[发明专利]基于策略管理的防火墙系统和调度方法

说明书

技术领域

本发明涉及网络安全技术，尤其涉及一种防火墙技术。

背景技术

目前，在安全和防火墙领域，现有技术已经开发了一系列功能，如IP过滤、MAC过滤、DMZ(隔离区)、端口转发等，在这些功能的共同作用下，完成了整个安全防火墙体系。但是这些功能在运行时，时常会因为使用的资源相互冲突而限制功能的正常运行(如使用相同的端口，资源冲突而影响功能不能正常工作)，同时，由于功能模块间相互独立，缺乏有效的资源共享，不能很好的相互配合，无法完成复杂的防火墙工作(如IP过滤功能和MAC过滤功能相互配合，以完成防攻击功能)。

因此需要一种策略化的安全防火墙系统，一方面可以更好的使用系统资源，保证功能的正常运行，另一方面可以通过预先设定的策略以及使用中提供的算法，调度安全防火墙功能协调，智能运行。

发明内容

本发明的主要目的在于提供一种基于策略管理的防火墙系统和调度方法，用于克服由于现有技术的局限和缺陷而造成的安全防火墙系统功能相互独立，不能协调使用系统资源，从而在运行时可能相互冲突，并且功能间很难相互协作，不能通过组合的形式提供系统级防火墙功能等问题。

为了实现上述目的，根据本发明的第一方面，本发明提供了一种基于策略管理的防火墙系统。防火墙系统包括：防火墙功能集模块，包括一个或多个防火墙模块，用于根据调度运行或停止安全防火墙功能；以及策略模块，包括中央处理单元，用于根据预置的系统策略，对防火墙模块执行调度。

可选地，系统策略包括用户配置策略，策略模块包括配置接口，用于由用户进行策略设定。

可选地，系统策略包括基于资源的策略，策略模块包括资源监测接口，用于监测系统资源的使用状况。

可选地，系统策略包括基于防火墙的策略，策略模块包括防火墙检测接口，用于监测防火墙的工作状况。

可选地，系统策略包括基于优先级的策略，中央处理单元根据防火墙模块的优先级执行调度。

可选地，系统策略包括智能响应策略，中央处理单元响应于预置触发条件执行调度。

策略模块可以包括数据库接口，用于中央处理单元对存储有算法或策略的数据库进行存取。

策略模块可以包括计划任务模块，用于暂存由中央处理单元调度的防火墙任务的指令。策略模块还可以包括调度执行模块，用于被定时调用，扫描计划任务模块中的指令，执行对防火墙模块的调度。

为了实现上述目的，根据本发明的第二方面，本发明提供了一种基于策略管理的防火墙调度方法。防火墙调度方法包括以下步骤：设置一个或多个防火墙模块，用于根据调度运行或停止安全防火墙功能；以及根据预置的调度策略，对防火墙模块执行调度。

调度策略可以包括用户配置策略、基于资源的策略、基于防火墙的策略、以及基于优先级的策略中的至少一种。

优选地，调度策略包括智能响应策略，通过响应于预置触发条件来执行调度。

智能响应策略可以包括时间策略，根据预置的防火墙执行时间来判决是否执行调度。

智能响应策略可以包括接口策略，根据预置的防火墙执行所需接口条件来判决是否执行调度。

智能响应策略可以包括端口策略，根据预置的防火墙优先级来执行调度。

智能响应策略可以包括智能策略，根据预置在数据库中的智能算法来执行调度。

通过上述技术方案，本发明提出了一种基于策略调度的安全防火墙体系，在这个系统中，具体的安全防火墙功能只负责实现，而不负责调度，而策略模块是整个系统的中枢神经，调度、管理各个具体功能的正常工作，同时，策略模块调度的方式、算法能够存贮在安全防火墙算法库中。策略化的防火墙系统不再是分散的功能组合，而是系统级的智能防火墙。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是根据本发明的基于策略管理的防火墙系统的框图；

图2是根据本发明的基于策略管理的防火墙调度方法的流程图；

图3是根据本发明实施例的安全防火墙的组成部分结构图；

图4是根据本发明实施例的策略模块的模块结构图；

图5是根据本发明实施例的安全防火墙的策略化管理流程图；以及

图6是根据本发明实施例的安全防火墙的智能化防攻击流程图。

具体实施方式

下面将参考附图详细说明本发明。