一种基于重叠网的分布式防火墙安全策略配置方法和系统技术方案
【技术实现步骤摘要】
一种基于重叠网的分布式防火墙安全策略配置方法和系统
本专利技术涉及网络安全
,更确切地说具体涉及一种基于重叠网的分布式防火墙安全策略配置方法和系统。
技术介绍
防火墙(Firewall)是一个由软件和硬件设备组合而成的设备,可以在内部网络和外部网络之间、专用网络和公共网络之间构造保护屏障。防火墙设备可以按照设定的规则,允许或者是限制传输数据的通过。防火墙仍然是保证网络安全不可或缺的手段。在网络规模不大的情况下,传统边界防火墙是非常有效的。但是,随着网络规模的爆炸式增长,传统防火墙技术的缺陷开始显露。网络单点瓶颈、新业务支持能力受限和安全管理模式单一等问题使传统边界防火墙越来越受到人们的诟病。因此,单纯依靠传统防火墙往往难以完成对现有网络进行有效的隔离和保护的任务。为了解决以上面临的问题,人们提出了分布式防火墙的概念,用来满足网络发展的需求。分布式防火墙是指,物理上存在多个防火墙实体在联合工作,但从逻辑上看,多个防火墙组成了一个逻辑防火墙。从网络管理者角度来分析,管理者不需要了解防火墙的分布细节,只需要清楚了解防火墙需要保护的资源,以及其使用权限即可。分布式防...
【技术保护点】
一种基于重叠网的分布式防火墙安全策略配置方法,所述方法包含如下步骤:步骤101)部署于某一域内的智能节点采集其对应域内的反映网络所承载的业务流信息的第一参考信息,并依据所述第一参考信息生成安全策略;步骤102)上一步骤所述的智能节点将其生成的安全策略同时分配给其对应域内的防火墙和位于其它域内的智能节点;步骤103)上一步骤中所述位于其它域内的智能节点将其收到的来自其余节点的安全策略作为第二参考信息动态调整其对应的安全策略,并将生成的安全策略分配给域内防火墙,从而完成域间的安全策略配置。
【技术特征摘要】
1.一种基于重叠网的分布式防火墙安全策略配置方法,所述方法包含如下步骤:步骤101)部署于某一域内的智能节点采集其对应域内的反映网络所承载的业务流信息的第一参考信息,并依据所述第一参考信息生成安全策略;步骤102)上一步骤所述的智能节点将其生成的安全策略同时分配给其对应域内的防火墙和位于其它域内的智能节点;步骤103)上一步骤中所述位于其它域内的智能节点将其收到的来自其余节点的安全策略作为第二参考信息动态调整其对应的安全策略,并将生成的安全策略分配给域内防火墙,从而完成域间的安全策略配置;其中,所述第一参考信息包含:节点的IP地址、网络掩码、网络服务、运行的应用程序、服务漏洞、最大报文速率、报文大小、端口号和网络协议;所述防火墙性能状态信息包含:防火墙的CPU利用率、防火墙的内存利用率、接口带宽利用率、接口的丢包率、接口的传输速率和接口队列长度。2.根据权利要求1所述的基于重叠网的分布式防火墙安全策略配置方法,其特征在于,步骤101)所述的智能节点依据第一参考信息和防火墙性能状态信息生成安全策略。3.根据权利要求2所述的基于重叠网的分布式防火墙安全策略配置方法,其特征在于,步骤103)所述位于其它域内的智能节点依据第二参考信息和采集的第一参考信息生成安全策略。4.根据权利要求1所述的基于重叠网的分布式防火墙安全策略配置方法,其特征在于,所述智能节点之间采用XML语言进行策略传输。5.一种基于重叠网的分布式防火墙安全策略配置系统,其特征在于,所述安全策略配置系统包含:部署于各域内的防火墙和部署于各域内的智能节点;所述智能节点,用于采集智能节点所在域内的网络相关信息,并依据采集的相关信息生成安全策略;其中,所述智能节点之间相互通信,通过逻辑连接形成重叠网络,并利用重叠网络进行安全策略信息的交互,实现了逻辑域之间的联动,完成了分布式防火墙对全网的安全防护工作;所述智能节点进一步包含:采集模块,用于负责对网络相关信息进行采集,其中相关信息包含反映网络所承载的业务流信息和/或防火墙性能状...
【专利技术属性】
技术研发人员:覃毅芳,周旭,杨磊,牛温佳,慈松,唐晖,唐朝伟,
申请(专利权)人:中国科学院声学研究所,重庆大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。