CN109831452A - 一种分布式防火墙 - Google Patents
一种分布式防火墙 Download PDFInfo
- Publication number
- CN109831452A CN109831452A CN201910172574.XA CN201910172574A CN109831452A CN 109831452 A CN109831452 A CN 109831452A CN 201910172574 A CN201910172574 A CN 201910172574A CN 109831452 A CN109831452 A CN 109831452A
- Authority
- CN
- China
- Prior art keywords
- module
- log
- host
- policy enforcement
- administrative unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种分布式防火墙,涉及防火墙技术领域。本发明包括用于对系统进行配置、维护和自定义的管理单元;用于日志接收、处理和存储的日志服务单元;用于执行策略文件的策略执行模块和远程连接模块;本发明通过在局域网外和局域网内的主机设置策略执行模块,通过管理单元统一控制,提高了各端点主机的安全性;通过在局域网外的主机同时设置远程连接模块和策略执行模块,通过现有与管理单元通讯获得证书后再确认主机身份的方式;起到对远程端点主机进行良好的防护,有效的提高了防火墙的防护效率和安全性。
Description
技术领域
本发明属于防火墙技术领域,特别是涉及一种分布式防火墙。
背景技术
分布式防火墙具有几大特点:策略集中定制,在各台主机上执行,日志集中收集处理。“分布式防火墙”的基本思想是:安全策略的制定采用由中心管理服务器集中定义的方式,而安全策略的执行则由相关主机节点独立实施。
一些中小型企业,一般使用网关代理整个公司的主机上网,远程端点主机较少,如果为了少数远程端点主机而放弃网络拓扑结构,全部使用证书标识主机,会造成资源和效率的浪费;虽然现有的IPSEC能较好的解决通讯安全问题,单通讯使用IPSEC加密,必须使分布式防火墙的主机和主机网络应用都支持IPSEC协议,因而需要给所有端点主机的内核加入IPSEC支持并调整网络应用,而对于中小型企业使用同一的策略语言的必要性和可行性有待商榷;因此,需要提供一种适用于中小型企业的分布式防火墙系统。
发明内容
为解决上述技术问题,本发明是通过以下技术方案实现的:
本发明为一种分布式防火墙,包括用于对系统进行配置、维护和自定义的管理单元;所述管理单元包括网络维护模块、策略编辑模块和日志分析模块;
包括用于日志接收、处理和存储的日志服务单元;所述日志服务单元包括日志接收模块、日志处理模块和数据库;
包括用于执行策略文件的策略执行模块;所述策略执行模块分别与管理单元和日志服务单元连接;
包括远程连接模块;所述远程连接模块分别与管理单元和策略执行模块连接。
进一步地,所述网络维护模块用于定义和配置子网参数和主机参数;所述子网参数包括子网名称和子网掩码;所述主机参数包括主机名称、主机IP地址、当前使用的策略文件。
进一步地,所述日志服务单元还包括日志审计模块;所述日志审计模块用于统计分析各模块的日志信息和操作记录。
进一步地,所述策略执行模块安装在局域内和局域外的主机上;所述策略执行模块通过自定义协议对执行文件进行读取执行。
进一步地,所述远程连接模块安装在局域网外的主机上。
本发明具有以下有益效果:
本发明通过在局域网外和局域网内的主机设置策略执行模块,通过管理单元统一控制,提高了各端点主机的安全性;通过在局域网外的主机同时设置远程连接模块和策略执行模块,通过现有与管理单元通讯获得证书后再确认主机身份的方式;起到对远程端点主机进行良好的防护,有效的提高了防火墙的防护效率和安全性。
当然,实施本发明的任一产品并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明的一种分布式防火墙的系统结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
请参阅图1所示,本发明为一种分布式防火墙,包括用于对系统进行配置、维护和自定义的管理单元;管理单元包括网络维护模块、策略编辑模块和日志分析模块;
其中,网络维护模块用于定义和配置子网参数和主机参数;子网参数包括子网名称和子网掩码;主机参数包括主机名称、主机IP地址、当前使用的策略文件;还包括主机的网卡参数和日志文件路径;
策略编辑模块用于建立和修改策略文件,策略文件具体为包过滤规则;通过策略编辑模块有用户可自由选择需要执行或添加的规则,如地址或端口、协议类型和网络端口;用户可根据自身自由选择配置规则提高了用户使用的便利性;
日志分析模块可在一定的时间内收取个端点主机的日志信息,发现异常时可对主机进行响应;管理员也可通过日志分析模块手动对日志进行收取,或对数据库进行检索,或对数据库内的日志信息进管理,如删除或合并;
包括用于日志接收、处理和存储的日志服务单元;日志服务单元包括日志接收模块、日志处理模块和数据库;
日志接收模块初始化后与管理单元进行连接交互信息,上传日志服务单元的IP地址、端口和主机名称信息,通过心跳序列号从管理单元来获得原始信息,从而与管理单元保持联系,证明自身的活动状态;管理单元通过向各主机发布日志服务单元的IP地址、端口和主机名称信息,主机受收到的日志服务单元信息进行日志上传;
日志处理模块对各主机上传的日志信息进行分类整理形成统一的格式并存储至数据库中;
其中,日志服务单元还包括日志审计模块;日志审计模块用于统计分析各模块的日志信息和操作记录;通过审计模块可了解整个系统的运行状态和安全事件,可加强对系统的管理;
包括用于执行策略文件的策略执行模块;策略执行模块分别与管理单元和日志服务单元连接;策略执行模块安装在局域内和局域外的主机上;
当管理单元向策略执行模块下发策略文件时,策略执行模块对策略文件进行分析并执行,策略执行模块通过自定义协议对执行的策略文件进行读取执行,使用户不能对策略文件进行修改;策略执行模块安装在局域内和局域外的端点主机上,实现防护功能,同时需要与管理单元通信,以及处理远程端点的请求连接请求,策略执行模块使用包过滤技术,可加固端点主机的操作系统,可以在保证足够安全的情况下获得良好的速度;
策略执行模块与管理单元间可设置一个特殊端口进行通信,并设置密钥,确认身份方可通信否则将关闭端口,管理单元与策略执行模块的通信内容包括管理单元向端点主机发布的策略文件、控制命令和询问主机的策略文件版本,以及主机向管理单元请求的策略文件;
包括远程连接模块;远程连接模块分别与管理单元和策略执行模块连接;其中,远程连接模块安装在局域网外的主机上;
每个远程端点主机都分配有证书,当远程端点主机需要与局域网内主机进行通信时,通过远程连接模块向管理单元发送证书,同时远程连接模块与策略执行模块建立TCP连接,并向策略执行模块发送证书;
管理单元收到证书后进行身份确认,确认可以通信后向策略执行模块发送策略文件,策略执行模块对远程连接模块发来的证书和策略文件进行对比,若干不匹配则禁止通信,若匹配成功则策略执行模块根据证书的存取权限生成一个规则链,并插入原来的规则链中,新规则链中使用IP地址和MAC地址同时对身份进行确定,有效的防止IP地址被盗用的情况发生。
在本说明书的描述中,参考术语“一个实施例”、“示例”、“具体示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节,也不限制该发明仅为所述的具体实施方式。显然,根据本说明书的内容,可作很多的修改和变化。本说明书选取并具体描述这些实施例,是为了更好地解释本发明的原理和实际应用,从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。
Claims (5)
1.一种分布式防火墙,其特征在于:包括用于对系统进行配置、维护和自定义的管理单元;所述管理单元包括网络维护模块、策略编辑模块和日志分析模块;
包括用于日志接收、处理和存储的日志服务单元;所述日志服务单元包括日志接收模块、日志处理模块和数据库;
包括用于执行策略文件的策略执行模块;所述策略执行模块分别与管理单元和日志服务单元连接;
包括远程连接模块;所述远程连接模块分别与管理单元和策略执行模块连接。
2.根据权利要求1所述的一种分布式防火墙,其特征在于,所述网络维护模块用于定义和配置子网参数和主机参数;所述子网参数包括子网名称和子网掩码;所述主机参数包括主机名称、主机IP地址、当前使用的策略文件。
3.根据权利要求1所述的一种分布式防火墙,其特征在于,所述日志服务单元还包括日志审计模块;所述日志审计模块用于统计分析各模块的日志信息和操作记录。
4.根据权利要求1所述的一种分布式防火墙,其特征在于,所述策略执行模块安装在局域内和局域外的主机上;所述策略执行模块通过自定义协议对执行文件进行读取执行。
5.根据权利要求1所述的一种分布式防火墙,其特征在于,所述远程连接模块安装在局域网外的主机上。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910172574.XA CN109831452A (zh) | 2019-03-07 | 2019-03-07 | 一种分布式防火墙 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910172574.XA CN109831452A (zh) | 2019-03-07 | 2019-03-07 | 一种分布式防火墙 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109831452A true CN109831452A (zh) | 2019-05-31 |
Family
ID=66865592
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910172574.XA Pending CN109831452A (zh) | 2019-03-07 | 2019-03-07 | 一种分布式防火墙 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109831452A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101635730A (zh) * | 2009-08-28 | 2010-01-27 | 深圳市永达电子股份有限公司 | 中小企业内网信息安全托管方法与系统 |
| CN102523218A (zh) * | 2011-12-16 | 2012-06-27 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络安全防护方法、设备和系统 |
| CN102857486A (zh) * | 2012-04-01 | 2013-01-02 | 深信服网络科技(深圳)有限公司 | 下一代应用防火墙系统及防御方法 |
| CN104202333A (zh) * | 2014-09-16 | 2014-12-10 | 浪潮电子信息产业股份有限公司 | 一种分布式防火墙的实现方法 |
| US10033693B2 (en) * | 2013-10-01 | 2018-07-24 | Nicira, Inc. | Distributed identity-based firewalls |
-
2019
- 2019-03-07 CN CN201910172574.XA patent/CN109831452A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101635730A (zh) * | 2009-08-28 | 2010-01-27 | 深圳市永达电子股份有限公司 | 中小企业内网信息安全托管方法与系统 |
| CN102523218A (zh) * | 2011-12-16 | 2012-06-27 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络安全防护方法、设备和系统 |
| CN102857486A (zh) * | 2012-04-01 | 2013-01-02 | 深信服网络科技(深圳)有限公司 | 下一代应用防火墙系统及防御方法 |
| US10033693B2 (en) * | 2013-10-01 | 2018-07-24 | Nicira, Inc. | Distributed identity-based firewalls |
| CN104202333A (zh) * | 2014-09-16 | 2014-12-10 | 浪潮电子信息产业股份有限公司 | 一种分布式防火墙的实现方法 |
Non-Patent Citations (1)
| Title |
|---|
| 舒朗: "新型分布式防火墙——日志与审计系统的设计与实现", 《中国优秀硕士学位论文全文数据库》 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11388200B2 (en) | Scalable network security detection and prevention platform | |
| US11706102B2 (en) | Dynamically deployable self configuring distributed network management system | |
| EP2076999B1 (en) | Network service usage management systems and methods | |
| US8239520B2 (en) | Network service operational status monitoring | |
| EP1949644B1 (en) | Remote access to resources | |
| CN101582822B (zh) | 开放式网络连接 | |
| US8001228B2 (en) | System and method to dynamically extend a management information base using SNMP in an application server environment | |
| US7890755B2 (en) | High-assurance web-based configuration of secure network server | |
| CN102045337A (zh) | 用于管理网络资源的装置和方法 | |
| WO2007103086A2 (en) | Data transfer between networks operating at different security levels | |
| JP2002507295A (ja) | 多層型ファイアウオールシステム | |
| CN101420455A (zh) | 反向http网关数据传输系统和/或方法及其网络 | |
| CN104009929B (zh) | 一种管理虚拟路由器的方法及物理路由器 | |
| CN102025735A (zh) | 基于防御策略的Linux分布式网络防火墙系统 | |
| US8072978B2 (en) | Method for facilitating application server functionality and access node comprising same | |
| CN1835514B (zh) | Dhcp+客户端模式的宽带接入的管理方法 | |
| CN101599864B (zh) | 利用转换连接来管理无源网络设备的系统和方法 | |
| CN109831452A (zh) | 一种分布式防火墙 | |
| CN106533775A (zh) | 虚拟化成员设备及邻居发现方法 | |
| CN101399888B (zh) | 处理VoIP业务的网络系统及其信息同步方法 | |
| Sayler et al. | Jobber: Automating {Inter-Tenant} Trust in the Cloud | |
| KR20150066401A (ko) | M2m 환경에서의 데이터 적용기술 | |
| CN113438197B (zh) | 跨网采集的多级级联通信系统、方法、计算机设备和介质 | |
| KR102174421B1 (ko) | 효과적인 디도스 공격 완화를 위한 소프트웨어 정의 네트워킹 기반의 네트워크 보안 기능 | |
| Zhou et al. | A Programmable Network Management Architecture for Address Driven Network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190531 |