本发明涉及防护墙领域,具体涉及一种防火墙集中辅助维护系统。
背景技术:
随着网络技术的不断发展,网络所承载的信息系统越来越多、规模也越来越大,信息系统面临的安全问题也越来越严峻。防火墙作为最常见的安全防护设备,被广泛应用于各种网络边界。而防火墙数量及防火墙中安全策略条目的增加,使得安全工程师的运维工作量也成倍的增长。
请参见图2,各安全厂商的此类系统主要都是针对各自硬件产品,由于技术的封闭性,各厂商之间的防火墙管理系统无法兼容其他厂商的防火墙,无法做到统一的管理。
技术实现要素:
有鉴于此,本发明的目的在于提供一种防火墙集中辅助维护系统,以实现基于工具的多协议转换和防火墙命令执行,并根据执行结果自动形成执行记录。
为实现上述目的本发明采用以下技术方案实现:
一种防火墙集中辅助维护系统,包括服务层、通信层和设备层;所述服务层包括前置采集平台、业务应用以及数据库;所述通信层包括内部局域网;所述设备层包括若干防火墙、服务器以及客户机;所述服务层通过所述通信层并经telnet/ssh指令及时发现各个被管理的设备上线或端口状态。
进一步的,各个防火墙之间通过内部局域网联通,且各防火墙开放telnet或者ssh端口服务。
进一步的,所述数据库采用mysql5.0开源数据库。
进一步的,所述所述防火墙集中辅助维护系统采用前后端分离原则,基于rpc的统一接口调用规则;后端采用轻量级的基于c++开发的urcpjsonhttp服务;前端后端通讯主要采用urcponjson格式的基于http的远程rpc调用模式。
进一步的,所述端口匹配规则为ip-mac-port完整匹配。
进一步的,所述通过通信层并经telnet/ssh指令及时发现各个被管理的设备上线或端口状态,具体为:
1)形成服务层与端口的ip地址、mac的对应关系;
2)设置端口匹配规则;
3)获取服务层每个端口下联的mac地址信息;
4)通过所述ip地址、mac的对应关系;
5)根据配置的端口匹配规则,对端口、ip地址、mac地址进行验配从而获取端口的状态。
本发明与现有技术相比具有以下有益效果:
本发明根据多种防火墙统一配置策略,实现基于工具的多协议转换和防火墙命令执行,并根据执行结果自动形成执行记录。另外,后端采用轻量级基于c++开发的urcpjsonhttp服务.具备开发简单,部署快的特点。前端后端通讯主要采用urcponjson格式的一种基于http的远程rpc调用模式,其接口定义简单明了,扩展性好。
附图说明
图1是现有技术中各自硬件产品的防火墙的架构图
图2是本发明实施例提供防火墙集中辅助维护系统的架构图。
具体实施方式
下面结合附图及实施例对本发明做进一步说明。
请参照图1本实施例提供一种防火墙集中辅助维护系统,包括服务层、通信层和设备层;所述服务层包括前置采集平台、业务应用以及数据库;所述通信层包括内部局域网;所述设备层包括若干防火墙、服务器以及客户机;各个防火墙之间通过内部局域网联通,且各防火墙开放telnet或者ssh端口服务;所述服务层通过所述通信层并经telnet/ssh指令及时发现各个被管理的设备上线或端口状态。
在本实施例中,所述端口匹配规则为ip-mac-port完整匹配。
在本实施例中,所述通过通信层并经telnet/ssh指令及时发现各个被管理的设备上线或端口状态,具体为:
6)形成服务层与端口的ip地址、mac的对应关系;
7)设置端口匹配规则;
8)获取服务层每个端口下联的mac地址信息;
9)通过所述ip地址、mac的对应关系;
10)根据配置的端口匹配规则,对端口、ip地址、mac地址进行验配从而获取端口的状态。
优选的,所述数据库采用mysql5.0开源数据库。
优选的,所述所述防火墙集中辅助维护系统采用前后端分离原则,基于rpc的统一接口调用规则;后端采用轻量级的基于c++开发的urcpjsonhttp服务;前端后端通讯主要采用urcponjson格式的基于http的远程rpc调用模式。
以上所述仅为本发明的较佳实施例,凡依本发明申请专利范围所做的均等变化与修饰,皆应属本发明的涵盖范围。
1.一种防火墙集中辅助维护系统,其特征在于:包括服务层、通信层和设备层;所述服务层包括前置采集平台、业务应用以及数据库;所述通信层包括内部局域网;所述设备层包括若干防火墙、服务器以及客户机;所述服务层通过所述通信层并经telnet/ssh指令及时发现各个被管理的设备上线或端口状态。
2.根据权利要求1所述的一种防火墙集中辅助维护系统,其特征在于:各个防火墙之间通过内部局域网联通,且各防火墙开放telnet或者ssh端口服务。
3.根据权利要求1所述的一种防火墙集中辅助维护系统,其特征在于:所述数据库采用mysql5.0开源数据库。
4.根据权利要求1所述的一种防火墙集中辅助维护系统,其特征在于:所述防火墙集中辅助维护系统采用前后端分离原则,基于rpc的统一接口调用规则;后端采用轻量级的基于c++开发的urcpjsonhttp服务;前端后端通讯主要采用urcponjson格式的基于http的远程rpc调用模式。
5.根据权利要求1所述的一种防火墙集中辅助维护系统,其特征在于:所述端口匹配规则为ip-mac-port完整匹配。
6.根据权利要求1所述的一种防火墙集中辅助维护系统,其特征在于:所述通过通信层并经telnet/ssh指令及时发现各个被管理的设备上线或端口状态,具体为:
形成服务层与端口的ip地址、mac的对应关系;
设置端口匹配规则;
获取服务层每个端口下联的mac地址信息;
通过所述ip地址、mac的对应关系;
根据配置的端口匹配规则,对端口、ip地址、mac地址进行验配从而获取端口的状态。