一种基于防火墙的网络安全检测系统的制作方法

本发明涉及防火墙检测领域，尤其涉及一种基于防火墙的网络安全检测系统。

背景技术：

因特网是20世纪的奇迹，通过因特网人们方便地实现了全球资源共享，因特网的强大功能源于它的广泛连通性和开放性，而这也恰恰导致了它的不安全性，在网络边界的入口处安装防火墙用来阻止攻击是安全防范的主要手段之一，防火墙使无数黑客望而却步，防火墙在保护网络安全方面立下了汗马功劳，但是，随着因特网日新月异的发展，传统边界防火墙的局限性开始显露出来，例如，日益多样化的连接方法(拨号，无线，隧道)、外联网、加密通信的出现，带宽的不断提高等，面对这些新情况，传统边界防火墙显得无能为力，上述问题亟需解决。

技术实现要素：

针对以上问题，本发明提供了一种基于防火墙的网络安全检测系统，采用两层审计，上层是防火墙根据自己的日志文件进行分析审计，下层通过对防火墙当前用户的AUTHID对用户进行审计，利用B2系统调用读取审计信息，进而进行审计分析，可以有效解决背景技术中的问题。

为此，本发明提供了一种基于防火墙的网络安全检测系统，所述的网络数据检测模块的输入端与大数据库相连接，所述大数据库的数据端分别连接有数据采集卡和现场编译模块，所述现场编译模块的数据端通过控制线与网络报文检测模块相连接，所述现场编译模块的输出端还连接有网卡驱动器，所述网卡驱动器还通过用户空间检测模块与中心服务器相连接，在中心服务器的输出端还连接有LAN总线；

所述LAN总线上还设置有多个串口，在LAN总线的数据端口上还连接有中心策略服务器以及用于安装分布式防火墙的桌面机，在LAN总线的输出端口上还通过嵌入式控制器编写了边界防火墙程序，且在嵌入式控制器的输出端还设置有用于安装分布式防火墙的移动主机。

优选的，所述嵌入式控制器采用32位的ARM9系列的处理芯片，在嵌入式控制器的数据端还设置有并行串口调试模块，且嵌入式控制器的数字输入端采用5V供电。

优选的，所述网络数据检测模块包括密钥分配管理模块，所述密钥分配管理模块的输出端分别连接有安全关联库和数据管理模块，所述安全关联库的输出端还连接有IP安全文件模块，所述IP安全文件模块的输出端通过双向端口控制线与数据管理模块相连接，所述数据管理模块的输出端还通过双向端口控制线分别连接有过滤模块和管理接口模块。

优选的，所述管理接口模块的输出端还连接有过滤规则库，所述过滤规则库的数据端还通过控制线与规则配置文件相连接。

优选的，所述中心服务器内部还设置有多个连接接口与外界进行数据通信。

优选的，所述移动主机的输入端连接有无线控制器，在无线控制器的内部还连接有局域网连接控制器，所述移动主机的输出端还连接有用于安装分布式防护墙的分支机构。

优选的，所述嵌入式控制器的电源端还连接有太阳能供电模块，所述太阳能供电模块的输入端分别连接有电源模块和供电电路检测模块。

优选的，所述嵌入式控制器的数据端还连接有下载调试接口模块，所述下载调试接口模块的输出端还通过控制线与液晶显示模块相连接，在下载调试接口模块的数据端还与键盘控制器相连接。

与现有技术相比，本发明的有益效果是：该基于防火墙的网络安全检测系统，采用两层审计，上层是防火墙根据自己的日志文件进行分析审计，下层通过对防火墙当前用户的AUTHID对用户进行审计，利用B2系统调用读取审计信息，进而进行审计分析，通过数据管理模块接收来自网络的数据，由过滤模块对之进行规则的匹配，从而控制进入内部网的数据包，同时考虑到系统的维护和安全，本系统增设管理机，实现对包过滤规则的安全方便的管理.同时我们将IP层安全模块同包过滤路由器结合在一起实现，整个装置结构简单，实用性强。

附图说明

图1为本发明结构示意图；

图2为本发明网络数据结构检测模块内部结构示意图；

图中：1-网络数据检测模块；2-大数据库；3-数据采集卡；4-现场编译模块；5-网络报文检测模块；6-网卡驱动器；7-用户空间检测模块；8-中心服务器；9-LAN总线；10-中心策略服务器；11-桌面机；12-嵌入式控制器；13-移动主机；14-并行串口调试模块；15-密钥分配管理模块；16-安全关联库；17-数据管理模块；18-IP安全文件模块；19-过滤模块；20-管理接口模块；21-过滤规则库；22-规则配置文件；23-无线控制器；24-局域网连接控制器；25-分支机构；26-太阳能供电模块；27-电源模块；28-供电电路检测模块；29-下载调试接口模块；30-液晶显示模块；31-键盘控制器。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例，基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例：

请参阅图1、图2，本发明提供一种技术方案：一种基于防火墙的网络安全检测系统，所述的网络数据检测模块1的输入端与大数据库2相连接，所述大数据库2的数据端分别连接有数据采集卡3和现场编译模块4，所述现场编译模块4的数据端通过控制线与网络报文检测模块5相连接，所述现场编译模块4的输出端还连接有网卡驱动器6，所述网卡驱动器6还通过用户空间检测模块7与中心服务器8相连接，所述中心服务器8内部还设置有多个连接接口与外界进行数据通信，在中心服务器8的输出端还连接有LAN总线9，所述网络数据检测模块1包括密钥分配管理模块15，所述密钥分配管理模块15的输出端分别连接有安全关联库16和数据管理模块17，所述安全关联库16的输出端还连接有IP安全文件模块18，所述IP安全文件模块18的输出端通过双向端口控制线与数据管理模块17相连接，所述数据管理模块17的输出端还通过双向端口控制线分别连接有过滤模块19和管理接口模块20，所述管理接口模块20的输出端还连接有过滤规则库21，所述过滤规则库21的数据端还通过控制线与规则配置文件22相连接；

所述LAN总线9上还设置有多个串口，在LAN总线9的数据端口上还连接有中心策略服务器10以及用于安装分布式防火墙的桌面机11，在LAN总线9的输出端口上还通过嵌入式控制器12编写了边界防火墙程序，所述嵌入式控制器12的电源端还连接有太阳能供电模块26，所述太阳能供电模块26的输入端分别连接有电源模块27和供电电路检测模块28，且在嵌入式控制器12的输出端还设置有用于安装分布式防火墙的移动主机13，所述嵌入式控制器12采用32位的ARM9系列的处理芯片，在嵌入式控制器12的数据端还设置有并行串口调试模块14，且嵌入式控制器12的数字输入端采用5V供电，所述移动主机13的输入端连接有无线控制器23，在无线控制器23的内部还连接有局域网连接控制器24，所述移动主机13的输出端还连接有用于安装分布式防护墙的分支机构25，所述嵌入式控制器12的数据端还连接有下载调试接口模块29，所述下载调试接口模块29的输出端还通过控制线与液晶显示模块30相连接，在下载调试接口模块29的数据端还与键盘控制器31相连接。

本发明采用两个分组过滤路由器和一个分布式防火墙的移动主机，它们单独构成一个子网，位于内部子网和Internet之间，称之为屏蔽子网.外部路由器介于Internet与屏蔽子网之间，而内部路由器介于屏蔽子网与内部可信子网之间，两个路由器可进行不同级别的过滤，屏蔽子网只允许Internet和内部子网接入到分布式防火墙的移动主机中，但试图绕过它的流量都将被阻塞掉。

所述内部路由器对于来自分布式防火墙的移动主机的流量，首先根据源地址等信息以及子网内各主机的安全级别进行再次过滤，然后根据该分组的子网内实际地址，对该分组进行ESP封装加密(密钥的来源可取自基站主机)，然后转发该分组至目的端，对于内部路由器在处理由子网内通往Internet的流量时，首先对该分组解密，然后根据各主机的不同权限和该系统的安全策略进行过滤，通过的流量由基站主机进行封装加密后转发。

本发明的工作原理：该基于防火墙的网络安全检测系统，采用两层审计，上层是防火墙根据自己的日志文件进行分析审计，下层通过对防火墙当前用户的AUTHID对用户进行审计，利用B2系统调用读取审计信息，进而进行审计分析，通过数据管理模块接收来自网络的数据，由过滤模块对之进行规则的匹配，从而控制进入内部网的数据包，同时考虑到系统的维护和安全，本系统增设管理机，实现对包过滤规则的安全方便的管理，同时我们将IP层安全模块同包过滤路由器结合在一起实现，整个装置结构简单，实用性强。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。