本發(fā)明涉及防火墻領(lǐng)域，尤其涉及一種基于Linux網(wǎng)絡(luò)防火墻的設(shè)計(jì)系統(tǒng)。

背景技術(shù)：

伴隨互聯(lián)網(wǎng)技術(shù)的發(fā)展，各企事業(yè)單位都紛紛建立內(nèi)部局域網(wǎng)絡(luò)，這時(shí)企事業(yè)內(nèi)部網(wǎng)絡(luò)的安全性就受到了考驗(yàn)，網(wǎng)絡(luò)上的黑客不斷地尋找網(wǎng)絡(luò)上的漏洞，企圖潛入內(nèi)部網(wǎng)絡(luò)，一旦企事業(yè)內(nèi)部網(wǎng)絡(luò)被人攻破，一些機(jī)密的數(shù)據(jù)、資料可能會(huì)被盜，網(wǎng)絡(luò)可能會(huì)被破壞，給網(wǎng)絡(luò)所屬單位帶來(lái)難以估計(jì)的損失，防火墻是一種行之有效的網(wǎng)絡(luò)安全機(jī)制，它由軟件或硬設(shè)備組合而成，處于企業(yè)或網(wǎng)絡(luò)群體計(jì)算機(jī)與Intemet之間，限制外界用戶對(duì)內(nèi)部網(wǎng)絡(luò)訪問(wèn)及管理內(nèi)部用戶訪問(wèn)外部網(wǎng)絡(luò)的權(quán)限，作為內(nèi)部網(wǎng)與外部網(wǎng)之間實(shí)施安全防范的系統(tǒng)，但是防火墻本身可能會(huì)受到惡意攻擊，因?yàn)槠浯蠖鄶?shù)都位于網(wǎng)絡(luò)的邊緣，其中一種最嚴(yán)重的攻擊就是DDOR攻擊，根據(jù)ArborNetworks在2010年的報(bào)告，與2009年相比，DDOR的增長(zhǎng)率是令人吃驚的102%這種增長(zhǎng)主要是由于僵尸網(wǎng)絡(luò)的快速增長(zhǎng)造成的，上述問(wèn)題亟需解決。

技術(shù)實(shí)現(xiàn)要素：

針對(duì)以上問(wèn)題，本發(fā)明提供了一種基于Linux網(wǎng)絡(luò)防火墻的設(shè)計(jì)系統(tǒng)，采用基于OpenFlow的SND技術(shù)來(lái)實(shí)現(xiàn)軟件防火墻，并基于此防火墻系統(tǒng)進(jìn)行試驗(yàn)驗(yàn)證和應(yīng)用，借助SDN網(wǎng)絡(luò)架構(gòu)的思想，可以從根本上改變網(wǎng)絡(luò)的管理體系，構(gòu)建一種可控、可變、可信的軟件模式的防火墻，可以有效解決背景技術(shù)中的問(wèn)題。

為此，本發(fā)明提供了一種基于Linux網(wǎng)絡(luò)防火墻的設(shè)計(jì)系統(tǒng)，所述的通訊控制模塊的數(shù)據(jù)端通過(guò)通訊交互處理方式與用戶接口模塊相連接，所述用戶接口模塊的輸入端連接有業(yè)務(wù)使用情況的規(guī)則管理模塊，所述用戶接口模塊的輸出端還通過(guò)控制線連接有用于獲取和顯示設(shè)置信息的數(shù)據(jù)管理模塊，所述數(shù)據(jù)管理模塊的的輸出端連接有數(shù)據(jù)存儲(chǔ)器，且在數(shù)據(jù)存儲(chǔ)器的輸入端還連接有交互式數(shù)據(jù)庫(kù)，所述數(shù)據(jù)管理模塊的雙向端口還通過(guò)控制線與防火墻模塊相連接，所述防火墻模塊的輸出端還通過(guò)監(jiān)控網(wǎng)絡(luò)鏈接模塊與用戶接口模塊的數(shù)據(jù)端相連接，所述通訊控制模塊的數(shù)據(jù)端還連接有用于獲取通訊信息、實(shí)現(xiàn)交互通信的軟件通訊模塊，所述軟件通訊模塊的內(nèi)部分別設(shè)置有分布式層、數(shù)據(jù)層和應(yīng)用層。

作為本發(fā)明一種優(yōu)選的技術(shù)方案，所述分布式層包括元數(shù)據(jù)管理模塊，所述元數(shù)據(jù)管理模塊的輸出端還連接HDFS命令模塊，所述HDFS命令模塊的輸出端還通過(guò)分布式管理模塊與WEB環(huán)境檢測(cè)模塊相連接。

作為本發(fā)明一種優(yōu)選的技術(shù)方案，所述數(shù)據(jù)層包括用戶隱私安全保護(hù)模塊和數(shù)據(jù)挖掘平臺(tái)層，所述用戶隱私安全保護(hù)模塊的輸出端連接有基于ABE屬性的加密模塊，所述加密模塊的輸出端通過(guò)并行數(shù)據(jù)算法模塊與數(shù)據(jù)挖掘平臺(tái)層相連接。

作為本發(fā)明一種優(yōu)選的技術(shù)方案，所述應(yīng)用層包括響應(yīng)模塊和工作流檢測(cè)模塊，所述響應(yīng)模塊的輸入端主要處理來(lái)自并行數(shù)據(jù)算法模塊的數(shù)據(jù)，且工作流檢測(cè)模塊的數(shù)據(jù)端還連接有數(shù)據(jù)加載模塊。

作為本發(fā)明一種優(yōu)選的技術(shù)方案，所述防火墻模塊包括界面檢測(cè)模塊和通信組件模塊，所述界面檢測(cè)模塊和通信組件模塊的輸出端均連接有API數(shù)據(jù)服務(wù)模塊，所述API數(shù)據(jù)服務(wù)模塊的輸出端還通過(guò)包過(guò)濾模塊與二層轉(zhuǎn)發(fā)模塊相連接，所述二層轉(zhuǎn)發(fā)模塊的輸出端與數(shù)據(jù)轉(zhuǎn)發(fā)模塊相連接。

作為本發(fā)明一種優(yōu)選的技術(shù)方案，所述界面檢測(cè)模塊的輸入端還連接有閾值設(shè)定模塊，所述閾值設(shè)定模塊的輸出端還連接有數(shù)據(jù)校對(duì)模塊。

作為本發(fā)明一種優(yōu)選的技術(shù)方案，所述二層轉(zhuǎn)發(fā)模塊的輸出端還連接有狀態(tài)檢測(cè)模塊，所述狀態(tài)檢測(cè)模塊的輸出端還通過(guò)控制線與注冊(cè)表相連接。

作為本發(fā)明一種優(yōu)選的技術(shù)方案，所述數(shù)據(jù)轉(zhuǎn)發(fā)模塊的輸出端還連接有無(wú)線數(shù)據(jù)檢測(cè)模塊，所述無(wú)線數(shù)據(jù)檢測(cè)模塊的輸出端分別連接有無(wú)線通訊模塊和系統(tǒng)配置模塊，所述系統(tǒng)配置模塊的內(nèi)部還設(shè)置有數(shù)據(jù)更新模塊。

與現(xiàn)有技術(shù)相比，本發(fā)明的有益效果是：該基于Linux網(wǎng)絡(luò)防火墻的設(shè)計(jì)系統(tǒng)，采用SDN的控制層向防火墻應(yīng)用提供統(tǒng)一維護(hù)和管理網(wǎng)絡(luò)的能力，其中包括具有檢測(cè)數(shù)據(jù)包包頭能力的包過(guò)濾模塊，可根據(jù)數(shù)據(jù)包中的包頭信息決定數(shù)據(jù)包的處理過(guò)程，并進(jìn)行相應(yīng)的安全防護(hù)動(dòng)作，SDN控制層可對(duì)數(shù)據(jù)包的包頭進(jìn)行分析，但是無(wú)法獲悉連接狀態(tài)，因此將狀態(tài)檢測(cè)技術(shù)模塊布置在控制層和數(shù)據(jù)轉(zhuǎn)發(fā)層之間，代理服務(wù)器技術(shù)則以應(yīng)用程序的模式運(yùn)行在應(yīng)用層，即在SDN網(wǎng)絡(luò)架構(gòu)下，將防火墻作為即在SDN網(wǎng)絡(luò)架構(gòu)下，將防火墻作為SDN網(wǎng)絡(luò)上的一種軟件應(yīng)用。防火墻系統(tǒng)通過(guò)SDN控制器提供的可編程接口，控制網(wǎng)絡(luò)中所有OpenFlow交換機(jī)，構(gòu)建一個(gè)可靈活應(yīng)對(duì)不同安全需求的防火墻應(yīng)用。與普通防火墻相比，防火墻不在部署于網(wǎng)絡(luò)邊界，而是以軟件形式集中在網(wǎng)絡(luò)的某一位置，因此防火墻的升級(jí)、修改、配置等無(wú)需在安全設(shè)備上逐一操作，加快了防火墻開(kāi)發(fā)、部署和靈活改進(jìn)網(wǎng)絡(luò)上的一種軟件應(yīng)用。

附圖說(shuō)明

圖1為本發(fā)明結(jié)構(gòu)示意圖；

圖2為本發(fā)明軟件通信內(nèi)部結(jié)構(gòu)示意圖；

圖3為本發(fā)明防火墻模塊內(nèi)部結(jié)構(gòu)示意圖。

圖中：1-通訊控制模塊；2-用戶接口模塊；3-規(guī)則管理模塊；4-數(shù)據(jù)管理模塊；5-數(shù)據(jù)存儲(chǔ)器；6-交互式數(shù)據(jù)庫(kù)；7-防火墻模塊；8-監(jiān)控網(wǎng)絡(luò)鏈接模塊；9-軟件通訊模塊；10-分布式層；11-數(shù)據(jù)層；12-應(yīng)用層；13-元數(shù)據(jù)管理模塊；14-HDFS命令模塊；15-分布式管理模塊；16-WEB環(huán)境檢測(cè)模塊；17-用戶隱私安全保護(hù)模塊；18-數(shù)據(jù)挖掘平臺(tái)層；19-加密模塊；20-并行數(shù)據(jù)算法模塊；21-工作流檢測(cè)模塊；22-響應(yīng)模塊；23-數(shù)據(jù)加載模塊；24-界面檢測(cè)模塊；25-信組件模塊；26-API數(shù)據(jù)服務(wù)模塊；27-包過(guò)濾模塊；28-二層轉(zhuǎn)發(fā)模塊；29-數(shù)據(jù)轉(zhuǎn)發(fā)模塊；30-閾值設(shè)定模塊；31-數(shù)據(jù)校對(duì)模塊；32-狀態(tài)檢測(cè)模塊；33-注冊(cè)表；34-無(wú)線數(shù)據(jù)檢測(cè)模塊；35-無(wú)線通訊模塊；36-系統(tǒng)配置模塊；37-數(shù)據(jù)更新模塊。

具體實(shí)施方式

下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例，基于本發(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。

實(shí)施例：

請(qǐng)參閱圖1、圖2和圖3，本發(fā)明提供一種技術(shù)方案：一種基于Linux網(wǎng)絡(luò)防火墻的設(shè)計(jì)系統(tǒng)，所述的通訊控制模塊1的數(shù)據(jù)端通過(guò)通訊交互處理方式與用戶接口模塊2相連接，所述用戶接口模塊2的輸入端連接有業(yè)務(wù)使用情況的規(guī)則管理模塊3，所述用戶接口模塊2的輸出端還通過(guò)控制線連接有用于獲取和顯示設(shè)置信息的數(shù)據(jù)管理模塊4，所述數(shù)據(jù)管理模塊4的的輸出端連接有數(shù)據(jù)存儲(chǔ)器5，且在數(shù)據(jù)存儲(chǔ)器5的輸入端還連接有交互式數(shù)據(jù)庫(kù)6，所述數(shù)據(jù)管理模塊4的雙向端口還通過(guò)控制線與防火墻模塊7相連接，所述防火墻模塊7的輸出端還通過(guò)監(jiān)控網(wǎng)絡(luò)鏈接模塊8與用戶接口模塊2的數(shù)據(jù)端相連接，所述通訊控制模塊1的數(shù)據(jù)端還連接有用于獲取通訊信息、實(shí)現(xiàn)交互通信的軟件通訊模塊9，所述軟件通訊模塊9的內(nèi)部分別設(shè)置有分布式層10、數(shù)據(jù)層11和應(yīng)用層12，所述分布式層10包括元數(shù)據(jù)管理模塊13，所述元數(shù)據(jù)管理模塊13的輸出端還連接HDFS命令模塊14，所述HDFS命令模塊14的輸出端還通過(guò)分布式管理模塊15與WEB環(huán)境檢測(cè)模塊16相連接；所述數(shù)據(jù)層11包括用戶隱私安全保護(hù)模塊17和數(shù)據(jù)挖掘平臺(tái)層18，所述用戶隱私安全保護(hù)模塊17的輸出端連接有基于ABE屬性的加密模塊19，所述加密模塊19的輸出端通過(guò)并行數(shù)據(jù)算法模塊20與數(shù)據(jù)挖掘平臺(tái)層18相連接；所述應(yīng)用層12包括響應(yīng)模塊22和工作流檢測(cè)模塊21，所述響應(yīng)模塊22的輸入端主要處理來(lái)自并行數(shù)據(jù)算法模塊20的數(shù)據(jù)，且工作流檢測(cè)模塊21的數(shù)據(jù)端還連接有數(shù)據(jù)加載模塊23。

所述防火墻模塊7包括界面檢測(cè)模塊24和通信組件模塊25，所述界面檢測(cè)模塊24和通信組件模塊25的輸出端均連接有API數(shù)據(jù)服務(wù)模塊26，所述API數(shù)據(jù)服務(wù)模塊26的輸出端還通過(guò)包過(guò)濾模塊27與二層轉(zhuǎn)發(fā)模塊28相連接，所述二層轉(zhuǎn)發(fā)模塊28的輸出端與數(shù)據(jù)轉(zhuǎn)發(fā)模塊29相連接。所述界面檢測(cè)模塊24的輸入端還連接有閾值設(shè)定模塊30，所述閾值設(shè)定模塊30的輸出端還連接有數(shù)據(jù)校對(duì)模塊31。所述二層轉(zhuǎn)發(fā)模塊28的輸出端還連接有狀態(tài)檢測(cè)模塊32，所述狀態(tài)檢測(cè)模塊32的輸出端還通過(guò)控制線與注冊(cè)表33相連接。所述數(shù)據(jù)轉(zhuǎn)發(fā)模塊29的輸出端還連接有無(wú)線數(shù)據(jù)檢測(cè)模塊34，所述無(wú)線數(shù)據(jù)檢測(cè)模塊34的輸出端分別連接有無(wú)線通訊模塊35和系統(tǒng)配置模塊36，所述系統(tǒng)配置模塊36的內(nèi)部還設(shè)置有數(shù)據(jù)更新模塊37。

所述防火墻模塊7，實(shí)際上是一個(gè)運(yùn)行在應(yīng)用層的應(yīng)用程序，它定期向控制層查詢網(wǎng)絡(luò)拓?fù)浜途W(wǎng)絡(luò)狀態(tài)信息，如底層交換機(jī)接收到異常數(shù)據(jù)包的數(shù)量和異常數(shù)據(jù)包的分布范圍，評(píng)估當(dāng)前網(wǎng)絡(luò)的安全需求及等級(jí)，實(shí)時(shí)調(diào)整查詢頻率、下發(fā)包過(guò)濾規(guī)則等操作，形成一個(gè)可應(yīng)對(duì)不同網(wǎng)絡(luò)攻擊的防火墻系統(tǒng)。

所述API數(shù)據(jù)服務(wù)模塊26控制層的包過(guò)濾模塊通過(guò)RESTAPI服務(wù)模塊向應(yīng)用層的防火墻模塊開(kāi)放編程端口。RESTAPI服務(wù)模塊將控制層的API可編程接口以RESTAPI形式向外開(kāi)放，并遵循HTTP協(xié)議。簡(jiǎn)單來(lái)說(shuō)，用戶通過(guò)HTTP協(xié)議提供的GET、POST等方法來(lái)實(shí)現(xiàn)對(duì)模塊的操作。

所述包過(guò)濾模塊27，該模塊替代了原本處于網(wǎng)絡(luò)層的防火墻功能，防止不希望的通信交互，模塊內(nèi)含一套過(guò)濾規(guī)則，規(guī)則定義了包過(guò)濾模塊對(duì)于數(shù)據(jù)包的具體操作，即對(duì)所接收的每個(gè)數(shù)據(jù)包應(yīng)做出允許或拒絕的決定，數(shù)據(jù)包頭部主要由源地址、目標(biāo)地址、通信協(xié)議、端口號(hào)等參數(shù)組成，每條過(guò)濾規(guī)則都含有一些頭部參數(shù)的組合，用于匹配數(shù)據(jù)包的包頭，包過(guò)濾模塊位于ＳＤＮ控制層，主要依靠控制層對(duì)于數(shù)據(jù)包的拆包能力和分析能力，通過(guò)檢查包頭的頭部參數(shù)決定是否讓數(shù)據(jù)包通過(guò)。

所述二層轉(zhuǎn)發(fā)模塊28，通過(guò)OpenFlow協(xié)議與數(shù)據(jù)轉(zhuǎn)發(fā)層直接通信，主要用于將數(shù)據(jù)包轉(zhuǎn)發(fā)給底層交換設(shè)備，由于真實(shí)網(wǎng)絡(luò)中的設(shè)備情況相當(dāng)復(fù)雜，往往并存著真實(shí)交換機(jī)和虛擬交換機(jī)，同時(shí)也未知它們是否支持OpenFlow協(xié)議，二層轉(zhuǎn)發(fā)模塊會(huì)查詢所有設(shè)備，并收集信息進(jìn)行分析，學(xué)習(xí)并記錄所有支持OpenFlow協(xié)議的交換機(jī)的位置，并將信息匯總給控制層，當(dāng)新設(shè)備加入時(shí)，它也能及時(shí)感知、學(xué)習(xí)并更新記錄。

本發(fā)明的工作原理：該基于Linux網(wǎng)絡(luò)防火墻的設(shè)計(jì)系統(tǒng)，采用SDN的控制層向防火墻應(yīng)用提供統(tǒng)一維護(hù)和管理網(wǎng)絡(luò)的能力，其中包括具有檢測(cè)數(shù)據(jù)包包頭能力的包過(guò)濾模塊，可根據(jù)數(shù)據(jù)包中的包頭信息決定數(shù)據(jù)包的處理過(guò)程，并進(jìn)行相應(yīng)的安全防護(hù)動(dòng)作，SDN控制層可對(duì)數(shù)據(jù)包的包頭進(jìn)行分析，但是無(wú)法獲悉連接狀態(tài)，因此將狀態(tài)檢測(cè)技術(shù)模塊布置在控制層和數(shù)據(jù)轉(zhuǎn)發(fā)層之間，代理服務(wù)器技術(shù)則以應(yīng)用程序的模式運(yùn)行在應(yīng)用層，即在SDN網(wǎng)絡(luò)架構(gòu)下，將防火墻作為即在SDN網(wǎng)絡(luò)架構(gòu)下，將防火墻作為SDN網(wǎng)絡(luò)上的一種軟件應(yīng)用。防火墻系統(tǒng)通過(guò)SDN控制器提供的可編程接口，控制網(wǎng)絡(luò)中所有OpenFlow交換機(jī)，構(gòu)建一個(gè)可靈活應(yīng)對(duì)不同安全需求的防火墻應(yīng)用，與普通防火墻相比，防火墻不在部署于網(wǎng)絡(luò)邊界，而是以軟件形式集中在網(wǎng)絡(luò)的某一位置，因此防火墻的升級(jí)、修改、配置等無(wú)需在安全設(shè)備上逐一操作，加快了防火墻開(kāi)發(fā)、部署和靈活改進(jìn)網(wǎng)絡(luò)上的一種軟件應(yīng)用。。

以上所述僅為本發(fā)明的較佳實(shí)施例而已，并不用以限制本發(fā)明，凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換和改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。