CN107566359A - 一种智能防火墙系统及防护方法 - Google Patents
一种智能防火墙系统及防护方法 Download PDFInfo
- Publication number
- CN107566359A CN107566359A CN201710741921.7A CN201710741921A CN107566359A CN 107566359 A CN107566359 A CN 107566359A CN 201710741921 A CN201710741921 A CN 201710741921A CN 107566359 A CN107566359 A CN 107566359A
- Authority
- CN
- China
- Prior art keywords
- address
- virtual
- attack
- fwsm
- fire wall
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
一种智能防火墙系统及防护方法,系统包括防火墙控制模块,防火墙控制模块连接有防火墙模块、缓存分析模块以及交互式接口模块,防火墙模块连接有网络设备,防火墙模块还与缓存分析模块连接,交互式接口模块还与网络设备连接;防火墙控制模块从交互式接口模块接收和过滤用户通过网络设备设置的防火墙策略信息,发送给防火墙模块;防火墙模块执行以虚拟IP地址为目标地址或者原地址的数据流量的允许或拦截操作;缓存分析统计模块用于对通过数据流量进行统计、监听和分析,确定网络设备的攻击IP地址或被攻击IP地址,发送给防火墙控制模块;防火墙控制模块攻击IP地址或被攻击IP地址生成新的防火墙策略信息,下发给防火墙模块执行。
Description
技术领域
本发明属于网络安全领域,具体涉及一种智能防火墙系统及防护方法。
背景技术
随着计算机网络的发展和普及,网络上各种黑客、蠕虫等非法网络攻击日益猖獗,为了保护计算机网络和系统,防火墙应运而生。防火墙又称Firewall,是一项协助确保信息安全的设备,该设备会依照特定的规则,允许或限制传输的数据通过。
从防火墙结构上分,防火墙主要有:单一主机防火墙、路由器集成式防火墙和分布式防火墙三种:单一主机防火墙是最为传统的防火墙,独立于其它网络设备,它位于网络边界。这种防火墙其实与一台计算机结构差不多(如下图),同样包括CPU、内存、硬盘等基本组件,当然主板更是不能少了,且主板上也有南、北桥芯片。它与一般计算机最主要的区别就是一般防火墙都集成了两个以上的以太网卡,因为它需要连接一个以上的内、外部网络。其中的硬盘就是用来存储防火墙所用的基本程序,如包过滤程序和代理服务器程序等,有的防火墙还把日志记录也记录在此硬盘上。虽然如此,但我们不能说它就与我们平常的PC机一样,因为它的工作性质,决定了它要具备非常高的稳定性、实用性,具备非常高的系统吞吐性能。正因如此,看似与PC机差不多的配置,价格甚远。随着防火墙技术的发展及应用需求的提高,原来作为单一主机的防火墙现在已发生了许多变化。最明显的变化就是现在许多中、高档的路由器中已集成了防火墙功能,还有的防火墙已不再是一个独立的硬件实体,而是由多个软、硬件组成的系统,这种防火墙,俗称“分布式防火墙”。原来单一主机的防火墙由于价格非常昂贵,仅有少数大型企业才能承受得起,为了降低企业网络投资,现在许多中、高档路由器中集成了防火墙功能。如Cisco IOS防火墙系列。但这种防火墙通常是较低级的包过滤型。这样企业就不用再同时购买路由器和防火墙,大大降低了网络设备购买成本。分布式防火墙再也不是只是位于网络边界,而是渗透于网络的每一台主机,对整个内部网络的主机实施保护。在网络服务器中,通常会安装一个用于防火墙系统管理软件,在服务器及各主机上安装有集成网卡功能的PCI防火墙卡,这样一块防火墙卡同时兼有网卡和防火墙的双重功能。这样一个防火墙系统就可以彻底保护内部网络。各主机把任何其它主机发送的通信连接都视为“不可信”的,都需要严格过滤。而不是传统边界防火墙那样,仅对外部网络发出的通信请求“不信任”。
如果按防火墙的应用部署位置分,可以分为边界防火墙、个人防火墙和混合防火墙三大类:边界防火墙是最为传统的那种,它们于内、外部网络的边界,所起的作用的对内、外部网络实施隔离,保护边界内部网络。这类防火墙一般都是硬件类型的,价格较贵,性能较好。个人防火墙安装于单台主机中,防护的也只是单台主机。这类防火墙应用于广大的个人用户,通常为软件防火墙,价格最便宜,性能也最差。混合式防火墙可以说就是“分布式防火墙”或者“嵌入式防火墙”,它是一整套防火墙系统,由若干个软、硬件组件组成,分布于内、外部网络边界和内部各主机之间,既对内、外部网络之间通信进行过滤,又对网络内部各主机间的通信进行过滤。它属于最新的防火墙技术之一,性能最好,价格也最贵。
虽然防火墙具有一定的网络攻击保护作用,但传统的防火墙针对网络攻击的策略较为僵化,随着时间的推移,难以适应不断动态变化的网络攻击态势,因此有必要对传统防火墙进行技术改造,使之适应新的网络安全需求。正常况下,所有互联网的分组软件都应经过防火墙的过滤,这将造成网络交通的瓶颈,例如在攻击性分组出现时,攻击者会不时寄出分组,让防火墙疲于过滤分组,而使一些合法分组软件,亦无法正常进出防火墙。防火墙虽然可以过滤互联网的分组,但却无法过滤内部网络的分组,因此若有人从内部网络攻击时,防火墙是毫无用武之地的。而电脑本身操作系统,亦可能一些系统漏洞,使入侵者可以利用这些系统漏洞来绕过防火墙的过滤,进而入侵电脑。
此为现有技术的不足,因此,针对现有技术中的上述缺陷,提供一种智能防火墙系统及防护方法,是非常有必要的。
发明内容
本发明的目的在于,针对上述传统的防火墙难以适应不断动态变化的网络攻击态势的缺陷,提供一种智能防火墙系统及防护方法,以解决上述技术问题。
为实现上述目的,本发明给出以下技术方案:
一种智能防火墙系统,包括防火墙控制模块,防火墙控制模块连接有防火墙模块、缓存分析模块以及交互式接口模块,防火墙模块连接有网络设备,防火墙模块还与缓存分析模块连接,交互式接口模块还与网络设备连接;
所述防火墙控制模块用于从交互式接口模块接收和过滤用户通过网络设备设置的防火墙策略信息,将过滤后的防火墙策略信息发送给防火墙模块;防火墙控制模块接收用户设置的防火墙策略信息,将防火墙策略信息与预设的实施性标准进行比较,当防火墙策略信息符合所述实施性标准时,防火墙控制模块将防火墙策略信息发送给防火墙模块;
所述防火墙模块用于根据过滤后的防火墙策略信息执行以虚拟IP地址为目标地址或者源地址的数据流量的允许或拦截操作;
所述缓存分析统计模块用于对通过防火墙模块进入的以虚拟IP地址为目标地址或源地址的数据流量进行统计、监听和分析,确定网络设备的攻击IP地址或被攻击IP地址,并把攻击IP地址或被攻击IP地址发送给防火墙控制模块;
防火墙控制模块还用于根据缓存分析模块记录的攻击IP地址或被攻击IP地址生成新的防火墙策略信息,并将所述新的防火墙策略信息下发给防火墙模块执行。
进一步地,缓存分析模块包括虚拟IP生成单元,虚拟IP生成单元连接有访问流量监听单元,访问流量监听单元连接有分析单元,分析单元连接有地址记录单元,虚拟IP生成单元还与网络设备连接,访问流量监听单元还与防火墙模块连接,地址记录单元还与防火墙控制模块连接;
虚拟IP生成单元用于生成虚拟IP地址,所述虚拟IP地址对应网络设备中真实存在的主机;虚拟IP生成单元选择防火墙模块保护的网段中的空余IP地址生成虚拟IP地址;
访问流量监听单元用于对以虚拟IP地址为目标地址或源地址的数据流量进行监听;
分析单元用于根据以虚拟IP地址为目标地址或源地址的数据流量来记录虚拟IP地址的访问或被访问频率,并结合多个虚拟IP地址进行统计,最终确定网络设备的攻击IP地址或被攻击IP地址;所述分析单元根据虚拟IP地址的访问或被访问频率确定虚拟IP地址的风险指数,将风险指数超过阈值的虚拟IP地址确定为攻击IP地址或被攻击IP地址;
地址记录单元用于记录攻击IP地址或被攻击IP地址,并将攻击IP地址或被攻击IP地址发送给防火墙控制模块。
进一步地,所述网络设备包括内部网络设备和外部网络设备,内部网络设备和外部网络设备分别与防火墙模块连接。
进一步地,内部网络设备的数量至少为1个,且内部网络设备和外部网络设备的数量和至少为2个;即系统中一个通信端必须为内部网络设备,另一通信端可以为内部网络设备,也可以为外部网络设备,防火墙模块对内部网络设备之间的通信进行监控,防火墙模块也对内部网络设备与外部网络设备之间的通信进行监控。
进一步地,防火墙模块通过钩子hook函数抓取网络流量,并对网络流量进行检测过滤。
进一步地,防火墙控制模块、防火墙模块以及缓存分析模块均基于linux内核实现并运行在linux内核下。
本发明还提供如下技术方案:
一种智能防火墙防护方法,包括如下步骤:
步骤1.防火墙控制模块从交互式接口模块接收和过滤用户通过网络设备设置的防火墙策略信息,将过滤后的防火墙策略信息发送给防火墙模块;防火墙控制模块接收用户设置的防火墙策略信息,将防火墙策略信息与预设的实施性标准进行比较,当防火墙策略信息符合所述实施性标准时,防火墙控制模块将防火墙策略信息发送给防火墙模块;
步骤2.防火墙模块根据过滤后的防火墙策略信息执行以虚拟IP地址为目标地址或者源地址的数据流量的允许或拦截操作;
步骤3.缓存分析统计模块对通过防火墙模块进入的以虚拟IP地址为目标地址或源地址的数据流量进行统计、监听和分析,确定网络设备的攻击IP地址或被攻击IP地址,并把攻击IP地址或被攻击IP地址发送给防火墙控制模块;
步骤4.防火墙控制模块根据缓存分析模块记录的攻击IP地址或被攻击IP地址生成新的防火墙策略信息,并将所述新的防火墙策略信息下发给防火墙模块执行。
进一步地,步骤3中缓存分析模块对通过防火墙模块进入的信息进行统计、监听和分析,以确定攻击IP地址给防火墙控制模块的具体步骤如下:
步骤3.1 虚拟IP生成单元生成虚拟IP地址,所述虚拟IP地址对应网络设备中真实存在的主机;虚拟IP生成单元选择防火墙模块保护的网段中的空余IP地址生成虚拟IP地址;虚拟IP地址对应的网络设备包括内部网络设备和外部网络设备;内部网络设备对应的虚拟IP地址的数量至少为1个,且内部网络设备和外部网络设备对应的虚拟IP地址的数量和至少为两个;
访问流量监听单元对以虚拟IP地址为目标地址或源地址的数据流量进行监听;
分析单元根据以虚拟IP地址为目标地址或源地址的数据流量来记录虚拟IP地址的访问或被访问频率,并结合多个虚拟IP地址进行统计,最终确定网络设备的攻击IP地址或被攻击IP地址;所述分析单元根据虚拟IP地址的访问或被访问频率确定虚拟IP地址的风险指数,将风险指数超过阈值的虚拟IP地址确定为攻击IP地址或被攻击IP地址;
地址记录单元记录攻击IP地址或被攻击IP地址,并将攻击IP地址或被攻击IP地址发送给防火墙控制模块。
进一步地,虚拟IP地址对应的网络设备包括内部网络设备和外部网络设备;内部网络设备对应的虚拟IP地址的数量至少为1个,且内部网络设备和外部网络设备对应的虚拟IP地址的数量和至少为两个。
本发明的有益效果在于:
本发明先用防火墙控制模块进行检测过滤,规避数据传输中的性能瓶颈,具有配置策略丰富、灵活的特点;同时对访问的信息跟踪分析识别出网络攻击IP,并根据识别结果动态调整防火墙,提高了灵活性和安全性。
此外,本发明设计原理可靠,结构简单,具有非常广泛的应用前景。
由此可见,本发明与现有技术相比,具有突出的实质性特点和显著的进步,其实施的有益效果也是显而易见的。
附图说明
图1为本发明的系统连接示意图;
图2为本发明缓存分析模块内部连接示意图;
图3为本发明的方法流程图;
图4为实施例的系统连接示意图;
其中,1-防火墙控制模块;2-防火墙模块;3-缓存分析模块;3.1-虚拟IP生成单元;3.2-访问流量监听单元;3.3-分析单元;3.4-地址记录单元;4-交互式接口模块;5-网络设备;5.1-外部网络设备;5.1.1-1号主机;5.1.2-2号主机;5.2-内部网络设备;5.2.1-3号主机。
具体实施方式:
为使得本发明的目的、特征、优点能够更加的明显和易懂,下面将结合本发明具体实施例中的附图,对本发明中的技术方案进行清楚、完整地描述。
如图1所示,本发明提供一种智能防火墙系统,包括防火墙控制模块1,防火墙控制模块1连接有防火墙模块2、缓存分析模块3以及交互式接口模块4,防火墙模块2连接有网络设备5,防火墙模块2还与缓存分析模块3连接,交互式接口模块4还与网络设备5连接;所述网络设备5包括内部网络设备5.1和外部网络设备5.2,内部网络设备5.1和外部网络设备5.2分别与防火墙模块2连接;内部网络设备的数量至少为1个,且内部网络设备5.1和外部网络设备5.2的数量和至少为2个;即系统中一个通信端必须为内部网络设备,另一通信端可以为内部网络设备,也可以为外部网络设备,防火墙模块对内部网络设备之间的通信进行监控,防火墙模块也对内部网络设备与外部网络设备之间的通信进行监控;防火墙控制模块1、防火墙模块2以及缓存分析模块3均基于linux内核实现并运行在linux内核下;
所述防火墙控制模块1用于从交互式接口模块4接收和过滤用户通过网络设备5设置的防火墙策略信息,将过滤后的防火墙策略信息发送给防火墙模块2;防火墙控制模块1接收用户设置的防火墙策略信息,将防火墙策略信息与预设的实施性标准进行比较,当防火墙策略信息符合所述实施性标准时,防火墙控制模块1将防火墙策略信息发送给防火墙模块2;
所述防火墙模块2用于根据过滤后的防火墙策略信息执行以虚拟IP地址为目标地址或者源地址的数据流量的允许或拦截操作;防火墙模块2通过hook函数抓取网络流量,并对网络流量进行检测过滤;
所述缓存分析统计模块3用于对通过防火墙模块2进入的以虚拟IP地址为目标地址或源地址的数据流量进行统计、监听和分析,确定网络设备5的攻击IP地址或被攻击IP地址,并把攻击IP地址或被攻击IP地址发送给防火墙控制模块1;
防火墙控制模块1还用于根据缓存分析模块3记录的攻击IP地址或被攻击IP地址生成新的防火墙策略信息,并将所述新的防火墙策略信息下发给防火墙模块2执行;
如图2所示,缓存分析模块3包括虚拟IP生成单元3.1,虚拟IP生成单元3.1连接有访问流量监听单元3.2,访问流量监听单元3.2连接有分析单元3.3,分析单元3.3连接有地址记录单元3.4,虚拟IP生成单元3.1还与网络设备5连接,访问流量监听单元3.2还与防火墙模块2连接,地址记录单元3.4还与防火墙控制模块1连接;
虚拟IP生成单元3.1用于生成虚拟IP地址,所述虚拟IP地址对应网络设备5中真实存在的主机;虚拟IP生成单元选择防火墙模块保护的网段中的空余IP地址生成虚拟IP地址;
访问流量监听单元3.2用于对以虚拟IP地址为目标地址或源地址的数据流量进行监听;
分析单元3.3用于根据以虚拟IP地址为目标地址或源地址的数据流量来记录虚拟IP地址的访问或被访问频率,根据访问或被访问频率确定虚拟IP地址的风险指数,并结合多个虚拟IP地址进行统计,将风险指数超过阈值的虚拟IP地址最终确定为网络设备5的攻击IP地址或被攻击IP地址;
地址记录单元3.4用于记录攻击IP地址或被攻击IP地址,并将攻击IP地址或被攻击IP地址发送给防火墙控制模块1。
如图3所示,本发明还提供一种智能防火墙防护方法,包括如下步骤:
步骤1.防火墙控制模块从交互式接口模块接收和过滤用户通过网络设备设置的防火墙策略信息,将过滤后的防火墙策略信息发送给防火墙模块;防火墙控制模块接收用户设置的防火墙策略信息,将防火墙策略信息与预设的实施性标准进行比较,当防火墙策略信息符合所述实施性标准时,防火墙控制模块将防火墙策略信息发送给防火墙模块;
步骤2.防火墙模块根据过滤后的防火墙策略信息执行以虚拟IP地址为目标地址或者源地址的数据流量的允许或拦截操作;
步骤3.缓存分析统计模块对通过防火墙模块进入的以虚拟IP地址为目标地址或源地址的数据流量进行统计、监听和分析,确定网络设备的攻击IP地址或被攻击IP地址,并把攻击IP地址或被攻击IP地址发送给防火墙控制模块;
具体步骤如下:
步骤3.1 虚拟IP生成单元生成虚拟IP地址,所述虚拟IP地址对应网络设备中真实存在的主机;虚拟IP生成单元选择防火墙模块保护的网段中的空余IP地址生成虚拟IP地址;
访问流量监听单元对以虚拟IP地址为目标地址或源地址的数据流量进行监听;
分析单元根据以虚拟IP地址为目标地址或源地址的数据流量来记录虚拟IP地址的访问或被访问频率,根据访问或被访问频率确定虚拟IP地址的风险指数,并结合多个虚拟IP地址进行统计,将风险指数超过阈值的虚拟IP地址最终确定为网络设备的攻击IP地址或被攻击IP地址;
地址记录单元记录攻击IP地址或被攻击IP地址,并将攻击IP地址或被攻击IP地址发送给防火墙控制模块;
步骤4.防火墙控制模块根据缓存分析模块记录的攻击IP地址或被攻击IP地址生成新的防火墙策略信息,并将所述新的防火墙策略信息下发给防火墙模块执行。
如图4所示的实施例中,一种智能防火墙系统,包括防火墙控制模块1,防火墙控制模块1连接有防火墙模块2、缓存分析模块3以及交互式接口模块4,防火墙模块2连接有网络设备5,防火墙模块2还与缓存分析模块3连接,交互式接口模块4还与网络设备5连接;网络设备5包括内部网络设备5.1和外部网络设备5.2,内部网络设备5.1和外部网络设备5.2分别与防火墙模块2连接;内部网络设备5.1包括1号主机5.1.1和2号主机5.1.2,外部网络设备5.2包括3号主机5.2.1;防火墙模块2对内部网络设备1号主机5.1.1和2号主机5.1.2之间的通信进行监控,防火墙模块也对内部网络设备1号主机5.1.1或者2号主机5.1.2与外部网络设备3号主机5.2.1之间的通信进行监控;
缓存分析模块3包括虚拟IP生成单元3.1,虚拟IP生成单元3.1连接有访问流量监听单元3.2,访问流量监听单元3.2连接有分析单元3.3,分析单元3.3连接有地址记录单元3.4,虚拟IP生成单元3.1还与网络设备5中1号主机5.1.1、2号主机5.1.2和3号主机5.2.1连接,访问流量监听单元3.2还与防火墙模块2连接,地址记录单元3.4还与防火墙控制模块1连接。
基于上述实施例的一种智能防火墙防护方法,防火墙控制模块1从交互式接口模块4接收和过滤用户通过网络设备5设置的防火墙策略信息,将过滤后的防火墙策略信息发送给防火墙模块2;防火墙控制模块1接收用户设置的防火墙策略信息,将防火墙策略信息与预设的实施性标准进行比较,当防火墙策略信息符合所述实施性标准时,防火墙控制模块1将防火墙策略信息发送给防火墙模块2;当防火墙策略信息不符合实施性标准时,将防火墙策略信息丢弃;
所述防火墙模块2根据过滤后的防火墙策略信息执行以1号主机5.1.1对应的虚拟IP地址为目标地址或者源地址的数据流量的允许或拦截操作;执行以2号主机5.1.2对应的虚拟IP地址为目标地址或者源地址的数据流量的允许或拦截操作;执行以3号主机5.2.1对应的虚拟IP地址为目标地址或者源地址的数据流量的允许或拦截操作;
所述缓存分析统计模块3对通过防火墙模块2进入的以1号主机5.1.1、2号主机5.1.2或3号主机5.2.1对应的虚拟IP地址为目标地址或源地址的数据流量进行统计、监听和分析,确定攻击IP地址或被攻击IP地址,并把攻击IP地址或被攻击IP地址发送给防火墙控制模块1;
虚拟IP生成单元3.1选择防火墙模块保护的网段中的空余IP地址生成虚拟IP地址;虚拟IP生成单元3.1选择虚拟IP地址192.168.1.21对应1号主机5.1.1,选择虚拟IP地址192.168.1.22对应2号主机5.1.2,选择虚拟IP 地址192.168.1.23对应3号主机5.2.1;
访问流量监听单元3.2对以虚拟IP地址192.168.1.21、192.168.1.22和192.168.1.23为目标地址或源地址的数据流量进行监听;
分析单元3.3根据以虚拟IP地址192.168.1.21、192.168.1.22和192.168.1.23为目标地址或源地址的数据流量来记录虚拟IP地址192.168.1.21、192.168.1.22以及192.168.1.23的访问或被访问频率;
如以虚拟IP地址192.168.1.21为目标地址的数据流量过大,即虚拟IP地址192.168.1.21被访问频率对应风险指数过高,超过风险指数阈值,则判定,虚拟IP地址192.168.1.21受到攻击,虚拟IP地址192.168.1.21为被攻击的IP地址;
地址记录单元3.4记录被攻击的IP地址192.168.1.21,并发送给防火墙控制模块1,防火墙控制模块1根据缓存分析模块3记录的被攻击IP地址192.168.1.21生成新的防火墙策略信息对192.168.1.21的被访问数据进行拦截,并将该新的防火墙策略信息下发给防火墙模块2,防火墙模块2对以虚拟IP地址192.168.1.21为目标地址的数据流量进行拦截,防止虚拟IP地址192.168.1.21遭受攻击瘫痪;
又如以虚拟IP地址192.168.1.23为源地址,以虚拟IP地址192.168.1.22为目标地址的数据流量过大,即虚拟IP地址192.168.1.23 对虚拟IP地址192.168.1.22访问频率对应风险指数过高,超过风险指数阈值,则判定,虚拟IP地址192.168.1.23对虚拟IP地址192.168.1.22进行攻击,虚拟IP地址192.168.1.23为攻击IP地址;
地址记录单元3.4记录攻击IP地址192.168.1.23,并发送给防火墙控制模块1,防火墙控制模块1根据缓存分析模块3记录的攻击IP地址192.168.1.23生成新的防火墙策略信息对192.168.1.23的访问数据进行拦截,并将该新的防火墙策略信息下发给防火墙模块2,防火墙模块2对以虚拟IP地址192.168.1.23为源地址的数据流量进行拦截,防止虚拟IP地址192.168.1.23对虚拟IP地址192.168.1.22进行攻击。
本发明的实施例是说明性的,而非限定性的,上述实施例只是帮助理解本发明,因此本发明不限于具体实施方式中所述的实施例,凡是由本领域技术人员根据本发明的技术方案得出的其他的具体实施方式,同样属于本发明保护的范围。
Claims (9)
1.一种智能防火墙系统,其特征在于,包括防火墙控制模块(1),防火墙控制模块(1)连接有防火墙模块(2)、缓存分析模块(3)以及交互式接口模块(4),防火墙模块(2)连接有网络设备(5),防火墙模块(2)还与缓存分析模块(3)连接,交互式接口模块(4)还与网络设备(5)连接;
所述防火墙控制模块(1)用于从交互式接口模块(4)接收和过滤用户通过网络设备(5)设置的防火墙策略信息,将过滤后的防火墙策略信息发送给防火墙模块(2);
所述防火墙模块(2)用于根据过滤后的防火墙策略信息执行以虚拟IP地址为目标地址或者源地址的数据流量的允许或拦截操作;
所述缓存分析统计模块(3)用于对通过防火墙模块(2)进入的以虚拟IP地址为目标地址或源地址的数据流量进行统计、监听和分析,确定网络设备(5)的攻击IP地址或被攻击IP地址,并把攻击IP地址或被攻击IP地址发送给防火墙控制模块(1);
防火墙控制模块(1)还用于根据缓存分析模块(3)记录的攻击IP地址或被攻击IP地址生成新的防火墙策略信息,并将所述新的防火墙策略信息下发给防火墙模块(2)执行。
2.如权利要求1所述的一种智能防火墙系统,其特征在于,缓存分析模块(3)包括虚拟IP生成单元(3.1),虚拟IP生成单元(3.1)连接有访问流量监听单元(3.2),访问流量监听单元(3.2)连接有分析单元(3.3),分析单元(3.3)连接有地址记录单元(3.4),虚拟IP生成单元(3.1)还与网络设备(5)连接,访问流量监听单元(3.2)还与防火墙模块(2)连接,地址记录单元(3.4)还与防火墙控制模块(1)连接;
虚拟IP生成单元(3.1)用于生成虚拟IP地址,所述虚拟IP地址对应网络设备(5)中真实存在的主机;
访问流量监听单元(3.2)用于对以虚拟IP地址为目标地址或源地址的数据流量进行监听;
分析单元(3.3)用于根据以虚拟IP地址为目标地址或源地址的数据流量来记录虚拟IP地址的访问或被访问频率,并结合多个虚拟IP地址进行统计,最终确定网络设备(5)的攻击IP地址或被攻击IP地址;
地址记录单元(3.4)用于记录攻击IP地址或被攻击IP地址,并将攻击IP地址或被攻击IP地址发送给防火墙控制模块(1)。
3.如权利要求1所述的一种智能防火墙系统,其特征在于,所述网络设备(5)包括内部网络设备(5.1)和外部网络设备(5.2),内部网络设备(5.1)和外部网络设备(5.2)分别与防火墙模块(2)连接。
4.如权利要求3所述的一种智能防火墙系统,其特征在于,内部网络设备(5.1)的数量至少为1个,且内部网络设备(5.1)和外部网络设备(5.2)的数量和至少为2个。
5.如权利要求1所述的一种智能防火墙系统,其特征在于,防火墙模块(2)通过钩子hook函数抓取网络流量,并对网络流量进行检测过滤。
6.如权利要求1所述的一种智能防火墙系统,其特征在于,防火墙控制模块(1)、防火墙模块(2)以及缓存分析模块(3)均基于linux内核实现并运行在linux内核下。
7.一种智能防火墙防护方法,其特征在于,包括如下步骤:
步骤1.防火墙控制模块从交互式接口模块接收和过滤用户通过网络设备设置的防火墙策略信息,将过滤后的防火墙策略信息发送给防火墙模块;
步骤2.防火墙模块根据过滤后的防火墙策略信息执行以虚拟IP地址为目标地址或者源地址的数据流量的允许或拦截操作;
步骤3.缓存分析统计模块对通过防火墙模块进入的以虚拟IP地址为目标地址或源地址的数据流量进行统计、监听和分析,确定网络设备的攻击IP地址或被攻击IP地址,并把攻击IP地址或被攻击IP地址发送给防火墙控制模块;
步骤4.防火墙控制模块根据缓存分析模块记录的攻击IP地址或被攻击IP地址生成新的防火墙策略信息,并将所述新的防火墙策略信息下发给防火墙模块执行。
8.如权利要求7所述的一种智能防火墙防护方法,其特征在于,步骤3中缓存分析模块对通过防火墙模块进入的信息进行统计、监听和分析,以确定攻击IP地址给防火墙控制模块的具体步骤如下:
步骤3.1 虚拟IP生成单元生成虚拟IP地址,所述虚拟IP地址对应网络设备中真实存在的主机;
访问流量监听单元对以虚拟IP地址为目标地址或源地址的数据流量进行监听;
分析单元根据以虚拟IP地址为目标地址或源地址的数据流量来记录虚拟IP地址的访问或被访问频率,并结合多个虚拟IP地址进行统计,最终确定网络设备的攻击IP地址或被攻击IP地址;
地址记录单元记录攻击IP地址或被攻击IP地址,并将攻击IP地址或被攻击IP地址发送给防火墙控制模块。
9.如权利要求8所述的一种智能防火墙防护方法,其特征在于,虚拟IP地址对应的网络设备包括内部网络设备和外部网络设备;内部网络设备对应的虚拟IP地址的数量至少为1个,且内部网络设备和外部网络设备对应的虚拟IP地址的数量和至少为两个。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710741921.7A CN107566359A (zh) | 2017-08-25 | 2017-08-25 | 一种智能防火墙系统及防护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710741921.7A CN107566359A (zh) | 2017-08-25 | 2017-08-25 | 一种智能防火墙系统及防护方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107566359A true CN107566359A (zh) | 2018-01-09 |
Family
ID=60976912
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710741921.7A Pending CN107566359A (zh) | 2017-08-25 | 2017-08-25 | 一种智能防火墙系统及防护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107566359A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109151274A (zh) * | 2018-08-28 | 2019-01-04 | 西安工业大学 | 一种智能家电摄像头的网络防火墙 |
| CN109450893A (zh) * | 2018-11-05 | 2019-03-08 | 南京壹进制信息技术股份有限公司 | 一种基于linux内核的网络防护软件方法和系统 |
| CN110391988A (zh) * | 2018-04-16 | 2019-10-29 | 阿里巴巴集团控股有限公司 | 网络流量控制方法、系统及安全防护装置 |
| CN111277604A (zh) * | 2020-01-19 | 2020-06-12 | 牡丹江医学院 | 基于mpi和ip跟踪的堡垒主机防火墙的安全事件预警方法 |
| CN113364797A (zh) * | 2021-06-18 | 2021-09-07 | 广东省新一代通信与网络创新研究院 | 一种防ddos攻击的网络系统 |
| WO2022156278A1 (zh) * | 2021-01-22 | 2022-07-28 | 华为技术有限公司 | 防护设备中的流量处理方法及防护设备 |
| CN115361189A (zh) * | 2022-08-12 | 2022-11-18 | 华能澜沧江水电股份有限公司 | 一种基于分布式防火墙安全策略智能管理的方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080196103A1 (en) * | 2007-02-09 | 2008-08-14 | Chao-Yu Lin | Method for analyzing abnormal network behaviors and isolating computer virus attacks |
| CN103139184A (zh) * | 2011-12-02 | 2013-06-05 | 中国电信股份有限公司 | 智能网络防火墙设备及网络攻击防护方法 |
| CN104135461A (zh) * | 2013-05-02 | 2014-11-05 | 中国移动通信集团河北有限公司 | 一种防火墙策略处理的方法及装置 |
| CN105141571A (zh) * | 2014-06-09 | 2015-12-09 | 中兴通讯股份有限公司 | 分布式虚拟防火墙装置及方法 |
-
2017
- 2017-08-25 CN CN201710741921.7A patent/CN107566359A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080196103A1 (en) * | 2007-02-09 | 2008-08-14 | Chao-Yu Lin | Method for analyzing abnormal network behaviors and isolating computer virus attacks |
| CN103139184A (zh) * | 2011-12-02 | 2013-06-05 | 中国电信股份有限公司 | 智能网络防火墙设备及网络攻击防护方法 |
| CN104135461A (zh) * | 2013-05-02 | 2014-11-05 | 中国移动通信集团河北有限公司 | 一种防火墙策略处理的方法及装置 |
| CN105141571A (zh) * | 2014-06-09 | 2015-12-09 | 中兴通讯股份有限公司 | 分布式虚拟防火墙装置及方法 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110391988A (zh) * | 2018-04-16 | 2019-10-29 | 阿里巴巴集团控股有限公司 | 网络流量控制方法、系统及安全防护装置 |
| CN109151274A (zh) * | 2018-08-28 | 2019-01-04 | 西安工业大学 | 一种智能家电摄像头的网络防火墙 |
| CN109151274B (zh) * | 2018-08-28 | 2024-03-19 | 西安工业大学 | 一种智能家电摄像头的网络防火墙 |
| CN109450893A (zh) * | 2018-11-05 | 2019-03-08 | 南京壹进制信息技术股份有限公司 | 一种基于linux内核的网络防护软件方法和系统 |
| CN109450893B (zh) * | 2018-11-05 | 2021-03-16 | 南京壹进制信息科技有限公司 | 一种基于linux内核的网络防护软件方法和系统 |
| CN111277604A (zh) * | 2020-01-19 | 2020-06-12 | 牡丹江医学院 | 基于mpi和ip跟踪的堡垒主机防火墙的安全事件预警方法 |
| CN111277604B (zh) * | 2020-01-19 | 2022-04-22 | 牡丹江医学院 | 基于mpi和ip跟踪的堡垒主机防火墙的安全事件预警方法 |
| WO2022156278A1 (zh) * | 2021-01-22 | 2022-07-28 | 华为技术有限公司 | 防护设备中的流量处理方法及防护设备 |
| CN113364797A (zh) * | 2021-06-18 | 2021-09-07 | 广东省新一代通信与网络创新研究院 | 一种防ddos攻击的网络系统 |
| CN113364797B (zh) * | 2021-06-18 | 2023-02-03 | 广东省新一代通信与网络创新研究院 | 一种防ddos攻击的网络系统 |
| CN115361189A (zh) * | 2022-08-12 | 2022-11-18 | 华能澜沧江水电股份有限公司 | 一种基于分布式防火墙安全策略智能管理的方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107566359A (zh) | 一种智能防火墙系统及防护方法 | |
| CN103139184B (zh) | 智能网络防火墙设备及网络攻击防护方法 | |
| KR100609170B1 (ko) | 네트워크 보안 시스템 및 그 동작 방법 | |
| CN105516189B (zh) | 基于大数据平台的网络安全实施系统及方法 | |
| CN109962903A (zh) | 一种家庭网关安全监控方法、装置、系统和介质 | |
| WO2017088397A1 (zh) | 用于CDN服务器群组的DDoS攻击防护方法及系统 | |
| CN104378387A (zh) | 一种虚拟化平台下保护信息安全的方法 | |
| CN105429824A (zh) | 一种工控协议自适应深度检测装置与方法 | |
| CN101296182A (zh) | 一种数据传输控制方法以及数据传输控制装置 | |
| CN101355459A (zh) | 一种基于可信协议的网络监控方法 | |
| CN103023912A (zh) | 一种防止基于虚拟机进行网络攻击的方法 | |
| JP2019523476A (ja) | セキュリティレベル及びアクセス履歴に基づくipアドレスアクセス | |
| CN203968148U (zh) | 一种带入侵检测的网络安全管理系统 | |
| CN106384049A (zh) | 一种安全防护的方法及系统 | |
| US20050076236A1 (en) | Method and system for responding to network intrusions | |
| CN112671781A (zh) | 基于rasp的防火墙系统 | |
| CN116668078A (zh) | 一种互联网入侵安全防御系统 | |
| CN105721458A (zh) | 一种基于isg安全密码技术的工业以太网交换方法 | |
| CN203911973U (zh) | 一种适于大型局域网络安全的可扩性网络系统 | |
| CN108471428B (zh) | 应用于CDN系统内的DDoS攻击主动防御技术及装备 | |
| JP2002158660A (ja) | 不正アクセス防御システム | |
| KR100728446B1 (ko) | 하드웨어 기반의 침입방지장치, 시스템 및 방법 | |
| Misono et al. | Distributed Denial of Service Attack Prevention at Source Machines | |
| KR100796814B1 (ko) | 피씨아이형 보안 인터페이스 카드 및 보안관리 시스템 | |
| CN105871877A (zh) | 一种基于网络安全的大数据实施系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180109 |