专利名称:防火墙装置及其设置方法
技术领域:
本发明是关于一种防火墙装置,尤其是关于一种用于网络设备上的防火墙装置。
背景技术:
防火墙是一种增强两个或者多个网络之间边界的系统或系统组合,是一个网络与其它网络之间的受控访问点,可分为硬件防火墙和软件防火墙,其能够对流经它的所有网络通信进行扫描,并过滤掉一些攻击性操作,以免目标网络遭受破坏,防火墙还可以关闭不常使用的端口,而且还可以禁止特定端口的通信及禁止来自某些特殊站点的访问,从而防止来自不明入侵者的所有通信。
目前的防火墙大多存在系统结构复杂、设置方法繁琐或安全性能不高等缺点,如中国专利申请第97115121.0号,其由分组过滤器、安全控制器、系统管理器和读卡器四部分组成,分组过滤器位于Intranet与路由器之间,安全控制器位于系统管理器和Intranet之间,对系统管理器进行隔离保护,读卡器与系统管理器相连,系统管理器要对防火墙中涉及网络安全控制参数进行配置时,必须向读卡器口插入安全卡,并输入正确的PIN码,才能进入配置状态,由于其增设了读卡器且在对防火墙参数进行配置前须插入安全卡及输入PIN码,从而增加了系统的复杂度和对该防火墙参数配置的操作难度。
发明内容本发明所要解决的技术问题在于提供一种防火墙装置及其设置方法。
本发明所采用的技术方案为提供一种防火墙装置,其包括防火墙硬件结构和防火墙软件系统,其中该防火墙硬件结构至少包括三个网络端口,其分别为一四端口局域网端口、一广域网端口和一DMZ(Demilitarized Zone)端口,其中该局域网端口用于连结内部的局域网络,该广域网端口用于连结外部的广域网络,该DMZ端口用于连结外部的DMZ架构防火墙之网络。该防火墙软件系统至少包括一命令行接口、一WEB管理接口、一设置管理模组、一Lib共享数据库和一工具管理模组,其中该命令行接口和WEB管理接口系用于提供给用户一种设置防火墙配置参数之管理接口,该设置管理模组用于动态的向Lib共享数据库中加载命令文件,而该Lib共享数据库进一步包括Access、Nat、If及Pool四个子数据库,其中该Access子数据库用于存储访问列表和访问规则,该Nat子数据库用于存储NAT(Network Address Translation)规则,该If子数据库用于存储系统接口信息,该Pool子数据库用于存储NAT池列表(NAT POOL LIST)。上述防火墙软件系统中之工具管理模组系一种集成于Linux内核中的IP信息包过滤系统,其包含有内核空间组件和用户空间组件,其中,该内核空间组件是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集,而用户空间组件则是一种工具,它使插入、修改和除去信息包过滤表中的规则变得容易,通过使用用户空间,可以方便的构建自己的定制规则,并将这些规则存储在内核空间的信息包过滤表中。
本发明所采用的另一技术方案为提供一种防火墙装置设置方法,用户首先通过命令行接口或WEB管理接口向系统输入命令,由其将命令提交给设置管理模组,然后该设置管理模组则会启动通讯呼叫功能与Lib共享数据库建立联系,将命令送往Lib共享数据库,此后,Lib共享数据库系统会检查该命令是否合法,不合法则返回并显示出错信息,如命令合法该系统则会预处理那些合法的命令,以剔除其中的冗余字符(例如TAB键和空格键),而后编译这些的命令并提交给工具管理模组,由其开启Lib共享数据库中需要修改设置的子数据库,并对存储在该子数据库中的规则和列表进行修改,当完成该修改过程后存盘并关闭该子数据库,最后系统将数据库修改结果返回给用户以完成对该防火墙装置的设置。
由于采用了上述技术方案,本发明防火墙装置具有安全性能高,系统架构简单且设置方便的优点。
图1是本发明防火墙装置的硬件结构示意图。
图2是本发明防火墙装置的软件系统示意图。
图3是本发明防火墙装置的设置方法流程图。
具体实施方式本发明防火墙装置包括防火墙硬件结构和防火墙软件系统,请参阅图1,是本发明防火墙装置之硬件结构示意图。该防火墙硬件结构至少包括三个网络端口,其分别为一四端口局域网端口12、一广域网端口14和一DMZ(Demilitarized Zone)端口16,其中该局域网端口12用于连结内部的局域网络,该广域网端口14用于连结外部的广域网络,该DMZ端口16用于连结外部的DMZ架构防火墙之网络。
请参阅图2,是本发明防火墙装置的软件系统示意图。该防火墙软件系统至少包括一命令行接口21、一WEB管理接口22、一设置管理模组23、一Lib共享数据库24和一工具管理模组25,其中该命令行接口21和WEB管理接口22用于提供给用户一种设置防火墙配置参数之管理接口,该设置管理模组23用于动态的向Lib共享数据库24中加载命令文件,而该Lib共享数据库24进一步包括Access子数据库241、Nat子数据库242、If子数据库243及Pool子数据库244,其中该Access子数据库241用于存储访问列表和访问规则,该Nat子数据库242用于存储NAT(Network Address Translation)规则,该If子数据库243用于存储系统接口信息,该Pool子数据库244用于存储NAT池列表(NAT POOL LIST)。上述防火墙软件系统中之工具管理模组25为一种集成于Linux内核中的IP信息包过滤系统,其包含有内核空间组件251和用户空间组件252,其中,该内核空间组件251是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集,而用户空间组件252则是一种工具,它使插入、修改和除去信息包过滤表中的规则变得容易,通过使用用户空间,可以方便的构建自己的定制规则,并将这些规则存储在内核空间的信息包过滤表中。
请参阅图3,是本发明防火墙装置的设置方法流程图。首先,用户通过命令行接口21或WEB管理接口22向系统输入命令(步骤100),由其将命令提交给设置管理模组23(步骤110),然后该设置管理模组23则会启动通讯呼叫功能与Lib共享数据库24建立联系并将命令送往该共享数据库24(步骤120),此后,该Lib共享数据库系统24会检查该命令是否合法(步骤130),不合法则返回并显示出错信息(步骤140),如命令合法则该系统会预处理那些合法的命令(步骤150),以剔除其中的冗余字符(例如TAB键和空格键),而后编译这些的命令并提交给工具管理模组25(步骤160),由其开启Lib共享数据库24中需要修改设置的子数据库,并对存储在该子数据库中的规则和列表进行修改(步骤170),当完成该修改过程后存盘并关闭该子数据库(步骤180),最后系统将数据库修改结果返回给用户(步骤190)以完成对该防火墙装置的设置。
权利要求
1.一种防火墙装置,其包括一防火墙硬件结构,其中该防火墙硬件结构至少包括三个网络端口;一防火墙软件系统,其特征在于该防火墙软件系统至少包括有一命令行接口,其用于提供给用户一种设置防火墙配置参数的管理接口;一WEB管理接口,其用于提供给用户一种设置防火墙配置参数的管理接口;一共享数据库;一设置管理模组,其用于动态的向该共享数据库中加载命令文件;及一工具管理模组,其为一种集成于Linux内核中的IP信息包过滤系统。
2.如权利要求1所述的防火墙装置,其特征在于该网络端口为一四端口的局域网端口,其用于连结内部的局域网络。
3.如权利要求1所述的防火墙装置,其特征在于该网络端口为一广域网端口,其用于连结外部的广域网络。
4.如权利要求1所述的防火墙装置,其特征在于该网络端口为一DMZ端口,其用于连结外部的DMZ架构防火墙之网络。
5.如权利要求1所述的防火墙装置,其特征在于该共享数据库进一步包括一第一子数据库,其用于存储访问列表和访问规则。
6.如权利要求1所述的防火墙装置,其特征在于该共享数据库进一步包括一第二子数据库,其用于存储NAT规则。
7.如权利要求1所述的防火墙装置,其特征在于该共享数据库进一步包括一第三子数据库,其用于存储系统接口信息。
8.如权利要求1所述的防火墙装置,其特征在于该共享数据库进一步包括一第四子数据库,其用于存储NAT池列表。
9.如权利要求1所述的防火墙装置,其特征在于该工具管理模组进一步包括一内核空间组件,其由一些信息包过滤表组成,而这些信息包过滤表则包含有内核用来控制信息包过滤处理的规则集。
10.如权利要求1所述的防火墙装置,其特征在于该工具管理模组进一步包括一用户空间组件,其为一种用来修改或删除信息包过滤表中规则的工具。
11.一种防火墙设置方法,其包括有以下步骤用户通过命令行接口或WEB管理接口向系统输入命令;命令行接口或WEB管理接口将命令提交给设置管理模组;设置管理模组启动通讯呼叫功能与共享数据库建立联系并将命令送往该共享数据库;该共享数据库系统检查命令是否合法,如命令不合法则返回并显示出错信息,如命令合法该系统则预处理这些合法命令;系统编译这些合法命令并提交给工具管理模组;该工具管理模组开启共享数据库中需要修改设置的子数据库,并对存储在该子数据库中的规则和列表进行修改;完成该修改过程后存盘并关闭该子数据库;系统将数据库修改结果返回给用户。
12.如权利要求11所述的防火墙设置方法,其特征在于系统在预处理这些合法命令时会剔除这些命令中之冗余字符。
全文摘要
一种防火墙装置及其设置方法,该防火墙装置包括防火墙硬件结构和防火墙软件系统,其中该防火墙硬件结构至少包括三个网络端口,该防火墙软件系统至少包括一命令行接口、一WEB管理接口、一设置管理模组、一Lib共享数据库和一工具管理模组,对防火墙进行设置时,用户首先通过命令行接口或WEB管理接口向系统输入命令,然后由系统对命令进行检查、预处理和编译,而后开启Lib共享数据库中需要修改设置的子数据库,并对存储在该子数据库中的规则和列表进行修改,当完成该修改过程后存盘并关闭该子数据库,最后系统将数据库修改结果返回给用户以完成对该防火墙装置的设置。
文档编号H04L12/22GK1567333SQ03139719
公开日2005年1月19日 申请日期2003年7月5日 优先权日2003年7月5日
发明者周星雨, 何唐 申请人:鸿富锦精密工业(深圳)有限公司, 鸿海精密工业股份有限公司