分布式防火墙由安全策略管?a target="_blank">服务?/a>[Server]以及客户端防火墙[Client]l成。客L防火墙工作在各个从服务器、工作站、个机上,Ҏ安全{略文g的内容,依靠包过滤、特z伊木马qo和脚本过滤的三层qo查,保护计算机在正常使用|络时不会受到恶意的dQ提高了|络安全性。而安全策略管理服务器则负责安全策略、用戗日志、审计等的管理。该服务器是集中理控制中心Q统一制定和分发安全策略,负责理pȝ日志、多L的统一理Qɾl端用户“?#8221;负担??展示了分布式防火墙在政府/企业中的应用解决Ҏ。该Ҏ是纯软g防火墙,无须改变Mg讑֤和网l架构,可以帮助政?企业L来自外部|络的攻凅R?
随着|络的升U和扩容Q传l的盒式防火墙已l很难满_定w、高性能、可扩展的需求和挑战。这引入了机架式防火墙产品的设计与研发。分布式的Crossbar架构能够很好的满高性能和灵zL展性的挑战?分布式Crossbar架构除了交换|板采用了Crossbar架构之外Q在每个业务板上也采用了Crossbar+交换芯片的架构。在业务板上加交换芯片可以很好地解决了本C换的问题Q而在业务板交换芯片和交换|板之间的Crossbar芯片解决了把业务板的业务数据信元化从而提高了交换效率Qƈ且得业务板的数据类型和交换|板的信元成Z个^面,也就是说可以有非怸富的业务板,比如可以把防火墙、IPSpȝ、\由器、内容交换、IPv6{等cd的业务整合到核心交换q_上。同时这个Crossbar有相应的高?a target="_blank">接口分别q接C个主控板或者交换网板,从而大大提高了双主控主备切换的速度?/p>
1 分布式防火墙日志pȝ模型及特?/strong>
1.1 分布式防火墙基本模型
分布式防火墙作ؓ一个完整的pȝQ负责对|络边界、各子网和网l内部各节点之间q行安全防护。其基本模型如图1所C,包含4个部分:Q?Q策略中心(Policy CentralQ:{略中心作ؓ分布式防火墙的核心,负责整个防火墙M安全{略的策划、管理与分发。(2Q边界防火墙QPerimeter FirewallQ:边界防火墙是q接内网与外|的桥梁。(3Q主机防火墙QHost FirewallQ:L防火墙负责对|络中的服务器和桌面行防护。(4Q日志服务器QLog ServerQ:日志服务器负责对发生在整个网l的所有事Ӟ如协议规则日志、用L录事件日志、用户Internet讉K日志{)q行汇总,以供审计分析?/p>
1.2 分布式防火墙中日志服务器的特?/strong>
防火墙的日志pȝ主要是对|络上某个节点的讉Kq行记录和审计,几乎不从内部|络的主点去审计|络的状态。而分布式防火墙中日志服务器是集中理q审计整个内部网l上传的日志信息Q包括所有受保护的主机、边界防火墙和策略服务器{,同时实时监控内部|络状态,q在此基上实现基于日志信息的l计入R功能?/p>
日志服务器功能包?个方面:攉pȝ中各U信息;记录和显CZ息;Z日志信息l计入R。所以,当各个功能模块生成日志信息时Q日志服务器需日志信息写入数据库Qƈ通过分析引擎q行l计分析?/p>
Ҏ志系l功能的实现q行分析Q得C下设计要点:Q?Q将日志服务器设计ؓ客户/服务器模式。各个信息采集引擎作为客L向日志服务器发出hQ而日志服务器作ؓ服务器端对各U请求进行具体处理。(2Q采用数据库q接池技术避免频J的数据库操作而引起速度瓉。(3Q日志服务器采用加密传输通信方式以防范来自内部网l的cMDDOS的攻凅R(4Q由于一个服务器对应多个客户Socket q接Q因此服务器采用多线E方式进行处理。(5Q徏立入侉|的联动q程以实现内部网l的自动响应报警?/p>
2 日志服务器的设计与实?/strong>
2.1 审计pȝ的实?/strong>
日志数据的生由分布式防火墙中各L的相x块实现。日志服务器接收到实时ƈ发上传的日志信息后,存储在专门的数据库中Qƈ通过审计界面来完成数据查扑֒l计{各功能。调用接口内|于审计pȝ中。审计系l由以下几个功能模块l成Q网l实时监控、统计数据查询、系l资源状늛控、攻击行为查询和~辑归档?/p>
数据库处理通常是审计系l处理中最耗时的步骤。而在各种数据库处理的q程中,数据库的q接和释攑֏是关键点。在pȝ中采用数据库q接池技术来减少数据库连接与释放操作从而解册时问题Q即在系l初启或者初ơ用时Q完成数据库的连接,而后不再释放此连接,当后面的h到来Ӟ反复使用q些已徏立的q接?/p>
2.2 数据采集的实?/strong>
2.2.1 日志数据接收q程
日志接收程如图2所C,它包?个部分:信息采集引擎、数据过滤与_、数据格式化、日志接收代理、数据入库和用户GUI界面?/p>
对于分布式防火墙来说需要将4cL志信息上传到日志服务器。前3cd别ؓL与边界的防火墙、入侉|以及网l连接这3个模块生的日志信息。第4cMؓ{略中心产生的日志信息?/p>
日志的接收有单线E与多线E?U方法可供选择。由于日志服务器实时接收多路日志信息,若采用单U程ҎQ将可能D数据拥塞Q造成信息丢失Q严重时可能使日志服务器L瘫痪。而多U程Ҏ在实C较ؓ复杂Q但能弥补单线E的不。通过ҎQ日?a target="_blank">接收模块采用多线E的Ҏ监听一个固定端口,然后Ҏ数据包中的运行方式字D|区分不同的日志。一旦有数据到达Q接收模块就实时地进行接收和处理Q提取有用的信息q以一定的格式存储到数据库中。日志信息分cL况如?所C?/p>
日志数据包可以记录所有IP包的基本信息Q包括每ơ经q防火墙的成功和p|的连接、源IP地址、目的IP地址和端口号、时间信息等。头部记录结构ؓQ?/p>
{ unsigned long timeQ //IP包经q防火墙开始时?/p>
unsigned long src_ipQ //源IP地址
unsigned long dst_ipQ //目的IP地址
short src_portQ //源主机端口号
short dst_portQ //目的L端口?/p>
char protoQ //协议?/p>
unsigned char typeQ //IP包的cd
short lenQ //IP包的长度
}
2.2.2 安全通信的实?/strong>
在整个分布式防火墙中Q日志上传与接收采用SSL证书加密通信方式Q以保通信安全。采用的安全通信数据l构如图3所C?/p>
当接收模块接收到指o数据后,Ҏ指o数据中的命ocd字段判别该命令的cdQ根据运行方式字D늡定该命o的处理方式,然后Ҏ数据长度定需要读取的后字节数。SSLQSecure Sockets Layer 安全套接层)Q及其任者传输层安全QTransport Layer SecurityQTLSQ是为网l通信提供安全及数据完整性的一U安全协议。TLS与SSL在传输层对网l连接进行加密。SSLQSecure Sockets Layer 安全套接层)Q及其任者传输层安全QTransport Layer SecurityQTLSQ是为网l通信提供安全及数据完整性的一U安全协议。TLS与SSL在传输层对网l连接进行加密?/p>
2.3 Z日志信息的统计入侉|的实现
