一种软硬件结合的网络防火墙的制作方法

本发明涉及云计算环境下的网络安全访问及访问防护技术领域，具体而言，涉及一种软硬件结合的网络防火墙技术。

背景技术：

随着网络技术的快速发展与普及，网络环境也变的日益复杂，其中包括了高速的网络设施、高性能的计算设施、大数据处理、高效资源管理等相关的基础设施，以及在这些基础设施上构建的虚拟化环境，原有的网络防火墙技术已经不能满足今天网络环境中的安全防护需求。

现有技术中防火墙设置在服务器与客户端之间，通过硬件设备在主机与所有客户端之间建立一个安全网关(Security Gateway)，从而保护内部网络免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，所有接入该主机网络的通信和数据包均要经过防火墙。但是现有技术中，防火墙通常设置在主机与其他客户端机之间，主机与客户端机通信收到防火墙的管理，而客户端机与客户端机可以自由通信，并且通常为了通信方便，均使用TCP/IP协议，外部使用者可以通过接入客户端计算机或是伪装成客户端计算机，对主机进行访问，并获取主机信息，给网络带来极大的风险。

技术实现要素：

针对现有技术中防火墙的不足，本发明提出一种软硬件结合的网络防火墙实现方法，通过改变防火墙防护规则以及通信协议，实现对主机信息的有效管理和安全保护。

本发明的技术方案是：

一种软硬件结合的网络防火墙，其特征在于：所述网络防火墙包括硬件防火墙和软件管理；所述硬件防火墙基于计算机管理，集中对访问用户客户端进行访问限制管理，统一制定访问策略；所述硬件防火墙对个别特殊用户实现区别于其他的特征管理规则；所述软件管理是通过硬件防火墙计算机改变网络内部通信规则，制定类TCP/IP通信规则，与Internet或局域网中的通信协议不兼容，从而屏蔽外部访问者。

进一步，所述类TCP/IP通信规则的制度：通过对现有TCP/IP通信规则中信息传输数据包前后缀字符串进行重新定义，使现有协议不能识别。

进一步，所述硬件防火墙计算机与设置在网络中心节点的防火墙相连接；所述硬件防火墙计算机对客户端与主机之间、客户端与客户端之间的通信进行实时监控并记录；所述硬件防火墙计算机对整个网络的通信进行管理，并对新进入本网络的客户端用户进行认证授权。

进一步，所述客户端与主机之间、客户端与客户端之间的每次通信的发送与回馈都要先经过防火墙进行识别和过滤，再经过硬件防火墙计算机进行记录和管理、

进一步，在本发明的信息的传输过程中，所述客户端与客户端用户之间的通信包括8个过程：

S101：第一客户端用户提出访问请求，防火墙对第一客户端的身份信息和输入信息进行识别和过滤；

S102：经过防火墙过滤后的信息输送至防火墙计算机，防火墙计算机对第一客户端的身份信息、访问时间、访问次数进行登记，并对第一客户端的发送信息进行鉴别和处理，所述处理过程包括：对客户端的信息内容按照预制定的通信规则重新定义，所述预制定的通信规则采用对类TCP/IP通信规则信息传输数据包前后后缀字符串重新定义的方式；所述预制定的通信规则适用于防火墙计算机管理控制的客户端范围内；

S103：经防火墙计算机处理后的信息再次返回至防火墙，进行信息过滤；

S104：防火墙首先对第二客户端的身份信息进行识别，然后将第一客户端的信息输送至第二客户端；

S105：第二客户端回馈信息给防火墙，防火墙对第二客户端的回馈信息进行识别和过滤；

S106：经过防火墙过滤后的信息输送至防火墙计算机，防火墙计算机对第二客户端的身份信息、访问时间、访问次数进行登记，并对第二客户的发送信息进行鉴别和处理，所述处理过程包括：对客户端的信息内容按照预制定的通信规则重新定义，所述预制定的通信规则采用对类TCP/IP通信规则信息传输数据包前后后缀字符串重新定义的方式；

S107：经防火墙计算机处理后的信息再次返回至防火墙，进行信息过滤；

S108：第二客户端回馈的信息传送至第一客户端。

进一步，所述第二客户端可以为多个，所述第一客户端与多个第二客户端之间通过防火墙与防火墙计算机之间开启会议模式，实现信息同步共享。

进一步，，在本发明的信息的传输过程中，所述客户端与主机之间的通信也包括8个过程：

S201：第一客户端用户提出访问请求，防火墙对第一客户端的身份信息和输入信息进行识别和过滤；

S202：经过防火墙过滤后的信息输送至防火墙计算机，防火墙计算机对第一客户端的身份信息、访问时间、访问次数进行登记，并对第一客户端的发送信息进行鉴别和处理，所述处理过程包括：对客户端的信息内容按照预制定的通信规则重新定义，所述预制定的通信规则采用对类TCP/IP通信规则信息传输数据包前后后缀字符串重新定义的方式；所述预制定的通信规则适用于防火墙计算机管理控制的客户端范围内；

S203：经防火墙计算机处理后的信息再次返回至防火墙，进行信息过滤；

S204：防火墙首先对主机的身份信息进行识别，然后将第一客户端的信息输送至主机；

S205：主机回馈信息给防火墙，防火墙对主机的回馈信息进行识别和过滤；

S206：经过防火墙过滤后的信息输送至防火墙计算机，防火墙计算机对主机的身份信息、访问时间、访问次数进行登记，并对主机的发送信息进行鉴别和处理，所述处理过程包括：对客户端的信息内容按照预制定的通信规则重新定义，所述预制定的通信规则采用对类TCP/IP通信规则信息传输数据包前后后缀字符串重新定义的方式；

S207：经防火墙计算机处理后的信息再次返回至防火墙，进行信息过滤；

S208：主机回馈的信息传送至第一客户端。

进一步，所述主机和客户端为多个，所述多个客户端与多个主机之间通过防火墙与防火墙计算机开启会议模式，实现信息同步共享。

进一步，通过防火墙计算机的定义和权限设定，硬件防火墙对个别特殊用户实现主机的功能。

与现有技术相比，本发明的有益效果是：

1.本发明的技术方案，通过防火墙计算机改变了网络内部的通信规则，制定了新的通用的数据传输协议，与Internet或局域网中的通信协议不兼容，从而屏蔽外部访问者。

2.本发明采用软硬件结合，实现防火墙计算机对网络内的客户端实现统一管理，实现了对网络内部通信的更好管控。

3.本发明采用软硬件结合，防火墙与防火墙计算机双重控制，外部访问者实现恶意侵袭和破解的难度更高，因而安全保密效果更好。

4.本发明的技术方案，可以对个别特殊的客户端实现主机的功能，方便对整个网络进行控制，并且可以实现多个客户端和多个主机实时通信，实现信息同步共享，能适应会议场所，安全而且方便快捷。

5.本发明的网络防火墙，能够对每次通信进行实时监控和记录，便于对恶意访问或非法使用进行排查。

附图说明

图1是现有技术的网络防火墙结构示意图；

图2是本发明的网络防火墙结构示意图；

图3是本发明的有网络防火墙、不同客户端的连接关系示意图；

图4是本发明的有网络防火墙、主机、客户端之间的连接关系示意图；

图中附图标记如下：防火墙1，防火墙计算机2，主机3，第一客户端4、第二客户端5。

具体实施方式

以下结合附图和实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

实施例

如图2所示，一种软硬件结合的网络防火墙，所述网络防火墙包括硬件防火墙1和软件管理；所述硬件防火墙基于计算机管理，集中对访问用户客户端进行访问限制管理，统一制定访问策略；所述硬件防火墙对个别特殊用户实现区别于其他的特征管理规则；所述软件管理是通过硬件防火墙计算机2改变网络内部通信规则，制定类TCP/IP通信规则，与Internet或局域网中的通信协议不兼容，从而屏蔽外部访问者。

所述类TCP/IP通信规则的制度：通过对现有TCP/IP通信规则中信息传输数据包前后缀字符串进行重新定义，使现有协议不能识别。

所述硬件防火墙计算机2与设置在网络中心节点的防火墙相连接；所述硬件防火墙计算机2对客户端与主机3之间、客户端与客户端之间的通信进行实时监控并记录；所述硬件防火墙计算机2对整个网络的通信进行管理，并对新进入本网络的客户端用户进行认证授权。

客户端与主机3之间、客户端与客户端之间的每次通信的发送与回馈都要先经过防火墙进行识别和过滤，再经过硬件防火墙计算机进行记录和管理、

如图3所示，

在本发明的信息的传输过程中，所述客户端与客户端用户之间的通信包括8个过程：

S101：客户端的用户提出访问请求，防火墙1对第一客户端4的身份信息和输入信息进行识别和过滤；

S102：经过防火墙1过滤后的信息输送至防火墙计算机2，防火墙计算机对第一客户端4的身份信息、访问时间、访问次数进行登记，并对第一客户端4的发送信息进行鉴别和处理，所述处理过程包括：对客户端的信息内容按照预制定的通信规则重新定义，所述预制定的通信规则采用对类TCP/IP通信规则信息传输数据包前后后缀字符串重新定义的方式；所述预制定的通信规则适用于防火墙计算机管理控制的客户端范围内；

S103：经防火墙计算机处理后的信息再次返回至防火墙，进行信息过滤；

S104：防火墙首先对第二客户端5的身份信息进行识别，然后将第一客户端4的信息输送至第二客户端5；

S105：第二客户端5回馈信息给防火墙1，防火墙1对第二客户端5的回馈信息进行识别和过滤；

S106：经过防火墙1过滤后的信息输送至防火墙计算机2，防火墙计算机2对第二客户端5的身份信息、访问时间、访问次数进行登记，并对第二客户端5的发送信息进行鉴别和处理，所述处理过程包括：对客户端的信息内容按照预制定的通信规则重新定义，所述预制定的通信规则采用对类TCP/IP通信规则信息传输数据包前后后缀字符串重新定义的方式；

S107：经防火墙计算机处理后的信息再次返回至防火墙，进行信息过滤；

S108：第二客户端5回馈的信息传送至第一客户端4。

当然，本发明的可以进行多点同时连接，即所述第二客户端5可以为多个，所述第一客户端1与多个第二客户端5之间通过防火墙与防火墙计算机之间开启会议模式，实现信息同步共享。

如图4所示，

在本发明的信息的传输过程中，所述客户端4与主机3之间的通信也包括8个过程：

S201：第一客户端用户提出访问请求，防火墙1对第一客户端4的身份信息和输入信息进行识别和过滤；

S202：经过防火墙1过滤后的信息输送至防火墙计算机2，防火墙计算机对第一客户端4的身份信息、访问时间、访问次数进行登记，并对第一客户端4的发送信息进行鉴别和处理，所述处理过程包括：对客户端的信息内容按照预制定的通信规则重新定义，所述预制定的通信规则采用对类TCP/IP通信规则信息传输数据包前后后缀字符串重新定义的方式；所述预制定的通信规则适用于防火墙计算机管理控制的客户端范围内；

S203：经防火墙计算机2处理后的信息再次返回至防火墙1，进行信息过滤；

S204：防火墙首先对主机3的身份信息进行识别，然后将第一客户端4的信息输送至主机3；

S205：主机3回馈信息给防火墙1，防火墙1对主机3的回馈信息进行识别和过滤；

S206：经过防火墙1过滤后的信息输送至防火墙计算机2，防火墙计算机2对主机3的身份信息、访问时间、访问次数进行登记，并对主机3的发送信息进行鉴别和处理，所述处理过程包括：对客户端的信息内容按照预制定的通信规则重新定义，所述预制定的通信规则采用对类TCP/IP通信规则信息传输数据包前后后缀字符串重新定义的方式；

S207：经防火墙计算机2处理后的信息再次返回至防火墙1，进行信息过滤；

S208：主机3回馈的信息传送至第一客户端4。

此外，述主机3和客户端可以为多个，所述多个客户端与多个主机之间通过防火墙与防火墙计算机开启会议模式，实现信息同步共享。

进一步，通过防火墙计算机的定义和权限设定，硬件防火墙对个别特殊用户实现主机的功能。

本发明的网络防火墙，通过防火墙计算机改变了网络内部的通信规则，制定了新的通用的数据传输协议，与Internet或局域网中的通信协议不兼容，从而屏蔽外部访问者。防火墙与防火墙计算机双重控制，外部访问者实现恶意侵袭和破解的难度更高，因而安全保密效果更好。还可以实现多个客户端和多个主机实时通信，实现信息同步共享，能适应会议场所，安全而且方便快捷。本发明的网络防火墙，能够对每次通信进行实时监控和记录，便于对恶意访问或非法使用进行排查。

上述说明示出并描述了本发明的优选实施例，如前所述，应当理解本发明并非局限于本文所披露的形式，不应看作是对其他实施例的排除，而可用于各种其他组合、修改和环境，并能够在本文所述发明构想范围内，通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围，则都应在本发明所附权利要求的保护范围内。