一种基于重叠网的分布式防火墙安全策略配置方法和系统的制作方法

一种基于重叠网的分布式防火墙安全策略配置方法和系统的制作方法
【专利摘要】本发明提供了一种基于重叠网的分布式防火墙安全策略配置方法及系统，所述方法包含如下步骤：步骤101）部署于某一域内的智能节点采集其对应域内的反映网络所承载的业务流信息的第一参考信息，并依据所述第一参考信息生成安全策略；步骤102）上一步骤所述的智能节点将其生成的安全策略同时分配给其对应域内的防火墙和位于其它域内的智能节点；步骤103）上一步骤中所述位于其它域内的智能节点将其收到的来自其余节点的安全策略作为第二参考信息动态调整其对应的安全策略，并将生成的安全策略分配给域内防火墙，从而完成域间的安全策略配置。所述步骤101）所述的智能节点依据第一参考信息和防火墙性能状态信息生成安全策略。
【专利说明】—种基于重叠网的分布式防火墙安全策略配置方法和系统【技术领域】
[0001]本发明涉及网络安全【技术领域】，更确切地说具体涉及一种基于重叠网的分布式防火墙安全策略配置方法和系统。
【背景技术】
[0002]防火墙(Firewall)是一个由软件和硬件设备组合而成的设备，可以在内部网络和外部网络之间、专用网络和公共网络之间构造保护屏障。防火墙设备可以按照设定的规则，允许或者是限制传输数据的通过。防火墙仍然是保证网络安全不可或缺的手段。在网络规模不大的情况下，传统边界防火墙是非常有效的。但是，随着网络规模的爆炸式增长，传统防火墙技术的缺陷开始显露。网络单点瓶颈、新业务支持能力受限和安全管理模式单一等问题使传统边界防火墙越来越受到人们的诟病。因此，单纯依靠传统防火墙往往难以完成对现有网络进行有效的隔离和保护的任务。
[0003]为了解决以上面临的问题，人们提出了分布式防火墙的概念，用来满足网络发展的需求。分布式防火墙是指，物理上存在多个防火墙实体在联合工作，但从逻辑上看，多个防火墙组成了一个逻辑防火墙。从网络管理者角度来分析，管理者不需要了解防火墙的分布细节，只需要清楚了解防火墙需要保护的资源，以及其使用权限即可。分布式防火墙的基本思想是:安全策略的制定由策略中心服务器集中定义，安全策略的执行由相关节点独立实施；安全日志由主机节点分散产生，安全日志的保存则集中到中心策略服务器上。其中，在每一个被防火墙分割的网络中，所有的计算机之间是被认为“可信任的”，它们之间的通信可以不受防火墙的干涉。而在各个被防火墙分割的网络之间，必须按照防火墙规定的“安全策略”进行互相的访问。因此必须通过对防火墙的安全策略进行排至，实现防火墙对网络的保护。
[0004]防火墙安全策略配置指的是使用基于策略的方法实现对防火墙系统的管理。安全策略的一般描述方式是由条件和动作组成的管理规则，采用if/hen的结构，即当网络中的条件规则满足时，防火墙执行管理规则所定义的相应动作。安全策略配置的方式将防火墙管理任务的重点从设备上面转移到了业务层面上面，其所具有的优势为:(1)管理的自动化；(2)更好的灵活性；(3)实现大规模管理的可靠性和一致性；(4)智能化和人性化。
[0005]分布式防火墙可以很好地适应网络的发展趋势，解决传统防火墙存在的不足，有效地保护所管网络。在网络中部署分布式防火墙有两个方面的好处:一方面有效地保证了用户的投资不会很高，另一方面给网络所带来的安全防护是非常全面的。因此，分布式防火墙的策略配置技术研究已经成为当前学术界和产业界的热点；同时，鉴于分布式防火墙在现有网络中已经开始规模化部署，分布式防火墙的策略配置研究也将具有广阔的应用前景。
[0006]分布式防火墙系统的安全策略配置需要解决的关键问题有两个方面:安全策略的生成和安全策略分发的结构。现有技术的分布式防火墙常用的安全策略生成和分发结构一般为客户机/服务器(Client/Server)架构，该架构通常包含集中式的策略管理中心和分布式的策略执行点。
[0007]其中，上述的典型的例子包括申请号为“CN201010578836.1”，申请文件的名称为《基于防御策略的Liunx分布式防火墙系统》中提出的一种基于防御策略的Linux分布式网络防火墙系统。其中，该系统结构为局域网中安装Linux操作系统的计算机提供网络安全保护，是一种基于防御策略的分布式防火墙系统。所述系统的策略生成，需要获取底层的信息，包括网络拓扑、节点的IP地址、网络掩码、网络服务、运行的应用程序、用户和服务漏洞等等信息；且该系统包含的服务器端通过对信息的分析和处理得到合适的策略。所述该系统的策略分发采用了分布式的C/S架构:其中，Server端建立更新和部署防御规则；分布式的Client端子系统更新策略，从而达到了保护系统的目的。所述该系统使用高效的策略部署，脱离底层，操作更容易上手；SSL方式确保数据的完整和安全传输；客户端采用现有的开源单机防火墙，具有更高的稳定性和可用性。可以有效地解决局域网内大范围部署防御策略效率低下的问题，通过服务器端子系统进行统一策略配置，使得分布式防火墙的优势更加明显。所述该系统结构图如图1所示。
[0008]此外，专利申请号为“CN200910139711.6”，申请文件名称为《防火墙安全策略配置方法及管理装置》文件也提出了采用一个独立于防火墙设备的安全策略中心来管理和生成策略，其中所述管理装置独立于防火墙设备的防火墙系统组网示意图如图2所示。该方案中的安全策略生成需要获取源防火墙发来的最大报文速率、报文大小、开关参数的防范配置信息、IP地址、端口号、网络协议，以及动作属性的过滤规则等信息。基于该系统对网络信息的分析，生成包含安全策略配置信息的策略包，并将信息发给关联防火墙。该系统中策略的分发采用集中式的分发结构。系统中某一个防火墙需要更新安全策略时，管理装置将需要更新的安全策略逆向还原为策略包，根据策略包中所述安全策略配置信息对应的关联防火墙信息，将安全策略配置信息发给关联防火墙，同时发送给网络中其它防火墙，即通过管理装置完成策略分发，实现对系统中所有防火墙的策略配置。
[0009]网络安全技术作为网络管理技术的一部分，有一些学者采用基于安全策略的网络管理技术对防火墙系统做策略管理。现有技术的基于安全策略的防火墙体系结构分为两个组件:策略实施点(PEP =Policy Enforcement Point)和策略决策点(PDP =PolicyDecisionPoint)。策略决策点PDP生成策略，并将策略下传给PEP ;策略执行点PEP将策略转化为配置命令，管理网络的状态。
[0010]国内学者李拴保，倪天林，王燕萍，王世伟，何汉华，炊昆，张一君.基于策略框架的防火墙安全管理平台体系结构[J].河南教育学院学报(自然科学版).2008，17(2):47-50中介绍了一种基于策略框架的防火墙安全管理平台体系结构，是基于策略的管理体系结构之上的分布式防火墙结构。系统中，防火墙作为PEP ;PDP的上层存在着安全策略管理工具。该系统的安全策略生成并没有依靠于信息采集点的分析功能，而是由策略接口输入的策略指令来决定；系统策略的分发采用了集中式的方式，PDP收到PEP的请求，并对策略进行相应处理，处理后的策略将下发给PEP(即防火墙)进行执行。其中，该系统的结构如图3所示
[0011]此外，国外学者Steve Zeber Steve Zeber,在文献Defence R&D Canada.DynamicPolicy-Based Network Management for a Secure Coalition Environment[J].1EEECommunications Magazine.2006，11:58-64中提出了一种基于策略的网络管理模型。该模型以分布式结构为基础，可以动态的产生策略。该模型之所以可以在一个广域网中配置和管理一个相对安全的内部网络环境，是因为该系统能够快速感知到网络中存在的异常，并根据异常生成相应的策略。该模型中策略的分发采用集中式的分发方式:由策略决策点PDP将输入的高层策略转变为输出的低层策略，并将策略发送到策略实施点PEP(VPN设备、防火墙和路由器等)。通过本模型可以对域内的设备进行动态自动配置，实现网络内的各个设备协调工作。
[0012]然而现有技术所采用的分布式防火墙系统一般存在以下的缺陷:
[0013]1、安全策略的生成单纯依赖于防火墙系统所承载的业务流信息，缺乏对当前网络承载状态的感知。当前的分布式防火墙系统在生成安全策略时，一般所参考的因素包括用户的网络拓扑、用户节点的IP地址、网络掩码、网络服务、运行的应用程序、用户、服务漏洞、最大报文速率、报文大小、开关参数的防范配置信息、端口号、网络协议，以及动作属性等信息。然而这些信息大多与用户身份、IP流和网络静态结构相关，均缺少对网络设备承载状态的感知，因此导致系统无法针对网络中突发情况快速生成合适的安全策略。
[0014]2、集中式架构生成安全策略，往往会造成单点瓶颈。C/S架构便于策略中心对防火墙进行集中的管理，安全日志由主机节点分散产生，安全日志的保存则集中到中心策略服务器上；但是该结构中，安全策略控制中心承担着大量的计算和通信工作。随着网络规模的不断扩大，策略控制中心的负荷也越来越大，导致策略控制负载过重而造成了策略更新的滞后。而策略中心的更新滞后甚至崩溃将会导致整个网络的滞后甚至无法运行。所以，策略的集中式管理给网络安全带来很大的隐患。
[0015]3、现有技术在采用用户防火墙的分布式防火墙系统中，安全策略的执行点均为网络中的用户终端。因此，每次安全策略配置的作用域范围被局限在所控主机内，因此一次配置只能实现对一台电脑的控制。
[0016]4、现有的防火墙系统一般只考虑到一个域内的部署，仅关心对域内网络状态的管理；缺少多个逻辑域之间的联动，无法实现对全局网络中防火墙的策略配置。

【发明内容】

[0017]本发明的目的在于，为克服现有技术的上述缺陷，本发明提供了基于重叠网的分布式防火墙安全策略配置方法和系统。
[0018]本方案中提出的分布式防火墙系统中的策略配置方法可以对网络中业务流信息和防火墙性能状态信息进行提取，并将提取的信息发送给智能节点。智能节点对网络的信息进行处理和分析，并根据网络的运行状态和用户的业务状态等信息生成控制策略，最后通过智能节点动态分发给域内相关的节点防火墙。同时，智能节点之间可以相互通信进行信息的交互，保证逻辑域之间的联动，实现分布式防火墙对全网的安全防护。
[0019]为实现上述目的，本专利申请提供了一种基于重叠网的分布式防火墙安全策略配置方法，所述方法包含如下步骤:
[0020]步骤101)部署于某一域内的智能节点采集其对应域内的反映网络所承载的业务流信息的第一参考信息，并依据所述第一参考信息生成安全策略；
[0021]步骤102)上一步骤所述的智能节点将其生成的安全策略同时分配给其对应域内的防火墙和位于其它域内的智能节点；[0022]步骤103)上一步骤中所述位于其它域内的智能节点将其收到的来自其余节点的安全策略作为第二参考信息动态调整其对应的安全策略，并将生成的安全策略分配给域内防火墙，从而完成域间的安全策略配置。
[0023]上述技术方案中，步骤101)所述的智能节点依据第一参考信息和防火墙性能状态信息生成安全策略。
[0024]上述技术方案中，步骤103)所述位于其它域内的智能节点依据第二参考信息和采集的第一参考信息生成安全策略。
[0025]上述技术方案中，所述智能节点之间采用XML语言进行的策略传输。
[0026]所述第一参考信息包含:节点的IP地址、网络掩码、网络服务、运行的应用程序、服务漏洞、最大报文速率、报文大小、端□号和网络协议；
[0027]所述防火墙性能状态信息包含:防火墙的CPU利用率、防火墙的内存利用率、接口带宽利用率、接口的丢包率、接口的传输速率和接口队列长度。
[0028]基于上述方法，本发明还提供了一种基于重叠网的分布式防火墙安全策略配置系统，其特征在于，所述安全策略配置系统包含:部署于各域内的防火墙和部署于各域内的智能节点；
[0029]所述智能节点，用于采集智能节点所在域内的网络相关信息，并依据采集的相关信息生成安全策略；
[0030]其中，所述智能节点之间相互通信，通过逻辑连接形成重叠网络，并利用重叠网络进行安全策略信息的交互，实现了逻辑域之间的联动，完成了分布式防火墙对全网的安全防护工作。
[0031]上述技术方案中,所述智能节点进一步包含:
[0032]采集模块，用于负责对网络相关信息进行采集，其中相关信息包含反映网络所承载的业务流信息和/或防火墙性能状态信息；
[0033]信息智能处理模块，用于对采集的业务流信息和防火墙性能状态信息进行智能处理，分析出当前网络中用户业务流的需求、网络中设备的运行状态或网络中是否存在异常状况，并将处理结果发送给策略生成与翻译模块；
[0034]策略生成与翻译模块，用于根据信息智能处理模块的分析结果，生成相应的安全策略，并将策略翻译成为防火墙可执行的命令；
[0035]安全策略分发模块，用于对策略生成与翻译模块生成的策略下发到所控防火墙，实现防火墙的策略配置；
[0036]策略决策点联动模块，用于将策略生成与翻译模块生成的安全策略在重叠网上包含的各智能节点之间进行传输或接受其余智能节点传输过来的安全策略，进而完成逻辑域之间的联动，实现对全网的安全策略分发；和
[0037]联动策略生成模块，用于在收到其他智能节点发来的安全策略后，对收到的安全策略进行判断，根据判断结果生成相应的安全策略。
[0038]上述技术方案中，所述策略生成与翻译模块进一步包含:策略生成子模块，用于根据信息智能处理模块的分析得到的网络状态，生成相应的安全策略；和
[0039]翻译子模块，用于将生成相应的安全策略翻译成为防火墙可以执行的指令，或者描述成为智能节点可以识别的策略形式。[0040]上述技术方案中所述联动策略生成模块，承载的业务流信息，包括:节点的IP地址、网络掩码、网络服务、运行的应用程序、服务漏洞、最大报文速率、报文大小、端口号和网络协议；
[0041]所述防火墙性能状态信息，包括:防火墙的CPU利用率、防火墙的内存利用率、接口带宽利用率、接口的丢包率、接口的传输速率和接口队列长度。
[0042]上述技术方案中，所述联动策略生成模块进一步包含:
[0043]接收子模块，用于接收到来自于策略决策点联动模块收集的其他智能节点的安全策略；和
[0044]联动子模块，用于在收到安全策略后，根据网络状态，对策略进行判断，按照判断结果，进行策略的生成，达到逻辑域间的联动，从而实现对全网的策略配置。
[0045]本方案所提出的分布式防火墙安全策略配置系统采用重叠网的方式来实现，该安全策略配置系统由一系列智能节点和防火墙组成。所述智能节点作为安全策略决策点，通过采集网络信息，对采集的信息进行综合智能处理，最后根据处理结果生成控制策略，实现了对域内防火墙的策略管理，从而将安全策略生成功能从现有防火墙中剥离，降低了防火墙的负担。此外，智能节点之间可以相互通信，通过逻辑连接形成重叠网络，并利用重叠网络进行策略信息的交互，实现了逻辑域之间的联动，完成了分布式防火墙对全网的安全防护工作。这种方法既可以消除单个策略控制中心存在的约束性和策略配置的冲突问题，又可以有效的改善分布式防火墙的性能，扩大分布式防火墙的适用范围，提高网络的安全性。
【专利附图】

【附图说明】
[0046]图1是现有技术的C/S架构的分布式防火墙系统结构示意图；
[0047]图2是现有技术的采用一个独立于防火墙设备的策略中心来管理和生成策略的网络组成结构示意图；
[0048]图3现有技术基于策略的管理体系结构之上的分布式防火墙结构防火墙安全管理平台体系结构示意图；
[0049]图4是本发明的分布式防火墙系统在全网的部署示意图；
[0050]图5是本发明提供的策略配置流程图；
[0051]图6是本发明的策略决策点的结构框图；
[0052]图7是本发明提供的实施例1的网络拓扑结构图；
[0053]图8是实施例1在30秒内主机PCl对主机Server的扫描结果示意图；
[0054]图9是实施例1智能信息处理模块的决策函数
[0055]图10是实施例用XML对策略的描述结构图；
[0056]图11是实施例1的H3CF100S防火墙的黑名单配置图；
[0057]图12是实施例1的CISC0ASA防火墙的黑名单配置图；
[0058]图13是本发明提供的实施例2饿网络拓扑图；
[0059]图14是实施例2的防火墙端口平均每秒丢包数；
[0060]图15是实施例2的优化之前视频点播的画面图；
[0061]图16是实施例2智能信息处理模块的决策函数；
[0062]图17是实施例2采用XML对策略的描述；[0063]图18是实施例2的H3C防火墙对PC-FTPl主机限速配置；
[0064]图19是实施例2的PC-FTPl主机被限速后的PC-V0D主机视频点播画面；
[0065]图20是实施例2的逻辑域2中PC-FTP2开启下载后PC-V0D视频画面质量；
[0066]图21是本发明实施例2的CISCO黑名单配置；
[0067]图22是实施例2的防火墙联动优化后PC-VOD的流畅画面。
【具体实施方式】
[0068]下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0069]图4为分布式防火墙系统在全网的部署示意图:该系统实现策略配置的步骤如下:
[0070](I)采集相关信息
[0071]本方案中所介绍的分布式防火墙系统在生成策略时，由智能节点负责对网络相关信息进行采集。所采集的信息包含两部分，第一部分为所承载的业务流信息，包括:节点的IP地址、网络掩码、网络服务、运行的应用程序、服务漏洞、最大报文速率、报文大小、端口号、网络协议等；第二部分为防火墙性能状态信息，包括:防火墙的CPU利用率、防火墙的内存利用率、接口带宽利用率、接口的丢包率、接口的传输速率和接口队列长度等信息。
[0072]其中，智能节点采集信息的方式可以有多种方式，诸如利用SNMP协议获取防火墙状态信息，对流量进行业务 流分类和识别等等。
[0073](2)信息智能处理
[0074]策略决策点在完成对业务流/[目息和防火墙性能状态?目息的米集之后，对?目息进行智能处理，分析出当前网络中用户业务流的需求、网络中设备的运行状态、网络中是否存在异常状况等，并将处理结果发送给策略生成与翻译模块。
[0075](3)生成控制策略
[0076]策略生成与翻译模块根据分析的结果，生成相应的安全策略，并将策略翻译成为防火墙可执行的命令或者描述成为智能节点可以识别的策略形式。。
[0077](4)分发策略到防火墙
[0078]策略决策点的分发模块对策略进行分发，将策略下发到所控防火墙，实现防火墙的策略配置。
[0079]其中，策略决策点与防火墙的通信方式有多种方法可供采用，诸如采用Telnet和SSH协议等。
[0080](5)策略决策点联动
[0081]在安全策略生成以后，重叠网上层的智能节点之间进行通信:生成的策略在重叠网上层的各个策略决策点之间进行传输，完成了逻辑域之间的联动，实现对全网的策略分发。
[0082](6)进行策略的判断和控制
[0083]策略决策点在收到其他策略决策点发来的策略后，对收到的策略进行判断。[0084]如果智能节点收到来自于其他逻辑域的策略信息是处理域内网络攻击或对域内网络服务质量进行优化的策略，那么智能节点经过判断，生成策略:当该逻辑域内发生相似的网络攻击或网络服务，则执行该策略，对域内的网络攻击进行处理或对域内的网络服务质量进行优化。
[0085]如果智能节点收到来自于其他逻辑域的策略信息是处理域间网络攻击或对域间网络服务质量进行优化的策略，那么智能节点经过判断，生成策略:当逻辑域间的网络攻击或网络服务，可受到该域管理时，则执行该策略，对域间的网络攻击进行处理或对域间的网络服务质量进行优化。
[0086]综上所述，本发明的分布式防火墙系统策略配置的过程是由策略决策点和策略决策点之间，策略决策点与受控防火墙之间的联动协调实现的。
[0087]本方案中策略决策点(即智能节点)是整个系统的核心部分，主要包括6个功能模块:采集模块、信息智能处理模块、策略生成与翻译模块、安全策略分发模块、策略决策点联动模块、联动策略生成模块。
[0088]策略决策点的结构如图6所示:策略决策点中各个模块的功能详细描述如下:
[0089]采集模块可以对网络信息进行采集，主要用于获取网络中的承载的业务流信息和防火墙性能状态信息。业务流信息包括:节点的IP地址、网络掩码、网络服务、运行的应用程序、服务漏洞、最大报文速率、报文大小、端口号、网络协议；防火墙性能状态信息包括:防火墙的CPU利用率、防火墙的内存利用率、接口带宽利用率、接口的丢包率、接口的传输速率、接口队列长度等等信息。智能节点采集信息的方式可以有多种方式，诸如利用SNMP协议获取防火墙状态信息，对流量进行业务流分类和识别等等
[0090]智能信息处理模块对信息进行智能综合处理，分析出当前网络中用户业务流的需求、网络中设备的运行状态、网络中是否存在异常状况等，并将信息发送给策略生成与翻译模块。
[0091]策略生成与翻译模块，根据信息智能处理模块的分析得到的网络状态，生成相应的安全策略，并将安全策略翻译成为防火墙可以执行的指令，或者描述成为智能节点可以识别的策略形式。策略生成与翻译模块进一步包含:策略生成子模块，用于根据信息智能处理模块的分析得到的网络状态，生成相应的安全策略；和翻译子模块，用于将生成相应的安全策略翻译成为防火墙可以执行的指令，或者描述成为智能节点可以识别的策略形式。
[0092]安全策略分发模块实现对分布式防火墙策略的远程安全分发。其中包括两种不同的分发方式。一种是将策略下发到防火墙，实现防火墙的策略配置，最常用的分发方式为Telnet，SSH等。第二种分发是策略决策点之间的通信:生成的策略由当前策略决策点发送到其他策略决策点，完成了逻辑域之间的联动，实现对全网的策略配置。
[0093]策略决策点联动模块，用于将策略生成与翻译模块生成的安全策略在重叠网上包含的各智能节点之间进行传输或接受其余智能节点传输过来的安全策略，进而完成逻辑域之间的联动，实现对全网的安全策略分发。
[0094]联动策略生成模块，接收到来自于策略决策点联动模块收集的其他智能节点的安全策略；在收到安全策略后，根据网络状态，对策略进行判断，按照判断结果，进行策略的生成，达到逻辑域间的联动，从而实现对全网的策略配置。联动策略生成模块进一步包含:接收子模块，用于接收到来自于策略决策点联动模块收集的其他智能节点的安全策略；和联动子模块，用于在收到安全策略后，根据网络状态，对策略进行判断，按照判断结果，进行策略的生成，达到逻辑域间的联动，从而实现对全网的策略配置。
[0095]实施例1
[0096]拓扑如图7所示:
[0097]在实验拓扑中，逻辑域I和逻辑域2为两个逻辑域。
[0098]逻辑域I中智能节点I (IP地址为192.168.11.100，子网掩码为255.255.255.0)为逻辑域内的防火墙的策略决策点；防火墙I (H3CF100S防火墙)为主机PCI (IP地址为192.168.1.1，子网掩码为255.255.255.0)的出口防火墙，可以控制主机PCl的流量和访问行为；主机PCl中使用应用程序Scanport对主机Server进行端口扫描。
[0099]逻辑域2中智能节点2 (IP地址为192.168.12.100，子网掩码为255.255.255.0)为逻辑域内的防火墙的策略决策点；防火墙2 (ClSCOASA防火墙)为主机PC2 (IP地址为192.168.2.1，子网掩码为255.255.255.0)的出口防火墙，可以控制主机PC2的流量和访问行为；主机PC2中使用应用程序Scanport对主机Server进行端口扫描。
[0100]该实施例描述了网络中主机PCl对主机Server的端口进行扫描时，系统通过策略配置实现对网络的安全保护。系统工作的步骤如下:
[0101]1.智能节点I对域内的网络相关信息进行采集。为了对端口扫描行为进行检测，
[0102]智能节点采集了主机PCl和主机Server之间的通信情况；
[0103]将智能节点I所在域内网络中的扫描使用四元组〈源IP，目的IP，源端口，目的端口 >的形式来表示，检测周期设置为30秒。周期内检测到的扫描结果如图8所示:
[0104]该图表示30秒内，
[0105]IP 地址为 192.168.1.1 的 6172 号端口对 IP 地址为 192.168.0.1 的 8080 号端口
进行一次扫描；
[0106]IP地址为192.168.1.1的4092号端口对IP地址为192.168.0.1的80号端口进行一次扫描；
[0107]IP地址为192.168.1.1的7321号端口对IP地址为192.168.0.1的21号端口进行一次扫描；
[0108]IP地址为192.168.1.1的43271号端口对IP地址为192.168.0.1的23号端口进行一次扫描；
[0109]IP地址为192.168.1.1的4317号端口对IP地址为192.168.0.1的110号端口进行一次扫描；
[0110]IP地址为192.168.1.1的2103号端口对IP地址为192.168.0.1的25号端口进行一次扫描；
[0111]统计得到，30秒内IP地址为192.168.1.1的主机PCl对IP地址为192.168.0.1的
[0112]主机Server的6个不同的端口进行扫描；
[0113]2.策略决策点在采集信息之后，智能信息处理模块对信息进行智能处理，分析出当前网络中IP地址为192.168.1.1的主机PCl对IP地址为192.168.0.1的主机Server进行恶意的端口扫描，并将处理结果发送给策略生成与翻译模块；
[0114]其中，智能信息处理模块的决策函数的流程如图9所示，该流程包含如下步骤:[0115](I)定义num为周期内检测到的扫描次数，定义portState为网络扫描的次数，定义portScan用来赋值判定否存在网络扫描；
[0116](2)将智能节点检测到的扫描次数num赋值给portstate ；
[0117](3)做一个时间周期内的扫描次数是否大于等于6的判断，如果扫描次数大于等于6，则认定为网络存在恶意的端口扫描行为；否则认为网络不存在恶意的端口扫描行为。
[0118]3、策略生成与翻译模块生成安全策略，并将策略翻译成为防火墙可执行的命令；
[0119]策略使用XML语目进行描述,如图10所不:
[0120](I) XML对该策略的描述首先定义端口扫描的行为；
[0121](2)端口扫描行为的特征为在周期为30s的时间内最小扫描次数为6次；
[0122](3)如果存在端口扫描行为则执行加入黑名单的动作。
[0123]智能节点I依据分析结果生成相应策略，将策略翻译成为防火墙的控制指令，对所在区域的防火墙进行配置，即添加黑名单的策略。该策略调用防火墙I (H3CF100S防火墙)的指令如图11所示，该图描述为H3C F100-S防火墙添加黑名单的命令行指令，具体步骤如下:
[0124](I)开启防火墙的黑名单功能；
[0125](2)将IP地址为192.168.1.1的PC加入黑名单。
[0126]4、策略决策点的分发模块使用SSH协议对策略进行分发，把策略以加密的形式下发到防火墙I，实现对防火墙I的策略配置。此时PCl由于被加入黑名单，对Server的扫描数据包被阻断，智能节点I所在逻辑域的网络安全问题得到解决；
[0127]5、智能节点I和智能节点2进行通信；生成的策略以XML的方式由智能节点I发送给智能节点2 ；
[0128]6、此时在PC2上面运行扫描程序，然后查看防火墙2的配置，发现防火墙2已实现了 addtoblacklistbyaction 的策略配置。
[0129]防火墙2(CISC0ASA防火墙)的黑名单配置如图12所示，该图描述为CISC0ASA5510防火墙添加黑名单的命令行指令
[0130](I)创建组对象，将IP地址192.168.2.1加入到组对象；
[0131](2)创建访问控制列表组织任何组对象与任何IP的通信；
[0132](3)将访问控制列表应用于到svl端口。
[0133]使用PC2向Server发送数据包,但是Server无法查看到来自于PC2的数据包；
[0134]实施例1可以看出，当一个逻辑域检测到网络内部出现了攻击或扫描时，会智能产生安全策略，并且通过智能节点所组建的重叠网进行策略分发，实现逻辑域之间的联动，完成全网的策略部署。
[0135]实施例2
[0136]拓扑如图13所示:
[0137]在实验拓扑中，逻辑域I和逻辑域2为两个逻辑域。
[0138]逻辑域I中智能节点I (IP地址为192.168.11.100，子网掩码为255.255.255.0)为逻辑域内的防火墙的策略决策点；防火墙I (H3CF100S防火墙)为PC-VOD主机(IP地址为 192.168.1.2，子网掩码为 255.255.255.0)和 PC-FTPl 主机(IP 地址为 192.168.1.1，子网掩码为255.255.255.0)的出口防火墙，可以控制PC-FTPl主机和PC-VOD主机的流量和访问行为；PC_VOD主机中的安装有应用程序VLC Media Player，可以从Server主机获取视频点播服务；PC-FTP1主机中运行应用程序FlashFXP，可以从Server主机进行FTP数据下载；
[0139]逻辑域2中智能节点2 (IP地址为192.168.12.100，子网掩码为255.255.255.0)为逻辑域内的防火墙的策略决策点；防火墙2 (ClSCOASA防火墙)为PC-FTP2主机(IP地址为192.168.2.1，子网掩码为255.255.255.0)的出口防火墙，可以控制PC-FTP2主机的流量和访问行为；PC-FTP2主机中安装有应用程序FlashFXP，可以从Server主机进行FTP数据下载；
[0140]Server主机装有FTP服务器软件和VOD服务器软件，为PC-VOD主机提供视频点播服务，为PC-FTPl主机和PC-FTP2主机提供FTP服务；防火墙I的ETH0/1端口通过防火墙2与Server主机相连,防火墙I与防火墙2之间线路带宽限定为2Mbps ;防火墙2与Server主机之间的线路带宽限定为3Mbps ；
[0141]该实施例中PC-VOD主机从Server主机进行视频点播，然后依次打开PC-FTP1主机、PC-FTP2主机的FlashFXP程序，从Server主机进行FTP数据下载，对带宽进行占用。
[0142]系统通过分析网络状态，对FTP下载流量进行优化控制，从而保证了视频点播的用户体验。系统工作的步骤如下:
[0143]1.为了检测网络状态，保证用户体验，智能节点从逻辑域I中提取了两部分信息，一部分为PC-VOD主机和PC-FTPl主机的业务信息，第二部分为防火墙I的ETH0/1端口丢包信息；
[0144]通过业务信息的采集:可以得知IP地址为192.168.1.2的PC-VOD主机中运行的为视频点播服务，IP地址为192.168.1.1的PC-FTPl主机中运行的为FTP下载服务
[0145]通过SNMP协议，获取防火墙ETH0/1端口丢包的信息统计如图14所示MIB结点，端口丢包个数 iflnDiscards 的 OID 号为 1.3.6.1.2.1.2.2.1.13.770 ；
[0146](I)使用snmpget对端口丢包个数进行提取，得到的丢包个数；
[0147](2)在5秒以后，再次使用snmpget对端口丢包个数进行提取，得到的5秒后的丢包个数；
[0148](3)使用5秒后的数值减去5秒之前的数值，使用两数相减的差值除以5，
[0149]得到平均每秒的丢包数discardNumPerSec。
[0150]统计得到，在抽样间隔的5秒之间，防火墙ETH0/1端口的平均每秒丢包数为37 ；由于FTP流量抢占了带宽，视频点播服务的画面质量流畅度较差，如图15所示。
[0151]2.策略决策点在采集信息之后，智能信息处理模块对信息进行智能处理，分析出当前网络中防火墙I的ETH0/1端口出现丢包现象，并将处理结果发送给策略生成与翻译模块；
[0152]其中，智能信息处理模块的决策函数如图16所示，决策函数的流程为:
[0153](I)定义discardNumPerSec为平均丢包数，定义discardNum为丢包数，定义isCongestion用来赋值判定VOD是否存顺畅播放；
[0154](2)将智能节点检测到的平均每秒的丢包数discardNumPerSec赋值给discardNum ；
[0155](3)做一个时间周期内每秒丢包数是否大于等于15的判断，如果每秒丢包数大于等于15，则认定网络拥塞导致VOD无法顺畅播放；否则认为VOD可以顺畅播放。
[0156]3.策略生成与翻译模块生成安全策略，并将策略翻译成为防火墙可执行的命令；
[0157]策略使用XML语言描述如图17所示；
[0158](I) XML对该策略的描述首先定义网络拥塞行为；
[0159](2)网络拥塞行为的特征为最小每秒丢包数大于等于15 ；
[0160](3)如果存在网络拥塞行为行为，则执行限速的动作。
[0161]智能节点I依据分析结果生成相应策略，将策略翻译成为防火墙的控制指令，对所在区域的防火墙进行配置，即限速策略。该策略调用的防火墙I (H3CF100S防火墙)的指令如图18所示该图描述为H3C F100-S防火墙限速的命令行指令
[0162]( I)创建访问控制列表；
[0163](2)想访问控制列表添加访问规则:允许以192.168.1.1为目的IP的数据传输；
[0164](3)在端口 ETH0/1，对该规则进行400Kbps的限速。
[0165]策略决策点的分发模块使用SSH的对策略进行分发，将策略以加密的形式下发到防火墙1，实现对防火墙I的策略配置。此时PC-FTPl主机由于被限速，所抢占带宽的得到释放，PC-VOD主机的视频点播服务恢复正常状态，画面变得清晰，如图19所示
[0166]4.智能节点I和智能节点2进行通信，将生成的策略以XML的方式进行描述，并由智能节点I发送给智能节点2 ；
[0167]PC-FTP2主机打开FTP下载，再次产生逻辑域2到Server带宽的抢占。这时PC-V0D视频点播画面的流畅度再度变差，如图20所示:
[0168]智能节点2对策略进行分析处理，根据防火墙2出现的丢包状态，对所在区域的防火墙进行配置，即限速策略。该策略调用的防火墙2 (CISC0ASA防火墙)的限速配置如图21所示该图描述为CISCO ASA5510防火墙限速的命令行指令
[0169](I)创建访问控制列表，规则为:允许任何IP到192.168.2.2的数据传输；
[0170](2)创建策略policy-map,将访问控制列表加入到policy-map中，并对policy-map 做了 400Kbps 的限速；
[0171](3)将 policy 应用于端口 svl。
[0172]至此，系统通过逻辑域之间的联动实现了对PC-VOD视频播放效果的优化，如图22所示
[0173]实施例2可以看出，当逻辑域检测到流量优化需求时，会生成流量优化策略时，并通过重叠网上层智能节点的策略分发，达到全网的策略部署，实现对全网流量优化的策略配置。
[0174]本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体或随机存储记忆体等。
[0175]最后所应说明的是，以上实施例仅用以说明本发明的技术方案而非限制。尽管参照实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，对本发明的技术方案进行修改或者等同替换，都不脱离本发明技术方案的精神和范围，其均应涵盖在本发明的权利要求范围当中。
【权利要求】
1.一种基于重叠网的分布式防火墙安全策略配置方法，所述方法包含如下步骤: 步骤101)部署于某一域内的智能节点采集其对应域内的反映网络所承载的业务流信息的第一参考信息，并依据所述第一参考信息生成安全策略； 步骤102)上一步骤所述的智能节点将其生成的安全策略同时分配给其对应域内的防火墙和位于其它域内的智能节点； 步骤103)上一步骤中所述位于其它域内的智能节点将其收到的来自其余节点的安全策略作为第二参考信息动态调整其对应的安全策略，并将生成的安全策略分配给域内防火墙，从而完成域间的安全策略配置。
2.根据权利要求1所述的基于重叠网的分布式防火墙安全策略配置方法，其特征在于，步骤101)所述的智能节点依据第一参考信息和防火墙性能状态信息生成安全策略。
3.根据权利要求2所述的基于重叠网的分布式防火墙安全策略配置方法，其特征在于，步骤103)所述位于其它域内的智能节点依据第二参考信息和采集的第一参考信息生成安全策略。
4.根据权利要求1所述的基于重叠网的分布式防火墙安全策略配置方法，其特征在于，所述智能节点之 间采用XML语言进行的策略传输。
5.根据权利要求1、2或3所述的基于重叠网的分布式防火墙安全策略配置方法，其特征在于，所述第一参考信息包含:节点的IP地址、网络掩码、网络服务、运行的应用程序、月艮务漏洞、最大报文速率、报文大小、端口号和网络协议； 所述防火墙性能状态信息包含:防火墙的CPU利用率、防火墙的内存利用率、接口带宽利用率、接口的丢包率、接口的传输速率和接口队列长度。
6.一种基于重叠网的分布式防火墙安全策略配置系统，其特征在于，所述安全策略配置系统包含:部署于各域内的防火墙和部署于各域内的智能节点； 所述智能节点，用于采集智能节点所在域内的网络相关信息，并依据采集的相关信息生成安全策略； 其中，所述智能节点之间相互通信，通过逻辑连接形成重叠网络，并利用重叠网络进行安全策略信息的交互，实现了逻辑域之间的联动，完成了分布式防火墙对全网的安全防护工作。
7.根据权利要求6所述的基于重叠网的分布式防火墙安全策略配置系统，其特征在于，所述智能节点进一步包含: 采集模块，用于负责对网络相关信息进行采集，其中相关信息包含反映网络所承载的业务流信息和/或防火墙性能状态信息； 信息智能处理模块，用于对采集的业务流信息和防火墙性能状态信息进行智能处理，分析出当前网络中用户业务流的需求、网络中设备的运行状态或网络中是否存在异常状况，并将处理结果发送给策略生成与翻译模块； 策略生成与翻译模块，用于根据信息智能处理模块的分析结果，生成相应的安全策略，并将策略翻译成为防火墙可执行的命令； 安全策略分发模块，用于对策略生成与翻译模块生成的策略下发到所控防火墙，实现防火墙的策略配置； 策略决策点联动模块，用于将策略生成与翻译模块生成的安全策略在重叠网上包含的各智能节点之间进行传输或接受其余智能节点传输过来的安全策略，进而完成逻辑域之间的联动，实现对全网的安全策略分发；和 联动策略生成模块，用于在收到其他智能节点发来的安全策略后，对收到的安全策略进行判断，根据判断结果生成相应的安全策略。
8.根据权利要求6所述的基于重叠网的分布式防火墙安全策略配置系统，其特征在于，所述策略生成与翻译模块进一步包含:策略生成子模块，用于根据信息智能处理模块的分析得到的网络状态，生成相应的安全策略；和 翻译子模块，用于将生成相应的安全策略翻译成为防火墙可以执行的指令，或者描述成为智能节点可以识别的策略形式。
9.根据权利要求6所述的基于重叠网的分布式防火墙安全策略配置系统，其特征在于，所述联动策略生成模块，承载的业务流信息，包括:节点的IP地址、网络掩码、网络服务、运行的应用程序、服务漏洞、最大报文速率、报文大小、端口号和网络协议； 所述防火墙性能状态信息，包括:防火墙的CPU利用率、防火墙的内存利用率、接口带宽利用率、接口的丢包率、接口的传输速率和接口队列长度。
10.根据权利要求6所述的基于重叠网的分布式防火墙安全策略配置系统，其特征在于，所述联动策略生成模块进一步包含: 接收子模块，用于接收到来自于策略决策点联动模块收集的其他智能节点的安全策略；和 联动子模块，用于在收到安全策略后，根据网络状态，对策略进行判断，按照判断结果，进行策略的生成，达到逻辑域间的联动，从而实现对全网的策略配置。
【文档编号】H04L29/06GK103457920SQ201210181785
【公开日】2013年12月18日 申请日期:2012年6月4日 优先权日:2012年6月4日
【发明者】覃毅芳, 周旭, 杨磊, 牛温佳, 慈松, 唐晖, 唐朝伟 申请人:中国科学院声学研究所, 重庆大学