專利名稱:基于策略管理的防火墻系統(tǒng)和調(diào)度方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)����,尤其涉及一種防火墻技術(shù)��。
技術(shù)背景目前�,在安全和防火墻領(lǐng)域,現(xiàn)有技術(shù)已經(jīng)開發(fā)了一系列功能�����,如IP過濾�、MAC過濾�����、DMZ(隔離區(qū))��、端口轉(zhuǎn)發(fā)等,在這些功 能的共同作用下�,完成了整個(gè)安全防火墻體系。但是這些功能在運(yùn) 4亍時(shí)�,時(shí)常會(huì)因?yàn)?吏用的資源相互沖突而限制功能的正常運(yùn)4亍(如 使用相同的端口,資源沖突而影響功能不能正常工作)���,同時(shí)�����,由 于功能模塊間相互獨(dú)立�,缺乏有效的資源共享����,不能4艮好的相互配 合,無(wú)法完成復(fù)雜的防火墻工作(如IP過濾功能和MAC過濾功能 相互配合�,以完成防攻擊功能)。因此需要一種策略化的安全防火墻系統(tǒng)�����, 一方面可以更好的使 用系統(tǒng)資源�,保i正功能的正常運(yùn)行,另一方面可以通過預(yù)先i殳定的 策略以及使用中提供的算法��,調(diào)度安全防火墻功能協(xié)調(diào),智能運(yùn)行����。發(fā)明內(nèi)容本發(fā)明的主要目的在于提供一種基于策略管理的防火墻系統(tǒng) 和調(diào)度方法,用于克服由于現(xiàn)有技術(shù)的局限和缺陷而造成的安全防 火墻系統(tǒng)功能相互獨(dú)立���,不能協(xié)調(diào)使用系統(tǒng)資源�,從而在運(yùn)行時(shí)可
能相互沖突��,并且功能間很難相互協(xié)作����,不能通過組合的形式提供 系統(tǒng)級(jí)防火墻功能等問題。為了實(shí)現(xiàn)上述目的����,才艮據(jù)本發(fā)明的第一方面,本發(fā)明4是供了一種基于策略管理的防火墻系統(tǒng)�����。防火墻系統(tǒng)包括防火墻功能集模 塊��,包括一個(gè)或多個(gè)防火墻模塊����,用于根據(jù)調(diào)度運(yùn)行或停止安全防 火墻功能;以及策略才莫塊����,包括中央處理單元,用于根據(jù)預(yù)置的系 統(tǒng)策略�,對(duì)防火墻模塊執(zhí)行調(diào)度?����?蛇x地�,系統(tǒng)策略包括用戶配置策略,策略模塊包括配置接口��, 用于由用戶進(jìn)行策略設(shè)定�����?���?蛇x地,系統(tǒng)策略包括基于資源的策略,策略模塊包括資源監(jiān) 測(cè)接口 ��,用于監(jiān)測(cè)系統(tǒng)資源的使用狀況���??蛇x地��,系統(tǒng)策略包括基于防火墻的策略��,策略才莫塊包括防火 墻檢測(cè)接口 ��,用于監(jiān)測(cè)防火墻的工作狀況��?�?蛇x地����,系統(tǒng)策略包括基于優(yōu)先級(jí)的策略,中央處理單元4艮據(jù) 防火墻模塊的優(yōu)先級(jí)執(zhí)行調(diào)度���?��?蛇x地�����,系統(tǒng)策略包括智能響應(yīng)策略,中央處理單元響應(yīng)于預(yù) 置觸發(fā)條件執(zhí)行調(diào)度���。策略才莫塊可以包括數(shù)據(jù)庫(kù)接口 �,用于中央處理單元對(duì)存儲(chǔ)有算 法或策略的數(shù)據(jù)庫(kù)進(jìn)行存取����。策略才莫塊可以包括計(jì)劃任務(wù)才莫塊,用于暫存由中央處理單元調(diào) 度的防火墻任務(wù)的指令�。策略模塊還可以包括調(diào)度執(zhí)行模塊,用于 被定時(shí)調(diào)用����,掃描計(jì)劃任務(wù)模塊中的指令,執(zhí)行對(duì)防火墻模塊的調(diào)度����。 為了實(shí)現(xiàn)上述目的,根據(jù)本發(fā)明的第二方面���,本發(fā)明提供了一 種基于策略管理的防火墻調(diào)度方法�����。防火墻調(diào)度方法包括以下步驟設(shè)置一個(gè)或多個(gè)防火墻才莫塊�,用于根據(jù)調(diào)度運(yùn)行或停止安全防 火墻功能;以及根據(jù)預(yù)置的調(diào)度策略���,對(duì)防火墻模塊執(zhí)行調(diào)度��。調(diào)度策略可以包括用戶配置策略�����、基于資源的策略����、基于防火 墻的策略���、以及基于優(yōu)先級(jí)的策略中的至少一種�����。優(yōu)選地��,調(diào)度策略包括智能響應(yīng)策略�,通過響應(yīng)于預(yù)置觸發(fā)條 件來(lái)執(zhí)行調(diào)度。智能響應(yīng)策略可以包括時(shí)間策略�����,根據(jù)預(yù)置的防火墻4丸行時(shí)間 來(lái)判決是否執(zhí)行調(diào)度�。智能響應(yīng)策略可以包括接口策略���,根據(jù)預(yù)置的防火墻執(zhí)行所需 接口條件來(lái)判決是否執(zhí)行調(diào)度��。智能響應(yīng)策略可以包括端口策略�����,4艮據(jù)預(yù)置的防火墻優(yōu)先級(jí)來(lái) 執(zhí)行調(diào)度����。智能響應(yīng)策略可以包括智能策略���,根據(jù)預(yù)置在數(shù)據(jù)庫(kù)中的智能 算法來(lái)執(zhí)行調(diào)度�。通過上述技術(shù)方案�����,本發(fā)明提出了一種基于策略調(diào)度的安全防 火墻體系,在這個(gè)系統(tǒng)中��,具體的安全防火墻功能只負(fù)責(zé)實(shí)現(xiàn)�,而 不負(fù)責(zé)調(diào)度,而策略模塊是整個(gè)系統(tǒng)的中樞神經(jīng)���,調(diào)度�、管理各個(gè) 具體功能的正常工作��,同時(shí)��,策略模塊調(diào)度的方式���、算法能夠存貯 在安全防火墻算法庫(kù)中�����。策略化的防火墻系統(tǒng)不再是分散的功能組 合���,而是系統(tǒng)級(jí)的智能防火墻。
此處所說明的附圖用來(lái)提供對(duì)本發(fā)明的進(jìn)一步理解�����,構(gòu)成本申 請(qǐng)的一部分,本發(fā)明的示意性實(shí)施例及其說明用于解釋本發(fā)明����,并不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定。在附圖中
圖1是根據(jù)本發(fā)明的基于策略管理的防火墻系統(tǒng)的框圖����;圖2是根據(jù)本發(fā)明的基于策略管理的防火墻調(diào)度方法的流程圖�����;圖3是才艮據(jù)本發(fā)明實(shí)施例的安全防火墻的組成部分結(jié)構(gòu)圖�;圖4是根據(jù)本發(fā)明實(shí)施例的策略模塊的模塊結(jié)構(gòu)圖;圖5是根據(jù)本發(fā)明實(shí)施例的安全防火墻的策略化管理流程圖�;以及圖6是才艮據(jù)本發(fā)明實(shí)施例的安全防火墻的智能化防攻擊流程圖。
具體實(shí)施方式
下面將參考附圖詳細(xì)說明本發(fā)明����。參照?qǐng)D1,根據(jù)本發(fā)明的基于策略管理的防火墻系統(tǒng)10包括 防火墻功能集模塊20,包括一個(gè)或多個(gè)防火墻模塊30,用于根據(jù) 調(diào)度運(yùn)行或停止安全防火墻功能�����;以及策略模塊50����,包括中央處理 單元60����,用于根據(jù)預(yù)置的系統(tǒng)策略����,對(duì)防火墻模塊30執(zhí)行調(diào)度。系統(tǒng)策略可以包括用戶配置策略����、基于資源的策略、基于防火 墻的策略�、基于優(yōu)先級(jí)的策略、以及智能響應(yīng)策略中的至少一種�����。 策略才莫塊50可以包括4t據(jù)庫(kù)4妻口 ��,用于中央處理單元60對(duì)存 儲(chǔ)有算法或策略的數(shù)據(jù)庫(kù)進(jìn)行存取���。策略沖莫塊50可以包^^計(jì)劃4壬務(wù)才莫塊��,用于暫存由中央處理單 元60調(diào)度的防火墻任務(wù)的指令����;以及調(diào)度執(zhí)行模塊,用于被定時(shí) 調(diào)用����,掃描計(jì)劃任務(wù)模塊中的指令,執(zhí)行對(duì)防火墻模塊30的調(diào)度��。參照?qǐng)D2�����,根據(jù)本發(fā)明的基于策略管理的防火墻調(diào)度方法包括 以下步驟設(shè)置一個(gè)或多個(gè)防火墻模塊���,用于根據(jù)調(diào)度運(yùn)行或停止 安全防火墻功能;以及根據(jù)預(yù)置的調(diào)度策略��,對(duì)防火墻模塊執(zhí)行調(diào)度����。調(diào)度策略可以包括用戶配置策略、基于資源的策略�����、基于防火 墻的策略、以及基于優(yōu)先級(jí)的策略中的至少一種�����。優(yōu)選地��,調(diào)度策略包括智能響應(yīng)策略��,通過響應(yīng)于預(yù)置觸發(fā)條 件來(lái)執(zhí)行調(diào)度���。智能響應(yīng)策略可以包括時(shí)間策略�����、接口策略���、端口 策略、智能策略中的至少一種�。本發(fā)明所提供的策略管理的安全防火墻系統(tǒng),主要涉及以下幾 個(gè)方面的沖支術(shù)問題1 )系統(tǒng)架構(gòu)整個(gè)策略防火墻系統(tǒng)架構(gòu)如圖3所示���,在設(shè)備平臺(tái)上�,有策略 才莫塊和安全防火墻功能集兩大塊,安全防火墻的具體功能只負(fù)責(zé)功 能實(shí)現(xiàn)��,是"打工者"�,該功能什么時(shí)候運(yùn)行,以什么方式運(yùn)行�, 由策略模塊統(tǒng)一指揮,策略模塊是"老板"���。工作時(shí)����,策略模塊根 據(jù)系統(tǒng)的資源情況����,根據(jù)管理人員的配置,根據(jù)防火墻的工作情況��, 向安全防火墻功能模塊發(fā)出控制指令�����,調(diào)度控制安全防火墻功能模 塊����,以完成一系列的具體功能。
2) 策略模塊的結(jié)構(gòu)為了實(shí)現(xiàn)策略模塊的調(diào)度管理功能�,本發(fā)明設(shè)計(jì)了基于計(jì)劃任 務(wù)方式的策略沖莫塊結(jié)構(gòu),如圖4�����。輸入/輸出接口是和管理人員交互 的接口�����,用于配置命令��,顯示結(jié)果����;中央處理單元是策略模塊的中 樞神經(jīng), 一方面解析命令�,記錄到計(jì)劃任務(wù)中,另一方面�,有解析 算法(數(shù)據(jù)庫(kù)中的算法或固化的程序算法)自主的生成任務(wù),下達(dá) 到計(jì)劃任務(wù)中�,同時(shí),還有智能響應(yīng)功能���,如日志模塊報(bào)告網(wǎng)關(guān)受 到攻擊��,中央處理單元去算法庫(kù)查詢算法�,以下達(dá)指令,完成智能 響應(yīng)功能�����。計(jì)劃任務(wù)是策略模塊的臨時(shí)記憶體("RAM"),記載安 全防火墻當(dāng)前所涉及的任務(wù)���;命令執(zhí)行模塊是任務(wù)處理部分�,該部 分被定時(shí)調(diào)用�����,掃描計(jì)劃任務(wù)的任務(wù)指令���,并根據(jù)系統(tǒng)條件����,將需 要執(zhí)行或變換的任務(wù)發(fā)送到具體的功能模塊中���,以完成調(diào)度。3) 智能算法策略模塊的算法既包含簡(jiǎn)單的程序算法�,如時(shí)間算法,接口算 法,端口算法(固化在程序中)��,又包含復(fù)雜的智能算法(保存在 數(shù)據(jù)庫(kù)中�����,可動(dòng)態(tài)改變)�����。時(shí)間算法當(dāng)用戶配置任務(wù)��,并設(shè)定了任務(wù)執(zhí)行的時(shí)間時(shí)����,策 略模塊的處理方法,如圖4���。該任務(wù)首先被記載到計(jì)劃任務(wù)中���,執(zhí) 行模塊掃描到該任務(wù)時(shí),先從SNTP (簡(jiǎn)單網(wǎng)絡(luò)時(shí)間協(xié)議)時(shí)間模 塊獲得當(dāng)前的標(biāo)準(zhǔn)時(shí)間��,然后分析該任務(wù)是否到達(dá)開始執(zhí)行時(shí)間��, 或到達(dá)停止執(zhí)行時(shí)間,如果是�����,才調(diào)度響應(yīng)的功能模塊���,要求運(yùn)行 及4亭止該4壬務(wù)�。接口算法當(dāng)用戶配置任務(wù)�,設(shè)定了任務(wù)執(zhí)行所需要的接口條 件,策略模塊的處理方法���,如圖4�����。該任務(wù)首先被記栽到計(jì)劃任務(wù) 中��,執(zhí)行才莫塊掃描到該任務(wù)時(shí)���,分析該任務(wù)所對(duì)應(yīng)的接口是否發(fā)生
變化,如果是��,則通知該*接口相關(guān)的功能���,采取處理措施�����,如4妻口開始工作���,調(diào)度運(yùn)行該具體功能;當(dāng)該接口停止工作��,調(diào)度停止該 具體功能��;當(dāng)該4妻口消失���,調(diào)度刪除該具體功能�����。端口算法端口算法也是策略模塊的基本算法�����,首先��,策略模 塊先根據(jù)功能模塊的具體特點(diǎn)�����,將這些功能模塊劃分成幾類����,并設(shè) 置不同的優(yōu)先級(jí), 一般是本地管理類����,語(yǔ)音電話類,具有最高優(yōu)先 級(jí)���,端口轉(zhuǎn)發(fā)類��,具有次要優(yōu)先級(jí)��,端口過濾類����,具有最低優(yōu)先級(jí)�。 當(dāng)不用優(yōu)先級(jí)的功能才莫塊使用相同端口時(shí),要求低優(yōu)先級(jí)的任務(wù)讓 出端口���,并給予提示�����,以保證高優(yōu)先級(jí)模塊能夠正常運(yùn)行�����,當(dāng)相同 優(yōu)先級(jí)的功能模塊相互沖突時(shí)����,采用先來(lái)優(yōu)先的原則����。智能算法這一類算法由管理人員或生產(chǎn)工具記錄在算法數(shù)據(jù) 庫(kù)中,根據(jù)不同的觸發(fā)條件����,由策略模塊調(diào)出,并解析成任務(wù)命令����, 下達(dá)執(zhí)4于,以完成一系列復(fù)合功能��。如4氐雄卩DOS攻擊的算法��,如 動(dòng)態(tài)配置語(yǔ)音數(shù)據(jù)帶寬的算法等?��;诓呗哉{(diào)度的安全防火墻����,根據(jù)不同的調(diào)度算法��,管理系統(tǒng) 資源����,調(diào)度功能模塊,從而實(shí)現(xiàn)安全防火墻的最大效果�。以下分別 以時(shí)間/接口算法調(diào)度方式,端口算法方式�,智能算法方式,分別描 述策略防火墻系統(tǒng)的工作方式��。一���、時(shí)間"妄口調(diào)度方式以策略模塊控制IPFILTER (IP地址過濾)模塊為例�����,描述策 略模塊的時(shí)間策略��,接口策略的工作流程�,如圖5所示(1 )管理人員配置防火墻內(nèi)的IPFILTER模塊,配置命令���,在 早上8點(diǎn)到下午5點(diǎn)之間���,在WAN接口上過濾某IP地址的報(bào)文����。(2)該配置命令在策略4莫塊上注冊(cè),策略4莫塊將該命令加入 到計(jì)劃列表中���,同時(shí)�����,策略模塊定時(shí)執(zhí)行���,掃描計(jì)劃任務(wù)中的命令。(3 )策略沖莫塊在計(jì)劃4壬務(wù)中取4f IPFILTER沖莫塊注冊(cè)的《壬務(wù)��, 分析該任務(wù)的當(dāng)前狀態(tài),根據(jù)給任務(wù)的運(yùn)行條件(時(shí)間條件�,接口 條件),判斷該任務(wù)是否需要運(yùn)行�,還是不處理。(4) 如果該IPFILTER任務(wù)需要處理�,則將指令發(fā)送給 IPFILTER模塊,IPFILTER模塊根據(jù)該指令��,運(yùn)行IP過濾任務(wù)�。(5) 如果在該IP過濾4壬務(wù)在工作過禾呈中,該IP過濾相關(guān)的 WAN接口關(guān)閉了��,或者WAN接口被刪除了�,策略模塊則及時(shí)發(fā)送 指令給IPFILTER模塊,要求將該IP過濾任務(wù)停止���,或者刪除���。(6) 當(dāng)時(shí)間到達(dá)該IP過濾任務(wù)的4f止時(shí)間時(shí),策略才莫塊向該 IPFILTER模塊發(fā)送停止任務(wù)指令�����,IPFILTER模塊停止該IP過濾任 務(wù)的運(yùn)行���。二���、端口算法控制模式以策略才莫塊控制PORT-FORWARD (端口映射)為例�����,描述端 口策略的工作流程����。(1 )本防火墻首先設(shè)置了端口使用的幾個(gè)優(yōu)先等級(jí)��。A:網(wǎng)關(guān) 管理類�����,語(yǔ)音類����,主要是用于網(wǎng)關(guān)上的FTP (21)�����, HTTP (80)����, TELNET (25), VOIP等管理工具��,這類具有網(wǎng)絡(luò)的最高優(yōu)先級(jí)�����; B:端口專爭(zhēng)發(fā)類����,PORT-FORWARD, PORT-TRIGGER, UPNP等��, 他們使用端口的優(yōu)先級(jí)次于A類���;C:其它�,如DMZ等����。(2)管理人員通過PORT-FORWARD才莫塊,配置過濾4壬務(wù)��, 將WAN接口上的某端口范圍上的數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)到LAN側(cè)某IP終端上���。(3 ) PORT-FORWARD才莫塊將該端口范圍注冊(cè)到策略才莫塊�����。(4)策略模塊首先檢查該端口范圍是否其它模塊使用�����,如果 有A類的功能模塊使用該端口范圍的部分端口����,則策略模塊通知 PORT-FORWARD模塊,告知某些端口已被占用����,同時(shí)配置 IPTABLES命令,保留這些端口���,避免PORT-FORWARD模塊將這 些端口上的報(bào)文轉(zhuǎn)發(fā)到LAN側(cè)終端上����。如果是C類的功能模塊使 用的端口和該端口范圍重疊��,則策略模塊通知C類功能模塊�����,同時(shí) 確保PORT-FORWARD才莫塊能夠正常4吏用這些端口范圍�����。三��、智能算法工作模塊本防火墻實(shí)現(xiàn)了智能化的防攻擊辦法��,通過管理人員或生產(chǎn)工 具輸入既定算法����,靈活的防止各種網(wǎng)絡(luò)攻擊,以下以安全防火墻如 何預(yù)防SYN-FLOOD攻擊為例(如圖6所示)�,描述智能防攻擊的 過程。(1 )生產(chǎn)工具或管理人員首先設(shè)定監(jiān)控模塊�����,配置 SYN-FLOOD攻擊才莫型��,(單位時(shí)間內(nèi)����,在網(wǎng)關(guān)上才企測(cè)出乂人單一 IP 出來(lái)的SYN報(bào)文,超過多少次可以稱為SYN-FLOOD攻擊)����;(2)生產(chǎn)工具或管理人員在算法庫(kù)中加載防Syn-Flood算法����, 防Syn-Flood算法內(nèi)容如下A. 從檢測(cè)模塊獲得攻擊的IP地址�;B. 通知Qos模塊,降低該IP地址傳輸?shù)膸?�;C. 通知監(jiān)控模塊����,再次檢查網(wǎng)絡(luò)狀態(tài);D. 如果影響減小到合理范圍內(nèi)��,則退出�;E. 否則,通知IPFilter才莫塊�,將該IP i也址的才艮文過濾4皁。F. 如果影響減小到合理范圍內(nèi)�,則退出;G. 否則��,通過MACFilter模塊�����,制定更加嚴(yán)格的過濾規(guī)則�。(3 )當(dāng)網(wǎng)關(guān)上的監(jiān)控模塊發(fā)現(xiàn)SYN-FLOOD攻擊時(shí),通知策 略模塊��,策略模塊在算法庫(kù)中查找防SYN-FLOOD攻擊算法��,調(diào)出 防Syn-Flood算法���;(4 )策略模塊解析防SYN-FLOOD攻擊算法���,開始執(zhí)行算法。(5)策略模塊將該過程記載到日志模塊�,并通知管理人員。綜上所述��,本發(fā)明提供了 了基于策略調(diào)度的安全防火墻系統(tǒng)����, (策略+安全防火墻功能集的系統(tǒng)), 一方面�����,策略模塊統(tǒng)一管理系 統(tǒng)資源,如端口����,接口,連接通道等�����,根據(jù)模塊的優(yōu)先級(jí)����,按照預(yù) 定的策略分配給具體功能模塊,即避免了資源沖突�,又發(fā)揮了資源 的最大效用;另一方面��,策略才莫塊根據(jù)用戶預(yù)定的不同策略(時(shí)間 策略��,接口策略��,防攻擊策略)����,調(diào)度具體的功能模塊,可以是調(diào) 度一個(gè)功能模塊完成一個(gè)簡(jiǎn)單功能(如策略+端口觸發(fā)功能)�,也可 以是反復(fù)調(diào)用幾個(gè)功能模塊,以完成一個(gè)復(fù)合功能(如策略+IP過 濾+監(jiān)控+MAC過濾+監(jiān)控等),利用本發(fā)明所設(shè)計(jì)的策略化調(diào)度防 火墻系統(tǒng)�,就可以利用原有的硬件條件����,實(shí)現(xiàn)更強(qiáng)大的防火墻體系, 并具有智能化的功能����。 按照本發(fā)明提供的策略安全防火墻系統(tǒng),可以有效的管理系統(tǒng) 資源�����,并根據(jù)優(yōu)先級(jí)動(dòng)態(tài)分配給不同的功能模塊�����,從而實(shí)現(xiàn)系統(tǒng)資 源的最大效用�����。此外�����,利用策略防火墻的系統(tǒng)架構(gòu),可以完成復(fù)雜 的安全防火墻功能�����,并且����,可以讓防火墻具有一定的智慧(內(nèi)置算 法),實(shí)現(xiàn)智能防火墻�����。以上所述僅為本發(fā)明的優(yōu)選實(shí)施例而已����,并不用于限制本發(fā) 明,對(duì)于本領(lǐng)域的技術(shù)人員來(lái)說���,本發(fā)明可以有各種更改和變化�����。 凡在本發(fā)明的精神和原則之內(nèi)�,所作的任何修改��、等同替換、改進(jìn) 等���,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)����。
權(quán)利要求
1.一種基于策略管理的防火墻系統(tǒng)���,其特征在于,包括防火墻功能集模塊���,包括一個(gè)或多個(gè)防火墻模塊����,用于根據(jù)調(diào)度運(yùn)行或停止安全防火墻功能�����;以及策略模塊�����,包括中央處理單元����,用于根據(jù)預(yù)置的系統(tǒng)策略�,對(duì)所述防火墻模塊執(zhí)行調(diào)度��。
2. 根據(jù)權(quán)利要求1所述的防火墻系統(tǒng)��,其特征在于�,所述系統(tǒng)策 略包括用戶配置策略,所述策略模塊包括配置接口�����,用于由用 戶進(jìn)行策略設(shè)定��。
3. 根據(jù)權(quán)利要求1所述的防火墻系統(tǒng)����,其特征在于,所述系統(tǒng)策 略包括基于資源的策略���,所述策略模塊包括資源監(jiān)測(cè)接口�����,用 于監(jiān)測(cè)系統(tǒng)資源的使用狀況��。
4. 根據(jù)權(quán)利要求1所述的防火墻系統(tǒng)��,其特征在于�,所述系統(tǒng)策 略包括基于防火墻的策略,所述策略模塊包括防火墻檢測(cè)接 口�����,用于監(jiān)測(cè)防火墻的工作狀況���。
5. 根據(jù)權(quán)利要求1所述的防火墻系統(tǒng),其特征在于�,所述系統(tǒng)策 略包括基于優(yōu)先級(jí)的策略,所述中央處理單元根據(jù)所述防火墻 模塊的優(yōu)先級(jí)執(zhí)行調(diào)度���。
6. 根據(jù)權(quán)利要求1所述的防火墻系統(tǒng)�����,其特征在于����,所述系統(tǒng)策 略包括智能響應(yīng)策略���,所述中央處理單元響應(yīng)于預(yù)置觸發(fā)條件 執(zhí)行調(diào)度���。
7. 根據(jù)權(quán)利要求1至6中任一項(xiàng)所述的防火墻系統(tǒng)���,其特征在于, 所述策略模塊包括數(shù)據(jù)庫(kù)接口 ���,用于所述中央處理單元對(duì)存儲(chǔ) 有算法或策略的所述數(shù)據(jù)庫(kù)進(jìn)行存取�����。
8. 根據(jù)權(quán)利要求1至6中任一項(xiàng)所述的防火墻系統(tǒng)�����,其特征在于����, 所述策略模塊包括計(jì)劃任務(wù)模塊�����,用于暫存由所述中央處理單 元調(diào)度的防火墻任務(wù)的指令����。
9. 根據(jù)權(quán)利要求8所述的防火墻系統(tǒng)����,其特征在于�,所述策略模 塊包括調(diào)度執(zhí)行模塊,用于被定時(shí)調(diào)用����,掃描所述計(jì)劃任務(wù)模 塊中的所述指令,^丸行對(duì)所述防火墻才莫塊的調(diào)度����。
10. —種基于策略管理的防火墻調(diào)度方法����,其特征在于,包括以下 步驟設(shè)置一個(gè)或多個(gè)防火墻模塊���,用于根據(jù)調(diào)度運(yùn)行或停止 安全防火墻功能�;以及根據(jù)預(yù)置的調(diào)度策略����,對(duì)所述防火墻模塊執(zhí)行調(diào)度����。
11. 才艮據(jù)權(quán)利要求10所述的防火墻調(diào)度方法����,其特征在于,所述 調(diào)度策略包括用戶配置策略����、基于資源的策略、基于防火墻的 策略����、以及基于優(yōu)先級(jí)的策略中的至少一種。
12. 4艮據(jù);K利要求10或11所述的防火墻調(diào)度方法�����,其特征在于�����, 所述調(diào)度策略包括智能響應(yīng)策略���,通過響應(yīng)于預(yù)置觸發(fā)條件來(lái) 執(zhí)行調(diào)度�����。
13. 根據(jù)權(quán)利要求12所述的防火墻調(diào)度方法�,其特征在于,所述 智能響應(yīng)策略包括時(shí)間策略�����,根據(jù)預(yù)置的防火墻執(zhí)行時(shí)間來(lái)判 決是否4丸行調(diào)度���。
14. 才艮才居4又利要求12所述的防火墻調(diào)度方法���,其斗爭(zhēng)征在于,所述 智能響應(yīng)策略包括接口策略����,根據(jù)預(yù)置的防火墻執(zhí)行所需接口 條件來(lái)判決是否執(zhí)行調(diào)度。
15. 纟艮據(jù)權(quán)利要求12所述的防火墻調(diào)度方法����,其特征在于�����,所述 智能響應(yīng)策略包4舌端口策略,4艮據(jù)預(yù)置的防火墻優(yōu)先級(jí)來(lái)4丸行 調(diào)度��。
16. 根據(jù)權(quán)利要求12所述的防火墻調(diào)度方法��,其特征在于����,所述 智能響應(yīng)策略包括智能策略,根據(jù)預(yù)置在數(shù)據(jù)庫(kù)中的智能算法 來(lái)扭j于調(diào)度�。
全文摘要
本發(fā)明公開了一種基于策略管理的防火墻系統(tǒng)和調(diào)度方法。系統(tǒng)包括防火墻功能集模塊�,包括一個(gè)或多個(gè)防火墻模塊,用于根據(jù)調(diào)度運(yùn)行或停止安全防火墻功能��;策略模塊�,包括中央處理單元,用于根據(jù)預(yù)置的系統(tǒng)策略�����,對(duì)防火墻模塊執(zhí)行調(diào)度���。系統(tǒng)策略包括用戶配置策略�、基于資源的策略、基于防火墻的策略���、基于優(yōu)先級(jí)的策略��、以及智能響應(yīng)策略中的至少一種�����。智能響應(yīng)策略包括時(shí)間策略����、接口策略��、端口策略��、智能策略中的至少一種�。本發(fā)明提供的策略安全防火墻系統(tǒng)可以有效的管理系統(tǒng)資源,并根據(jù)優(yōu)先級(jí)動(dòng)態(tài)分配給不同的功能模塊�,從而實(shí)現(xiàn)系統(tǒng)資源的最大效用。利用策略防火墻的系統(tǒng)架構(gòu)��,可以完成復(fù)雜的安全防火墻功能�,實(shí)現(xiàn)智能防火墻。
文檔編號(hào)H04L12/24GK101115057SQ20061009913
公開日2008年1月30日 申請(qǐng)日期2006年7月27日 優(yōu)先權(quán)日2006年7月27日
發(fā)明者周衍堅(jiān), 偉 繆 申請(qǐng)人:中興通訊股份有限公司