專利名稱：實(shí)現(xiàn)虛擬防火墻多用戶教學(xué)實(shí)驗(yàn)的方法
技術(shù)領(lǐng)域：
本發(fā)明涉及用于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域。具體是一種實(shí)現(xiàn)虛擬防火墻多用戶教學(xué)實(shí)驗(yàn)的方法。
背景技術(shù)：
防火墻技術(shù)是目前應(yīng)用范圍最廣、最容易被客戶接受的網(wǎng)絡(luò)安全防護(hù)手段之一，是網(wǎng)絡(luò)安全的第一道閘門。實(shí)踐證明，通過構(gòu)建防火墻系統(tǒng)以保護(hù)一個機(jī)構(gòu)的網(wǎng)絡(luò)安全，是較為便捷和行之有效的方法。因?yàn)榉阑饓蓪?nèi)部可信區(qū)域與外部危險區(qū)域有效隔離，集中管理和控制網(wǎng)絡(luò)的安全策略及信息流動，盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，阻止不可預(yù)測的、潛在破壞性的侵入，以此來實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。
傳統(tǒng)的用戶安全措施是分布式的，必須在每個服務(wù)器網(wǎng)段安裝單獨(dú)的防火墻，這樣既造成資源的嚴(yán)重浪費(fèi)、占用大量機(jī)架空間，而且靈活性差、不便于集中管理和控制。通常情況下，市面上的防火墻產(chǎn)品是基于實(shí)際應(yīng)用網(wǎng)絡(luò)的需求研制的，不允許多用戶同時修改配置，也不能為不同用戶保存各自的配置，尤其不適合開展防火墻技術(shù)的教學(xué)實(shí)驗(yàn)。
經(jīng)檢索，Netscreen公司2000年推出的業(yè)界著名的千兆級防火墻產(chǎn)品Netscreen-1000，雖然能為用戶提供多達(dá)100個虛擬的防火墻，給每個用戶分配一個虛擬系統(tǒng)并由用戶自己管理，但由于其技術(shù)保密性，不便于靈活進(jìn)行內(nèi)部模塊的功能驗(yàn)證以及開展有關(guān)防火墻技術(shù)的教學(xué)實(shí)驗(yàn)。在進(jìn)一步的檢索中，尚未發(fā)現(xiàn)與本發(fā)明主題相同或者類似的文獻(xiàn)報道。

發(fā)明內(nèi)容
本發(fā)明的目的在于克服現(xiàn)有商業(yè)防火墻產(chǎn)品價格昂貴、技術(shù)保密等局限性，提出一種實(shí)現(xiàn)虛擬防火墻多用戶教學(xué)實(shí)驗(yàn)的方法，使其達(dá)到多用戶共用一臺防火墻同時獨(dú)立地開展防火墻教學(xué)實(shí)驗(yàn)的目的，靈活性好，便于進(jìn)行集中管理和控制。
本發(fā)明是通過以下技術(shù)方案實(shí)現(xiàn)的，本發(fā)明采用防火墻過濾規(guī)則和應(yīng)用代理規(guī)則的轉(zhuǎn)換方法，將一臺防火墻虛擬成多臺防火墻并分配給各實(shí)驗(yàn)小組。各實(shí)驗(yàn)小組預(yù)先分配不同的網(wǎng)段和配置文件，防火墻記錄該小組在實(shí)驗(yàn)中的規(guī)則配置。通過截取各小組配置文件中的規(guī)則，進(jìn)行必要的分析處理后再寫入防火墻核心規(guī)則表并生效。各小組從瀏覽器操作的防火墻規(guī)則只是本組對應(yīng)的配置文件中的規(guī)則，在他們看來，其所有規(guī)則都是有效的，而防火墻核心規(guī)則表對他們不可見。各組可單獨(dú)配置策略、管理賬戶信息和進(jìn)行日志審計，開展實(shí)驗(yàn)，而且實(shí)驗(yàn)結(jié)果相互獨(dú)立?；谠摲椒ㄔO(shè)計的虛擬防火墻教學(xué)實(shí)驗(yàn)系統(tǒng)可以很好地解決網(wǎng)絡(luò)安全問題日益嚴(yán)重、防火墻等網(wǎng)絡(luò)安全技術(shù)進(jìn)一步發(fā)展，而教學(xué)實(shí)踐環(huán)節(jié)卻缺乏相應(yīng)教學(xué)實(shí)驗(yàn)的矛盾。
以下對本發(fā)明方法作進(jìn)一步的限定防火墻在各實(shí)驗(yàn)小組登錄時記錄該組的IP地址和網(wǎng)絡(luò)掩碼，自動生成各組缺省的過濾規(guī)則表和應(yīng)用代理規(guī)則表配置文件。在實(shí)驗(yàn)小組修改規(guī)則時，結(jié)果存入其對應(yīng)的配置文件，配置文件的規(guī)則經(jīng)過轉(zhuǎn)換寫入防火墻核心規(guī)則表才能生效。
假設(shè)本組地址為IP1/MASK1；某條規(guī)則中的源地址或目的地址為IP2/MASK2(其中IP1和IP2均為2進(jìn)制表示，MASK1和MASK2為掩碼長度)。根據(jù)此組的子網(wǎng)地址對各條規(guī)則的源地址和目的地址進(jìn)行轉(zhuǎn)換。
①如果MASK1為0，說明只有一個小組，該組的所有規(guī)則就是防火墻的規(guī)則，并跳過后續(xù)步驟；②如果MASK2為0，則直接將IP1/MASK1作為此條規(guī)則的源地址或目的地址，并跳過后續(xù)步驟；③定義MAX＝max(MASK1，MASK2)，MIN＝min(MASK1，MASK2)；④將IP1和IP2的高M(jìn)IN位進(jìn)行異或運(yùn)算，如果結(jié)果的任何一位為1，則說明IP1/MASK1和IP2/MASK2的交集為0；⑤如果步驟④中異或的結(jié)果為0，則取MASK＝MAX的那組IP/MASK作為此條規(guī)則的源地址或目的地址。
然后將這些規(guī)則綜合起來寫入防火墻核心規(guī)則表。每個小組從瀏覽器操作的防火墻規(guī)則只是本組對應(yīng)的配置文件中的規(guī)則，在他們看來，其所有規(guī)則都是有效的，他們操作的是一臺獨(dú)立的防火墻主機(jī)，而防火墻核心規(guī)則表對他們不可見。這正是虛擬防火墻系統(tǒng)的特點(diǎn)。
本發(fā)明的效果是顯著的，使用該方法設(shè)計的虛擬防火墻多用戶教學(xué)實(shí)驗(yàn)系統(tǒng)完全擁有現(xiàn)今通用防火墻的三大技術(shù)包過濾、狀態(tài)檢測和應(yīng)用代理，它獨(dú)有的對教學(xué)實(shí)驗(yàn)的強(qiáng)力支持是商業(yè)防火墻所欠缺的，而且這種支持具備良好的可擴(kuò)展性。使用本發(fā)明進(jìn)行防火墻的教學(xué)實(shí)驗(yàn)，多用戶可以同時操作，更無需購買昂貴的商業(yè)防火墻產(chǎn)品，具有很好的推廣前景。


圖1是基于本發(fā)明的教學(xué)實(shí)驗(yàn)系統(tǒng)的結(jié)構(gòu)圖。
圖2是基于本發(fā)明的教學(xué)實(shí)驗(yàn)系統(tǒng)的系統(tǒng)準(zhǔn)備流程圖。
圖3是基于本發(fā)明的教學(xué)實(shí)驗(yàn)系統(tǒng)的工作流程圖。
具體實(shí)施例方式
結(jié)合附圖和本發(fā)明方法的內(nèi)容提供以下實(shí)施例。基于本發(fā)明方法開發(fā)的虛擬防火墻多用戶教學(xué)實(shí)驗(yàn)系統(tǒng)采用瀏覽器/服務(wù)端(B/S)結(jié)構(gòu)，利用JSP編程技術(shù)。支持當(dāng)前防火墻三大主要技術(shù)；支持至少100個虛擬防火墻的集中管理和執(zhí)行，各組學(xué)生可同時在一臺防火墻上完成相同的教學(xué)實(shí)驗(yàn)。具體實(shí)施內(nèi)容如下1.防火墻主機(jī)采用x86架構(gòu)機(jī)器，安裝三塊網(wǎng)卡，配置多個不同子網(wǎng)的IP地址，安裝Linux操作系統(tǒng)，并安裝相應(yīng)的防火墻包過濾軟件IPTABLES、應(yīng)用代理軟件TIS FWTK及JSP服務(wù)端軟件Jakarta Tomcat，還有核心部分即自主開發(fā)的虛擬防火墻多用戶實(shí)驗(yàn)系統(tǒng)服務(wù)端軟件。服務(wù)端系統(tǒng)軟件可以讀取防火墻的網(wǎng)絡(luò)配置信息，包括主機(jī)名、網(wǎng)卡數(shù)量、系統(tǒng)默認(rèn)網(wǎng)關(guān)、DNS配置、路由信息，以及每塊網(wǎng)卡的MAC地址、IP地址、子網(wǎng)掩碼等；支持通過瀏覽器遠(yuǎn)程修改網(wǎng)絡(luò)配置；并且支持為實(shí)現(xiàn)項(xiàng)目組之間的連通而必須做的NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)配置。
2.教師登錄進(jìn)行系統(tǒng)設(shè)置和實(shí)驗(yàn)?zāi)K的開放，如本次實(shí)驗(yàn)的實(shí)驗(yàn)?zāi)康?、?shí)驗(yàn)要求、實(shí)驗(yàn)注意事項(xiàng)、實(shí)驗(yàn)步驟等。
3.學(xué)生分成多組開展實(shí)驗(yàn)，登錄系統(tǒng)看到教師對本次實(shí)驗(yàn)的各項(xiàng)要求。系統(tǒng)使用發(fā)明內(nèi)容中的步驟完成各小組規(guī)則的轉(zhuǎn)換，使各小組可獨(dú)立使用防火墻完成實(shí)驗(yàn)。
假設(shè)某客戶端IP為192.168.1.4，防火墻教學(xué)實(shí)驗(yàn)系統(tǒng)服務(wù)端提取出網(wǎng)絡(luò)地址部分192.168.1。
增加一條包過濾規(guī)則時，系統(tǒng)根據(jù)客戶端提交的信息，將規(guī)則寫入其配置文件。例如，在內(nèi)-外網(wǎng)方向增加一條防火墻規(guī)則，則系統(tǒng)將這條規(guī)則寫入配置文件192.168.1.outin.fw中，增加到的位置由客戶端所提交的信息決定。另外三個方向(外網(wǎng)-DMZ方向、內(nèi)網(wǎng)-DMZ方向、內(nèi)網(wǎng)之間)的配置文件分別為192.168.1.outdmz.fw、192.168.1.indmz.fw、192.168.1.inin.fw。然后防火墻系統(tǒng)分析此fw配置文件，讀取出所有的規(guī)則，對于每條規(guī)則按照發(fā)明內(nèi)容中所述步驟處理；再寫入192.168.1.outin.fw.chg文件中；將所有chg結(jié)尾的配置文件中的規(guī)則應(yīng)用到操作系統(tǒng)防火墻核心規(guī)則表中。
顯示包過濾規(guī)則時，根據(jù)客戶端網(wǎng)絡(luò)地址(192.168.1)，讀取所有192.168.1.*.fw文件中的規(guī)則，并在相應(yīng)方向的表中按文件中讀到的順序顯示用戶所配置的防火墻規(guī)則，這樣就保證了客戶端看到的規(guī)則和其寫入的規(guī)則一樣，也體現(xiàn)了虛擬防火墻系統(tǒng)的特點(diǎn)。
刪除包過濾規(guī)則時，根據(jù)所選擇的要刪除的規(guī)則序號，系統(tǒng)刪除192.168.1.*.fw中相應(yīng)序號的規(guī)則，然后刪除對應(yīng)的chg文件中的規(guī)則，系統(tǒng)重新將所有chg中規(guī)則寫入allrules中，重新應(yīng)用到操作系統(tǒng)防火墻核心規(guī)則表中。成功完成后將重新顯示包過濾規(guī)則。
刪除所有規(guī)則時，系統(tǒng)清除所有配置文件的規(guī)則，同時清空系統(tǒng)防火墻核心規(guī)則表中的規(guī)則。
4.實(shí)驗(yàn)完成后，系統(tǒng)自動將學(xué)生的實(shí)驗(yàn)結(jié)果保存下來，并可以自動生成實(shí)驗(yàn)報告，教師可登錄系統(tǒng)查看任何學(xué)生的實(shí)驗(yàn)結(jié)果及報告。
系統(tǒng)準(zhǔn)備流程如圖2。在防火墻服務(wù)端配置網(wǎng)絡(luò)，依次啟動網(wǎng)絡(luò)地址轉(zhuǎn)換、Apache、Tomcat；在DMZ區(qū)服務(wù)端配置網(wǎng)絡(luò)，開啟WEB服務(wù)和FTP服務(wù)；在客戶端配置網(wǎng)絡(luò)，測試與防火墻、外網(wǎng)以及與DMZ區(qū)服務(wù)器的連接。
系統(tǒng)工作流程如圖3。在客戶端打開瀏覽器，輸入防火墻IP地址，然后登錄系統(tǒng)。清除防火墻其他規(guī)則并進(jìn)行規(guī)則配置前的測試，記錄測試結(jié)果。用戶在理解實(shí)驗(yàn)要求后配置規(guī)則，使規(guī)則生效并再次進(jìn)行測試和結(jié)果記錄；比較配置前后兩次結(jié)果的不同之處，理解所涉及的防火墻技術(shù)。如果實(shí)驗(yàn)未完成則繼續(xù)，否則保存結(jié)果，退出系統(tǒng)。
本發(fā)明可克服使用現(xiàn)有商業(yè)防火墻產(chǎn)品進(jìn)行實(shí)驗(yàn)靈活性差和技術(shù)保密等局限，在不同情況下根據(jù)要求做相應(yīng)的調(diào)整，以滿足不同模式的教學(xué)實(shí)驗(yàn)，取得了很好的效果。
權(quán)利要求
1.一種實(shí)現(xiàn)虛擬防火墻多用戶教學(xué)實(shí)驗(yàn)的方法，其特征在于，采用防火墻過濾規(guī)則和應(yīng)用代理規(guī)則的轉(zhuǎn)換方法，將一臺防火墻虛擬成多臺防火墻并分配給各實(shí)驗(yàn)小組，各實(shí)驗(yàn)小組預(yù)先分配不同的網(wǎng)段和配置文件，防火墻記錄該小組在實(shí)驗(yàn)中的規(guī)則配置，通過截取各小組配置文件中的規(guī)則，進(jìn)行必要的分析處理后再寫入防火墻核心規(guī)則表并生效，各小組從瀏覽器操作的防火墻規(guī)則只是本組對應(yīng)的配置文件中的規(guī)則，各組單獨(dú)配置策略、管理賬戶信息和進(jìn)行日志審計，開展實(shí)驗(yàn)，而且實(shí)驗(yàn)結(jié)果相互獨(dú)立。
2.根據(jù)權(quán)利要求1所述的實(shí)現(xiàn)虛擬防火墻多用戶教學(xué)實(shí)驗(yàn)的方法，其特征是，防火墻在各實(shí)驗(yàn)小組登錄時記錄該組的IP地址和網(wǎng)絡(luò)掩碼，自動生成各組缺省的過濾規(guī)則表和應(yīng)用代理規(guī)則表配置文件，在實(shí)驗(yàn)小組修改規(guī)則時，結(jié)果存入其對應(yīng)的配置文件，配置文件的規(guī)則經(jīng)過轉(zhuǎn)換寫入防火墻核心規(guī)則表才能生效。
3.根據(jù)權(quán)利要求1或2所述的實(shí)現(xiàn)虛擬防火墻多用戶教學(xué)實(shí)驗(yàn)的方法，其特征是，假設(shè)本組地址為IP1/MASK1，某條規(guī)則中的源地址或目的地址為IP2/MASK2，其中IP1和IP2均為2進(jìn)制表示，MASK1和MASK2為掩碼長度，根據(jù)此組的子網(wǎng)地址對各條規(guī)則的源地址和目的地址進(jìn)行轉(zhuǎn)換①如果MASK1為0，說明只有一個小組，該組的所有規(guī)則就是防火墻的規(guī)則，并跳過后續(xù)步驟；②如果MASK2為0，則直接將IP1/MASK1作為此條規(guī)則的源地址或目的地址，并跳過后續(xù)步驟；③定義MAX＝max(MASK1，MASK2)，MIN＝min(MASK1，MASK2)；④將IP1和IP2的高M(jìn)IN位進(jìn)行異或運(yùn)算，如果結(jié)果的任何一位為1，則說明IP1/MASK1和IP2/MASK2的交集為0；⑤如果步驟④中異或的結(jié)果為0，則取MASK＝MAX的那組IP/MASK做為此條規(guī)則的源地址或目的地址。
全文摘要
一種實(shí)現(xiàn)虛擬防火墻多用戶教學(xué)實(shí)驗(yàn)的方法。用于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域。本發(fā)明采用防火墻過濾規(guī)則和應(yīng)用代理規(guī)則的轉(zhuǎn)換方法，將一臺防火墻虛擬成多臺防火墻并分配給各實(shí)驗(yàn)小組，各實(shí)驗(yàn)小組預(yù)先分配不同的網(wǎng)段和配置文件，防火墻記錄該小組在實(shí)驗(yàn)中的規(guī)則配置，通過截取各小組配置文件中的規(guī)則，進(jìn)行必要的分析處理后再寫入防火墻核心規(guī)則表并生效，各小組從瀏覽器操作的防火墻規(guī)則只是本組對應(yīng)的配置文件中的規(guī)則，各組單獨(dú)配置策略、管理賬戶信息和進(jìn)行日志審計，開展實(shí)驗(yàn)，而且實(shí)驗(yàn)結(jié)果相互獨(dú)立。使用本發(fā)明進(jìn)行防火墻的教學(xué)實(shí)驗(yàn)，多用戶可以同時操作，更無需購買昂貴的商業(yè)防火墻產(chǎn)品，具有很好的推廣前景。
文檔編號H04L29/00GK1561058SQ200410016710
公開日2005年1月5日 申請日期2004年3月4日 優(yōu)先權(quán)日2004年3月4日
發(fā)明者楊樹堂, 馬進(jìn), 李建華, 陸松年, 魯劍, 李鐸鋒 申請人:上海交通大學(xué)