一种防火墙模块动态扩展系统技术方案

本发明专利技术公开了一种防火墙模块动态扩展系统，涉及防火墙领域，通过设定适用于各微应用的拓展框架规则，设定各微应用之间的优先级与微应用中各管道数据处理器的优先级，制定各微应用的运行策略，通过运行策略设定对应微应用在运行时各个处理器的防御动作，并可根据安全需求调整各微应用之间的优先级，在系统启动时，根据调整后的微应用优先级与微应用中的管道数据处理器优先级，注册处理器链，并在抓包程序监听到新连接的数据流时，依次调用处理器链上的处理器，使处理器执行对应的防御动作，其在拓展框架规则的基础上，只需要根据安全需求调整各微应用之间的优先级，即可更换处理器链，从而满足当前的安全需求。从而满足当前的安全需求。从而满足当前的安全需求。

【技术实现步骤摘要】
一种防火墙模块动态扩展系统


[0001]本专利技术涉及防火墙领域，尤其涉及一种防火墙模块动态扩展系统。

技术介绍

[0002]云计算不同使用场景下对于安全的需求除基本的防护需求外还有不同的侧重点。基本防护功能包括：IDS入侵检测、IPS入侵防御、病毒防护等。当防火墙作为不同使用场景下云计算环境中不同方向流量的出入口时，在安全视角下，并不能只局限于传统的检测防御功能。比如对于使用云桌面办公的企业有上网审计的安全需求，资源文件外发管控的安全需求等。为满足不同场景需求，可以针对性地定制开发，但这无疑增加了维护和使用成本。

技术实现思路

[0003]为了针对不同的使用场景提供与之对应的安全需求，本专利技术提出了一种防火墙模块动态扩展系统，其用于将各防火墙功能模块抽象为对应的微应用，针对各场景需求调整微应用的优先级，实现微应用的功能拓展；所述一个微应用对应多个管道，一个管道对应一个管道数据处理器；所述系统包括：
[0004]规则设定模块，用于设定适用于各微应用的拓展框架规则，所述拓展框架规则的基本属性包括各微应用之间的优先级，以及本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种防火墙模块动态扩展系统，其特征在于，其用于将各防火墙功能模块抽象为对应的微应用，针对各场景需求调整微应用的优先级，实现微应用的功能拓展；所述一个微应用对应多个管道，一个管道对应一个管道数据处理器；所述系统包括：规则设定模块，用于设定适用于各微应用的拓展框架规则，所述拓展框架规则的基本属性包括各微应用之间的优先级，以及各微应用对应的：微应用开关状态、管道数据处理器与管道数据处理器优先级；IPS策略设定模块，用于制定各微应用的运行策略，通过运行策略设定对应微应用在运行时各个处理器的防御动作；微应用关联配置模块，包括与微应用一一对应的关联配置文件，用于在关联配置文件中设定对应微应用的关联参数，根据关联参数定义微应用之间的依赖关系，实现微应用启动时，被关联微应用的启停状态控制；所述关联参数包括：微应用标识、自启功能参数、关联的微应用标识；扩展模块，用于根据安全需求调整各微应用之间的优先级，并在系统启动时，根据调整后的微应用优先级与微应用中的管道数据处理器优先级，注册处理器链；所述微应用关联配置模块中依赖关系的优先级高于被调整的微应用优先级；所述处理器链由各微应用的管道数据处理器组成；防御模块，用于在抓包程序监听到新连接的数据流时，依次调用处理器链上的处理器，使处理器执行对应的防御动作。2.根据权利要求1所述的一种防火墙模块动态扩展系统，其特征在于，所述IPS策略设定模块包括：第一策略模块，用于通过载入自定义ips引擎配置、在pre勾子函数中设置默认规则库设定微应用识别的风险级别与微应用运行时各个处理器的防御动作；第二策略模块，用于通过在pre勾子函数中配置内置的url类别库设定微应用在识别到访问的url时各个处理器的防御动作。3.根据权利要求2所述的一种防火墙模块动态扩展系统，其特征在于，所述防御模块包括收发队列与管道连接器，所述收发队列用于存放数据流，并转发至...

【专利技术属性】
技术研发人员：龚文强，罗印威，刘应亮，季昊天，温泉，莫琛，
申请(专利权)人：天翼云科技有限公司，
类型：发明
国别省市：