[发明专利]一种防火墙系统、安全服务平台及防火墙系统的管理方法

说明书

技术领域

本发明涉及一种防火墙系统、与防火墙系统建立通信的安全服务平台，及防火墙系统的 管理方法。

背景技术

目前的防火墙系统，存在两种完全相反的形式，即“胖防火墙系统”和“瘦防火墙系统”， 前者的目标是将防火墙系统做成功能极大的系统，除了防火墙的基本功能外，还增加上VPN (即虚拟个人网络)、QoS(即服务质量)、IDS/IPS(即入侵检测系统/入侵防护系统)以及 AV(防病毒)功能，并希望将防火墙系统发展为一个安全领域的整体安全解决方案；而后者 却恰好相反，其目标是防火墙系统提供更精准的访问控制，重点关注报文的深度检测、智能 检测以及从双机热备到负载均衡、HA(即高可靠性)集群技术的发展与性能提升。

“胖防火墙系统”因为集成安全功能产品较多，因此存在诸多缺陷，最明显的是性能瓶 颈问题，此类防火墙系统着眼于小规模的网络，强制要求将受保护网络的边界安全集中在防 火墙系统这单一控制点上，从网络拓扑上看，在网络架构上，防火墙自身就是性能瓶颈隐患； 同时，在此性能瓶颈点又增加IDS/IPS、AV等模块，而这类模块又非常耗性能，因此无疑 会加剧瓶颈效应；进一步地，这些附加的安全功能模块必然增加安全策略规则数目，也将导 致防火墙性能指标进一步地恶化；更严重的是，附加的安全功能模块可能是非专业的，功能 不全面的，从而导致安全功能部分失效，甚至安全模块自身会引入安全隐患，从而与设计初 衷相背离，也无法为用户带来真正的安全，而且价格不菲。

“瘦防火墙系统”因为仅关注报文访问控制，功能少而精；但是，随着网络技术的不断 发展，黑客以及病毒的破坏力也不断增强，在网络安全状况不断恶化的现实中，防火墙必须 与其它独立安全产品，如IDS/IPS，AV服务系统等进行配合，才能用户提供安全保障。这样， 增加了网络安全成本，同时，用户需要同时维护IDS/IPS、AV服务器，不但增加了后期维护 成本，同时对用户的技术能力也提出了更高的要求。

发明内容

本发明的第一个目的是针对上述“瘦防火墙系统”和“胖防火墙系统”各自存在的缺陷， 提出一种既具有“瘦防火墙系统”的报文检测功能，同时又具备“胖防火墙系统”的VPN功 能，且将其它安全功能委托给安全服务平台、并接收安全服务平台管控的新的防火墙系统。

本发明所采用的技术方案为：一种防火墙系统，与一安全服务平台进行通信，包括报文 检测模块，用于访问控制规则检测和包状态检测；VPN模块，用于IPSec VPN隧道管理；配 置模块，用于配置报文过滤规则，并提交到所述的报文检测模块；应用代理模块，用于接收 所述报文检测模块提交的合法报文，并透明中转应用层协议的请求与响应；日志模块，用于 接收并管理所述防火墙系统内部各模块提交的日志信息；还包括心跳模块，用于定时上报防 火墙系统的运行状况信息到所述安全服务平台；以及，报文重定向模块，用于将外出数据报 文重定向到所述安全服务平台，与所述报文检测模块相连；所述配置模块预设了所述安全服 务平台的通信参数；所述日志模块上报满足预设的过滤条件的日志条目数据到所述安全服务 平台。

优选地，所述防火墙系统启动后，自动向预设的所述安全服务平台注册；所述注册信息 中至少包括防火墙序列号和外网卡的MAC地址。

优选地，所述报文检测模块将报文提交到所述报文重定向模块后，所述应用代理模块不 再处理该报文。

优选地，所述运行状况信息包括防火墙系统的运行状况信息，内含磁盘容量及利用率、 CPU负载、内存负载、活动进程名称及进程号、网络接口MAC地址及IP地址、静态规则数、 动态规则数、活动会话数；网络接口报文统计数；所述日志信息，包括防火墙的报文检测日 志、规则修改日志、管理员登录日志、ACL违规信息和应用协议使用日志；所述应用协议使 用日志，包括HTTP日志、FTP日志、POP3日志、SMTP日志、BT协议日志、IM日志；所 述日志信息遵循统一的日志格式，所述日志信息的属性至少包括源IP、源端口、目标URI、 目标端口、时间和操作结果属性；以及所述防火墙系统在主动建立与所述安全服务平台间的 VPN隧道后，自动放行该隧道端节点与该防火墙系统内部网络间的通信报文。

本发明的第二个目的是提供一种与上述防火墙系统相匹配的安全服务平台。