一种智能防火墙系统及防护方法与流程

本发明属于网络安全领域，具体涉及一种智能防火墙系统及防护方法。

背景技术：

随着计算机网络的发展和普及，网络上各种黑客、蠕虫等非法网络攻击日益猖獗，为了保护计算机网络和系统，防火墙应运而生。防火墙又称firewall，是一项协助确保信息安全的设备，该设备会依照特定的规则，允许或限制传输的数据通过。

从防火墙结构上分，防火墙主要有：单一主机防火墙、路由器集成式防火墙和分布式防火墙三种:单一主机防火墙是最为传统的防火墙，独立于其它网络设备，它位于网络边界。这种防火墙其实与一台计算机结构差不多（如下图），同样包括cpu、内存、硬盘等基本组件，当然主板更是不能少了，且主板上也有南、北桥芯片。它与一般计算机最主要的区别就是一般防火墙都集成了两个以上的以太网卡，因为它需要连接一个以上的内、外部网络。其中的硬盘就是用来存储防火墙所用的基本程序，如包过滤程序和代理服务器程序等，有的防火墙还把日志记录也记录在此硬盘上。虽然如此，但我们不能说它就与我们平常的pc机一样，因为它的工作性质，决定了它要具备非常高的稳定性、实用性，具备非常高的系统吞吐性能。正因如此，看似与pc机差不多的配置，价格甚远。随着防火墙技术的发展及应用需求的提高，原来作为单一主机的防火墙现在已发生了许多变化。最明显的变化就是现在许多中、高档的路由器中已集成了防火墙功能，还有的防火墙已不再是一个独立的硬件实体，而是由多个软、硬件组成的系统，这种防火墙，俗称“分布式防火墙”。原来单一主机的防火墙由于价格非常昂贵，仅有少数大型企业才能承受得起，为了降低企业网络投资，现在许多中、高档路由器中集成了防火墙功能。如ciscoios防火墙系列。但这种防火墙通常是较低级的包过滤型。这样企业就不用再同时购买路由器和防火墙，大大降低了网络设备购买成本。分布式防火墙再也不是只是位于网络边界，而是渗透于网络的每一台主机，对整个内部网络的主机实施保护。在网络服务器中，通常会安装一个用于防火墙系统管理软件，在服务器及各主机上安装有集成网卡功能的pci防火墙卡，这样一块防火墙卡同时兼有网卡和防火墙的双重功能。这样一个防火墙系统就可以彻底保护内部网络。各主机把任何其它主机发送的通信连接都视为“不可信”的，都需要严格过滤。而不是传统边界防火墙那样，仅对外部网络发出的通信请求“不信任”。

如果按防火墙的应用部署位置分，可以分为边界防火墙、个人防火墙和混合防火墙三大类:边界防火墙是最为传统的那种，它们于内、外部网络的边界，所起的作用的对内、外部网络实施隔离，保护边界内部网络。这类防火墙一般都是硬件类型的，价格较贵，性能较好。个人防火墙安装于单台主机中，防护的也只是单台主机。这类防火墙应用于广大的个人用户，通常为软件防火墙，价格最便宜，性能也最差。混合式防火墙可以说就是“分布式防火墙”或者“嵌入式防火墙”，它是一整套防火墙系统，由若干个软、硬件组件组成，分布于内、外部网络边界和内部各主机之间，既对内、外部网络之间通信进行过滤，又对网络内部各主机间的通信进行过滤。它属于最新的防火墙技术之一，性能最好，价格也最贵。

虽然防火墙具有一定的网络攻击保护作用，但传统的防火墙针对网络攻击的策略较为僵化，随着时间的推移，难以适应不断动态变化的网络攻击态势，因此有必要对传统防火墙进行技术改造，使之适应新的网络安全需求。正常况下，所有互联网的分组软件都应经过防火墙的过滤，这将造成网络交通的瓶颈，例如在攻击性分组出现时，攻击者会不时寄出分组，让防火墙疲于过滤分组，而使一些合法分组软件，亦无法正常进出防火墙。防火墙虽然可以过滤互联网的分组，但却无法过滤内部网络的分组，因此若有人从内部网络攻击时，防火墙是毫无用武之地的。而电脑本身操作系统，亦可能一些系统漏洞，使入侵者可以利用这些系统漏洞来绕过防火墙的过滤，进而入侵电脑。

此为现有技术的不足，因此，针对现有技术中的上述缺陷，提供一种智能防火墙系统及防护方法，是非常有必要的。

技术实现要素：

本发明的目的在于，针对上述传统的防火墙难以适应不断动态变化的网络攻击态势的缺陷，提供一种智能防火墙系统及防护方法，以解决上述技术问题。

为实现上述目的，本发明给出以下技术方案：

一种智能防火墙系统，包括防火墙控制模块，防火墙控制模块连接有防火墙模块、缓存分析模块以及交互式接口模块，防火墙模块连接有网络设备，防火墙模块还与缓存分析模块连接，交互式接口模块还与网络设备连接；

所述防火墙控制模块用于从交互式接口模块接收和过滤用户通过网络设备设置的防火墙策略信息，将过滤后的防火墙策略信息发送给防火墙模块；防火墙控制模块接收用户设置的防火墙策略信息，将防火墙策略信息与预设的实施性标准进行比较，当防火墙策略信息符合所述实施性标准时，防火墙控制模块将防火墙策略信息发送给防火墙模块；

所述防火墙模块用于根据过滤后的防火墙策略信息执行以虚拟ip地址为目标地址或者源地址的数据流量的允许或拦截操作；

所述缓存分析统计模块用于对通过防火墙模块进入的以虚拟ip地址为目标地址或源地址的数据流量进行统计、监听和分析，确定网络设备的攻击ip地址或被攻击ip地址，并把攻击ip地址或被攻击ip地址发送给防火墙控制模块；

防火墙控制模块还用于根据缓存分析模块记录的攻击ip地址或被攻击ip地址生成新的防火墙策略信息，并将所述新的防火墙策略信息下发给防火墙模块执行。

进一步地，缓存分析模块包括虚拟ip生成单元，虚拟ip生成单元连接有访问流量监听单元，访问流量监听单元连接有分析单元，分析单元连接有地址记录单元，虚拟ip生成单元还与网络设备连接，访问流量监听单元还与防火墙模块连接，地址记录单元还与防火墙控制模块连接；

虚拟ip生成单元用于生成虚拟ip地址，所述虚拟ip地址对应网络设备中真实存在的主机；虚拟ip生成单元选择防火墙模块保护的网段中的空余ip地址生成虚拟ip地址；

访问流量监听单元用于对以虚拟ip地址为目标地址或源地址的数据流量进行监听；

分析单元用于根据以虚拟ip地址为目标地址或源地址的数据流量来记录虚拟ip地址的访问或被访问频率，并结合多个虚拟ip地址进行统计，最终确定网络设备的攻击ip地址或被攻击ip地址；所述分析单元根据虚拟ip地址的访问或被访问频率确定虚拟ip地址的风险指数，将风险指数超过阈值的虚拟ip地址确定为攻击ip地址或被攻击ip地址；

地址记录单元用于记录攻击ip地址或被攻击ip地址，并将攻击ip地址或被攻击ip地址发送给防火墙控制模块。

进一步地，所述网络设备包括内部网络设备和外部网络设备，内部网络设备和外部网络设备分别与防火墙模块连接。

进一步地，内部网络设备的数量至少为1个，且内部网络设备和外部网络设备的数量和至少为2个；即系统中一个通信端必须为内部网络设备，另一通信端可以为内部网络设备，也可以为外部网络设备，防火墙模块对内部网络设备之间的通信进行监控，防火墙模块也对内部网络设备与外部网络设备之间的通信进行监控。

进一步地，防火墙模块通过钩子hook函数抓取网络流量，并对网络流量进行检测过滤。

进一步地，防火墙控制模块、防火墙模块以及缓存分析模块均基于linux内核实现并运行在linux内核下。

本发明还提供如下技术方案：

一种智能防火墙防护方法，包括如下步骤：

步骤1.防火墙控制模块从交互式接口模块接收和过滤用户通过网络设备设置的防火墙策略信息，将过滤后的防火墙策略信息发送给防火墙模块；防火墙控制模块接收用户设置的防火墙策略信息，将防火墙策略信息与预设的实施性标准进行比较，当防火墙策略信息符合所述实施性标准时，防火墙控制模块将防火墙策略信息发送给防火墙模块；

步骤2.防火墙模块根据过滤后的防火墙策略信息执行以虚拟ip地址为目标地址或者源地址的数据流量的允许或拦截操作；

步骤3.缓存分析统计模块对通过防火墙模块进入的以虚拟ip地址为目标地址或源地址的数据流量进行统计、监听和分析，确定网络设备的攻击ip地址或被攻击ip地址，并把攻击ip地址或被攻击ip地址发送给防火墙控制模块；

步骤4.防火墙控制模块根据缓存分析模块记录的攻击ip地址或被攻击ip地址生成新的防火墙策略信息，并将所述新的防火墙策略信息下发给防火墙模块执行。

进一步地，步骤3中缓存分析模块对通过防火墙模块进入的信息进行统计、监听和分析，以确定攻击ip地址给防火墙控制模块的具体步骤如下：

步骤3.1虚拟ip生成单元生成虚拟ip地址，所述虚拟ip地址对应网络设备中真实存在的主机；虚拟ip生成单元选择防火墙模块保护的网段中的空余ip地址生成虚拟ip地址；虚拟ip地址对应的网络设备包括内部网络设备和外部网络设备；内部网络设备对应的虚拟ip地址的数量至少为1个，且内部网络设备和外部网络设备对应的虚拟ip地址的数量和至少为两个；

访问流量监听单元对以虚拟ip地址为目标地址或源地址的数据流量进行监听；

分析单元根据以虚拟ip地址为目标地址或源地址的数据流量来记录虚拟ip地址的访问或被访问频率，并结合多个虚拟ip地址进行统计，最终确定网络设备的攻击ip地址或被攻击ip地址；所述分析单元根据虚拟ip地址的访问或被访问频率确定虚拟ip地址的风险指数，将风险指数超过阈值的虚拟ip地址确定为攻击ip地址或被攻击ip地址；

地址记录单元记录攻击ip地址或被攻击ip地址，并将攻击ip地址或被攻击ip地址发送给防火墙控制模块。

进一步地，虚拟ip地址对应的网络设备包括内部网络设备和外部网络设备；内部网络设备对应的虚拟ip地址的数量至少为1个，且内部网络设备和外部网络设备对应的虚拟ip地址的数量和至少为两个。

本发明的有益效果在于：

本发明先用防火墙控制模块进行检测过滤,规避数据传输中的性能瓶颈,具有配置策略丰富、灵活的特点；同时对访问的信息跟踪分析识别出网络攻击ip,并根据识别结果动态调整防火墙，提高了灵活性和安全性。

此外，本发明设计原理可靠，结构简单，具有非常广泛的应用前景。

由此可见，本发明与现有技术相比，具有突出的实质性特点和显著的进步，其实施的有益效果也是显而易见的。

附图说明

图1为本发明的系统连接示意图；

图2为本发明缓存分析模块内部连接示意图；

图3为本发明的方法流程图；

图4为实施例的系统连接示意图；

其中，1-防火墙控制模块；2-防火墙模块；3-缓存分析模块；3.1-虚拟ip生成单元；3.2-访问流量监听单元；3.3-分析单元；3.4-地址记录单元；4-交互式接口模块；5-网络设备；5.1-外部网络设备；5.1.1-1号主机；5.1.2-2号主机；5.2-内部网络设备；5.2.1-3号主机。

具体实施方式：

为使得本发明的目的、特征、优点能够更加的明显和易懂，下面将结合本发明具体实施例中的附图，对本发明中的技术方案进行清楚、完整地描述。

如图1所示，本发明提供一种智能防火墙系统，包括防火墙控制模块1，防火墙控制模块1连接有防火墙模块2、缓存分析模块3以及交互式接口模块4，防火墙模块2连接有网络设备5，防火墙模块2还与缓存分析模块3连接，交互式接口模块4还与网络设备5连接；所述网络设备5包括内部网络设备5.1和外部网络设备5.2，内部网络设备5.1和外部网络设备5.2分别与防火墙模块2连接；内部网络设备的数量至少为1个，且内部网络设备5.1和外部网络设备5.2的数量和至少为2个；即系统中一个通信端必须为内部网络设备，另一通信端可以为内部网络设备，也可以为外部网络设备，防火墙模块对内部网络设备之间的通信进行监控，防火墙模块也对内部网络设备与外部网络设备之间的通信进行监控；防火墙控制模块1、防火墙模块2以及缓存分析模块3均基于linux内核实现并运行在linux内核下；

所述防火墙控制模块1用于从交互式接口模块4接收和过滤用户通过网络设备5设置的防火墙策略信息，将过滤后的防火墙策略信息发送给防火墙模块2；防火墙控制模块1接收用户设置的防火墙策略信息，将防火墙策略信息与预设的实施性标准进行比较，当防火墙策略信息符合所述实施性标准时，防火墙控制模块1将防火墙策略信息发送给防火墙模块2；

所述防火墙模块2用于根据过滤后的防火墙策略信息执行以虚拟ip地址为目标地址或者源地址的数据流量的允许或拦截操作；防火墙模块2通过hook函数抓取网络流量，并对网络流量进行检测过滤；

所述缓存分析统计模块3用于对通过防火墙模块2进入的以虚拟ip地址为目标地址或源地址的数据流量进行统计、监听和分析，确定网络设备5的攻击ip地址或被攻击ip地址，并把攻击ip地址或被攻击ip地址发送给防火墙控制模块1；

防火墙控制模块1还用于根据缓存分析模块3记录的攻击ip地址或被攻击ip地址生成新的防火墙策略信息，并将所述新的防火墙策略信息下发给防火墙模块2执行；

如图2所示，缓存分析模块3包括虚拟ip生成单元3.1，虚拟ip生成单元3.1连接有访问流量监听单元3.2，访问流量监听单元3.2连接有分析单元3.3，分析单元3.3连接有地址记录单元3.4，虚拟ip生成单元3.1还与网络设备5连接，访问流量监听单元3.2还与防火墙模块2连接，地址记录单元3.4还与防火墙控制模块1连接；

虚拟ip生成单元3.1用于生成虚拟ip地址，所述虚拟ip地址对应网络设备5中真实存在的主机；虚拟ip生成单元选择防火墙模块保护的网段中的空余ip地址生成虚拟ip地址；

访问流量监听单元3.2用于对以虚拟ip地址为目标地址或源地址的数据流量进行监听；

分析单元3.3用于根据以虚拟ip地址为目标地址或源地址的数据流量来记录虚拟ip地址的访问或被访问频率，根据访问或被访问频率确定虚拟ip地址的风险指数，并结合多个虚拟ip地址进行统计，将风险指数超过阈值的虚拟ip地址最终确定为网络设备5的攻击ip地址或被攻击ip地址；

地址记录单元3.4用于记录攻击ip地址或被攻击ip地址，并将攻击ip地址或被攻击ip地址发送给防火墙控制模块1。

如图3所示，本发明还提供一种智能防火墙防护方法，包括如下步骤：

步骤1.防火墙控制模块从交互式接口模块接收和过滤用户通过网络设备设置的防火墙策略信息，将过滤后的防火墙策略信息发送给防火墙模块；防火墙控制模块接收用户设置的防火墙策略信息，将防火墙策略信息与预设的实施性标准进行比较，当防火墙策略信息符合所述实施性标准时，防火墙控制模块将防火墙策略信息发送给防火墙模块；

步骤2.防火墙模块根据过滤后的防火墙策略信息执行以虚拟ip地址为目标地址或者源地址的数据流量的允许或拦截操作；

步骤3.缓存分析统计模块对通过防火墙模块进入的以虚拟ip地址为目标地址或源地址的数据流量进行统计、监听和分析，确定网络设备的攻击ip地址或被攻击ip地址，并把攻击ip地址或被攻击ip地址发送给防火墙控制模块；

具体步骤如下：

步骤3.1虚拟ip生成单元生成虚拟ip地址，所述虚拟ip地址对应网络设备中真实存在的主机；虚拟ip生成单元选择防火墙模块保护的网段中的空余ip地址生成虚拟ip地址；

访问流量监听单元对以虚拟ip地址为目标地址或源地址的数据流量进行监听；

分析单元根据以虚拟ip地址为目标地址或源地址的数据流量来记录虚拟ip地址的访问或被访问频率，根据访问或被访问频率确定虚拟ip地址的风险指数，并结合多个虚拟ip地址进行统计，将风险指数超过阈值的虚拟ip地址最终确定为网络设备的攻击ip地址或被攻击ip地址；

地址记录单元记录攻击ip地址或被攻击ip地址，并将攻击ip地址或被攻击ip地址发送给防火墙控制模块；

步骤4.防火墙控制模块根据缓存分析模块记录的攻击ip地址或被攻击ip地址生成新的防火墙策略信息，并将所述新的防火墙策略信息下发给防火墙模块执行。

如图4所示的实施例中，一种智能防火墙系统，包括防火墙控制模块1，防火墙控制模块1连接有防火墙模块2、缓存分析模块3以及交互式接口模块4，防火墙模块2连接有网络设备5，防火墙模块2还与缓存分析模块3连接，交互式接口模块4还与网络设备5连接；网络设备5包括内部网络设备5.1和外部网络设备5.2，内部网络设备5.1和外部网络设备5.2分别与防火墙模块2连接；内部网络设备5.1包括1号主机5.1.1和2号主机5.1.2，外部网络设备5.2包括3号主机5.2.1；防火墙模块2对内部网络设备1号主机5.1.1和2号主机5.1.2之间的通信进行监控，防火墙模块也对内部网络设备1号主机5.1.1或者2号主机5.1.2与外部网络设备3号主机5.2.1之间的通信进行监控；

缓存分析模块3包括虚拟ip生成单元3.1，虚拟ip生成单元3.1连接有访问流量监听单元3.2，访问流量监听单元3.2连接有分析单元3.3，分析单元3.3连接有地址记录单元3.4，虚拟ip生成单元3.1还与网络设备5中1号主机5.1.1、2号主机5.1.2和3号主机5.2.1连接，访问流量监听单元3.2还与防火墙模块2连接，地址记录单元3.4还与防火墙控制模块1连接。

基于上述实施例的一种智能防火墙防护方法，防火墙控制模块1从交互式接口模块4接收和过滤用户通过网络设备5设置的防火墙策略信息，将过滤后的防火墙策略信息发送给防火墙模块2；防火墙控制模块1接收用户设置的防火墙策略信息，将防火墙策略信息与预设的实施性标准进行比较，当防火墙策略信息符合所述实施性标准时，防火墙控制模块1将防火墙策略信息发送给防火墙模块2；当防火墙策略信息不符合实施性标准时，将防火墙策略信息丢弃；

所述防火墙模块2根据过滤后的防火墙策略信息执行以1号主机5.1.1对应的虚拟ip地址为目标地址或者源地址的数据流量的允许或拦截操作；执行以2号主机5.1.2对应的虚拟ip地址为目标地址或者源地址的数据流量的允许或拦截操作；执行以3号主机5.2.1对应的虚拟ip地址为目标地址或者源地址的数据流量的允许或拦截操作；

所述缓存分析统计模块3对通过防火墙模块2进入的以1号主机5.1.1、2号主机5.1.2或3号主机5.2.1对应的虚拟ip地址为目标地址或源地址的数据流量进行统计、监听和分析，确定攻击ip地址或被攻击ip地址，并把攻击ip地址或被攻击ip地址发送给防火墙控制模块1；

虚拟ip生成单元3.1选择防火墙模块保护的网段中的空余ip地址生成虚拟ip地址；虚拟ip生成单元3.1选择虚拟ip地址192.168.1.21对应1号主机5.1.1，选择虚拟ip地址192.168.1.22对应2号主机5.1.2，选择虚拟ip地址192.168.1.23对应3号主机5.2.1；

访问流量监听单元3.2对以虚拟ip地址192.168.1.21、192.168.1.22和192.168.1.23为目标地址或源地址的数据流量进行监听；

分析单元3.3根据以虚拟ip地址192.168.1.21、192.168.1.22和192.168.1.23为目标地址或源地址的数据流量来记录虚拟ip地址192.168.1.21、192.168.1.22以及192.168.1.23的访问或被访问频率；

如以虚拟ip地址192.168.1.21为目标地址的数据流量过大，即虚拟ip地址192.168.1.21被访问频率对应风险指数过高，超过风险指数阈值，则判定，虚拟ip地址192.168.1.21受到攻击，虚拟ip地址192.168.1.21为被攻击的ip地址；

地址记录单元3.4记录被攻击的ip地址192.168.1.21，并发送给防火墙控制模块1，防火墙控制模块1根据缓存分析模块3记录的被攻击ip地址192.168.1.21生成新的防火墙策略信息对192.168.1.21的被访问数据进行拦截，并将该新的防火墙策略信息下发给防火墙模块2，防火墙模块2对以虚拟ip地址192.168.1.21为目标地址的数据流量进行拦截，防止虚拟ip地址192.168.1.21遭受攻击瘫痪；

又如以虚拟ip地址192.168.1.23为源地址，以虚拟ip地址192.168.1.22为目标地址的数据流量过大，即虚拟ip地址192.168.1.23对虚拟ip地址192.168.1.22访问频率对应风险指数过高，超过风险指数阈值，则判定，虚拟ip地址192.168.1.23对虚拟ip地址192.168.1.22进行攻击，虚拟ip地址192.168.1.23为攻击ip地址；

地址记录单元3.4记录攻击ip地址192.168.1.23，并发送给防火墙控制模块1，防火墙控制模块1根据缓存分析模块3记录的攻击ip地址192.168.1.23生成新的防火墙策略信息对192.168.1.23的访问数据进行拦截，并将该新的防火墙策略信息下发给防火墙模块2，防火墙模块2对以虚拟ip地址192.168.1.23为源地址的数据流量进行拦截，防止虚拟ip地址192.168.1.23对虚拟ip地址192.168.1.22进行攻击。

本发明的实施例是说明性的，而非限定性的，上述实施例只是帮助理解本发明，因此本发明不限于具体实施方式中所述的实施例，凡是由本领域技术人员根据本发明的技术方案得出的其他的具体实施方式，同样属于本发明保护的范围。