專利名稱::一種防火墻系統(tǒng)��、安全服務平臺及防火墻系統(tǒng)的管理方法
技術領域:
:本發(fā)明涉及一種防火墻系統(tǒng)��、與防火墻系統(tǒng)建立通信的安全服務平臺��,及防火墻系統(tǒng)的管理方法�。
背景技術:
:目前的防火墻系統(tǒng),存在兩種完全相反的形式�����,即"胖防火墻系統(tǒng)"和"瘦防火墻系統(tǒng)"�����,前者的目標是將防火墻系統(tǒng)做成功能極大的系統(tǒng)�����,除了防火墻的基本功能外���,還增加上VPN(即虛擬個人網(wǎng)絡)����、QoS(即服務質量)�、IDS/IPS(即入侵檢測系統(tǒng)/入侵防護系統(tǒng))以及AV(防病毒)功能,并希望將防火墻系統(tǒng)發(fā)展為一個安全領域的整體安全解決方案�����;而后者卻恰好相反���,其目標是防火墻系統(tǒng)提供更精準的訪問控制�,重點關注報文的深度檢測�����、智能檢測以及從雙機熱備到負載均衡���、HA(即高可靠性)集群技術的發(fā)展與性能提升����。"胖防火墻系統(tǒng)"因為集成安全功能產品較多,因此存在諸多缺陷�����,最明顯的是性能瓶頸問題�����,此類防火墻系統(tǒng)著眼于小規(guī)模的網(wǎng)絡��,強制要求將受保護網(wǎng)絡的邊界安全集中在防火墻系統(tǒng)這單一控制點上�,從網(wǎng)絡拓撲上看,在網(wǎng)絡架構上��,防火墻自身就是性能瓶頸隱患�����;同時��,在此性能瓶頸點又增加IDS/IPS��、AV等模塊,而這類模塊又非常耗性能��,因此無疑會加劇瓶頸效應����;進一歩地�,這些附加的安全功能模塊必然增加安全策略規(guī)則數(shù)目,也將導致防火墻性能指標進一步地惡化�;更嚴重的是,附加的安全功能模塊可能是非專業(yè)的��,功能不全面的����,從而導致安全功能部分失效,甚至安全模塊自身會引入安全隱患��,從而與設計初衷相背離���,也無法為用戶帶來真正的安全���,而且價格不菲。"瘦防火墻系統(tǒng)"因為僅關注報文訪問控制���,功能少而精�;但是,隨著網(wǎng)絡技術的不斷發(fā)展���,黑客以及病毒的破壞力也不斷增強��,在網(wǎng)絡安全狀況不斷惡化的現(xiàn)實中��,防火墻必須與其它獨立安全產品�����,如IDS/IPS���,AV服務系統(tǒng)等進行配合,才能用戶提供安全保障�����。這樣���,增加了網(wǎng)絡安全成本��,同時���,用戶需要同時維護IDS/IPS����、AV服務器���,不但增加了后期維護成本���,同時對用戶的技術能力也提出了更高的要求��。
發(fā)明內容本發(fā)明的第一個目的是針對上述"瘦防火墻系統(tǒng)"和"胖防火墻系統(tǒng)"各自存在的缺陷�,提出一種既具有"瘦防火墻系統(tǒng)"的報文檢測功能,同時又具備"胖防火墻系統(tǒng)"的VPN功能����,且將其它安全功能委托給安全服務平臺、并接收安全服務平臺管控的新的防火墻系統(tǒng)��。本發(fā)明所采用的技術方案為一種防火墻系統(tǒng)��,與一安全服務平臺進行通信����,包括報文檢測模塊����,用于訪問控制規(guī)則檢測和包狀態(tài)檢測����;VPN模塊,用于IPSecVPN隧道管理����;配置模塊,用于配置報文過濾規(guī)則�,并提交到所述的報文檢測模塊;應用代理模塊�,用于接收所述報文檢測模塊提交的合法報文,并透明中轉應用層協(xié)議的請求與響應��;日志模塊�����,用于接收并管理所述防火墻系統(tǒng)內部各模塊提交的日志信息��;還包括心跳模塊��,用于定時上報防火墻系統(tǒng)的運行狀況信息到所述安全服務平臺�;以及�����,報文重定向模塊�,用于將外出數(shù)據(jù)報文重定向到所述安全服務平臺��,與所述報文檢測模塊相連�;所述配置模塊預設了所述安全服務平臺的通信參數(shù);所述日志模塊上報滿足預設的過濾條件的日志條目數(shù)據(jù)到所述安全服務平臺���。優(yōu)選地���,所述防火墻系統(tǒng)啟動后���,自動向預設的所述安全服務平臺注冊��;所述注冊信息中至少包括防火墻序列號和外網(wǎng)卡的MAC地址��。優(yōu)選地��,所述報文檢測模塊將報文提交到所述報文重定向模塊后��,所述應用代理模塊不再處理該報文�。優(yōu)選地,所述運行狀況信息包括防火墻系統(tǒng)的運行狀況信息����,內含磁盤容量及利用率、CPU負載��、內存負載�、活動進程名稱及進程號、網(wǎng)絡接口MAC地址及IP地址��、靜態(tài)規(guī)則數(shù)�、動態(tài)規(guī)則數(shù)、活動會話數(shù)��;網(wǎng)絡接口報文統(tǒng)計數(shù)��;所述日志信息�����,包括防火墻的報文檢測曰志�、規(guī)則修改日志、管理員登錄日志���、ACL違規(guī)信息和應用協(xié)議使用日志��;所述應用協(xié)議使用日志����,包括HTTP日志、FTP日志�����、POP3日志���、SMTP日志�、BT協(xié)議日志��、IM日志�����;所述日志信息遵循統(tǒng)一的日志格式�,所述日志信息的屬性至少包括源IP����、源端口、目標URI、目標端口��、時間和操作結果屬性�����;以及所述防火墻系統(tǒng)在主動建立與所述安全服務平臺間的VPN隧道后��,自動放行該隧道端節(jié)點與該防火墻系統(tǒng)內部網(wǎng)絡間的通信報文���。本發(fā)明的第二個目的是提供一種與上述防火墻系統(tǒng)相匹配的安全服務平臺��。本發(fā)明所采用的技術方案為一種安全服務平臺���,包括報文檢測模塊,用于網(wǎng)絡報文檢測��,與所述防火墻系統(tǒng)相連�;應用代理模塊,用于透明中轉應用層協(xié)議報文��,與所述報文檢測模塊相連���;防病毒模塊��,用于病毒檢檢測與清理�����,與所述應用代理模塊相連����;入侵檢測模塊,用于網(wǎng)絡入侵檢測�,與所述應用代理模塊相連;內容過濾模塊���,用于報文內容檢測與過濾���,與所述應用代理模塊相連;VPN模塊�����,用于IPSecVPN管理���,與所述防火墻系統(tǒng)相連;還包括策略管理模塊����,用于指導已確定的風險事件進行基于預設方式進行響應處理��;事件管理模塊���,用于事件風險評估,并將確定的風險事件依據(jù)所述策略管理模塊的指示進行響應處理�����;終端安全模塊�,用于Windows終端檢査,并提交檢査結果到一資產管理模塊�����;所述資產管理模塊用于接收所述防火墻系統(tǒng)和所述終端安全模塊的心跳信息�����,維護網(wǎng)絡資產的運行狀態(tài)�,并提交資產檢査異常事件到所述的事件管理模塊;漏洞掃描模塊�;用于掃描指定資產的弱點數(shù)據(jù),并提交掃描結果到所述資產管理模塊��;PKI管理模塊;用于節(jié)點身份認證和通信加解密�����,與所述資產管理模塊相連����;報表模塊,用于提供安全運營報表����。優(yōu)選地,所述報文檢測模塊直接丟棄非合法防火墻系統(tǒng)的報文����;所述應用代理模塊將所述報文檢測模塊提交的報文依次提交到所述入侵檢測模塊、防病毒模塊和內容過濾模塊����,并中轉己通過檢測的報文;其中�,合法防火墻系統(tǒng)是所述防火墻系統(tǒng)的序列號和MAC地址同時驗證正確,或PKI機制下該防火墻系統(tǒng)的節(jié)點身份驗證正確���,且序列號和MAC地址同時驗證正確���。優(yōu)選地,所述終端安全模塊允許合法防火墻系統(tǒng)內網(wǎng)的終端下載�����;該終端安全模塊采集終端運行狀況參數(shù)以及安全日志數(shù)據(jù)�����,并通過所述防火墻系統(tǒng)與所述安全服務平臺間的VPN隧道上報所采集的數(shù)據(jù)到所述資產管理模塊����,同時接受所述資產管理模塊的控制;該終端安全模塊利用軟件白名單方式�,防止啟動非法進程;以及����,與防火墻系統(tǒng)綁定的操作員僅能管控該防火墻系統(tǒng)本身以及其內網(wǎng)的資產;與防火墻系統(tǒng)綁定的操作員�����,需要啟動該防火墻系統(tǒng)到所述安全服務平臺的VPN隧道后�����,方可訪問該安全服務平臺。本發(fā)明的第三個目的是提供一種上述防火墻系統(tǒng)相對上述安全服務平臺的管理方法����。本發(fā)明所采用的技術方案為一種防火墻系統(tǒng)的安全管理方法,包括如下步驟-注冊步驟防火墻系統(tǒng)啟動后���,向預設的安全服務平臺注冊�;運行日志管理步驟安全服務平臺接收并處理合法防火墻系統(tǒng)的心跳信息和日志信息�,監(jiān)控防火墻系統(tǒng)的運行狀況;重定向報文管理步驟安全服務平臺接收合法防火墻系統(tǒng)重定向的報文��,并對報文依次進行入侵檢測處理�����、防病毒處理和內容檢測處理后���,通過應用代理透明轉發(fā)��;以及����,內網(wǎng)管理步驟安全服務平臺通過合法防火墻系統(tǒng)主動創(chuàng)建的VPN隧道,對該防火墻系統(tǒng)的內網(wǎng)進行安全管控���。優(yōu)選地��,所述心跳信息包括防火墻系統(tǒng)的運行狀況信息,內含磁盤容量及利用率�、CPU負載、內存負載����、活動進程名稱及進程號、網(wǎng)絡接口MAC地址及IP地址���、靜態(tài)規(guī)則數(shù)�����、動態(tài)規(guī)則數(shù)�����、活動會話數(shù)����、網(wǎng)絡接口報文統(tǒng)計數(shù);所述日志信息包括防火墻的報文檢測日志���、規(guī)則修改日志�����、管理員登錄日志���、訪問控制違規(guī)信息和應用協(xié)議代理日志;所述應用協(xié)議代理日志包括HTTP日志����、FTP日志、POP3日志��、SMTP日志����、BT協(xié)議日志和及時通信日志;所述日志信息遵循統(tǒng)一的日志格式�,所述日志信息的屬性至少包括源IP、源端口����、目標URI�、目標端口�、時間和操作結果屬性;所述重定向報文管理為所述防火墻系統(tǒng)依據(jù)預設規(guī)則將外網(wǎng)口的外出報文重定向到所述安全服務平臺所述安全服務平臺將報文指派到對應的應用層協(xié)議代理��,由應用層協(xié)議代理依次進行入侵檢測處理�、防病毒處理和內容檢測處理后,透明中轉合法報文���;所述安全管控包括資產掃描、終端安全管控和網(wǎng)絡弱點掃描��,所述資產掃描包括IP掃描���、端口掃描和鏈路掃描��,所述終端安全管控包括采集與上報硬件和軟件信息���、維護軟件白名單、清理終端環(huán)境�����、和管理補丁與服務,并接受遠程控制���;所述網(wǎng)絡弱點掃描包括漏洞掃描和操作系統(tǒng)被動指紋掃描����。優(yōu)選地�����,所述合法防火墻系統(tǒng)是所述防火墻系統(tǒng)的序列號和MAC地址同時驗證正確���,或PKI機制下防火墻系統(tǒng)的節(jié)點身份驗證正確��,且序列號和MAC地址同時驗證正確�;與防火墻系統(tǒng)綁定的操作員僅能管控該防火墻系統(tǒng)本身以及其內網(wǎng)資產����,且僅能管理與該防火墻系統(tǒng)及其內網(wǎng)資產相關的安全運營報表。本發(fā)明的有益效果為首先���,本發(fā)明提供了一種附加安全的防火墻系統(tǒng)����,該系統(tǒng)僅需完成報文檢測、應用透明代理�����、VPN和日志功能��,而將內容檢測�����、日志分析等耗費資源大����、要求高的功能轉移到安全服務平臺,能有效降低防火墻系統(tǒng)的成本�,提高其性能�����;同時�,依據(jù)附加的安全服務平臺,可以定制出更多的統(tǒng)計報表����;其次�,本發(fā)明提供了一種防火墻系統(tǒng)報文深度檢測外包的方法���,通過開啟防火墻系統(tǒng)上的報文重定向����,將報文重定向到安全服務平臺后����,由安全服務平臺對報文進行入侵檢測、防病毒和內容過濾�����,從而依賴安全服務平臺的硬件和軟件功能完成報文深度檢測�����,對防火墻系統(tǒng)的性能影響小��、用戶體驗影響較輕����;但提高了檢測精度,從而增強了安全性����;最后�,本發(fā)明還提供了一種內網(wǎng)安全管理方法�,通過防火墻系統(tǒng)創(chuàng)建的VPN隧道,安全服務平臺依據(jù)此隧道對防火墻內網(wǎng)進行資產掃描���、終端安全管控和弱點掃描����;減輕了內網(wǎng)安全維護成本�;同時借助安全服務平臺的各項獨立安全功能,增強了內網(wǎng)安全性�����。圖l為本發(fā)明所述防火墻系統(tǒng)與安全服務平臺的系統(tǒng)框圖2為本發(fā)明所述防火墻系統(tǒng)的報文處理流程圖3為本發(fā)明所述防火墻系統(tǒng)的心跳信息處理流程圖4為本發(fā)明所述防火墻系統(tǒng)的日志信息處理流程圖5為本發(fā)明所述安全服務平臺的節(jié)點注冊處理流程圖6為本發(fā)明所述安全服務平臺的應用協(xié)議報文處理流程圖7為本發(fā)明所述安全服務平臺的事件處理流程圖8為本發(fā)明所述防火墻系統(tǒng)的安全管理方法的流程圖��。具體實施例方式現(xiàn)結合附圖對木發(fā)明的具休實施方式進行詳細的說明�����。如圖1所示��,為本發(fā)明所述防火墻系統(tǒng)與安全服務平臺的系統(tǒng)框圖���,包括防火墻系統(tǒng)M1和安全服務平臺M2組成����,防火墻系統(tǒng)Ml與安全服務平臺M2相連��,提交自身的運行狀況信息與日志信息�����,并接收安全服務平臺M2的管控����。防火墻系統(tǒng)M1內部包括配置模塊IO,報文檢測模塊ll�,應用代理模塊12、報文重定向模塊13����、日志模塊14、心跳模塊15和VPN模塊16�。其中配置模塊10用于進行防火墻系統(tǒng)M1的運行配置,包括報文過濾規(guī)則配置�、報文重定向參數(shù)配置、VPN參數(shù)配置����、安全服務平臺通信配置以及防火墻系統(tǒng)M1的全局運行參數(shù)配置���,如網(wǎng)絡接口配置、NAT配置以及可信管理終端信息配置�。配置模塊IO接收操作員的配置參數(shù),并提交到報文檢測模塊ll���、應用代理模塊12����、報文重定向模塊13�、日志模塊14、心跳模塊15以及VPN模塊16��。報文檢測模塊11用于對出入防火墻系統(tǒng)M1的報文進行檢測���,包括基于協(xié)議的訪問控制規(guī)則(ACL)檢測和報文狀態(tài)檢測����。在內核模式下����,接收到網(wǎng)絡接口卡驅動程序所提交的數(shù)據(jù)報文后,首先����,解析IP頭域,依據(jù)配置模塊IO配置的規(guī)則�,以及IP協(xié)議所約定的IP報文格式,丟棄違反規(guī)則和報文格式錯誤的IP報文���;其次�����,基于傳輸層協(xié)議要求以及配置的TCP��、UDP防護規(guī)則����,在傳輸層對報文進行狀態(tài)檢測�、規(guī)則檢測,直接丟棄非法報文�����;最終將報文提交到應用代理模塊12或依據(jù)配置模塊10的配置的指示,將需要重定向的報文提交到報文重定向模塊13���。應用代理模塊12用于防火墻系統(tǒng)Ml對應用層協(xié)議進行透明代理��,并進一步進行應用協(xié)議級檢測�����,包括基于協(xié)議規(guī)范的報文格式檢測����、狀態(tài)檢測�����、和敏感內容過濾��。應用代理模塊12直接將目標是防火墻系統(tǒng)M1的報文提交到防火墻系統(tǒng)M1的應用�;同時,針對需要中轉的報文��,透明中轉�����,即針對請求報文,作為服務端���,終止應用客戶端的請求,同時���,向真實的服務端發(fā)送請求��;針對響應報文����,作為客戶端�,終止真實的服務端的響應,同時��,作為服務端�����,響應原始客戶端的請求�����。報文重定向模塊13用于防火墻系統(tǒng)Ml將報文重定向到安全服務平臺M2���,與安全服務平臺M2直接相連��。日志模塊14用于防火墻系統(tǒng)M1的日志管理����,包括寫日志、日志檢索以及將符合條件的日志信息提交到安全服務平臺M2;接收防火墻系統(tǒng)M1內部其它模塊提交的日志內容�����。心跳模塊15用于定時采集防火墻系統(tǒng)M1的運行狀況信息���,包括磁盤容量及利用率���、CPU負載、內存負載�、活動進程名稱及進程號、文件信息���、網(wǎng)絡接口MAC地址及IP地址��、靜態(tài)規(guī)則數(shù)�����、動態(tài)規(guī)則數(shù)���、活動會話數(shù)����;網(wǎng)絡接口報文統(tǒng)計數(shù)等���,并將采集到的信息規(guī)整化后提交到安全服務平臺M2;VPN模塊16用于防火墻系統(tǒng)M1的IPSecVPN管理,包括�,作為服務端,與遠程客戶端的VPN客戶端模塊通信�����,維護客戶端到防火墻系統(tǒng)M1的VPN通信隧道���;作為客戶端����,主動與安全服務平臺M2的VPN模塊32通信�,創(chuàng)建防火墻系統(tǒng)Ml與安全服務平臺M2間的VPN通信隧道。安全服務平臺M2內部包括報文檢測模塊20�、資產管理模塊21�、應用代理模塊22�����、策略管理模塊23���、事件管理模塊24��、報表模塊25��、防病毒模塊26�、入侵檢測模塊27�、內容過濾模塊28、PKI模塊29�、終端安全模塊30、漏洞掃描模塊31和VPN模塊32���。其中報文檢測模塊20與防火墻系統(tǒng)M1相連����,實際是與所述的報文重定向模塊13����、日志模塊14和心跳模塊15相連���,在第三層(即IP層)上,針對流入的報文��,驗證源IP是否合法���;針對流出的報文���,驗證目標IP是否合法;然后���,基于IP協(xié)議規(guī)范,對IP報文的格式進行檢測����;并在提取到TCP、UDP頭i或后��,基于預設的ACL規(guī)則�����,以及TCP��、UDP的狀態(tài)機規(guī)范,對報文進行檢測���;最后��,將目的地址是安全服務平臺的報文提交到資產管理模塊21�,將目的地址不是安全服務平臺的報文提交到應用代理模塊22��。資產管理模塊21用于對防火墻系統(tǒng)M1以及該系統(tǒng)內部網(wǎng)絡中的終端����、主機、網(wǎng)絡設備進行管理���。將PKI報文提交到PKI模塊29��,并在節(jié)點身份認證通過后��,激活防火墻系統(tǒng)M1的資產管理�����,包括心跳信息處理����、日志信息處理,并基于策略管理模塊23設定的標準產生安全事件�����,提交到事件管理模塊24;接收事件管理模塊24反饋的事件分析結果����,更新相應資產的風險等級;接收終端安全模塊30和漏洞掃描模塊31的檢查結果����;提供資產管理員操作權限管控,與防火墻系統(tǒng)M1綁定的資產管理員僅能瀏覽�����,和/或操作與該防火墻系統(tǒng)實例相對應的資產����,包括防火墻系統(tǒng)本身以及其內網(wǎng)資產����。應用代理模塊22用于對源自防火墻系統(tǒng)M1的報文進行應用層協(xié)議透明代理,以實現(xiàn)防病毒����、入侵檢測以及內容過濾�����。將報文依次提交到入侵檢測模塊27���、防病毒模塊26和內容過濾模塊28,并最終透傳合格報文�。策略管理模塊23用于安全服務平臺M2預設各類策略,包括資產運行狀態(tài)安全基準�、應用協(xié)議代理所需要的報文處理策略、以及事件處理所需要的分析策略和響應策略�����。策略管理模塊23接收用戶定制的策略�����,并分別提交到資產管理模塊21���、應用代理模塊22和事件管理模塊24��。事件管理模塊24接收各類安全事件����,并處理,包括事件漏洞關聯(lián)�����、事件資產關聯(lián)以及事件鏈關聯(lián)���,并將分析后的風險結果提交到資產管理模塊21;事件管理模塊24將處理后的事件保存到數(shù)據(jù)庫����,以便報表模塊25處理�;依據(jù)策略管理模塊23配置的響應策略對事件進行響應,如通知管理員�����。報表模塊25用于安全服務平臺M2的報表處理�����,提供安全服務平臺級報表�����,此類報表反映所有防火墻系統(tǒng)的運行狀況�;報表模塊25還用于防火墻系統(tǒng)級報表,此類報表僅反映特定防火墻及其內網(wǎng)的運營狀況����;提供報表管理員權限管控,與防火墻系統(tǒng)Ml綁定的管理員僅能瀏覽與該防火墻系統(tǒng)及其內網(wǎng)資產相關的報表�����。防病毒模塊26用于安全服務平臺M2對重定向報文進行防病毒處理��,接收應用代理模塊22提交的報文�,并將處理結果反饋到應用代理模塊22。入侵檢測模塊27用于安全平服務臺M2對重定向報文進行入侵檢測處理�,接收應用代理模塊22提交的報文,并將處理結果提交到應用代理模塊22�����。內容過濾模塊28用于安全服務平臺M2對重定向報文進行內容過濾��,包括關鍵字對象���、URL對象以及登錄標題對象過濾����;內容過濾模塊28接收應用代理模塊22提交的報文,并將處理結果提交到應用代理模塊22����。PKI模塊29用于安全服務平臺M2對防火墻系統(tǒng)M1以及其內網(wǎng)設備節(jié)點進行身份認證、以及通信報文加密與解密�����;PKI模塊29接收資產管理模塊提交的PKI報文請求�����,并反饋處理結果��。終端安全模塊30用于安全服務平臺M2對防火墻系統(tǒng)Ml的內部網(wǎng)絡終端設備進行安全管控�,通常部署在防火墻系統(tǒng)M1的內部網(wǎng)絡的終端機上,采集并上報終端的運行狀況�����,并接收源自資產管理模塊21的控制����。漏洞掃描模塊31用于安全服務平臺M2對防火墻系統(tǒng)Ml的內部網(wǎng)絡進行弱點掃描,本模塊直接部署在安全服務平臺M2的服務器上���,和/或部署在防火墻系統(tǒng)Ml的內部網(wǎng)絡中����,通過主動掃描以獲得網(wǎng)絡和/或設備的弱點信息�,并提交到資產管理模塊21;同時,接收資產管理模塊21的控制���。VPN模塊32用于維護安全服務平臺M2與防火墻系統(tǒng)Ml間的IPSecVPN隧道�,與防火墻系統(tǒng)Ml的VPN模塊16相連����。具體實施時,防火墻系統(tǒng)M1向安全服務平臺M2注冊�;注冊成功后,防火墻系統(tǒng)M1定期上報心跳信息�����;不間斷地上報符合預設條件的運行日志信息��;安全服務平臺M2處理防火墻系統(tǒng)Ml上報的運行信息,并依據(jù)預設的策略��,產生安全事件����;并依據(jù)預設的安全事件響應策略,通知防火墻系統(tǒng)維護人員���;防火墻系統(tǒng)Ml依據(jù)預設的條件���,將報文重定向到安全服務平臺M2后,安全服務平臺M2對重定向的報文進行入侵檢測����、防病毒以及內容過濾處理后,透明中轉報文或產生安全事件���;防火墻系統(tǒng)M1主動建立了到安全服務平臺M2的IPSecVPN隧道后��,部署在防火墻系統(tǒng)M1內網(wǎng)的終端安全模塊���、漏洞掃描模塊通過此隧道與安全服務平臺M2通信,并接收安全服務平臺M2的控制�;部署在安全服務平臺M2同側的漏洞掃描模塊通過此隧道可對防火墻系統(tǒng)Ml的內網(wǎng)進行遠程掃描����。綁定到防火墻系統(tǒng)Ml上的操作員僅能瀏覽到與所綁定防火墻系統(tǒng)Ml相對應的防火墻級的報表����,并僅能管控該防火墻及其內網(wǎng)設備���。本發(fā)明所述的防火墻系統(tǒng)因為將最復雜的防病毒����、入侵檢測以及內容過濾委托給安全服務平臺��,故其內部的報文處理要求相對較低���,從而可以采用低成本的硬件設備�����,進而降低防火墻系統(tǒng)的成本�����。如圖2所示����,為本發(fā)明所述防火墻系統(tǒng)的報文處理流程圖,包括步驟S201:捕獲報文�;防火墻系統(tǒng)在內核模式下,以DMA方式取得網(wǎng)卡驅動程序中緩存區(qū)的報文后�����,即完成了報文捕獲����;也可以修改網(wǎng)卡驅動程序,直接要求驅動程序將緩存區(qū)數(shù)據(jù)表搬遷到系統(tǒng)內核空間后����,觸發(fā)中斷,指示報文捕獲完成����。步驟S202:規(guī)則檢測;防火墻系統(tǒng)M1主要進行訪問規(guī)則檢測���,包括�����,針對第二層(即數(shù)據(jù)鏈路層)���,針對收到的報文����,提取其源MAC地址���,首先檢索MAC黑名單,直接阻斷黑名單報文然后檢索MAC白名單��,直接放行符合白名單條件的報文�����;直接放行其它報文���;針對第三層(即IP層)���,首先進行協(xié)議級檢測,除了遵守協(xié)議規(guī)范對IP報頭進行格式檢測����、校驗和驗證外���,還包括碎片重疊檢測;然后依據(jù)預設的ACL規(guī)則�,對源IP與目標IP對進行檢查,直接丟棄違反ACL規(guī)則的報文���;針對第四層(即傳輸層)���,除了依據(jù)協(xié)議規(guī)范對報文進行驗證外,還基于預設的ACL規(guī)則���,對通信四元組(源IP�����、源端口���、目標IP、目標端口)進行檢測����,直接丟棄非法報文;轉步驟S203。本實施例中����,所有協(xié)議級的檢測可以直接利用Linux/BSD的協(xié)議棧的原有功能實現(xiàn);附加的檢測通過改寫協(xié)議實現(xiàn)文件中的相應函數(shù)實現(xiàn)����,和/或直接利用iptables工具實現(xiàn),和/或編寫netfilter鉤子函數(shù)實現(xiàn)�。歩驟S203:狀態(tài)檢測;主要針對TCP進行協(xié)議狀態(tài)檢測�����,直接丟棄不符合狀態(tài)規(guī)則的報文����。本實施中�����,可以在TCP協(xié)議實現(xiàn)中維護連接狀態(tài)表��,并將進出網(wǎng)絡的數(shù)據(jù)分配到每個會話��,利用所述的連接狀態(tài)表跟蹤每一個會話的狀態(tài);或直接利用Linux的ip_conntmCk和iptables工具配合實現(xiàn)�。步驟S204:測試報文的目標地址是否為防火墻系統(tǒng)自身,即是否需要中轉報文�����,如果目標地址是防火墻系統(tǒng)自身��,即不需要中轉報文��,則轉步驟S205����,否則,轉步驟S206���。步驟S205:將報文直接傳送到防火墻系統(tǒng)的上層應用���,即將報文上傳到本地應用,并結束��。步驟S206:測試報文是發(fā)送到外網(wǎng)還是發(fā)送內網(wǎng)�����,即是否要外出報文,如果需要發(fā)送到外網(wǎng)�����,則轉步驟S208�,否則,轉步驟S207���。步驟S207:查找NAT表�,檢索到目標內網(wǎng)的IP地址����,并將報文中轉到此目標,結束����。歩驟S208,測試外出報文是否需要重定向報文����,如果需要重定向�,則轉步驟S209;否則,轉步驟S210��。本實施中,首先檢測無條件重定向是否置位��,如果為真�,則所有報文均重定向;否則���,以第四層的目標端口為條件�,檢索預設的重定向服務集合����,如果匹配,則該報文需要重定向��,此后�,與該會話相關的報文都直接重定向。步驟S209:重構IP報文頭域����,并將報文提交到預設的安全服務平臺,即將報文提交重定向處理����;并結束。本實施中�����,采用squid工具實現(xiàn)http協(xié)議報文重定向。步驟S210:將報文提交到上層應用代理����,由應用代理透明中轉與外網(wǎng)的請求與響應,即將報文提交應用代理處理��,并結束����。本實施中,應用代理包括FTP代理���、SMTP代理��、POP3代理�、DNS代理以及透傳代理��,分別用于代理內網(wǎng)的FTP協(xié)議����、SMTP協(xié)議���、POP3協(xié)議�、DNS協(xié)議以及透傳報文;缺省的�,應用代理將報文都提交到透傳代理。此外���,本實施屮���,防火墻系統(tǒng)M1在外發(fā)報文時,提供區(qū)分服務(Diffsrv)的流量控制�,利用Linux現(xiàn)有的排隊規(guī)則機制和TC配置工具實現(xiàn)。本發(fā)明所述防火墻系統(tǒng)定期上報心跳信息到預設的安全服務平臺M2��,以便安全服務平臺M2及時更新防火墻系統(tǒng)M1的運行狀況�����,并將偏離了正常狀態(tài)的指標通知防火墻系統(tǒng)M1的管理人員��。如圖3所示���,為本發(fā)明所述防火墻系統(tǒng)的心跳信息處理流程圖��,包括歩驟S301:收集各指標的運行參數(shù)�����。防火墻系統(tǒng)M1定期自動收集自身的運行狀態(tài)參數(shù)����,包括磁盤容量及利用率、CPU負載�、內存負載、活動進程名稱及進程號����、網(wǎng)絡接口MAC地址及IP地址、靜態(tài)規(guī)則數(shù)�����、動態(tài)規(guī)則數(shù)��、活動會話數(shù)以及網(wǎng)絡接口報文統(tǒng)計數(shù)���。本實施中��,利用API函數(shù)提取設備級信息�,包括磁盤容量、利用率�、CPU負載、內存負載��、活動進程名稱與進程號���、文件信息、網(wǎng)絡接口MAC地址和與其關聯(lián)的IP地址���;利用API函數(shù)提取網(wǎng)絡接口的報文統(tǒng)計數(shù)�����,包括接收與發(fā)送報文的總量���、錯誤報文量和丟棄報文量;同時���,利用防火墻系統(tǒng)M1自身提供的接口���,提取靜態(tài)規(guī)則數(shù)、動態(tài)規(guī)則數(shù)���、活動會話數(shù)�����;另外���,還利用防火墻系統(tǒng)M1自身的MD5算法���,計算防火墻系統(tǒng)上的文件信息(包括應用以及預設操作系統(tǒng)核心目錄、核心文件)的MD5值�。步驟S302:組建心跳消息報文。將防火墻系統(tǒng)宿主機的外口MAC地址��、防火墻系統(tǒng)的出廠序列號����、當前時間、心跳消息序列號�����、采集到的設備級信息�����、防火墻系統(tǒng)業(yè)務級信息以及計算的系列MD5值,構成xml格式的報文內容�����。步驟S303:測試安全服務平臺是否在線�����,如果在線���,則轉步驟S305;否則,轉步驟S304��。步驟S304:將當前心跳報文內容寫進緩存區(qū)���,并休眠一段時間��,即緩存心跳報文���,并轉步驟S303;緩存區(qū)只保留一條心跳消息,每次保存到緩存區(qū)后�,都將覆蓋上次的心跳報文;休眠時間是可以設置的�,缺省是休眠90秒。步驟S305:加密報文內容,并發(fā)送報文到安全服務平臺���。本實施中��,利用128位DES算法加密報文內容�����。其密鑰是防火墻系統(tǒng)M1向安全服務平臺M2注冊成功后�,由安全服務平臺M2分配的會話級密鑰�。防火墻系統(tǒng)Ml向安全服務平臺M2注冊時使用的會話密鑰就是防火墻系統(tǒng)宿主機的MAC地址和防火墻系統(tǒng)的出廠序列號的組合。本實施中�,利用PKI機制加密報文內容。利用RSA加密報文內容���,其密鑰是安全服務平臺M2的公鑰�����;報文加密后��,再利用DSA算法簽名�����。本實施中�����,防火墻系統(tǒng)M1還支持心跳信息不加密�����,直接提交到安全服務平臺M2���。步驟S306:安全服務平臺M2解密心跳報文,并更新防火墻系統(tǒng)的實時狀態(tài)�。安全服務平臺M2收到心跳報文后,提交到其資產管理模塊21����,首先解密心跳報文。本實施中���,通過查找預設的防火墻心跳信息解密規(guī)則表(該表初始時由手工維護�����,內含防火墻外口IP地址����、解密方式、初始會話密鑰��、動態(tài)會話密鑰���、和公鑰文件)���。若解密方式為對稱標志,則利用DES算法解密心跳報文���,其解密密鑰為檢索到的動態(tài)會話密鑰�����。若解密方式為非對稱標志�����,則利用檢索到的公鑰驗證簽名���,然后利用RSA算法解密報文;若解密方式為無標志�����,則不進行解密。本實施中��,如果心跳報文持續(xù)大于2M����,操作員可強制PKI機制下防火墻系統(tǒng)與安全服務平臺間采用對稱加解密,以提高性能����。安全服務平臺M2生成128位DES算法所需要的會話密鑰后,構建密鑰通知報文����,利用RSA算法加密該通知報文��,并用DSA算法簽名后�����,提交到防火墻系統(tǒng)M1;防火墻系統(tǒng)M1在簽名驗證���、解密成功后�,應答安全服務平臺M2會話密鑰交換成功;此后�,防火墻系統(tǒng)Ml將利用DES算法加密心跳報文,安全服務平臺M2利用DES解密心跳報文����。本實施中,操作員可以在安全服務平臺M2上強制防火墻的心跳不加密直接上報�,安全服務平臺M2自動通知防火墻系統(tǒng)M1關閉心跳加密,在獲得防火墻系統(tǒng)M1的肯定應答后���,安全服務平臺M2不再啟用解密過程對源自所述防火墻系統(tǒng)M1的心跳報文進行解密��。心跳報文解密后�,提取心跳報文的內容���,并更新相應防火墻系統(tǒng)M1的運行指標項的值�,同時��,依據(jù)當前值與預設的合法值比較����,更新各指標項的狀態(tài)圖(正常、警告����、故障)��;步驟S307:提取狀態(tài)為"故障"指標項���,并測試該指標項與上一次狀態(tài)是否一致,如果不一致����,則為新故障,轉S308;否則���,結束�。步驟S308:構建安全事件����,并提交事件處理。首先將"告警"指標項劃分到"設備級"和"業(yè)務級"���,然后,將所有"設備級"告警項組合到一起�����,構成設備告警事件數(shù)據(jù),包括指標名稱��、當前值����、合法值;將所有"業(yè)務級"告警項組合到一起��,構成業(yè)務告警事件數(shù)據(jù)���,包括指標名稱��、當前值���、合法值;其次將設備告警事件數(shù)據(jù)����,附加在防火墻外口IP、時間����、探測器("資產管理標識")、可信度(10)與事件標識("設備運行參數(shù)告警")的后邊,提交到事件管理模塊24;將業(yè)務告警事件數(shù)據(jù)��,附加在防火墻外口IP�、時間、探測器("資產管理標識")�����、可信度(10)與事件標識("業(yè)務運行參數(shù)告警")的后邊�,提交到事件管理模塊24;事件管理模塊24接收到資產管理模塊21提交的安全事件后,檢測到該事件的探測器為"資產管理標識"����、其可信度為10、且服務器為已注冊的防火墻系統(tǒng)后����,直接調用策略管理模塊23預設的響應策略進行處理。缺省的響應策略為首先將告警提示通知到資產管理模塊21;然后査找與該防火墻系統(tǒng)相關聯(lián)的維護人員�;再檢索各相關維護人員的、當前有效的接收告警方式��;最后依據(jù)各維護人員的接收告警方式�,以短信、或QQ�、或MSN、或Email方式通知到具體維護人��。本發(fā)明所述防火墻系統(tǒng)M1主動將本地日志信息上報到安全服務平臺M2�����,由后者對日志進行分析�����,并產生安全告警�����。如圖4所示���,為本發(fā)明所述防火墻系統(tǒng)的日志信息處理流程圖���,包括步驟S401:定期檢索防火墻系統(tǒng)的日志條目。防火墻系統(tǒng)級操作員可以設定需要上報的日志條目條件���,缺省的����,僅上報防火墻系統(tǒng)M1的運行安全R志。防火墻系統(tǒng)M1主動采集其宿主機的操作系統(tǒng)級日志�,并轉換為統(tǒng)一日志格式,保留在本地數(shù)據(jù)庫中��;防火墻系統(tǒng)M1的運行日志信息�,也遵循統(tǒng)一日志格式,保留在本地數(shù)據(jù)庫中��;日志數(shù)據(jù)表中的記錄會在過期后自動刪除�����。所述的統(tǒng)一日志信息包括如下屬性時間����、源IP、源端口�����、目標URI�、目標端口、協(xié)議���、日志數(shù)據(jù)����。如針對HTTP的訪問日志"Jul504:13:33119.145.5.122squid[13073]:1246738413.40214192.168.21.136TCP一MISS/200459HEADhttp:〃download.windowsupdate.com/v8/microsoftupdate/b/semipdate/WSUS3/x86/Other/musetup.cab0907042013-DIRECT/121.14.234.248application/octet-stream",可通過sscanf���,或正則表達式,提取到時間("Jul504:13:33")�����、源IP("192.168.2U36")����、源端口(nulD、目標URI("http:〃do糧load.windowsupdate.com/v8/microsoftupdate/b/selfupdate/WSUS3/x86/Other/musetup.cab0907042013")����、目標端口(null)、協(xié)議("TCP")�、日志數(shù)據(jù)("Type=service/http,Method=HEAD,Result=200,Length=459,Target=DIRECT/12114.234.248,Content-application/octet-stream;process-squid,pid=13073");又如針對操作系統(tǒng)級安全日志"Jul613:18:13HOST—71ssM[4167]:Acceptedpasswordforrootfrom::ffff:192.168.5.149port3472ssh2"����,提取到時間("Jul613:18:13")、源IP("::fflf:192.168.5.149")����、源端口("3472")����、目標URJ("HOST—71")�����、目標端口(null)����、協(xié)議("ssh2")、曰志數(shù)據(jù)("Type=os/security,Method=ssh,Result=accepted,User=root,Content=acceptedpasswordforroot�,process=sshd,pid=4167");步驟S402:測試是否檢索到日志條目,如果為空�,即沒有合規(guī)日志,則本輪無需發(fā)送日志��,轉步驟S401;否則���,轉步驟S403����。步驟S403:加密日志內容��,并發(fā)送到安全服務平臺M2。防火墻系統(tǒng)M1檢索到日志條目信息后��,在所述日志條目信息的前面��,附加上防火墻外網(wǎng)卡的MAC地址�����、檢測工具標識("防火墻")和事件標識("日志")后���,構成日志報文如果檢索到的日志條目較多,則構建多個日志報文����,每個報文最多攜帶20條日志條目。本實施中���,利用128位DES算法加密日志報文���。DES算法所用的密鑰是防火墻系統(tǒng)M1向安全服務平臺M2注冊成功后,由安全服務平臺M2分配的會話級密鑰��。本實施中����,利用PKI機制加密日志報文��。利用RSA加密日志內容���,其密鑰是安全服務平臺M2的公鑰;報文加密后�����,再利用DSA算法簽名�。本實施中,防火墻系統(tǒng)M1還支持日志報文不加密����,直接提交到安全服務平臺M2。步驟S404:解密日志報文�,并將日志關聯(lián)到防火墻資產。安全服務平臺M2的資產管理模塊21收到日志類報文后���,同防火墻系統(tǒng)M1側對日志信息的加密處理相對應�����,安全服務平臺M2查找日志信息解密規(guī)則信息后(該解密規(guī)則表同附圖3中步驟S306中防火墻心跳信息解密規(guī)則表類似)����,采用DES算法解密、或DSA算法解簽后再利用RSA算法解密��、或無需解密報文內容���,獲得日志信息�����;通過報文中的MAC地址��,檢索到相應防火墻系統(tǒng)M1標識后,將日志報文關聯(lián)到該防火墻資產上��。步驟S405:依據(jù)檢索出的防火墻系統(tǒng)標識����,查找與該防火墻系統(tǒng)相關的円志內容過濾條件,測試當前H志項是否違規(guī)���。日志內容過濾包括URI過濾�����、目標端口過濾����、訪問URI限制、日志數(shù)據(jù)Type過濾�����、日志數(shù)據(jù)Method過濾��、日志數(shù)據(jù)Result過濾�、以及由單項過濾規(guī)則組合成復雜過濾規(guī)則過濾。如果能過濾到內容�����,則產生安全事件�,包括防火墻系統(tǒng)的外口IP、探測器類屬("防火墻")��、安全事件類屬以及來自日志信息的時間��、源IP�����、源端口、目標URI����、目標端口、協(xié)議和日志數(shù)據(jù)����;其安全事件類屬是預先配置的,且與具體過濾規(guī)則相關���;轉步驟S406;否則�����,結束�����。步驟S406:提交新事件到事件池;將新產生的安全事件���,提交到事件管理模塊24的事件池后�����,結束��。事件管理模塊24將對事件池中的事件統(tǒng)一分析并響應����。本發(fā)明所述防火墻系統(tǒng)M1,以及部署在防火墻系統(tǒng)內網(wǎng)設備終端安全模塊30�,都會主動向安全服務平臺M2注冊。如圖5所示�,是本發(fā)明所述安全服務平臺M2處理設備節(jié)點注冊信息的流程圖,包括步驟S501:節(jié)點注冊��;防火墻系統(tǒng)M1�����、以及部署在防火墻系統(tǒng)內網(wǎng)設備終端安全模塊30啟動后�����,主動向安全服務平臺M2注冊����,注冊報文包括注冊類型��、節(jié)點IP����、節(jié)點MAC��、合法防火墻的MAC�、合法防火墻的序列號、硬件信息��、文件信息���、服務信息�����、操作員信息和鄰居信息��。防火墻系統(tǒng)的注冊信息通過公網(wǎng)承載���,故報文128位DES加密(密鑰為IP地址)���;防火墻系統(tǒng)內網(wǎng)節(jié)點的注冊信息通過防火墻系統(tǒng)與安全服務平臺間的VPN隧道承載����,報文不加密;防火墻系統(tǒng)的鄰居信息僅僅是各網(wǎng)絡接口的配置信息��,而其它節(jié)點(即內網(wǎng)設備)的鄰居信息除網(wǎng)絡接口的配置信息外��,還包括預設數(shù)量的鄰居信息(該鄰居信息包括MAC地址以及IP地址)�����;注冊報文是防火墻系統(tǒng)與安全服務平臺間通信信道上的首個報文����。步驟S502:安全服務平臺測試是否是防火墻系統(tǒng)注冊;安全服務平臺在公網(wǎng)SOCKET上收到注冊請求��,利用DES解密后(通過SOCKET的源IP可以獲得密鑰)����,標記為防火墻注冊,并附加上SOCKET的源IP���,轉步驟S503;在VPN網(wǎng)SOCKET上收到注冊請求�,標記為節(jié)點注冊����,轉步驟S504���。步驟S503:測試待注冊的防火墻系統(tǒng)是否為合法防火墻;首先提取到節(jié)點IP�����,與附加的SOCKET的源IP比較�����,如果不同��,則結束��;否則���,提取節(jié)點MAC���、防火墻的序列號,以此為條件檢索防火墻標識�,如果不存在,則結束���;否則��,保存防火墻標識到節(jié)點標識中��,轉步驟S507�����。本發(fā)明進一步地�,在檢索到防火墻標識后�����,轉步驟S507前��,測試防火墻系統(tǒng)Ml是否需要PKI認證�����,如果為真���,則啟動基于X509的節(jié)點認證流程�,只有節(jié)點認證通過后�����,才轉步驟S507。步驟S504:測試待注冊節(jié)點的出口防火墻是否合法�;提取防火墻的MAC、防火墻的序列號��,以此為條件�,檢索防火墻標識,如果不存在�,則結束;否則�����,轉步驟S505��。本發(fā)明進一步地��,在檢索到防火墻標識后����,轉步驟S505前,測試防火墻系統(tǒng)下的節(jié)點是否需要PKI認證�,如果為真,則啟動基于X509的節(jié)點認證流程,只有節(jié)點認證通過后���,才轉步驟S505��。步驟S505:測試節(jié)點是否是首次注冊��;以提取到的節(jié)點IP、節(jié)點MAC以及步驟S504檢索到的防火墻標識為條件��,檢索節(jié)點標識����,如果不存在,即是首次注冊���,則轉步驟S506;否則�����,轉步驟S507����。步驟S506:增加新節(jié)點���,并將其分配到相應的防火墻下����;以提取到的節(jié)點IP、節(jié)點MAC地址為基礎�����,構建新的節(jié)點信息�,并插入節(jié)點信息表,并獲得相應節(jié)點標識�����;將節(jié)點標識����、步驟S504檢索出的防火墻標識插入防火墻節(jié)點關系表中。步驟S507:更新資產狀態(tài)�����;首先將節(jié)點標識所對應的節(jié)點狀態(tài)修改為"活動"態(tài)��;然后���,解析報文中的硬件信息�、文件信息、服務信息����、操作員信息和鄰居信息,并測試硬件���、文件��、服務、操作員和鄰居是否發(fā)生了變更��。如果有變更�,針對新增的,將新增條目插入相應的表屮�����,并標注為"新"�����;針對修改的���,將舊值保存到備注中�����,并用新值取代舊值����,標注為"變更'、針對本次未發(fā)現(xiàn)的����,將其標注為"刪除"。針對Windows,文件信息是已安裝的程序����、補丁和注冊表中的部分項(如啟動項的MD5值、BHO項的MD5值)��;針對非Windows,文件信息是核心系統(tǒng)文件���、系統(tǒng)目錄以及用戶預設的應用程序����、應用目錄的MD5值���;同吋����,針對非Windows,服務由所有Listen態(tài)的端口、協(xié)議以及進程名組成�����。本發(fā)明所述防火墻系統(tǒng)Ml可將報文重定向到所述安全服務平臺M2���,由安全服務平臺M2對重定向報文進行防攻擊�、防病毒和內容過濾處理后��,并最終中轉此類報文�����。安全服務平臺M2針對重定向報文的處理流程圖如圖6所示�,包括步驟S601:測試ACL是否合法���;利用iptables工具��,僅處理合法防火墻系統(tǒng)提交的重定向報文�;如果重定向報文違反ACL規(guī)則,則直接丟棄�����;否則�,轉步驟S602。步驟S602:依據(jù)報文服務類型�,提交到應用代理模塊22;提取報文第四層協(xié)議的端口號,即可確定應用代理��;并將報文提交到應用代理模塊22的接收報文緩存中���,由應用代理模塊22進行后續(xù)處理�。步驟S603:測試是否通過IDS檢測��;應用代理模塊22從報文接收隊列取得報文后����,首先提交到入侵檢測模塊27,并驗證入侵檢測模塊27返回的處理結果��;如果結果正常�����,則轉步驟S604;否則,丟棄該報文�;缺省地,入侵檢測模塊27會立即返回結果正常�;入侵檢測模塊27在檢測到入侵痕跡后,產生安全事件�,提交到事件管理模塊24處理;針對非?����?隙ǖ墓羰录?��,入侵檢測模塊27會自動生成指令�,并調用iptables指令實施阻隔��。步驟S604:測試是否通過AV檢測���;應用代理模塊22再次將報文提交到防病毒模塊26,并驗證防病毒模塊26的處理結果�;如果結果正常,則轉歩驟S605;否則���,丟棄該報文���;同入侵檢測模塊27不同的是�,防病毒模塊26會立即對報文進行處理��,并在處理完畢后返回結果��。步驟S605:測試是否通過內容過濾檢測�����;應用代理模塊22將報文提交到內容過濾模塊28���,并測試內容過濾結果���;如果為真,轉步驟S606;否則���,丟棄該報文�。內容過濾采用集成了TCAM(TernaryContentAddressableMemory)的芯片保存內容規(guī)則�;也可以直接利用主板上內存保存內容規(guī)則,內容規(guī)則包括URL規(guī)則����、關鍵字規(guī)則��。利用AC-BM(Aho��、Corasick��、BloomFilter)算法提供的快速字符串模式匹配��,即可實現(xiàn)內容過濾檢測�。步驟S606:應用代理模塊22中轉報文���;針對請求報文�,首先建立客戶端上下文��,并對報文內容進行協(xié)議級附加檢測���,最后重建請求報文��,并將請求報文提交到目標服務端��;針對響應報文����,首先檢索與此相對應的客戶端上下文是否存在���,如果不存在��,則直接丟棄���;否則,對報文內容進行協(xié)議級附加檢查��;然后重建響應報文�,最后將新建的響應報文提交到客戶端,并刪除客戶端上下文���。本實施中���,只有SMTP、POP3應用代理是完整的應用代理���;其它應用協(xié)議代理���,均釆用簡單透傳。本發(fā)明所述安全服務平臺M2的事件管理模塊24集屮處理所述防火墻系統(tǒng)Ml��、資產管理模塊21、終端安全模塊30�、漏洞掃描模塊31以及應用代理模塊22、入侵檢測模塊27����、防病毒模塊26和內容過濾模塊28提交的各類安全事件,并自動響應�。其內部處理流程如下步驟S701:事件預處理;事件管理模塊的事件池接收防火墻系統(tǒng)Ml以及安全服務平臺其它模塊提交的事件���,并通過預設的正則表達式��,提取事件的特征屬性����,構建格式統(tǒng)一的事件���,包括主機���、探測器、事件標識�����、時間、源IP����、源端口�����、目標URI����、目標端口、協(xié)議���、事件數(shù)據(jù)�����、事件擴展數(shù)據(jù)��。預處理過程后�����,直接丟棄信息不完整的事件�;同時也丟棄探測器和事件標識屬性不可識別的事件;安全服務平臺M2統(tǒng)一管理所有合法的探測器和事件標識��。步驟S702:事件漏洞關聯(lián)處理��;事件管理模塊24為每類可識別的事件都分配一個唯一的事件標識�,并且要求所有的能產生事件的其它模塊以及防火墻系統(tǒng)Ml在上報的事件中標明事件標識;漏洞掃描模塊31和終端安全模塊30在檢測到漏洞后���,自動向資產事件關聯(lián)表中插入一記錄(即漏洞將引發(fā)的事件)��,以表示該資產上存在某個漏洞��。因此�,事件管理模塊24對預處理后的事件��,首先依據(jù)目標URI��、或源IP查找資產表��,測試該資產是否存在�����。本實施中��,只有目標URI找不到相應的資產時,才利用源IP來查找資產�;所有資產都具有IP地址和域名。如果不存在���,則轉步驟S706;否則��,以檢索到的資產標識,和當前待處理事件的事件標識為條件����,檢索資產事件關聯(lián)表,測試是否存在此類事件�����,如果不存在����,則轉步驟S706;否則,事件的可信度提高到5級(事件的最高可信度為10)��,轉步驟S703�。步驟S703:事件資產關聯(lián)處理;事件資產分析主要用于減少虛警���,經過步驟S702后����,事件與資產上的漏洞關聯(lián)成功,但事件是否能真正引發(fā)漏洞��,還是與網(wǎng)絡環(huán)境相關的�����。例如��,在防火墻內網(wǎng)中的漏洞掃描工具掃描到某資產上存在依賴445端口的漏洞����,入侵檢測模塊27也上報了一個針對該資產的445端口攻擊的事件,但防火墻系統(tǒng)Ml關閉了445端口���,則該事件不能真正引發(fā)漏洞��。其內部處理流程為步驟l:以步驟S702中檢索到的資產標識為條件���,從節(jié)點活動服務表(該表由圖3的步驟S306以及圖5的歩驟S507自動維護)檢索活動端口、協(xié)議信息���,組成關系對<端口����、協(xié)議>,并由此構成集合C;測試待處理事件中的關系對<端口�,協(xié)議>是否包含在集合C中,如果為假�����,則跳轉到步驟S704;否則�����,轉到步驟2;步驟2:依據(jù)當前事件的事件標識為條件�,檢索漏洞信息庫��,査詢到所有能產生此事件的漏洞條目信息����,包括操作系統(tǒng)名稱、版本�����、應用名稱、版本���、端口�、協(xié)議�,構成集合A;并測試待處理事件中的關系對<端口,協(xié)議〉是否包含在集合A中的〈端口��、協(xié)議>子集合中�����,如果為假�,則跳轉到步驟S704;否則,轉到步驟3:步驟3:以步驟S702中檢索到的資產標識���,査詢節(jié)點資產關系表(該表在圖3的步驟S306以及圖5的步驟S507中自動維護�����,也可以手丁維護)�����,構成集合B;從集合B中取得關系對〈操作系統(tǒng)����,版本>,測試是否包含在集合A中的〈操作系統(tǒng)��、版本>子集合中�,如果為假,則跳轉到步驟S704;否則���,從集合B中取得關系對〈應用名稱��,版本>�����,測試是否包含在集合A中的〈應用名稱、版本>子集合中�,如果為假,則跳轉到步驟S704;否則�,當前事件的可信度提高到io級。步驟S704:事件鏈關聯(lián)處理�����;單個事件處理完畢后�,將進行事件流關聯(lián)處理���,以通過事件流間的關聯(lián)分析,挖掘到新事件�。具體包括步驟l:預定義關聯(lián)規(guī)則;關聯(lián)規(guī)則源自經驗�,也可以直接源自第三方的關聯(lián)規(guī)則的改編;規(guī)則屬性包括新安全事件標識��、新安全事件描述��、源IP���、源端口�、目標IP�����、目標端口�、探測器、待關聯(lián)事件標識等���;單個規(guī)則將通過"且"關系("and")和/或"或"關系("or")組成樹�����,所有樹組成森林��。歩驟2:將當前待關聯(lián)事件依次同當前活動的森林中每棵樹上的當前活動規(guī)則進行比較���,如果都不匹配��,則轉步驟3;否則��,產生新的安全事件�,其事件標識與內容來自規(guī)則所對應的新安全事件標識���、新安全事件描述�����;可信度為3;其它屬性從當前待關聯(lián)事件中拷貝���;將新的安全事件插入到事件池中����;然后結束。本步驟的比較操作包括首先比較待關聯(lián)事件的探測器、事件標識號是否與規(guī)則所要求的探測器��、待關聯(lián)事件標識相等����;其次再依據(jù)規(guī)則指示,依次將待關聯(lián)事件的源IP�����、源端口��、目標IP��、目標端口同父節(jié)點鏈上其它節(jié)點保存在數(shù)據(jù)域上的相應數(shù)據(jù)比較�����;只有完全匹配才返回比較成功��。產生新的安全事件后����,還需要檢測當前匹配規(guī)則是否是葉子規(guī)則;如果為真�����,則將當前樹從活動森林中刪除;否則�,保存當前待關聯(lián)事件的源IP、源端口����、目標IP、目標端口到當前活動規(guī)則的數(shù)據(jù)域中���,并修改當前樹的活動規(guī)則指針�;特別地�,活動森林中的每棵樹都有存活吋間,如果在存活時間內沒有等到下一個匹配事件����,則該樹自動清除;一棵樹上可能活動規(guī)則不只有一個��,如一個父規(guī)則卜'有兩個"or"關系的子規(guī)則�����,則在父規(guī)則比較完后�����,其活動規(guī)則變?yōu)?個�����。步驟3:將當前待關聯(lián)事件依次同預設森林中每棵樹的根節(jié)點規(guī)則進行比較���,即測試待關聯(lián)事件的探測器��、事件標識號是否與根規(guī)則所要求的探測器���、待關聯(lián)事件標識相匹配,如果為真�����,則將該樹拷貝到活動森林中�,并將當前待關聯(lián)事件的源IP、源端口����、目標IP、目標端口拷貝到當前活動規(guī)則的數(shù)據(jù)域��,并修改此樹的活動規(guī)則為根規(guī)則的所有直接兒子規(guī)則,結束處理�����;否則��,所有根規(guī)則均不匹配����,則該事件不屬于任何己知的事件鏈。步驟S705:響應處理�����;安全服務平臺M2調用預設的策略�,對事件進行響應,并結束�����。用戶通過策略管理模塊23��,為需要關注的事件(由"事件標識"標識)定義響應策略�;如安全服務平臺管理員可以直接為"DDOS"類事件、"URL違規(guī)"事件定義iptables指令���,指導本地的報文檢測模塊20阻隔事件源IP端的網(wǎng)絡訪問權限�����。針對每個可信度為10的事件�,查找事件響應策略表�����,提取到其響應策略后�,依據(jù)策略指示進行處理。缺省的�,所有事件的響應策略是指示資產管理模塊21直接告警。響應策略屬性包括動作類型�、操作指令、本地標志�、正則表達式、有效期��、有效標識等�。其中動作類型包括執(zhí)行外部指令、直接告警和通知管理員��;操作指令是具體的指令�,可為iptables指令��、shell腳本���、以及防火墻配置指令;本地標志提示是否由安全服務平臺M2執(zhí)行���;正則表達式用于提取當前事件的指定內容����,操作指令中的占位符需要利用正則表達式提取的內容來填充�。如果本地標志為假,則需要查詢該防火墻系統(tǒng)Ml是否允許安全服務平臺M2控制����,只有允許控制時,才會將防火墻配置指令下發(fā)到防火墻系統(tǒng)M1;否則����,會自動變更為通知管理員方式,將安全事件以短信�、和/或QQ、禾n/或MSN����、和/或EMAIL方式�,通知防火墻系統(tǒng)M1的維護員��。步驟S706;事件統(tǒng)計處理����;將事件關聯(lián)到防火墻系統(tǒng)Ml上,并進行頻率�、累計總量處理�����。其內部包括步驟l:依據(jù)事件的服務器屬性����,查找保存所有防火墻系統(tǒng)、以及防火墻系統(tǒng)內網(wǎng)資產信息的節(jié)點表��,找到該服務器所對應的目標防火墻系統(tǒng)�����,如果該服務器未登記��,則將目標防火墻直接指派為安全服務平臺側的用于統(tǒng)計目的的虛防火墻系統(tǒng)��;步驟2:該防火墻系統(tǒng)上與當前事件的事件標識相等的統(tǒng)計項的值增l,并更新發(fā)生頻率;如果該事件標識不存在�,則新增一個事件標識項;步驟3:測試該統(tǒng)計項是否需要告警���,如果為假��,則結束�,否則比較累計量是否達到或超過告警閾值�,如果為假,轉步驟4;否則創(chuàng)建新事件�����,并提交到事件池����。該事件描述為主機("防火墻系統(tǒng)的MAC")、探測器("事件管理模塊")���、事件標識("累計量告警")�����、時間("當前值")�、源IP("防火墻系統(tǒng)IP")、源端口("O")���、目標URI("防火墻系統(tǒng)IP")��、目標端口("0")��、協(xié)議("0")��、事件數(shù)據(jù)("事件標識^統(tǒng)計值")�、擴展事件數(shù)據(jù)("事件標識=閾值")��;并將累計量歸零����;步驟4:比較頻率值是否達到或超過告警閾值����,如果為假,則結束����;否則,創(chuàng)建新事件,并提交的事件池����。該事件描述為主機("防火墻系統(tǒng)的MAC")、探測器("事件管理模塊")�、事件標識("頻率告警")、時間("當前值")���、源IP("防火墻系統(tǒng)IP")��、源端口("0")�、目標URI("防火墻系統(tǒng)IP")���、目標端口("0")��、協(xié)議("0")����、事件數(shù)據(jù)("事件標識=頻率值")�����、擴展事件數(shù)據(jù)("事件標識=閾值")��;并將頻率值歸零;結束��。本發(fā)明所述防火墻系統(tǒng)M1���,可通過所述安全服務平臺M2進行集中管理����,包括針對防火墻系統(tǒng)本身的管控以及防火墻系統(tǒng)內網(wǎng)設備資產的管控����。本發(fā)明所述防火墻系統(tǒng)的管理方法,如圖8所示����。在如圖8所示的防火墻系統(tǒng)的管理方法中,包括如下步驟注冊步驟S801:防火墻系統(tǒng)M1啟動后�����,自動向預設的安全服務平臺M2注冊����,包括注冊使用設備身份信息�����、硬件信息和軟件信息。安全服務平臺M2首先測試設備身份信息是否合法���,然后再處理其硬件信息和軟件信息�;本發(fā)明中�,為了進一步驗證防火墻系統(tǒng)Ml與安全服務平臺間M2的身份信息,安全服務平臺M2在收到防火墻系統(tǒng)Ml的注冊請求后����,處理該請求前,可以發(fā)起X509流程的節(jié)點身份認證流程���,只有身份驗證通過后���,才處理注冊請求。其中�����,身份信息至少包括防火墻系統(tǒng)宿主機的外口MAC地址以及防火墻系統(tǒng)的序列號��;硬件信息��,包括CPU、內存���、本地磁盤��、主板��、插接卡信息�;軟件信息�����,包括文件信息�、服務信息、操作員信息和網(wǎng)絡接口信息(包括MAC地址和IP地址)��。運行日志管理步驟S802:安全服務平臺M2接收并處理合法防火墻系統(tǒng)Ml的定時的心跳信息和日志信息�,監(jiān)控防火墻系統(tǒng)的運行狀況;防火墻系統(tǒng)成功注冊到安全服務平臺后��,主動上報心跳信息和日志信息���;安全服務平臺M2依據(jù)心跳信息,檢測防火墻系統(tǒng)M1的設備級整體運行狀況���;依據(jù)日志信息����,檢測防火墻系統(tǒng)Ml的軟件級運行狀況;自動知會異常狀況�,并提供安全運營報告。其中�,心跳信息,包括防火墻系統(tǒng)M1的運行狀況信息�,內含磁盤容量及利用率、CPU負載���、內存負載����、活動進程名稱及進程號����、網(wǎng)絡接口MAC地址及IP地址、靜態(tài)規(guī)則數(shù)��、動態(tài)規(guī)則數(shù)�����、活動會話數(shù)和網(wǎng)絡接口報文統(tǒng)計數(shù);日志信息�����,包括防火墻系統(tǒng)的報文檢測日志���、規(guī)則修改日志���、管理員登錄日志、訪問控制違規(guī)信息和應用協(xié)議代理日志����;所述應用協(xié)議代理日志,包括HTTP日志��、FTP日志�����、POP3日志����、SMTP日志、BT協(xié)議日志和及時通信日志;所述日志信息遵循統(tǒng)一的日志格式��,日志信息的屬性至少包括源IP�、源端口��、目標URI�����、目標端口�����、時間和操作結果屬性�����。重定向報文管理步驟S803:安全服務平臺M2接收合法防火墻系統(tǒng)M1重定向的報文�����,并對報文依次進行入侵檢測處理�����、防病毒處理和內容檢測處理后,通過應用代理透明轉發(fā)�;防火墻系統(tǒng)M1啟動重定向報文管理后,將預設應用協(xié)議報文重定向到安全服務平臺M2��,委托安全服務平臺M2進行入侵檢測�����、防病毒以及內容過濾����;安全服務平臺M2對合法防火墻系統(tǒng)M1重定向的報文經入侵檢測、防病毒和內容過濾處理后�����,通過應用層代理透明中轉�����,并收集安全事件�,自動處理并響應。其中����,安全事件處理,包括事件與漏洞關聯(lián),即事件與事件所對應資產上己發(fā)現(xiàn)的漏洞進行關聯(lián)�,提高事件的可信度;事件與資產關聯(lián)�����,即事件所涉及漏洞的觸發(fā)條件與資產的實際狀況關聯(lián)�����,以進一步減少虛警����;事件鏈關聯(lián)���,即事件與預設的事件鏈規(guī)則匹配�,以挖掘出新事件�;安全事件響應,包括針對確定的安全事件��,基于預設的響應策略指示進行自動處理���,包括示警��、執(zhí)行Shell腳本�����、執(zhí)行防火墻指令等��。內網(wǎng)管理步驟S804:安全服務平臺M2通過合法防火墻系統(tǒng)主動創(chuàng)建的VPN隧道��,對該防火墻系統(tǒng)Ml的內網(wǎng)進行安全管控�����;防火墻系統(tǒng)Ml進一步地委托安全服務平臺M2進行內網(wǎng)安全管理�,在主動建立到安全服務平臺M2的VPN隧道后,通過此隧道����,部署在防火墻系統(tǒng)內網(wǎng)的終端安全模塊30和漏洞掃描模塊31主動上報安全事件;部署在安全服務平臺側的漏洞掃描模塊31可遠程掃描內網(wǎng)漏洞���;安全服務平臺M2對內網(wǎng)安全事件進行遠程響應�����,指示防火墻系統(tǒng)M1���、和/或終端安全模塊30����、和/或漏洞掃描模塊31安全聯(lián)動�,包括執(zhí)行配置指令、執(zhí)行shell腳本��。其中���,內網(wǎng)安全管控,包括資產掃描����,即IP掃描、端口掃描和鏈路掃描���,以自動發(fā)現(xiàn)資產���,進而發(fā)現(xiàn)違規(guī);終端安全管控���,即采集和上報硬件和軟件信息����、維護軟件白名單、清理終端環(huán)境����、和管理補丁與服務,并接收遠程控制�����;弱點掃描��,即漏洞掃描和操作系統(tǒng)被動指紋掃描�����,以及時發(fā)現(xiàn)結構性漏洞��。在對防火墻系統(tǒng)M1進行安全管控時�,與防火墻系統(tǒng)綁定的操作員,僅能管控該防火墻系統(tǒng)本身以及其內網(wǎng)資產����,且僅能管理與該防火墻系統(tǒng)及其內網(wǎng)資產相關的安全運營報表。綜上所述僅為本發(fā)明較佳的實施例���,并非用來限定本發(fā)明的實施范圍�����。即凡依本發(fā)明申請專利范圍的內容所作的等效變化及修飾�,皆應屬于本發(fā)明的技術范疇。權利要求1.一種防火墻系統(tǒng)�,與一安全服務平臺進行通信,包括報文檢測模塊��,用于訪問控制規(guī)則檢測和包狀態(tài)檢測���;VPN模塊�,用于IPSecVPN隧道管理���;配置模塊,用于配置報文過濾規(guī)則�,并提交到所述的報文檢測模塊;應用代理模塊��,用于接收所述報文檢測模塊提交的合法報文���,并透明中轉應用層協(xié)議的請求與響應���;日志模塊��,用于接收并管理所述防火墻系統(tǒng)內部各模塊提交的日志信息�����;其特征在于還包括心跳模塊�,用于定時上報防火墻系統(tǒng)的運行狀況信息到所述安全服務平臺�����;以及��,報文重定向模塊��,用于將外出數(shù)據(jù)報文重定向到所述安全服務平臺����,與所述報文檢測模塊相連;所述配置模塊預設了所述安全服務平臺的通信參數(shù)���;所述日志模塊上報滿足預設的過濾條件的日志條目數(shù)據(jù)到所述安全服務平臺�。2.根據(jù)權利要求1所述的一種防火墻系統(tǒng)�,其特征在于所述防火墻系統(tǒng)啟動后���,自動向預設的所述安全服務平臺注冊;進行注冊的注冊信息中至少包括防火墻序列號和外網(wǎng)卡的MAC地址���。3.根據(jù)權利要求2所述的一種防火墻系統(tǒng)��,其特征在于所述報文檢測模塊將報文提交到所述報文重定向模塊后����,所述應用代理模塊不再處理該報文�����。4.根據(jù)權利要求l��、2或3所述一種防火墻系統(tǒng)���,其特征在于所述運行狀況信息包括防火墻系統(tǒng)的運行狀況信息,內含磁盤容量及利用率�、CPU負載、內存負載���、活動進程名稱及進程號����、網(wǎng)絡接口MAC地址及IP地址、靜態(tài)規(guī)則數(shù)�����、動態(tài)規(guī)則數(shù)��、活動會話數(shù)��;網(wǎng)絡接口報文統(tǒng)計數(shù)���;所述日志信息�����,包括防火墻的報文檢測日志���、規(guī)則修改日志、管理員登錄日志��、ACL違規(guī)信息和應用協(xié)議使用日志����;所述應用協(xié)議使用日志����,包括HTTP日志���、FTP日志��、POP3日志���、SMTP日志、BT協(xié)議日志�����、IM日志�����;所述日志信息遵循統(tǒng)一的日志格式��,所述日志信息的屬性至少包括源IP���、源端口、目標URI、目標端口����、時間和操作結果屬性;以及所述防火墻系統(tǒng)在主動建立與所述安全服務平臺間的VPN隧道后�����,自動放行該隧道端節(jié)點與該防火墻系統(tǒng)內部網(wǎng)絡間的通信報文����。5.—種安全服務平臺,包括報文檢測模塊���,用于網(wǎng)絡報文檢測�����,與所述防火墻系統(tǒng)相連�����;應用代理模塊�,用于透明中轉應用層協(xié)議報文�����,與所述報文檢測模塊相連;防病毒模塊��,用于病毒檢檢測與清理�,與所述應用代理模塊相連;入侵檢測模塊�,用于網(wǎng)絡入侵檢測,與所述應用代理模塊相連�����;內容過濾模塊����,用于報文內容檢測與過濾,與所述應用代理模塊相連�����;VPN模塊����,用于IPSecVPN管理,與所述防火墻系統(tǒng)相連�����;其特征在于還包括策略管理模塊��,用于指導己確定的風險事件進行基于預設方式進行響應處理����;事件管理模塊,用于事件風險評估��,并將確定的風險事件依據(jù)所述策略管理模塊的指示進行響應處理�;終端安全模塊,用于Windows終端檢査��,并提交檢查結果到一資產管理模塊���;所述資產管理模塊用于接收所述防火墻系統(tǒng)和所述終端安全模塊的心跳信息��,維護網(wǎng)絡資產的運行狀態(tài)�,并提交資產檢査異常亊件到所述的事件管理模塊��;漏洞掃描模塊�;用于掃描指定資產的弱點數(shù)據(jù),并提交掃描結果到所述資產管理模塊����;PKI管理模塊���;用于節(jié)點身份認證和通信加解密,與所述資產管理模塊相連���;報表模塊�����,用于提供安全運營報表����。6.根據(jù)權利要求5所述一種安全服務平臺���,其特征在于所述報文檢測模塊直接丟棄非合法防火墻系統(tǒng)的報文所述應用代理模塊將所述報文檢測模塊提交的報文依次提交到所述入侵檢測模塊�����、防病毒模塊和內容過濾模塊���,并中轉已通過檢測的報文;其中��,合法防火墻系統(tǒng)是所述防火墻系統(tǒng)的序列號和MAC地址同時驗證正確,或PKI機制下該防火墻系統(tǒng)的節(jié)點身份驗證正確��,且序列號和MAC地址同時驗證正確�����。7.根據(jù)權利要求5或6所述一種安全服務平臺��,其特征在于所述終端安全模塊允許合法防火墻系統(tǒng)內網(wǎng)的終端下載�����;該終端安全模塊采集終端運行狀況參數(shù)以及安全日志數(shù)據(jù)��,并通過所述防火墻系統(tǒng)與所述安全服務平臺間的VPN隧道上報所采集的數(shù)據(jù)到所述資產管理模塊�,同時接受所述資產管理模塊的控制�����;該終端安全模塊利用軟件白名單方式�����,防止啟動非法進程�;以及��,與防火墻系統(tǒng)綁定的操作員僅能管控該防火墻系統(tǒng)本身以及其內網(wǎng)的資產���;與防火墻系統(tǒng)綁定的操作員,需要啟動該防火墻系統(tǒng)到所述安全服務平臺的VPN隧道后��,方可訪問該安全服務平臺��。8.—種防火墻系統(tǒng)的管理方法�����,其特征在于�,包括如下步驟注冊步驟防火墻系統(tǒng)啟動后,向預設的安全服務平臺注冊����;運行日志管理步驟安全服務平臺接收并處理合法防火墻系統(tǒng)的心跳信息和日志信息,監(jiān)控防火墻系統(tǒng)的運行狀況�����;重定向報文管理步驟安全服務平臺接收合法防火墻系統(tǒng)重定向的報文��,并對報文依次進行入侵檢測處理���、防病毒處理和內容檢測處理后�����,通過應用代理透明轉發(fā)��;以及����,內網(wǎng)管理步驟安全服務平臺通過合法防火墻系統(tǒng)主動創(chuàng)建的VPN隧道,對該防火墻系統(tǒng)的內網(wǎng)進行安全管控�����。9.根據(jù)權利要求8所述一種防火墻系統(tǒng)的管理方法�����,其特征在于所述心跳信息包括防火墻系統(tǒng)的運行狀況信息�,內含磁盤容量及利用率�、CPU負載、內存負載�、活動進程名稱及進程號、網(wǎng)絡接口MAC地址及IP地址�、靜態(tài)規(guī)則數(shù)�、動態(tài)規(guī)則數(shù)��、活動會話數(shù)�����、網(wǎng)絡接口報文統(tǒng)計數(shù)����;所述R志信息包括防火墻的報文檢測日志、規(guī)則修改日志���、管理員登錄日志�、訪問控制違規(guī)信息和應用協(xié)議代理日志��;所述應用協(xié)議代理日志包括HTTP日志��、FTP日志��、POP3日志���、SMTP日志����、BT協(xié)議日志和及時通信日志;所述日志信息遵循統(tǒng)一的日志格式����,所述日志信息的屬性至少包括源IP、源端口���、目標URI����、目標端口�、時間和操作結果屬性;所述重定向報文管理為所述防火墻系統(tǒng)依據(jù)預設規(guī)則將外網(wǎng)口的外出報文重定向到所述安全服務平臺��;所述安全服務平臺將報文指派到對應的應用層協(xié)議代理���,由應用層協(xié)議代理依次進行入侵檢測處理、防病毒處理和內容檢測處理后��,透明中轉合法報文�;所述安全管控包括資產掃描、終端安全管控和網(wǎng)絡弱點掃描�,所述資產掃描包括IP掃描、端口掃描和鏈路掃描,所述終端安全管控包括采集與上報硬件和軟件信息�����、維護軟件白名單����、清理終端環(huán)境、和管理補丁與服務���,并接受遠程控制�����;所述網(wǎng)絡弱點掃描包括漏洞掃描和操作系統(tǒng)被動指紋掃描�。10.根據(jù)權利要求8或9所述一種防火墻系統(tǒng)的管理方法�,其特征在于所述合法防火墻系統(tǒng)是所述防火墻系統(tǒng)的序列號和MAC地址同時驗證正確,或PKI機制下防火墻系統(tǒng)的節(jié)點身份驗證正確��,且序列號和MAC地址同時驗證正確���;與防火墻系統(tǒng)綁定的操作員僅能管控該防火墻系統(tǒng)本身以及其內網(wǎng)資產���,且僅能管理與該防火墻系統(tǒng)及其內網(wǎng)資產相關的安全運營報表�。全文摘要本發(fā)明公開了一種防火墻系統(tǒng)��、安全服務平臺及防火墻系統(tǒng)的管理方法�,該防火墻系統(tǒng)包括報文檢測模塊、VPN模塊���、配置模塊�����、應用代理模塊�����、日志模塊����、心跳模塊和報文重定向模塊����。該安全服務平臺包括報文檢測模塊�����、應用代理模塊、防病毒模塊����、入侵檢測模塊、內容過濾模塊��、VPN模塊�����、策略管理模塊�����、事件管理模塊���、終端安全模塊���、資產管理模塊、漏洞掃描模塊�����、PKI管理模塊和報表模塊����。該管理方法包括注冊步驟����、運行日志管理步驟��、重定向報文管理步驟�����,以及內網(wǎng)管理步驟���。本發(fā)明提出了一種既具有瘦防火墻系統(tǒng)的報文檢測功能���,又具備胖防火墻系統(tǒng)的VPN功能,且將其它安全功能委托給安全服務平臺���、并接收安全服務平臺管控的新的防火墻系統(tǒng)����。文檔編號H04L12/56GK101610264SQ20091015731公開日2009年12月23日申請日期2009年7月24日優(yōu)先權日2009年7月24日發(fā)明者任海廣,伍立華,張知之,戚建淮,飛陳申請人:深圳市永達電子股份有限公司