一种工业防火墙管理系统及方法与流程

1.本发明涉及防火墙管理系统相关技术领域，具体为一种工业防火墙管理系统及方法。


背景技术：

2.防火墙系统是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合，它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护，在逻辑上，它是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和internet之间的任何活动，保证了内部网络的安全。
3.但因大型组织机构中通常需要多台防火墙的支持，并配合多组虚拟防火墙的联合配合使用，对于同类型部分通常会下发类似的策略，但常规的逐条下发策略会使得在该场景向下显得繁琐且复杂，需要操作人员仔细地操作，无非增加了操作人员的劳动力度，因无法对防火墙进行集中管理，对多个防火墙进行单独管理使得工作比较繁琐，且不封保证多组防火墙能够更加协调的工作。
4.针对上述问题，在工业防火墙管理系统的基础上进行创新设计。


技术实现要素：

5.本发明的目的在于提供一种工业防火墙管理系统及方法，以解决上述背景技术中提出不能实现多组防火墙的联合协调工作，无法对多组防火墙实现集中管理的问题。
6.为实现上述目的，本发明提供如下技术方案：一种工业防火墙管理系统：
7.所述工业防火墙系统包括：分析模块系统模块、配置管理模块；
8.分析模块包括：威胁管理、行为管理、网络监控、处置中心、日志检索；
9.系统模块包括：管理员登录、设备域、设备升级、许可证的下发；
10.配置管理模块包括：对象管理、设备管理、策略管理、任务配置。
11.优选的，所述工业防火墙系统涉及django框架、该django框架是采用python语言开发的轻量级web框架；
12.所述工业防火墙系统还包括：mtv模型、elasticsearch实时分布式搜索分析引擎、django数据库联用、ssl协议。
13.优选的，所述分析模块具体功能：
14.a、威胁管理：对防火墙保护的主机受到威胁的一条信息进行记录，并反馈至防火墙集中管理系统判断具体为什么威胁，并重新反馈至威胁管理页面；
15.b、行为管理：通过对用户通过软件或浏览网页的记录进行分类，并生成用户上网习惯模型，并对部分异常行为进行标注；
16.c、网络监控：检测用户的网络流量用途，并监控主机的主要网络行为；
17.d、处置中心：是对威胁进行人工处理机制，通过用户需求找到相关的威胁进行处
理，通常处理方式为阻断；
18.e、关联分析：针对多个虚拟防火墙发生类似问题后的汇集分析；
19.f、日志检索：查询日志的方式，根据不同需求按条件查询。
20.优选的，所述系统模块具体为：
21.a、管理员登录：通过注册的用户名和密码对用户身份信息进行验证；
22.b、设备域：将防火墙的设备和虚拟防火墙通过ip地址作为标识，并将统一管理的ip设为一个设备域；
23.c、设备升级：通过手动升级和自动升级对设备域中的防火墙和虚拟防火墙进行升级；
24.d、许可证的下发：许可证是进入防火墙管理系统的通行证，用于确认身份，提供安全的应用层数据流。
25.优选的，所述配置管理模块具体为：
26.a、对象管理：对防火墙对外连接对象的管理，并保存ip、时间、服务等重要信息，并存储分类；
27.b、设备管理：管理设备信息，辅助设备升级；
28.c、策略管理：对黑白名单、安全认证、安全策略等重要策略的存储，便于修改和删除；
29.d、任务配置：负责对不同类型任务状态进行监控，并对异常的任务行为进行处理。
30.优选的，所述django数据库联用对用户信息和系统信息的数据采用关系型数据库postgresql进行存储，对监控生成的数据通过文档型数据库redis进行存储。
31.优选的，所述工业防火墙管理系统的实现方法包括：系统功能的设计与实现、分析模块的设计与实现、配置管理模块的设计与实现。
32.优选的，所述系统功能的设计与实现：通过管理员打开防火墙集中管理系统连接并登录管理员账号；在设备域界面下，可实现对设备域的查看、添加、修改、和删除等操作，在任务进行过程中，当设备域发生变化时判断是否为本域任务，如是本域任务则立即停止并将信息进行删除；系统的升级主要包括两部分，第一是获取升级包，第二部分是在系统的升级库中寻找对应需要升级的防火墙设备进行升级。
33.优选的，所述分析模块的设计与实现具体为：
34.用户在web界面天界处置任务发送至后台，默认状态为未处置；
35.选择相应的防火墙，后台对相应的防火墙下发处置任务对用户任务进行处置；同时用户可对已处置的任务进行撤销，删除等操作。
36.优选的，所述配置管理模块的设计与实现具体为：
37.a、对象管理的设计与实现：包括对单个和多个地址对象的添加和删除，多个域名的添加和删除；对可以软件进行自定义命名，分为病毒、漏洞、间谍软件三大类；安全配置文件进行防护和过滤内容，包括反病毒、漏洞防护、防间谍软件、文件过滤、内容过滤和行为管控等。
38.b、设备管理的设计与实现：主要实现对防火墙和防火墙组的管理，主要对配置进行核查、特征库的管理、对特征进行更新和许可证的下发等管理。
39.与现有技术相比，本发明的有益效果是：该工业防火墙管理系统及方法，
40.1、该防火墙管理系统能够将不同地址的防火墙集中注册至管理系统内部，由集中的管理系统对防火墙进行分类，组成集合，并按集合统一管理，进行下发策略，且能够对多组防火墙进行同时监控，检测防火墙的状态并做出防护报告，该系统减轻了逐条下发策略的人工劳动力，且同时监控能够更加直观地看到数据的对比效果，对不同攻击更加直观地显示；
41.2、该防火墙管理系统在配置管理方面采用注册机制，仅能对通过注册的防火墙进行管理和监控，注册时会对防火墙进行下发许可证，防止对注册设备的篡改，且能够对特殊设备授权只读权限，并进行特殊显示。
附图说明
42.图1为本发明系统功能模块组成示意图；
具体实施方式
43.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
44.请参阅图1，本发明提供一种技术方案：一种工业防火墙管理系统，所述工业防火墙系统包括：分析模块1系统模块2、配置管理模块3，工业防火墙系统涉及django框架、该django框架是采用python语言开发的轻量级web框架；所述工业防火墙系统还包括：mtv模型、elasticsearch实时分布式搜索分析引擎、django数据库联用、ssl协议；django数据库联用对用户信息和系统信息的数据采用关系型数据库postgresql进行存储，对监控生成的数据通过文档型数据库redis进行存储。
45.分析模块1包括：威胁管理、行为管理、网络监控、处置中心、日志检索；分析模块1具体功能：a、威胁管理：对防火墙保护的主机受到威胁的一条信息进行记录，并反馈至防火墙集中管理系统判断具体为什么威胁，并重新反馈至威胁管理页面；b、行为管理：通过对用户通过软件或浏览网页的记录进行分类，并生成用户上网习惯模型，并对部分异常行为进行标注；c、网络监控：检测用户的网络流量用途，并监控主机的主要网络行为；d、处置中心：是对威胁进行人工处理机制，通过用户需求找到相关的威胁进行处理，通常处理方式为阻断；e、关联分析：针对多个虚拟防火墙发生类似问题后的汇集分析；f、日志检索：查询日志的方式，根据不同需求按条件查询。系统功能的设计与实现：1、通过管理员打开防火墙集中管理系统连接并登录管理员账号；2、在设备域界面下，可实现对设备域的查看、添加、修改、和删除等操作，在任务进行过程中，当设备域发生变化时判断是否为本域任务，如是本域任务则立即停止并将信息进行删除；3、系统的升级主要包括两部分，第一是获取升级包，第二部分是在系统的升级库中寻找对应需要升级的防火墙设备进行升级。
46.系统模块2包括：管理员登录、设备域、设备升级、许可证的下发；系统模块2具体为：a、管理员登录：通过注册的用户名和密码对用户身份信息进行验证；b、设备域：将防火墙的设备和虚拟防火墙通过ip地址作为标识，并将统一管理的ip设为一个设备域；c、设备升级：通过手动升级和自动升级对设备域中的防火墙和虚拟防火墙进行升级；d、许可证的
下发：许可证是进入防火墙管理系统的通行证，用于确认身份，提供安全的应用层数据流；分析模块的设计与实现具体为：1、用户在web界面天界处置任务发送至后台，默认状态为未处置；2、选择相应的防火墙，后台对相应的防火墙下发处置任务对用户任务进行处置；同时用户可对已处置的任务进行撤销，删除等操作。
47.配置管理模块3包括：对象管理、设备管理、策略管理、任务配置；配置管理模块3具体为：a、对象管理：对防火墙对外连接对象的管理，并保存ip、时间、服务等重要信息，并存储分类；b、设备管理：管理设备信息，辅助设备升级；c、策略管理：对黑白名单、安全认证、安全策略等重要策略的存储，便于修改和删除；d、任务配置：负责对不同类型任务状态进行监控，并对异常的任务行为进行处理；配置管理模块的设计与实现具体为：a对象管理的设计与实现：1、包括对单个和多个地址对象的添加和删除，多个域名的添加和删除；2、对可以软件进行自定义命名，分为病毒、漏洞、间谍软件三大类；3、安全配置文件进行防护和过滤内容，包括反病毒、漏洞防护、防间谍软件、文件过滤、内容过滤和行为管控等；b设备管理的设计与实现：主要实现对防火墙和防火墙组的管理，主要对配置进行核查、特征库的管理、对特征进行更新和许可证的下发等管理。
48.本说明书中未作详细描述的内容属于本领域专业技术人员公知的现有技术，尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。