基于防御策略的Linux分布式网络防火墙系统

摘要

本发明公开了一种基于防御策略的Linux分布式网络防火墙系统，它是一种为局域网中安装Linux操作系统的计算机提供网络安全保护的、且基于防御策略的分布式防火墙系统。本系统采用了分布式的结构，分为服务器端子系统和客户端子系统。该网络防火墙系统对于需要保护的局域网通过在服务器端子系统中首先构建局域网的网络拓扑结构，然后对需要保护的服务和可能受到的攻击方式进行选择，并生成防御规则文件。在客户端子系统将定时更新防御规则文件，然后部署该防御规则文件，即可达到保护的目的。即通过服务器端子系统的策略推理和解释生成针对网络中不同计算机、不同服务的多条防御规则，对网络中安装有客户端子系统和防火墙的所有计算机进行相应的防护。实现了单个网络节点设置一次防御策略，多个网络节点同时得到安全保护的目的。

主权项

一种基于防御策略的Linux分布式网络防火墙系统，其特征在于：该系统分为服务器端子系统和客户端子系统两个部分；所述的服务器端子系统中包括有网络拓扑处理模块、策略整合模块、策略推理引擎模块、防御措施处理模块和服务器端通信模块；所述的客户端子系统中包括有包过滤防火墙、规则部署模块、客户器端通信模块、以及建立日志模块、配置文件模块；网络拓扑处理模块第一方面绘制网络拓扑结构；第二方面配置节点拓扑信息；第三方面整合拓扑文件；将网络拓扑结构和节点拓扑信息采用逻辑编程语言PROLOG格式进行保存，得到PROLOG拓扑文件；在整合拓扑文件阶段中，将NECS（Network Environment Configuration Scenario）拓扑文件和PROLOG拓扑文件以可扩展标记语言XML的格式进行整合，得到整合后文件file‑1；策略整合模块依据用户在服务器端子系统中的策略信息进行整合，并保存为策略文件file‑2；策略推理引擎模块将整合后文件file‑1与攻击知识库中的信息进行合并得到一个推理数据库；然后读取策略文件file‑2针对开启保护的服务的节点生成攻击操作并联合推理数据库中的信息进行一阶谓词推理生成简单的攻击路径，并进行解释，生成防御措施文件file‑3；防御措施处理模块调用防御措施解释器对防御措施文件file‑3进行解释，获得防御规则，并将防御规则按照网络节点的IP地址作为文件名分类存储，存储的文件称为防御规则文件file‑4；所述防御措施解释器是指对防御措施的读取和筛选生成对应每个网络节点使用的单机防火墙Netfilter/IPtables的规则；服务器端通信模块通过SSL加密协议与客户端子系统通信模块进行信息传输；客户端通信模块通过SSL加密协议与服务器端子系统通信模块进行信息传输；规则部署模块将从客户端通信模块下载的防御规则文件file‑4部署到包过滤防火墙中，具体的规则部署包括有下列步骤：步骤7－1：客户端打开防御规则文件file‑4，该防御规则文件file‑4位于/home/firewall路径下；步骤7－2：规则部署模块将从第二行开始读取防御规则文件file‑4中的IPtables防御规则；与此同时，规则部署模块调用bash shell，用来将每一条规则通过IPtables配置语句配置到包过滤防火墙中；利用了Netfilter的包过滤防火墙功能，通过部署防御规则到Netfilter中，实现对相应的入侵包进行拦截，达到保护服务不被入侵的目的；建立日志模块负责记录防御规则文件file‑4更新的时间，以及在客户端子系统运行中出现的错误信息；配置文件模块负责对客户端子系统的运行参数进行配置，保证客户端子系统正确自动运行；每一次客户端子系统的启动后调用配置文件模块读取配置文件client.conf来对客户端子系统进行配置；该配置文件client.conf位于/home/firewall/路径下。