一种防火墙系统架构的制作方法

一种防火墙系统架构的制作方法
【专利摘要】本发明公开了一种防火墙系统架构，该系统架构从上到下分别分为管理层、服务层、内核层、物理层；其中，管理层采用B/S架构，提供基于Web浏览器的GUI管理模式；服务层包括守护进程，对管理层的功能提供支撑，并完成防火墙的功能；内核层包括防火墙的操作系统和设备驱动；物理层为防火墙的硬件环境，包括处理器、网卡、存储、串口及FPGA芯片。该一种防火墙系统架构与现有技术相比，可对进出内网的流量进行过滤，保障网络安全性，减少网络滥用，降低网络的安全风险，实用性强，易于推广。
【专利说明】
一种防火墙系统架构
技术领域
[0001]本发明涉及信息安全技术领域，尤具体地说是一种实用性强、防火墙系统架构。
【背景技术】
[0002]随着互联网应用的日益普及，网络已成为主要的数据传输和信息交换平台，防火墙技术则是实现网络信息安全的一种重要手段。长期以来，国内销售的防火墙设备一直采用国外芯片和软件系统，严重受制于人。作为信息安全基石的防火墙系统采用国外芯片和系统，其中暗藏的风险不言而喻。
[0003]鉴于存在的问题，本发明提出一种防火墙系统架构，该架构可采用申威处理器实现，可对进出内网的流量进行过滤，保障网络安全性，减少网络滥用，降低网络的安全风险。

【发明内容】

[0004]本发明的技术任务是针对以上不足之处，提供一种实用性强、防火墙系统架构。
[0005]—种防火墙系统架构，该系统架构从上到下分别分为管理层、服务层、内核层、物理层;其中，
管理层采用B/S架构，提供基于Web浏览器的⑶I管理模式；
服务层包括守护进程，对管理层的功能提供支撑，并完成防火墙的功能；
内核层包括防火墙的操作系统和设备驱动；
物理层为防火墙的硬件环境，包括处理器、网卡、存储、串口及FPGA芯片。
[0006]所述管理层内部通过调用服务层的程序和脚本实现策略管理、设备监控、系统管理、日志管理、部署管理的功能，对用户进行身份认证并记录操作日志。
[0007]所述服务层实现的防火墙功能包括双机热备功能、应用层过滤功能、系统监控功能、看门狗功能和日志管理功能。
[0008]所述服务层向管理层提供管理的服务，具体包含以下元素:
Web管理服务:为用户提供通过Web界面访问管理层功能的服务；
设备监控服务:监控防火墙的运行状态，包括CPU、内存、存储和网络流量，当运行状态异常时发出告警;负责启动并监控服务层的各项服务，当服务异常退出时负责重启服务，保障服务的连续性;负责调用看门狗，保障防火墙系统的健壮性；
双机热备服务:提供双机热备服务，备机通过心跳线监控主机存活，在主机无心跳时启动，以防内外网通信中断；
管理代理服务:通过内部接口连接FPGA管理接口，接收管理层的指令向FPGA下发配置指令，获取FPGA运行状态等信息；
包转发服务:通过包转发驱动获取FPGA抓取的网络包，并转发给透明代理进行应用层过滤；
透明代理服务:运行应用层的反向代理，还原网络包应用层信息，并按照策略进行过滤。
[0009]所述内核层内的防火墙操作系统采用Linux操作系统，且该内核层添加防火墙内部设备的驱动，为服务层的各个进程提供运行的软件环境。
[0010]所述物理层内的处理器为申威处理器，使用一块DOM电子盘作为存储，网卡提供千兆自适应以太网接口作为Web管理界面的接口，提供串口作为命令行管理接口，采用FPGA芯片实现三层及以下包过滤和抓取功能。
[0011]该架构的具体操作过程为:
配置下发:用户通过Web管理界面修改系统配置，Web管理服务调用相应的服务将配置应用到防火墙系统；
策略下发:用户通过Web管理界面修改了策略，Web管理服务调用管理代理服务，管理代理服务将策略通过FPGA管理接口将策略下发到FPGA，FPGA更新策略表；
设备监控:设备监控服务定期刷新，获取设备运行状态，获取各个服务运行状态，并对异常的运行状态进行告警，并进行恢复操作；
双机热备:主机双机热备服务通过串口向备机发送心跳信号，当主机当机导致心跳信号丢失时，备机激活过滤服务；当主机恢复时重新发送心跳信号，备机收到信号后关闭过滤服务；
代理转发:FPGA根据策略配置截取网络包，包转发服务通过轮询获取FPGA截取的网络包，并将网络包分配给对应的透明代理服务，透明代理服务获取网络包中的载荷，进行过滤，将安全的网络包按原路送回网络上。
[0012]本发明的一种防火墙系统架构，具有以下优点:
本发明的一种防火墙系统架构，基于申威处理器设计，即可满足用户通信安全可靠的需求，在功能、性能上也能达到行业水平，尤其在安全可控上，从硬件平台，到软件架构，均采用全国产化设备和软件，真正达到了安全可控的目标，设计四层架构，各层分工明确、合理，互为支撑，协同工作，共同保障防火墙功能的完整性、稳定性和高速性，可对进出内网的流量进行过滤，保障网络安全性，减少网络滥用，降低网络的安全风险，实用性强，易于推广。
【附图说明】
[0013]附图1为本发明的实现框图。
【具体实施方式】
[0014]下面结合附图和具体实施例对本发明作进一步说明。
[0015]如附图1所示，本发明提供一种防火墙系统架构，该系统架构从上到下分别分为管理层、服务层、内核层、物理层;其中，
管理层采用B/S架构，提供基于Web浏览器的⑶I管理模式；
服务层包括守护进程，对管理层的功能提供支撑，并完成防火墙的功能；
内核层包括防火墙的操作系统和设备驱动；
物理层为防火墙的硬件环境，包括处理器、网卡、存储、串口及FPGA芯片。
[0016]所述管理层内部通过调用服务层的程序和脚本实现策略管理、设备监控、系统管理、日志管理、部署管理的功能，对用户进行身份认证并记录操作日志。
[0017]所述服务层实现的防火墙功能包括双机热备功能、应用层过滤功能、系统监控功能、看门狗功能和日志管理功能。
[0018]所述服务层向管理层提供管理的服务，具体包含以下元素:
Web管理服务:为用户提供通过Web界面访问管理层功能的服务；
设备监控服务:监控防火墙的运行状态，包括CPU、内存、存储和网络流量，当运行状态异常时发出告警;负责启动并监控服务层的各项服务，当服务异常退出时负责重启服务，保障服务的连续性;负责调用看门狗，保障防火墙系统的健壮性；
双机热备服务:提供双机热备服务，备机通过心跳线监控主机存活，在主机无心跳时启动，以防内外网通信中断；
管理代理服务:通过内部接口连接FPGA管理接口，接收管理层的指令向FPGA下发配置指令，获取FPGA运行状态等信息；
包转发服务:通过包转发驱动获取FPGA抓取的网络包，并转发给透明代理进行应用层过滤；
透明代理服务:运行应用层的反向代理，还原网络包应用层信息，并按照策略进行过滤。
[0019]所述内核层内的防火墙操作系统采用Linux操作系统，且该内核层添加防火墙内部设备的驱动，为服务层的各个进程提供运行的软件环境。
[0020]所述物理层内的处理器为申威处理器，使用一块DOM电子盘作为存储，网卡提供千兆自适应以太网接口作为Web管理界面的接口，提供串口作为命令行管理接口，采用FPGA芯片实现三层及以下包过滤和抓取功能。
[0021]该架构的具体操作过程为:
配置下发:用户通过Web管理界面修改系统配置，Web管理服务调用相应的服务将配置应用到防火墙系统；
策略下发:用户通过Web管理界面修改了策略，Web管理服务调用管理代理服务，管理代理服务将策略通过FPGA管理接口将策略下发到FPGA，FPGA更新策略表；
设备监控:设备监控服务定期刷新，获取设备运行状态，获取各个服务运行状态，并对异常的运行状态进行告警，并进行恢复操作；
双机热备:主机双机热备服务通过串口向备机发送心跳信号，当主机当机导致心跳信号丢失时，备机激活过滤服务；当主机恢复时重新发送心跳信号，备机收到信号后关闭过滤服务；
代理转发:FPGA根据策略配置截取网络包，包转发服务通过轮询获取FPGA截取的网络包，并将网络包分配给对应的透明代理服务，透明代理服务获取网络包中的载荷，进行过滤，将安全的网络包按原路送回网络上。
[0022]网络包通过本发明实现的防火墙系统时有快慢两种通道，防火墙通过策略对网络包的包头进行筛选，通过筛选的网络包可通过快通道通过防火墙，未通过筛选的网络包直接丢弃，或者进入慢通道，对网络包的内容进行过滤。快慢通道的设计提高了防火墙的吞吐量，降低了网络包的时延，同时又兼顾了深度过滤，保障了内网的安全。
[0023]上述【具体实施方式】仅是本发明的具体个案，本发明的专利保护范围包括但不限于上述【具体实施方式】，任何符合本发明的一种防火墙系统架构的权利要求书的且任何所述技术领域的普通技术人员对其所做的适当变化或替换，皆应落入本发明的专利保护范围。
【主权项】
1.一种防火墙系统架构，其特征在于，该系统架构从上到下分别分为管理层、服务层、内核层、物理层;其中， 管理层采用B/S架构，提供基于Web浏览器的⑶I管理模式； 服务层包括守护进程，对管理层的功能提供支撑，并完成防火墙的功能； 内核层包括防火墙的操作系统和设备驱动； 物理层为防火墙的硬件环境，包括处理器、网卡、存储、串口及FPGA芯片。2.根据权利要求1所述的一种防火墙系统架构，其特征在于，所述管理层内部通过调用服务层的程序和脚本实现策略管理、设备监控、系统管理、日志管理、部署管理的功能，对用户进行身份认证并记录操作日志。3.根据权利要求1所述的一种防火墙系统架构，其特征在于，所述服务层实现的防火墙功能包括双机热备功能、应用层过滤功能、系统监控功能、看门狗功能和日志管理功能。4.根据权利要求3所述的一种防火墙系统架构，其特征在于，所述服务层向管理层提供管理的服务，具体包含以下元素: Web管理服务:为用户提供通过Web界面访问管理层功能的服务； 设备监控服务:监控防火墙的运行状态，包括CPU、内存、存储和网络流量，当运行状态异常时发出告警;负责启动并监控服务层的各项服务，当服务异常退出时负责重启服务，保障服务的连续性;负责调用看门狗，保障防火墙系统的健壮性； 双机热备服务:提供双机热备服务，备机通过心跳线监控主机存活，在主机无心跳时启动，以防内外网通信中断； 管理代理服务:通过内部接口连接FPGA管理接口，接收管理层的指令向FPGA下发配置指令，获取FPGA运行状态等信息； 包转发服务:通过包转发驱动获取FPGA抓取的网络包，并转发给透明代理进行应用层过滤； 透明代理服务:运行应用层的反向代理，还原网络包应用层信息，并按照策略进行过滤。5.根据权利要求1所述的一种防火墙系统架构，其特征在于，所述内核层内的防火墙操作系统采用Linux操作系统，且该内核层添加防火墙内部设备的驱动，为服务层的各个进程提供运行的软件环境。6.根据权利要求1所述的一种防火墙系统架构，其特征在于，所述物理层内的处理器为申威处理器，使用一块DOM电子盘作为存储，网卡提供千兆自适应以太网接口作为Web管理界面的接口，提供串口作为命令行管理接口，采用FPGA芯片实现三层及以下包过滤和抓取功能。7.根据权利要求1-6任一所述的一种防火墙系统架构，其特征在于，该架构的具体操作过程为: 配置下发:用户通过Web管理界面修改系统配置，Web管理服务调用相应的服务将配置应用到防火墙系统； 策略下发:用户通过Web管理界面修改了策略，Web管理服务调用管理代理服务，管理代理服务将策略通过FPGA管理接口将策略下发到FPGA，FPGA更新策略表； 设备监控:设备监控服务定期刷新，获取设备运行状态，获取各个服务运行状态，并对异常的运行状态进行告警，并进行恢复操作； 双机热备:主机双机热备服务通过串口向备机发送心跳信号，当主机当机导致心跳信号丢失时，备机激活过滤服务；当主机恢复时重新发送心跳信号，备机收到信号后关闭过滤服务； 代理转发:FPGA根据策略配置截取网络包，包转发服务通过轮询获取FPGA截取的网络包，并将网络包分配给对应的透明代理服务，透明代理服务获取网络包中的载荷，进行过滤，将安全的网络包按原路送回网络上。
【文档编号】H04L29/06GK105871849SQ201610205077
【公开日】2016年8月17日
【申请日】2016年4月5日
【发明人】赵瑞东, 李若寒, 李传忠, 刘强, 张小亮
【申请人】山东超越数控电子有限公司