[发明专利]一种分布式防火墙

说明书

本发明公开了一种分布式防火墙，涉及防火墙技术领域。本发明包括用于对系统进行配置、维护和自定义的管理单元；用于日志接收、处理和存储的日志服务单元；用于执行策略文件的策略执行模块和远程连接模块；本发明通过在局域网外和局域网内的主机设置策略执行模块，通过管理单元统一控制，提高了各端点主机的安全性；通过在局域网外的主机同时设置远程连接模块和策略执行模块，通过现有与管理单元通讯获得证书后再确认主机身份的方式；起到对远程端点主机进行良好的防护，有效的提高了防火墙的防护效率和安全性。

技术领域

本发明属于防火墙技术领域，特别是涉及一种分布式防火墙。

背景技术

分布式防火墙具有几大特点：策略集中定制，在各台主机上执行，日志集中收集处理。“分布式防火墙”的基本思想是：安全策略的制定采用由中心管理服务器集中定义的方式，而安全策略的执行则由相关主机节点独立实施。

一些中小型企业，一般使用网关代理整个公司的主机上网，远程端点主机较少，如果为了少数远程端点主机而放弃网络拓扑结构，全部使用证书标识主机，会造成资源和效率的浪费；虽然现有的IPSEC能较好的解决通讯安全问题，单通讯使用IPSEC加密，必须使分布式防火墙的主机和主机网络应用都支持IPSEC协议，因而需要给所有端点主机的内核加入IPSEC支持并调整网络应用，而对于中小型企业使用同一的策略语言的必要性和可行性有待商榷；因此，需要提供一种适用于中小型企业的分布式防火墙系统。

发明内容

为解决上述技术问题，本发明是通过以下技术方案实现的：

本发明为一种分布式防火墙，包括用于对系统进行配置、维护和自定义的管理单元；所述管理单元包括网络维护模块、策略编辑模块和日志分析模块；

包括用于日志接收、处理和存储的日志服务单元；所述日志服务单元包括日志接收模块、日志处理模块和数据库；

包括用于执行策略文件的策略执行模块；所述策略执行模块分别与管理单元和日志服务单元连接；

包括远程连接模块；所述远程连接模块分别与管理单元和策略执行模块连接。

进一步地，所述网络维护模块用于定义和配置子网参数和主机参数；所述子网参数包括子网名称和子网掩码；所述主机参数包括主机名称、主机IP地址、当前使用的策略文件。

进一步地，所述日志服务单元还包括日志审计模块；所述日志审计模块用于统计分析各模块的日志信息和操作记录。

进一步地，所述策略执行模块安装在局域内和局域外的主机上；所述策略执行模块通过自定义协议对执行文件进行读取执行。

进一步地，所述远程连接模块安装在局域网外的主机上。

本发明具有以下有益效果：

本发明通过在局域网外和局域网内的主机设置策略执行模块，通过管理单元统一控制，提高了各端点主机的安全性；通过在局域网外的主机同时设置远程连接模块和策略执行模块，通过现有与管理单元通讯获得证书后再确认主机身份的方式；起到对远程端点主机进行良好的防护，有效的提高了防火墙的防护效率和安全性。

当然，实施本发明的任一产品并不一定需要同时达到以上所述的所有优点。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明的一种分布式防火墙的系统结构示意图。

具体实施方式