基于防御策略的Ｌｉｎｕｘ分布式网络防火墙系统技术方案

本发明专利技术公开了一种基于防御策略的Ｌｉｎｕｘ分布式网络防火墙系统，它是一种为局域网中安装Ｌｉｎｕｘ操作系统的计算机提供网络安全保护的、且基于防御策略的分布式防火墙系统。本系统采用了分布式的结构，分为服务器端子系统和客户端子系统。该网络防火墙系统对于需要保护的局域网通过在服务器端子系统中首先构建局域网的网络拓扑结构，然后对需要保护的服务和可能受到的攻击方式进行选择，并生成防御规则文件。在客户端子系统将定时更新防御规则文件，然后部署该防御规则文件，即可达到保护的目的。即通过服务器端子系统的策略推理和解释生成针对网络中不同计算机、不同服务的多条防御规则，对网络中安装有客户端子系统和防火墙的所有计算机进行相应的防护。实现了单个网络节点设置一次防御策略，多个网络节点同时得到安全保护的目的。

【技术实现步骤摘要】

【技术保护点】
一种基于防御策略的Ｌｉｎｕｘ分布式网络防火墙系统，其特征在于：该系统分为服务器端子系统和客户端子系统两个部分；所述的服务器端子系统中包括有网络拓扑处理模块、策略整合模块、策略推理引擎模块、防御措施处理模块和服务器端通信模块；所述的客户端子系统中包括有包过滤防火墙、规则部署模块、客户器端通信模块、以及建立日志模块、配置文件模块；网络拓扑处理模块第一方面绘制网络拓扑结构；第二方面配置节点信息；第三方面整合拓扑文件；将网络拓扑结构和节点拓扑信息采用逻辑编程语言ＰＲＯＬＯＧ格式进行保存，得到ＰＲＯＬＯＧ拓扑文件；在整合拓扑文件阶段中，将ＮＥＣＳ拓扑文件和ＰＲＯＬＯＧ拓扑文件以可扩展标记语言ＸＭＬ的格式进行整合，得到整合后文件ｆｉｌｅ－１；策略整合模块依据用户在服务器端子系统中的策略信息进行整合，并保存为策略文件ｆｉｌｅ－２；策略推理引擎模块将整合后文件ｆｉｌｅ－１与攻击知识库中的信息进行合并得到一个推理数据库；然后读取策略文件ｆｉｌｅ－２针对开启保护的服务的节点生成攻击操作并联合推理数据库中的信息进行一阶谓词推理生成简单的攻击路径，并进行解释，生成防御措施文件ｆｉｌｅ－３；防御措施处理模块调用防御措施解释器对防御措施文件ｆｉｌｅ－３进行解释，获得防御规则，并将防御规则按照网络节点的ＩＰ地址作为文件名分类存储，存储的文件称为防御规则文件ｆｉｌｅ－４；所述防御措施解释器是指对防御措施的读取和筛选生成对应每个网络节点使用的单机防火墙Ｎｅｔｆｉｌｔｅｒ／ＩＰｔａｂｌｅｓ的规则；服务器端通信模块通过ＳＳＬ加密协议与客户端子系统通信模块进行信息传输；客户端通信模块通过ＳＳＬ加密协议与服务器端子系统通信模块进行信息传输；规则部署模块将从客户端通信模块下载的防御规则文件ｆｉｌｅ－４部署到包过滤防火墙中，具体的规则部署包括有下列步骤：步骤７－１：客户端打开防御规则文件ｆｉｌｅ－４，该防御规则文件ｆｉｌｅ－４位于／ｈｏｍｅ／ｆｉｒｅｗａｌｌ路径下；步骤７－２：规则部署模块将从第二行开始读取防御规则文件ｆｉｌｅ－４中的ＩＰｔａｂｌｅｓ防御规则；与此同时，规则部署模块调用ｂａｓｈ　ｓｈｅｌｌ，用来将每一条规则通过ＩＰｔａｂｌｅｓ配置语句配置到包过滤防火墙中；利用了Ｎｅｔｆｉｌｔｅｒ的包过滤防火墙功能，通过部署防御规则到Ｎｅｔｆｉｌｔｅｒ中，实现对相应的入侵包进行拦截，达到保护服务不被入侵的目的；建立日志模块负责记录防御规则文件ｆｉｌｅ－４更新...

【技术特征摘要】

【专利技术属性】
技术研发人员：王海泉，杨启朗，孙孟涛，夏春和，
申请(专利权)人：北京航空航天大学，
类型：发明
国别省市：11[中国|北京]