[发明专利]一种分布式防火墙安全通信机制的方法

说明书

技术领域：

本发明涉及通信技术领域，具体涉及一种分布式防火墙安全通信机制的方法。

背景技术：

随着网络技术的发展和应用的不断深入，各种入侵事件与入侵手法层出不穷，网络安全问题日益严重。目前防范网络入侵最常用的技术是防火墙，但由于传统集中式防火墙暴露出来的不足和弱点，导致网络的安全保障技术相对落后于网络攻击技术，从而出现防不胜防的尴尬局面。因此，有必要探索新的安全技术和策略来迎接挑战，改变原有的安全解决方案。

传统的防火墙位于内部网络和外部网络的边界，因而又被称为边界。它对进出内部网络的所有数据进行检测，这样就保证了所有与外部的通信请求都能在防火墙中过滤；目前市面上的主要防火墙都是这种边界防火墙。

传统防火墙主要有以下缺点：

一、存在单点故障：

传统防火墙本身也存在单点故障危险，一旦出现问题或者被攻克，整个内网将会完全暴露在外部攻击者面前，并且对于传统防火墙来说，所有内部主机是平等的，也就是说，如果其中的一台被侵入攻击者很容易的就能以此为基点发起对其他内部主机的攻击。

二、受限制：

传统防火墙的工作机制依赖于网络的物理拓扑结构。随着越来越多的企业利用互联网架构自己的跨地区网络，所谓内联网已经变成一个逻辑上的概念；另一方面，电子商务的应用要求商务伙伴之间在一定权限下可以进入到彼此的内部网络。因此企业的边界已经是一个逻辑的边界，物理的边界模糊，传统防火墙的应用也受到愈来愈多的结构限制。

三、内网的攻击：

传统防火墙设置在网络边界，在内网和外网之间构成一个屏障，进行网络访问控制，它制定安全策略的一个基本假设是：内网中的所有主机都是可以信任的，而外网的所有主机都是不可信任的，但在实际环境中，许多的攻击和越权访问来自于内部，并且大部分常用协议实用明码传输数据，因此局域网内部极易被窥探和欺骗，与外部攻击相比，来自系统内部的攻击往往会对系统造成更大危害，而传统防火墙在对付内部攻击时却束手无策。

针对目前集中式防火墙不能适应高速网络环境、无法满足网络流量需求的不足，提出一种分布式防火墙安全通信机制的方法。

发明内容：

本发明的目的是提供一种分布式防火墙安全通信机制的方法，它提高了系统的性能及安全性，能防范入侵，保证系统的安全性。

为了解决背景技术所存在的问题，本发明是采用如下技术方案：它的通讯方法为：

(一)、自动检测：主机上防火墙软件自动下载并安装在电脑上，检测电脑上安全设置是否符合安全配置，当不符合时则自动下载修复软件进行修复；

(二)、预防入侵：主机自带的检测预防模块启动，进行预防入侵检测；

(三)、入侵检测：入侵决策与响应模块接收入侵检测系统发来的入侵报警信息，通过软件包把入侵检测规则转化为防火墙规则，然后将防火墙规则发送给各结点的响应单元；

(四)、身份验证：验证模块进行身份验证，当身份验证通过时即可发送，当身份验证不通过即发出报警，入侵模块检测是否有入侵，有入侵将其拦截；

(五)、发送：负载调整模块接收各结点状态统计模块发送的负载信息，根据各结点的负载情况调整报文转发模块的转发策略。

本发明具有如下有益效果：提高了系统的性能及安全性，能防范入侵，保证系统的安全性。

具体实施方式：

本具体实施方式采用如下技术方案：它的通讯方法为：

(一)、自动检测：主机上防火墙软件自动下载并安装在电脑上，检测电脑上安全设置是否符合安全配置，当不符合时则自动下载修复软件进行修复；

(二)、预防入侵：主机自带的检测预防模块启动，进行预防入侵检测；

(三)、入侵检测：入侵决策与响应模块接收入侵检测系统发来的入侵报警信息，通过软件包把入侵检测规则转化为防火墙规则，然后将防火墙规则发送给各结点的响应单元；

(四)、身份验证：验证模块进行身份验证，当身份验证通过时即可发送，当身份验证不通过即发出报警，入侵模块检测是否有入侵，有入侵将其拦截；

(五)、发送：负载调整模块接收各结点状态统计模块发送的负载信息，根据各结点的负载情况调整报文转发模块的转发策略。

本具体实施方式具有如下有益效果：提高了系统的性能及安全性，能防范入侵，保证系统的安全性。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。