在終端設備上同時實現遠程訪問控制和隔離區應用的方法

2023-06-09 01:01:41

專利名稱：：在終端設備上同時實現遠程訪問控制和隔離區應用的方法
技術領域：
：本發明涉及一種寬帶接入終端設備上的訪問控制方法，尤其涉及的是一種利用Linux內核的Netfilter機制，通過配置iptables規則，同時實現遠程訪問控制功能和DMZ(DemilitarizedZone,隔離區)應用方法。
背景技術：
：現有技術中，遠程訪問控制(RemoteAccessControl,以下簡稱RA)功能指的是在被管理設備上實現對於管理員通過遠程操作的方式訪問設備，讀寫設備信息行為的控制。具體的講，管理員可能通過多種方式遠程訪問設備，如HTTP方式、TELNET方式、SNMP方式、TFTP方式等，每種方式訪問所使用的網絡埠都是可以靈活配置的。由此，在被管理設備上對於每種方式的訪問提供使能和禁用的設置選項，並且允許用戶對各種方式訪問的埠號進行設置，這樣的設備就具備了RA功能。上述各種遠程訪問方式的主要區別在於，根據通訊協議不同，在設備上實現不同的伺服器功能，如HTTP方式需要設備實現HTTP伺服器功能，TELNET方式需要實現TELNET伺服器，等等。而針對各種遠程訪問方式，設備的RA技術原理是類似的，因此限於篇幅，本發明主要以HTTP方式的遠程訪問為例展開說明，下文所提到的遠程訪問方式也主要以HTTP方式為例，但其它方式的RA實現技術也在本發明的保護範圍內。圖1是現有技術HTTP方式RA的原理示意圖。從圖中可以看到，設備支持HTTP方式RA的前提是已經實現了HTTP伺服器功能，該伺服器在HTTP協議規定的標準埠(80埠)上監聽和處理來訪HTTP報文。當設備開啟了RA功能後，RA模塊會根據用戶設置的埠號(如8080埠)，將該埠的遠程來訪HTTP報文重定向到標準埠，以便設備的HTTP伺服器能夠處理該才艮文，從而滿足遠程用戶通過特定埠以HTTP方式遠程訪問設備的要求。DMZ(DemilitarizedZone)即俗稱的隔離區或非軍事區，與軍事區和信任區相對應，作用是把WEB，e-mail等允許外部訪問的伺服器單獨接在該區埠，使整個需要保護的內部網絡接在信任區埠後，不允許任何訪問，實現內夕卜網分離，從而達到用戶需求。DMZ可以理解為一個不同於外網或內網的特殊網絡區域，DMZ內通常放置一些不含機密信息的公用伺服器，比如Web、Mail、FTP等。這樣來自外網的訪問者可以訪問DMZ中的服務，但不可能接觸到存放在內網中的公司機密或私人信息等，即使DMZ中伺服器受到破壞，也不會對內網中的機密信息造成影響。如圖2所示是現有技術外網用戶通過DMZ訪問內網主機上提供的HTTP服務的原理示意圖。從圖中可以看到，終端設備實現DMZ功能的原理就是讓用戶設置DMZ主機的IP位址，然後根據用戶的設置，將外網用戶的訪問報文全部重定向轉發到內網主機上。對於外網用戶而言，他們是以終端設備的網絡側地址為目標地址發起HTTP請求，而實際提供HTTP服務的是內網主機上的HTTP伺服器。RA和DMZ功能的實現很大程度上依託了Linux內核的Netfilter機制。Linux從2.4內核版本開始將包篩選功能分解為兩大塊Netfilter鉤子函數和iptables包處理模塊a前者提供了方便的方式來在數據包通過Linux內核的不同位置上截獲和操縱處理過的IP包；而後者實現了三個規則列表分別用於IP數據包的過濾、轉發和處理。如圖3所示是現有技術Netfilter機制的原理示意圖，顯示了一個IP數據包通過Netfilter系統的全過程。從圖中可以看到，整個系統主要工作在網5絡層，當前主要的網絡層協議是IPv4,Linux為IPv4定義了五個Netfilter鉤子函數，分別為NF_IP_PRE—ROUTING、NF—IP_LOCAL_IN、NF一IP一FORWARD、NF_IP_LOCAL_OUT和NF一IP一POST—ROUTING.對於進入系統的IP數據包，經過第一個鉤子函數NF_IP_PRE_ROUTING進行處理；然後交給路由代碼進4亍路由選擇，判斷該數據包是需要轉發還是發給本機的；若是發給扣K的，則該數據包經過鉤子函數NF一IPJX)CAL一IN處理以後，傳遞給#的上層協議處理；若該數據包應該被轉發，則它被NI^n^FORWARD處理；經過轉發的數據包經過最後一個鉤子函數NF_IP_POST__ROUTING處理以後，再交由下層協議傳輸到網絡上。對於本地系統產生的外發數據包，經過鉤子函數NF_EP_LOCAL—OUT處理後，交給路由選擇代碼處理，然後經過NF_IP_POST_ROUTING處理以後交給下層協議外發。iptables作為一個包處理模塊，主要實現了三個IP規則列表(table):filter表、nat表和mangle表，分別用於IP包的過濾、轉發和處理；每個規則表中可以包含若干條規則鏈(chain);每條規則鏈中又可以包含若干條規則(rule)，因此可以將iptables模塊的處理機制理解為一個table-chain-rule的層次關係。iptables定義了五種預定義規則鏈，依次為PREROUTING鏈、INPUT鏈、FORWARD鏈、OUTPUT鏈和POSTROUTING鏈，分別對應於圖3中的五個Netfilter鉤子函數所在的檢查點，這些規則鏈中定義的規則將作為各檢查點報文處理的依據。iptables還支持用戶自定義鏈(user-definedchains)，自定義鏈的好處在於可以針對各種業務分別定義規則鏈，從而使得各種業務的iptables處理規則分類清晰，易於管理員維護。iptables的規則匹配原則是五種預定義規則鏈都有自己默認的報文處理方式，報文的匹配按照順序匹配的原則從規則鏈的第一條規則開始進行，當沒有規則得到匹配時就使用默認的處理方式；自定義鏈必須基於預定義規則鏈創建，預定義鏈中可以包含跳轉到自定義鏈的規則，隸屬於同一個預定義鏈的自定義鏈之間也可以相互跳轉，但是不同檢查點上的規則鏈是不能相互跳轉的；如果某個自定義鏈的規則都沒有得到匹配，則返回指向這條自定義鏈的那條規則所在規則鏈的下一條規則繼續匹配。在目前的寬帶接入應用中，運營商出於運營和維護的需要，希望終端設備提供RA功能，以《更管理員以遠程登錄的方式查看設備信息、完成相關配置任務，這樣可以節省下不菲的人工上門服務費用。另一方面，寬帶用戶，特別是企業用戶希望終端設備的防火牆提供對企業內部網絡安全防護的同時，也開放一些內部網絡服務供外部網絡客戶使用，如企業Web伺服器、FTP伺服器和論壇等。這就要求終端設備也具備DMZ的功能，現有的RA和DMZ技術的實現流程圖如圖4a和圖4b所示。從圖4a中可以看到，RA技術主要涉及到iptables的PREROUTING鏈和INPUT鏈，DMZ技術主要涉及到iptables的PREROUTING鏈和FORWARD鏈，兩者的處理規則可能發生沖突的地方是在PREROUTING鏈中。在圖4a中可知，當RA的埠為非標準埠(如8080埠)時，RA在PREROUTING鏈中增加的規則是重定向8080埠才艮文到80埠，並且丟棄80埠來訪報文；從圖4b中可知，DMZ在PREROUTING鏈中的操作是將80埠的來訪報文轉發給內網主機上的HTTP伺服器。這樣就帶來了兩個問題首先，RA的設置和DMZ的設置是兩個獨立的操作，設備自身沒有辦法約束用戶的操作次序，因此在同一個鏈中添加的規則往往是後添加的生效(假設各個模塊添加規則的原則都是將該規則添到規則鏈的頭部)。如果用戶先設置RA,那麼DMZ在PREROUTING鏈中將80埠的報文都轉發了，RA就不生效了；反之也是一樣，如果用戶先設置DMZ,那麼RA在PREROUTING鏈中將80埠的來訪報文都丟棄了，DMZ的轉發操作無法實現。同樣的，用戶在操作上完全可能將一個正生效的功能禁用，即使RA和DMZ已經同時生效了，用戶做出了禁用RA的操作，那麼按照RA模塊通常的做法，是應該刪除丟棄80埠報文的規則的，但是實際上這條規則並不存在，否則DMZ是不可能生效的，這樣刪除一條不存在的規則，會給系統帶來不必要的開銷。其次，RA和DMZ的設置都會在PREROUTING鏈中添加規則，隨著設置條目的增加，PREROUTING鏈中的規則會越來越多，給設備的維護帶來了很大的困難，管理員要花費一定的精力來區分屬於不同應用的規則，特別是如果由於人為的原因造成配置錯誤引起業務衝突的情況下，排除故障查找原因的工作難度也會相應增大。雖然目前基於Linux系統的終端設備一般都支持上述兩方面的功能，但是兩者同時生效的實現卻很少。主要原因在於，Linux的網絡實現中，上述功能都是通過設置iptables規則來實現的，同時實現兩方面的功能不可避免的會遭遇在同一個規則鏈中兩種應用的處理規則衝突情況下的報文匹配優先次序問題。因此現有技術一般情況下，DMZ應用的優先級都是最低的，無法確保RA功能生效的前提下，DMZ應用也工作正常；另一方面，當用戶手動取消DMZ設置後，又不能保證RA功能仍然正常工作。這兩方面的現有技術問題都需要在設計上做出相應的考慮，因此，現有技術還有待於改進和發展。
發明內容本發明的目的在於提供一種在終端設備上同時實現遠程訪問控制和隔離區應用的方法，作為終端設備上的訪問控制策略，同時實現RA和DMZ應用，既滿足運營商遠程管理運營和維護的需要，也確保運營商可以順利提供DMZ應用服務。本發明的技術方案包括一種在終端設備上同時實現遠程訪問控制和隔離區應用的方法，其包括以下步驟A、利用Linux的Netfilter包篩選機制，在iptables模塊初始化的過程中在可能發生衝突的預定義鏈中優先加載跳轉遠程訪問控制自定義鏈的規則；B、在遠程訪問控制的實現中增加對隔離區是否使能的判斷，同時在隔離區的實現中保證對遠程訪問控制規則鏈進行處理。所述的方法，其中，所述步驟A中還包括設置所述遠程訪問控制和隔離區應用採用不同的埠。一般情況下，遠程訪問控制使用非標準協議埠，隔離區應用採用標準協議埠。所述的方法，其中，以HTTP訪問方式為例，所述遠程訪問控制採用8080埠；所述隔離區應用採用80埠。也即，隔離區埠為標準協議端cr。所述的方法，其中，所述步驟B還包括對於遠程訪問控制的實現步驟Bl、判斷用戶的操作指令，如果是啟用遠程訪問，則在遠程訪問控制自定義鏈中增加規則，將遠程訪問控制埠來訪的報文重定向到隔離區埠；如果是禁用遠程訪問，則在遠程訪問控制自定義鏈中刪除規則，取消將遠程訪問控制埠來訪報文重定向到隔離區埠的操作。所述的方法，其中，所述步驟B1還包括Bll、在啟用遠程訪問時，判斷系統是否還啟用了隔離區服務，如果啟用，不做任何處理；否則在遠程訪問控制自定義鏈中增加規則，丟棄隔離區埠來訪的報文。所述的方法，其中，所述步驟B1還包括B12、在禁用遠程訪問時，判斷系統是否啟用了隔離區服務，如果啟用，不做任何處理；否則刪除遠程訪問控制自定義鏈中的規則，取消丟棄隔離區埠來訪報文的操作。9所述的方法，其中，所述步驟B還包括對於隔離區應用的實現具體步驟B2、判斷用戶的操作指令，如果是啟用隔離區應用，則修改來訪報文的目的地址，重定向該報文到內網主機的相同埠上繼續執行；如果是禁用隔離區應用，則刪除將來訪報文重定向到內網主機隔離區埠的處理規則。所述的方法，其中，所述步驟B2還包括B21、在啟用隔離區應用時，判斷系統是否啟用了遠程訪問控制，如果未啟用，不做任何處理；否則在遠程訪問控制的自定義鏈中刪除丟棄隔離區埠來訪報文的處理規則。所迷的方法，其中，所述步驟B2還包括B22、在禁用隔離區應用時，判斷系統是否啟用了遠程訪問控制服務，如果未啟用，不^l任何處理；否則在遠程訪問控制的自定義鏈中恢復丟棄隔離區埠來訪報文的處理規則。所述的方法，其中，所述步驟A還包括定義遠程訪問控制在PREROUTING鏈中的自定義規則鏈RAPRE，隔離區應用的自定義規則鏈DMZPRE,並在iptables模塊初始化時，在PREROUTING鏈的頭部前兩條規則分別定義為無條件跳轉RAPRE鏈和無條件跳轉DMZPRE鏈。本發明所提供的一種在終端設備上同時實現遠程訪問控制和隔離區應用的方法，由於引入了自定義鏈的概念，以自定義鏈的方式約定了RA和DMZ兩種應用的優先級關係，從而達到了兩者同時生效的目的，彼此不會因為對方功能的生效與失效而影響自身的正常工作；且在實現上簡單方便，開銷較小，對系統的性能影響很小。圖1是現有技術的HTTP方式中RA功能實現的原理示意圖；圖2是現有技術的DMZ功能實現的原理示意圖3是現有技術的Netfilter機制原理示意圖4a是現有技術中RA技術功能實現的流程圖4b是現有技術中DMZ技術功能實現的流程圖5a是本發明方法RA和DMZ同時生效情況下RA功能實現的流程圖5b是本發明方法RA和DMZ同時生效情況下DMZ功能實現的流程圖。具體實施例方式以下結合附圖，將對本發明的較佳實施例進行更為詳細的說明。本發明在終端設備上同時實現遠程訪問控制和隔離區應用的方法利用了Linux的Netfilter包篩選機制，以iptables自定義鏈的方式區分遠程訪問控制RA功能實現需要的規則和DMZ功能實現需要的規則。首先，在iptables模塊初始化的過程中，設置在可能發生衝突的預定義鏈中優先加載跳轉RA自定義鏈的規則，以滿足RA優先級高於DMZ的要求。此外，由於RA的優先級高於DMZ，因此要保證兩者同時生效，RA的埠號應該和DMZ有所區分，如果DMZ使用標準埠(如HTTP為80埠)，則RA應該設置成其它埠(如HTTP的RA改為8080埠訪問)。然後，在RA的實現中增加對DMZ是否使能的判斷，同時在DMZ的實現中考慮對RA規則鏈進行處理。以下將分別描述RA和DMZ的實現步驟。按照前文
背景技術：
的遠程訪問控制一節中的約定，主要以HTTP方式"為例進行說明，但顯然本發明應用於其他協議方式是等同的處理方式。如圖5a所示，本發明在終端設備上同時實現遠程訪問控制和隔離區應用的方法中，對於遠程訪問控制RA的實現，具體包括如下步驟步驟A、判斷用戶的操作指令，如果是啟用8080埠上的HTTP方式遠程訪問，則繼續執行步驟B;如果是禁用8080埠上的HTTP方式遠程訪問，則跳到步驟D;步驟B、在RA自定義鏈中增加規則，將8080埠來訪的TCP報文重定向到80埠;步驟C、判斷系統是否啟用了DMZ服務，如果啟用，不做任何處理；否則在RA自定義鏈中增加規則，丟棄80埠來訪的TCP報文；步驟D、在RA自定義鏈中刪除規則，取消將8080埠來訪TCP報文重定向到80埠的操作；步驟E、判斷系統是否啟用了DMZ服務，如果啟用了，不做任何處理；否則刪除RA自定義鏈中的規則，取消丟棄80埠來訪的TCP報文的操作。對於DMZ功能的實現，具體包括如下步驟步驟F、判斷用戶的操作指令，如果是啟用DMZ，則繼續執行步驟G;如果是禁用DMZ，則跳到步驟I;步驟G、修改來訪TCP報文的目的地址，重定向該報文到內網主機的相同埠上；步驟H、判斷糸統是否啟用了RA，如果未啟用，不做任何處理；否則在RA的自定義鏈中刪除丟棄80埠來訪的TCP報文的處理規則；步驟I、刪除將來訪TCP報文重定向到內網主機80埠的處理規則；步驟J、判斷系統是否啟用了RA服務，如果未啟用，不做任何處理；否則在RA的自定義鏈中恢復丟棄80埠來訪的TCP報文的處理規則。本發明在終端設備上同時實現遠程訪問控制和隔離區應用的方法，首先是針對RA和DMZ兩種應用分別定義了各自的自定義鏈，從RA和DMZ現有4支術的實現原理可以看出RA的實現，在底層iptables規則鏈中的處理主要涉及PREROUTING鏈和INPUT鏈；而DMZ的實現，在底層主要涉及PREROUTING鏈和FORWARD鏈。由此可見，兩種應用的衝突主要體現在PREROUTING鏈中相應規則的處理順序上。因此，本發明方法定義RA在PREROUTING鏈中的自定義規則鏈RAPRE，DMZ的自定義規則鏈DMZPRE，在iptables模塊初始化的時候，在PREROUTING鏈的頭部前兩在自定義鏈定義完成後，就可以分別實現RA功能和DMZ功能了。由於在PREROUTING鏈中定義了自定義鏈RAPRE和DMZPRE，且前者優先得到匹配，因此，通過HTTP方式的RA訪問所使用的埠號和訪問DMZ內網主機HTTP伺服器的埠號必須有所區別，否則，只有RA才能生效。這裡本發明各較佳實施例中設置所述遠程訪問控制和隔離區應用釆用不同的埠，一般情況下，遠程訪問控制使用非標準協議埠，隔離區應用採用標準協議埠。以HTTP訪問方式為例，所述遠程訪問控制釆用8080埠；所述隔離區應用採用80埠，也即，隔離區埠為標準協議埠。不妨假設了RA使用的是8080埠，DMZ使用的是標準80埠；但顯然，技術實際應用中並不僅限於上述埠的選擇，可以選擇其他埠。如圖5a所示，本發明具體實施例的在終端設備上同時實現遠程訪問控制和隔離區應用的方法中，RA的實現具體實施例過程主要包括如下幾個步驟步驟ll、判斷用戶的操作指令，如果是啟用8080埠上的HTTP方式遠程訪問，則繼續執行步驟12;如果是禁用8080埠上的HTTP方式遠程訪問，則跳到步驟14;步驟12、在RAPRE鏈中增加8080埠來訪的TCP報文重定向到80埠的處理規則；步驟13、判斷系統是否啟用了DMZ服務，如果啟用了，不做任何處理，直接跳到步驟16;否則在RAPRE鏈中增加丟棄80埠來訪的TCP報文處理規則；然後，跳到步驟16;步驟14、在RAPRE鏈中刪除8080埠來訪TCP才艮文重定向到80端13口的處理規則；步驟15、判斷系統是否啟用了DMZ服務，如果啟用，不做任何處理，直接跳到步驟17;否則在RAPRE鏈中刪除丟棄80埠來訪TCP報文的處理規則，然後跳到步驟17。步驟16、在INPUT鏈中增加規則，接受80埠上收到的TCP報文，流程結束。步驟17、在INPUT鏈中刪除規則，不再接受80埠上收到的TCP報文，；危考呈結束。本發明方法對於現有RA實現技術的主要改進就在於步驟3和步驟5。步驟13的作用是正常情況下，當用戶設置RA時，如果選擇了8080埠遠程訪問，那麼就不能允許用戶通過80埠遠程訪問，需要在RAPRE鏈中增加規則，丟棄80埠上收到的來訪報文；而此時如果DMZ已經啟用，如果仍然按正常情況增加該規則，由於RAPRE鏈先於DMZPRE鏈被執行，則80埠的來訪報文都先被RA模塊丟棄了，導致訪問DMZ內網主機的報文沒有辦法被DMZ模塊轉發處理。因此判斷DMZ啟用的時候，RA只要不做操作即可，訪問80埠的報文都會被DMZ模塊處理，DMZ生效，RA同時工作正常。步驟15的作用是當禁用RA時，如果發現DMZ已啟用，說明RAPRE鏈中本來就不存在丟棄80埠來訪報文的規則，因此也就不需要做任何刪除操作了。如圖5b所示，本發明方法實現DMZ功能的主要步驟包括步驟21、判斷用戶的操作指令，如果是啟用DMZ,則繼續執行步驟22;如果是禁用DMZ,則跳到步驟24;步驟22、在DMZRPE鏈中增加一條處理規則，修改來訪TCP報文的目的地址，重定向才艮文到內網主機的80埠上；步驟23、判斷系統是否在非80埠上啟用了RA，如果未啟用，不做任何處理，直接跳到步驟26;否則在RAPRE鏈中刪除丟棄80埠來訪的TCP報文的處理規則，然後跳到步驟26。步驟24、在DMZPRE鏈中刪除將來訪TCP報文重定向到內網主機80埠的處理規則；步驟25、判斷系統是否在非80埠上啟用了RA服務，如果未啟用，不做任何處理，直接跳到步驟27;否則在RAPRE鏈中增加丟棄80埠來訪TCP報文的處理規則，然後跳到步驟27;'步驟26、在FORWARD鏈中增加規則，接受發往內網主機地址的報文，流程結束。步驟27、在FORWARD鏈中刪除規則，不再接受發往內網主機地址的報文，流程結束。本發明對於現有DMZ實現技術的主要改進就在於步驟23和步驟25。步驟23的作用是正常情況下，當用戶設置RA時，如果用戶選擇從非80埠遠程訪問i殳備(如8080埠)，那麼就不再允許用戶通過80埠遠程訪問，需要在RAPRE鏈中添加一條規則，丟棄80埠上收到的從外網來訪的TCP報文；而由於RAPRE鏈先於DMZPRE鏈被執行，則80埠的來訪報文都被RA模塊丟棄了，導致訪問DMZ內網主機的報文沒有、辦法被DMZ模塊轉發處理，因此在用戶啟用DMZ的時候，如果發現RA已經處於啟用生效狀態，就需要由DMZ模塊來刪除RAPRE鏈中的這條規則，這樣既沒有影響到RA的正常工作，DMZ也能正常生效.步驟25的作用是當禁用DMZ時，如果發現用戶已經在非80埠上啟用了RA,說明之前DMZ和RA同時生效的情形下，RAPRE鏈中已不存在丟棄80埠來訪TCP報文的這條規則，因此DMZ模塊需要在RAPRE鏈中恢復這條規則，以確保RA的功能符合用戶的需求外網用戶只能從其設定的非80埠訪問該設備，而無法從80埠訪問。綜上，本發明方法引入了自定義鏈的概念，在PREROUTING鏈中定義了RA的自定義鏈RAPRE，DMZ的自定義鏈DMZPRE,並且在PREROUTING鏈初始化的時候優先添加跳轉RAPRE鏈的規則，這樣，以自定義鏈的方式約定了RA和DMZ兩種應用的優先級關係在RA的所有規則在PREROUTING鏈中都得到匹配後才有可能進行DMZ的規則匹配。此外，管理員在維護配置條目規則的時候也更加一目了然，在PREROUTING鏈中只有跳轉各個業務自定義鏈的規則，具體的處理規則都在自定義鏈中定義，條理分明，便於維護。其次，在RA和DMZ各自的處理流程中分別增加了對於對方功能是否啟用的判斷以及對於對方自定義鏈規則的操作，從而達到了兩者同時生效的目的，彼此不會因為對方功能的生效與失效而影響自身的正常工作，在實現上筒單方便，開銷較小，對系統的性能影響很小.應當理解的是，上述針對本發明較佳實施例的描述較為詳細，並不能因此而認為是對本發明專利保護範圍的限制，本發明的專利保護範圍應以所附權利要求為準。權利要求1、一種在終端設備上同時實現遠程訪問控制和隔離區應用的方法，其包括以下步驟A、利用Linux的Netfilter包篩選機制，在iptables模塊初始化的過程中在可能發生衝突的預定義鏈中優先加載跳轉遠程訪問控制自定義鏈的規則；B、在遠程訪問控制的實現中增加對隔離區是否使能的判斷，同時在隔離區的實現中保證對遠程訪問控制規則鏈進行處理。2、根據權利要求1所述的方法，其特徵在於，所述步驟A中還包括設置所述遠程訪問控制和隔離區應用採用不同的埠。3、根據權利要求2所述的方法，其特徵在於、，所述遠程訪問控制採用非標準埠；所述隔離區應用採用標準埠。4、根據權利要求2所述的方法，其特徵在於，所述步驟B還包括對於遠程訪問控制的實現步驟Bl、判斷用戶的操作指令，如果是啟用遠程訪問，則在遠程訪問控制自定義鏈中增加規則，將遠程訪問控制埠來訪的報文重定向到隔離區埠；如果是禁用遠程訪問，則在遠程訪問控制自定義鏈中刪除規則，取消將遠程訪問控制埠來訪^J:重定向到隔離區埠的操作。5、根據權利要求4所述的方法，其特徵在於，所述步驟B1還包括Bll、在啟用遠程訪問時，判斷系統是否還啟用了隔離區服務，如果啟用，不做任何處理；否則在遠程訪問控制自定義鏈中增加規則，丟棄隔離區埠來訪的報文。6、根據權利要求4所述的方法，其特徵在於，所述步驟B1還包括B12、在禁用遠程訪問時，判斷系統是否啟用了隔離區服務，如果啟用，不做任何處理；否則刪除遠程訪問控制自定義鏈中的規則，取消丟棄隔離區埠來訪報文的操作。7、根據權利要求2所述的方法，其特徵在於，所述步驟B還包括對於隔離區應用的實現具體步驟B2、判斷用戶的操作指令，如果是啟用隔離區應用，則修改來訪報文的目的地址，重定向該報文到內網主機的相同埠上繼續執行；如果是禁用隔離區應用，則刪除將來訪報文重定向到內網主機隔離區埠的處理規則。8、根據權利要求7所述的方法，其特徵在於，所述步驟B2還包括B21、在啟用隔離區應用時，判斷系統是否啟用了遠程訪問控制，如果未啟用，不做任何處理；否則在遠程訪問控制的自定義鏈中刪除丟棄隔離區埠來訪報文的處理規則。9、根據權利要求7所述的方法，其特徵在於，所述步驟B2還包括B22、在禁用隔離區應用時，判斷系統是否啟用了遠程訪問控制服務，如果未啟用，不做任何處理；否則在遠程訪問控制的自定義鏈中恢復丟棄隔離區埠來訪才艮文的處理規則。10、根據權利要求1所述的方法，其特徵在於，所述步驟A還包括定義遠程訪問控制在PREROUTING鏈中的自定義規則鏈RAPRE，隔離區應用的自定義規則鏈DMZPRE，並在iptables模塊初始化時，在條件跳轉DMZPRE鏈。全文摘要本發明公開了一種在終端設備上同時實現遠程訪問控制和隔離區應用的方法，其包括以下步驟利用Linux的Netfilter包篩選機制，在iptables模塊初始化的過程中在可能發生衝突的預定義鏈中優先加載跳轉遠程訪問控制自定義鏈的規則；在遠程訪問控制的實現中增加對隔離區是否使能的判斷，同時在隔離區的實現中保證對遠程訪問控制規則鏈進行處理。本發明方法由於引入了自定義鏈的概念，以自定義鏈的方式約定了RA和DMZ兩種應用的優先級關係，從而達到了兩者同時生效的目的，彼此不會因為對方功能的生效與失效而影響自身的正常工作；且在實現上簡單方便，開銷較小，對系統的性能影響很小。文檔編號H04L29/06GK101621499SQ200810068419公開日2010年1月6日申請日期2008年7月3日優先權日2008年7月3日發明者捷任申請人:中興通訊股份有限公司