專利名稱:基于控制口(console)的防火墻聯(lián)動(dòng)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種應(yīng)用于網(wǎng)絡(luò)監(jiān)測(cè)和安全的防火墻聯(lián)動(dòng)方法���,特別是涉及一種基于控制口(console)的防火墻聯(lián)動(dòng)方法��。
背景技術(shù):
網(wǎng)絡(luò)防火墻作為一個(gè)多邊協(xié)議的路由器����,被安裝在不同的安全級(jí)別的網(wǎng)絡(luò)之間�。它能夠有效的防止一個(gè)網(wǎng)絡(luò)中的用戶未經(jīng)受權(quán)的訪問(wèn)相鄰網(wǎng)絡(luò)內(nèi)的資源,同時(shí)還為安全管理者提供兩個(gè)網(wǎng)絡(luò)間詳細(xì)的通訊活動(dòng)記錄��。
然而����,防火墻的使用并不能完全杜絕網(wǎng)絡(luò)入侵行為的發(fā)生,并且���,防火墻作為一種特殊的路由器��,如果對(duì)網(wǎng)絡(luò)的每一條訪問(wèn)鏈路進(jìn)行入侵檢測(cè)分析����,將會(huì)大大影響它本身的通過(guò)率�,從而影響網(wǎng)絡(luò)的傳輸性能。因此為了進(jìn)一步確保網(wǎng)絡(luò)的安全性�,很多安全方案里,會(huì)在局域網(wǎng)內(nèi)增設(shè)監(jiān)控與入侵檢測(cè)系統(tǒng)����。該系統(tǒng)采用旁路式偵聽(tīng)的手段,截取已通過(guò)防火墻的所有信息�����,并分類對(duì)其進(jìn)行分析���,以識(shí)別出可能的入侵行為��。一旦發(fā)現(xiàn)入侵行為或是合法用戶的非法訪問(wèn)和非法用戶的訪問(wèn)��,該系統(tǒng)會(huì)及時(shí)的報(bào)警����,并通過(guò)某種手段阻斷這條訪問(wèn)鏈路。
而阻斷訪問(wèn)���,是防火墻的最重要功能之一��,因此���,使防火墻與入侵監(jiān)控系統(tǒng)全面互動(dòng),設(shè)置能夠?qū)θ肭直O(jiān)控系統(tǒng)追查出的違規(guī)訪問(wèn)進(jìn)行封堵���,是防火墻的一個(gè)重要發(fā)展方向����。目前���,國(guó)外一些很著名的公司都已經(jīng)制定了一套完整的和入侵監(jiān)控等其它系統(tǒng)互動(dòng)的協(xié)議�,譬如Check Point公司的OPSEC規(guī)范�。然而,這套規(guī)范過(guò)于復(fù)雜�����,目前大部分的防火墻產(chǎn)品并不支持這個(gè)規(guī)范���?�;蛘呖梢赃@樣說(shuō)���,業(yè)界尚未形成一個(gè)防火墻和其他系統(tǒng)互動(dòng)的協(xié)議標(biāo)準(zhǔn)。
目前�,各個(gè)防火墻廠商為了能夠支持和入侵檢測(cè)系統(tǒng)的聯(lián)動(dòng),各自制定自己的協(xié)議規(guī)范�,互不兼容,于是入侵檢測(cè)系統(tǒng)的生產(chǎn)廠商只能和一些規(guī)模相對(duì)大一些的防火墻廠商合作�����,服從于他們制定的協(xié)議規(guī)范�����。這種作法將會(huì)減小系統(tǒng)集成商或是安全集成商選擇安全產(chǎn)品的余地��,對(duì)防火墻市場(chǎng)的競(jìng)爭(zhēng)和發(fā)展是不利的��。
發(fā)明內(nèi)容
本發(fā)明目的是提出一種對(duì)網(wǎng)絡(luò)防火墻的控制系統(tǒng)����,通過(guò)這種方案����,我們可以將入侵檢測(cè)或是其它系統(tǒng)和支持控制口(console)指令的所有防火墻聯(lián)動(dòng)��,解決了使防火墻和入侵檢測(cè)系統(tǒng)���、審計(jì)系統(tǒng)等其它系統(tǒng)互動(dòng)的問(wèn)題��,而且在業(yè)界尚未達(dá)成一個(gè)統(tǒng)一的防火墻聯(lián)動(dòng)規(guī)范的時(shí)候����,本發(fā)明作為過(guò)渡方案而提出�����,很容易被防火墻和入侵檢測(cè)廠商所采用�,從而達(dá)成簡(jiǎn)單有效的聯(lián)動(dòng)方案。
本發(fā)明的目的是這樣實(shí)現(xiàn)的����,所述聯(lián)動(dòng)技術(shù)所涉及的每個(gè)網(wǎng)絡(luò)設(shè)備都具有設(shè)備控制口(console),所述聯(lián)動(dòng)技術(shù)通過(guò)程序把應(yīng)由鍵盤(pán)在終端窗口輸入的控制口(console)控制命令直接輸入到計(jì)算機(jī)的串行口���,同時(shí)把控制口(console)反饋的信息進(jìn)行提取����、匯總,從而完成和防火墻的交互�����。
所述程序只能在Windows NT或Windows 2000平臺(tái)上運(yùn)行�,所述程序被安裝在一臺(tái)通過(guò)串口線連接防火墻的控制口(console)的計(jì)算機(jī)主機(jī)上����。
所述程序包括指令服務(wù)模塊和串口訪問(wèn)模塊兩部分。
所述指令服務(wù)模塊接受入侵檢測(cè)系統(tǒng)或?qū)徲?jì)系統(tǒng)傳送過(guò)來(lái)的指令并把該指令翻譯成所述防火墻可以識(shí)別的語(yǔ)句后傳送給所述串口訪問(wèn)模塊���,所述串口訪問(wèn)模塊將所述翻譯后的指令傳遞給防火墻并將防火墻返回的信息進(jìn)行分析處理后返回給所述指令服務(wù)模塊�����,所述指令服務(wù)模塊按照回應(yīng)數(shù)據(jù)包的格式打包并傳遞給入侵監(jiān)測(cè)或?qū)徲?jì)系統(tǒng)�����。
所述指令服務(wù)模塊在主機(jī)上開(kāi)設(shè)一個(gè)端口號(hào)可以更改的Socket端口��,所述入侵檢測(cè)系統(tǒng)或?qū)徲?jì)系統(tǒng)通過(guò)所述端口和所述指令服務(wù)模塊進(jìn)行交互����,所述入侵檢測(cè)系統(tǒng)或?qū)徲?jì)系統(tǒng)與該模塊間的通訊遵循TCP/IP協(xié)議。
所述入侵檢測(cè)系統(tǒng)或?qū)徲?jì)系統(tǒng)通過(guò)所述端口和所述指令服務(wù)模塊進(jìn)行交互的方式為入侵檢測(cè)系統(tǒng)發(fā)送消息到所述指令服務(wù)模塊����,所述指令服務(wù)模塊回應(yīng)消息到所述入侵檢測(cè)和審計(jì)系統(tǒng)。
所述的發(fā)送消息的格式順序依次為版本�����,共同體����,類型,企業(yè)����,地址,指令���,防火墻��,參數(shù)�;所述版本字段指明所用的版本協(xié)議;所述共同體是指每一個(gè)通信組所擁有的為一意義的共同體名稱���;所述類型是為所述消息的類型����;所述企業(yè)是為不同的入侵檢測(cè)產(chǎn)品或?qū)徲?jì)產(chǎn)品所分配的不同的企業(yè)號(hào)����;所述地址為所述系統(tǒng)或設(shè)備的IP地址;所述指令為所述程序向防火墻發(fā)出的命令�����;所述防火墻控制程序理論上最多可控制四臺(tái)防火墻��;所述防火墻字段表示防火墻的序號(hào)���;所述參數(shù)表示指令字段中所需要的參數(shù)。
所述共同體名稱與所述消息一起傳輸���,所述入侵檢測(cè)系統(tǒng)或?qū)徲?jì)系統(tǒng)和所述指令服務(wù)模塊間的通信關(guān)系被定義為相應(yīng)共同體間的關(guān)系���。
所述指令服務(wù)模塊接到所述入侵檢測(cè)和審計(jì)系統(tǒng)發(fā)送的消息后執(zhí)行以下步驟①對(duì)傳輸中的數(shù)據(jù)進(jìn)行所傳數(shù)據(jù)的合法性檢查,如發(fā)現(xiàn)錯(cuò)誤,進(jìn)行步驟⑦�����,如正確����,進(jìn)行步驟②;②如數(shù)據(jù)包被正確的收到�,則檢驗(yàn)所述消息的版本號(hào),若號(hào)碼與接受的版本不符��,進(jìn)行步驟⑦����,如正確,進(jìn)行步驟③��;③若版本正確����,所述消息對(duì)象里的共同體名和數(shù)據(jù)連帶該數(shù)據(jù)包的源與目標(biāo)地址被傳送給驗(yàn)證服務(wù),進(jìn)行步驟④�����;④所述驗(yàn)證服務(wù)返回一個(gè)新的經(jīng)過(guò)處理的消息對(duì)象,或是通知一個(gè)驗(yàn)證錯(cuò)誤����,若存在錯(cuò)誤,所述錯(cuò)誤將被紀(jì)錄�����,然后進(jìn)行步驟⑦����,如正確,進(jìn)行步驟⑤�����;⑤將所述指令字段中的指令及其參數(shù)翻譯成所述防火墻可以接受的命令行腳本語(yǔ)言�����,進(jìn)行步驟⑥�;⑥將翻譯后的所述語(yǔ)句根據(jù)其防火墻序號(hào)和企業(yè)號(hào)匯入不同的指令緩沖區(qū)內(nèi)���,整個(gè)步驟結(jié)束�����。
⑦數(shù)據(jù)包被摧毀�,系統(tǒng)不采取任何進(jìn)一步行動(dòng),整個(gè)步驟結(jié)束�����。
所述一個(gè)或多個(gè)指令緩沖區(qū)設(shè)置在所述指令服務(wù)模塊中�����,按照發(fā)送過(guò)來(lái)的數(shù)據(jù)包的企業(yè)類型��,安置在不同的緩沖區(qū)隊(duì)列內(nèi)���。
所述回應(yīng)消息的命令格式順序依次為版本�,共同體�����,類型�,結(jié)果,信息����;所述版本字段為所用的版本協(xié)議�;所述共同體為每一個(gè)通信組所擁有的唯一意義的共同體名稱���;所述入侵檢測(cè)系統(tǒng)或?qū)徲?jì)系統(tǒng)和所述指令服務(wù)模塊間的通信關(guān)系被定義為相應(yīng)共同體間的關(guān)系�;所述類型為所述消息的類型����;所述結(jié)果表示指令操作成功或失敗。
所述共同體名稱與所述消息一起傳輸���。
由于串口的通訊速率很有限�����,有可能防火墻控制系統(tǒng)會(huì)同時(shí)接受多臺(tái)入侵檢測(cè)或是審計(jì)系統(tǒng)的指令�����,如果此時(shí)串口來(lái)不及處理�,會(huì)引起嚴(yán)重的堵塞�����,使控制系統(tǒng)無(wú)法正常工作����。因此,在指令服務(wù)模塊中��,設(shè)置了一個(gè)或多個(gè)指令緩沖區(qū)(數(shù)量由控制的防火墻的數(shù)量決定)�,按照發(fā)送過(guò)來(lái)的數(shù)據(jù)包的企業(yè)類型,安置在不同的緩沖區(qū)隊(duì)列內(nèi)�。
所述串口訪問(wèn)模塊通過(guò)輪循的機(jī)制判斷一個(gè)或多個(gè)所述指令緩沖區(qū)是否為空,若為空���,且對(duì)應(yīng)的所述串行口處于閑的狀態(tài)��,立即從緩沖區(qū)內(nèi)提取一條指令���,發(fā)送到所述串口內(nèi)傳送到防火墻,通過(guò)所述串口從防火墻傳回的回應(yīng)數(shù)據(jù)����,由所述串口訪問(wèn)模塊進(jìn)行處理,所述串口訪問(wèn)模塊將返回信息中的控制字符去除��,將余下的回應(yīng)數(shù)據(jù)傳遞給所述指令服務(wù)模塊��,所述指令服務(wù)模塊將回應(yīng)數(shù)據(jù)按照回應(yīng)數(shù)據(jù)包的給是打包,回應(yīng)給所述入侵檢測(cè)和審計(jì)系統(tǒng)���。
由于采用了以上方案���,入侵檢測(cè)或是網(wǎng)絡(luò)安全審計(jì)系統(tǒng)一旦發(fā)現(xiàn)跨網(wǎng)的入侵行為,可以立即通知防火墻進(jìn)行阻斷��,及時(shí)的防止遭受進(jìn)一步的入侵或是破壞�����。同時(shí)��,網(wǎng)絡(luò)安全審計(jì)系統(tǒng)可以提取到防火墻的日志�����,防火墻的日志記錄下了防火墻兩邊網(wǎng)絡(luò)的通訊活動(dòng)記錄�����。利用網(wǎng)絡(luò)安全審計(jì)強(qiáng)大的分析功能���,幫助審查網(wǎng)絡(luò)的運(yùn)行狀況��,找出可能的不安全隱患�。
而且只要具有控制口(console)的防火墻都可以采用此種方法�,使得這種聯(lián)動(dòng)方法有很強(qiáng)的通用性?����?刂瓶?console)是通過(guò)串行線的�����,與以太網(wǎng)絡(luò)完全隔絕�,不怕網(wǎng)絡(luò)監(jiān)聽(tīng)或是攻擊。通過(guò)這種控制系統(tǒng)可以建立圖形化的通用防火墻管理程序���,或者把圖形化防火墻管理程序作為一個(gè)模塊嵌入統(tǒng)一安全產(chǎn)品管理平臺(tái)中����,從而實(shí)現(xiàn)統(tǒng)一的集中管理����。
圖1是本發(fā)明的結(jié)構(gòu)框圖具體實(shí)施方式
下面結(jié)合實(shí)施例進(jìn)一步說(shuō)明本發(fā)明通過(guò)專用的Console線連接百兆以太網(wǎng)應(yīng)急反應(yīng)服務(wù)器的COM口和天融信防火墻的Console口,通過(guò)應(yīng)急反應(yīng)管理中心的防火墻控制模塊實(shí)現(xiàn)對(duì)防火墻的Console方式控制����,并且按時(shí)收集防火墻的日志���,運(yùn)行平臺(tái)為Windows2000 Server。
參照?qǐng)D1�����,安全審計(jì)中心2對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行旁路式的審計(jì)�����,一旦發(fā)現(xiàn)入侵和違規(guī)行為需要實(shí)施防火墻封堵動(dòng)作�,就通過(guò)內(nèi)部網(wǎng)絡(luò)的TCP連接9向指令服務(wù)模塊4發(fā)送指令。指令服務(wù)模塊4接受安全審計(jì)系統(tǒng)2傳送過(guò)來(lái)的指令并按如下格式把該指令翻譯成所述防火墻可以識(shí)別的語(yǔ)句��,傳遞給串口訪問(wèn)模塊5���。
其中版本字段指明所用的版本協(xié)議���;共同體是指每一個(gè)通信組所擁有的為一意義的共同體名稱;所述共同體名稱與所述消息一起傳輸�,入侵檢測(cè)系統(tǒng)或?qū)徲?jì)系統(tǒng)和指令服務(wù)模塊間的通信關(guān)系被定義為相應(yīng)共同體間的關(guān)系;類型是指所述消息的類型;企業(yè)指為不同的入侵檢測(cè)產(chǎn)品或?qū)徲?jì)產(chǎn)品所分配的不同的企業(yè)號(hào)��;地址為所述系統(tǒng)或設(shè)備的IP地址���;指令用來(lái)表明所述程序向防火墻發(fā)出何種命令�;防火墻控制程序理論上最多可控制四臺(tái)防火墻����;防火墻字段表示防火墻的序號(hào)���,以決定指令發(fā)送到哪臺(tái)防火墻���;參數(shù)表示指令字段中所需要的參數(shù)。
串口訪問(wèn)模塊5將該指令存放在指令緩沖區(qū)內(nèi)����,通過(guò)輪循的機(jī)制判斷指令緩沖區(qū)是否為空,若為空���,且串行口處于閑的狀態(tài)��,立即從緩沖區(qū)內(nèi)提取一條指令��,發(fā)送到串行口6內(nèi)�。通過(guò)串行口6、專用的CONSOLE連線10�����、防火墻的CONSOLE口8����,指令最終送達(dá)天融信防火墻7,執(zhí)行并生效�,返回結(jié)果則通過(guò)防火墻的CONSOLE口8、專用的CONSOLE連線10���、串行口6送交串口訪問(wèn)模塊5進(jìn)行處理�,串口訪問(wèn)模塊5將返回信息中的控制字符除去��,將余下的回應(yīng)數(shù)據(jù)傳遞給指令服務(wù)模塊4���,指令服務(wù)模塊4將回應(yīng)數(shù)據(jù)按照如下表的回應(yīng)數(shù)據(jù)包的格式打包��,回應(yīng)給安全審計(jì)系統(tǒng)2��。
其中���,所述版本字段指明所用的版本協(xié)議���;所述共同體是指每一個(gè)通信組所擁有的為一意義的共同體名稱;所述共同體名稱與所述消息一起傳輸�����,所述入侵檢測(cè)系統(tǒng)或?qū)徲?jì)系統(tǒng)和所述指令服務(wù)模塊間的通信關(guān)系被定義為相應(yīng)共同體間的關(guān)系���;所述類型是指所述消息的類型;所述結(jié)果表示指令操作成功或失敗����。
系統(tǒng)通過(guò)審計(jì)系統(tǒng)2監(jiān)視我們平時(shí)經(jīng)常用到的Telnet,F(xiàn)TP��,HTTP����,SMTP,POP等服務(wù)�����,通過(guò)用戶追蹤、主機(jī)定位����、目錄守護(hù)、文件守護(hù)�����、特殊命令監(jiān)察�、URL訪問(wèn)守護(hù)、主機(jī)監(jiān)控等手段監(jiān)視可能對(duì)法院網(wǎng)絡(luò)產(chǎn)生危害的操作���,對(duì)有危害操作的源地址通過(guò)應(yīng)急反應(yīng)中心的防火墻控制模塊實(shí)時(shí)實(shí)施防火墻封堵�。
系統(tǒng)通過(guò)審計(jì)系統(tǒng)2的入侵監(jiān)測(cè)功能監(jiān)測(cè)網(wǎng)絡(luò)中可能存在的各種攻擊����,包括RPC類攻擊、HTTP類攻擊����、OVERFLOW溢出類攻擊、BACKDOOR后門(mén)攻擊�、DOS類攻擊、FINGER類攻擊����、TFPT類攻擊��、FTP類攻擊�����、NETBIOS類攻擊�����、SCAN掃描��、SMTP類攻擊��、TELNET類攻擊、病毒類攻擊��、CGI腳本類攻擊�����、DNS服務(wù)攻擊�����、ICMP類攻擊等,對(duì)監(jiān)測(cè)出的網(wǎng)絡(luò)入侵通過(guò)應(yīng)急反應(yīng)中心的防火墻控制模塊實(shí)時(shí)封堵住入侵的攻擊源�,以達(dá)到保護(hù)的作用。
系統(tǒng)通過(guò)審計(jì)系統(tǒng)2的流量檢測(cè)模塊監(jiān)測(cè)當(dāng)前的網(wǎng)絡(luò)上的流量�����,以及這些流量的分配情況���,對(duì)于敏感服務(wù)器����,甚至敏感服務(wù)器的某些重要端口上的通訊超過(guò)正常情況的��,就可以調(diào)用應(yīng)急反應(yīng)中心的防火墻控制模塊對(duì)敏感服務(wù)器的地址或是某些特定的端口進(jìn)行封堵����,防止這種不正常的情況進(jìn)一步惡化,影響了整個(gè)網(wǎng)絡(luò)的服務(wù)和性能��。
系統(tǒng)還定時(shí)通過(guò)控制口(Console)收集防火墻的日志信息���,通過(guò)應(yīng)急反應(yīng)的界面集中進(jìn)行訪問(wèn)��,便于系統(tǒng)管理員了解防火墻以及網(wǎng)絡(luò)的最新情況���,同時(shí)免去了手動(dòng)訪問(wèn)防火墻日志的繁瑣方法����。
權(quán)利要求
1.一種基于控制口(console)的防火墻聯(lián)動(dòng)方法�,其特征在于,所述防火墻聯(lián)動(dòng)方法通過(guò)一防火墻控制程序把應(yīng)通過(guò)鍵盤(pán)從終端窗口輸入控制口(console)的控制命令直接輸入到計(jì)算機(jī)的串行口�,同時(shí)把控制口(console)反饋的信息進(jìn)行提取,匯總����,從而完成和防火墻的交互。
2.如權(quán)利要求1所述的防火墻聯(lián)動(dòng)方法����,其特征在于,所述防火墻控制程序運(yùn)行在Windows NT或Windows 2000系統(tǒng)平臺(tái)上��,并被安裝在一臺(tái)通過(guò)串口線與防火墻的控制口(console)連接的計(jì)算機(jī)主機(jī)上��。
3.如權(quán)利要求1所述的防火墻聯(lián)動(dòng)方法�,其特征在于���,所述防火墻控制程序邏輯上包括指令服務(wù)模塊和串口訪問(wèn)模塊�。
4.如權(quán)利要求3所述的防火墻聯(lián)動(dòng)方法,其特征在于�����,所述指令服務(wù)模塊接受入侵檢測(cè)系統(tǒng)或?qū)徲?jì)系統(tǒng)傳送過(guò)來(lái)的指令并把該指令翻譯成所述防火墻可以識(shí)別的語(yǔ)句后傳送給所述串口訪問(wèn)模塊���,所述串口訪問(wèn)模塊將所述翻譯后的指令傳遞給防火墻并將防火墻返回的信息進(jìn)行分析處理后返回給所述指令服務(wù)模塊����,所述指令服務(wù)模塊按照回應(yīng)數(shù)據(jù)包的格式打包并傳遞給入侵監(jiān)測(cè)或?qū)徲?jì)系統(tǒng)�。
5.如權(quán)利要求4所述的防火墻聯(lián)動(dòng)方法,其特征在于����,所述指令服務(wù)模塊在主機(jī)上開(kāi)設(shè)一個(gè)端口號(hào)可以更改的Socket端口,所述入侵檢測(cè)系統(tǒng)或?qū)徲?jì)系統(tǒng)通過(guò)所述端口和所述指令服務(wù)模塊進(jìn)行交互�����,所述入侵檢測(cè)系統(tǒng)或?qū)徲?jì)系統(tǒng)與該模塊間的通訊遵循TCP/IP協(xié)議��。
6.如權(quán)利要求5所述的防火墻聯(lián)動(dòng)方法�,其特征在于,所述入侵檢測(cè)系統(tǒng)或?qū)徲?jì)系統(tǒng)通過(guò)所述端口和所述指令服務(wù)模塊進(jìn)行交互的方式為入侵檢測(cè)系統(tǒng)發(fā)送消息到所述指令服務(wù)模塊���,所述指令服務(wù)模塊回應(yīng)消息到所述入侵檢測(cè)和審計(jì)系統(tǒng)��。
7.如權(quán)利要求6所述的防火墻聯(lián)動(dòng)方法�����,其特征在于�,所述的發(fā)送消息的格式順序依次為版本,共同體�����,類型����,企業(yè),地址�����,指令�,防火墻,參數(shù)��;所述版本字段指明所用的版本協(xié)議�;所述共同體是指每一個(gè)通信組所擁有的為一意義的共同體名稱;所述類型是為所述消息的類型�;所述企業(yè)是為不同的入侵檢測(cè)產(chǎn)品或?qū)徲?jì)產(chǎn)品所分配的不同的企業(yè)號(hào);所述地址為所述系統(tǒng)或設(shè)備的IP地址�����;所述指令為所述程序向防火墻發(fā)出的命令�����;所述防火墻控制程序理論上最多可控制四臺(tái)防火墻��;所述防火墻字段表示防火墻的序號(hào)�;所述參數(shù)表示指令字段中所需要的參數(shù)。
8.如權(quán)利要求7所述的防火墻聯(lián)動(dòng)方法�����,其特征在于��,所述共同體名稱與所述消息一起傳輸���,所述入侵檢測(cè)系統(tǒng)或?qū)徲?jì)系統(tǒng)和所述指令服務(wù)模塊間的通信關(guān)系被定義為相應(yīng)共同體間的關(guān)系����。
9.如權(quán)利要求6所述的防火墻聯(lián)動(dòng)方法,其特征在于�,所述指令服務(wù)模塊接到所述入侵檢測(cè)和審計(jì)系統(tǒng)發(fā)送的消息后執(zhí)行以下步驟①對(duì)傳輸中的數(shù)據(jù)進(jìn)行所傳數(shù)據(jù)的合法性檢查,如發(fā)現(xiàn)錯(cuò)誤����,進(jìn)行步驟⑦,如正確�,進(jìn)行步驟②;②如數(shù)據(jù)包被正確的收到����,則檢驗(yàn)所述消息的版本號(hào),若號(hào)碼與接受的版本不符����,進(jìn)行步驟⑦,如正確�����,進(jìn)行步驟③���;③若版本正確���,所述消息對(duì)象里的共同體名和數(shù)據(jù)連帶該數(shù)據(jù)包的源與目標(biāo)地址被傳送給驗(yàn)證服務(wù)�,進(jìn)行步驟④����;④所述驗(yàn)證服務(wù)返回一個(gè)新的經(jīng)過(guò)處理的消息對(duì)象�,或是通知一個(gè)驗(yàn)證錯(cuò)誤,若存在錯(cuò)誤���,所述錯(cuò)誤將被紀(jì)錄����,然后進(jìn)行步驟⑦����,如正確,進(jìn)行步驟⑤��;⑤將所述指令字段中的指令及其參數(shù)翻譯成所述防火墻可以接受的命令行腳本語(yǔ)言��,進(jìn)行步驟⑥���;⑥將翻譯后的所述語(yǔ)句根據(jù)其防火墻序號(hào)和企業(yè)號(hào)匯入不同的指令緩沖區(qū)內(nèi)�����,整個(gè)步驟結(jié)束��。⑦數(shù)據(jù)包被摧毀�����,系統(tǒng)不采取任何進(jìn)一步行動(dòng)����,整個(gè)步驟結(jié)束。
10.如權(quán)利要求9所述的防火墻聯(lián)動(dòng)方法����,其特征在于,在上述步驟⑥中所述一個(gè)或多個(gè)指令緩沖區(qū)設(shè)置在所述指令服務(wù)模塊中�,按照發(fā)送過(guò)來(lái)的數(shù)據(jù)包的企業(yè)類型,安置在不同的所述緩沖區(qū)隊(duì)列內(nèi)�����。
11.如權(quán)利要求6所述的防火墻聯(lián)動(dòng)方法���,其特征在于��,所述的回應(yīng)的消息命令格式順序依次為版本��,共同體�����,類型����,結(jié)果�,信息;所述版本字段為所用的版本協(xié)議����;所述共同體為每一個(gè)通信組所擁有的唯一意義的共同體名稱;所述入侵檢測(cè)系統(tǒng)或?qū)徲?jì)系統(tǒng)和所述指令服務(wù)模塊間的通信關(guān)系被定義為相應(yīng)共同體間的關(guān)系����;所述類型為所述消息的類型所述結(jié)果表示指令操作成功或失敗。
12.如權(quán)利要求11所述的防火墻聯(lián)動(dòng)方法��,其特征在于�����,所述共同體名稱與所述消息一起傳輸。
13.如權(quán)利要求4所述的防火墻聯(lián)動(dòng)方法�����,其特征在于�����,所述串口訪問(wèn)模塊通過(guò)輪循的機(jī)制判斷一個(gè)或多個(gè)所述指令緩沖區(qū)是否為空�����,若為空����,且對(duì)應(yīng)的所述串行口處于閑的狀態(tài),立即從緩沖區(qū)內(nèi)提取一條指令�,發(fā)送到所述串口內(nèi)傳送到防火墻,通過(guò)所述串口從防火墻傳回的回應(yīng)數(shù)據(jù)���,由所述串口訪問(wèn)模塊進(jìn)行處理�,所述串口訪問(wèn)模塊將返回信息中的控制字符除去���,將余下的回應(yīng)數(shù)據(jù)傳遞給所述指令服務(wù)模塊�����,所述指令服務(wù)模塊將回應(yīng)數(shù)據(jù)按照所述的回應(yīng)消息的格式打包���,回應(yīng)給所述入侵檢測(cè)和審計(jì)系統(tǒng)����。
14.如權(quán)利要求1所述的防火墻聯(lián)動(dòng)方法��,其特征在于�,所述防火墻聯(lián)動(dòng)方法所涉及的每個(gè)網(wǎng)絡(luò)設(shè)備都具有控制口(console)�����。
全文摘要
本發(fā)明公開(kāi)了一種基于控制口(console)的防火墻聯(lián)動(dòng)方法,該防火墻聯(lián)動(dòng)方法通過(guò)一防火墻控制程序把應(yīng)通過(guò)鍵盤(pán)從終端窗口輸入控制口(console)的控制命令直接輸入到計(jì)算機(jī)的串行口,同時(shí)把控制口(console)反饋的信息進(jìn)行提取,匯總,從而完成和防火墻的交互�����。
文檔編號(hào)G06F9/30GK1373416SQ0113233
公開(kāi)日2002年10月9日 申請(qǐng)日期2001年11月29日 優(yōu)先權(quán)日2001年11月29日
發(fā)明者張世永, 馮亮, 金迪 申請(qǐng)人:上海復(fù)旦光華信息科技股份有限公司