一種基于重疊網(wǎng)的分布式防火墻安全策略配置方法和系統(tǒng)的制作方法
【專利摘要】本發(fā)明提供了一種基于重疊網(wǎng)的分布式防火墻安全策略配置方法及系統(tǒng)，所述方法包含如下步驟：步驟101）部署于某一域內(nèi)的智能節(jié)點(diǎn)采集其對(duì)應(yīng)域內(nèi)的反映網(wǎng)絡(luò)所承載的業(yè)務(wù)流信息的第一參考信息，并依據(jù)所述第一參考信息生成安全策略；步驟102）上一步驟所述的智能節(jié)點(diǎn)將其生成的安全策略同時(shí)分配給其對(duì)應(yīng)域內(nèi)的防火墻和位于其它域內(nèi)的智能節(jié)點(diǎn)；步驟103）上一步驟中所述位于其它域內(nèi)的智能節(jié)點(diǎn)將其收到的來(lái)自其余節(jié)點(diǎn)的安全策略作為第二參考信息動(dòng)態(tài)調(diào)整其對(duì)應(yīng)的安全策略，并將生成的安全策略分配給域內(nèi)防火墻，從而完成域間的安全策略配置。所述步驟101）所述的智能節(jié)點(diǎn)依據(jù)第一參考信息和防火墻性能狀態(tài)信息生成安全策略。
【專利說(shuō)明】—種基于重疊網(wǎng)的分布式防火墻安全策略配置方法和系統(tǒng)【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】，更確切地說(shuō)具體涉及一種基于重疊網(wǎng)的分布式防火墻安全策略配置方法和系統(tǒng)。
【背景技術(shù)】
[0002]防火墻(Firewall)是一個(gè)由軟件和硬件設(shè)備組合而成的設(shè)備，可以在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間、專用網(wǎng)絡(luò)和公共網(wǎng)絡(luò)之間構(gòu)造保護(hù)屏障。防火墻設(shè)備可以按照設(shè)定的規(guī)則，允許或者是限制傳輸數(shù)據(jù)的通過(guò)。防火墻仍然是保證網(wǎng)絡(luò)安全不可或缺的手段。在網(wǎng)絡(luò)規(guī)模不大的情況下，傳統(tǒng)邊界防火墻是非常有效的。但是，隨著網(wǎng)絡(luò)規(guī)模的爆炸式增長(zhǎng)，傳統(tǒng)防火墻技術(shù)的缺陷開始顯露。網(wǎng)絡(luò)單點(diǎn)瓶頸、新業(yè)務(wù)支持能力受限和安全管理模式單一等問(wèn)題使傳統(tǒng)邊界防火墻越來(lái)越受到人們的詬病。因此，單純依靠傳統(tǒng)防火墻往往難以完成對(duì)現(xiàn)有網(wǎng)絡(luò)進(jìn)行有效的隔離和保護(hù)的任務(wù)。
[0003]為了解決以上面臨的問(wèn)題，人們提出了分布式防火墻的概念，用來(lái)滿足網(wǎng)絡(luò)發(fā)展的需求。分布式防火墻是指，物理上存在多個(gè)防火墻實(shí)體在聯(lián)合工作，但從邏輯上看，多個(gè)防火墻組成了一個(gè)邏輯防火墻。從網(wǎng)絡(luò)管理者角度來(lái)分析，管理者不需要了解防火墻的分布細(xì)節(jié)，只需要清楚了解防火墻需要保護(hù)的資源，以及其使用權(quán)限即可。分布式防火墻的基本思想是:安全策略的制定由策略中心服務(wù)器集中定義，安全策略的執(zhí)行由相關(guān)節(jié)點(diǎn)獨(dú)立實(shí)施；安全日志由主機(jī)節(jié)點(diǎn)分散產(chǎn)生，安全日志的保存則集中到中心策略服務(wù)器上。其中，在每一個(gè)被防火墻分割的網(wǎng)絡(luò)中，所有的計(jì)算機(jī)之間是被認(rèn)為“可信任的”，它們之間的通信可以不受防火墻的干涉。而在各個(gè)被防火墻分割的網(wǎng)絡(luò)之間，必須按照防火墻規(guī)定的“安全策略”進(jìn)行互相的訪問(wèn)。因此必須通過(guò)對(duì)防火墻的安全策略進(jìn)行排至，實(shí)現(xiàn)防火墻對(duì)網(wǎng)絡(luò)的保護(hù)。
[0004]防火墻安全策略配置指的是使用基于策略的方法實(shí)現(xiàn)對(duì)防火墻系統(tǒng)的管理。安全策略的一般描述方式是由條件和動(dòng)作組成的管理規(guī)則，采用if/hen的結(jié)構(gòu)，即當(dāng)網(wǎng)絡(luò)中的條件規(guī)則滿足時(shí)，防火墻執(zhí)行管理規(guī)則所定義的相應(yīng)動(dòng)作。安全策略配置的方式將防火墻管理任務(wù)的重點(diǎn)從設(shè)備上面轉(zhuǎn)移到了業(yè)務(wù)層面上面，其所具有的優(yōu)勢(shì)為:(1)管理的自動(dòng)化；(2)更好的靈活性；(3)實(shí)現(xiàn)大規(guī)模管理的可靠性和一致性；(4)智能化和人性化。
[0005]分布式防火墻可以很好地適應(yīng)網(wǎng)絡(luò)的發(fā)展趨勢(shì)，解決傳統(tǒng)防火墻存在的不足，有效地保護(hù)所管網(wǎng)絡(luò)。在網(wǎng)絡(luò)中部署分布式防火墻有兩個(gè)方面的好處:一方面有效地保證了用戶的投資不會(huì)很高，另一方面給網(wǎng)絡(luò)所帶來(lái)的安全防護(hù)是非常全面的。因此，分布式防火墻的策略配置技術(shù)研究已經(jīng)成為當(dāng)前學(xué)術(shù)界和產(chǎn)業(yè)界的熱點(diǎn)；同時(shí)，鑒于分布式防火墻在現(xiàn)有網(wǎng)絡(luò)中已經(jīng)開始規(guī)?；渴?，分布式防火墻的策略配置研究也將具有廣闊的應(yīng)用前景。
[0006]分布式防火墻系統(tǒng)的安全策略配置需要解決的關(guān)鍵問(wèn)題有兩個(gè)方面:安全策略的生成和安全策略分發(fā)的結(jié)構(gòu)?，F(xiàn)有技術(shù)的分布式防火墻常用的安全策略生成和分發(fā)結(jié)構(gòu)一般為客戶機(jī)/服務(wù)器(Client/Server)架構(gòu)，該架構(gòu)通常包含集中式的策略管理中心和分布式的策略執(zhí)行點(diǎn)。
[0007]其中，上述的典型的例子包括申請(qǐng)?zhí)枮椤癈N201010578836.1”，申請(qǐng)文件的名稱為《基于防御策略的Liunx分布式防火墻系統(tǒng)》中提出的一種基于防御策略的Linux分布式網(wǎng)絡(luò)防火墻系統(tǒng)。其中，該系統(tǒng)結(jié)構(gòu)為局域網(wǎng)中安裝Linux操作系統(tǒng)的計(jì)算機(jī)提供網(wǎng)絡(luò)安全保護(hù)，是一種基于防御策略的分布式防火墻系統(tǒng)。所述系統(tǒng)的策略生成，需要獲取底層的信息，包括網(wǎng)絡(luò)拓?fù)?、?jié)點(diǎn)的IP地址、網(wǎng)絡(luò)掩碼、網(wǎng)絡(luò)服務(wù)、運(yùn)行的應(yīng)用程序、用戶和服務(wù)漏洞等等信息；且該系統(tǒng)包含的服務(wù)器端通過(guò)對(duì)信息的分析和處理得到合適的策略。所述該系統(tǒng)的策略分發(fā)采用了分布式的C/S架構(gòu):其中，Server端建立更新和部署防御規(guī)則；分布式的Client端子系統(tǒng)更新策略，從而達(dá)到了保護(hù)系統(tǒng)的目的。所述該系統(tǒng)使用高效的策略部署，脫離底層，操作更容易上手；SSL方式確保數(shù)據(jù)的完整和安全傳輸；客戶端采用現(xiàn)有的開源單機(jī)防火墻，具有更高的穩(wěn)定性和可用性?？梢杂行У亟鉀Q局域網(wǎng)內(nèi)大范圍部署防御策略效率低下的問(wèn)題，通過(guò)服務(wù)器端子系統(tǒng)進(jìn)行統(tǒng)一策略配置，使得分布式防火墻的優(yōu)勢(shì)更加明顯。所述該系統(tǒng)結(jié)構(gòu)圖如圖1所示。
[0008]此外，專利申請(qǐng)?zhí)枮椤癈N200910139711.6”，申請(qǐng)文件名稱為《防火墻安全策略配置方法及管理裝置》文件也提出了采用一個(gè)獨(dú)立于防火墻設(shè)備的安全策略中心來(lái)管理和生成策略，其中所述管理裝置獨(dú)立于防火墻設(shè)備的防火墻系統(tǒng)組網(wǎng)示意圖如圖2所示。該方案中的安全策略生成需要獲取源防火墻發(fā)來(lái)的最大報(bào)文速率、報(bào)文大小、開關(guān)參數(shù)的防范配置信息、IP地址、端口號(hào)、網(wǎng)絡(luò)協(xié)議，以及動(dòng)作屬性的過(guò)濾規(guī)則等信息?；谠撓到y(tǒng)對(duì)網(wǎng)絡(luò)信息的分析，生成包含安全策略配置信息的策略包，并將信息發(fā)給關(guān)聯(lián)防火墻。該系統(tǒng)中策略的分發(fā)采用集中式的分發(fā)結(jié)構(gòu)。系統(tǒng)中某一個(gè)防火墻需要更新安全策略時(shí)，管理裝置將需要更新的安全策略逆向還原為策略包，根據(jù)策略包中所述安全策略配置信息對(duì)應(yīng)的關(guān)聯(lián)防火墻信息，將安全策略配置信息發(fā)給關(guān)聯(lián)防火墻，同時(shí)發(fā)送給網(wǎng)絡(luò)中其它防火墻，即通過(guò)管理裝置完成策略分發(fā)，實(shí)現(xiàn)對(duì)系統(tǒng)中所有防火墻的策略配置。
[0009]網(wǎng)絡(luò)安全技術(shù)作為網(wǎng)絡(luò)管理技術(shù)的一部分，有一些學(xué)者采用基于安全策略的網(wǎng)絡(luò)管理技術(shù)對(duì)防火墻系統(tǒng)做策略管理?，F(xiàn)有技術(shù)的基于安全策略的防火墻體系結(jié)構(gòu)分為兩個(gè)組件:策略實(shí)施點(diǎn)(PEP =Policy Enforcement Point)和策略決策點(diǎn)(PDP =PolicyDecisionPoint)。策略決策點(diǎn)PDP生成策略，并將策略下傳給PEP ;策略執(zhí)行點(diǎn)PEP將策略轉(zhuǎn)化為配置命令，管理網(wǎng)絡(luò)的狀態(tài)。
[0010]國(guó)內(nèi)學(xué)者李拴保，倪天林，王燕萍，王世偉，何漢華，炊昆，張一君.基于策略框架的防火墻安全管理平臺(tái)體系結(jié)構(gòu)[J].河南教育學(xué)院學(xué)報(bào)(自然科學(xué)版).2008，17(2):47-50中介紹了一種基于策略框架的防火墻安全管理平臺(tái)體系結(jié)構(gòu)，是基于策略的管理體系結(jié)構(gòu)之上的分布式防火墻結(jié)構(gòu)。系統(tǒng)中，防火墻作為PEP ;PDP的上層存在著安全策略管理工具。該系統(tǒng)的安全策略生成并沒有依靠于信息采集點(diǎn)的分析功能，而是由策略接口輸入的策略指令來(lái)決定；系統(tǒng)策略的分發(fā)采用了集中式的方式，PDP收到PEP的請(qǐng)求，并對(duì)策略進(jìn)行相應(yīng)處理，處理后的策略將下發(fā)給PEP(即防火墻)進(jìn)行執(zhí)行。其中，該系統(tǒng)的結(jié)構(gòu)如圖3所示
[0011]此外，國(guó)外學(xué)者Steve Zeber Steve Zeber,在文獻(xiàn)Defence R&D Canada.DynamicPolicy-Based Network Management for a Secure Coalition Environment[J].1EEECommunications Magazine.2006，11:58-64中提出了一種基于策略的網(wǎng)絡(luò)管理模型。該模型以分布式結(jié)構(gòu)為基礎(chǔ)，可以動(dòng)態(tài)的產(chǎn)生策略。該模型之所以可以在一個(gè)廣域網(wǎng)中配置和管理一個(gè)相對(duì)安全的內(nèi)部網(wǎng)絡(luò)環(huán)境，是因?yàn)樵撓到y(tǒng)能夠快速感知到網(wǎng)絡(luò)中存在的異常，并根據(jù)異常生成相應(yīng)的策略。該模型中策略的分發(fā)采用集中式的分發(fā)方式:由策略決策點(diǎn)PDP將輸入的高層策略轉(zhuǎn)變?yōu)檩敵龅牡蛯硬呗?，并將策略發(fā)送到策略實(shí)施點(diǎn)PEP(VPN設(shè)備、防火墻和路由器等)。通過(guò)本模型可以對(duì)域內(nèi)的設(shè)備進(jìn)行動(dòng)態(tài)自動(dòng)配置，實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)的各個(gè)設(shè)備協(xié)調(diào)工作。
[0012]然而現(xiàn)有技術(shù)所采用的分布式防火墻系統(tǒng)一般存在以下的缺陷:
[0013]1、安全策略的生成單純依賴于防火墻系統(tǒng)所承載的業(yè)務(wù)流信息，缺乏對(duì)當(dāng)前網(wǎng)絡(luò)承載狀態(tài)的感知。當(dāng)前的分布式防火墻系統(tǒng)在生成安全策略時(shí)，一般所參考的因素包括用戶的網(wǎng)絡(luò)拓?fù)洹⒂脩艄?jié)點(diǎn)的IP地址、網(wǎng)絡(luò)掩碼、網(wǎng)絡(luò)服務(wù)、運(yùn)行的應(yīng)用程序、用戶、服務(wù)漏洞、最大報(bào)文速率、報(bào)文大小、開關(guān)參數(shù)的防范配置信息、端口號(hào)、網(wǎng)絡(luò)協(xié)議，以及動(dòng)作屬性等信息。然而這些信息大多與用戶身份、IP流和網(wǎng)絡(luò)靜態(tài)結(jié)構(gòu)相關(guān)，均缺少對(duì)網(wǎng)絡(luò)設(shè)備承載狀態(tài)的感知，因此導(dǎo)致系統(tǒng)無(wú)法針對(duì)網(wǎng)絡(luò)中突發(fā)情況快速生成合適的安全策略。
[0014]2、集中式架構(gòu)生成安全策略，往往會(huì)造成單點(diǎn)瓶頸。C/S架構(gòu)便于策略中心對(duì)防火墻進(jìn)行集中的管理，安全日志由主機(jī)節(jié)點(diǎn)分散產(chǎn)生，安全日志的保存則集中到中心策略服務(wù)器上；但是該結(jié)構(gòu)中，安全策略控制中心承擔(dān)著大量的計(jì)算和通信工作。隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，策略控制中心的負(fù)荷也越來(lái)越大，導(dǎo)致策略控制負(fù)載過(guò)重而造成了策略更新的滯后。而策略中心的更新滯后甚至崩潰將會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)的滯后甚至無(wú)法運(yùn)行。所以，策略的集中式管理給網(wǎng)絡(luò)安全帶來(lái)很大的隱患。
[0015]3、現(xiàn)有技術(shù)在采用用戶防火墻的分布式防火墻系統(tǒng)中，安全策略的執(zhí)行點(diǎn)均為網(wǎng)絡(luò)中的用戶終端。因此，每次安全策略配置的作用域范圍被局限在所控主機(jī)內(nèi)，因此一次配置只能實(shí)現(xiàn)對(duì)一臺(tái)電腦的控制。
[0016]4、現(xiàn)有的防火墻系統(tǒng)一般只考慮到一個(gè)域內(nèi)的部署，僅關(guān)心對(duì)域內(nèi)網(wǎng)絡(luò)狀態(tài)的管理；缺少多個(gè)邏輯域之間的聯(lián)動(dòng)，無(wú)法實(shí)現(xiàn)對(duì)全局網(wǎng)絡(luò)中防火墻的策略配置。

【發(fā)明內(nèi)容】

[0017]本發(fā)明的目的在于，為克服現(xiàn)有技術(shù)的上述缺陷，本發(fā)明提供了基于重疊網(wǎng)的分布式防火墻安全策略配置方法和系統(tǒng)。
[0018]本方案中提出的分布式防火墻系統(tǒng)中的策略配置方法可以對(duì)網(wǎng)絡(luò)中業(yè)務(wù)流信息和防火墻性能狀態(tài)信息進(jìn)行提取，并將提取的信息發(fā)送給智能節(jié)點(diǎn)。智能節(jié)點(diǎn)對(duì)網(wǎng)絡(luò)的信息進(jìn)行處理和分析，并根據(jù)網(wǎng)絡(luò)的運(yùn)行狀態(tài)和用戶的業(yè)務(wù)狀態(tài)等信息生成控制策略，最后通過(guò)智能節(jié)點(diǎn)動(dòng)態(tài)分發(fā)給域內(nèi)相關(guān)的節(jié)點(diǎn)防火墻。同時(shí)，智能節(jié)點(diǎn)之間可以相互通信進(jìn)行信息的交互，保證邏輯域之間的聯(lián)動(dòng)，實(shí)現(xiàn)分布式防火墻對(duì)全網(wǎng)的安全防護(hù)。
[0019]為實(shí)現(xiàn)上述目的，本專利申請(qǐng)?zhí)峁┝艘环N基于重疊網(wǎng)的分布式防火墻安全策略配置方法，所述方法包含如下步驟:
[0020]步驟101)部署于某一域內(nèi)的智能節(jié)點(diǎn)采集其對(duì)應(yīng)域內(nèi)的反映網(wǎng)絡(luò)所承載的業(yè)務(wù)流信息的第一參考信息，并依據(jù)所述第一參考信息生成安全策略；
[0021]步驟102)上一步驟所述的智能節(jié)點(diǎn)將其生成的安全策略同時(shí)分配給其對(duì)應(yīng)域內(nèi)的防火墻和位于其它域內(nèi)的智能節(jié)點(diǎn)；[0022]步驟103)上一步驟中所述位于其它域內(nèi)的智能節(jié)點(diǎn)將其收到的來(lái)自其余節(jié)點(diǎn)的安全策略作為第二參考信息動(dòng)態(tài)調(diào)整其對(duì)應(yīng)的安全策略，并將生成的安全策略分配給域內(nèi)防火墻，從而完成域間的安全策略配置。
[0023]上述技術(shù)方案中，步驟101)所述的智能節(jié)點(diǎn)依據(jù)第一參考信息和防火墻性能狀態(tài)信息生成安全策略。
[0024]上述技術(shù)方案中，步驟103)所述位于其它域內(nèi)的智能節(jié)點(diǎn)依據(jù)第二參考信息和采集的第一參考信息生成安全策略。
[0025]上述技術(shù)方案中，所述智能節(jié)點(diǎn)之間采用XML語(yǔ)言進(jìn)行的策略傳輸。
[0026]所述第一參考信息包含:節(jié)點(diǎn)的IP地址、網(wǎng)絡(luò)掩碼、網(wǎng)絡(luò)服務(wù)、運(yùn)行的應(yīng)用程序、服務(wù)漏洞、最大報(bào)文速率、報(bào)文大小、端□號(hào)和網(wǎng)絡(luò)協(xié)議；
[0027]所述防火墻性能狀態(tài)信息包含:防火墻的CPU利用率、防火墻的內(nèi)存利用率、接口帶寬利用率、接口的丟包率、接口的傳輸速率和接口隊(duì)列長(zhǎng)度。
[0028]基于上述方法，本發(fā)明還提供了一種基于重疊網(wǎng)的分布式防火墻安全策略配置系統(tǒng)，其特征在于，所述安全策略配置系統(tǒng)包含:部署于各域內(nèi)的防火墻和部署于各域內(nèi)的智能節(jié)點(diǎn)；
[0029]所述智能節(jié)點(diǎn)，用于采集智能節(jié)點(diǎn)所在域內(nèi)的網(wǎng)絡(luò)相關(guān)信息，并依據(jù)采集的相關(guān)信息生成安全策略；
[0030]其中，所述智能節(jié)點(diǎn)之間相互通信，通過(guò)邏輯連接形成重疊網(wǎng)絡(luò)，并利用重疊網(wǎng)絡(luò)進(jìn)行安全策略信息的交互，實(shí)現(xiàn)了邏輯域之間的聯(lián)動(dòng)，完成了分布式防火墻對(duì)全網(wǎng)的安全防護(hù)工作。
[0031]上述技術(shù)方案中,所述智能節(jié)點(diǎn)進(jìn)一步包含:
[0032]采集模塊，用于負(fù)責(zé)對(duì)網(wǎng)絡(luò)相關(guān)信息進(jìn)行采集，其中相關(guān)信息包含反映網(wǎng)絡(luò)所承載的業(yè)務(wù)流信息和/或防火墻性能狀態(tài)信息；
[0033]信息智能處理模塊，用于對(duì)采集的業(yè)務(wù)流信息和防火墻性能狀態(tài)信息進(jìn)行智能處理，分析出當(dāng)前網(wǎng)絡(luò)中用戶業(yè)務(wù)流的需求、網(wǎng)絡(luò)中設(shè)備的運(yùn)行狀態(tài)或網(wǎng)絡(luò)中是否存在異常狀況，并將處理結(jié)果發(fā)送給策略生成與翻譯模塊；
[0034]策略生成與翻譯模塊，用于根據(jù)信息智能處理模塊的分析結(jié)果，生成相應(yīng)的安全策略，并將策略翻譯成為防火墻可執(zhí)行的命令；
[0035]安全策略分發(fā)模塊，用于對(duì)策略生成與翻譯模塊生成的策略下發(fā)到所控防火墻，實(shí)現(xiàn)防火墻的策略配置；
[0036]策略決策點(diǎn)聯(lián)動(dòng)模塊，用于將策略生成與翻譯模塊生成的安全策略在重疊網(wǎng)上包含的各智能節(jié)點(diǎn)之間進(jìn)行傳輸或接受其余智能節(jié)點(diǎn)傳輸過(guò)來(lái)的安全策略，進(jìn)而完成邏輯域之間的聯(lián)動(dòng)，實(shí)現(xiàn)對(duì)全網(wǎng)的安全策略分發(fā)；和
[0037]聯(lián)動(dòng)策略生成模塊，用于在收到其他智能節(jié)點(diǎn)發(fā)來(lái)的安全策略后，對(duì)收到的安全策略進(jìn)行判斷，根據(jù)判斷結(jié)果生成相應(yīng)的安全策略。
[0038]上述技術(shù)方案中，所述策略生成與翻譯模塊進(jìn)一步包含:策略生成子模塊，用于根據(jù)信息智能處理模塊的分析得到的網(wǎng)絡(luò)狀態(tài)，生成相應(yīng)的安全策略；和
[0039]翻譯子模塊，用于將生成相應(yīng)的安全策略翻譯成為防火墻可以執(zhí)行的指令，或者描述成為智能節(jié)點(diǎn)可以識(shí)別的策略形式。[0040]上述技術(shù)方案中所述聯(lián)動(dòng)策略生成模塊，承載的業(yè)務(wù)流信息，包括:節(jié)點(diǎn)的IP地址、網(wǎng)絡(luò)掩碼、網(wǎng)絡(luò)服務(wù)、運(yùn)行的應(yīng)用程序、服務(wù)漏洞、最大報(bào)文速率、報(bào)文大小、端口號(hào)和網(wǎng)絡(luò)協(xié)議；
[0041]所述防火墻性能狀態(tài)信息，包括:防火墻的CPU利用率、防火墻的內(nèi)存利用率、接口帶寬利用率、接口的丟包率、接口的傳輸速率和接口隊(duì)列長(zhǎng)度。
[0042]上述技術(shù)方案中，所述聯(lián)動(dòng)策略生成模塊進(jìn)一步包含:
[0043]接收子模塊，用于接收到來(lái)自于策略決策點(diǎn)聯(lián)動(dòng)模塊收集的其他智能節(jié)點(diǎn)的安全策略；和
[0044]聯(lián)動(dòng)子模塊，用于在收到安全策略后，根據(jù)網(wǎng)絡(luò)狀態(tài)，對(duì)策略進(jìn)行判斷，按照判斷結(jié)果，進(jìn)行策略的生成，達(dá)到邏輯域間的聯(lián)動(dòng)，從而實(shí)現(xiàn)對(duì)全網(wǎng)的策略配置。
[0045]本方案所提出的分布式防火墻安全策略配置系統(tǒng)采用重疊網(wǎng)的方式來(lái)實(shí)現(xiàn)，該安全策略配置系統(tǒng)由一系列智能節(jié)點(diǎn)和防火墻組成。所述智能節(jié)點(diǎn)作為安全策略決策點(diǎn)，通過(guò)采集網(wǎng)絡(luò)信息，對(duì)采集的信息進(jìn)行綜合智能處理，最后根據(jù)處理結(jié)果生成控制策略，實(shí)現(xiàn)了對(duì)域內(nèi)防火墻的策略管理，從而將安全策略生成功能從現(xiàn)有防火墻中剝離，降低了防火墻的負(fù)擔(dān)。此外，智能節(jié)點(diǎn)之間可以相互通信，通過(guò)邏輯連接形成重疊網(wǎng)絡(luò)，并利用重疊網(wǎng)絡(luò)進(jìn)行策略信息的交互，實(shí)現(xiàn)了邏輯域之間的聯(lián)動(dòng)，完成了分布式防火墻對(duì)全網(wǎng)的安全防護(hù)工作。這種方法既可以消除單個(gè)策略控制中心存在的約束性和策略配置的沖突問(wèn)題，又可以有效的改善分布式防火墻的性能，擴(kuò)大分布式防火墻的適用范圍，提高網(wǎng)絡(luò)的安全性。
【專利附圖】

【附圖說(shuō)明】
[0046]圖1是現(xiàn)有技術(shù)的C/S架構(gòu)的分布式防火墻系統(tǒng)結(jié)構(gòu)示意圖；
[0047]圖2是現(xiàn)有技術(shù)的采用一個(gè)獨(dú)立于防火墻設(shè)備的策略中心來(lái)管理和生成策略的網(wǎng)絡(luò)組成結(jié)構(gòu)示意圖；
[0048]圖3現(xiàn)有技術(shù)基于策略的管理體系結(jié)構(gòu)之上的分布式防火墻結(jié)構(gòu)防火墻安全管理平臺(tái)體系結(jié)構(gòu)示意圖；
[0049]圖4是本發(fā)明的分布式防火墻系統(tǒng)在全網(wǎng)的部署示意圖；
[0050]圖5是本發(fā)明提供的策略配置流程圖；
[0051]圖6是本發(fā)明的策略決策點(diǎn)的結(jié)構(gòu)框圖；
[0052]圖7是本發(fā)明提供的實(shí)施例1的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；
[0053]圖8是實(shí)施例1在30秒內(nèi)主機(jī)PCl對(duì)主機(jī)Server的掃描結(jié)果示意圖；
[0054]圖9是實(shí)施例1智能信息處理模塊的決策函數(shù)
[0055]圖10是實(shí)施例用XML對(duì)策略的描述結(jié)構(gòu)圖；
[0056]圖11是實(shí)施例1的H3CF100S防火墻的黑名單配置圖；
[0057]圖12是實(shí)施例1的CISC0ASA防火墻的黑名單配置圖；
[0058]圖13是本發(fā)明提供的實(shí)施例2餓網(wǎng)絡(luò)拓?fù)鋱D；
[0059]圖14是實(shí)施例2的防火墻端口平均每秒丟包數(shù)；
[0060]圖15是實(shí)施例2的優(yōu)化之前視頻點(diǎn)播的畫面圖；
[0061]圖16是實(shí)施例2智能信息處理模塊的決策函數(shù)；
[0062]圖17是實(shí)施例2采用XML對(duì)策略的描述；[0063]圖18是實(shí)施例2的H3C防火墻對(duì)PC-FTPl主機(jī)限速配置；
[0064]圖19是實(shí)施例2的PC-FTPl主機(jī)被限速后的PC-V0D主機(jī)視頻點(diǎn)播畫面；
[0065]圖20是實(shí)施例2的邏輯域2中PC-FTP2開啟下載后PC-V0D視頻畫面質(zhì)量；
[0066]圖21是本發(fā)明實(shí)施例2的CISCO黑名單配置；
[0067]圖22是實(shí)施例2的防火墻聯(lián)動(dòng)優(yōu)化后PC-VOD的流暢畫面。
【具體實(shí)施方式】
[0068]下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。
[0069]圖4為分布式防火墻系統(tǒng)在全網(wǎng)的部署示意圖:該系統(tǒng)實(shí)現(xiàn)策略配置的步驟如下:
[0070](I)采集相關(guān)信息
[0071]本方案中所介紹的分布式防火墻系統(tǒng)在生成策略時(shí)，由智能節(jié)點(diǎn)負(fù)責(zé)對(duì)網(wǎng)絡(luò)相關(guān)信息進(jìn)行采集。所采集的信息包含兩部分，第一部分為所承載的業(yè)務(wù)流信息，包括:節(jié)點(diǎn)的IP地址、網(wǎng)絡(luò)掩碼、網(wǎng)絡(luò)服務(wù)、運(yùn)行的應(yīng)用程序、服務(wù)漏洞、最大報(bào)文速率、報(bào)文大小、端口號(hào)、網(wǎng)絡(luò)協(xié)議等；第二部分為防火墻性能狀態(tài)信息，包括:防火墻的CPU利用率、防火墻的內(nèi)存利用率、接口帶寬利用率、接口的丟包率、接口的傳輸速率和接口隊(duì)列長(zhǎng)度等信息。
[0072]其中，智能節(jié)點(diǎn)采集信息的方式可以有多種方式，諸如利用SNMP協(xié)議獲取防火墻狀態(tài)信息，對(duì)流量進(jìn)行業(yè)務(wù) 流分類和識(shí)別等等。
[0073](2)信息智能處理
[0074]策略決策點(diǎn)在完成對(duì)業(yè)務(wù)流/[目息和防火墻性能狀態(tài)?目息的米集之后，對(duì)?目息進(jìn)行智能處理，分析出當(dāng)前網(wǎng)絡(luò)中用戶業(yè)務(wù)流的需求、網(wǎng)絡(luò)中設(shè)備的運(yùn)行狀態(tài)、網(wǎng)絡(luò)中是否存在異常狀況等，并將處理結(jié)果發(fā)送給策略生成與翻譯模塊。
[0075](3)生成控制策略
[0076]策略生成與翻譯模塊根據(jù)分析的結(jié)果，生成相應(yīng)的安全策略，并將策略翻譯成為防火墻可執(zhí)行的命令或者描述成為智能節(jié)點(diǎn)可以識(shí)別的策略形式。。
[0077](4)分發(fā)策略到防火墻
[0078]策略決策點(diǎn)的分發(fā)模塊對(duì)策略進(jìn)行分發(fā)，將策略下發(fā)到所控防火墻，實(shí)現(xiàn)防火墻的策略配置。
[0079]其中，策略決策點(diǎn)與防火墻的通信方式有多種方法可供采用，諸如采用Telnet和SSH協(xié)議等。
[0080](5)策略決策點(diǎn)聯(lián)動(dòng)
[0081]在安全策略生成以后，重疊網(wǎng)上層的智能節(jié)點(diǎn)之間進(jìn)行通信:生成的策略在重疊網(wǎng)上層的各個(gè)策略決策點(diǎn)之間進(jìn)行傳輸，完成了邏輯域之間的聯(lián)動(dòng)，實(shí)現(xiàn)對(duì)全網(wǎng)的策略分發(fā)。
[0082](6)進(jìn)行策略的判斷和控制
[0083]策略決策點(diǎn)在收到其他策略決策點(diǎn)發(fā)來(lái)的策略后，對(duì)收到的策略進(jìn)行判斷。[0084]如果智能節(jié)點(diǎn)收到來(lái)自于其他邏輯域的策略信息是處理域內(nèi)網(wǎng)絡(luò)攻擊或?qū)τ騼?nèi)網(wǎng)絡(luò)服務(wù)質(zhì)量進(jìn)行優(yōu)化的策略，那么智能節(jié)點(diǎn)經(jīng)過(guò)判斷，生成策略:當(dāng)該邏輯域內(nèi)發(fā)生相似的網(wǎng)絡(luò)攻擊或網(wǎng)絡(luò)服務(wù)，則執(zhí)行該策略，對(duì)域內(nèi)的網(wǎng)絡(luò)攻擊進(jìn)行處理或?qū)τ騼?nèi)的網(wǎng)絡(luò)服務(wù)質(zhì)量進(jìn)行優(yōu)化。
[0085]如果智能節(jié)點(diǎn)收到來(lái)自于其他邏輯域的策略信息是處理域間網(wǎng)絡(luò)攻擊或?qū)τ蜷g網(wǎng)絡(luò)服務(wù)質(zhì)量進(jìn)行優(yōu)化的策略，那么智能節(jié)點(diǎn)經(jīng)過(guò)判斷，生成策略:當(dāng)邏輯域間的網(wǎng)絡(luò)攻擊或網(wǎng)絡(luò)服務(wù)，可受到該域管理時(shí)，則執(zhí)行該策略，對(duì)域間的網(wǎng)絡(luò)攻擊進(jìn)行處理或?qū)τ蜷g的網(wǎng)絡(luò)服務(wù)質(zhì)量進(jìn)行優(yōu)化。
[0086]綜上所述，本發(fā)明的分布式防火墻系統(tǒng)策略配置的過(guò)程是由策略決策點(diǎn)和策略決策點(diǎn)之間，策略決策點(diǎn)與受控防火墻之間的聯(lián)動(dòng)協(xié)調(diào)實(shí)現(xiàn)的。
[0087]本方案中策略決策點(diǎn)(即智能節(jié)點(diǎn))是整個(gè)系統(tǒng)的核心部分，主要包括6個(gè)功能模塊:采集模塊、信息智能處理模塊、策略生成與翻譯模塊、安全策略分發(fā)模塊、策略決策點(diǎn)聯(lián)動(dòng)模塊、聯(lián)動(dòng)策略生成模塊。
[0088]策略決策點(diǎn)的結(jié)構(gòu)如圖6所示:策略決策點(diǎn)中各個(gè)模塊的功能詳細(xì)描述如下:
[0089]采集模塊可以對(duì)網(wǎng)絡(luò)信息進(jìn)行采集，主要用于獲取網(wǎng)絡(luò)中的承載的業(yè)務(wù)流信息和防火墻性能狀態(tài)信息。業(yè)務(wù)流信息包括:節(jié)點(diǎn)的IP地址、網(wǎng)絡(luò)掩碼、網(wǎng)絡(luò)服務(wù)、運(yùn)行的應(yīng)用程序、服務(wù)漏洞、最大報(bào)文速率、報(bào)文大小、端口號(hào)、網(wǎng)絡(luò)協(xié)議；防火墻性能狀態(tài)信息包括:防火墻的CPU利用率、防火墻的內(nèi)存利用率、接口帶寬利用率、接口的丟包率、接口的傳輸速率、接口隊(duì)列長(zhǎng)度等等信息。智能節(jié)點(diǎn)采集信息的方式可以有多種方式，諸如利用SNMP協(xié)議獲取防火墻狀態(tài)信息，對(duì)流量進(jìn)行業(yè)務(wù)流分類和識(shí)別等等
[0090]智能信息處理模塊對(duì)信息進(jìn)行智能綜合處理，分析出當(dāng)前網(wǎng)絡(luò)中用戶業(yè)務(wù)流的需求、網(wǎng)絡(luò)中設(shè)備的運(yùn)行狀態(tài)、網(wǎng)絡(luò)中是否存在異常狀況等，并將信息發(fā)送給策略生成與翻譯模塊。
[0091]策略生成與翻譯模塊，根據(jù)信息智能處理模塊的分析得到的網(wǎng)絡(luò)狀態(tài)，生成相應(yīng)的安全策略，并將安全策略翻譯成為防火墻可以執(zhí)行的指令，或者描述成為智能節(jié)點(diǎn)可以識(shí)別的策略形式。策略生成與翻譯模塊進(jìn)一步包含:策略生成子模塊，用于根據(jù)信息智能處理模塊的分析得到的網(wǎng)絡(luò)狀態(tài)，生成相應(yīng)的安全策略；和翻譯子模塊，用于將生成相應(yīng)的安全策略翻譯成為防火墻可以執(zhí)行的指令，或者描述成為智能節(jié)點(diǎn)可以識(shí)別的策略形式。
[0092]安全策略分發(fā)模塊實(shí)現(xiàn)對(duì)分布式防火墻策略的遠(yuǎn)程安全分發(fā)。其中包括兩種不同的分發(fā)方式。一種是將策略下發(fā)到防火墻，實(shí)現(xiàn)防火墻的策略配置，最常用的分發(fā)方式為Telnet，SSH等。第二種分發(fā)是策略決策點(diǎn)之間的通信:生成的策略由當(dāng)前策略決策點(diǎn)發(fā)送到其他策略決策點(diǎn)，完成了邏輯域之間的聯(lián)動(dòng)，實(shí)現(xiàn)對(duì)全網(wǎng)的策略配置。
[0093]策略決策點(diǎn)聯(lián)動(dòng)模塊，用于將策略生成與翻譯模塊生成的安全策略在重疊網(wǎng)上包含的各智能節(jié)點(diǎn)之間進(jìn)行傳輸或接受其余智能節(jié)點(diǎn)傳輸過(guò)來(lái)的安全策略，進(jìn)而完成邏輯域之間的聯(lián)動(dòng)，實(shí)現(xiàn)對(duì)全網(wǎng)的安全策略分發(fā)。
[0094]聯(lián)動(dòng)策略生成模塊，接收到來(lái)自于策略決策點(diǎn)聯(lián)動(dòng)模塊收集的其他智能節(jié)點(diǎn)的安全策略；在收到安全策略后，根據(jù)網(wǎng)絡(luò)狀態(tài)，對(duì)策略進(jìn)行判斷，按照判斷結(jié)果，進(jìn)行策略的生成，達(dá)到邏輯域間的聯(lián)動(dòng)，從而實(shí)現(xiàn)對(duì)全網(wǎng)的策略配置。聯(lián)動(dòng)策略生成模塊進(jìn)一步包含:接收子模塊，用于接收到來(lái)自于策略決策點(diǎn)聯(lián)動(dòng)模塊收集的其他智能節(jié)點(diǎn)的安全策略；和聯(lián)動(dòng)子模塊，用于在收到安全策略后，根據(jù)網(wǎng)絡(luò)狀態(tài)，對(duì)策略進(jìn)行判斷，按照判斷結(jié)果，進(jìn)行策略的生成，達(dá)到邏輯域間的聯(lián)動(dòng)，從而實(shí)現(xiàn)對(duì)全網(wǎng)的策略配置。
[0095]實(shí)施例1
[0096]拓?fù)淙鐖D7所示:
[0097]在實(shí)驗(yàn)拓?fù)渲?，邏輯域I和邏輯域2為兩個(gè)邏輯域。
[0098]邏輯域I中智能節(jié)點(diǎn)I (IP地址為192.168.11.100，子網(wǎng)掩碼為255.255.255.0)為邏輯域內(nèi)的防火墻的策略決策點(diǎn)；防火墻I (H3CF100S防火墻)為主機(jī)PCI (IP地址為192.168.1.1，子網(wǎng)掩碼為255.255.255.0)的出口防火墻，可以控制主機(jī)PCl的流量和訪問(wèn)行為；主機(jī)PCl中使用應(yīng)用程序Scanport對(duì)主機(jī)Server進(jìn)行端口掃描。
[0099]邏輯域2中智能節(jié)點(diǎn)2 (IP地址為192.168.12.100，子網(wǎng)掩碼為255.255.255.0)為邏輯域內(nèi)的防火墻的策略決策點(diǎn)；防火墻2 (ClSCOASA防火墻)為主機(jī)PC2 (IP地址為192.168.2.1，子網(wǎng)掩碼為255.255.255.0)的出口防火墻，可以控制主機(jī)PC2的流量和訪問(wèn)行為；主機(jī)PC2中使用應(yīng)用程序Scanport對(duì)主機(jī)Server進(jìn)行端口掃描。
[0100]該實(shí)施例描述了網(wǎng)絡(luò)中主機(jī)PCl對(duì)主機(jī)Server的端口進(jìn)行掃描時(shí)，系統(tǒng)通過(guò)策略配置實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的安全保護(hù)。系統(tǒng)工作的步驟如下:
[0101]1.智能節(jié)點(diǎn)I對(duì)域內(nèi)的網(wǎng)絡(luò)相關(guān)信息進(jìn)行采集。為了對(duì)端口掃描行為進(jìn)行檢測(cè)，
[0102]智能節(jié)點(diǎn)采集了主機(jī)PCl和主機(jī)Server之間的通信情況；
[0103]將智能節(jié)點(diǎn)I所在域內(nèi)網(wǎng)絡(luò)中的掃描使用四元組〈源IP，目的IP，源端口，目的端口 >的形式來(lái)表示，檢測(cè)周期設(shè)置為30秒。周期內(nèi)檢測(cè)到的掃描結(jié)果如圖8所示:
[0104]該圖表示30秒內(nèi)，
[0105]IP 地址為 192.168.1.1 的 6172 號(hào)端口對(duì) IP 地址為 192.168.0.1 的 8080 號(hào)端口
進(jìn)行一次掃描；
[0106]IP地址為192.168.1.1的4092號(hào)端口對(duì)IP地址為192.168.0.1的80號(hào)端口進(jìn)行一次掃描；
[0107]IP地址為192.168.1.1的7321號(hào)端口對(duì)IP地址為192.168.0.1的21號(hào)端口進(jìn)行一次掃描；
[0108]IP地址為192.168.1.1的43271號(hào)端口對(duì)IP地址為192.168.0.1的23號(hào)端口進(jìn)行一次掃描；
[0109]IP地址為192.168.1.1的4317號(hào)端口對(duì)IP地址為192.168.0.1的110號(hào)端口進(jìn)行一次掃描；
[0110]IP地址為192.168.1.1的2103號(hào)端口對(duì)IP地址為192.168.0.1的25號(hào)端口進(jìn)行一次掃描；
[0111]統(tǒng)計(jì)得到，30秒內(nèi)IP地址為192.168.1.1的主機(jī)PCl對(duì)IP地址為192.168.0.1的
[0112]主機(jī)Server的6個(gè)不同的端口進(jìn)行掃描；
[0113]2.策略決策點(diǎn)在采集信息之后，智能信息處理模塊對(duì)信息進(jìn)行智能處理，分析出當(dāng)前網(wǎng)絡(luò)中IP地址為192.168.1.1的主機(jī)PCl對(duì)IP地址為192.168.0.1的主機(jī)Server進(jìn)行惡意的端口掃描，并將處理結(jié)果發(fā)送給策略生成與翻譯模塊；
[0114]其中，智能信息處理模塊的決策函數(shù)的流程如圖9所示，該流程包含如下步驟:[0115](I)定義num為周期內(nèi)檢測(cè)到的掃描次數(shù)，定義portState為網(wǎng)絡(luò)掃描的次數(shù)，定義portScan用來(lái)賦值判定否存在網(wǎng)絡(luò)掃描；
[0116](2)將智能節(jié)點(diǎn)檢測(cè)到的掃描次數(shù)num賦值給portstate ；
[0117](3)做一個(gè)時(shí)間周期內(nèi)的掃描次數(shù)是否大于等于6的判斷，如果掃描次數(shù)大于等于6，則認(rèn)定為網(wǎng)絡(luò)存在惡意的端口掃描行為；否則認(rèn)為網(wǎng)絡(luò)不存在惡意的端口掃描行為。
[0118]3、策略生成與翻譯模塊生成安全策略，并將策略翻譯成為防火墻可執(zhí)行的命令；
[0119]策略使用XML語(yǔ)目進(jìn)行描述,如圖10所不:
[0120](I) XML對(duì)該策略的描述首先定義端口掃描的行為；
[0121](2)端口掃描行為的特征為在周期為30s的時(shí)間內(nèi)最小掃描次數(shù)為6次；
[0122](3)如果存在端口掃描行為則執(zhí)行加入黑名單的動(dòng)作。
[0123]智能節(jié)點(diǎn)I依據(jù)分析結(jié)果生成相應(yīng)策略，將策略翻譯成為防火墻的控制指令，對(duì)所在區(qū)域的防火墻進(jìn)行配置，即添加黑名單的策略。該策略調(diào)用防火墻I (H3CF100S防火墻)的指令如圖11所示，該圖描述為H3C F100-S防火墻添加黑名單的命令行指令，具體步驟如下:
[0124](I)開啟防火墻的黑名單功能；
[0125](2)將IP地址為192.168.1.1的PC加入黑名單。
[0126]4、策略決策點(diǎn)的分發(fā)模塊使用SSH協(xié)議對(duì)策略進(jìn)行分發(fā)，把策略以加密的形式下發(fā)到防火墻I，實(shí)現(xiàn)對(duì)防火墻I的策略配置。此時(shí)PCl由于被加入黑名單，對(duì)Server的掃描數(shù)據(jù)包被阻斷，智能節(jié)點(diǎn)I所在邏輯域的網(wǎng)絡(luò)安全問(wèn)題得到解決；
[0127]5、智能節(jié)點(diǎn)I和智能節(jié)點(diǎn)2進(jìn)行通信；生成的策略以XML的方式由智能節(jié)點(diǎn)I發(fā)送給智能節(jié)點(diǎn)2 ；
[0128]6、此時(shí)在PC2上面運(yùn)行掃描程序，然后查看防火墻2的配置，發(fā)現(xiàn)防火墻2已實(shí)現(xiàn)了 addtoblacklistbyaction 的策略配置。
[0129]防火墻2(CISC0ASA防火墻)的黑名單配置如圖12所示，該圖描述為CISC0ASA5510防火墻添加黑名單的命令行指令
[0130](I)創(chuàng)建組對(duì)象，將IP地址192.168.2.1加入到組對(duì)象；
[0131](2)創(chuàng)建訪問(wèn)控制列表組織任何組對(duì)象與任何IP的通信；
[0132](3)將訪問(wèn)控制列表應(yīng)用于到svl端口。
[0133]使用PC2向Server發(fā)送數(shù)據(jù)包,但是Server無(wú)法查看到來(lái)自于PC2的數(shù)據(jù)包；
[0134]實(shí)施例1可以看出，當(dāng)一個(gè)邏輯域檢測(cè)到網(wǎng)絡(luò)內(nèi)部出現(xiàn)了攻擊或掃描時(shí)，會(huì)智能產(chǎn)生安全策略，并且通過(guò)智能節(jié)點(diǎn)所組建的重疊網(wǎng)進(jìn)行策略分發(fā)，實(shí)現(xiàn)邏輯域之間的聯(lián)動(dòng)，完成全網(wǎng)的策略部署。
[0135]實(shí)施例2
[0136]拓?fù)淙鐖D13所示:
[0137]在實(shí)驗(yàn)拓?fù)渲?，邏輯域I和邏輯域2為兩個(gè)邏輯域。
[0138]邏輯域I中智能節(jié)點(diǎn)I (IP地址為192.168.11.100，子網(wǎng)掩碼為255.255.255.0)為邏輯域內(nèi)的防火墻的策略決策點(diǎn)；防火墻I (H3CF100S防火墻)為PC-VOD主機(jī)(IP地址為 192.168.1.2，子網(wǎng)掩碼為 255.255.255.0)和 PC-FTPl 主機(jī)(IP 地址為 192.168.1.1，子網(wǎng)掩碼為255.255.255.0)的出口防火墻，可以控制PC-FTPl主機(jī)和PC-VOD主機(jī)的流量和訪問(wèn)行為；PC_VOD主機(jī)中的安裝有應(yīng)用程序VLC Media Player，可以從Server主機(jī)獲取視頻點(diǎn)播服務(wù)；PC-FTP1主機(jī)中運(yùn)行應(yīng)用程序FlashFXP，可以從Server主機(jī)進(jìn)行FTP數(shù)據(jù)下載；
[0139]邏輯域2中智能節(jié)點(diǎn)2 (IP地址為192.168.12.100，子網(wǎng)掩碼為255.255.255.0)為邏輯域內(nèi)的防火墻的策略決策點(diǎn)；防火墻2 (ClSCOASA防火墻)為PC-FTP2主機(jī)(IP地址為192.168.2.1，子網(wǎng)掩碼為255.255.255.0)的出口防火墻，可以控制PC-FTP2主機(jī)的流量和訪問(wèn)行為；PC-FTP2主機(jī)中安裝有應(yīng)用程序FlashFXP，可以從Server主機(jī)進(jìn)行FTP數(shù)據(jù)下載；
[0140]Server主機(jī)裝有FTP服務(wù)器軟件和VOD服務(wù)器軟件，為PC-VOD主機(jī)提供視頻點(diǎn)播服務(wù)，為PC-FTPl主機(jī)和PC-FTP2主機(jī)提供FTP服務(wù)；防火墻I的ETH0/1端口通過(guò)防火墻2與Server主機(jī)相連,防火墻I與防火墻2之間線路帶寬限定為2Mbps ;防火墻2與Server主機(jī)之間的線路帶寬限定為3Mbps ；
[0141]該實(shí)施例中PC-VOD主機(jī)從Server主機(jī)進(jìn)行視頻點(diǎn)播，然后依次打開PC-FTP1主機(jī)、PC-FTP2主機(jī)的FlashFXP程序，從Server主機(jī)進(jìn)行FTP數(shù)據(jù)下載，對(duì)帶寬進(jìn)行占用。
[0142]系統(tǒng)通過(guò)分析網(wǎng)絡(luò)狀態(tài)，對(duì)FTP下載流量進(jìn)行優(yōu)化控制，從而保證了視頻點(diǎn)播的用戶體驗(yàn)。系統(tǒng)工作的步驟如下:
[0143]1.為了檢測(cè)網(wǎng)絡(luò)狀態(tài)，保證用戶體驗(yàn)，智能節(jié)點(diǎn)從邏輯域I中提取了兩部分信息，一部分為PC-VOD主機(jī)和PC-FTPl主機(jī)的業(yè)務(wù)信息，第二部分為防火墻I的ETH0/1端口丟包信息；
[0144]通過(guò)業(yè)務(wù)信息的采集:可以得知IP地址為192.168.1.2的PC-VOD主機(jī)中運(yùn)行的為視頻點(diǎn)播服務(wù)，IP地址為192.168.1.1的PC-FTPl主機(jī)中運(yùn)行的為FTP下載服務(wù)
[0145]通過(guò)SNMP協(xié)議，獲取防火墻ETH0/1端口丟包的信息統(tǒng)計(jì)如圖14所示MIB結(jié)點(diǎn)，端口丟包個(gè)數(shù) iflnDiscards 的 OID 號(hào)為 1.3.6.1.2.1.2.2.1.13.770 ；
[0146](I)使用snmpget對(duì)端口丟包個(gè)數(shù)進(jìn)行提取，得到的丟包個(gè)數(shù)；
[0147](2)在5秒以后，再次使用snmpget對(duì)端口丟包個(gè)數(shù)進(jìn)行提取，得到的5秒后的丟包個(gè)數(shù)；
[0148](3)使用5秒后的數(shù)值減去5秒之前的數(shù)值，使用兩數(shù)相減的差值除以5，
[0149]得到平均每秒的丟包數(shù)discardNumPerSec。
[0150]統(tǒng)計(jì)得到，在抽樣間隔的5秒之間，防火墻ETH0/1端口的平均每秒丟包數(shù)為37 ；由于FTP流量搶占了帶寬，視頻點(diǎn)播服務(wù)的畫面質(zhì)量流暢度較差，如圖15所示。
[0151]2.策略決策點(diǎn)在采集信息之后，智能信息處理模塊對(duì)信息進(jìn)行智能處理，分析出當(dāng)前網(wǎng)絡(luò)中防火墻I的ETH0/1端口出現(xiàn)丟包現(xiàn)象，并將處理結(jié)果發(fā)送給策略生成與翻譯模塊；
[0152]其中，智能信息處理模塊的決策函數(shù)如圖16所示，決策函數(shù)的流程為:
[0153](I)定義discardNumPerSec為平均丟包數(shù)，定義discardNum為丟包數(shù)，定義isCongestion用來(lái)賦值判定VOD是否存順暢播放；
[0154](2)將智能節(jié)點(diǎn)檢測(cè)到的平均每秒的丟包數(shù)discardNumPerSec賦值給discardNum ；
[0155](3)做一個(gè)時(shí)間周期內(nèi)每秒丟包數(shù)是否大于等于15的判斷，如果每秒丟包數(shù)大于等于15，則認(rèn)定網(wǎng)絡(luò)擁塞導(dǎo)致VOD無(wú)法順暢播放；否則認(rèn)為VOD可以順暢播放。
[0156]3.策略生成與翻譯模塊生成安全策略，并將策略翻譯成為防火墻可執(zhí)行的命令；
[0157]策略使用XML語(yǔ)言描述如圖17所示；
[0158](I) XML對(duì)該策略的描述首先定義網(wǎng)絡(luò)擁塞行為；
[0159](2)網(wǎng)絡(luò)擁塞行為的特征為最小每秒丟包數(shù)大于等于15 ；
[0160](3)如果存在網(wǎng)絡(luò)擁塞行為行為，則執(zhí)行限速的動(dòng)作。
[0161]智能節(jié)點(diǎn)I依據(jù)分析結(jié)果生成相應(yīng)策略，將策略翻譯成為防火墻的控制指令，對(duì)所在區(qū)域的防火墻進(jìn)行配置，即限速策略。該策略調(diào)用的防火墻I (H3CF100S防火墻)的指令如圖18所示該圖描述為H3C F100-S防火墻限速的命令行指令
[0162]( I)創(chuàng)建訪問(wèn)控制列表；
[0163](2)想訪問(wèn)控制列表添加訪問(wèn)規(guī)則:允許以192.168.1.1為目的IP的數(shù)據(jù)傳輸；
[0164](3)在端口 ETH0/1，對(duì)該規(guī)則進(jìn)行400Kbps的限速。
[0165]策略決策點(diǎn)的分發(fā)模塊使用SSH的對(duì)策略進(jìn)行分發(fā)，將策略以加密的形式下發(fā)到防火墻1，實(shí)現(xiàn)對(duì)防火墻I的策略配置。此時(shí)PC-FTPl主機(jī)由于被限速，所搶占帶寬的得到釋放，PC-VOD主機(jī)的視頻點(diǎn)播服務(wù)恢復(fù)正常狀態(tài)，畫面變得清晰，如圖19所示
[0166]4.智能節(jié)點(diǎn)I和智能節(jié)點(diǎn)2進(jìn)行通信，將生成的策略以XML的方式進(jìn)行描述，并由智能節(jié)點(diǎn)I發(fā)送給智能節(jié)點(diǎn)2 ；
[0167]PC-FTP2主機(jī)打開FTP下載，再次產(chǎn)生邏輯域2到Server帶寬的搶占。這時(shí)PC-V0D視頻點(diǎn)播畫面的流暢度再度變差，如圖20所示:
[0168]智能節(jié)點(diǎn)2對(duì)策略進(jìn)行分析處理，根據(jù)防火墻2出現(xiàn)的丟包狀態(tài)，對(duì)所在區(qū)域的防火墻進(jìn)行配置，即限速策略。該策略調(diào)用的防火墻2 (CISC0ASA防火墻)的限速配置如圖21所示該圖描述為CISCO ASA5510防火墻限速的命令行指令
[0169](I)創(chuàng)建訪問(wèn)控制列表，規(guī)則為:允許任何IP到192.168.2.2的數(shù)據(jù)傳輸；
[0170](2)創(chuàng)建策略policy-map,將訪問(wèn)控制列表加入到policy-map中，并對(duì)policy-map 做了 400Kbps 的限速；
[0171](3)將 policy 應(yīng)用于端口 svl。
[0172]至此，系統(tǒng)通過(guò)邏輯域之間的聯(lián)動(dòng)實(shí)現(xiàn)了對(duì)PC-VOD視頻播放效果的優(yōu)化，如圖22所示
[0173]實(shí)施例2可以看出，當(dāng)邏輯域檢測(cè)到流量?jī)?yōu)化需求時(shí)，會(huì)生成流量?jī)?yōu)化策略時(shí)，并通過(guò)重疊網(wǎng)上層智能節(jié)點(diǎn)的策略分發(fā)，達(dá)到全網(wǎng)的策略部署，實(shí)現(xiàn)對(duì)全網(wǎng)流量?jī)?yōu)化的策略配置。
[0174]本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例方法中的全部或部分流程是可以通過(guò)計(jì)算機(jī)程序來(lái)指令相關(guān)的硬件來(lái)完成，所述的程序可存儲(chǔ)于一計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中，該程序在執(zhí)行時(shí)，可包括如上述各方法的實(shí)施例的流程。其中，所述的存儲(chǔ)介質(zhì)可為磁碟、光盤、只讀存儲(chǔ)記憶體或隨機(jī)存儲(chǔ)記憶體等。
[0175]最后所應(yīng)說(shuō)明的是，以上實(shí)施例僅用以說(shuō)明本發(fā)明的技術(shù)方案而非限制。盡管參照實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)說(shuō)明，本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解，對(duì)本發(fā)明的技術(shù)方案進(jìn)行修改或者等同替換，都不脫離本發(fā)明技術(shù)方案的精神和范圍，其均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍當(dāng)中。
【權(quán)利要求】
1.一種基于重疊網(wǎng)的分布式防火墻安全策略配置方法，所述方法包含如下步驟: 步驟101)部署于某一域內(nèi)的智能節(jié)點(diǎn)采集其對(duì)應(yīng)域內(nèi)的反映網(wǎng)絡(luò)所承載的業(yè)務(wù)流信息的第一參考信息，并依據(jù)所述第一參考信息生成安全策略； 步驟102)上一步驟所述的智能節(jié)點(diǎn)將其生成的安全策略同時(shí)分配給其對(duì)應(yīng)域內(nèi)的防火墻和位于其它域內(nèi)的智能節(jié)點(diǎn)； 步驟103)上一步驟中所述位于其它域內(nèi)的智能節(jié)點(diǎn)將其收到的來(lái)自其余節(jié)點(diǎn)的安全策略作為第二參考信息動(dòng)態(tài)調(diào)整其對(duì)應(yīng)的安全策略，并將生成的安全策略分配給域內(nèi)防火墻，從而完成域間的安全策略配置。
2.根據(jù)權(quán)利要求1所述的基于重疊網(wǎng)的分布式防火墻安全策略配置方法，其特征在于，步驟101)所述的智能節(jié)點(diǎn)依據(jù)第一參考信息和防火墻性能狀態(tài)信息生成安全策略。
3.根據(jù)權(quán)利要求2所述的基于重疊網(wǎng)的分布式防火墻安全策略配置方法，其特征在于，步驟103)所述位于其它域內(nèi)的智能節(jié)點(diǎn)依據(jù)第二參考信息和采集的第一參考信息生成安全策略。
4.根據(jù)權(quán)利要求1所述的基于重疊網(wǎng)的分布式防火墻安全策略配置方法，其特征在于，所述智能節(jié)點(diǎn)之 間采用XML語(yǔ)言進(jìn)行的策略傳輸。
5.根據(jù)權(quán)利要求1、2或3所述的基于重疊網(wǎng)的分布式防火墻安全策略配置方法，其特征在于，所述第一參考信息包含:節(jié)點(diǎn)的IP地址、網(wǎng)絡(luò)掩碼、網(wǎng)絡(luò)服務(wù)、運(yùn)行的應(yīng)用程序、月艮務(wù)漏洞、最大報(bào)文速率、報(bào)文大小、端口號(hào)和網(wǎng)絡(luò)協(xié)議； 所述防火墻性能狀態(tài)信息包含:防火墻的CPU利用率、防火墻的內(nèi)存利用率、接口帶寬利用率、接口的丟包率、接口的傳輸速率和接口隊(duì)列長(zhǎng)度。
6.一種基于重疊網(wǎng)的分布式防火墻安全策略配置系統(tǒng)，其特征在于，所述安全策略配置系統(tǒng)包含:部署于各域內(nèi)的防火墻和部署于各域內(nèi)的智能節(jié)點(diǎn)； 所述智能節(jié)點(diǎn)，用于采集智能節(jié)點(diǎn)所在域內(nèi)的網(wǎng)絡(luò)相關(guān)信息，并依據(jù)采集的相關(guān)信息生成安全策略； 其中，所述智能節(jié)點(diǎn)之間相互通信，通過(guò)邏輯連接形成重疊網(wǎng)絡(luò)，并利用重疊網(wǎng)絡(luò)進(jìn)行安全策略信息的交互，實(shí)現(xiàn)了邏輯域之間的聯(lián)動(dòng)，完成了分布式防火墻對(duì)全網(wǎng)的安全防護(hù)工作。
7.根據(jù)權(quán)利要求6所述的基于重疊網(wǎng)的分布式防火墻安全策略配置系統(tǒng)，其特征在于，所述智能節(jié)點(diǎn)進(jìn)一步包含: 采集模塊，用于負(fù)責(zé)對(duì)網(wǎng)絡(luò)相關(guān)信息進(jìn)行采集，其中相關(guān)信息包含反映網(wǎng)絡(luò)所承載的業(yè)務(wù)流信息和/或防火墻性能狀態(tài)信息； 信息智能處理模塊，用于對(duì)采集的業(yè)務(wù)流信息和防火墻性能狀態(tài)信息進(jìn)行智能處理，分析出當(dāng)前網(wǎng)絡(luò)中用戶業(yè)務(wù)流的需求、網(wǎng)絡(luò)中設(shè)備的運(yùn)行狀態(tài)或網(wǎng)絡(luò)中是否存在異常狀況，并將處理結(jié)果發(fā)送給策略生成與翻譯模塊； 策略生成與翻譯模塊，用于根據(jù)信息智能處理模塊的分析結(jié)果，生成相應(yīng)的安全策略，并將策略翻譯成為防火墻可執(zhí)行的命令； 安全策略分發(fā)模塊，用于對(duì)策略生成與翻譯模塊生成的策略下發(fā)到所控防火墻，實(shí)現(xiàn)防火墻的策略配置； 策略決策點(diǎn)聯(lián)動(dòng)模塊，用于將策略生成與翻譯模塊生成的安全策略在重疊網(wǎng)上包含的各智能節(jié)點(diǎn)之間進(jìn)行傳輸或接受其余智能節(jié)點(diǎn)傳輸過(guò)來(lái)的安全策略，進(jìn)而完成邏輯域之間的聯(lián)動(dòng)，實(shí)現(xiàn)對(duì)全網(wǎng)的安全策略分發(fā)；和 聯(lián)動(dòng)策略生成模塊，用于在收到其他智能節(jié)點(diǎn)發(fā)來(lái)的安全策略后，對(duì)收到的安全策略進(jìn)行判斷，根據(jù)判斷結(jié)果生成相應(yīng)的安全策略。
8.根據(jù)權(quán)利要求6所述的基于重疊網(wǎng)的分布式防火墻安全策略配置系統(tǒng)，其特征在于，所述策略生成與翻譯模塊進(jìn)一步包含:策略生成子模塊，用于根據(jù)信息智能處理模塊的分析得到的網(wǎng)絡(luò)狀態(tài)，生成相應(yīng)的安全策略；和 翻譯子模塊，用于將生成相應(yīng)的安全策略翻譯成為防火墻可以執(zhí)行的指令，或者描述成為智能節(jié)點(diǎn)可以識(shí)別的策略形式。
9.根據(jù)權(quán)利要求6所述的基于重疊網(wǎng)的分布式防火墻安全策略配置系統(tǒng)，其特征在于，所述聯(lián)動(dòng)策略生成模塊，承載的業(yè)務(wù)流信息，包括:節(jié)點(diǎn)的IP地址、網(wǎng)絡(luò)掩碼、網(wǎng)絡(luò)服務(wù)、運(yùn)行的應(yīng)用程序、服務(wù)漏洞、最大報(bào)文速率、報(bào)文大小、端口號(hào)和網(wǎng)絡(luò)協(xié)議； 所述防火墻性能狀態(tài)信息，包括:防火墻的CPU利用率、防火墻的內(nèi)存利用率、接口帶寬利用率、接口的丟包率、接口的傳輸速率和接口隊(duì)列長(zhǎng)度。
10.根據(jù)權(quán)利要求6所述的基于重疊網(wǎng)的分布式防火墻安全策略配置系統(tǒng)，其特征在于，所述聯(lián)動(dòng)策略生成模塊進(jìn)一步包含: 接收子模塊，用于接收到來(lái)自于策略決策點(diǎn)聯(lián)動(dòng)模塊收集的其他智能節(jié)點(diǎn)的安全策略；和 聯(lián)動(dòng)子模塊，用于在收到安全策略后，根據(jù)網(wǎng)絡(luò)狀態(tài)，對(duì)策略進(jìn)行判斷，按照判斷結(jié)果，進(jìn)行策略的生成，達(dá)到邏輯域間的聯(lián)動(dòng)，從而實(shí)現(xiàn)對(duì)全網(wǎng)的策略配置。
【文檔編號(hào)】H04L29/06GK103457920SQ201210181785
【公開日】2013年12月18日 申請(qǐng)日期:2012年6月4日 優(yōu)先權(quán)日:2012年6月4日
【發(fā)明者】覃毅芳, 周旭, 楊磊, 牛溫佳, 慈松, 唐暉, 唐朝偉 申請(qǐng)人:中國(guó)科學(xué)院聲學(xué)研究所, 重慶大學(xué)