本发明专利技术公开了一种分布式防火墙,涉及防火墙技术领域。本发明专利技术包括用于对系统进行配置、维护和自定义的管理单元;用于日志接收、处理和存储的日志服务单元;用于执行策略文件的策略执行模块和远程连接模块;本发明专利技术通过在局域网外和局域网内的主机设置策略执行模块,通过管理单元统一控制,提高了各端点主机的安全性;通过在局域网外的主机同时设置远程连接模块和策略执行模块,通过现有与管理单元通讯获得证书后再确认主机身份的方式;起到对远程端点主机进行良好的防护,有效的提高了防火墙的防护效率和安全性。
A Distributed Firewall
The invention discloses a distributed firewall, which relates to the technical field of firewall. The invention includes a management unit for system configuration, maintenance and self-definition; a log service unit for log reception, processing and storage; a policy execution module and a remote connection module for executing policy files; and an improved endpoint host through the unified control of the management unit by setting a policy execution module outside and inside the LAN host. Security; By setting up remote connection module and policy execution module at the same time on the host outside the LAN, the identity of the host can be confirmed after communicating with the management unit. It can protect the remote endpoint host well and effectively improve the efficiency and security of firewall protection.
【技术实现步骤摘要】
一种分布式防火墙
本专利技术属于防火墙
,特别是涉及一种分布式防火墙。
技术介绍
分布式防火墙具有几大特点:策略集中定制,在各台主机上执行,日志集中收集处理。“分布式防火墙”的基本思想是:安全策略的制定采用由中心管理服务器集中定义的方式,而安全策略的执行则由相关主机节点独立实施。一些中小型企业,一般使用网关代理整个公司的主机上网,远程端点主机较少,如果为了少数远程端点主机而放弃网络拓扑结构,全部使用证书标识主机,会造成资源和效率的浪费;虽然现有的IPSEC能较好的解决通讯安全问题,单通讯使用IPSEC加密,必须使分布式防火墙的主机和主机网络应用都支持IPSEC协议,因而需要给所有端点主机的内核加入IPSEC支持并调整网络应用,而对于中小型企业使用同一的策略语言的必要性和可行性有待商榷;因此,需要提供一种适用于中小型企业的分布式防火墙系统。
技术实现思路
为解决上述技术问题,本专利技术是通过以下技术方案实现的:本专利技术为一种分布式防火墙,包括用于对系统进行配置、维护和自定义的管理单元;所述管理单元包括网络维护模块、策略编辑模块和日志分析模块;包括用于日志接收、处理和存储的日志服务单元;所述日志服务单元包括日志接收模块、日志处理模块和数据库;包括用于执行策略文件的策略执行模块;所述策略执行模块分别与管理单元和日志服务单元连接;包括远程连接模块;所述远程连接模块分别与管理单元和策略执行模块连接。进一步地,所述网络维护模块用于定义和配置子网参数和主机参数;所述子网参数包括子网名称和子网掩码;所述主机参数包括主机名称、主机IP地址、当前使用的策略文件。进一步地,所述日志服务单元还包括日志审计模块;所述日志审计模块用于统计分析各模块的日志信息和操作记录。进一步地,所述策略执行模块安装在局域内和局域外的主机上;所述策略执行模块通过自定义协议对执行文件进行读取执行。进一步地,所述远程连接模块安装在局域网外的主机上。本专利技术具有以下有益效果:本专利技术通过在局域网外和局域网内的主机设置策略执行模块,通过管理单元统一控制,提高了各端点主机的安全性;通过在局域网外的主机同时设置远程连接模块和策略执行模块,通过现有与管理单元通讯获得证书后再确认主机身份的方式;起到对远程端点主机进行良好的防护,有效的提高了防火墙的防护效率和安全性。当然,实施本专利技术的任一产品并不一定需要同时达到以上所述的所有优点。附图说明为了更清楚地说明本专利技术实施例的技术方案,下面将对实施例描述所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术的一种分布式防火墙的系统结构示意图。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本专利技术保护的范围。请参阅图1所示,本专利技术为一种分布式防火墙,包括用于对系统进行配置、维护和自定义的管理单元;管理单元包括网络维护模块、策略编辑模块和日志分析模块;其中,网络维护模块用于定义和配置子网参数和主机参数;子网参数包括子网名称和子网掩码;主机参数包括主机名称、主机IP地址、当前使用的策略文件;还包括主机的网卡参数和日志文件路径;策略编辑模块用于建立和修改策略文件,策略文件具体为包过滤规则;通过策略编辑模块有用户可自由选择需要执行或添加的规则,如地址或端口、协议类型和网络端口;用户可根据自身自由选择配置规则提高了用户使用的便利性;日志分析模块可在一定的时间内收取个端点主机的日志信息,发现异常时可对主机进行响应;管理员也可通过日志分析模块手动对日志进行收取,或对数据库进行检索,或对数据库内的日志信息进管理,如删除或合并;包括用于日志接收、处理和存储的日志服务单元;日志服务单元包括日志接收模块、日志处理模块和数据库;日志接收模块初始化后与管理单元进行连接交互信息,上传日志服务单元的IP地址、端口和主机名称信息,通过心跳序列号从管理单元来获得原始信息,从而与管理单元保持联系,证明自身的活动状态;管理单元通过向各主机发布日志服务单元的IP地址、端口和主机名称信息,主机受收到的日志服务单元信息进行日志上传;日志处理模块对各主机上传的日志信息进行分类整理形成统一的格式并存储至数据库中;其中,日志服务单元还包括日志审计模块;日志审计模块用于统计分析各模块的日志信息和操作记录;通过审计模块可了解整个系统的运行状态和安全事件,可加强对系统的管理;包括用于执行策略文件的策略执行模块;策略执行模块分别与管理单元和日志服务单元连接;策略执行模块安装在局域内和局域外的主机上;当管理单元向策略执行模块下发策略文件时,策略执行模块对策略文件进行分析并执行,策略执行模块通过自定义协议对执行的策略文件进行读取执行,使用户不能对策略文件进行修改;策略执行模块安装在局域内和局域外的端点主机上,实现防护功能,同时需要与管理单元通信,以及处理远程端点的请求连接请求,策略执行模块使用包过滤技术,可加固端点主机的操作系统,可以在保证足够安全的情况下获得良好的速度;策略执行模块与管理单元间可设置一个特殊端口进行通信,并设置密钥,确认身份方可通信否则将关闭端口,管理单元与策略执行模块的通信内容包括管理单元向端点主机发布的策略文件、控制命令和询问主机的策略文件版本,以及主机向管理单元请求的策略文件;包括远程连接模块;远程连接模块分别与管理单元和策略执行模块连接;其中,远程连接模块安装在局域网外的主机上;每个远程端点主机都分配有证书,当远程端点主机需要与局域网内主机进行通信时,通过远程连接模块向管理单元发送证书,同时远程连接模块与策略执行模块建立TCP连接,并向策略执行模块发送证书;管理单元收到证书后进行身份确认,确认可以通信后向策略执行模块发送策略文件,策略执行模块对远程连接模块发来的证书和策略文件进行对比,若干不匹配则禁止通信,若匹配成功则策略执行模块根据证书的存取权限生成一个规则链,并插入原来的规则链中,新规则链中使用IP地址和MAC地址同时对身份进行确定,有效的防止IP地址被盗用的情况发生。在本说明书的描述中,参考术语“一个实施例”、“示例”、“具体示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本专利技术的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。以上公开的本专利技术优选实施例只是用于帮助阐述本专利技术。优选实施例并没有详尽叙述所有的细节,也不限制该专利技术仅为所述的具体实施方式。显然,根据本说明书的内容,可作很多的修改和变化。本说明书选取并具体描述这些实施例,是为了更好地解释本专利技术的原理和实际应用,从而使所属
技术人员能很好地理解和利用本专利技术。本专利技术仅受权利要求书及其全部范围和等效物的限制。本文档来自技高网...
【技术保护点】
1.一种分布式防火墙,其特征在于:包括用于对系统进行配置、维护和自定义的管理单元;所述管理单元包括网络维护模块、策略编辑模块和日志分析模块;包括用于日志接收、处理和存储的日志服务单元;所述日志服务单元包括日志接收模块、日志处理模块和数据库;包括用于执行策略文件的策略执行模块;所述策略执行模块分别与管理单元和日志服务单元连接;包括远程连接模块;所述远程连接模块分别与管理单元和策略执行模块连接。
【技术特征摘要】
1.一种分布式防火墙,其特征在于:包括用于对系统进行配置、维护和自定义的管理单元;所述管理单元包括网络维护模块、策略编辑模块和日志分析模块;包括用于日志接收、处理和存储的日志服务单元;所述日志服务单元包括日志接收模块、日志处理模块和数据库;包括用于执行策略文件的策略执行模块;所述策略执行模块分别与管理单元和日志服务单元连接;包括远程连接模块;所述远程连接模块分别与管理单元和策略执行模块连接。2.根据权利要求1所述的一种分布式防火墙,其特征在于,所述网络维护模块用于定义和配置子网参数和主机参...
【专利技术属性】
技术研发人员:胡磊,
申请(专利权)人:北京华安普特网络科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。