公开/公告号CN115941264A
专利类型发明专利
公开/公告日2023-04-07
原文格式PDF
申请/专利权人 深圳市众云网有限公司;
申请/专利号CN202211350304.1
申请日2022-10-31
分类号H04L9/40(2022.01);
代理机构深圳市中科创为专利代理有限公司 44384;深圳市中科创为专利代理有限公司 44384;
代理人游强;彭西洋
地址 518000 广东省深圳市南山区粤海街道滨海社区海天一路19、17、18号软件产业基地4栋511
入库时间 2023-06-19 19:14:59
法律状态公告日
法律状态信息
法律状态
2023-04-25
实质审查的生效 IPC(主分类):H04L 9/40 专利申请号:2022113503041 申请日:20221031
实质审查的生效
2023-04-07
公开
发明专利申请公布
技术领域
本发明涉及网络安全防火墙技术领域,具体为一种基于网络安全的防火墙管理系统。
背景技术
防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术,防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。
随着现在互联网技术的日益发展,网上信息数据良莠不齐,且存在带有攻击性的恶意数据和病毒,则需要防火墙对其进行阻拦,而目前所使用的防火墙,大多能够支持一层恶意数据的入侵阻拦,不能采用数据流的控管方式,对2层和4层的入侵恶意数据进行精准入侵检测和高效安全防御处理,降低网络信息的访问安全性,为此,提出基于网络安全的防火墙管理系统。
发明内容
本发明的目的在于提供基于网络安全的防火墙管理系统,以解决上述背景技术中提出的目前所使用的防火墙,大多能够支持一层恶意数据的入侵阻拦,不能采用数据流的控管方式,对2层和4层的入侵恶意数据进行精准入侵检测和高效安全防御处理,降低网络信息的访问安全性的问题。
为实现上述目的,本发明提供如下技术方案:一种基于网络安全的防火墙管理系统,包括如下步骤:
步骤一:首先对防火墙进行配置,且防火墙上主要配置外网只能访问数据中的端口,其它的端口一律禁止,具体配置为:
Firewall(config)#firewall enable(允许防火墙);
Firewall(config)#firewall default permit(设置防火墙缺省为允许包通过);
Firewall(config)#access-list 100deny IP any any(配置访问规则禁止所有包通过);
Firewall(config)#access-list 101permit IP地址any(配置规则允档案服务器访问外部网)
Firewall(config)#access-list 102permit tcp IP地址(配置规则允许特定管理用户从外部网访问内部档案服务器)
Firewall(config)#access-list 102permit tcp any IP地址gt1024(配置规则允许管理用户从外部网取得数据(只允许端口号大于1024的包);
Firewall(config)#access-list normal 102deny ip any anyFirewall(config)#interface ethernet 0
Firewall(config-if-EthernetO)#ip access-group 100in(将规则100作用于从接口Ethernet0进入的包)
Firewall(config-if-Ethernet0)#ip access-group 101in(将规则101作用于从接口Ethernet0进入的包)
Firewall(config-if-EthernetO)#ip access-group 102in(将规则102作用于从接口EthernetO进入的包),即可完成防火墙的配置;
步骤二:搭建基于Linux的Netfilter/Iptables防火墙系统架构,再根据网络数据的流向分为流入、流经和流出三种流向,其中流入和流经的网络数据经过路由区分,流经和流出的网络数据经过投递区分,则根据网络数据的流向,在以下几个点插入处理过程:
A、NF_IP_PRE_ROUTING,在数据作路由以前执行;
B、NF_IP_LOCAL_IN,在流入本地的数据作路由以后执行;
C、NF_IP_FORWARD,在数据转向另一个NIC以前执行;
D、NF_IP_ROUTING,在数据流出以前执行;
E、NF_IP_LOCAL_OUT,在本地数据作流出路由前执行;
外网中的网络数据包进入系统进行IP校验后,网络数据经过第一个检测点NF_IP_PRE_ROUTING进行处理,然后进入路由代码,路由代码决定该数据报是需要转发还是发给本机;若该数据包是发往本机的,则该数据包经过检测点NF_IP_LOCAL_IN处理以后传递给上层协议;若该数据包应该被转发则需要被NF_IP_FORWARD处理;经过转发的数据包经过最后一个检测点NF_IP_POST_ROUTING的处理以后,再传输到网络上;本地产生的数据经过钩子函数NF_IP_LOCAL_OUT处理可以后,进行路由选择处理,然后经过NF_IP_POST_ROUTING处理以后发送到网络上;
步骤三:再将NIPS以内嵌的方式部署在需要保护的网络数据的关键位置,再由防火墙模块对网络数据包的网络数据流进行检测,由入侵检测模块判断网络数据包是否含有恶意的入侵动作,如果入侵检测模块检测到网络数据包中含有恶意的网络数据流,先由DMZ交换机对恶意的网络数据流IP地址进行检测处理,并做出相应的访问控制列表,且立即启动入侵防御模块,先对网络数据包中含有恶意的网络数据流进行阻断连接,与此同时,再将相关的恶意的网络数据流发送至由控管中心,并向控管中心发送告警/日志信息。
优选的,在步骤二中,Netfilter/Iptables防火墙系统架构包含的部分为:
a、为每种网络协议定义一套钩子函数,定义后的钩子函数在网络数据包流过协议栈的几个关键点被调用,在这几个被调用的关键点中,协议栈将把网络数据包及钩子函数标号作为参数调用Netfilter框架;
b、Netfilter框架内核中的任一模块可以对每种协议的一个或多个钩子进行注册,并完成挂接,这样当某个数据包被传递给Netfilter框架时,内核能检测是否有任何模块对该协议和钩子函数进行了注册,若某个数据包注册了,则调用该模块注册时使用的回调函数,这样,这些模块就有机会检查该数据包、丢弃该数据包及指示Netfilter将该数据包传人用户空间的队列。
c、对于等待的数据包是被传递给用户空间异步进行处理,Netfilter框架中的用户进程能检查网络数据包,并修改网络数据包,也可以重新将该网络数据包通过离开内核的同一个钩子函数注入到内核中。
优选的,在步骤二中,Netfilter框架为多种协议提供了一套钩子,并对应用struct list_head nf_hooks二维数组结构对该套钩子进行存储,该套钩子的二维数组结构分别为:一维为协议族,二维为网络数据包的各个调用入口,且嵌入Netfilter框架中的检测模块都可以为多个协议族的多个调用点注册多个钩子函数,则整体构建成完整的函数指针链,且每次协议栈代码执行到NF_HOOK()函数时,都会按顺序触发钩子函数,并处理网络数据包中参数所指定的协议栈内容,同时对应注册的钩子函数经过处理后都将返回下列值之一,告知Netfilter框架核心代码处理结果,并对数据包采取相应的动作;且继续正常的数据包处理设定为NF_ACCEPT;丢弃的数据包设定为NF_DROP,并由对应的钩子函数处理该数据包,且不要再继续传送,接着将处理后的网络数据包放入处理队列中,再交由控管中心的用户进程来处理即可。
优选的,在步骤二中,Netfilter框架涵盖三种网络数据包处理方式,分别为网络数据包筛查模式、网络数据包IP转换模式以及网络数据包检测模式,且网络数据包筛查模式、网络数据包IP转换模式以及网络数据包检测模式都在各个插入调用点上制定IP数据包处理决策,并对各个插入调用点制定的IP数据包处理决策对应建立IP决策表,再由建立的IP决策表按照正向顺序定义相关的处理行为表格,并经过插入调用点的数据包,按照从上到下执行该IP决策表的行为。
优选的,在步骤二中,Netfilter/Iptables防火墙系统架构中的运行系统Linux包含内核网桥模块,在2.4x内核下与Netfilter/Iptables防火墙系统架构直接连接。
优选的,在步骤三中,在对网络数据包中是否含有恶意的网络数据流时,注意只对IP地址正确的数据包进行转发处理,且还需注意:①、防止不是源IP地址的数据包流入互联网中,②、需要丢弃未经检测的IP地址,③、需要检查入侵检测模块进入数据包的包头是否正常。
优选的,在步骤三中,DMZ交换机的配置为:
Switch(config)#access-list 103permit tcp any eq IP地址,(配置访问规则允许IP地址访问档案服务器的端口);
Switch(config)#access-list 103access-list 100deny ip anyany(配置访问规则禁止不正常入侵内网的所有包通过);
Switch(config)#access-list 104permit IP地址(配置规则允许管理层登录内部数据包服务器);
Switch(config)#interfaceethernet0/1;
Switch(config-if-EthernetO/1)#ip access-group 103in(将规则100作用于从接口Ethernet0/1进入的数据包);
Switch(config-if-EthernetO/1)#ip access-group 104in(将规则101作用于从接口Ethernet0/1进入的数据包)。
优选的,在步骤三中,在对网络数据包中是否含有恶意的网络数据流时,入侵检测模块从客观因素、管理混乱、主观意识和决策缺乏四个层面对网络数据流进行检测,且客观因素包含越来越多良莠不齐的网络威胁,利于“熊猫烧香”、“木马”等,管理混乱主要在于网络管理体系不完善,则入侵检测模块检测网络数据流时,需全面从网络管理体系中甄别,主观意识主要是指认知意识薄弱和网管法律淡薄,根据网管法律协议,对入侵的恶意网络数据流进行检测,决策缺乏指的是在系统网络安全决策和运维流程不全的前提下,对含有恶意的网络数据流放行,则入侵检测模块需要基于Linux的Netfilter/Iptables防火墙系统架构,再根据网络数据的流向分为流入、流经和流出三种流向的数据包进行检测。
与现有技术相比,本发明的有益效果是:
本发明中,通过步骤一、步骤二和步骤三的流程配合,先完善防火墙的配置,优化防火墙的配置选择,从根本上起到安全阻拦的作用,再根据网络数据的流向分为流入、流经和流出三种流向,实现网络数据包的五点检测效果,提高网络数据包的检测精准度和全面性,再由入侵检测模块、DMZ交换机和入侵防御模块的配合,实现恶意的网络数据流的高效阻拦防护效果,提高网络数据的访问安全性,也加强控管中心对网络数据的管控效果。
附图说明
图1为本发明的系统流程框图;
图2为本发明IP层的网络数据的插入检测流程图;
图3为本发明的网络数据防御流程图;
图4为本发明的网络安全问题源头图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
请参阅图1-图4,本发明提供一种技术方案:一种基于网络安全的防火墙管理系统,包括如下步骤:
步骤一:首先对防火墙进行配置,且防火墙上主要配置外网只能访问数据中的端口,其它的端口一律禁止,具体配置为:
Firewall(config)#firewall enable(允许防火墙);
Firewall(config)#firewall default permit(设置防火墙缺省为允许包通过);
Firewall(config)#access-list 100deny IP any any(配置访问规则禁止所有包通过);
Firewall(config)#access-list 101permit IP地址any(配置规则允档案服务器访问外部网)
Firewall(config)#access-list 102permit tcp IP地址(配置规则允许特定管理用户从外部网访问内部档案服务器)
Firewall(config)#access-list 102permit tcp any IP地址gt1024(配置规则允许管理用户从外部网取得数据(只允许端口号大于1024的包);
Firewall(config)#access-list normal 102deny ip any anyFirewall(config)#interface ethernet 0
Firewall(config-if-EthernetO)#ip access-group 100in(将规则100作用于从接口Ethernet0进入的包)
Firewall(config-if-Ethernet0)#ip access-group 101in(将规则101作用于从接口Ethernet0进入的包)
Firewall(config-if-EthernetO)#ip access-group 102in(将规则102作用于从接口EthernetO进入的包),即可完成防火墙的配置;
步骤二:搭建基于Linux的Netfilter/Iptables防火墙系统架构,再根据网络数据的流向分为流入、流经和流出三种流向,其中流入和流经的网络数据经过路由区分,流经和流出的网络数据经过投递区分,则根据网络数据的流向,在以下几个点插入处理过程:
A、NF_IP_PRE_ROUTING,在数据作路由以前执行;
B、NF_IP_LOCAL_IN,在流入本地的数据作路由以后执行;
C、NF_IP_FORWARD,在数据转向另一个NIC以前执行;
D、NF_IP_ROUTING,在数据流出以前执行;
E、NF_IP_LOCAL_OUT,在本地数据作流出路由前执行;
外网中的网络数据包进入系统进行IP校验后,网络数据经过第一个检测点NF_IP_PRE_ROUTING进行处理,然后进入路由代码,路由代码决定该数据报是需要转发还是发给本机;若该数据包是发往本机的,则该数据包经过检测点NF_IP_LOCAL_IN处理以后传递给上层协议;若该数据包应该被转发则需要被NF_IP_FORWARD处理;经过转发的数据包经过最后一个检测点NF_IP_POST_ROUTING的处理以后,再传输到网络上;本地产生的数据经过钩子函数NF_IP_LOCAL_OUT处理可以后,进行路由选择处理,然后经过NF_IP_POST_ROUTING处理以后发送到网络上,Netfilter/Iptables防火墙系统架构包含的部分为:
a、为每种网络协议定义一套钩子函数,定义后的钩子函数在网络数据包流过协议栈的几个关键点被调用,在这几个被调用的关键点中,协议栈将把网络数据包及钩子函数标号作为参数调用Netfilter框架;
b、Netfilter框架内核中的任一模块可以对每种协议的一个或多个钩子进行注册,并完成挂接,这样当某个数据包被传递给Netfilter框架时,内核能检测是否有任何模块对该协议和钩子函数进行了注册,若某个数据包注册了,则调用该模块注册时使用的回调函数,这样,这些模块就有机会检查该数据包、丢弃该数据包及指示Netfilter将该数据包传人用户空间的队列。
c、对于等待的数据包是被传递给用户空间异步进行处理,Netfilter框架中的用户进程能检查网络数据包,并修改网络数据包,也可以重新将该网络数据包通过离开内核的同一个钩子函数注入到内核中,Netfilter框架为多种协议提供了一套钩子,并对应用struct list_head nf_hooks二维数组结构对该套钩子进行存储,该套钩子的二维数组结构分别为:一维为协议族,二维为网络数据包的各个调用入口,且嵌入Netfilter框架中的检测模块都可以为多个协议族的多个调用点注册多个钩子函数,则整体构建成完整的函数指针链,且每次协议栈代码执行到NF_HOOK()函数时,都会按顺序触发钩子函数,并处理网络数据包中参数所指定的协议栈内容,同时对应注册的钩子函数经过处理后都将返回下列值之一,告知Netfilter框架核心代码处理结果,并对数据包采取相应的动作;且继续正常的数据包处理设定为NF_ACCEPT;丢弃的数据包设定为NF_DROP,并由对应的钩子函数处理该数据包,且不要再继续传送,接着将处理后的网络数据包放入处理队列中,再交由控管中心的用户进程来处理即可,Netfilter框架涵盖三种网络数据包处理方式,分别为网络数据包筛查模式、网络数据包IP转换模式以及网络数据包检测模式,且网络数据包筛查模式、网络数据包IP转换模式以及网络数据包检测模式都在各个插入调用点上制定IP数据包处理决策,并对各个插入调用点制定的IP数据包处理决策对应建立IP决策表,再由建立的IP决策表按照正向顺序定义相关的处理行为表格,并经过插入调用点的数据包,按照从上到下执行该IP决策表的行为,Netfilter/Iptables防火墙系统架构中的运行系统Linux包含内核网桥模块,在2.4x内核下与Netfilter/Iptables防火墙系统架构直接连接,采用双层防火墙设计对网络数据包中的恶意数据进行高精度甄别检测,也完善网络数据包的检测点,提高网络数据包的检测精准度和全面性;
步骤三:再将NIPS以内嵌的方式部署在需要保护的网络数据的关键位置,再由防火墙模块对网络数据包的网络数据流进行检测,由入侵检测模块判断网络数据包是否含有恶意的入侵动作,如果入侵检测模块检测到网络数据包中含有恶意的网络数据流,先由DMZ交换机对恶意的网络数据流IP地址进行检测处理,并做出相应的访问控制列表,且立即启动入侵防御模块,先对网络数据包中含有恶意的网络数据流进行阻断连接,与此同时,再将相关的恶意的网络数据流发送至由控管中心,并向控管中心发送告警/日志信息,在对网络数据包中是否含有恶意的网络数据流时,注意只对IP地址正确的数据包进行转发处理,且还需注意:①、防止不是源IP地址的数据包流入互联网中,②、需要丢弃未经检测的IP地址,③、需要检查入侵检测模块进入数据包的包头是否正常,DMZ交换机的配置为:
Switch(config)#access-list 103permit tcp any eq IP地址,(配置访问规则允许IP地址访问档案服务器的端口);
Switch(config)#access-list 103access-list 100deny ip anyany(配置访问规则禁止不正常入侵内网的所有包通过);
Switch(config)#access-list 104permit IP地址(配置规则允许管理层登录内部数据包服务器);
Switch(config)#interfaceethernet0/1;
Switch(config-if-EthernetO/1)#ip access-group 103in(将规则100作用于从接口Ethernet0/1进入的数据包);
Switch(config-if-EthernetO/1)#ip access-group 104in(将规则101作用于从接口Ethernet0/1进入的数据包),在对网络数据包中是否含有恶意的网络数据流时,入侵检测模块从客观因素、管理混乱、主观意识和决策缺乏四个层面对网络数据流进行检测,且客观因素包含越来越多良莠不齐的网络威胁,利于“熊猫烧香”、“木马”等,管理混乱主要在于网络管理体系不完善,则入侵检测模块检测网络数据流时,需全面从网络管理体系中甄别,主观意识主要是指认知意识薄弱和网管法律淡薄,根据网管法律协议,对入侵的恶意网络数据流进行检测,决策缺乏指的是在系统网络安全决策和运维流程不全的前提下,对含有恶意的网络数据流放行,则入侵检测模块需要基于Linux的Netfilter/Iptables防火墙系统架构,再根据网络数据的流向分为流入、流经和流出三种流向的数据包进行检测,从各个层面对网络数据包中良莠不齐的数据进行精准检测处理,提高防火墙对网络数据的防护安全性,利于网络环境的优化,通过步骤一、步骤二和步骤三的流程配合,先完善防火墙的配置,优化防火墙的配置选择,从根本上起到安全阻拦的作用,再根据网络数据的流向分为流入、流经和流出三种流向,实现网络数据包的五点检测效果,提高网络数据包的检测精准度和全面性,再由入侵检测模块、DMZ交换机和入侵防御模块的配合,实现恶意的网络数据流的高效阻拦防护效果,提高网络数据的访问安全性,也加强控管中心对网络数据的管控效果。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。
机译: 智能交易网络管理系统中基于交易的网络安全装置和基于交易的网络安全方法
机译: 通过一个或多个单独的专用网络安全地控制具有一个或多个基于硬件的内部防火墙或访问障碍的互联网连接计算机的方法
机译: 通过一个或多个单独的专用网络安全地控制具有一个或多个基于硬件的内部防火墙或访问障碍的互联网连接计算机的方法
