一种基于网络安全的防火墙管理系统技术方案

本发明专利技术公开了一种基于网络安全的防火墙管理系统，包括如下步骤：步骤一：首先对防火墙进行配置，且防火墙上主要配置外网只能访问数据中的端口，其它的端口一律禁止，通过步骤一、步骤二和步骤三的流程配合，先完善防火墙的配置，优化防火墙的配置选择，从根本上起到安全阻拦的作用，再根据网络数据的流向分为流入、流经和流出三种流向，实现网络数据包的五点检测效果，提高网络数据包的检测精准度和全面性，再由入侵检测模块、DMZ交换机和入侵防御模块的配合，实现恶意的网络数据流的高效阻拦防护效果，提高网络数据的访问安全性，也加强控管中心对网络数据的管控效果，优化网络环境，利于网络环境的健康访问和发展。利于网络环境的健康访问和发展。利于网络环境的健康访问和发展。

【技术实现步骤摘要】
一种基于网络安全的防火墙管理系统


[0001]本专利技术涉及网络安全防火墙
，具体为一种基于网络安全的防火墙管理系统。

技术介绍

[0002]防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术，防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护，同时可对计算机网络安全当中的各项操作实施记录与检测，以确保计算机网络运行的安全性，保障用户资料与信息的完整性，为用户提供更好、更安全的计算机网络使用体验。
[0003]随着现在互联网技术的日益发展，网上信息数据良莠不齐，且存在带有攻击性的恶意数据和病毒，则需要防火墙对其进行阻拦，而目前所使用的防火墙，大多能够支持一层恶意数据的入侵阻拦，不能采用数据流的控管方式，对2层和4层的入侵恶意数据进行精准入侵检测和高效安全防御处理，降低网络信息的访问安全性，为此，提出基于网络安全的防火墙管理系统。
专利
技术实现思路

本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于网络安全的防火墙管理系统，其特征在于：包括如下步骤：步骤一：首先对防火墙进行配置，且防火墙上主要配置外网只能访问数据中的端口，其它的端口一律禁止，具体配置为：Firewall(config)#firewall enable(允许防火墙)；Firewall(config)#firewall default permit(设置防火墙缺省为允许包通过)；Firewall(config)#access
‑
list 100deny IP any any(配置访问规则禁止所有包通过)；Firewall(config)#access
‑
list 101permit IP地址any(配置规则允档案服务器访问外部网)Firewall(config)#access
‑
list 102permit tcp IP地址(配置规则允许特定管理用户从外部网访问内部档案服务器)Firewall(config)#access
‑
list 102permit tcp any IP地址gt1024(配置规则允许管理用户从外部网取得数据(只允许端口号大于1024的包)；Firewall(config)#access
‑
list normal 102deny ip any anyFirewall(config)#interface ethernet 0Firewall(config
‑
if
‑
EthernetO)#ip access
‑
group 100in(将规则100作用于从接口Ethernet0进入的包)Firewall(config
‑
if
‑
Ethernet0)#ip access
‑
group 101in(将规则101作用于从接口Ethernet0进入的包)Firewall(config
‑
if
‑
EthernetO)#ip access
‑
group 102in(将规则102作用于从接口EthernetO进入的包)，即可完成防火墙的配置；步骤二：搭建基于Linux的Netfilter/Iptables防火墙系统架构，再根据网络数据的流向分为流入、流经和流出三种流向，其中流入和流经的网络数据经过路由区分，流经和流出的网络数据经过投递区分，则根据网络数据的流向，在以下几个点插入处理过程：A、NF_IP_PRE_ROUTING，在数据作路由以前执行；B、NF_IP_LOCAL_IN，在流入本地的数据作路由以后执行；C、NF_IP_FORWARD，在数据转向另一个NIC以前执行；D、NF_IP_ROUTING，在数据流出以前执行；E、NF_IP_LOCAL_OUT，在本地数据作流出路由前执行；外网中的网络数据包进入系统进行IP校验后，网络数据经过第一个检测点NF_IP_PRE_ROUTING进行处理，然后进入路由代码，路由代码决定该数据报是需要转发还是发给本机；若该数据包是发往本机的，则该数据包经过检测点NF_IP_LOCAL_IN处理以后传递给上层协议；若该数据包应该被转发则需要被NF_IP_FORWARD处理；经过转发的数据包经过最后一个检测点NF_IP_POST_ROUTING的处理以后，再传输到网络上；本地产生的数据经过钩子函数NF_IP_LOCAL_OUT处理可以后，进行路由选择处理，然后经过NF_IP_POST_ROUTING处理以后发送到网络上；步骤三：再将NIPS以内嵌的方式部署在需要保护的网络数据的关键位置，再由防火墙模块对网络数据包的网络数据流进行检测，由入侵检测模块判断网络数据包是否含有恶意的入侵动作，如果入侵检测模块检测到网络数据包中含有恶意的网络数据流，先由DMZ交换
机对恶意的网络数据流IP地址进行检测处理，并做出相应的访问控制列表，且立即启动入侵防御模块，先对网络数据包中含有恶意的网络数据流进行阻断连接，与此同时，再将相关的恶意的网络数据流发送至由控管中心，并向控管中心发送告警/日志信息。2.根据权利要求1所述的一种基于网络安全的防火墙管理系统，其特征在于：所述在步骤二中，Netfilter/Iptables防火墙系统架构包含的部分为：a、为每种网络协议定义一套钩子函数，定义后的钩子函数在网络数据包流过协议栈的几个关键点被调用，在这几个被调用的关键点中，协议栈将把网络数据包及钩子函数标号作为参数调用Netfilter框架；b、Netfilter框架内核中的任一模块可以对每种协议的一个或多个钩子进行注册，并完成挂接，这样当某个数据包被传递给Netfilter框架时，内核能检测是否有任何模块对该协议和钩子函数进行了注册，若某个数据包注册了，则调用该模块注册时使用的回调函数，这样，这些模块就有机会检查...

【专利技术属性】
技术研发人员：王林，柳洪涛，周立成，
申请(专利权)人：深圳市众云网有限公司，
类型：发明
国别省市：