一种基于Linux网络防火墙的设计系统的制作方法

本发明涉及防火墙领域，尤其涉及一种基于Linux网络防火墙的设计系统。

背景技术：

伴随互联网技术的发展，各企事业单位都纷纷建立内部局域网络，这时企事业内部网络的安全性就受到了考验，网络上的黑客不断地寻找网络上的漏洞，企图潜入内部网络，一旦企事业内部网络被人攻破，一些机密的数据、资料可能会被盗，网络可能会被破坏，给网络所属单位带来难以估计的损失，防火墙是一种行之有效的网络安全机制，它由软件或硬设备组合而成，处于企业或网络群体计算机与Intemet之间，限制外界用户对内部网络访问及管理内部用户访问外部网络的权限，作为内部网与外部网之间实施安全防范的系统，但是防火墙本身可能会受到恶意攻击，因为其大多数都位于网络的边缘，其中一种最严重的攻击就是DDOR攻击，根据ArborNetworks在2010年的报告，与2009年相比，DDOR的增长率是令人吃惊的102%这种增长主要是由于僵尸网络的快速增长造成的，上述问题亟需解决。

技术实现要素：

针对以上问题，本发明提供了一种基于Linux网络防火墙的设计系统，采用基于OpenFlow的SND技术来实现软件防火墙，并基于此防火墙系统进行试验验证和应用，借助SDN网络架构的思想，可以从根本上改变网络的管理体系，构建一种可控、可变、可信的软件模式的防火墙，可以有效解决背景技术中的问题。

为此，本发明提供了一种基于Linux网络防火墙的设计系统，所述的通讯控制模块的数据端通过通讯交互处理方式与用户接口模块相连接，所述用户接口模块的输入端连接有业务使用情况的规则管理模块，所述用户接口模块的输出端还通过控制线连接有用于获取和显示设置信息的数据管理模块，所述数据管理模块的的输出端连接有数据存储器，且在数据存储器的输入端还连接有交互式数据库，所述数据管理模块的双向端口还通过控制线与防火墙模块相连接，所述防火墙模块的输出端还通过监控网络链接模块与用户接口模块的数据端相连接，所述通讯控制模块的数据端还连接有用于获取通讯信息、实现交互通信的软件通讯模块，所述软件通讯模块的内部分别设置有分布式层、数据层和应用层。

作为本发明一种优选的技术方案，所述分布式层包括元数据管理模块，所述元数据管理模块的输出端还连接HDFS命令模块，所述HDFS命令模块的输出端还通过分布式管理模块与WEB环境检测模块相连接。

作为本发明一种优选的技术方案，所述数据层包括用户隐私安全保护模块和数据挖掘平台层，所述用户隐私安全保护模块的输出端连接有基于ABE属性的加密模块，所述加密模块的输出端通过并行数据算法模块与数据挖掘平台层相连接。

作为本发明一种优选的技术方案，所述应用层包括响应模块和工作流检测模块，所述响应模块的输入端主要处理来自并行数据算法模块的数据，且工作流检测模块的数据端还连接有数据加载模块。

作为本发明一种优选的技术方案，所述防火墙模块包括界面检测模块和通信组件模块，所述界面检测模块和通信组件模块的输出端均连接有API数据服务模块，所述API数据服务模块的输出端还通过包过滤模块与二层转发模块相连接，所述二层转发模块的输出端与数据转发模块相连接。

作为本发明一种优选的技术方案，所述界面检测模块的输入端还连接有阈值设定模块，所述阈值设定模块的输出端还连接有数据校对模块。

作为本发明一种优选的技术方案，所述二层转发模块的输出端还连接有状态检测模块，所述状态检测模块的输出端还通过控制线与注册表相连接。

作为本发明一种优选的技术方案，所述数据转发模块的输出端还连接有无线数据检测模块，所述无线数据检测模块的输出端分别连接有无线通讯模块和系统配置模块，所述系统配置模块的内部还设置有数据更新模块。

与现有技术相比，本发明的有益效果是：该基于Linux网络防火墙的设计系统，采用SDN的控制层向防火墙应用提供统一维护和管理网络的能力，其中包括具有检测数据包包头能力的包过滤模块，可根据数据包中的包头信息决定数据包的处理过程，并进行相应的安全防护动作，SDN控制层可对数据包的包头进行分析，但是无法获悉连接状态，因此将状态检测技术模块布置在控制层和数据转发层之间，代理服务器技术则以应用程序的模式运行在应用层，即在SDN网络架构下，将防火墙作为即在SDN网络架构下，将防火墙作为SDN网络上的一种软件应用。防火墙系统通过SDN控制器提供的可编程接口，控制网络中所有OpenFlow交换机，构建一个可灵活应对不同安全需求的防火墙应用。与普通防火墙相比，防火墙不在部署于网络边界，而是以软件形式集中在网络的某一位置，因此防火墙的升级、修改、配置等无需在安全设备上逐一操作，加快了防火墙开发、部署和灵活改进网络上的一种软件应用。

附图说明

图1为本发明结构示意图；

图2为本发明软件通信内部结构示意图；

图3为本发明防火墙模块内部结构示意图。

图中：1-通讯控制模块；2-用户接口模块；3-规则管理模块；4-数据管理模块；5-数据存储器；6-交互式数据库；7-防火墙模块；8-监控网络链接模块；9-软件通讯模块；10-分布式层；11-数据层；12-应用层；13-元数据管理模块；14-HDFS命令模块；15-分布式管理模块；16-WEB环境检测模块；17-用户隐私安全保护模块；18-数据挖掘平台层；19-加密模块；20-并行数据算法模块；21-工作流检测模块；22-响应模块；23-数据加载模块；24-界面检测模块；25-信组件模块；26-API数据服务模块；27-包过滤模块；28-二层转发模块；29-数据转发模块；30-阈值设定模块；31-数据校对模块；32-状态检测模块；33-注册表；34-无线数据检测模块；35-无线通讯模块；36-系统配置模块；37-数据更新模块。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例，基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例：

请参阅图1、图2和图3，本发明提供一种技术方案：一种基于Linux网络防火墙的设计系统，所述的通讯控制模块1的数据端通过通讯交互处理方式与用户接口模块2相连接，所述用户接口模块2的输入端连接有业务使用情况的规则管理模块3，所述用户接口模块2的输出端还通过控制线连接有用于获取和显示设置信息的数据管理模块4，所述数据管理模块4的的输出端连接有数据存储器5，且在数据存储器5的输入端还连接有交互式数据库6，所述数据管理模块4的双向端口还通过控制线与防火墙模块7相连接，所述防火墙模块7的输出端还通过监控网络链接模块8与用户接口模块2的数据端相连接，所述通讯控制模块1的数据端还连接有用于获取通讯信息、实现交互通信的软件通讯模块9，所述软件通讯模块9的内部分别设置有分布式层10、数据层11和应用层12，所述分布式层10包括元数据管理模块13，所述元数据管理模块13的输出端还连接HDFS命令模块14，所述HDFS命令模块14的输出端还通过分布式管理模块15与WEB环境检测模块16相连接；所述数据层11包括用户隐私安全保护模块17和数据挖掘平台层18，所述用户隐私安全保护模块17的输出端连接有基于ABE属性的加密模块19，所述加密模块19的输出端通过并行数据算法模块20与数据挖掘平台层18相连接；所述应用层12包括响应模块22和工作流检测模块21，所述响应模块22的输入端主要处理来自并行数据算法模块20的数据，且工作流检测模块21的数据端还连接有数据加载模块23。

所述防火墙模块7包括界面检测模块24和通信组件模块25，所述界面检测模块24和通信组件模块25的输出端均连接有API数据服务模块26，所述API数据服务模块26的输出端还通过包过滤模块27与二层转发模块28相连接，所述二层转发模块28的输出端与数据转发模块29相连接。所述界面检测模块24的输入端还连接有阈值设定模块30，所述阈值设定模块30的输出端还连接有数据校对模块31。所述二层转发模块28的输出端还连接有状态检测模块32，所述状态检测模块32的输出端还通过控制线与注册表33相连接。所述数据转发模块29的输出端还连接有无线数据检测模块34，所述无线数据检测模块34的输出端分别连接有无线通讯模块35和系统配置模块36，所述系统配置模块36的内部还设置有数据更新模块37。

所述防火墙模块7，实际上是一个运行在应用层的应用程序，它定期向控制层查询网络拓扑和网络状态信息，如底层交换机接收到异常数据包的数量和异常数据包的分布范围，评估当前网络的安全需求及等级，实时调整查询频率、下发包过滤规则等操作，形成一个可应对不同网络攻击的防火墙系统。

所述API数据服务模块26控制层的包过滤模块通过RESTAPI服务模块向应用层的防火墙模块开放编程端口。RESTAPI服务模块将控制层的API可编程接口以RESTAPI形式向外开放，并遵循HTTP协议。简单来说，用户通过HTTP协议提供的GET、POST等方法来实现对模块的操作。

所述包过滤模块27，该模块替代了原本处于网络层的防火墙功能，防止不希望的通信交互，模块内含一套过滤规则，规则定义了包过滤模块对于数据包的具体操作，即对所接收的每个数据包应做出允许或拒绝的决定，数据包头部主要由源地址、目标地址、通信协议、端口号等参数组成，每条过滤规则都含有一些头部参数的组合，用于匹配数据包的包头，包过滤模块位于ＳＤＮ控制层，主要依靠控制层对于数据包的拆包能力和分析能力，通过检查包头的头部参数决定是否让数据包通过。

所述二层转发模块28，通过OpenFlow协议与数据转发层直接通信，主要用于将数据包转发给底层交换设备，由于真实网络中的设备情况相当复杂，往往并存着真实交换机和虚拟交换机，同时也未知它们是否支持OpenFlow协议，二层转发模块会查询所有设备，并收集信息进行分析，学习并记录所有支持OpenFlow协议的交换机的位置，并将信息汇总给控制层，当新设备加入时，它也能及时感知、学习并更新记录。

本发明的工作原理：该基于Linux网络防火墙的设计系统，采用SDN的控制层向防火墙应用提供统一维护和管理网络的能力，其中包括具有检测数据包包头能力的包过滤模块，可根据数据包中的包头信息决定数据包的处理过程，并进行相应的安全防护动作，SDN控制层可对数据包的包头进行分析，但是无法获悉连接状态，因此将状态检测技术模块布置在控制层和数据转发层之间，代理服务器技术则以应用程序的模式运行在应用层，即在SDN网络架构下，将防火墙作为即在SDN网络架构下，将防火墙作为SDN网络上的一种软件应用。防火墙系统通过SDN控制器提供的可编程接口，控制网络中所有OpenFlow交换机，构建一个可灵活应对不同安全需求的防火墙应用，与普通防火墙相比，防火墙不在部署于网络边界，而是以软件形式集中在网络的某一位置，因此防火墙的升级、修改、配置等无需在安全设备上逐一操作，加快了防火墙开发、部署和灵活改进网络上的一种软件应用。。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。