專(zhuān)利名稱(chēng):防火墻的數(shù)據(jù)檢測(cè)方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明實(shí)施例涉及網(wǎng)絡(luò)安全技術(shù)�,尤其涉及一種防火墻的數(shù)據(jù)檢測(cè)方法及裝置。
背景技術(shù):
隨著計(jì)算機(jī)以及網(wǎng)絡(luò)技術(shù)的快速發(fā)展與廣泛應(yīng)用�����,現(xiàn)代信息技術(shù)對(duì)人類(lèi)的文明進(jìn)步起到了巨大的推動(dòng)作用����。但是,信息網(wǎng)絡(luò)因其自身的開(kāi)放性導(dǎo)致安全方面出現(xiàn)諸多漏洞����。 黑客攻擊、蠕蟲(chóng)病毒����、惡意代碼的大量涌現(xiàn),信息網(wǎng)絡(luò)所面臨的風(fēng)險(xiǎn)逐日倍增����。為了實(shí)現(xiàn)防御,通常在網(wǎng)絡(luò)中部署防火墻設(shè)備�����。為了適應(yīng)數(shù)據(jù)傳輸速率的不斷提高,現(xiàn)有技術(shù)的防火墻設(shè)備中通常包括快速轉(zhuǎn)發(fā)器和檢測(cè)處理器����,快速轉(zhuǎn)發(fā)器將接收到的應(yīng)用數(shù)據(jù)發(fā)送給檢測(cè)處理器進(jìn)行威脅檢測(cè),快速轉(zhuǎn)發(fā)器再將通過(guò)檢測(cè)處理器檢測(cè)的應(yīng)用數(shù)據(jù)進(jìn)行快速轉(zhuǎn)發(fā)��,以實(shí)現(xiàn)對(duì)應(yīng)用數(shù)據(jù)的檢測(cè)���。上述技術(shù)方案在實(shí)際應(yīng)用中至少存在以下問(wèn)題由于快速轉(zhuǎn)發(fā)器需要將接收到的所有應(yīng)用數(shù)據(jù)發(fā)送給檢測(cè)處理設(shè)備進(jìn)行檢測(cè)���,當(dāng)接收到的應(yīng)用數(shù)據(jù)量很大時(shí)�����,由于檢測(cè)處理設(shè)備的處理能力有限��,對(duì)大量的應(yīng)用數(shù)據(jù)進(jìn)行檢測(cè)時(shí)����,檢測(cè)效果不佳。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供一種防火墻的數(shù)據(jù)檢測(cè)方法及裝置����,以提高防火墻對(duì)應(yīng)用數(shù)據(jù)的檢測(cè)效果。本發(fā)明實(shí)施例提供一種防火墻的數(shù)據(jù)檢測(cè)方法,包括接收應(yīng)用數(shù)據(jù)���;獲取接收到的應(yīng)用數(shù)據(jù)中的應(yīng)用信息�,根據(jù)所述應(yīng)用信息和應(yīng)用識(shí)別表判斷所述應(yīng)用數(shù)據(jù)對(duì)應(yīng)的應(yīng)用協(xié)議類(lèi)型���,所述應(yīng)用識(shí)別表包括應(yīng)用信息與應(yīng)用協(xié)議類(lèi)型的對(duì)應(yīng)關(guān)系��,所述應(yīng)用信息包括所述應(yīng)用數(shù)據(jù)對(duì)應(yīng)的目的互聯(lián)網(wǎng)協(xié)議IP地址����、目的端口和傳輸協(xié)議類(lèi)型���;根據(jù)所述應(yīng)用協(xié)議類(lèi)型查詢(xún)威脅檢測(cè)配置項(xiàng)��,以判斷所述應(yīng)用數(shù)據(jù)是否需要進(jìn)行威脅檢測(cè)���,其中,所述威脅檢測(cè)配置項(xiàng)包括需要進(jìn)行威脅檢測(cè)的應(yīng)用協(xié)議類(lèi)型和/或不需要進(jìn)行檢測(cè)的應(yīng)用協(xié)議類(lèi)型�����;若所述應(yīng)用數(shù)據(jù)不需要進(jìn)行威脅檢測(cè)��,則將所述應(yīng)用數(shù)據(jù)轉(zhuǎn)發(fā)。本發(fā)明實(shí)施例提供一種防火墻的數(shù)據(jù)檢測(cè)裝置�,包括快速轉(zhuǎn)發(fā)器;所述快速轉(zhuǎn)發(fā)器包括接收模塊��,用于接收應(yīng)用數(shù)據(jù)�����;應(yīng)用識(shí)別模塊�,用于獲取所述接收模塊接收到的應(yīng)用數(shù)據(jù)中的應(yīng)用信息,根據(jù)所
4述應(yīng)用信息和應(yīng)用識(shí)別表判斷所述應(yīng)用數(shù)據(jù)對(duì)應(yīng)的應(yīng)用協(xié)議類(lèi)型���,所述應(yīng)用識(shí)別表包括應(yīng)用信息與應(yīng)用協(xié)議類(lèi)型的對(duì)應(yīng)關(guān)系�,所述應(yīng)用信息包括所述應(yīng)用數(shù)據(jù)對(duì)應(yīng)的目的互聯(lián)網(wǎng)協(xié)議IP地址���、目的端口和傳輸協(xié)議類(lèi)型;判斷模塊�����,用于根據(jù)所述應(yīng)用識(shí)別模塊判斷出的所述應(yīng)用協(xié)議類(lèi)型查詢(xún)威脅檢測(cè)配置項(xiàng)���,以判斷所述應(yīng)用數(shù)據(jù)是否需要進(jìn)行威脅檢測(cè)�����,其中��,所述威脅檢測(cè)配置項(xiàng)包括需要進(jìn)行威脅檢測(cè)的應(yīng)用協(xié)議類(lèi)型和/或不需要進(jìn)行檢測(cè)的應(yīng)用協(xié)議類(lèi)型�;轉(zhuǎn)發(fā)模塊,用于若所述判斷模塊判斷出所述應(yīng)用數(shù)據(jù)不需要進(jìn)行威脅檢測(cè)時(shí)�����,轉(zhuǎn)發(fā)所述應(yīng)用數(shù)據(jù)��。由上述技術(shù)方案可知���,通過(guò)接收應(yīng)用數(shù)據(jù)�����,獲取接收到的應(yīng)用數(shù)據(jù)中的應(yīng)用信息�, 根據(jù)所述應(yīng)用信息和應(yīng)用識(shí)別表判斷所述應(yīng)用數(shù)據(jù)對(duì)應(yīng)的應(yīng)用協(xié)議類(lèi)型�����,根據(jù)所述應(yīng)用協(xié)議類(lèi)型查詢(xún)威脅檢測(cè)配置項(xiàng)����,以判斷所述應(yīng)用數(shù)據(jù)是否需要進(jìn)行威脅檢測(cè)�����,若所述應(yīng)用數(shù)據(jù)不需要進(jìn)行威脅檢測(cè)��,則將所述應(yīng)用數(shù)據(jù)轉(zhuǎn)發(fā)����。本發(fā)明實(shí)施例提供的防火墻的數(shù)據(jù)檢測(cè)方法及裝置���,避免了將所有的應(yīng)用數(shù)據(jù)都發(fā)送給檢測(cè)處理器進(jìn)行檢測(cè)而造成的防火墻性能下降的問(wèn)題���,提高了防火墻對(duì)應(yīng)用數(shù)據(jù)的檢測(cè)效果。
為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案����,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡(jiǎn)單地介紹���,顯而易見(jiàn)地����,下面描述中的附圖是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講���,在不付出創(chuàng)造性勞動(dòng)性的前提下����,還可以根據(jù)這些附圖獲得其他的附圖��。圖I為本發(fā)明實(shí)施例提供的一種防火墻的數(shù)據(jù)檢測(cè)方法流程圖�;圖2為本發(fā)明實(shí)施例提供的另一種防火墻的數(shù)據(jù)檢測(cè)方法流程圖;圖3為本發(fā)明實(shí)施例提供的一種防火墻的數(shù)據(jù)檢測(cè)裝置結(jié)構(gòu)示意圖�����;圖4為本發(fā)明實(shí)施例提供的另一種防火墻的數(shù)據(jù)檢測(cè)裝置結(jié)構(gòu)示意圖�。
具體實(shí)施例方式為使本發(fā)明實(shí)施例的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚�,下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚�����、完整地描述�,顯然,所描述的實(shí)施例是本發(fā)明一部分實(shí)施例���,而不是全部的實(shí)施例����。基于本發(fā)明中的實(shí)施例�,本領(lǐng)域普通技術(shù)人員在沒(méi)有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍��。圖I為本發(fā)明實(shí)施例提供的一種防火墻的數(shù)據(jù)檢測(cè)方法流程圖�����。如圖I所示��,本實(shí)施例提供的防火墻的數(shù)據(jù)檢測(cè)方法具體可以應(yīng)用于防火墻對(duì)應(yīng)用數(shù)據(jù)的檢測(cè)���,該防火墻可以設(shè)置在網(wǎng)關(guān)中��。本實(shí)施例提供的防火墻的數(shù)據(jù)檢測(cè)方法具體可以通過(guò)防火墻的數(shù)據(jù)檢測(cè)裝置來(lái)執(zhí)行�����,該防火墻的數(shù)據(jù)檢測(cè)裝置可以設(shè)置在防火墻中,可以通過(guò)軟件和/或硬件的方式來(lái)實(shí)現(xiàn)��。具體地,防火墻中可以設(shè)置有快速轉(zhuǎn)發(fā)器和檢測(cè)處理器���??焖俎D(zhuǎn)發(fā)器為可以實(shí)現(xiàn)應(yīng)用數(shù)據(jù)轉(zhuǎn)發(fā)的高速設(shè)備�,可以通過(guò)現(xiàn)場(chǎng)可編程門(mén)陣列(Field Programmable Gate Array,簡(jiǎn)稱(chēng)FPGA)來(lái)實(shí)現(xiàn),也可以通過(guò)特殊應(yīng)用集成電路(Application Specific Integrated Circuit,簡(jiǎn)稱(chēng)ASIC)來(lái)實(shí)現(xiàn)����。快速轉(zhuǎn)發(fā)器的實(shí)現(xiàn)方式可以根據(jù)實(shí)際的應(yīng)用數(shù)據(jù)轉(zhuǎn)發(fā)需求來(lái)具體設(shè)置�,可以實(shí)現(xiàn)對(duì)應(yīng)用數(shù)據(jù)的快速轉(zhuǎn)發(fā)即可,不以本實(shí)施例為限���。本實(shí)施例中提供的防火墻的數(shù)據(jù)檢測(cè)方法��,以快速轉(zhuǎn)發(fā)器的操作為例����,進(jìn)行具體說(shuō)明如下方法流程包括步驟101�����、接收應(yīng)用數(shù)據(jù);本步驟中����,終端通常通過(guò)網(wǎng)關(guān)接入互聯(lián)網(wǎng),與網(wǎng)絡(luò)中的服務(wù)器等網(wǎng)絡(luò)設(shè)備進(jìn)行數(shù)據(jù)交互��?����?焖俎D(zhuǎn)發(fā)器接收到的應(yīng)用數(shù)據(jù)具體可以為網(wǎng)絡(luò)中網(wǎng)絡(luò)設(shè)備之間數(shù)據(jù)交互過(guò)程中產(chǎn)生的應(yīng)用數(shù)據(jù)��。步驟102���、獲取接收到的應(yīng)用數(shù)據(jù)中的應(yīng)用信息��,根據(jù)所述應(yīng)用信息和應(yīng)用識(shí)別表判斷所述應(yīng)用數(shù)據(jù)對(duì)應(yīng)的應(yīng)用協(xié)議類(lèi)型���;其中,快速轉(zhuǎn)發(fā)器對(duì)接收到的應(yīng)用數(shù)據(jù)進(jìn)行解析�,獲取應(yīng)用數(shù)據(jù)對(duì)應(yīng)的互聯(lián)網(wǎng)目的協(xié)議IP地址、目的端口和傳輸協(xié)議類(lèi)型�����,根據(jù)目的IP地址、目的端口和傳輸協(xié)議類(lèi)型生成應(yīng)用信息���,所述應(yīng)用識(shí)別表包括應(yīng)用信息與應(yīng)用協(xié)議類(lèi)型的對(duì)應(yīng)關(guān)系,所述應(yīng)用信息包括所述應(yīng)用數(shù)據(jù)對(duì)應(yīng)的目的互聯(lián)網(wǎng)協(xié)議IP地址�、目的端口和傳輸協(xié)議類(lèi)型;其中�,應(yīng)用數(shù)據(jù)對(duì)應(yīng)的應(yīng)用信息具體用以指示該應(yīng)用數(shù)據(jù)的目的主機(jī)地址和應(yīng)用類(lèi)型等信息?�?梢愿鶕?jù)該應(yīng)用信息對(duì)應(yīng)的應(yīng)用協(xié)議類(lèi)型來(lái)判斷應(yīng)用數(shù)據(jù)所對(duì)應(yīng)的應(yīng)用協(xié)議�,應(yīng)用協(xié)議類(lèi)型即服務(wù)類(lèi)型可以包括多種,如超文本傳輸協(xié)議(Hyper Text Transfer Protocol,簡(jiǎn)稱(chēng) HTTP)服務(wù)����、簡(jiǎn)單郵件傳輸協(xié)議(Simple Mail Transfer Protocol,簡(jiǎn)稱(chēng) SMTP)服務(wù)、即時(shí)通訊服務(wù)和企業(yè)私有服務(wù)等���。應(yīng)用數(shù)據(jù)對(duì)應(yīng)的應(yīng)用信息中具體可以包括目的互聯(lián)網(wǎng)協(xié)議IP地址���、目的端口和傳輸協(xié)議類(lèi)型,上述三種信息組成三元組信息���。應(yīng)用信息中還可以包括其他可以用以對(duì)應(yīng)用數(shù)據(jù)分類(lèi)的信息��,不以本實(shí)施例為限�����。所述應(yīng)用識(shí)別表包括應(yīng)用信息與應(yīng)用協(xié)議類(lèi)型的對(duì)應(yīng)關(guān)系����,例如目的IP地址為202. 22. I. 33,目的端口為80,傳輸協(xié)議類(lèi)型為傳輸控制協(xié)議(Transmission Control Protocol,簡(jiǎn)稱(chēng)TCP)的三兀組應(yīng)用信息對(duì)應(yīng)于HTTP服務(wù)��。步驟103����、根據(jù)所述應(yīng)用協(xié)議類(lèi)型查詢(xún)威脅檢測(cè)配置項(xiàng),以判斷所述應(yīng)用數(shù)據(jù)是否需要進(jìn)行威脅檢測(cè)����;其中,所述威脅檢測(cè)配置項(xiàng)包括需要進(jìn)行威脅檢測(cè)的應(yīng)用協(xié)議類(lèi)型和/或不需要進(jìn)行檢測(cè)的應(yīng)用協(xié)議類(lèi)型�,威脅檢測(cè)配置項(xiàng)具體可以從檢測(cè)處理器中獲取,也可以根據(jù)檢測(cè)處理器對(duì)應(yīng)用數(shù)據(jù)進(jìn)行威脅檢測(cè)的檢測(cè)結(jié)果生成�����,也可以動(dòng)態(tài)更新����,不同應(yīng)用類(lèi)型的應(yīng)用數(shù)據(jù)容易攜帶威脅的程度不同��,則可以根據(jù)應(yīng)用協(xié)議類(lèi)型對(duì)應(yīng)用數(shù)據(jù)是否需要進(jìn)行威脅檢測(cè)進(jìn)行設(shè)置�。例如���,可以預(yù)先設(shè)置網(wǎng)段,目的主機(jī)地址在該網(wǎng)段內(nèi)的應(yīng)用數(shù)據(jù)都需要進(jìn)行威脅檢測(cè)�����。則可以根據(jù)應(yīng)用數(shù)據(jù)的目的主機(jī)地址對(duì)該應(yīng)用數(shù)據(jù)是否需要進(jìn)行威脅檢測(cè)進(jìn)行判斷�����。也可以根據(jù)應(yīng)用數(shù)據(jù)的應(yīng)用類(lèi)型對(duì)應(yīng)用數(shù)據(jù)是否需要進(jìn)行威脅檢測(cè)進(jìn)行判斷��。檢測(cè)處理器在對(duì)應(yīng)用數(shù)據(jù)的檢測(cè)過(guò)程中��,若對(duì)于具有相同應(yīng)用信息即同一應(yīng)用類(lèi)型的應(yīng)用數(shù)據(jù)的檢測(cè)結(jié)果通常為不存在威脅���,則可以認(rèn)為該應(yīng)用類(lèi)型對(duì)應(yīng)的應(yīng)用數(shù)據(jù)不易攜帶威脅����,可以不需要進(jìn)行威脅檢測(cè)。若對(duì)于同一應(yīng)用類(lèi)型的應(yīng)用數(shù)據(jù)的檢測(cè)結(jié)果通常為存在威脅��,則可以認(rèn)為該應(yīng)用類(lèi)型對(duì)應(yīng)的應(yīng)用數(shù)據(jù)容易攜帶威脅�����,需要進(jìn)行威脅檢測(cè)����。根據(jù)應(yīng)用類(lèi)型對(duì)威脅檢測(cè)配置項(xiàng)進(jìn)行查詢(xún),可以確定該應(yīng)用數(shù)據(jù)是否需要進(jìn)行檢測(cè)��。例如��,HTTP 服務(wù)中產(chǎn)生的應(yīng)用數(shù)據(jù)中易攜帶威脅��,需要進(jìn)行威脅檢測(cè)����,企業(yè)私有服務(wù)中產(chǎn)生的應(yīng)用數(shù)據(jù)中不易攜帶威脅,不需要進(jìn)行威脅檢測(cè)��。具體地�,威脅檢測(cè)配置項(xiàng)中還可以存儲(chǔ)有應(yīng)用信息和應(yīng)用類(lèi)型的對(duì)應(yīng)關(guān)系,可以通過(guò)查詢(xún)?cè)撏{檢測(cè)配置項(xiàng)確定應(yīng)用信息所述的應(yīng)用類(lèi)型��。通過(guò)威脅檢測(cè)配置項(xiàng)的設(shè)置,可以對(duì)不同應(yīng)用類(lèi)型的應(yīng)用數(shù)據(jù)是否需要進(jìn)行威脅檢測(cè)情況進(jìn)行管理���,快速轉(zhuǎn)發(fā)器對(duì)該威脅檢測(cè)配置項(xiàng)進(jìn)行查詢(xún)即可獲知該應(yīng)用數(shù)據(jù)是否需要進(jìn)行威脅檢測(cè)�����,實(shí)現(xiàn)簡(jiǎn)單�,且執(zhí)行效率高���。步驟104、若所述應(yīng)用數(shù)據(jù)不需要進(jìn)行威脅檢測(cè)�����,則將所述應(yīng)用數(shù)據(jù)轉(zhuǎn)發(fā)�����??焖俎D(zhuǎn)發(fā)器若識(shí)別到應(yīng)用數(shù)據(jù)不需要進(jìn)行威脅檢測(cè)時(shí),將應(yīng)用數(shù)據(jù)直接轉(zhuǎn)發(fā)��。本實(shí)施例提供的防火墻的數(shù)據(jù)檢測(cè)方法����,通過(guò)接收應(yīng)用數(shù)據(jù)�����,獲取接收到的應(yīng)用數(shù)據(jù)中的應(yīng)用信息�����,根據(jù)所述應(yīng)用信息和應(yīng)用識(shí)別表判斷所述應(yīng)用數(shù)據(jù)對(duì)應(yīng)的應(yīng)用協(xié)議類(lèi)型����,根據(jù)所述應(yīng)用協(xié)議類(lèi)型查詢(xún)威脅檢測(cè)配置項(xiàng)�,以判斷所述應(yīng)用數(shù)據(jù)是否需要進(jìn)行威脅檢測(cè),若所述應(yīng)用數(shù)據(jù)不需要進(jìn)行威脅檢測(cè)��,則將所述應(yīng)用數(shù)據(jù)轉(zhuǎn)發(fā)��。避免了將所有的應(yīng)用數(shù)據(jù)都發(fā)送給檢測(cè)處理器進(jìn)行檢測(cè)而造成的防火墻性能下降的問(wèn)題��,提高了防火墻對(duì)應(yīng)用數(shù)據(jù)的檢測(cè)效果�����。圖2為本發(fā)明實(shí)施例提供的另一種防火墻的數(shù)據(jù)檢測(cè)方法流程圖。如圖2所示��, 以快速轉(zhuǎn)發(fā)器為例��,具體可以包括如下步驟步驟201��、接收應(yīng)用數(shù)據(jù)�;步驟202、獲取接收到的應(yīng)用數(shù)據(jù)中的應(yīng)用信息�,根據(jù)所述應(yīng)用信息和應(yīng)用識(shí)別表判斷出所述應(yīng)用數(shù)據(jù)對(duì)應(yīng)的應(yīng)用協(xié)議類(lèi)型;步驟203��、根據(jù)所述應(yīng)用信息和應(yīng)用識(shí)別表判斷不出所述應(yīng)用數(shù)據(jù)對(duì)應(yīng)的應(yīng)用協(xié)議類(lèi)型時(shí)��,將所述應(yīng)用數(shù)據(jù)發(fā)送給所述檢測(cè)處理器�;該步驟中,檢測(cè)處理器需要對(duì)應(yīng)用數(shù)據(jù)進(jìn)行協(xié)議類(lèi)型識(shí)別��,并判斷應(yīng)用數(shù)據(jù)是否需要進(jìn)行威脅檢測(cè)����,當(dāng)應(yīng)用數(shù)據(jù)需要進(jìn)行威脅檢測(cè)時(shí)���,執(zhí)行步驟206 ;當(dāng)應(yīng)用數(shù)據(jù)不需要進(jìn)行威脅檢測(cè)時(shí)�,執(zhí)行步驟205;同時(shí),該步驟中��,檢測(cè)處理器還需要針對(duì)新識(shí)別出的應(yīng)用協(xié)議類(lèi)型和/或威脅檢測(cè)的結(jié)果生成更新信息�����,并將更新信息發(fā)送給快速轉(zhuǎn)發(fā)器�,以更新快速轉(zhuǎn)發(fā)器本地的應(yīng)用識(shí)別表和/或威脅檢測(cè)配置項(xiàng)。針對(duì)步驟203�,快速轉(zhuǎn)發(fā)器需要執(zhí)行步驟203-a、接收來(lái)自所述檢測(cè)處理器的更新信息��,并對(duì)所述應(yīng)用識(shí)別表和所述威脅檢測(cè)配置項(xiàng)進(jìn)行更新���;其中��,所述更新信息由所述檢測(cè)處理器對(duì)所述應(yīng)用數(shù)據(jù)進(jìn)行應(yīng)用協(xié)議識(shí)別和/或威脅檢測(cè)的結(jié)果生成�,所述更新信息包括所述應(yīng)用數(shù)據(jù)對(duì)應(yīng)的應(yīng)用協(xié)議類(lèi)型和所述應(yīng)用數(shù)據(jù)是否需要進(jìn)行威脅檢測(cè)的信息�。步驟204、根據(jù)所述應(yīng)用協(xié)議類(lèi)型查詢(xún)威脅檢測(cè)配置項(xiàng)�����,以判斷所述應(yīng)用數(shù)據(jù)是否需要進(jìn)行威脅檢測(cè)���,當(dāng)不需要進(jìn)行威脅檢測(cè)時(shí)�����,執(zhí)行步驟205 ;當(dāng)需要進(jìn)行威脅檢測(cè)時(shí)�,執(zhí)行步驟206 ;步驟205�����、轉(zhuǎn)發(fā)所述應(yīng)用數(shù)據(jù)��,流程結(jié)束��;步驟206��、將所述應(yīng)用數(shù)據(jù)發(fā)送給檢測(cè)處理器���,檢測(cè)所述應(yīng)用數(shù)據(jù)是否存在威脅���, 當(dāng)檢測(cè)到所述應(yīng)用數(shù)據(jù)不存在威脅時(shí)����,執(zhí)行步驟207 ;當(dāng)檢測(cè)到所述應(yīng)用數(shù)據(jù)存在威脅時(shí),執(zhí)行步驟208 ;本步驟中�����,檢測(cè)處理器對(duì)接收到的應(yīng)用數(shù)據(jù)進(jìn)行檢測(cè)包括下述至少一種檢測(cè)處理器對(duì)接收到的應(yīng)用數(shù)據(jù)進(jìn)行入侵防御系統(tǒng)(Intrusion Prevention System,簡(jiǎn)稱(chēng)IPS)檢測(cè)�����;檢測(cè)處理器對(duì)接收到的應(yīng)用數(shù)據(jù)進(jìn)行反病毒(Anti Virus�����,簡(jiǎn)稱(chēng)AV)檢測(cè)����;檢測(cè)處理器對(duì)接收到的應(yīng)用數(shù)據(jù)進(jìn)行應(yīng)用分布式拒絕服務(wù)攻擊(Distributed Denial of Service,簡(jiǎn)稱(chēng) DDoS)檢測(cè)。步驟207�����、接收并轉(zhuǎn)發(fā)來(lái)自所述檢測(cè)處理器的所述應(yīng)用數(shù)據(jù)����;步驟208、接收來(lái)自檢測(cè)處理器的阻斷指令��,并對(duì)所述應(yīng)用數(shù)據(jù)進(jìn)行阻斷。圖3為本發(fā)明實(shí)施例提供的一種防火墻的數(shù)據(jù)檢測(cè)裝置結(jié)構(gòu)示意圖��。如圖3所示���,本實(shí)施例提供的防火墻的數(shù)據(jù)檢測(cè)裝置具體可以實(shí)現(xiàn)本發(fā)明任意實(shí)施例提供的防火墻的數(shù)據(jù)檢測(cè)方法的各個(gè)步驟�,此不再贅述���。本實(shí)施例提供的防火墻的數(shù)據(jù)檢測(cè)裝置具體包括快速轉(zhuǎn)發(fā)器300���。快速轉(zhuǎn)發(fā)器 300包括接收模塊310���,用于接收應(yīng)用數(shù)據(jù)���;應(yīng)用識(shí)別模塊320,用于獲取所述接收模塊310接收到的應(yīng)用數(shù)據(jù)中的應(yīng)用信息����, 根據(jù)所述應(yīng)用信息和應(yīng)用識(shí)別表判斷所述應(yīng)用數(shù)據(jù)對(duì)應(yīng)的應(yīng)用協(xié)議類(lèi)型,所述應(yīng)用識(shí)別表包括應(yīng)用信息與應(yīng)用協(xié)議類(lèi)型的對(duì)應(yīng)關(guān)系����,所述應(yīng)用信息包括所述應(yīng)用數(shù)據(jù)對(duì)應(yīng)的目的互聯(lián)網(wǎng)協(xié)議IP地址、目的端口和傳輸協(xié)議類(lèi)型���;判斷模塊330���,用于根據(jù)所述應(yīng)用識(shí)別模塊320判斷出的所述應(yīng)用協(xié)議類(lèi)型查詢(xún)威脅檢測(cè)配置項(xiàng),以判斷所述應(yīng)用數(shù)據(jù)是否需要進(jìn)行威脅檢測(cè)����,其中,所述威脅檢測(cè)配置項(xiàng)包括需要進(jìn)行威脅檢測(cè)的應(yīng)用協(xié)議類(lèi)型和/或不需要進(jìn)行檢測(cè)的應(yīng)用協(xié)議類(lèi)型���;轉(zhuǎn)發(fā)模塊340�,用于若所述判斷模塊330判斷出所述應(yīng)用數(shù)據(jù)不需要進(jìn)行威脅檢測(cè)時(shí)���,轉(zhuǎn)發(fā)所述應(yīng)用數(shù)據(jù)��。本實(shí)施例提供的防火墻的數(shù)據(jù)檢測(cè)裝置���,通過(guò)接收模塊接收應(yīng)用數(shù)據(jù),應(yīng)用識(shí)別模塊獲取接收到的應(yīng)用數(shù)據(jù)中的應(yīng)用信息�,根據(jù)所述應(yīng)用信息和應(yīng)用識(shí)別表判斷所述應(yīng)用數(shù)據(jù)對(duì)應(yīng)的應(yīng)用協(xié)議類(lèi)型,判斷模塊根據(jù)所述應(yīng)用協(xié)議類(lèi)型查詢(xún)威脅檢測(cè)配置項(xiàng)���,以判斷所述應(yīng)用數(shù)據(jù)是否需要進(jìn)行威脅檢測(cè)��,若所述應(yīng)用數(shù)據(jù)不需要進(jìn)行威脅檢測(cè)����,轉(zhuǎn)發(fā)模塊將所述應(yīng)用數(shù)據(jù)直接轉(zhuǎn)發(fā)。本發(fā)明實(shí)施例提供的防火墻的數(shù)據(jù)檢測(cè)方法及裝置�,避免了將所有的應(yīng)用數(shù)據(jù)都發(fā)送給檢測(cè)處理器進(jìn)行檢測(cè)而造成的防火墻性能下降的問(wèn)題,提高了防火墻對(duì)應(yīng)用數(shù)據(jù)的檢測(cè)效果�。圖4為本發(fā)明實(shí)施例提供的另一種防火墻的數(shù)據(jù)檢測(cè)裝置結(jié)構(gòu)示意圖。如圖4所示����,在本實(shí)施例中,所述快速轉(zhuǎn)發(fā)器400����,除了包括接收模塊410、應(yīng)用識(shí)別模塊420�、判斷模塊430、轉(zhuǎn)發(fā)模塊440之外還包括發(fā)送模塊450�����,用于若所述判斷模塊430判斷出所述應(yīng)用數(shù)據(jù)需要進(jìn)行威脅檢測(cè)時(shí)���,則將所述應(yīng)用數(shù)據(jù)發(fā)送給檢測(cè)處理器�����;所述轉(zhuǎn)發(fā)模塊440����,還用于若所述檢測(cè)處理器檢測(cè)出所述應(yīng)用數(shù)據(jù)不存在威脅時(shí)��, 接收并轉(zhuǎn)發(fā)來(lái)自所述檢測(cè)處理器的所述應(yīng)用數(shù)據(jù)����;
所述快速轉(zhuǎn)發(fā)器,還包括阻斷模塊460��,用于若所述檢測(cè)處理器檢測(cè)出所述應(yīng)用數(shù)據(jù)存在威脅時(shí)��,接收來(lái)自檢測(cè)處理器的阻斷指令�����,并對(duì)所述應(yīng)用數(shù)據(jù)進(jìn)行阻斷�����。所述發(fā)送模塊450,還用于所述應(yīng)用識(shí)別模塊判斷不出所述應(yīng)用數(shù)據(jù)對(duì)應(yīng)的應(yīng)用協(xié)議類(lèi)型時(shí)���,將所述應(yīng)用數(shù)據(jù)發(fā)送給所述檢測(cè)處理器��。所述快速轉(zhuǎn)發(fā)器400���,還包括更新模塊470,用于接收來(lái)自所述檢測(cè)處理器的更新信息�,并對(duì)所述應(yīng)用識(shí)別表和所述威脅檢測(cè)配置項(xiàng)進(jìn)行更新,所述更新信息由所述檢測(cè)處理器對(duì)所述應(yīng)用數(shù)據(jù)進(jìn)行應(yīng)用協(xié)議識(shí)別和/或威脅檢測(cè)的結(jié)果生成���,所述更新信息包括所述應(yīng)用數(shù)據(jù)對(duì)應(yīng)的應(yīng)用協(xié)議類(lèi)型和所述應(yīng)用數(shù)據(jù)是否需要進(jìn)行威脅檢測(cè)的信息����。本發(fā)明實(shí)施例提供的防火墻的數(shù)據(jù)檢測(cè)方法及裝置�,快速轉(zhuǎn)發(fā)器可以實(shí)現(xiàn)對(duì)接收到的應(yīng)用數(shù)據(jù)是夠進(jìn)行威脅檢測(cè)的判斷,對(duì)于不需要進(jìn)行威脅檢測(cè)的應(yīng)用數(shù)據(jù)直接轉(zhuǎn)發(fā)��, 避免了將所有的應(yīng)用數(shù)據(jù)都發(fā)送給檢測(cè)處理器進(jìn)行檢測(cè)而造成的防火墻性能下降的問(wèn)題���, 提高了防火墻對(duì)應(yīng)用數(shù)據(jù)的檢測(cè)效果�,也大大提高了防火墻的設(shè)備性能。而且通過(guò)應(yīng)用識(shí)別表的設(shè)置�����,可以更加方便地實(shí)現(xiàn)對(duì)應(yīng)用數(shù)據(jù)的識(shí)別過(guò)程��,再通過(guò)實(shí)際的檢測(cè)結(jié)果對(duì)應(yīng)用識(shí)別表進(jìn)行更新�����,使得該應(yīng)用識(shí)別表可以適應(yīng)網(wǎng)絡(luò)應(yīng)用的不斷發(fā)展�,提升識(shí)別應(yīng)用協(xié)議類(lèi)型的數(shù)量��。本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述方法實(shí)施例的全部或部分步驟可以通過(guò)程序指令相關(guān)的硬件來(lái)完成��,前述的程序可以存儲(chǔ)于一計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中����,該程序在執(zhí)行時(shí),執(zhí)行包括上述方法實(shí)施例的步驟�;而前述的存儲(chǔ)介質(zhì)包括R0M、RAM�、磁碟或者光盤(pán)等各種可以存儲(chǔ)程序代碼的介質(zhì)。最后應(yīng)說(shuō)明的是以上實(shí)施例僅用以說(shuō)明本發(fā)明的技術(shù)方案����,而非對(duì)其限制��;盡管參照前述實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)的說(shuō)明���,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解其依然可以對(duì)前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改,或者對(duì)其中部分技術(shù)特征進(jìn)行等同替換�����;而這些修改或者替換�����,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實(shí)施例技術(shù)方案的范圍�����。
權(quán)利要求
1.一種防火墻的數(shù)據(jù)檢測(cè)方法����,其特征在于,包括接收應(yīng)用數(shù)據(jù)����;獲取接收到的應(yīng)用數(shù)據(jù)中的應(yīng)用信息����,根據(jù)所述應(yīng)用信息和應(yīng)用識(shí)別表判斷所述應(yīng)用數(shù)據(jù)對(duì)應(yīng)的應(yīng)用協(xié)議類(lèi)型��,所述應(yīng)用識(shí)別表包括應(yīng)用信息與應(yīng)用協(xié)議類(lèi)型的對(duì)應(yīng)關(guān)系����,所述應(yīng)用信息包括所述應(yīng)用數(shù)據(jù)對(duì)應(yīng)的目的互聯(lián)網(wǎng)協(xié)議IP地址、目的端口和傳輸協(xié)議類(lèi)型����; 根據(jù)所述應(yīng)用協(xié)議類(lèi)型查詢(xún)威脅檢測(cè)配置項(xiàng),以判斷所述應(yīng)用數(shù)據(jù)是否需要進(jìn)行威脅檢測(cè)��,其中�����,所述威脅檢測(cè)配置項(xiàng)包括需要進(jìn)行威脅檢測(cè)的應(yīng)用協(xié)議類(lèi)型和/或不需要進(jìn)行檢測(cè)的應(yīng)用協(xié)議類(lèi)型��;若所述應(yīng)用數(shù)據(jù)不需要進(jìn)行威脅檢測(cè)���,則將所述應(yīng)用數(shù)據(jù)轉(zhuǎn)發(fā)。
2.根據(jù)權(quán)利要求I所述的防火墻的數(shù)據(jù)檢測(cè)方法����,其特征在于���,所述方法,還包括 若根據(jù)所述應(yīng)用協(xié)議類(lèi)型查詢(xún)威脅檢測(cè)配置項(xiàng)����,判斷出所述應(yīng)用數(shù)據(jù)需要進(jìn)行威脅檢測(cè)時(shí),則將所述應(yīng)用數(shù)據(jù)發(fā)送給檢測(cè)處理器�����;若所述檢測(cè)處理器檢測(cè)出所述應(yīng)用數(shù)據(jù)不存在威脅時(shí)���,接收并轉(zhuǎn)發(fā)來(lái)自所述檢測(cè)處理器的所述應(yīng)用數(shù)據(jù)��;
3.根據(jù)權(quán)利要求2所述的防火墻的數(shù)據(jù)檢測(cè)方法���,其特征在于,若所述檢測(cè)處理器檢測(cè)出所述應(yīng)用數(shù)據(jù)存在威脅時(shí)��,接收來(lái)自檢測(cè)處理器的阻斷指令�,并對(duì)所述應(yīng)用數(shù)據(jù)進(jìn)行阻斷。
4.根據(jù)權(quán)利要求I至3中任意一項(xiàng)所述的防火墻的數(shù)據(jù)檢測(cè)方法�����,其特征在于,所述方法�����,還包括根據(jù)所述應(yīng)用信息和應(yīng)用識(shí)別表判斷不出所述應(yīng)用數(shù)據(jù)對(duì)應(yīng)的應(yīng)用協(xié)議類(lèi)型時(shí)����,將所述應(yīng)用數(shù)據(jù)發(fā)送給所述檢測(cè)處理器。
5.根據(jù)權(quán)利要求4所述的防火墻的數(shù)據(jù)檢測(cè)方法�����,其特征在于��,所述方法����,還包括 接收來(lái)自所述檢測(cè)處理器的更新信息��,并對(duì)所述應(yīng)用識(shí)別表和所述威脅檢測(cè)配置項(xiàng)進(jìn)行更新��,所述更新信息由所述檢測(cè)處理器對(duì)所述應(yīng)用數(shù)據(jù)進(jìn)行應(yīng)用協(xié)議識(shí)別和/或威脅檢測(cè)的結(jié)果生成���,所述更新信息包括所述應(yīng)用數(shù)據(jù)對(duì)應(yīng)的應(yīng)用協(xié)議類(lèi)型和所述應(yīng)用數(shù)據(jù)是否需要進(jìn)行威脅檢測(cè)的信息���。
6.一種防火墻的數(shù)據(jù)檢測(cè)裝置�,其特征在于包括快速轉(zhuǎn)發(fā)器��;所述快速轉(zhuǎn)發(fā)器包括接收模塊��,用于接收應(yīng)用數(shù)據(jù)���;應(yīng)用識(shí)別模塊�����,用于獲取所述接收模塊接收到的應(yīng)用數(shù)據(jù)中的應(yīng)用信息�,根據(jù)所述應(yīng)用信息和應(yīng)用識(shí)別表判斷所述應(yīng)用數(shù)據(jù)對(duì)應(yīng)的應(yīng)用協(xié)議類(lèi)型���,所述應(yīng)用識(shí)別表包括應(yīng)用信息與應(yīng)用協(xié)議類(lèi)型的對(duì)應(yīng)關(guān)系�����,所述應(yīng)用信息包括所述應(yīng)用數(shù)據(jù)對(duì)應(yīng)的目的互聯(lián)網(wǎng)協(xié)議IP 地址�����、目的端口和傳輸協(xié)議類(lèi)型��;判斷模塊��,用于根據(jù)所述應(yīng)用識(shí)別模塊判斷出的所述應(yīng)用協(xié)議類(lèi)型查詢(xún)威脅檢測(cè)配置項(xiàng)�����,以判斷所述應(yīng)用數(shù)據(jù)是否需要進(jìn)行威脅檢測(cè)�����,其中��,所述威脅檢測(cè)配置項(xiàng)包括需要進(jìn)行威脅檢測(cè)的應(yīng)用協(xié)議類(lèi)型和/或不需要進(jìn)行檢測(cè)的應(yīng)用協(xié)議類(lèi)型����;轉(zhuǎn)發(fā)模塊,用于若所述判斷模塊判斷出所述應(yīng)用數(shù)據(jù)不需要進(jìn)行威脅檢測(cè)時(shí)����,轉(zhuǎn)發(fā)所述應(yīng)用數(shù)據(jù)�����。
7.根據(jù)權(quán)利要求6所述的防火墻的數(shù)據(jù)檢測(cè)裝置,其特征在于�����,所述快速轉(zhuǎn)發(fā)器����,還包括發(fā)送模塊,用于若所述判斷模塊判斷出所述應(yīng)用數(shù)據(jù)需要進(jìn)行威脅檢測(cè)時(shí)��,則將所述應(yīng)用數(shù)據(jù)發(fā)送給檢測(cè)處理器��;所述轉(zhuǎn)發(fā)模塊�����,還用于若所述檢測(cè)處理器檢測(cè)出所述應(yīng)用數(shù)據(jù)不存在威脅時(shí)���,接收并轉(zhuǎn)發(fā)來(lái)自所述檢測(cè)處理器的所述應(yīng)用數(shù)據(jù)��;
8.根據(jù)權(quán)利要求7所述的防火墻的數(shù)據(jù)檢測(cè)裝置����,其特征在于�����,所述快速轉(zhuǎn)發(fā)器,還包括阻斷模塊���,用于若所述檢測(cè)處理器檢測(cè)出所述應(yīng)用數(shù)據(jù)存在威脅時(shí)�����,接收來(lái)自檢測(cè)處理器的阻斷指令����,并對(duì)所述應(yīng)用數(shù)據(jù)進(jìn)行阻斷����。
9.根據(jù)權(quán)利要求6至8任意一項(xiàng)所述的防火墻的數(shù)據(jù)檢測(cè)裝置,其特征在于����,所述發(fā)送模塊,還用于所述應(yīng)用識(shí)別模塊判斷不出所述應(yīng)用數(shù)據(jù)對(duì)應(yīng)的應(yīng)用協(xié)議類(lèi)型時(shí)��,將所述應(yīng)用數(shù)據(jù)發(fā)送給所述檢測(cè)處理器�。
10.根據(jù)權(quán)利要求7所述的防火墻的數(shù)據(jù)檢測(cè)裝置,其特征在于,所述快速轉(zhuǎn)發(fā)器�����,還包括更新模塊�����,用于接收來(lái)自所述檢測(cè)處理器的更新信息����,并對(duì)所述應(yīng)用識(shí)別表和所述威脅檢測(cè)配置項(xiàng)進(jìn)行更新�����,所述更新信息由所述檢測(cè)處理器對(duì)所述應(yīng)用數(shù)據(jù)進(jìn)行應(yīng)用協(xié)議識(shí)別和/或威脅檢測(cè)的結(jié)果生成���,所述更新信息包括所述應(yīng)用數(shù)據(jù)對(duì)應(yīng)的應(yīng)用協(xié)議類(lèi)型和所述應(yīng)用數(shù)據(jù)是否需要進(jìn)行威脅檢測(cè)的信息���。
全文摘要
本發(fā)明實(shí)施例提供一種防火墻的數(shù)據(jù)檢測(cè)方法及裝置,該防火墻的數(shù)據(jù)檢測(cè)方法包括接收應(yīng)用數(shù)據(jù)�,獲取接收到的應(yīng)用數(shù)據(jù)中的應(yīng)用信息,根據(jù)所述應(yīng)用信息和應(yīng)用識(shí)別表判斷所述應(yīng)用數(shù)據(jù)對(duì)應(yīng)的應(yīng)用協(xié)議類(lèi)型����,根據(jù)所述應(yīng)用協(xié)議類(lèi)型查詢(xún)威脅檢測(cè)配置項(xiàng)��,以判斷所述應(yīng)用數(shù)據(jù)是否需要進(jìn)行威脅檢測(cè)��,若所述應(yīng)用數(shù)據(jù)不需要進(jìn)行威脅檢測(cè)���,則將所述應(yīng)用數(shù)據(jù)轉(zhuǎn)發(fā)。本發(fā)明實(shí)施例提供的防火墻的數(shù)據(jù)檢測(cè)方法及裝置���,避免了將所有的應(yīng)用數(shù)據(jù)都發(fā)送給檢測(cè)處理器進(jìn)行檢測(cè)而造成的防火墻性能下降的問(wèn)題����,提高了防火墻對(duì)應(yīng)用數(shù)據(jù)的檢測(cè)效果�。
文檔編號(hào)H04L29/06GK102594623SQ201210045928
公開(kāi)日2012年7月18日 申請(qǐng)日期2012年2月27日 優(yōu)先權(quán)日2011年12月31日
發(fā)明者李世光, 蔣武, 薛智慧 申請(qǐng)人:成都市華為賽門(mén)鐵克科技有限公司