一種軟硬件結合的網絡防火墻的制作方法

本發明涉及云計算環境下的網絡安全訪問及訪問防護技術領域，具體而言，涉及一種軟硬件結合的網絡防火墻技術。

背景技術：

隨著網絡技術的快速發展與普及，網絡環境也變的日益復雜，其中包括了高速的網絡設施、高性能的計算設施、大數據處理、高效資源管理等相關的基礎設施，以及在這些基礎設施上構建的虛擬化環境，原有的網絡防火墻技術已經不能滿足今天網絡環境中的安全防護需求。

現有技術中防火墻設置在服務器與客戶端之間，通過硬件設備在主機與所有客戶端之間建立一個安全網關(Security Gateway)，從而保護內部網絡免受非法用戶的侵入，防火墻主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成，所有接入該主機網絡的通信和數據包均要經過防火墻。但是現有技術中，防火墻通常設置在主機與其他客戶端機之間，主機與客戶端機通信收到防火墻的管理，而客戶端機與客戶端機可以自由通信，并且通常為了通信方便，均使用TCP/IP協議，外部使用者可以通過接入客戶端計算機或是偽裝成客戶端計算機，對主機進行訪問，并獲取主機信息，給網絡帶來極大的風險。

技術實現要素：

針對現有技術中防火墻的不足，本發明提出一種軟硬件結合的網絡防火墻實現方法，通過改變防火墻防護規則以及通信協議，實現對主機信息的有效管理和安全保護。

本發明的技術方案是：

一種軟硬件結合的網絡防火墻，其特征在于：所述網絡防火墻包括硬件防火墻和軟件管理；所述硬件防火墻基于計算機管理，集中對訪問用戶客戶端進行訪問限制管理，統一制定訪問策略；所述硬件防火墻對個別特殊用戶實現區別于其他的特征管理規則；所述軟件管理是通過硬件防火墻計算機改變網絡內部通信規則，制定類TCP/IP通信規則，與Internet或局域網中的通信協議不兼容，從而屏蔽外部訪問者。

進一步，所述類TCP/IP通信規則的制度：通過對現有TCP/IP通信規則中信息傳輸數據包前后綴字符串進行重新定義，使現有協議不能識別。

進一步，所述硬件防火墻計算機與設置在網絡中心節點的防火墻相連接；所述硬件防火墻計算機對客戶端與主機之間、客戶端與客戶端之間的通信進行實時監控并記錄；所述硬件防火墻計算機對整個網絡的通信進行管理，并對新進入本網絡的客戶端用戶進行認證授權。

進一步，所述客戶端與主機之間、客戶端與客戶端之間的每次通信的發送與回饋都要先經過防火墻進行識別和過濾，再經過硬件防火墻計算機進行記錄和管理、

進一步，在本發明的信息的傳輸過程中，所述客戶端與客戶端用戶之間的通信包括8個過程：

S101：第一客戶端用戶提出訪問請求，防火墻對第一客戶端的身份信息和輸入信息進行識別和過濾；

S102：經過防火墻過濾后的信息輸送至防火墻計算機，防火墻計算機對第一客戶端的身份信息、訪問時間、訪問次數進行登記，并對第一客戶端的發送信息進行鑒別和處理，所述處理過程包括：對客戶端的信息內容按照預制定的通信規則重新定義，所述預制定的通信規則采用對類TCP/IP通信規則信息傳輸數據包前后后綴字符串重新定義的方式；所述預制定的通信規則適用于防火墻計算機管理控制的客戶端范圍內；

S103：經防火墻計算機處理后的信息再次返回至防火墻，進行信息過濾；

S104：防火墻首先對第二客戶端的身份信息進行識別，然后將第一客戶端的信息輸送至第二客戶端；

S105：第二客戶端回饋信息給防火墻，防火墻對第二客戶端的回饋信息進行識別和過濾；

S106：經過防火墻過濾后的信息輸送至防火墻計算機，防火墻計算機對第二客戶端的身份信息、訪問時間、訪問次數進行登記，并對第二客戶的發送信息進行鑒別和處理，所述處理過程包括：對客戶端的信息內容按照預制定的通信規則重新定義，所述預制定的通信規則采用對類TCP/IP通信規則信息傳輸數據包前后后綴字符串重新定義的方式；

S107：經防火墻計算機處理后的信息再次返回至防火墻，進行信息過濾；

S108：第二客戶端回饋的信息傳送至第一客戶端。

進一步，所述第二客戶端可以為多個，所述第一客戶端與多個第二客戶端之間通過防火墻與防火墻計算機之間開啟會議模式，實現信息同步共享。

進一步，，在本發明的信息的傳輸過程中，所述客戶端與主機之間的通信也包括8個過程：

S201：第一客戶端用戶提出訪問請求，防火墻對第一客戶端的身份信息和輸入信息進行識別和過濾；

S202：經過防火墻過濾后的信息輸送至防火墻計算機，防火墻計算機對第一客戶端的身份信息、訪問時間、訪問次數進行登記，并對第一客戶端的發送信息進行鑒別和處理，所述處理過程包括：對客戶端的信息內容按照預制定的通信規則重新定義，所述預制定的通信規則采用對類TCP/IP通信規則信息傳輸數據包前后后綴字符串重新定義的方式；所述預制定的通信規則適用于防火墻計算機管理控制的客戶端范圍內；

S203：經防火墻計算機處理后的信息再次返回至防火墻，進行信息過濾；

S204：防火墻首先對主機的身份信息進行識別，然后將第一客戶端的信息輸送至主機；

S205：主機回饋信息給防火墻，防火墻對主機的回饋信息進行識別和過濾；

S206：經過防火墻過濾后的信息輸送至防火墻計算機，防火墻計算機對主機的身份信息、訪問時間、訪問次數進行登記，并對主機的發送信息進行鑒別和處理，所述處理過程包括：對客戶端的信息內容按照預制定的通信規則重新定義，所述預制定的通信規則采用對類TCP/IP通信規則信息傳輸數據包前后后綴字符串重新定義的方式；

S207：經防火墻計算機處理后的信息再次返回至防火墻，進行信息過濾；

S208：主機回饋的信息傳送至第一客戶端。

進一步，所述主機和客戶端為多個，所述多個客戶端與多個主機之間通過防火墻與防火墻計算機開啟會議模式，實現信息同步共享。

進一步，通過防火墻計算機的定義和權限設定，硬件防火墻對個別特殊用戶實現主機的功能。

與現有技術相比，本發明的有益效果是：

1.本發明的技術方案，通過防火墻計算機改變了網絡內部的通信規則，制定了新的通用的數據傳輸協議，與Internet或局域網中的通信協議不兼容，從而屏蔽外部訪問者。

2.本發明采用軟硬件結合，實現防火墻計算機對網絡內的客戶端實現統一管理，實現了對網絡內部通信的更好管控。

3.本發明采用軟硬件結合，防火墻與防火墻計算機雙重控制，外部訪問者實現惡意侵襲和破解的難度更高，因而安全保密效果更好。

4.本發明的技術方案，可以對個別特殊的客戶端實現主機的功能，方便對整個網絡進行控制，并且可以實現多個客戶端和多個主機實時通信，實現信息同步共享，能適應會議場所，安全而且方便快捷。

5.本發明的網絡防火墻，能夠對每次通信進行實時監控和記錄，便于對惡意訪問或非法使用進行排查。

附圖說明

圖1是現有技術的網絡防火墻結構示意圖；

圖2是本發明的網絡防火墻結構示意圖；

圖3是本發明的有網絡防火墻、不同客戶端的連接關系示意圖；

圖4是本發明的有網絡防火墻、主機、客戶端之間的連接關系示意圖；

圖中附圖標記如下：防火墻1，防火墻計算機2，主機3，第一客戶端4、第二客戶端5。

具體實施方式

以下結合附圖和實施例，對本發明進行進一步詳細說明。應當理解，此處所描述的具體實施例僅用以解釋本發明，并不用于限定本發明。

實施例

如圖2所示，一種軟硬件結合的網絡防火墻，所述網絡防火墻包括硬件防火墻1和軟件管理；所述硬件防火墻基于計算機管理，集中對訪問用戶客戶端進行訪問限制管理，統一制定訪問策略；所述硬件防火墻對個別特殊用戶實現區別于其他的特征管理規則；所述軟件管理是通過硬件防火墻計算機2改變網絡內部通信規則，制定類TCP/IP通信規則，與Internet或局域網中的通信協議不兼容，從而屏蔽外部訪問者。

所述類TCP/IP通信規則的制度：通過對現有TCP/IP通信規則中信息傳輸數據包前后綴字符串進行重新定義，使現有協議不能識別。

所述硬件防火墻計算機2與設置在網絡中心節點的防火墻相連接；所述硬件防火墻計算機2對客戶端與主機3之間、客戶端與客戶端之間的通信進行實時監控并記錄；所述硬件防火墻計算機2對整個網絡的通信進行管理，并對新進入本網絡的客戶端用戶進行認證授權。

客戶端與主機3之間、客戶端與客戶端之間的每次通信的發送與回饋都要先經過防火墻進行識別和過濾，再經過硬件防火墻計算機進行記錄和管理、

如圖3所示，

在本發明的信息的傳輸過程中，所述客戶端與客戶端用戶之間的通信包括8個過程：

S101：客戶端的用戶提出訪問請求，防火墻1對第一客戶端4的身份信息和輸入信息進行識別和過濾；

S102：經過防火墻1過濾后的信息輸送至防火墻計算機2，防火墻計算機對第一客戶端4的身份信息、訪問時間、訪問次數進行登記，并對第一客戶端4的發送信息進行鑒別和處理，所述處理過程包括：對客戶端的信息內容按照預制定的通信規則重新定義，所述預制定的通信規則采用對類TCP/IP通信規則信息傳輸數據包前后后綴字符串重新定義的方式；所述預制定的通信規則適用于防火墻計算機管理控制的客戶端范圍內；

S103：經防火墻計算機處理后的信息再次返回至防火墻，進行信息過濾；

S104：防火墻首先對第二客戶端5的身份信息進行識別，然后將第一客戶端4的信息輸送至第二客戶端5；

S105：第二客戶端5回饋信息給防火墻1，防火墻1對第二客戶端5的回饋信息進行識別和過濾；

S106：經過防火墻1過濾后的信息輸送至防火墻計算機2，防火墻計算機2對第二客戶端5的身份信息、訪問時間、訪問次數進行登記，并對第二客戶端5的發送信息進行鑒別和處理，所述處理過程包括：對客戶端的信息內容按照預制定的通信規則重新定義，所述預制定的通信規則采用對類TCP/IP通信規則信息傳輸數據包前后后綴字符串重新定義的方式；

S107：經防火墻計算機處理后的信息再次返回至防火墻，進行信息過濾；

S108：第二客戶端5回饋的信息傳送至第一客戶端4。

當然，本發明的可以進行多點同時連接，即所述第二客戶端5可以為多個，所述第一客戶端1與多個第二客戶端5之間通過防火墻與防火墻計算機之間開啟會議模式，實現信息同步共享。

如圖4所示，

在本發明的信息的傳輸過程中，所述客戶端4與主機3之間的通信也包括8個過程：

S201：第一客戶端用戶提出訪問請求，防火墻1對第一客戶端4的身份信息和輸入信息進行識別和過濾；

S202：經過防火墻1過濾后的信息輸送至防火墻計算機2，防火墻計算機對第一客戶端4的身份信息、訪問時間、訪問次數進行登記，并對第一客戶端4的發送信息進行鑒別和處理，所述處理過程包括：對客戶端的信息內容按照預制定的通信規則重新定義，所述預制定的通信規則采用對類TCP/IP通信規則信息傳輸數據包前后后綴字符串重新定義的方式；所述預制定的通信規則適用于防火墻計算機管理控制的客戶端范圍內；

S203：經防火墻計算機2處理后的信息再次返回至防火墻1，進行信息過濾；

S204：防火墻首先對主機3的身份信息進行識別，然后將第一客戶端4的信息輸送至主機3；

S205：主機3回饋信息給防火墻1，防火墻1對主機3的回饋信息進行識別和過濾；

S206：經過防火墻1過濾后的信息輸送至防火墻計算機2，防火墻計算機2對主機3的身份信息、訪問時間、訪問次數進行登記，并對主機3的發送信息進行鑒別和處理，所述處理過程包括：對客戶端的信息內容按照預制定的通信規則重新定義，所述預制定的通信規則采用對類TCP/IP通信規則信息傳輸數據包前后后綴字符串重新定義的方式；

S207：經防火墻計算機2處理后的信息再次返回至防火墻1，進行信息過濾；

S208：主機3回饋的信息傳送至第一客戶端4。

此外，述主機3和客戶端可以為多個，所述多個客戶端與多個主機之間通過防火墻與防火墻計算機開啟會議模式，實現信息同步共享。

進一步，通過防火墻計算機的定義和權限設定，硬件防火墻對個別特殊用戶實現主機的功能。

本發明的網絡防火墻，通過防火墻計算機改變了網絡內部的通信規則，制定了新的通用的數據傳輸協議，與Internet或局域網中的通信協議不兼容，從而屏蔽外部訪問者。防火墻與防火墻計算機雙重控制，外部訪問者實現惡意侵襲和破解的難度更高，因而安全保密效果更好。還可以實現多個客戶端和多個主機實時通信，實現信息同步共享，能適應會議場所，安全而且方便快捷。本發明的網絡防火墻，能夠對每次通信進行實時監控和記錄，便于對惡意訪問或非法使用進行排查。

上述說明示出并描述了本發明的優選實施例，如前所述，應當理解本發明并非局限于本文所披露的形式，不應看作是對其他實施例的排除，而可用于各種其他組合、修改和環境，并能夠在本文所述發明構想范圍內，通過上述教導或相關領域的技術或知識進行改動。而本領域人員所進行的改動和變化不脫離本發明的精神和范圍，則都應在本發明所附權利要求的保護范圍內。