一種基于Linux網絡防火墻的設計系統的制作方法

本發明涉及防火墻領域，尤其涉及一種基于Linux網絡防火墻的設計系統。

背景技術：

伴隨互聯網技術的發展，各企事業單位都紛紛建立內部局域網絡，這時企事業內部網絡的安全性就受到了考驗，網絡上的黑客不斷地尋找網絡上的漏洞，企圖潛入內部網絡，一旦企事業內部網絡被人攻破，一些機密的數據、資料可能會被盜，網絡可能會被破壞，給網絡所屬單位帶來難以估計的損失，防火墻是一種行之有效的網絡安全機制，它由軟件或硬設備組合而成，處于企業或網絡群體計算機與Intemet之間，限制外界用戶對內部網絡訪問及管理內部用戶訪問外部網絡的權限，作為內部網與外部網之間實施安全防范的系統，但是防火墻本身可能會受到惡意攻擊，因為其大多數都位于網絡的邊緣，其中一種最嚴重的攻擊就是DDOR攻擊，根據ArborNetworks在2010年的報告，與2009年相比，DDOR的增長率是令人吃驚的102%這種增長主要是由于僵尸網絡的快速增長造成的，上述問題亟需解決。

技術實現要素：

針對以上問題，本發明提供了一種基于Linux網絡防火墻的設計系統，采用基于OpenFlow的SND技術來實現軟件防火墻，并基于此防火墻系統進行試驗驗證和應用，借助SDN網絡架構的思想，可以從根本上改變網絡的管理體系，構建一種可控、可變、可信的軟件模式的防火墻，可以有效解決背景技術中的問題。

為此，本發明提供了一種基于Linux網絡防火墻的設計系統，所述的通訊控制模塊的數據端通過通訊交互處理方式與用戶接口模塊相連接，所述用戶接口模塊的輸入端連接有業務使用情況的規則管理模塊，所述用戶接口模塊的輸出端還通過控制線連接有用于獲取和顯示設置信息的數據管理模塊，所述數據管理模塊的的輸出端連接有數據存儲器，且在數據存儲器的輸入端還連接有交互式數據庫，所述數據管理模塊的雙向端口還通過控制線與防火墻模塊相連接，所述防火墻模塊的輸出端還通過監控網絡鏈接模塊與用戶接口模塊的數據端相連接，所述通訊控制模塊的數據端還連接有用于獲取通訊信息、實現交互通信的軟件通訊模塊，所述軟件通訊模塊的內部分別設置有分布式層、數據層和應用層。

作為本發明一種優選的技術方案，所述分布式層包括元數據管理模塊，所述元數據管理模塊的輸出端還連接HDFS命令模塊，所述HDFS命令模塊的輸出端還通過分布式管理模塊與WEB環境檢測模塊相連接。

作為本發明一種優選的技術方案，所述數據層包括用戶隱私安全保護模塊和數據挖掘平臺層，所述用戶隱私安全保護模塊的輸出端連接有基于ABE屬性的加密模塊，所述加密模塊的輸出端通過并行數據算法模塊與數據挖掘平臺層相連接。

作為本發明一種優選的技術方案，所述應用層包括響應模塊和工作流檢測模塊，所述響應模塊的輸入端主要處理來自并行數據算法模塊的數據，且工作流檢測模塊的數據端還連接有數據加載模塊。

作為本發明一種優選的技術方案，所述防火墻模塊包括界面檢測模塊和通信組件模塊，所述界面檢測模塊和通信組件模塊的輸出端均連接有API數據服務模塊，所述API數據服務模塊的輸出端還通過包過濾模塊與二層轉發模塊相連接，所述二層轉發模塊的輸出端與數據轉發模塊相連接。

作為本發明一種優選的技術方案，所述界面檢測模塊的輸入端還連接有閾值設定模塊，所述閾值設定模塊的輸出端還連接有數據校對模塊。

作為本發明一種優選的技術方案，所述二層轉發模塊的輸出端還連接有狀態檢測模塊，所述狀態檢測模塊的輸出端還通過控制線與注冊表相連接。

作為本發明一種優選的技術方案，所述數據轉發模塊的輸出端還連接有無線數據檢測模塊，所述無線數據檢測模塊的輸出端分別連接有無線通訊模塊和系統配置模塊，所述系統配置模塊的內部還設置有數據更新模塊。

與現有技術相比，本發明的有益效果是：該基于Linux網絡防火墻的設計系統，采用SDN的控制層向防火墻應用提供統一維護和管理網絡的能力，其中包括具有檢測數據包包頭能力的包過濾模塊，可根據數據包中的包頭信息決定數據包的處理過程，并進行相應的安全防護動作，SDN控制層可對數據包的包頭進行分析，但是無法獲悉連接狀態，因此將狀態檢測技術模塊布置在控制層和數據轉發層之間，代理服務器技術則以應用程序的模式運行在應用層，即在SDN網絡架構下，將防火墻作為即在SDN網絡架構下，將防火墻作為SDN網絡上的一種軟件應用。防火墻系統通過SDN控制器提供的可編程接口，控制網絡中所有OpenFlow交換機，構建一個可靈活應對不同安全需求的防火墻應用。與普通防火墻相比，防火墻不在部署于網絡邊界，而是以軟件形式集中在網絡的某一位置，因此防火墻的升級、修改、配置等無需在安全設備上逐一操作，加快了防火墻開發、部署和靈活改進網絡上的一種軟件應用。

附圖說明

圖1為本發明結構示意圖；

圖2為本發明軟件通信內部結構示意圖；

圖3為本發明防火墻模塊內部結構示意圖。

圖中：1-通訊控制模塊；2-用戶接口模塊；3-規則管理模塊；4-數據管理模塊；5-數據存儲器；6-交互式數據庫；7-防火墻模塊；8-監控網絡鏈接模塊；9-軟件通訊模塊；10-分布式層；11-數據層；12-應用層；13-元數據管理模塊；14-HDFS命令模塊；15-分布式管理模塊；16-WEB環境檢測模塊；17-用戶隱私安全保護模塊；18-數據挖掘平臺層；19-加密模塊；20-并行數據算法模塊；21-工作流檢測模塊；22-響應模塊；23-數據加載模塊；24-界面檢測模塊；25-信組件模塊；26-API數據服務模塊；27-包過濾模塊；28-二層轉發模塊；29-數據轉發模塊；30-閾值設定模塊；31-數據校對模塊；32-狀態檢測模塊；33-注冊表；34-無線數據檢測模塊；35-無線通訊模塊；36-系統配置模塊；37-數據更新模塊。

具體實施方式

下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發明一部分實施例，而不是全部的實施例，基于本發明中的實施例，本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例，都屬于本發明保護的范圍。

實施例：

請參閱圖1、圖2和圖3，本發明提供一種技術方案：一種基于Linux網絡防火墻的設計系統，所述的通訊控制模塊1的數據端通過通訊交互處理方式與用戶接口模塊2相連接，所述用戶接口模塊2的輸入端連接有業務使用情況的規則管理模塊3，所述用戶接口模塊2的輸出端還通過控制線連接有用于獲取和顯示設置信息的數據管理模塊4，所述數據管理模塊4的的輸出端連接有數據存儲器5，且在數據存儲器5的輸入端還連接有交互式數據庫6，所述數據管理模塊4的雙向端口還通過控制線與防火墻模塊7相連接，所述防火墻模塊7的輸出端還通過監控網絡鏈接模塊8與用戶接口模塊2的數據端相連接，所述通訊控制模塊1的數據端還連接有用于獲取通訊信息、實現交互通信的軟件通訊模塊9，所述軟件通訊模塊9的內部分別設置有分布式層10、數據層11和應用層12，所述分布式層10包括元數據管理模塊13，所述元數據管理模塊13的輸出端還連接HDFS命令模塊14，所述HDFS命令模塊14的輸出端還通過分布式管理模塊15與WEB環境檢測模塊16相連接；所述數據層11包括用戶隱私安全保護模塊17和數據挖掘平臺層18，所述用戶隱私安全保護模塊17的輸出端連接有基于ABE屬性的加密模塊19，所述加密模塊19的輸出端通過并行數據算法模塊20與數據挖掘平臺層18相連接；所述應用層12包括響應模塊22和工作流檢測模塊21，所述響應模塊22的輸入端主要處理來自并行數據算法模塊20的數據，且工作流檢測模塊21的數據端還連接有數據加載模塊23。

所述防火墻模塊7包括界面檢測模塊24和通信組件模塊25，所述界面檢測模塊24和通信組件模塊25的輸出端均連接有API數據服務模塊26，所述API數據服務模塊26的輸出端還通過包過濾模塊27與二層轉發模塊28相連接，所述二層轉發模塊28的輸出端與數據轉發模塊29相連接。所述界面檢測模塊24的輸入端還連接有閾值設定模塊30，所述閾值設定模塊30的輸出端還連接有數據校對模塊31。所述二層轉發模塊28的輸出端還連接有狀態檢測模塊32，所述狀態檢測模塊32的輸出端還通過控制線與注冊表33相連接。所述數據轉發模塊29的輸出端還連接有無線數據檢測模塊34，所述無線數據檢測模塊34的輸出端分別連接有無線通訊模塊35和系統配置模塊36，所述系統配置模塊36的內部還設置有數據更新模塊37。

所述防火墻模塊7，實際上是一個運行在應用層的應用程序，它定期向控制層查詢網絡拓撲和網絡狀態信息，如底層交換機接收到異常數據包的數量和異常數據包的分布范圍，評估當前網絡的安全需求及等級，實時調整查詢頻率、下發包過濾規則等操作，形成一個可應對不同網絡攻擊的防火墻系統。

所述API數據服務模塊26控制層的包過濾模塊通過RESTAPI服務模塊向應用層的防火墻模塊開放編程端口。RESTAPI服務模塊將控制層的API可編程接口以RESTAPI形式向外開放，并遵循HTTP協議。簡單來說，用戶通過HTTP協議提供的GET、POST等方法來實現對模塊的操作。

所述包過濾模塊27，該模塊替代了原本處于網絡層的防火墻功能，防止不希望的通信交互，模塊內含一套過濾規則，規則定義了包過濾模塊對于數據包的具體操作，即對所接收的每個數據包應做出允許或拒絕的決定，數據包頭部主要由源地址、目標地址、通信協議、端口號等參數組成，每條過濾規則都含有一些頭部參數的組合，用于匹配數據包的包頭，包過濾模塊位于ＳＤＮ控制層，主要依靠控制層對于數據包的拆包能力和分析能力，通過檢查包頭的頭部參數決定是否讓數據包通過。

所述二層轉發模塊28，通過OpenFlow協議與數據轉發層直接通信，主要用于將數據包轉發給底層交換設備，由于真實網絡中的設備情況相當復雜，往往并存著真實交換機和虛擬交換機，同時也未知它們是否支持OpenFlow協議，二層轉發模塊會查詢所有設備，并收集信息進行分析，學習并記錄所有支持OpenFlow協議的交換機的位置，并將信息匯總給控制層，當新設備加入時，它也能及時感知、學習并更新記錄。

本發明的工作原理：該基于Linux網絡防火墻的設計系統，采用SDN的控制層向防火墻應用提供統一維護和管理網絡的能力，其中包括具有檢測數據包包頭能力的包過濾模塊，可根據數據包中的包頭信息決定數據包的處理過程，并進行相應的安全防護動作，SDN控制層可對數據包的包頭進行分析，但是無法獲悉連接狀態，因此將狀態檢測技術模塊布置在控制層和數據轉發層之間，代理服務器技術則以應用程序的模式運行在應用層，即在SDN網絡架構下，將防火墻作為即在SDN網絡架構下，將防火墻作為SDN網絡上的一種軟件應用。防火墻系統通過SDN控制器提供的可編程接口，控制網絡中所有OpenFlow交換機，構建一個可靈活應對不同安全需求的防火墻應用，與普通防火墻相比，防火墻不在部署于網絡邊界，而是以軟件形式集中在網絡的某一位置，因此防火墻的升級、修改、配置等無需在安全設備上逐一操作，加快了防火墻開發、部署和靈活改進網絡上的一種軟件應用。。

以上所述僅為本發明的較佳實施例而已，并不用以限制本發明，凡在本發明的精神和原則之內所作的任何修改、等同替換和改進等，均應包含在本發明的保護范圍之內。