均對應(yīng)一所述過濾規(guī)則����,所述網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備還包括[0011]標志模塊���,與所述過濾模塊4連接��,用以利用一橋接轉(zhuǎn)發(fā)表對各個所述無線接口進行標識����,以使不同的所述無線接口的所述報文通過所述網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備時分別附加有對應(yīng)的標識����;以及所述過濾模塊4用以根據(jù)所述標識獲取并利用所述DNS報文對應(yīng)無線接口的過濾規(guī)則對所述域名和所述IP地址進行過濾��。[0012]優(yōu)選的��,所述橋接轉(zhuǎn)發(fā)表為broute鏈表����,以及所述標志模塊用以利用ebtables的規(guī)則于所述broute鏈表中對各個所述無線接口進行標識���。[0013]優(yōu)選的����,所述網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備還包括:[0014]第一過濾模塊���,與所述判斷模塊連接��,用以利用所述過濾規(guī)則對所述報文的源MAC地址和目的MAC地址進行過濾。[0015]優(yōu)選的����,所述網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備還包括:[0016]第二過濾模塊,與所述判斷模塊連接��,用以利用所述過濾規(guī)則對所述報文的傳輸路徑進行過濾��。[0017]一種報文過濾方法,包括:[0018]步驟SI��,提供一預(yù)存儲有過濾規(guī)則的網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備�����,所述網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備轉(zhuǎn)發(fā)一報文時�����,判斷所述報文是否為DNS特征的報文�;[0019]步驟S2,讀取所述DNS報文的域名�����,并且對所述DNS報文進行域名解析以獲取所述DNS報文的IP地址����;[0020]步驟S3,于所述報文為DNS報文時�����,獲取并利用所述過濾規(guī)則對所述域名和所述IP地址進行過濾��。[0021]優(yōu)選的,所述網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備設(shè)有多個無線接口�����,每個所述無線接口均對應(yīng)一所述過濾規(guī)則����,所述步驟S3具體包括:[0022]步驟S31,利用一橋接轉(zhuǎn)發(fā)表對各個所述無線接口進行標識��,使不同的所述無線接口的所述報文通過所述網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備時附加有一對應(yīng)的標識����;[0023]步驟S32,于所述報文為DNS報文時�����,通過所述標識獲取所述DNS報文對應(yīng)的無線接口���,獲取并利用所述DNS報文對應(yīng)無線接口的過濾規(guī)則對所述域名和所述IP地址進行過濾。[0024]優(yōu)選的����,所述橋接轉(zhuǎn)發(fā)表為broute鏈表�����,以及所述標志模塊用以利用ebtables的規(guī)則于所述broute鏈表中對各個所述無線接口進行標識����。[0025]優(yōu)選的����,所述步驟SI之后還包括:[0026]步驟Sll,利用所述過濾規(guī)則對所述報文的源MAC地址和目的MAC地址進行過濾����。[0027]優(yōu)選的,所述步驟SI之后還包括:[0028]步驟S12�,利用所述過濾規(guī)則對所述報文的傳輸路徑進行過濾。[0029]上述技術(shù)方案的有益效果是:[0030]上述技術(shù)方案通過對一報文是否為DNS報文進行判斷���,如果為DNS報文�,則對該DNS報文進行域名解析����,以對DNS報文訪問的域名和IP地址進行過濾,完善了網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備防火墻的過濾功能�,提高了報文通過網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備傳輸?shù)陌踩禂?shù)����?�!靖綀D說明】[0031]圖1為本發(fā)明一種報文過濾系統(tǒng)的實施例的結(jié)構(gòu)示意圖�;[0032]圖2為本發(fā)明一種報文過濾方法的實施例的流程圖?����!揪唧w實施方式】[0033]需要說明的是��,在不沖突的情況下�����,下述技術(shù)方案��,技術(shù)特征之間可以相互組合�。[0034]下面結(jié)合附圖對本發(fā)明的【具體實施方式】作進一步的說明:[0035]本實施例提供了一種報文過濾系統(tǒng),應(yīng)用于無線橋接模式下的網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備轉(zhuǎn)發(fā)報文的過程中�,如圖1所示,網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備包括:[0036]存儲模塊I�,存儲有過濾規(guī)則;[0037]判斷模塊2����,與存儲模塊I連接,用以判斷報文是否為DNS特征的報文�;[0038]解析模塊3,與判斷模塊2連接���,用以于報文為DNS報文時����,讀取DNS報文的域名���,并且解析模塊3用以對DNS報文進行域名解析以獲取DNS報文的IP地址�;[0039]過濾模塊4�,分別與存儲模塊1、判斷模塊2��、解析模塊3連接�����,用以獲取并利用過濾規(guī)則對域名和IP地址進行過濾�����。[0040]本實施例中,若是傳輸?shù)膱笪臑镈NS特征的報文簡稱為DNS報文���,則需要讀取DNS報文的域名并且進行域名解析�,以獲取需要訪問的域名以及報文接收端的終端設(shè)備的IP地址�,過濾模塊4可以通過預(yù)存儲的過濾規(guī)則對域名和報文接收端的終端設(shè)備的IP地址進行過濾,通過上述技術(shù)方案可以對DNS報文進行過濾�����,完善了防火墻的過濾功能�。[0041]本發(fā)明一個較佳的實施例中,網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備設(shè)有多個無線接口����,每個無線接口均對應(yīng)一過濾規(guī)則,網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備還包括:標志模塊�����,與過濾模塊4連接�����,用以利用一橋接轉(zhuǎn)發(fā)表對各個無線接口進行標識,以使不同的無線接口的報文通過網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備時分別附加有對應(yīng)的標識����;以及過濾模塊4用以根據(jù)標識獲取并利用DNS報文對應(yīng)無線接口的過濾規(guī)則對域名和IP地址進行過濾���。[0042]本實施例中���,網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備可以包括一標志模塊,例如�,該標志模塊在網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備的每一個無線接口上進行標識,網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備的第一個無線接口標識為markl�����,網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備的第二個無線接口標識為mark2等�����,在報文經(jīng)過第一個無線接口后�����,網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備中的一個捕捉模塊可以將報文攔截����,捕捉模塊的功能為捕捉轉(zhuǎn)發(fā)的報文��,讀取報文既可獲知該報文時從那一個無線接口發(fā)送的��。本實施例中的無線接口可用其廣播的服務(wù)集標識(ServiceSetIdentifier����,SSID)進行區(qū)分����。[0043]進一步的,以Linux系統(tǒng)下的網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備為例�,本實施例的鏈表中的每個節(jié)點采用sk_bufTer結(jié)構(gòu)進行存儲,捕捉模塊通過讀取sk_bufTer->mark獲知是哪一個無線接口轉(zhuǎn)發(fā)的報文���。[0044]本發(fā)明一個較佳的實施例中���,橋接轉(zhuǎn)發(fā)表為broute鏈表,以及標志模塊用以利用ebtables的規(guī)則于broute鏈表中對各個無線接口進行標識�。[0045]上述的每個過濾規(guī)則可以包括四個部分,其中���,四個部分分別為發(fā)送報文的終端設(shè)備的MAC地址����、接收報文的終端設(shè)備的IP地址,接收報文的終端設(shè)備的無線接口信息和訪問的域名�����。[0046]本發(fā)明一個較佳的實施例中���,網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備還包括:[0047]第一過濾模塊,與判斷模塊連接��,用以利用過濾規(guī)則對報文的源MAC地址和目的MAC地址進行過濾�。[0048]本發(fā)明一個較佳的實施例中,網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備還包括:[0049]第二過濾模塊����,與判斷模塊連接,用以利用過濾規(guī)則對報文的傳輸路徑進行過濾���,此處路徑指統(tǒng)一資源定位符URL�����。[0050]上述實施例中�,例如,對源MAC地址發(fā)送報文的終端設(shè)備的MAC地址和目的MAC地址接收報文的終端設(shè)備的MAC地址以及對報文的傳輸路徑進行過濾的方法可以是通過現(xiàn)有的方式�,本實施例在此不進行贅述。[0051]本實施例提供了一種報文過濾方法�����,如圖2所示��,包括:[0052]步驟SI��,提供一預(yù)存儲有過濾規(guī)則的網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備�����,網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備轉(zhuǎn)發(fā)一報文時�����,判斷報文是否為DNS特征的報文��;[0053]步驟S2�,讀取DNS報文的域名,并且對DNS報文進行域名解析以獲取DNS報文的IP地址��;[0054]步驟S3����,于報文為DNS報文時����,獲取并利用過濾規(guī)則對域名和IP地址進行過濾���。[0055]本發(fā)明一個較佳的實施例中��,網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備設(shè)有多個無線接口�����,每個無線接口均對應(yīng)一過濾規(guī)則,步驟S3具體包括:[0056]步驟S31��,利用一橋接轉(zhuǎn)發(fā)表對各個無線接口進行標識�����,使不同的無線接口的報文通過網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備時附加有一對應(yīng)的標識���;[0057]步驟S32�����,于報文為DNS報文時��,通過標識獲取DNS報文對應(yīng)的無線接口����,獲取并利用DNS報文對應(yīng)無線接口的過濾規(guī)則對域名和IP地址進行過濾。[0058]本發(fā)明一個較佳的實施例中�,以基于Linux系統(tǒng)的網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備為例,橋接轉(zhuǎn)發(fā)表為broute鏈表���,以及標志模塊用以利用ebtables的規(guī)則于broute鏈表中對各個無線接口進行標識�。[0059]本發(fā)明一個較佳的實施例中�����,步驟SI之后還包括:[0060]步驟Sll���,利用過濾規(guī)則對報文的源MAC地址和目的MAC地址進行過濾�。[0061]本發(fā)明一個較佳的實施例中�,步驟SI之后還包括:[0062]步驟S12,利用過濾規(guī)則對報文的傳輸路徑進行過濾�����。[0063]結(jié)合上述實施例,先提供一種實際應(yīng)用場景對上述技術(shù)方案進行進一步的說明���,例如��,上述技術(shù)方案可以應(yīng)用于一路由器轉(zhuǎn)發(fā)發(fā)送報文的終端設(shè)備簡稱為第一設(shè)備向接收報文的終端設(shè)備簡稱為第二設(shè)備發(fā)送的報文�,路由器即為上述的網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備�����,該路由器工作于無線橋接模式下�,在路由器的內(nèi)核中存儲有過濾列表,過濾列表即為過濾規(guī)則���,過濾列表包括需要過濾的第一設(shè)備的MAC地址�、第二設(shè)備的IP地址�,第二設(shè)備的無線接口信息和訪問的域名���,并且上述四個部分分別列出����,需要說明的是��,路由器的每個無線接口(以服務(wù)集標識區(qū)分)均對應(yīng)一個過濾列表,并且每個無線接口都有其對應(yīng)的標識����。[0064]當?shù)谝辉O(shè)備發(fā)送報文至路由器時,判斷哪一個無線接口是報文進入的無線接口��。獲取第一無線接口對應(yīng)的過濾列表�,判斷報文是否為DNS特征的報文,若是為DNS特征的報文說明該報文進行了UDP封裝��,此時對該報文進行域名解析�����,得到該報文的請求訪問的域名���,同時在域名解析時還同時解析到了第二設(shè)備的IP地址�。[0065]通過無線橋接模式下的過濾方式對第一設(shè)備的MAC地址進行過濾���,第二設(shè)備的無線接口信息進行過濾��,所謂過濾可以為判斷第二設(shè)備的IP地址��、域名�����、第一設(shè)備的MAC地址��、第二設(shè)備的無線接口信息是否在過濾列表中�����,如果有任何一個過濾信息IP地址���、域名���、第一設(shè)備的MAC地址、第二設(shè)備的無線接口信息在����,則丟棄該報文,如果均不在過濾列表中��,則允許報文通過該路由器����,轉(zhuǎn)發(fā)至第二設(shè)備�����。[0066]綜上,上述技術(shù)方案通過對一報文是否為DNS報文進行判斷��,如果為DNS報文����,則對該DNS報文進行域名解析,以對DNS報文訪問的域名和IP地址進行過濾�,完善了網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備防火墻的過濾功能,提高了報文通過網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備傳輸?shù)陌踩禂?shù)�����。[0067]通過說明和附圖�����,給出了【具體實施方式】的特定結(jié)構(gòu)的典型實施例��,基于本發(fā)明精神���,還可作其他的轉(zhuǎn)換��。盡管上述發(fā)明提出了現(xiàn)有的較佳實施例�����,然而���,這些內(nèi)容并不作為局限�。[0068]對于本領(lǐng)域的技術(shù)人員而言�����,閱讀上述說明后��,各種變化和修正無疑將顯而易見���。因此���,所附的權(quán)利要求書應(yīng)看作是涵蓋本發(fā)明的真實意圖和范圍的全部變化和修正。在權(quán)利要求書范圍內(nèi)任何和所有等價的范圍與內(nèi)容�,都應(yīng)認為仍屬本發(fā)明的意圖和范圍內(nèi)?���!局鳈?quán)項】1.一種報文過濾系統(tǒng)����,其特征在于���,應(yīng)用于無線橋接模式下的網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備轉(zhuǎn)發(fā)報文的過程中,所述網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備包括:存儲模塊(I)��,存儲有過濾規(guī)則�;判斷模塊(2),與所述存儲模塊(I)連接��,用以判斷所述報文是否為DNS報文���;解析模塊⑶�,與所述判斷模塊⑵連接��,用以于所述報文為DNS報文時��,讀取所述DNS報文的域名�����,并且所述解析模塊(3)用以對所述DNS報文進行域名解析以獲取所述DNS報文的IP地址�����;過濾模塊(4),分別與所述存儲模塊(I)�、所述判斷模塊(2)、所述解析模塊(3)連接���,用以獲取并利用所述過濾規(guī)則對所述域名和所述IP地址進行過濾��。2.根據(jù)權(quán)利要求1所述的報文過濾系統(tǒng)�����,其特征在于�,所述網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備設(shè)有多個無線接口�,每個所述無線接口均對應(yīng)一所述過濾規(guī)則,所述網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備還包括標志模塊���,與所述過濾模塊(4)連接���,用以利用一橋接轉(zhuǎn)發(fā)表對各個所述無線接口進行標識,以使不同的所述無線接口的所述報文通過所述網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備時分別附加有對應(yīng)的標識�����;以及所述過濾模塊(4)用以根據(jù)所述標識獲取并利用所述DNS報文對應(yīng)無線接口的過濾規(guī)則對所述域名和所述IP地址進行過濾。3.根據(jù)權(quán)利要求2所述的報文過濾系統(tǒng)����,其特征在于,所述橋接轉(zhuǎn)發(fā)表為broute鏈表��,以及所述標志模塊用以利用ebtables的規(guī)則于所述broute鏈表中對各個所述無線接口進行標識�。4.根據(jù)權(quán)利要求1所述的報文過濾系統(tǒng)��,其特征在于��,所述網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備還包括:第一過濾模塊���,與所述判斷模塊連接�,用以利用所述過濾規(guī)則對所述報文的源MAC地址和目的MAC地址進行過濾�����。5.根據(jù)權(quán)利要求1所述的報文過濾系統(tǒng)�����,其特征在于����,所述網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備還包括:第二過濾模塊���,與所述判斷模塊連接,用以利用所述過濾規(guī)則對所述報文的傳輸路徑進行過濾��。6.一種報文過濾方法����,其特征在于,包括:步驟SI�����,提供一預(yù)存儲有過濾規(guī)則的網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備��,所述網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備轉(zhuǎn)發(fā)一報文時����,判斷所述報文是否為DNS特征的報文;步驟S2�,讀取所述DNS報文的域名,并且對所述DNS報文進行域名解析以獲取所述DNS報文的IP地址�����;步驟S3,于所述報文為DNS報文時����,獲取并利用所述過濾規(guī)則對所述域名和所述IP地址進行過濾。7.根據(jù)權(quán)利要求6所述的報文過濾方法����,其特征在于,所述網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備設(shè)有多個無線接口���,每個所述無線接口均對應(yīng)一所述過濾規(guī)則,所述步驟S3具體包括:步驟S31��,利用一橋接轉(zhuǎn)發(fā)表對各個所述無線接口進行標識�����,使不同的所述無線接口的所述報文通過所述網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備時附加有一對應(yīng)的標識��;步驟S32���,于所述報文為DNS報文時��,通過所述標識獲取所述DNS報文對應(yīng)的無線接口����,獲取并利用所述DNS報文對應(yīng)無線接口的過濾規(guī)則對所述域名和所述IP地址進行過濾。8.根據(jù)權(quán)利要求7所述的報文過濾方法��,其特征在于�,所述橋接轉(zhuǎn)發(fā)表為broute鏈表,以及所述標志模塊用以利用ebtables的規(guī)則于所述broute鏈表中對各個所述無線接口進行標識��。9.根據(jù)權(quán)利要求6所述的報文過濾方法���,其特征在于�����,所述步驟SI之后還包括:步驟Sll����,利用所述過濾規(guī)則對所述報文的源MAC地址和目的MAC地址進行過濾���。10.根據(jù)權(quán)利要求6所述的報文過濾方法���,其特征在于,所述步驟SI之后還包括:步驟S12,利用所述過濾規(guī)則對所述報文的傳輸路徑進行過濾��?����!疚臋n編號】H04L29/12GK105959284SQ201610283880【公開日】2016年9月21日【申請日】2016年4月29日【發(fā)明人】吳振華【申請人】上海斐訊數(shù)據(jù)通信技術(shù)有限公司