应用防火墙架构.pdf

《应用防火墙架构.pdf》由会员分享，可在线阅读，更多相关《应用防火墙架构.pdf（7页完成版）》请在专利查询网上搜索。

1、(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 201911405289.4 (22)申请日 2019.12.31 (71)申请人 沈阳骏杰卓越软件科技有限公司 地址 110000 辽宁省沈阳市浑南新区长青 南街15-1号361室 (72)发明人 魏国斌 (74)专利代理机构 天津睿禾唯晟专利代理事务 所(普通合伙) 12235 代理人 王哲 (51)Int.Cl. H04L 29/06(2006.01) (54)发明名称 一种应用防火墙架构 (57)摘要 本发明提供一种应用防火墙架构， 涉及一种 防火墙技术领域。 该发明包括。

2、客户端、 路由器和 防火墙， 所述客户端是企业内部的整块网络终 端， 终端为交流协作所用， 客户端之间的数据流 通过交换机传输到各个终端上。 本发明满足用户 通信安全可靠的需求， 达到了安全可控的目标， 保障防火墙功能的完整性、 稳定性和高速性， 保 障网络安全性， 减少网络滥用， 降低网络的安全 风险， 实用性强， 易于推广。 权利要求书1页 说明书4页 附图1页 CN 110896403 A 2020.03.20 CN 110896403 A 1.一种应用防火墙架构， 其特征在于， 包括客户端、 路由器和防火墙， 所述客户端是企 业内部的整块网络终端， 终端为交流协作所用， 客户端之间的数。

3、据流通过交换机传输到各 个终端上； 所述路由器是第一套防护系统， 用于连接因特网中各局域网、 广域网的设备， 负责网络 数据信息的安全； 所述防火墙是内部网和外部网之间连接的控制点， 用于保障内部网络的安全； 所述防火墙包括安全管理模块、 设备监控模块、 系统管理模块、 日志管理模块和远程连 接模块； 所述系统管理模块用于对系统进行配置、 维护和自定义， 所述系统管理模块包括网络 维护模块、 策略编辑模块和日志分析模块； 所述日志管理模块用于日志接收、 处理和存储， 所述日志管理模块包括日志接收模块、 日志处理模块和数据库； 所述设备监控模块分别与所述系统管理模块和日志管理模块连接； 所述远程。

4、连接模块分别与所述系统管理模块、 日志管理模块和所述设备监控模块连 接； 所述安全管理模块和所述设备监控模块连接。 2.如权利要求1所述的应用防火墙架构， 其特征在于， 所述安全管理模块包括网络协议 检测模块、 网络地址转换模块、 双重DNS模块、 数据扫毒模块、 实时数据检测模块、 数据拦截 模块。 3.如权利要求2所述的应用防火墙架构， 其特征在于， 所述网络维护模块用于定义和配 置子网参数和主机参数， 所述子网参数包括子网名称和子网掩码， 所述主机参数包括主机 名称、 主机IP地址、 当前使用的策略文件。 权利要求书 1/1 页 2 CN 110896403 A 2 一种应用防火墙架构 。

5、技术领域 0001 本发明涉及一种防火墙技术领域， 特别是涉及一种应用防火墙架构。 背景技术 0002 互联网的发展给政府机构、 企业事业单位带来了革命性的改革和开放； 各行业正 努力通过互联网来使其更具有市场竞争力和更高的工作效率。 但企业在与外界进行数据交 流时， 也给数据的安全带来了挑战， 因此企业或者各机构通常安装防火墙来加强企业的数 据安全， 以避免企业的经济损失。 0003 随着互联网的发展， 越来越多的病毒或黑客有意或无意攻击企业的服务器， 并对 防火墙的性能提出新的考验； 现有的防火墙对病毒的预防性能不佳， 不能够对病毒进行有 效的清除、 防御和警报， 不能够对普通企业的数据信。

6、息提供安全保护， 给人们带来了一定的 经济损失； 因此有待研究一种用于企业管理软件的防火墙架构来为企业的正常运行提供数 据安全保护。 发明内容 0004 针对上述问题中存在的不足之处， 本发明提供一种应用防火墙架构， 使其满足用 户通信安全可靠的需求， 达到了安全可控的目标， 保障防火墙功能的完整性、 稳定性和高速 性， 保障网络安全性， 减少网络滥用， 降低网络的安全风险， 实用性强， 易于推广。 0005 为了解决上述问题， 本发明提供一种应用防火墙架构， 其中， 包括客户端、 路由器 和防火墙， 所述客户端是企业内部的整块网络终端， 终端为交流协作所用， 客户端之间的数 据流通过交换机传。

7、输到各个终端上； 0006 所述路由器是第一套防护系统， 用于连接因特网中各局域网、 广域网的设备， 负责 网络数据信息的安全； 0007 所述防火墙是内部网和外部网之间连接的控制点， 用于保障内部网络的安全； 0008 所述防火墙包括安全管理模块、 设备监控模块、 系统管理模块、 日志管理模块和远 程连接模块； 0009 所述系统管理模块用于对系统进行配置、 维护和自定义， 所述系统管理模块包括 网络维护模块、 策略编辑模块和日志分析模块； 0010 所述日志管理模块用于日志接收、 处理和存储， 所述日志管理模块包括日志接收 模块、 日志处理模块和数据库； 0011 所述设备监控模块分别与所。

8、述系统管理模块和日志管理模块连接； 0012 所述远程连接模块分别与所述系统管理模块、 日志管理模块和所述设备监控模块 连接； 0013 所述安全管理模块和所述设备监控模块连接。 0014 优选的， 所述安全管理模块包括网络协议检测模块、 网络地址转换模块、 双重DNS 模块、 数据扫毒模块、 实时数据检测模块、 数据拦截模块。 说明书 1/4 页 3 CN 110896403 A 3 0015 优选的， 所述网络维护模块用于定义和配置子网参数和主机参数， 所述子网参数 包括子网名称和子网掩码， 所述主机参数包括主机名称、 主机IP地址、 当前使用的策略文 件。 0016 与现有技术相比， 本。

9、发明具有以下优点： 0017 本发明满足用户通信安全可靠的需求， 达到了安全可控的目标， 保障防火墙功能 的完整性、 稳定性和高速性， 保障网络安全性， 减少网络滥用， 降低网络的安全风险， 实用性 强， 易于推广。 附图说明 0018 图1是本发明的实施例结构示意图。 具体实施方式 0019 为了使本发明的目的、 技术方案及优点更加清楚明白， 下面结合附图与实例对本 发明作进一步详细说明， 但所举实例不作为对本发明的限定。 0020 如图1所示， 本发明的实施例包括客户端1、 路由器2和防火墙3， 客户端1是企业内 部的整块网络终端， 终端为交流协作所用， 客户端1之间的数据流通过交换机传输。

10、到各个终 端上； 0021 路由器2是第一套防护系统， 用于连接因特网中各局域网、 广域网的设备， 负责网 络数据信息的安全； 0022 防火墙3是内部网和外部网之间连接的控制点， 用于保障内部网络的安全； 0023 防火墙3包括安全管理模块、 设备监控模块、 系统管理模块、 日志管理模块和远程 连接模块； 0024 系统管理模块用于对系统进行配置、 维护和自定义， 所述系统管理模块包括网络 维护模块、 策略编辑模块和日志分析模块； 0025 日志管理模块用于日志接收、 处理和存储， 所述日志管理模块包括日志接收模块、 日志处理模块和数据库； 0026 设备监控模块分别与所述系统管理模块和日志。

11、管理模块连接； 0027 远程连接模块分别与所述系统管理模块、 日志管理模块和所述设备监控模块连 接； 0028 安全管理模块和所述设备监控模块连接。 0029 安全管理模块包括网络协议检测模块、 网络地址转换模块、 双重DNS模块、 数据扫 毒模块、 实时数据检测模块、 数据拦截模块。 0030 网络维护模块用于定义和配置子网参数和主机参数， 所述子网参数包括子网名称 和子网掩码， 所述主机参数包括主机名称、 主机IP地址、 当前使用的策略文件。 0031 客户端(Client)或称为用户端， 是指与服务器相对应， 为客户提供本地服务的程 序。 除了一些只在本地运行的应用程序之外， 一般安装。

12、在普通的客户机上， 需要与服务端互 相配合运行。 因特网发展以后， 较常用的用户端包括了如万维网使用的网页浏览器， 收寄电 子邮件时的电子邮件客户端， 以及即时通讯的客户端软件等。 对于这一类应用程序， 需要网 络中有相应的服务器和服务程序来提供相应的服务， 如数据库服务， 电子邮件服务等等， 这 说明书 2/4 页 4 CN 110896403 A 4 样在客户机和服务器端， 需要建立特定的通信连接， 来保证应用程序的正常运行。 0032 路由器又可以称之为网关设备。 路由器就是在OSI/RM中完成的网络层中继以及第 三层中继任务， 对不同的网络之间的数据包进行存储、 分组转发处理， 其主要。

13、就是在不同的 逻辑分开网络。 而数据在一个子网中传输到另一个子网中， 可以通过路由器的路由功能进 行处理。 在网络通信中， 路由器具有判断网络地址以及选择IP路径的作用， 可以在多个网络 环境中， 构建灵活的链接系统， 通过不同的数据分组以及介质访问方式对各个子网进行链 接。 路由器在操作中仅接受源站或者其他相关路由器传递的信息， 是一种基于网络层的互 联设备。 0033 路由器通常位于网络层， 因而路由技术也是与网络层相关的一门技术， 路由器与 早期的网桥相比有很多的变化和不同。 通常而言， 网桥的局限性比较大， 它只能够连通数据 链路层相同或者类似的网络， 不能够连接数据链路层之间有着较大。

14、差异的网络。 但是路由 器却不同， 它打破了这个局限， 能够连接任意的两种不同的网络， 但是这两种不同的网络之 间要遵守一个原则， 就是使用相同的网络层协议， 这样才能够被路由器连接。 路由技术简单 来说就是对网络上众多的信息进行转发与交换的一门技术， 具体来说， 就是通过互联网络 将信息从源地址传送到目的地址。 路由技术这几年来也取得了不错的发展和进步， 特别是 第五代路由器的出现， 满足了人们对数据、 语音和图像的综合应用， 逐渐被大多数家庭网络 所选择并且广泛被使用。 除此之外， 这几年来， 我国的路由技术越来越成熟， 同时也结合了 当代的智能化技术， 使得人们在使用路由技术的过程中能够。

15、体会到快捷、 快速的效果， 从而 推动和促进互联网和网络技术的发展。 0034 路由器是互联网的主要结点设备。 路由器通过路由决定数据的转发。 转发策略称 为路由选择(routing)， 这也是路由器名称的由来。 作为不同网络之间互相连接的枢纽， 路 由器系统构成了基于TCP/IP的国际互联网络Internet的主体脉络， 也可以说， 路由器构成 了Internet的骨架。 它的处理速度是网络通信的主要瓶颈之一， 它的可靠性则直接影响着 网络互连的质量。 因此， 在园区网、 地区网、 乃至整个Internet研究领域中， 路由器技术始终 处于核心地位， 其发展历程和方向， 成为整个Intern。

16、et研究的一个缩影。 在当前我国网络基 础建设和信息建设方兴未艾之际， 探讨路由器在互连网络中的作用、 地位及其发展方向， 对 于国内的网络技术研究、 网络建设， 以及明确网络市场上对于路由器和网络互连的各种似 是而非的概念， 都有重要的意义。 0035 防火墙是指一种将内部网和公众访问网(如Internet)分开的方法， 它实际上是一 种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术， 隔离技术。 越来越 多地应用于专用网络与公用网络的互联环境之中， 尤其以接入Internet网络为最甚。 0036 防火墙代主要是借助硬件和软件的作用于内部和外部网络的环境间产生一种保 护的屏障，。

17、 从而实现对计算机不安全网络因素的阻断。 只有在防火墙同意情况下， 用户才能 够进入计算机内， 如果不同意就会被阻挡于外， 防火墙技术的警报功能十分强大， 在外部的 用户要进入到计算机内时， 防火墙就会迅速的发出相应的警报， 并提醒用户的行为， 并进行 自我的判断来决定是否允许外部的用户进入到内部， 只要是在网络环境内的用户， 这种防 火墙都能够进行有效的查询， 同时把查到信息朝用户进行显示， 然后用户需要按照自身需 要对防火墙实施相应设置， 对不允许的用户行为进行阻断。 通过防火墙还能够对信息数据 的流量实施有效查看， 并且还能够对数据信息的上传和下载速度进行掌握， 便于用户对计 说明书 3。

18、/4 页 5 CN 110896403 A 5 算机使用的情况具有良好的控制判断， 计算机的内部情况也可以通过这种防火墙进行查 看， 还具有启动与关闭程序的功能， 而计算机系统的内部中具有的日志功能， 其实也是防火 墙对计算机的内部系统实时安全情况与每日流量情况进行的总结和整理。 0037 防火墙是在两个网络通讯时执行的一种访问控制尺度， 能最大限度阻止网络中的 黑客访问你的网络。 是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网 络安全域之间的一系列部件的组合。 它是不同网络或网络安全域之间信息的唯一出入口， 能根据企业的安全政策控制(允许、 拒绝、 监测)出入网络的信息流， 。

19、且本身具有较强的抗攻 击能力。 它是提供信息安全服务， 实现网络和信息安全的基础设施。 在逻辑上， 防火墙是一 个分离器， 一个限制器， 也是一个分析器， 有效地监控了内部网和Internet之间的任何活 动， 保证了内部网络的安全。 0038 对所公开的实施例的上述说明， 使本领域专业技术人员能够实现或使用本发明。 对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的， 本文中所定义的 一般原理可以在不脱离本发明的精神或范围的情况下， 在其它实施例中实现。 因此， 本发明 将不会被限制于本文所示的这些实施例， 而是要符合与本文所公开的原理和新颖特点相一 致的最宽的范围。 说明书 4/4 页 6 CN 110896403 A 6 图1 说明书附图 1/1 页 7 CN 110896403 A 7 。