(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211023591.5 (22)申请日 2022.08.25 (71)申请人 武汉烽火技术服务有限公司 地址 430205 湖北省武汉市东湖开发区关 山二路附4号 申请人 烽火通信科技股份有限公司 (72)发明人 尹淇　 (74)专利代理 机构 深圳市六加知识产权代理有 限公司 4 4372 专利代理师 宋建平 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种为用户态网络协议栈提供防火墙功能 的方法和系统 (57)摘要 本发明涉及一种为用户态网络协议栈提供 防火墙功能的方法和系统。 其方法部分主要包 括： 使用具备基于二层链路报文的转发、 过滤能 力的交换芯片， 作为最前端的管理交换模块； 采 用分析器提取并分析经管理交换模块导流到内 核栈方向的报文； 对进入内核栈的报文进行是否 已知类型的判断并进行过滤处理； 基于用户态网 络协议栈收发报文， 由用户态网络协议栈自身进 行检查； 对导入到服务与行为管理模块中的报 文， 由服务与行为管理模块基于报文的来源确定 如何开启服务， 并根据处理的结果， 向分析器注 册对应的信息。 本发明可以提供高效的处理网络 信息流的方法， 提供最高的安全特性， 减少整个 设备受到安全威胁中断服 务的可能。 权利要求书2页 说明书11页 附图7页 CN 115396194 A 2022.11.25 CN 115396194 A 1.一种为用户态网络协议栈提供防火墙功能的方法， 其特 征在于， 包括： 使用具备基于二层链路报文的转发、 过滤能力的交换芯片， 作为最前端的管理交换模 块， 基于MAC层的信息， 分发数据报文； 采用分析器提取并分析经管理交换模块导流到 内核栈方向的报文， 以决定这部分报文 是丢弃还是向下游继续传递； 对进入内核栈的报文 进行是否已知类型的判断并进行 过滤处理； 基于用户态网络协议栈收发报文， 由用户态网络协议栈自身 进行检查； 对导入到服务与行为管理模块中的报文， 由服务与行为管理模块基于报文的来源确定 如何开启服务， 并根据处理的结果， 向分析器注册对应的信息， 以便影响未来的报文如何抵 达用户态网络协议栈。 2.根据权利要求1所述的为用户态网络协议栈提供防火墙功能的方法， 其特征在于， 对 于输入到管理 交换模块的数据报文， 其输入方式包括： 作为首站时， 本站 的管理交换模块对外端口直连北向管理端， 所有的数据报文均为管 理报文； 不作为首站时， 本站的管理交换模块连接业务处理芯片的镜像输出端口， 数据报文有 与业务随路的管理报文， 也允许配置 部分业务报文经本站防火墙处 理。 3.根据权利要求1所述的为用户态网络协议栈提供防火墙功能的方法， 其特征在于， 所 述采用分析器提取并分析经管理交换模块导流到内核栈方向的报文， 以决定这部分报文 是 丢弃还是向下游继续传递具体包括： 对于不通过安全设置检查的报文， 直接 丢弃； 对于通过安全设置检查， 且属于特殊的管理配置的报文， 执行用户态网络协议栈侧的 服务与行为管理模块在启动时向分析器注册的回调接口， 以增加相关的配置； 具体的配置 包括： 管理 交换模块的报文路径设置、 内核栈的过 滤行为； 对于通过了安全设置检查， 并属于防火墙暂无法判断是否属于安全类型的报文， 防火 墙不对这类报文 执行任何动作， 此时相关数据报文能够经过内核协 议栈抵达用户态网络协 议栈一侧。 4.根据权利要求3所述的为用户态网络协议栈提供防火墙功能的方法， 其特征在于， 所 述不通过安全设置检查的报文 具体包括MAC地址不匹配的报文、 同一MAC多次发起同样的建 立连接请求的报文、 同一MAC频繁发起多次尝试连接请求但是多次不通过后端要求的密钥 验证环节的报文中的一种或多种。 5.根据权利要求3所述的为用户态网络协议栈提供防火墙功能的方法， 其特征在于， 所 述对进入内核栈的报文 进行是否已知类型的判断并进行 过滤处理具体包括： 对于未知类型报文， 认为 其不安全， 直接 丢弃； 对于已知类型报文， 暂时认可其 安全性， 交给 下游环节检查； 对于已知类型报文， 在下游环节检查后认为存在攻击行为的， 执行相关动作， 该相关动 作通过分析器的回调手段， 交给分析器处 理。 6.根据权利要求5所述的为用户态网络协议栈提供防火墙功能的方法， 其特征在于， 所 述基于用户态网络协议栈收发报文， 由用户态网络协议栈自身 进行检查具体包括： 用户态网络协议栈对应用层提供封装过的用户态网络协议栈套接字， 所述用户态网络权　利　要　求　书 1/2 页 2 CN 115396194 A 2协议栈套接字能够同时接 收到通过内核栈过来的数据， 或直接使用业务交换DMA通道获取 的数据； 当用户态网络协议栈接收到来源为内核栈的数据后， 判断是否已建立连接， 若没有建 立则建立连接， 生成用户态网络协议栈套接字， 并通过服务与行为管理模块拉起对应的服 务。 7.根据权利要求6所述的为用户态网络协议栈提供防火墙功能的方法， 其特征在于， 在 所述判断是否已建立连接时， 若已有建立连接， 则报文不会从内核栈进入用户态网络协议 栈。 8.根据权利要求6所述的为用户态网络协议栈提供防火墙功能的方法， 其特征在于， 所 述对导入到服务与行为管理模块中的报文， 由服务与行为管理模块基于报文的来源确定如 何开启服 务具体包括： 对于分析器过来的报文， 分为有效的配置报文以及无效的配置报文， 对该配置报文提 供新的过 滤行为配置； 对于内核栈过来的报文， 如果是新建连接报文， 则根据允许的连接数建立连接实例； 如 果内核栈过来的报文不是新建连接报文， 则判定其为存在攻击行为的异常报文， 直接提取 特征交给分析器进行对应过滤， 未来的相关报文在分析器通过XDP向内核栈实际处理报文 前的挂接的钩子处直接 丢弃； 对于业务交换提取的报文， 正常只可能是已建立连接的报文， 允许直接使用； 若不是已 建立连接的报文， 则判定为 攻击报文， 直接 丢弃。 9.根据权利要求1 ‑8任一所述的为用户态网络协议栈提供防火墙功能的方法， 其特征 在于， 报文的传递路径包括： 经过分析器的报文， 通过分析器的比对确认报文的合法与安全性， 所有未经过安全检 查的报文都应先导入分析器分析以标定其未来路径走向； 当分析器在其管辖范围内不认为该报文信 息需要其检查的情况下， 对应报文会进入到 内核栈， 并基于内核栈的过 滤配置确认该报文的下一 步走向； 通过业务交换的D PDK形态的驱动直接提取到用户态网络协议栈。 10.一种为用户态网络协议栈提供防火墙功能的系统， 其特征在于， 包括防火墙、 用户 态网络协议栈以及服务与行为管理模块， 所述防火墙包括管理交换模块、 分析器以及内核 栈， 其中： 所述管理交换模块用于提供基于二层链路报文的转发、 过滤能力， 并基于MAC层的信 息， 分发数据报文； 所述分析器用于提取并分析经管理交换模块导流到内核栈方向的报文， 以决定这部分 报文是丢弃还是向下游继续传递； 所述内核栈用于对报文 进行是否已知类型的判断并进行 过滤处理； 所述用户态网络协议栈用于对抵 达自身的报文 进行应用层过 滤机制的检查； 所述服务与 行为管理模块基于所述用户态网络协议栈运行， 用于根据报文的来源确定 如何开启服务， 并根据处理的结果， 向分析器注册对应的信息， 以便影响未来的报文如何抵 达用户态网络协议栈。权　利　要　求　书 2/2 页 3 CN 115396194 A 3