分布式防火墻由安全策略管理服務(wù)器[Server]以及客戶(hù)端防火墻[Client]組成。客戶(hù)端防火墻工作在各個(gè)從服務(wù)器、工作站、個(gè)人計(jì)算機(jī)上，根據(jù)安全策略文件的內(nèi)容，依靠包過(guò)濾、特洛伊木馬過(guò)濾和腳本過(guò)濾的三層過(guò)濾檢查，保護(hù)計(jì)算機(jī)在正常使用網(wǎng)絡(luò)時(shí)不會(huì)受到惡意的攻擊，提高了網(wǎng)絡(luò)安全性。而安全策略管理服務(wù)器則負(fù)責(zé)安全策略、用戶(hù)、日志、審計(jì)等的管理。該服務(wù)器是集中管理控制中心，統(tǒng)一制定和分發(fā)安全策略，負(fù)責(zé)管理系統(tǒng)日志、多主機(jī)的統(tǒng)一管理，使終端用戶(hù)“零”負(fù)擔(dān)。 圖1展示了分布式防火墻在政府/企業(yè)中的應(yīng)用解決方案。該方案是純軟件防火墻，無(wú)須改變?nèi)魏斡布O(shè)備和網(wǎng)絡(luò)架構(gòu)，就可以幫助政府/企業(yè)阻擋來(lái)自外部網(wǎng)絡(luò)的攻擊。

　　隨著網(wǎng)絡(luò)的升級(jí)和擴(kuò)容，傳統(tǒng)的盒式防火墻已經(jīng)很難滿(mǎn)足大容量、高性能、可擴(kuò)展的需求和挑戰(zhàn)。這就引入了機(jī)架式防火墻產(chǎn)品的設(shè)計(jì)與研發(fā)。分布式的Crossbar架構(gòu)能夠很好的滿(mǎn)足高性能和靈活擴(kuò)展性的挑戰(zhàn)。 分布式Crossbar架構(gòu)除了交換網(wǎng)板采用了Crossbar架構(gòu)之外，在每個(gè)業(yè)務(wù)板上也采用了Crossbar+交換芯片的架構(gòu)。在業(yè)務(wù)板上加交換芯片可以很好地解決了本地交換的問(wèn)題，而在業(yè)務(wù)板交換芯片和交換網(wǎng)板之間的Crossbar芯片解決了把業(yè)務(wù)板的業(yè)務(wù)數(shù)據(jù)信元化從而提高了交換效率，并且使得業(yè)務(wù)板的數(shù)據(jù)類(lèi)型和交換網(wǎng)板的信元成為兩個(gè)平面，也就是說(shuō)可以有非常豐富的業(yè)務(wù)板，比如可以把防火墻、IPS系統(tǒng)、路由器、內(nèi)容交換、IPv6等等類(lèi)型的業(yè)務(wù)整合到交換平臺(tái)上。同時(shí)這個(gè)Crossbar有相應(yīng)的高速接口分別連接到兩個(gè)主控板或者交換網(wǎng)板，從而大大提高了雙主控主備切換的速度。

　　1  分布式防火墻日志系統(tǒng)模型及特點(diǎn)

　　1.1 分布式防火墻基本模型

　　分布式防火墻作為一個(gè)完整的系統(tǒng)，負(fù)責(zé)對(duì)網(wǎng)絡(luò)邊界、各子網(wǎng)和網(wǎng)絡(luò)內(nèi)部各節(jié)點(diǎn)之間進(jìn)行安全防護(hù)。其基本模型如圖1所示，包含4個(gè)部分：（1）策略中心（Policy Central）：策略中心作為分布式防火墻的，負(fù)責(zé)整個(gè)防火墻總體安全策略的策劃、管理與分發(fā)。（2）邊界防火墻（Perimeter Firewall）：邊界防火墻是連接內(nèi)網(wǎng)與外網(wǎng)的橋梁。（3）主機(jī)防火墻（Host Firewall）：主機(jī)防火墻負(fù)責(zé)對(duì)網(wǎng)絡(luò)中的服務(wù)器和桌面機(jī)進(jìn)行防護(hù)。（4）日志服務(wù)器（Log Server）：日志服務(wù)器負(fù)責(zé)對(duì)發(fā)生在整個(gè)網(wǎng)絡(luò)的所有事件（如協(xié)議規(guī)則日志、用戶(hù)登錄事件日志、用戶(hù)Internet訪(fǎng)問(wèn)日志等）進(jìn)行匯總，以供審計(jì)分析。

　　1.2 分布式防火墻中日志服務(wù)器的特點(diǎn)

　　防火墻的日志系統(tǒng)主要是對(duì)網(wǎng)絡(luò)上某個(gè)節(jié)點(diǎn)的訪(fǎng)問(wèn)進(jìn)行記錄和審計(jì)，幾乎不從內(nèi)部網(wǎng)絡(luò)的主機(jī)節(jié)點(diǎn)去審計(jì)網(wǎng)絡(luò)的狀態(tài)。而分布式防火墻中日志服務(wù)器是集中管理并審計(jì)整個(gè)內(nèi)部網(wǎng)絡(luò)上傳的日志信息，包括所有受保護(hù)的主機(jī)、邊界防火墻和策略服務(wù)器等，同時(shí)實(shí)時(shí)監(jiān)控內(nèi)部網(wǎng)絡(luò)狀態(tài)，并在此基礎(chǔ)上實(shí)現(xiàn)基于日志信息的統(tǒng)計(jì)入侵檢測(cè)功能。

　　日志服務(wù)器功能包括3個(gè)方面：收集系統(tǒng)中各種信息；記錄和顯示信息；基于日志信息統(tǒng)計(jì)入侵檢測(cè)。所以，當(dāng)各個(gè)功能模塊生成日志信息時(shí)，日志服務(wù)器需將日志信息寫(xiě)入數(shù)據(jù)庫(kù)，并通過(guò)分析引擎進(jìn)行統(tǒng)計(jì)分析。

　　對(duì)日志系統(tǒng)功能的實(shí)現(xiàn)進(jìn)行分析，得到以下設(shè)計(jì)要點(diǎn)：（1）將日志服務(wù)器設(shè)計(jì)為客戶(hù)/服務(wù)器模式。各個(gè)信息采集引擎作為客戶(hù)端向日志服務(wù)器發(fā)出請(qǐng)求，而日志服務(wù)器作為服務(wù)器端對(duì)各種請(qǐng)求進(jìn)行具體處理。（2）采用數(shù)據(jù)庫(kù)連接池技術(shù)避免頻繁的數(shù)據(jù)庫(kù)操作而引起速度瓶頸。（3）日志服務(wù)器采用加密傳輸通信方式以防范來(lái)自?xún)?nèi)部網(wǎng)絡(luò)的類(lèi)似DDOS的攻擊。（4）由于一個(gè)服務(wù)器對(duì)應(yīng)多個(gè)客戶(hù)Socket 連接，因此服務(wù)器采用多線(xiàn)程方式進(jìn)行處理。（5）建立入侵檢測(cè)的聯(lián)動(dòng)過(guò)程以實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)的自動(dòng)響應(yīng)報(bào)警。

　　2  日志服務(wù)器的設(shè)計(jì)與實(shí)現(xiàn)

　　2.1 審計(jì)系統(tǒng)的實(shí)現(xiàn)

　　日志數(shù)據(jù)的產(chǎn)生由分布式防火墻中各主機(jī)的相關(guān)模塊實(shí)現(xiàn)。日志服務(wù)器接收到實(shí)時(shí)并發(fā)上傳的日志信息后，存儲(chǔ)在專(zhuān)門(mén)的數(shù)據(jù)庫(kù)中，并通過(guò)審計(jì)界面來(lái)完成數(shù)據(jù)查找和統(tǒng)計(jì)等各項(xiàng)功能。調(diào)用接口內(nèi)置于審計(jì)系統(tǒng)中。審計(jì)系統(tǒng)由以下幾個(gè)功能模塊組成：網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控、統(tǒng)計(jì)數(shù)據(jù)查詢(xún)、系統(tǒng)資源狀況監(jiān)控、攻擊行為查詢(xún)和編輯歸檔。

　　數(shù)據(jù)庫(kù)處理通常是審計(jì)系統(tǒng)處理中耗時(shí)的步驟。而在各種數(shù)據(jù)庫(kù)處理的過(guò)程中，數(shù)據(jù)庫(kù)的連接和釋放又是關(guān)鍵點(diǎn)。在系統(tǒng)中采用數(shù)據(jù)庫(kù)連接池技術(shù)來(lái)減少數(shù)據(jù)庫(kù)連接與釋放操作從而解決耗時(shí)問(wèn)題，即在系統(tǒng)初啟或者初次使用時(shí)，完成數(shù)據(jù)庫(kù)的連接，而后不再釋放此連接，當(dāng)后面的請(qǐng)求到來(lái)時(shí)，反復(fù)使用這些已建立的連接。

　　2.2 數(shù)據(jù)采集的實(shí)現(xiàn)

　　2.2.1 日志數(shù)據(jù)接收過(guò)程

　　日志接收流程如圖2所示，它包括6個(gè)部分：信息采集引擎、數(shù)據(jù)過(guò)濾與精簡(jiǎn)、數(shù)據(jù)格式化、日志接收代理、數(shù)據(jù)入庫(kù)和用戶(hù)GUI界面。

　　對(duì)于分布式防火墻來(lái)說(shuō)需要將4類(lèi)日志信息上傳到日志服務(wù)器。前3類(lèi)分別為主機(jī)與邊界的防火墻、入侵檢測(cè)以及網(wǎng)絡(luò)連接這3個(gè)模塊產(chǎn)生的日志信息。第4類(lèi)為策略中心產(chǎn)生的日志信息。

　　日志的接收有單線(xiàn)程與多線(xiàn)程2種方法可供選擇。由于日志服務(wù)器將實(shí)時(shí)接收多路日志信息，若采用單線(xiàn)程方法，將可能導(dǎo)致數(shù)據(jù)擁塞，造成信息丟失，嚴(yán)重時(shí)可能使日志服務(wù)器主機(jī)癱瘓。而多線(xiàn)程方法在實(shí)現(xiàn)上較為復(fù)雜，但確能彌補(bǔ)單線(xiàn)程的不足。通過(guò)對(duì)比，日志接收模塊采用多線(xiàn)程的方法監(jiān)聽(tīng)一個(gè)固定端口，然后根據(jù)數(shù)據(jù)包中的運(yùn)行方式字段來(lái)區(qū)分不同的日志。一旦有數(shù)據(jù)到達(dá)，接收模塊就實(shí)時(shí)地進(jìn)行接收和處理，提取有用的信息并以一定的格式存儲(chǔ)到數(shù)據(jù)庫(kù)中。日志信息分類(lèi)情況如表1所示。

　　日志數(shù)據(jù)包可以記錄所有IP包的基本信息，包括每次經(jīng)過(guò)防火墻的成功和失敗的連接、源IP地址、目的IP地址和端口號(hào)、時(shí)間信息等。頭部記錄結(jié)構(gòu)為：

　　{ 　unsigned long time；　　　//IP包經(jīng)過(guò)防火墻開(kāi)始時(shí)間

　　unsigned long src_ip；　　//源IP地址

　　unsigned long dst_ip；　　//目的IP地址

　　short src_port；　　　　 　//源主機(jī)端口號(hào)

　　short dst_port；　　　　 　//目的主機(jī)端口號(hào)

　　char proto；　　　　　　   //協(xié)議號(hào)

　　unsigned char type；　　  //IP包的類(lèi)型

　　short len；　　　　　　　 //IP包的長(zhǎng)度

　　}

　　2.2.2 安全通信的實(shí)現(xiàn)

　　在整個(gè)分布式防火墻中，日志上傳與接收采用SSL證書(shū)加密通信方式，以確保通信安全。采用的安全通信數(shù)據(jù)結(jié)構(gòu)如圖3所示。

　　當(dāng)接收模塊接收到指令數(shù)據(jù)后，根據(jù)指令數(shù)據(jù)中的命令類(lèi)型字段判別該命令的類(lèi)型，根據(jù)運(yùn)行方式字段確定該命令的處理方式，然后根據(jù)數(shù)據(jù)長(zhǎng)度確定需要讀取的后繼字節(jié)數(shù)。SSL（Secure Sockets Layer 安全套接層），及其繼任者傳輸層安全（Transport Layer Security，TLS）是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議。TLS與SSL在傳輸層對(duì)網(wǎng)絡(luò)連接進(jìn)行加密。SSL（Secure Sockets Layer 安全套接層），及其繼任者傳輸層安全（Transport Layer Security，TLS）是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議。TLS與SSL在傳輸層對(duì)網(wǎng)絡(luò)連接進(jìn)行加密。

　　2.3 基于日志信息的統(tǒng)計(jì)入侵檢測(cè)的實(shí)現(xiàn)

　　檢測(cè)系統(tǒng)基于日志信息的統(tǒng)計(jì)分析結(jié)果發(fā)現(xiàn)入侵行為，上報(bào)策略中心以阻擊入侵。檢測(cè)系統(tǒng)模型是基于統(tǒng)計(jì)用戶(hù)日常行為，通常通過(guò)對(duì)主體特征變量的度量（即頻度、使用時(shí)間、記錄分布等屬性）的統(tǒng)計(jì)概率分布進(jìn)行分析，通過(guò)對(duì)比用戶(hù)的短期概貌與長(zhǎng)期概貌的差異來(lái)檢測(cè)當(dāng)前用戶(hù)行為是否異常。

　　2.3.1 基于日志信息的統(tǒng)計(jì)入侵檢測(cè)過(guò)程

　　基于日志信息的統(tǒng)計(jì)入侵檢測(cè)模型如圖4所示，主要包括：日志數(shù)據(jù)接收與預(yù)處理、日志分析引擎和自動(dòng)響應(yīng)代理。

　　分析引擎是整個(gè)系統(tǒng)的。統(tǒng)計(jì)分析首先根據(jù)用戶(hù)的訪(fǎng)問(wèn)次數(shù)創(chuàng)建一個(gè)統(tǒng)計(jì)描述，即一個(gè)度量，進(jìn)行長(zhǎng)期概貌學(xué)習(xí)。學(xué)習(xí)的天數(shù)是通過(guò)指定“半生”的方法來(lái)設(shè)置的。若半生設(shè)為30天，則意味著在長(zhǎng)期概率分布中，半生（也就是近30天）的審計(jì)記錄所占權(quán)重為記錄的一半。而下一個(gè)半生（60天）的審計(jì)記錄的權(quán)重則是一半的一半，也就是四分之一，依此類(lèi)推。

　　度量長(zhǎng)期概貌和短期概貌的差異程度是通過(guò)Q統(tǒng)計(jì)來(lái)計(jì)算的。此處將Q值的長(zhǎng)期行為的概貌作為真實(shí)的概率分布，短期行為的概貌作為被考察的對(duì)象。每天Q值的更新過(guò)程通過(guò)如下公式進(jìn)行：

　　其中：r為衰減率，受半生影響，r越大表示近的記錄對(duì)Q值影響也越大；t表示逝去的時(shí)間，當(dāng)以訪(fǎng)問(wèn)次數(shù)來(lái)表征時(shí)，t設(shè)為1。

　　在經(jīng)過(guò)一定時(shí)間長(zhǎng)期概貌學(xué)習(xí)后，統(tǒng)計(jì)模塊就可進(jìn)入短期概貌學(xué)習(xí)。短期所得的Q值偏離均值越多，說(shuō)明短期概貌和長(zhǎng)期概貌的差異也越大，即在短期行為中的可疑點(diǎn)越多。這樣對(duì)Q設(shè)定不同的閥值就可以表征不同程度的入侵行為。

　　2.3.2 聯(lián)動(dòng)過(guò)程

　　由于分布式防火墻具有整體性，因此當(dāng)分析引擎發(fā)現(xiàn)異常行為時(shí)，將通過(guò)自動(dòng)響應(yīng)代理實(shí)現(xiàn)聯(lián)動(dòng)，實(shí)時(shí)上報(bào)策略中心。由策略中心向發(fā)生異常的主機(jī)發(fā)出相關(guān)的安全策略以保護(hù)內(nèi)部網(wǎng)絡(luò)。

　　3  結(jié)束語(yǔ)

　　本文所介紹的分布式防火墻中日志服務(wù)器的設(shè)計(jì)方法已在“新型分布式防火墻”的研發(fā)中得以實(shí)現(xiàn)。選用Linux操作系統(tǒng)平臺(tái)，實(shí)現(xiàn)工具為可視化編程語(yǔ)言Kylix與MySQL輕量級(jí)數(shù)據(jù)庫(kù)。Kylix語(yǔ)言作為圖形界面的工具與后臺(tái)的MySQL數(shù)據(jù)庫(kù)通過(guò)DBExpress技術(shù)實(shí)現(xiàn)連接。系統(tǒng)運(yùn)行正常。