[发明专利]结合底线策略实现虚拟防火墙安全策略的系统和方法

说明书

技术领域

 本发明涉及一种虚拟防火墙解决方案，特别涉及虚拟防火墙的安全策略管理技术，属于计算机网络安全边界防护技术领域。

背景技术

随着计算机技术的快速发展，服务器的强大处理能力为虚拟化技术提供了支持。虚拟化解决方案能够提高设备的利用率，降低对电力和空间的要求，甚至通过冗余配置提高设备的可靠性。

随着虚拟化技术的日趋广泛应用，设备的密集程度越来越高，不同安全级别、不同安全域的服务器之间必须做适当的隔离，并部署安全访问控制策略。传统的解决方案是将不同安全域的服务器划分成组，然后在服务器组之间部署防火墙来实施安全策略控制，这种方案涉及到数量较大的防火墙部署、安装、维护工作，对网络管理工作提出了挑战。另外，对于结构比较复杂的网络环境，或者下属单位比较多需要分别维护安全策略的情况下，也会面临类似的管理困境。

同服务器虚拟化类似，虚拟防火墙技术可以在一定程度上应对上述挑战。虚拟防火墙技术通过将一台物理防火墙（简称主防火墙）模拟成多台虚拟子防火墙（简称子防火墙），每台子防火墙相互独立，可以交由不同的管理员分别管理，从而大大降低投入，同时也可以降低对电力和空间的要求。

对目前的虚拟防火墙解决方案来说，虽然都是从同一台硬件防火墙虚拟出来，各子防火墙一般来说都是相对独立的。另一方面，既然都源于同一台物理防火墙，子防火墙在安全管理方面一般又会存在一定的共性。比如出现了某种病毒，或者服务器发现了未被修补的安全漏洞，需要对全局安全策略进行修改，从而消除或减轻病毒以及漏洞带来的影响。

要实现对全局安全策略的维护，主防火墙管理员要么协调所有子防火墙管理员进行维护，要么直接以各个子防火墙的管理员身份登录到子防火墙中进行维护。对子防火墙进行安全策略的维护时，还要根据子防火墙当前的安全策略进行适当的调整。如图3所示，一台物理防火墙在虚拟出N台子防火墙之后，维护管理工作也相应的增加了N倍。

在多管理员同时维护的情况下，子防火墙的管理员也完全可以对全局策略进行修改，从而出现违背全局安全策略的情况，进而带来安全隐患。

发明内容

针对上述防火墙安全策略的缺陷，本发明提供了一种结合底线策略实现虚拟防火墙安全策略的系统。

本发明实现过程如下：

该系统包括以下模块：

底线策略数据库，用于存储底线策略的内容；

子防火墙本地安全策略数据库，用于存储子防火墙本地安全策略的内容；

安全策略引擎，用于将用户请求与安全策略进行匹配并执行允许或拒绝操作，所述安全策略包括请求的所属子防火墙底线策略及本地安全策略；

底线策略维护模块，用于为主防火墙管理员服务，提供底线策略的维护功能； 

子防火墙本地安全策略维护模块，用于为子防火墙管理员服务，提供本地安全策略的维护功能，同时支持查看应用到所属子防火墙的底线策略的功能。

其中，所述底线策略是一种全局安全策略，该策略独立于子防火墙的本地安全策略，同子防火墙本地的安全策略一起作用于用户请求之上。底线策略的修改不需要子防火墙管理员的参与，无需考虑子防火墙的当前配置，也无需对子防火墙的配置进行修改，修改后的底线策略会自动生效。

所述底线策略相对于子防火墙的本地安全策略具有更高的优先级，当二者发生冲突时，以该底线策略为准。所述底线策略的规划设计、创建和维护由主防火墙管理员来执行，为了便于子防火墙的管理，让子防火墙管理员在设置本地安全策略时能够意识到该底线策略的存在，允许子防火墙管理查看该底线策略，但不允许对其进行修改。

为了便于维护，所述底线策略在形式上可以和普通的安全策略相同，主防火墙管理员设置好一组安全策略之后，可以将该策略组指定给子防火墙作为底线策略。主防火墙管理员可以选择将一组策略指定给所有的子防火墙作为底线策略以便于统一管理，也可以选择给每个子防火墙分别指定不同的底线策略组以提高安全策略管理的灵活性。

本发明还提供了一种结合底线策略实现虚拟防火墙安全策略的方法，该方法包括以下步骤：（1）主防火墙管理员配置主防火墙；

（2）主防火墙管理员添加子防火墙配置，为其分配子接口资源，添加子防火墙管理员；

（3）主防火墙管理员设计整个防火墙系统的底线安全策略，并配置底线策略组；

（4）子防火墙管理员与底线安全策略进行匹配并给子防火墙分配底线策略；

（5）主防火墙管理员通知子防火墙管理员管理所属子防火墙信息；

（6）子防火墙管理员对所属子防火墙进行配置；