[发明专利]一种基于重叠网的分布式防火墙安全策略配置方法和系统

权利要求书

1.一种基于重叠网的分布式防火墙安全策略配置方法，所述方法包含如下步骤：

步骤101）部署于某一域内的智能节点采集其对应域内的反映网络所承载的业务流信息的第一参考信息，并依据所述第一参考信息生成安全策略；

步骤102）上一步骤所述的智能节点将其生成的安全策略同时分配给其对应域内的防火墙和位于其它域内的智能节点；

步骤103）上一步骤中所述位于其它域内的智能节点将其收到的来自其余节点的安全策略作为第二参考信息动态调整其对应的安全策略，并将生成的安全策略分配给域内防火墙，从而完成域间的安全策略配置。

2.根据权利要求1所述的基于重叠网的分布式防火墙安全策略配置方法，其特征在于，步骤101）所述的智能节点依据第一参考信息和防火墙性能状态信息生成安全策略。

3.根据权利要求2所述的基于重叠网的分布式防火墙安全策略配置方法，其特征在于，步骤103）所述位于其它域内的智能节点依据第二参考信息和采集的第一参考信息生成安全策略。

4.根据权利要求1所述的基于重叠网的分布式防火墙安全策略配置方法，其特征在于，所述智能节点之间采用XML语言进行的策略传输。

5.根据权利要求1、2或3所述的基于重叠网的分布式防火墙安全策略配置方法，其特征在于，所述第一参考信息包含：节点的IP地址、网络掩码、网络服务、运行的应用程序、服务漏洞、最大报文速率、报文大小、端口号和网络协议；

所述防火墙性能状态信息包含：防火墙的CPU利用率、防火墙的内存利用率、接口带宽利用率、接口的丢包率、接口的传输速率和接口队列长度。

6.一种基于重叠网的分布式防火墙安全策略配置系统，其特征在于，所述安全策略配置系统包含：部署于各域内的防火墙和部署于各域内的智能节点；

所述智能节点，用于采集智能节点所在域内的网络相关信息，并依据采集的相关信息生成安全策略；

其中，所述智能节点之间相互通信，通过逻辑连接形成重叠网络，并利用重叠网络进行安全策略信息的交互，实现了逻辑域之间的联动，完成了分布式防火墙对全网的安全防护工作。

7.根据权利要求6所述的基于重叠网的分布式防火墙安全策略配置系统，其特征在于，所述智能节点进一步包含：

采集模块，用于负责对网络相关信息进行采集，其中相关信息包含反映网络所承载的业务流信息和/或防火墙性能状态信息；

信息智能处理模块，用于对采集的业务流信息和防火墙性能状态信息进行智能处理，分析出当前网络中用户业务流的需求、网络中设备的运行状态或网络中是否存在异常状况，并将处理结果发送给策略生成与翻译模块；

策略生成与翻译模块，用于根据信息智能处理模块的分析结果，生成相应的安全策略，并将策略翻译成为防火墙可执行的命令；

安全策略分发模块，用于对策略生成与翻译模块生成的策略下发到所控防火墙，实现防火墙的策略配置；

策略决策点联动模块，用于将策略生成与翻译模块生成的安全策略在重叠网上包含的各智能节点之间进行传输或接受其余智能节点传输过来的安全策略，进而完成逻辑域之间的联动，实现对全网的安全策略分发；和

联动策略生成模块，用于在收到其他智能节点发来的安全策略后，对收到的安全策略进行判断，根据判断结果生成相应的安全策略。

8.根据权利要求6所述的基于重叠网的分布式防火墙安全策略配置系统，其特征在于，所述策略生成与翻译模块进一步包含：策略生成子模块，用于根据信息智能处理模块的分析得到的网络状态，生成相应的安全策略；和

翻译子模块，用于将生成相应的安全策略翻译成为防火墙可以执行的指令，或者描述成为智能节点可以识别的策略形式。

9.根据权利要求6所述的基于重叠网的分布式防火墙安全策略配置系统，其特征在于，所述联动策略生成模块，承载的业务流信息，包括：节点的IP地址、网络掩码、网络服务、运行的应用程序、服务漏洞、最大报文速率、报文大小、端口号和网络协议；

所述防火墙性能状态信息，包括：防火墙的CPU利用率、防火墙的内存利用率、接口带宽利用率、接口的丢包率、接口的传输速率和接口队列长度。

10.根据权利要求6所述的基于重叠网的分布式防火墙安全策略配置系统，其特征在于，所述联动策略生成模块进一步包含：

接收子模块，用于接收到来自于策略决策点联动模块收集的其他智能节点的安全策略；和

联动子模块，用于在收到安全策略后，根据网络状态，对策略进行判断，按照判断结果，进行策略的生成，达到逻辑域间的联动，从而实现对全网的策略配置。