[发明专利]一种基于重叠网的分布式防火墙安全策略配置方法和系统

说明书

技术领域

本发明涉及网络安全技术领域，更确切地说具体涉及一种基于重叠网的分布式防火墙安全策略配置方法和系统。

背景技术

防火墙（Firewall）是一个由软件和硬件设备组合而成的设备，可以在内部网络和外部网络之间、专用网络和公共网络之间构造保护屏障。防火墙设备可以按照设定的规则，允许或者是限制传输数据的通过。防火墙仍然是保证网络安全不可或缺的手段。在网络规模不大的情况下，传统边界防火墙是非常有效的。但是，随着网络规模的爆炸式增长，传统防火墙技术的缺陷开始显露。网络单点瓶颈、新业务支持能力受限和安全管理模式单一等问题使传统边界防火墙越来越受到人们的诟病。因此，单纯依靠传统防火墙往往难以完成对现有网络进行有效的隔离和保护的任务。

为了解决以上面临的问题，人们提出了分布式防火墙的概念，用来满足网络发展的需求。分布式防火墙是指，物理上存在多个防火墙实体在联合工作，但从逻辑上看，多个防火墙组成了一个逻辑防火墙。从网络管理者角度来分析，管理者不需要了解防火墙的分布细节，只需要清楚了解防火墙需要保护的资源，以及其使用权限即可。分布式防火墙的基本思想是：安全策略的制定由策略中心服务器集中定义，安全策略的执行由相关节点独立实施；安全日志由主机节点分散产生，安全日志的保存则集中到中心策略服务器上。其中，在每一个被防火墙分割的网络中，所有的计算机之间是被认为“可信任的”，它们之间的通信可以不受防火墙的干涉。而在各个被防火墙分割的网络之间，必须按照防火墙规定的“安全策略”进行互相的访问。因此必须通过对防火墙的安全策略进行排至，实现防火墙对网络的保护。

防火墙安全策略配置指的是使用基于策略的方法实现对防火墙系统的管理。安全策略的一般描述方式是由条件和动作组成的管理规则，采用if/hen的结构，即当网络中的条件规则满足时，防火墙执行管理规则所定义的相应动作。安全策略配置的方式将防火墙管理任务的重点从设备上面转移到了业务层面上面，其所具有的优势为：（1）管理的自动化；（2）更好的灵活性；（3）实现大规模管理的可靠性和一致性；（4）智能化和人性化。

分布式防火墙可以很好地适应网络的发展趋势，解决传统防火墙存在的不足，有效地保护所管网络。在网络中部署分布式防火墙有两个方面的好处：一方面有效地保证了用户的投资不会很高，另一方面给网络所带来的安全防护是非常全面的。因此，分布式防火墙的策略配置技术研究已经成为当前学术界和产业界的热点；同时，鉴于分布式防火墙在现有网络中已经开始规模化部署，分布式防火墙的策略配置研究也将具有广阔的应用前景。

分布式防火墙系统的安全策略配置需要解决的关键问题有两个方面：安全策略的生成和安全策略分发的结构。现有技术的分布式防火墙常用的安全策略生成和分发结构一般为客户机/服务器（Client/Server）架构，该架构通常包含集中式的策略管理中心和分布式的策略执行点。

其中，上述的典型的例子包括申请号为“CN201010578836.1”，申请文件的名称为《基于防御策略的Liunx分布式防火墙系统》中提出的一种基于防御策略的Linux分布式网络防火墙系统。其中，该系统结构为局域网中安装Linux操作系统的计算机提供网络安全保护，是一种基于防御策略的分布式防火墙系统。所述系统的策略生成，需要获取底层的信息，包括网络拓扑、节点的IP地址、网络掩码、网络服务、运行的应用程序、用户和服务漏洞等等信息；且该系统包含的服务器端通过对信息的分析和处理得到合适的策略。所述该系统的策略分发采用了分布式的C/S架构：其中，Server端建立更新和部署防御规则；分布式的Client端子系统更新策略，从而达到了保护系统的目的。所述该系统使用高效的策略部署，脱离底层，操作更容易上手；SSL方式确保数据的完整和安全传输；客户端采用现有的开源单机防火墙，具有更高的稳定性和可用性。可以有效地解决局域网内大范围部署防御策略效率低下的问题，通过服务器端子系统进行统一策略配置，使得分布式防火墙的优势更加明显。所述该系统结构图如图1所示。