一種分布式防火墻安全通信機制的方法
【專利摘要】一種分布式防火墻安全通信機制的方法���,它涉及通信【技術領域】��;它的通訊方法為:(一)����、自動檢測:主機上防火墻軟件自動下載并安裝在電腦上,檢測電腦上安全設置是否符合安全配置�����,當不符合時則自動下載修復軟件進行修復����;(二)、預防入侵:主機自帶的檢測預防模塊啟動�����,進行預防入侵檢測�;(三)、入侵檢測:入侵決策與響應模塊接收入侵檢測系統發(fā)來的入侵報警信息��,通過軟件包把入侵檢測規(guī)則轉化為防火墻規(guī)則���,然后將防火墻規(guī)則發(fā)送給各結點的響應單元�����;(四)��、身份驗證�;(五)、發(fā)送�����;它提高了系統的性能及安全性���,能防范入侵�,保證系統的安全性����。
【專利說明】一種分布式防火墻安全通信機制的方法
【技術領域】
:
[0001]本發(fā)明涉及通信【技術領域】,具體涉及一種分布式防火墻安全通信機制的方法���。
【背景技術】
:
[0002]隨著網絡技術的發(fā)展和應用的不斷深入����,各種入侵事件與入侵手法層出不窮���,網絡安全問題日益嚴重�����。目前防范網絡入侵最常用的技術是防火墻����,但由于傳統集中式防火墻暴露出來的不足和弱點��,導致網絡的安全保障技術相對落后于網絡攻擊技術���,從而出現防不勝防的尷尬局面���。因此,有必要探索新的安全技術和策略來迎接挑戰(zhàn)����,改變原有的安全解決方案。
[0003]傳統的防火墻位于內部網絡和外部網絡的邊界�,因而又被稱為邊界。它對進出內部網絡的所有數據進行檢測����,這樣就保證了所有與外部的通信請求都能在防火墻中過濾;目前市面上的主要防火墻都是這種邊界防火墻���。
[0004]傳統防火墻主要有以下缺點:
[0005]一����、存在單點故障:
[0006]傳統防火墻本身也存在單點故障危險,一旦出現問題或者被攻克�,整個內網將會完全暴露在外部攻擊者面前,并且對于傳統防火墻來說����,所有內部主機是平等的,也就是說�����,如果其中的一臺被侵入攻擊者很容易的就能以此為基點發(fā)起對其他內部主機的攻擊����。
[0007]二、受限制:
[0008]傳統防火墻的工作機制依賴于網絡的物理拓撲結構�����。隨著越來越多的企業(yè)利用互聯網架構自己的跨地區(qū)網絡���,所謂內聯網已經變成一個邏輯上的概念����;另一方面�,電子商務的應用要求商務伙伴之間在一定權限下可以進入到彼此的內部網絡。因此企業(yè)的邊界已經是一個邏輯的邊界����,物理的邊界模糊,傳統防火墻的應用也受到愈來愈多的結構限制���。
[0009]三����、內網的攻擊:
[0010]傳統防火墻設置在網絡邊界��,在內網和外網之間構成一個屏障��,進行網絡訪問控制��,它制定安全策略的一個基本假設是:內網中的所有主機都是可以信任的��,而外網的所有主機都是不可信任的�,但在實際環(huán)境中,許多的攻擊和越權訪問來自于內部,并且大部分常用協議實用明碼傳輸數據��,因此局域網內部極易被窺探和欺騙�����,與外部攻擊相比��,來自系統內部的攻擊往往會對系統造成更大危害�����,而傳統防火墻在對付內部攻擊時卻束手無策����。
[0011]針對目前集中式防火墻不能適應高速網絡環(huán)境、無法滿足網絡流量需求的不足�,提出一種分布式防火墻安全通信機制的方法。
【發(fā)明內容】
:
[0012]本發(fā)明的目的是提供一種分布式防火墻安全通信機制的方法����,它提高了系統的性能及安全性,能防范入侵�,保證系統的安全性。
[0013]為了解決【背景技術】所存在的問題��,本發(fā)明是采用如下技術方案:它的通訊方法為:
[0014](一)、自動檢測:主機上防火墻軟件自動下載并安裝在電腦上�����,檢測電腦上安全設置是否符合安全配置����,當不符合時則自動下載修復軟件進行修復;
[0015]( 二)��、預防入侵:主機自帶的檢測預防模塊啟動���,進行預防入侵檢測;
[0016](三)�����、入侵檢測:入侵決策與響應模塊接收入侵檢測系統發(fā)來的入侵報警信息����,通過軟件包把入侵檢測規(guī)則轉化為防火墻規(guī)則,然后將防火墻規(guī)則發(fā)送給各結點的響應單元;
[0017](四)��、身份驗證:驗證模塊進行身份驗證�,當身份驗證通過時即可發(fā)送,當身份驗證不通過即發(fā)出報警,入侵模塊檢測是否有入侵��,有入侵將其攔截�;
[0018](五)、發(fā)送:負載調整模塊接收各結點狀態(tài)統計模塊發(fā)送的負載信息����,根據各結點的負載情況調整報文轉發(fā)模塊的轉發(fā)策略。
[0019]本發(fā)明具有如下有益效果:提高了系統的性能及安全性���,能防范入侵��,保證系統的安全性�。
【具體實施方式】
:
[0020]本【具體實施方式】采用如下技術方案:它的通訊方法為:
[0021](一)���、自動檢測:主機上防火墻軟件自動下載并安裝在電腦上���,檢測電腦上安全設置是否符合安全配置,當不符合時則自動下載修復軟件進行修復�����;
[0022]( 二)����、預防入侵:主機自帶的檢測預防模塊啟動�����,進行預防入侵檢測���;
[0023](三)、入侵檢測:入侵決策與響應模塊接收入侵檢測系統發(fā)來的入侵報警信息��,通過軟件包把入侵檢測規(guī)則轉化為防火墻規(guī)則��,然后將防火墻規(guī)則發(fā)送給各結點的響應單元;
[0024](四)���、身份驗證:驗證模塊進行身份驗證,當身份驗證通過時即可發(fā)送����,當身份驗證不通過即發(fā)出報警,入侵模塊檢測是否有入侵���,有入侵將其攔截���;
[0025](五)�����、發(fā)送:負載調整模塊接收各結點狀態(tài)統計模塊發(fā)送的負載信息�����,根據各結點的負載情況調整報文轉發(fā)模塊的轉發(fā)策略��。
[0026]本【具體實施方式】具有如下有益效果:提高了系統的性能及安全性�,能防范入侵�,保證系統的安全性。
[0027]以上所述僅為本發(fā)明的較佳實施例而已�����,并不用以限制本發(fā)明��,凡在本發(fā)明的精神和原則之內�����,所作的任何修改����、等同替換��、改進等�,均應包含在本發(fā)明的保護范圍之內����。
【權利要求】
1.一種分布式防火墻安全通信機制的方法,其特征在于它的通訊方法為: (一)���、自動檢測:主機上防火墻軟件自動下載并安裝在電腦上�,檢測電腦上安全設置是否符合安全配置�,當不符合時則自動下載修復軟件進行修復; (二)���、預防入侵:主機自帶的檢測預防模塊啟動�����,進行預防入侵檢測; (三)��、入侵檢測:入侵決策與響應模塊接收入侵檢測系統發(fā)來的入侵報警信息�����,通過軟件包把入侵檢測規(guī)則轉化為防火墻規(guī)則,然后將防火墻規(guī)則發(fā)送給各結點的響應單元�����; (四)�����、身份驗證:驗證模塊進行身份驗證�,當身份驗證通過時即可發(fā)送,當身份驗證不通過即發(fā)出報警�,入侵模塊檢測是否有入侵,有入侵將其攔截�; (五)、發(fā)送:負載調整模塊接收各結點狀態(tài)統計模塊發(fā)送的負載信息����,根據各結點的負載情況調整報文轉發(fā)模塊的轉發(fā)策略。
【文檔編號】H04L29/06GK104378352SQ201410550026
【公開日】2015年2月25日 申請日期:2014年10月16日 優(yōu)先權日:2014年10月16日
【發(fā)明者】傅濤, 傅德勝, 經正俊, 孫文靜 申請人:江蘇博智軟件科技有限公司