[发明专利]一种智能防火墙系统及防护方法

说明书

技术领域

本发明属于网络安全领域，具体涉及一种智能防火墙系统及防护方法。

背景技术

随着计算机网络的发展和普及，网络上各种黑客、蠕虫等非法网络攻击日益猖獗，为了保护计算机网络和系统，防火墙应运而生。防火墙又称Firewall，是一项协助确保信息安全的设备，该设备会依照特定的规则，允许或限制传输的数据通过。

从防火墙结构上分，防火墙主要有：单一主机防火墙、路由器集成式防火墙和分布式防火墙三种:单一主机防火墙是最为传统的防火墙，独立于其它网络设备，它位于网络边界。这种防火墙其实与一台计算机结构差不多（如下图），同样包括CPU、内存、硬盘等基本组件，当然主板更是不能少了，且主板上也有南、北桥芯片。它与一般计算机最主要的区别就是一般防火墙都集成了两个以上的以太网卡，因为它需要连接一个以上的内、外部网络。其中的硬盘就是用来存储防火墙所用的基本程序，如包过滤程序和代理服务器程序等，有的防火墙还把日志记录也记录在此硬盘上。虽然如此，但我们不能说它就与我们平常的PC机一样，因为它的工作性质，决定了它要具备非常高的稳定性、实用性，具备非常高的系统吞吐性能。正因如此，看似与PC机差不多的配置，价格甚远。随着防火墙技术的发展及应用需求的提高，原来作为单一主机的防火墙现在已发生了许多变化。最明显的变化就是现在许多中、高档的路由器中已集成了防火墙功能，还有的防火墙已不再是一个独立的硬件实体，而是由多个软、硬件组成的系统，这种防火墙，俗称“分布式防火墙”。原来单一主机的防火墙由于价格非常昂贵，仅有少数大型企业才能承受得起，为了降低企业网络投资，现在许多中、高档路由器中集成了防火墙功能。如Cisco IOS防火墙系列。但这种防火墙通常是较低级的包过滤型。这样企业就不用再同时购买路由器和防火墙，大大降低了网络设备购买成本。分布式防火墙再也不是只是位于网络边界，而是渗透于网络的每一台主机，对整个内部网络的主机实施保护。在网络服务器中，通常会安装一个用于防火墙系统管理软件，在服务器及各主机上安装有集成网卡功能的PCI防火墙卡，这样一块防火墙卡同时兼有网卡和防火墙的双重功能。这样一个防火墙系统就可以彻底保护内部网络。各主机把任何其它主机发送的通信连接都视为“不可信”的，都需要严格过滤。而不是传统边界防火墙那样，仅对外部网络发出的通信请求“不信任”。

如果按防火墙的应用部署位置分，可以分为边界防火墙、个人防火墙和混合防火墙三大类:边界防火墙是最为传统的那种，它们于内、外部网络的边界，所起的作用的对内、外部网络实施隔离，保护边界内部网络。这类防火墙一般都是硬件类型的，价格较贵，性能较好。个人防火墙安装于单台主机中，防护的也只是单台主机。这类防火墙应用于广大的个人用户，通常为软件防火墙，价格最便宜，性能也最差。混合式防火墙可以说就是“分布式防火墙”或者“嵌入式防火墙”，它是一整套防火墙系统，由若干个软、硬件组件组成，分布于内、外部网络边界和内部各主机之间，既对内、外部网络之间通信进行过滤，又对网络内部各主机间的通信进行过滤。它属于最新的防火墙技术之一，性能最好，价格也最贵。

虽然防火墙具有一定的网络攻击保护作用，但传统的防火墙针对网络攻击的策略较为僵化，随着时间的推移，难以适应不断动态变化的网络攻击态势，因此有必要对传统防火墙进行技术改造，使之适应新的网络安全需求。正常况下，所有互联网的分组软件都应经过防火墙的过滤，这将造成网络交通的瓶颈，例如在攻击性分组出现时，攻击者会不时寄出分组，让防火墙疲于过滤分组，而使一些合法分组软件，亦无法正常进出防火墙。防火墙虽然可以过滤互联网的分组，但却无法过滤内部网络的分组，因此若有人从内部网络攻击时，防火墙是毫无用武之地的。而电脑本身操作系统，亦可能一些系统漏洞，使入侵者可以利用这些系统漏洞来绕过防火墙的过滤，进而入侵电脑。

此为现有技术的不足，因此，针对现有技术中的上述缺陷，提供一种智能防火墙系统及防护方法，是非常有必要的。

发明内容

本发明的目的在于，针对上述传统的防火墙难以适应不断动态变化的网络攻击态势的缺陷，提供一种智能防火墙系统及防护方法，以解决上述技术问题。

为实现上述目的，本发明给出以下技术方案：

一种智能防火墙系统，包括防火墙控制模块，防火墙控制模块连接有防火墙模块、缓存分析模块以及交互式接口模块，防火墙模块连接有网络设备，防火墙模块还与缓存分析模块连接，交互式接口模块还与网络设备连接；