[发明专利]基于防御策略的Linux分布式网络防火墙系统

权利要求书

1.一种基于防御策略的Linux分布式网络防火墙系统，其特征在于：该系统分为服务器端子系统和客户端子系统两个部分；

所述的服务器端子系统中包括有网络拓扑处理模块、策略整合模块、策略推理引擎模块、防御措施处理模块和服务器端通信模块；

所述的客户端子系统中包括有包过滤防火墙、规则部署模块、客户器端通信模块、以及建立日志模块、配置文件模块；

网络拓扑处理模块第一方面绘制网络拓扑结构；第二方面配置节点信息；第三方面整合拓扑文件；

将网络拓扑结构和节点拓扑信息采用逻辑编程语言PROLOG格式进行保存，得到PROLOG拓扑文件；

在整合拓扑文件阶段中，将NECS拓扑文件和PROLOG拓扑文件以可扩展标记语言XML的格式进行整合，得到整合后文件file-1；

策略整合模块依据用户在服务器端子系统中的策略信息进行整合，并保存为策略文件file-2；

策略推理引擎模块将整合后文件file-1与攻击知识库中的信息进行合并得到一个推理数据库；然后读取策略文件file-2针对开启保护的服务的节点生成攻击操作并联合推理数据库中的信息进行一阶谓词推理生成简单的攻击路径，并进行解释，生成防御措施文件file-3；

防御措施处理模块调用防御措施解释器对防御措施文件file-3进行解释，获得防御规则，并将防御规则按照网络节点的IP地址作为文件名分类存储，存储的文件称为防御规则文件file-4；

所述防御措施解释器是指对防御措施的读取和筛选生成对应每个网络节点使用的单机防火墙Netfilter/IPtables的规则；

服务器端通信模块通过SSL加密协议与客户端子系统通信模块进行信息传输；

客户端通信模块通过SSL加密协议与服务器端子系统通信模块进行信息传输；

规则部署模块将从客户端通信模块下载的防御规则文件file-4部署到包过滤防火墙中，具体的规则部署包括有下列步骤：

步骤7-1：客户端打开防御规则文件file-4，该防御规则文件file-4位于/home/firewall路径下；

步骤7-2：规则部署模块将从第二行开始读取防御规则文件file-4中的IPtables防御规则；与此同时，规则部署模块调用bash shell，用来将每一条规则通过IPtables配置语句配置到包过滤防火墙中；

利用了Netfilter的包过滤防火墙功能，通过部署防御规则到Netfilter中，实现对相应的入侵包进行拦截，达到保护服务不被入侵的目的；

建立日志模块负责记录防御规则文件file-4更新的时间，以及在客户端子系统运行中出现的错误信息；

配置文件模块负责对客户端子系统的运行参数进行配置，保证客户端子系统正确自动运行；每一次客户端子系统的启动后调用配置文件模块读取配置文件client.conf来对客户端子系统进行配置；该配置文件client.conf位于/home/firewall/路径下。

2.根据权利要求1所述的基于防御策略的Linux分布式网络防火墙系统，其特征在于：在绘制网络拓扑结构阶段中，服务器端子系统能够构建有星型结构、环型结构、总线结构、分布式结构、树型结构、网状结构或者蜂窝状结构的网络结构。

3.根据权利要求1所述的基于防御策略的Linux分布式网络防火墙系统，其特征在于：在配置节点信息阶段中，服务器端子系统能够对绘制的网络拓扑结构中的每一个节点的信息按照其相应的节点属性、运行时状态及其在局域网中的角色进行配置，使每一个节点具有拓扑信息。

4.根据权利要求1所述的基于防御策略的Linux分布式网络防火墙系统，其特征在于：包过滤防火墙采用了Linux的第三代防火墙Netfilter，在Linux中，Netfilter以模块的形式存在，实现了Linux的防火墙功能，对使用Linux系统的操作者浏览网络提供保护，实现网络数据包的分析和拦截。