一种防火墙系统、安全服务平台及防火墙系统的管理方法

1.一种防火墙系统，与一安全服务平台进行通信，包括报文检测模块，用于访问控制规则检测和包状态检测；VPN模块，用于IPSec VPN隧道管理；配置模块，用于配置报文过滤规则，并提交到所述的报文检测模块；应用代理模块，用于接收所述报文检测模块提交的合法报文，并透明中转应用层协议的请求与响应；日志模块，用于接收并管理所述防火墙系统内部各模块提交的日志信息；其特征在于：还包括心跳模块，用于定时上报防火墙系统的运行状况信息到所述安全服务平台；以及，报文重定向模块，用于将外出数据报文重定向到所述安全服务平台，与所述报文检测模块相连；所述配置模块预设了所述安全服务平台的通信参数；所述日志模块上报满足预设的过滤条件的日志条目数据到所述安全服务平台。
2.根据权利要求1所述的一种防火墙系统，其特征在于：所述防火墙系统启动后，自动向预设的所述安全服务平台注册；进行注册的注册信息中至少包括防火墙序列号和外网卡的MAC地址。
3.根据权利要求2所述的一种防火墙系统，其特征在于：所述报文检测模块将报文提交到所述报文重定向模块后，所述应用代理模块不再处理该报文。
4.根据权利要求1、2或3所述一种防火墙系统，其特征在于：所述运行状况信息包括防火墙系统的运行状况信息，内含磁盘容量及利用率、CPU负载、内存负载、活动进程名称及进程号、网络接口MAC地址及IP地址、静态规则数、动态规则数、活动会话数；网络接口报文统计数；所述日志信息，包括防火墙的报文检测日志、规则修改日志、管理员登录日志、ACL违规信息和应用协议使用日志；所述应用协议使用日志，包括HTTP日志、FTP日志、POP3日志、SMTP日志、BT协议日志、IM日志；所述日志信息遵循统一的日志格式，所述日志信息的属性至少包括源IP、源端口、目标URI、目标端口、时间和操作结果属性；以及所述防火墙系统在主动建立与所述安全服务平台间的VPN隧道后，自动放行该隧道端节点与该防火墙系统内部网络间的通信报文。
5.一种安全服务平台，包括报文检测模块，用于网络报文检测，与防火墙系统相连；
应用代理模块，用于透明中转应用层协议报文，与所述报文检测模块相连；防病毒模块，用于病毒检测与清理，与所述应用代理模块相连；入侵检测模块，用于网络入侵检测，与所述应用代理模块相连；内容过滤模块，用于报文内容检测与过滤，与所述应用代理模块相连；
VPN模块，用于IPSec VPN管理，与所述防火墙系统相连；其特征在于：还包括策略管理模块，用于指导已确定的风险事件基于预设方式进行响应处理；事件管理模块，用于事件风险评估，并将确定的风险事件依据所述策略管理模块的指示进行响应处理；终端安全模块，用于Windows终端检查，并提交检查结果到一资产管理模块；所述资产管理模块用于接收所述防火墙系统和所述终端安全模块的心跳信息，维护网络资产的运行状态，并提交资产检查异常事件到所述的事件管理模块；漏洞扫描模块，用于扫描指定资产的弱点数据，并提交扫描结果到所述资产管理模块；PKI管理模块，用于节点身份认证和通信加解密，与所述资产管理模块相连；报表模块，用于提供安全运营报表。
6.根据权利要求5所述一种安全服务平台，其特征在于：所述报文检测模块直接丢弃非合法防火墙系统的报文；所述应用代理模块将所述报文检测模块提交的报文依次提交到所述入侵检测模块、防病毒模块和内容过滤模块，并中转已通过检测的报文；其中，合法防火墙系统是所述防火墙系统的序列号和MAC地址同时验证正确，或PKI机制下该防火墙系统的节点身份验证正确，且序列号和MAC地址同时验证正确。
7.根据权利要求5或6所述一种安全服务平台，其特征在于：所述终端安全模块允许合法防火墙系统内网的终端下载；该终端安全模块采集终端运行状况参数以及安全日志数据，并通过所述防火墙系统与所述安全服务平台间的VPN隧道上报所采集的数据到所述资产管理模块，同时接受所述资产管理模块的控制；该终端安全模块利用软件白名单方式，防止启动非法进程；以及，与防火墙系统绑定的操作员仅能管控该防火墙系统本身以及其内网的资产；与防火墙系统绑定的操作员，需要启动该防火墙系统到所述安全服务平台的VPN隧道后，方可访问该安全服务平台。
8.一种防火墙系统的管理方法，其特征在于，包括如下步骤：
注册步骤：防火墙系统启动后，向预设的安全服务平台注册；
运行日志管理步骤：安全服务平台接收并处理合法防火墙系统的心跳信息和日志信息，监控防火墙系统的运行状况；
重定向报文管理步骤：安全服务平台接收合法防火墙系统重定向的报文，并对报文依次进行入侵检测处理、防病毒处理和内容检测处理后，通过应用代理透明转发；以及，内网管理步骤：安全服务平台通过合法防火墙系统主动创建的VPN隧道，对该防火墙系统的内网进行安全管控。
9.根据权利要求8所述一种防火墙系统的管理方法，其特征在于：所述心跳信息包括防火墙系统的运行状况信息，内含磁盘容量及利用率、CPU负载、内存负载、活动进程名称及进程号、网络接口MAC地址及IP地址、静态规则数、动态规则数、活动会话数、网络接口报文统计数；所述日志信息包括防火墙的报文检测日志、规则修改日志、管理员登录日志、访问控制违规信息和应用协议代理日志；所述应用协议代理日志包括HTTP日志、FTP日志、POP3日志、SMTP日志、BT协议日志和及时通信日志；所述日志信息遵循统一的日志格式，所述日志信息的属性至少包括源IP、源端口、目标URI、目标端口、时间和操作结果属性；所述重定向报文管理为所述防火墙系统依据预设规则将外网口的外出报文重定向到所述安全服务平台；所述安全服务平台将报文指派到对应的应用层协议代理，由应用层协议代理依次进行入侵检测处理、防病毒处理和内容检测处理后，透明中转合法报文；所述安全管控包括资产扫描、终端安全管控和网络弱点扫描，所述资产扫描包括IP扫描、端口扫描和链路扫描，所述终端安全管控包括采集与上报硬件和软件信息、维护软件白名单、清理终端环境、和管理补丁与服务，并接受远程控制；所述网络弱点扫描包括漏洞扫描和操作系统被动指纹扫描。
10.根据权利要求8或9所述一种防火墙系统的管理方法，其特征在于：所述合法防火墙系统是所述防火墙系统的序列号和MAC地址同时验证正确，或PKI机制下防火墙系统的节点身份验证正确，且序列号和MAC地址同时验证正确；与防火墙系统绑定的操作员仅能管控该防火墙系统本身以及其内网资产，且仅能管理与该防火墙系统及其内网资产相关的安全运营报表。

一种防火墙系统、安全服务平台及防火墙系统的管理方法\n技术领域\n[0001] 本发明涉及一种防火墙系统、与防火墙系统建立通信的安全服务平台，及防火墙系统的管理方法。\n背景技术\n[0002] 目前的防火墙系统，存在两种完全相反的形式，即“胖防火墙系统”和“瘦防火墙系统”，前者的目标是将防火墙系统做成功能极大的系统，除了防火墙的基本功能外，还增加上VPN(即虚拟个人网络)、QoS(即服务质量)、IDS/IPS(即入侵检测系统/入侵防护系统)以及AV(防病毒)功能，并希望将防火墙系统发展为一个安全领域的整体安全解决方案；而后者却恰好相反，其目标是防火墙系统提供更精准的访问控制，重点关注报文的深度检测、智能检测以及从双机热备到负载均衡、HA(即高可靠性)集群技术的发展与性能提升。\n[0003] “胖防火墙系统”因为集成安全功能产品较多，因此存在诸多缺陷，最明显的是性能瓶颈问题，此类防火墙系统着眼于小规模的网络，强制要求将受保护网络的边界安全集中在防火墙系统这单一控制点上，从网络拓扑上看，在网络架构上，防火墙自身就是性能瓶颈隐患；同时，在此性能瓶颈点又增加IDS/IPS、AV等模块，而这类模块又非常耗性能，因此无疑会加剧瓶颈效应；进一步地，这些附加的安全功能模块必然增加安全策略规则数目，也将导致防火墙性能指标进一步地恶化；更严重的是，附加的安全功能模块可能是非专业的，功能不全面的，从而导致安全功能部分失效，甚至安全模块自身会引入安全隐患，从而与设计初衷相背离，也无法为用户带来真正的安全，而且价格不菲。\n[0004] “瘦防火墙系统”因为仅关注报文访问控制，功能少而精；但是，随着网络技术的不断发展，黑客以及病毒的破坏力也不断增强，在网络安全状况不断恶化的现实中，防火墙必须与其它独立安全产品，如IDS/IPS，AV服务系统等进行配合，才能用户提供安全保障。这样，增加了网络安全成本，同时，用户需要同时维护IDS/IPS、AV服务器，不但增加了后期维护成本，同时对用户的技术能力也提出了更高的要求。\n发明内容\n[0005] 本发明的第一个目的是针对上述“瘦防火墙系统”和“胖防火墙系统”各自存在的缺陷，提出一种既具有“瘦防火墙系统”的报文检测功能，同时又具备“胖防火墙系统”的VPN功能，且将其它安全功能委托给安全服务平台、并接收安全服务平台管控的新的防火墙系统。\n[0006] 本发明所采用的技术方案为：一种防火墙系统，与一安全服务平台进行通信，包括报文检测模块，用于访问控制规则检测和包状态检测；VPN模块，用于IPSec VPN隧道管理；\n配置模块，用于配置报文过滤规则，并提交到所述的报文检测模块；应用代理模块，用于接收所述报文检测模块提交的合法报文，并透明中转应用层协议的请求与响应；日志模块，用于接收并管理所述防火墙系统内部各模块提交的日志信息；还包括心跳模块，用于定时上报防火墙系统的运行状况信息到所述安全服务平台；以及，报文重定向模块，用于将外出数据报文重定向到所述安全服务平台，与所述报文检测模块相连；所述配置模块预设了所述安全服务平台的通信参数；所述日志模块上报满足预设的过滤条件的日志条目数据到所述安全服务平台。\n[0007] 优选地，所述防火墙系统启动后，自动向预设的所述安全服务平台注册；所述注册信息中至少包括防火墙序列号和外网卡的MAC地址。\n[0008] 优选地，所述报文检测模块将报文提交到所述报文重定向模块后，所述应用代理模块不再处理该报文。\n[0009] 优选地，所述运行状况信息包括防火墙系统的运行状况信息，内含磁盘容量及利用率、CPU负载、内存负载、活动进程名称及进程号、网络接口MAC地址及IP地址、静态规则数、动态规则数、活动会话数；网络接口报文统计数；所述日志信息，包括防火墙的报文检测日志、规则修改日志、管理员登录日志、ACL违规信息和应用协议使用日志；所述应用协议使用日志，包括HTTP日志、FTP日志、POP3日志、SMTP日志、BT协议日志、IM日志；所述日志信息遵循统一的日志格式，所述日志信息的属性至少包括源IP、源端口、目标URI、目标端口、时间和操作结果属性；以及所述防火墙系统在主动建立与所述安全服务平台间的VPN隧道后，自动放行该隧道端节点与该防火墙系统内部网络间的通信报文。\n[0010] 本发明的第二个目的是提供一种与上述防火墙系统相匹配的安全服务平台。\n[0011] 本发明所采用的技术方案为：一种安全服务平台，包括报文检测模块，用于网络报文检测，与所述防火墙系统相连；应用代理模块，用于透明中转应用层协议报文，与所述报文检测模块相连；防病毒模块，用于病毒检检测与清理，与所述应用代理模块相连；入侵检测模块，用于网络入侵检测，与所述应用代理模块相连；内容过滤模块，用于报文内容检测与过滤，与所述应用代理模块相连；VPN模块，用于IPSec VPN管理，与所述防火墙系统相连；还包括策略管理模块，用于指导已确定的风险事件进行基于预设方式进行响应处理；\n事件管理模块，用于事件风险评估，并将确定的风险事件依据所述策略管理模块的指示进行响应处理；终端安全模块，用于Windows终端检查，并提交检查结果到一资产管理模块；\n所述资产管理模块用于接收所述防火墙系统和所述终端安全模块的心跳信息，维护网络资产的运行状态，并提交资产检查异常事件到所述的事件管理模块；漏洞扫描模块；用于扫描指定资产的弱点数据，并提交扫描结果到所述资产管理模块；PKI管理模块；用于节点身份认证和通信加解密，与所述资产管理模块相连；报表模块，用于提供安全运营报表。\n[0012] 优选地，所述报文检测模块直接丢弃非合法防火墙系统的报文；所述应用代理模块将所述报文检测模块提交的报文依次提交到所述入侵检测模块、防病毒模块和内容过滤模块，并中转已通过检测的报文；其中，合法防火墙系统是所述防火墙系统的序列号和MAC地址同时验证正确，或PKI机制下该防火墙系统的节点身份验证正确，且序列号和MAC地址同时验证正确。\n[0013] 优选地，所述终端安全模块允许合法防火墙系统内网的终端下载；该终端安全模块采集终端运行状况参数以及安全日志数据，并通过所述防火墙系统与所述安全服务平台间的VPN隧道上报所采集的数据到所述资产管理模块，同时接受所述资产管理模块的控制；该终端安全模块利用软件白名单方式，防止启动非法进程；以及，与防火墙系统绑定的操作员仅能管控该防火墙系统本身以及其内网的资产；与防火墙系统绑定的操作员，需要启动该防火墙系统到所述安全服务平台的VPN隧道后，方可访问该安全服务平台。\n[0014] 本发明的第三个目的是提供一种上述防火墙系统相对上述安全服务平台的管理方法。\n[0015] 本发明所采用的技术方案为：一种防火墙系统的安全管理方法，包括如下步骤：\n[0016] 注册步骤：防火墙系统启动后，向预设的安全服务平台注册；\n[0017] 运行日志管理步骤：安全服务平台接收并处理合法防火墙系统的心跳信息和日志信息，监控防火墙系统的运行状况；\n[0018] 重定向报文管理步骤：安全服务平台接收合法防火墙系统重定向的报文，并对报文依次进行入侵检测处理、防病毒处理和内容检测处理后，通过应用代理透明转发；以及，[0019] 内网管理步骤：安全服务平台通过合法防火墙系统主动创建的VPN隧道，对该防火墙系统的内网进行安全管控。\n[0020] 优选地，所述心跳信息包括防火墙系统的运行状况信息，内含磁盘容量及利用率、CPU负载、内存负载、活动进程名称及进程号、网络接口MAC地址及IP地址、静态规则数、动态规则数、活动会话数、网络接口报文统计数；所述日志信息包括防火墙的报文检测日志、规则修改日志、管理员登录日志、访问控制违规信息和应用协议代理日志；所述应用协议代理日志包括HTTP日志、FTP日志、POP3日志、SMTP日志、BT协议日志和及时通信日志；所述日志信息遵循统一的日志格式，所述日志信息的属性至少包括源IP、源端口、目标URI、目标端口、时间和操作结果属性；所述重定向报文管理为所述防火墙系统依据预设规则将外网口的外出报文重定向到所述安全服务平台；所述安全服务平台将报文指派到对应的应用层协议代理，由应用层协议代理依次进行入侵检测处理、防病毒处理和内容检测处理后，透明中转合法报文；所述安全管控包括资产扫描、终端安全管控和网络弱点扫描，所述资产扫描包括IP扫描、端口扫描和链路扫描，所述终端安全管控包括采集与上报硬件和软件信息、维护软件白名单、清理终端环境、和管理补丁与服务，并接受远程控制；所述网络弱点扫描包括漏洞扫描和操作系统被动指纹扫描。\n[0021] 优选地，所述合法防火墙系统是所述防火墙系统的序列号和MAC地址同时验证正确，或PKI机制下防火墙系统的节点身份验证正确，且序列号和MAC地址同时验证正确；与防火墙系统绑定的操作员仅能管控该防火墙系统本身以及其内网资产，且仅能管理与该防火墙系统及其内网资产相关的安全运营报表。\n[0022] 本发明的有益效果为：首先，本发明提供了一种附加安全的防火墙系统，该系统仅需完成报文检测、应用透明代理、VPN和日志功能，而将内容检测、日志分析等耗费资源大、要求高的功能转移到安全服务平台，能有效降低防火墙系统的成本，提高其性能；同时，依据附加的安全服务平台，可以定制出更多的统计报表；其次，本发明提供了一种防火墙系统报文深度检测外包的方法，通过开启防火墙系统上的报文重定向，将报文重定向到安全服务平台后，由安全服务平台对报文进行入侵检测、防病毒和内容过滤，从而依赖安全服务平台的硬件和软件功能完成报文深度检测，对防火墙系统的性能影响小、用户体验影响较轻；\n但提高了检测精度，从而增强了安全性；最后，本发明还提供了一种内网安全管理方法，通过防火墙系统创建的VPN隧道，安全服务平台依据此隧道对防火墙内网进行资产扫描、终端安全管控和弱点扫描；减轻了内网安全维护成本；同时借助安全服务平台的各项独立安全功能，增强了内网安全性。\n附图说明\n[0023] 图1为本发明所述防火墙系统与安全服务平台的系统框图；\n[0024] 图2为本发明所述防火墙系统的报文处理流程图；\n[0025] 图3为本发明所述防火墙系统的心跳信息处理流程图；\n[0026] 图4为本发明所述防火墙系统的日志信息处理流程图；\n[0027] 图5为本发明所述安全服务平台的节点注册处理流程图；\n[0028] 图6为本发明所述安全服务平台的应用协议报文处理流程图；\n[0029] 图7为本发明所述安全服务平台的事件处理流程图；\n[0030] 图8为本发明所述防火墙系统的安全管理方法的流程图。\n具体实施方式\n[0031] 现结合附图对本发明的具体实施方式进行详细的说明。\n[0032] 如图1所示，为本发明所述防火墙系统与安全服务平台的系统框图，包括防火墙系统M1和安全服务平台M2组成，防火墙系统M1与安全服务平台M2相连，提交自身的运行状况信息与日志信息，并接收安全服务平台M2的管控。\n[0033] 防火墙系统M1内部包括配置模块10，报文检测模块11，应用代理模块12、报文重定向模块13、日志模块14、心跳模块15和VPN模块16。\n[0034] 其中配置模块10用于进行防火墙系统M1的运行配置，包括报文过滤规则配置、报文重定向参数配置、VPN参数配置、安全服务平台通信配置以及防火墙系统M1的全局运行参数配置，如网络接口配置、NAT配置以及可信管理终端信息配置。配置模块10接收操作员的配置参数，并提交到报文检测模块11、应用代理模块12、报文重定向模块13、日志模块\n14、心跳模块15以及VPN模块16。\n[0035] 报文检测模块11用于对出入防火墙系统M1的报文进行检测，包括基于协议的访问控制规则(ACL)检测和报文状态检测。在内核模式下，接收到网络接口卡驱动程序所提交的数据报文后，首先，解析IP头域，依据配置模块10配置的规则，以及IP协议所约定的IP报文格式，丢弃违反规则和报文格式错误的IP报文；其次，基于传输层协议要求以及配置的TCP、UDP防护规则，在传输层对报文进行状态检测、规则检测，直接丢弃非法报文；最终将报文提交到应用代理模块12或依据配置模块10的配置的指示，将需要重定向的报文提交到报文重定向模块13。\n[0036] 应用代理模块12用于防火墙系统M1对应用层协议进行透明代理，并进一步进行应用协议级检测，包括基于协议规范的报文格式检测、状态检测、和敏感内容过滤。应用代理模块12直接将目标是防火墙系统M1的报文提交到防火墙系统M1的应用；同时，针对需要中转的报文，透明中转，即针对请求报文，作为服务端，终止应用客户端的请求，同时，向真实的服务端发送请求；针对响应报文，作为客户端，终止真实的服务端的响应，同时，作为服务端，响应原始客户端的请求。\n[0037] 报文重定向模块13用于防火墙系统M1将报文重定向到安全服务平台M2，与安全服务平台M2直接相连。\n[0038] 日志模块14用于防火墙系统M1的日志管理，包括写日志、日志检索以及将符合条件的日志信息提交到安全服务平台M2；接收防火墙系统M1内部其它模块提交的日志内容。\n[0039] 心跳模块15用于定时采集防火墙系统M1的运行状况信息，包括磁盘容量及利用率、CPU负载、内存负载、活动进程名称及进程号、文件信息、网络接口MAC地址及IP地址、静态规则数、动态规则数、活动会话数；网络接口报文统计数等，并将采集到的信息规整化后提交到安全服务平台M2；\n[0040] VPN模块16用于防火墙系统M1的IPSec VPN管理，包括，作为服务端，与远程客户端的VPN客户端模块通信，维护客户端到防火墙系统M1的VPN通信隧道；作为客户端，主动与安全服务平台M2的VPN模块32通信，创建防火墙系统M1与安全服务平台M2间的VPN通信隧道。\n[0041] 安全服务平台M2内部包括报文检测模块20、资产管理模块21、应用代理模块22、策略管理模块23、事件管理模块24、报表模块25、防病毒模块26、入侵检测模块27、内容过滤模块28、PKI模块29、终端安全模块30、漏洞扫描模块31和VPN模块32。\n[0042] 其中报文检测模块20与防火墙系统M1相连，实际是与所述的报文重定向模块13、日志模块14和心跳模块15相连，在第三层(即IP层)上，针对流入的报文，验证源IP是否合法；针对流出的报文，验证目标IP是否合法；然后，基于IP协议规范，对IP报文的格式进行检测；并在提取到TCP、UDP头域后，基于预设的ACL规则，以及TCP、UDP的状态机规范，对报文进行检测；最后，将目的地址是安全服务平台的报文提交到资产管理模块21，将目的地址不是安全服务平台的报文提交到应用代理模块22。\n[0043] 资产管理模块21用于对防火墙系统M1以及该系统内部网络中的终端、主机、网络设备进行管理。将PKI报文提交到PKI模块29，并在节点身份认证通过后，激活防火墙系统M1的资产管理，包括心跳信息处理、日志信息处理，并基于策略管理模块23设定的标准产生安全事件，提交到事件管理模块24；接收事件管理模块24反馈的事件分析结果，更新相应资产的风险等级；接收终端安全模块30和漏洞扫描模块31的检查结果；提供资产管理员操作权限管控，与防火墙系统M1绑定的资产管理员仅能浏览，和/或操作与该防火墙系统实例相对应的资产，包括防火墙系统本身以及其内网资产。\n[0044] 应用代理模块22用于对源自防火墙系统M1的报文进行应用层协议透明代理，以实现防病毒、入侵检测以及内容过滤。将报文依次提交到入侵检测模块27、防病毒模块26和内容过滤模块28，并最终透传合格报文。\n[0045] 策略管理模块23用于安全服务平台M2预设各类策略，包括资产运行状态安全基准、应用协议代理所需要的报文处理策略、以及事件处理所需要的分析策略和响应策略。策略管理模块23接收用户定制的策略，并分别提交到资产管理模块21、应用代理模块22和事件管理模块24。\n[0046] 事件管理模块24接收各类安全事件，并处理，包括事件漏洞关联、事件资产关联以及事件链关联，并将分析后的风险结果提交到资产管理模块21；事件管理模块24将处理后的事件保存到数据库，以便报表模块25处理；依据策略管理模块23配置的响应策略对事件进行响应，如通知管理员。\n[0047] 报表模块25用于安全服务平台M2的报表处理，提供安全服务平台级报表，此类报表反映所有防火墙系统的运行状况；报表模块25还用于防火墙系统级报表，此类报表仅反映特定防火墙及其内网的运营状况；提供报表管理员权限管控，与防火墙系统M1绑定的管理员仅能浏览与该防火墙系统及其内网资产相关的报表。\n[0048] 防病毒模块26用于安全服务平台M2对重定向报文进行防病毒处理，接收应用代理模块22提交的报文，并将处理结果反馈到应用代理模块22。\n[0049] 入侵检测模块27用于安全平服务台M2对重定向报文进行入侵检测处理，接收应用代理模块22提交的报文，并将处理结果提交到应用代理模块22。\n[0050] 内容过滤模块28用于安全服务平台M2对重定向报文进行内容过滤，包括关键字对象、URL对象以及登录标题对象过滤；内容过滤模块28接收应用代理模块22提交的报文，并将处理结果提交到应用代理模块22。\n[0051] PKI模块29用于安全服务平台M2对防火墙系统M1以及其内网设备节点进行身份认证、以及通信报文加密与解密；PKI模块29接收资产管理模块提交的PKI报文请求，并反馈处理结果。\n[0052] 终端安全模块30用于安全服务平台M2对防火墙系统M1的内部网络终端设备进行安全管控，通常部署在防火墙系统M1的内部网络的终端机上，采集并上报终端的运行状况，并接收源自资产管理模块21的控制。\n[0053] 漏洞扫描模块31用于安全服务平台M2对防火墙系统M1的内部网络进行弱点扫描，本模块直接部署在安全服务平台M2的服务器上，和/或部署在防火墙系统M1的内部网络中，通过主动扫描以获得网络和/或设备的弱点信息，并提交到资产管理模块21；同时，接收资产管理模块21的控制。\n[0054] VPN模块32用于维护安全服务平台M2与防火墙系统M1间的IPSec VPN隧道，与防火墙系统M1的VPN模块16相连。\n[0055] 具体实施时，防火墙系统M1向安全服务平台M2注册；注册成功后，防火墙系统M1定期上报心跳信息；不间断地上报符合预设条件的运行日志信息；安全服务平台M2处理防火墙系统M1上报的运行信息，并依据预设的策略，产生安全事件；并依据预设的安全事件响应策略，通知防火墙系统维护人员；防火墙系统M1依据预设的条件，将报文重定向到安全服务平台M2后，安全服务平台M2对重定向的报文进行入侵检测、防病毒以及内容过滤处理后，透明中转报文或产生安全事件；防火墙系统M1主动建立了到安全服务平台M2的IPSec VPN隧道后，部署在防火墙系统M1内网的终端安全模块、漏洞扫描模块通过此隧道与安全服务平台M2通信，并接收安全服务平台M2的控制；部署在安全服务平台M2同侧的漏洞扫描模块通过此隧道可对防火墙系统M1的内网进行远程扫描。绑定到防火墙系统M1上的操作员仅能浏览到与所绑定防火墙系统M1相对应的防火墙级的报表，并仅能管控该防火墙及其内网设备。\n[0056] 本发明所述的防火墙系统因为将最复杂的防病毒、入侵检测以及内容过滤委托给安全服务平台，故其内部的报文处理要求相对较低，从而可以采用低成本的硬件设备，进而降低防火墙系统的成本。如图2所示，为本发明所述防火墙系统的报文处理流程图，包括：\n[0057] 步骤S201：捕获报文；防火墙系统在内核模式下，以DMA方式取得网卡驱动程序中缓存区的报文后，即完成了报文捕获；也可以修改网卡驱动程序，直接要求驱动程序将缓存区数据表搬迁到系统内核空间后，触发中断，指示报文捕获完成。\n[0058] 步骤S202：规则检测；防火墙系统M1主要进行访问规则检测，包括，针对第二层(即数据链路层)，针对收到的报文，提取其源MAC地址，首先检索MAC黑名单，直接阻断黑名单报文；然后检索MAC白名单，直接放行符合白名单条件的报文；直接放行其它报文；针对第三层(即IP层)，首先进行协议级检测，除了遵守协议规范对IP报头进行格式检测、校验和验证外，还包括碎片重叠检测；然后依据预设的ACL规则，对源IP与目标IP对进行检查，直接丢弃违反ACL规则的报文；针对第四层(即传输层)，除了依据协议规范对报文进行验证外，还基于预设的ACL规则，对通信四元组(源IP、源端口、目标IP、目标端口)进行检测，直接丢弃非法报文；转步骤S203。\n[0059] 本实施例中，所有协议级的检测可以直接利用Linux/BSD的协议栈的原有功能实现；附加的检测通过改写协议实现文件中的相应函数实现，和/或直接利用iptables工具实现，和/或编写netfilter钩子函数实现。\n[0060] 步骤S203：状态检测；主要针对TCP进行协议状态检测，直接丢弃不符合状态规则的报文。\n[0061] 本实施中，可以在TCP协议实现中维护连接状态表，并将进出网络的数据分配到每个会话，利用所述的连接状态表跟踪每一个会话的状态；或直接利用Linux的ip_conntrack和iptables工具配合实现。\n[0062] 步骤S204：测试报文的目标地址是否为防火墙系统自身，即是否需要中转报文，如果目标地址是防火墙系统自身，即不需要中转报文，则转步骤S205，否则，转步骤S206。\n[0063] 步骤S205：将报文直接传送到防火墙系统的上层应用，即将报文上传到本地应用，并结束。\n[0064] 步骤S206：测试报文是发送到外网还是发送内网，即是否要外出报文，如果需要发送到外网，则转步骤S208，否则，转步骤S207。\n[0065] 步骤S207：查找NAT表，检索到目标内网的IP地址，并将报文中转到此目标，结束。\n[0066] 步骤S208，测试外出报文是否需要重定向报文，如果需要重定向，则转步骤S209；\n否则，转步骤S210。\n[0067] 本实施中，首先检测无条件重定向是否置位，如果为真，则所有报文均重定向；否则，以第四层的目标端口为条件，检索预设的重定向服务集合，如果匹配，则该报文需要重定向，此后，与该会话相关的报文都直接重定向。\n[0068] 步骤S209：重构IP报文头域，并将报文提交到预设的安全服务平台，即将报文提交重定向处理；并结束。\n[0069] 本实施中，采用squid工具实现http协议报文重定向。\n[0070] 步骤S210：将报文提交到上层应用代理，由应用代理透明中转与外网的请求与响应，即将报文提交应用代理处理，并结束。\n[0071] 本实施中，应用代理包括FTP代理、SMTP代理、POP3代理、DNS代理以及透传代理，分别用于代理内网的FTP协议、SMTP协议、POP3协议、DNS协议以及透传报文；缺省的，应用代理将报文都提交到透传代理。\n[0072] 此外，本实施中，防火墙系统M1在外发报文时，提供区分服务(Diffsrv)的流量控制，利用Linux现有的排队规则机制和TC配置工具实现。\n[0073] 本发明所述防火墙系统定期上报心跳信息到预设的安全服务平台M2，以便安全服务平台M2及时更新防火墙系统M1的运行状况，并将偏离了正常状态的指标通知防火墙系统M1的管理人员。如图3所示，为本发明所述防火墙系统的心跳信息处理流程图，包括：\n[0074] 步骤S301：收集各指标的运行参数。\n[0075] 防火墙系统M1定期自动收集自身的运行状态参数，包括磁盘容量及利用率、CPU负载、内存负载、活动进程名称及进程号、网络接口MAC地址及IP地址、静态规则数、动态规则数、活动会话数以及网络接口报文统计数。本实施中，利用API函数提取设备级信息，包括磁盘容量、利用率、CPU负载、内存负载、活动进程名称与进程号、文件信息、网络接口MAC地址和与其关联的IP地址；利用API函数提取网络接口的报文统计数，包括接收与发送报文的总量、错误报文量和丢弃报文量；同时，利用防火墙系统M1自身提供的接口，提取静态规则数、动态规则数、活动会话数；另外，还利用防火墙系统M1自身的MD5算法，计算防火墙系统上的文件信息(包括应用以及预设操作系统核心目录、核心文件)的MD5值。\n[0076] 步骤S302：组建心跳消息报文。\n[0077] 将防火墙系统宿主机的外口MAC地址、防火墙系统的出厂序列号、当前时间、心跳消息序列号、采集到的设备级信息、防火墙系统业务级信息以及计算的系列MD5值，构成xml格式的报文内容。\n[0078] 步骤S303：测试安全服务平台是否在线，如果在线，则转步骤S305；否则，转步骤S304。\n[0079] 步骤S304：将当前心跳报文内容写进缓存区，并休眠一段时间，即缓存心跳报文，并转步骤S303；\n[0080] 缓存区只保留一条心跳消息，每次保存到缓存区后，都将覆盖上次的心跳报文；休眠时间是可以设置的，缺省是休眠90秒。\n[0081] 步骤S305：加密报文内容，并发送报文到安全服务平台。\n[0082] 本实施中，利用128位DES算法加密报文内容。其密钥是防火墙系统M1向安全服务平台M2注册成功后，由安全服务平台M2分配的会话级密钥。防火墙系统M1向安全服务平台M2注册时使用的会话密钥就是防火墙系统宿主机的MAC地址和防火墙系统的出厂序列号的组合。\n[0083] 本实施中，利用PKI机制加密报文内容。利用RSA加密报文内容，其密钥是安全服务平台M2的公钥；报文加密后，再利用DSA算法签名。\n[0084] 本实施中，防火墙系统M1还支持心跳信息不加密，直接提交到安全服务平台M2。\n[0085] 步骤S306：安全服务平台M2解密心跳报文，并更新防火墙系统的实时状态。\n[0086] 安全服务平台M2收到心跳报文后，提交到其资产管理模块21，首先解密心跳报文。本实施中，通过查找预设的防火墙心跳信息解密规则表(该表初始时由手工维护，内含防火墙外口IP地址、解密方式、初始会话密钥、动态会话密钥、和公钥文件)。若解密方式为对称标志，则利用DES算法解密心跳报文，其解密密钥为检索到的动态会话密钥。若解密方式为非对称标志，则利用检索到的公钥验证签名，然后利用RSA算法解密报文；若解密方式为无标志，则不进行解密。\n[0087] 本实施中，如果心跳报文持续大于2M，操作员可强制PKI机制下防火墙系统与安全服务平台间采用对称加解密，以提高性能。安全服务平台M2生成128位DES算法所需要的会话密钥后，构建密钥通知报文，利用RSA算法加密该通知报文，并用DSA算法签名后，提交到防火墙系统M1；防火墙系统M1在签名验证、解密成功后，应答安全服务平台M2会话密钥交换成功；此后，防火墙系统M1将利用DES算法加密心跳报文，安全服务平台M2利用DES解密心跳报文。\n[0088] 本实施中，操作员可以在安全服务平台M2上强制防火墙的心跳不加密直接上报，安全服务平台M2自动通知防火墙系统M1关闭心跳加密，在获得防火墙系统M1的肯定应答后，安全服务平台M2不再启用解密过程对源自所述防火墙系统M1的心跳报文进行解密。\n[0089] 心跳报文解密后，提取心跳报文的内容，并更新相应防火墙系统M1的运行指标项的值，同时，依据当前值与预设的合法值比较，更新各指标项的状态图(正常、警告、故障)；\n[0090] 步骤S307：提取状态为“故障”指标项，并测试该指标项与上一次状态是否一致，如果不一致，则为新故障，转S308；否则，结束。\n[0091] 步骤S308：构建安全事件，并提交事件处理。\n[0092] 首先将“告警”指标项划分到“设备级”和“业务级”，然后，将所有“设备级”告警项组合到一起，构成设备告警事件数据，包括指标名称、当前值、合法值；将所有“业务级”告警项组合到一起，构成业务告警事件数据，包括指标名称、当前值、合法值；\n[0093] 其次将设备告警事件数据，附加在防火墙外口IP、时间、探测器(“资产管理标识”)、可信度(10)与事件标识(“设备运行参数告警”)的后边，提交到事件管理模块24；\n将业务告警事件数据，附加在防火墙外口IP、时间、探测器(“资产管理标识”)、可信度(10)与事件标识(“业务运行参数告警”)的后边，提交到事件管理模块24；事件管理模块24接收到资产管理模块21提交的安全事件后，检测到该事件的探测器为“资产管理标识”、其可信度为10、且服务器为已注册的防火墙系统后，直接调用策略管理模块23预设的响应策略进行处理。缺省的响应策略为：首先将告警提示通知到资产管理模块21；然后查找与该防火墙系统相关联的维护人员；再检索各相关维护人员的、当前有效的接收告警方式；最后依据各维护人员的接收告警方式，以短信、或QQ、或MSN、或Email方式通知到具体维护人。\n[0094] 本发明所述防火墙系统M1主动将本地日志信息上报到安全服务平台M2，由后者对日志进行分析，并产生安全告警。如图4所示，为本发明所述防火墙系统的日志信息处理流程图，包括：\n[0095] 步骤S401：定期检索防火墙系统的日志条目。\n[0096] 防火墙系统级操作员可以设定需要上报的日志条目条件，缺省的，仅上报防火墙系统M1的运行安全日志。\n[0097] 防火墙系统M1主动采集其宿主机的操作系统级日志，并转换为统一日志格式，保留在本地数据库中；防火墙系统M1的运行日志信息，也遵循统一日志格式，保留在本地数据库中；日志数据表中的记录会在过期后自动删除。\n[0098] 所述的统一日志信息包括如下属性：时间、源IP、源端口、目标URI、目标端口、协议、日志数据。如针对HTTP的访问日志：\n[0099] “Jul 5 04:13:33 119.145.5.122 squid[13073]:1246738413.402 14 \n192.168.21.136TCP_MISS/200 459 HEAD http://download.windowsupdate.com/v8/microsoftupdate/b/selfupdate/WSUS3/x86/Other/musetup.cab ？ 0907042013-DIRECT/121.14.234.248application/octet-stream”，可通过sscanf，或正则表达式，提取到时间(“Jul 5 04:13:33”)、源IP(“192.168.21.136”)、源端口(null)、目标URI(“http://download.windowsupdate.com/v8/microsoftupdate/b/selfupdate/WSUS3/x86/Other/musetup.cab？0907042013”)、目标端口(null)、协议(“TCP”)、日志数据(“Type＝service/http，Method＝HEAD，Result＝200，Length＝459，Target＝DIRECT/121.14.234.248，Content＝application/octet-stream；process＝squid，pid＝13073”)；\n[0100] 又如针对操作系统级安全日志“Jul 6 13:18:13 HOST_71 sshd[4167]:Accepted passwordfor root from::ffff:192.168.5.149 port 3472 ssh2”，提取到时间(“Jul 6 \n13:18:13”)、源IP(“::ffff:192.168.5.149”)、源端口(“3472”)、目标URI(“HOST_71”)、目标端口(null)、协议(“ssh2”)、日志数据(“Type＝os/security，Method＝ssh，Result＝accepted，User＝root，Content＝accepted password for root，process＝sshd，pid＝4167”)；\n[0101] 步骤S402：测试是否检索到日志条目，如果为空，即没有合规日志，则本轮无需发送日志，转步骤S401；否则，转步骤S403。\n[0102] 步骤S403：加密日志内容，并发送到安全服务平台M2。\n[0103] 防火墙系统M1检索到日志条目信息后，在所述日志条目信息的前面，附加上防火墙外网卡的MAC地址、检测工具标识(“防火墙”)和事件标识(“日志”)后，构成日志报文；如果检索到的日志条目较多，则构建多个日志报文，每个报文最多携带20条日志条目。\n[0104] 本实施中，利用128位DES算法加密日志报文。DES算法所用的密钥是防火墙系统M1向安全服务平台M2注册成功后，由安全服务平台M2分配的会话级密钥。\n[0105] 本实施中，利用PKI机制加密日志报文。利用RSA加密日志内容，其密钥是安全服务平台M2的公钥；报文加密后，再利用DSA算法签名。\n[0106] 本实施中，防火墙系统M1还支持日志报文不加密，直接提交到安全服务平台M2。\n[0107] 步骤S404：解密日志报文，并将日志关联到防火墙资产。安全服务平台M2的资产管理模块21收到日志类报文后，同防火墙系统M1侧对日志信息的加密处理相对应，安全服务平台M2查找日志信息解密规则信息后(该解密规则表同附图3中步骤S306中防火墙心跳信息解密规则表类似)，采用DES算法解密、或DSA算法解签后再利用RSA算法解密、或无需解密报文内容，获得日志信息；通过报文中的MAC地址，检索到相应防火墙系统M1标识后，将日志报文关联到该防火墙资产上。\n[0108] 步骤S405：依据检索出的防火墙系统标识，查找与该防火墙系统相关的日志内容过滤条件，测试当前日志项是否违规。日志内容过滤包括URI过滤、目标端口过滤、访问URI限制、日志数据Type过滤、日志数据Method过滤、日志数据Result过滤、以及由单项过滤规则组合成复杂过滤规则过滤。如果能过滤到内容，则产生安全事件，包括防火墙系统的外口IP、探测器类属(“防火墙”)、安全事件类属以及来自日志信息的时间、源IP、源端口、目标URI、目标端口、协议和日志数据；其安全事件类属是预先配置的，且与具体过滤规则相关；转步骤S406；否则，结束。\n[0109] 步骤S406：提交新事件到事件池；将新产生的安全事件，提交到事件管理模块24的事件池后，结束。事件管理模块24将对事件池中的事件统一分析并响应。\n[0110] 本发明所述防火墙系统M1，以及部署在防火墙系统内网设备终端安全模块30，都会主动向安全服务平台M2注册。如图5所示，是本发明所述安全服务平台M2处理设备节点注册信息的流程图，包括：\n[0111] 步骤S501：节点注册；防火墙系统M1、以及部署在防火墙系统内网设备终端安全模块30启动后，主动向安全服务平台M2注册，注册报文包括注册类型、节点IP、节点MAC、合法防火墙的MAC、合法防火墙的序列号、硬件信息、文件信息、服务信息、操作员信息和邻居信息。防火墙系统的注册信息通过公网承载，故报文128位DES加密(密钥为IP地址)；\n防火墙系统内网节点的注册信息通过防火墙系统与安全服务平台间的VPN隧道承载，报文不加密；防火墙系统的邻居信息仅仅是各网络接口的配置信息，而其它节点(即内网设备)的邻居信息除网络接口的配置信息外，还包括预设数量的邻居信息(该邻居信息包括MAC地址以及IP地址)；注册报文是防火墙系统与安全服务平台间通信信道上的首个报文。\n[0112] 步骤S502：安全服务平台测试是否是防火墙系统注册；安全服务平台在公网SOCKET上收到注册请求，利用DES解密后(通过SOCKET的源IP可以获得密钥)，标记为防火墙注册，并附加上SOCKET的源IP，转步骤S503；在VPN网SOCKET上收到注册请求，标记为节点注册，转步骤S504。\n[0113] 步骤S503：测试待注册的防火墙系统是否为合法防火墙；首先提取到节点IP，与附加的SOCKET的源IP比较，如果不同，则结束；否则，提取节点MAC、防火墙的序列号，以此为条件检索防火墙标识，如果不存在，则结束；否则，保存防火墙标识到节点标识中，转步骤S507。\n[0114] 本发明进一步地，在检索到防火墙标识后，转步骤S507前，测试防火墙系统M1是否需要PKI认证，如果为真，则启动基于X509的节点认证流程，只有节点认证通过后，才转步骤S507。\n[0115] 步骤S504：测试待注册节点的出口防火墙是否合法；提取防火墙的MAC、防火墙的序列号，以此为条件，检索防火墙标识，如果不存在，则结束；否则，转步骤S505。\n[0116] 本发明进一步地，在检索到防火墙标识后，转步骤S505前，测试防火墙系统下的节点是否需要PKI认证，如果为真，则启动基于X509的节点认证流程，只有节点认证通过后，才转步骤S505。\n[0117] 步骤S505：测试节点是否是首次注册；以提取到的节点IP、节点MAC以及步骤S504检索到的防火墙标识为条件，检索节点标识，如果不存在，即是首次注册，则转步骤S506；否则，转步骤S507。\n[0118] 步骤S506：增加新节点，并将其分配到相应的防火墙下；以提取到的节点IP、节点MAC地址为基础，构建新的节点信息，并插入节点信息表，并获得相应节点标识；将节点标识、步骤S504检索出的防火墙标识插入防火墙节点关系表中。\n[0119] 步骤S507：更新资产状态；首先将节点标识所对应的节点状态修改为“活动”态；\n然后，解析报文中的硬件信息、文件信息、服务信息、操作员信息和邻居信息，并测试硬件、文件、服务、操作员和邻居是否发生了变更。如果有变更，针对新增的，将新增条目插入相应的表中，并标注为“新”；针对修改的，将旧值保存到备注中，并用新值取代旧值，标注为“变更”；针对本次未发现的，将其标注为“删除”。\n[0120] 针对Windows，文件信息是已安装的程序、补丁和注册表中的部分项(如启动项的MD5值、BHO项的MD5值)；针对非Windows，文件信息是核心系统文件、系统目录以及用户预设的应用程序、应用目录的MD5值；同时，针对非Windows，服务由所有Listen态的端口、协议以及进程名组成。\n[0121] 本发明所述防火墙系统M1可将报文重定向到所述安全服务平台M2，由安全服务平台M2对重定向报文进行防攻击、防病毒和内容过滤处理后，并最终中转此类报文。安全服务平台M2针对重定向报文的处理流程图如图6所示，包括：\n[0122] 步骤S601：测试ACL是否合法；利用iptables工具，仅处理合法防火墙系统提交的重定向报文；如果重定向报文违反ACL规则，则直接丢弃；否则，转步骤S602。\n[0123] 步骤S602：依据报文服务类型，提交到应用代理模块22；提取报文第四层协议的端口号，即可确定应用代理；并将报文提交到应用代理模块22的接收报文缓存中，由应用代理模块22进行后续处理。\n[0124] 步骤S603：测试是否通过IDS检测；应用代理模块22从报文接收队列取得报文后，首先提交到入侵检测模块27，并验证入侵检测模块27返回的处理结果；如果结果正常，则转步骤S604；否则，丢弃该报文；缺省地，入侵检测模块27会立即返回结果正常；入侵检测模块27在检测到入侵痕迹后，产生安全事件，提交到事件管理模块24处理；针对非常肯定的攻击事件，入侵检测模块27会自动生成指令，并调用iptables指令实施阻隔。\n[0125] 步骤S604：测试是否通过AV检测；应用代理模块22再次将报文提交到防病毒模块26，并验证防病毒模块26的处理结果；如果结果正常，则转步骤S605；否则，丢弃该报文；同入侵检测模块27不同的是，防病毒模块26会立即对报文进行处理，并在处理完毕后返回结果。\n[0126] 步骤S605：测试是否通过内容过滤检测；应用代理模块22将报文提交到内容过滤模块28，并测试内容过滤结果；如果为真，转步骤S606；否则，丢弃该报文。\n[0127] 内容过滤采用集成了TCAM(Ternary Content Addressable Memory)的芯片保存内容规则；也可以直接利用主板上内存保存内容规则，内容规则包括URL规则、关键字规则。利用AC-BM(Aho、Corasick、Bloom Filter)算法提供的快速字符串模式匹配，即可实现内容过滤检测。\n[0128] 步骤S606：应用代理模块22中转报文；针对请求报文，首先建立客户端上下文，并对报文内容进行协议级附加检测，最后重建请求报文，并将请求报文提交到目标服务端；针对响应报文，首先检索与此相对应的客户端上下文是否存在，如果不存在，则直接丢弃；否则，对报文内容进行协议级附加检查；然后重建响应报文，最后将新建的响应报文提交到客户端，并删除客户端上下文。\n[0129] 本实施中，只有SMTP、POP3应用代理是完整的应用代理；其它应用协议代理，均采用简单透传。\n[0130] 本发明所述安全服务平台M2的事件管理模块24集中处理所述防火墙系统M1、资产管理模块21、终端安全模块30、漏洞扫描模块31以及应用代理模块22、入侵检测模块\n27、防病毒模块26和内容过滤模块28提交的各类安全事件，并自动响应。其内部处理流程如下：\n[0131] 步骤S701：事件预处理；事件管理模块的事件池接收防火墙系统M1以及安全服务平台其它模块提交的事件，并通过预设的正则表达式，提取事件的特征属性，构建格式统一的事件，包括主机、探测器、事件标识、时间、源IP、源端口、目标URI、目标端口、协议、事件数据、事件扩展数据。\n[0132] 预处理过程后，直接丢弃信息不完整的事件；同时也丢弃探测器和事件标识属性不可识别的事件；安全服务平台M2统一管理所有合法的探测器和事件标识。\n[0133] 步骤S702：事件漏洞关联处理；事件管理模块24为每类可识别的事件都分配一个唯一的事件标识，并且要求所有的能产生事件的其它模块以及防火墙系统M1在上报的事件中标明事件标识；漏洞扫描模块31和终端安全模块30在检测到漏洞后，自动向资产事件关联表中插入一记录(即漏洞将引发的事件)，以表示该资产上存在某个漏洞。因此，事件管理模块24对预处理后的事件，首先依据目标URI、或源IP查找资产表，测试该资产是否存在。本实施中，只有目标URI找不到相应的资产时，才利用源IP来查找资产；所有资产都具有IP地址和域名。如果不存在，则转步骤S706；否则，以检索到的资产标识，和当前待处理事件的事件标识为条件，检索资产事件关联表，测试是否存在此类事件，如果不存在，则转步骤S706；否则，事件的可信度提高到5级(事件的最高可信度为10)，转步骤S703。\n[0134] 步骤S703：事件资产关联处理；事件资产分析主要用于减少虚警，经过步骤S702后，事件与资产上的漏洞关联成功，但事件是否能真正引发漏洞，还是与网络环境相关的。\n例如，在防火墙内网中的漏洞扫描工具扫描到某资产上存在依赖445端口的漏洞，入侵检测模块27也上报了一个针对该资产的445端口攻击的事件，但防火墙系统M1关闭了445端口，则该事件不能真正引发漏洞。其内部处理流程为：\n[0135] 步骤1：以步骤S702中检索到的资产标识为条件，从节点活动服务表(该表由图\n3的步骤S306以及图5的步骤S507自动维护)检索活动端口、协议信息，组成关系对<端口、协议>，并由此构成集合C；测试待处理事件中的关系对<端口，协议>是否包含在集合C中，如果为假，则跳转到步骤S704；否则，转到步骤2；\n[0136] 步骤2：依据当前事件的事件标识为条件，检索漏洞信息库，查询到所有能产生此事件的漏洞条目信息，包括操作系统名称、版本、应用名称、版本、端口、协议，构成集合A；\n并测试待处理事件中的关系对<端口，协议>是否包含在集合A中的<端口、协议>子集合中，如果为假，则跳转到步骤S704；否则，转到步骤3：\n[0137] 步骤3：以步骤S702中检索到的资产标识，查询节点资产关系表(该表在图3的步骤S306以及图5的步骤S507中自动维护，也可以手工维护)，构成集合B；\n[0138] 从集合B中取得关系对<操作系统，版本>，测试是否包含在集合A中的<操作系统、版本>子集合中，如果为假，则跳转到步骤S704；否则，从集合B中取得关系对<应用名称，版本>，测试是否包含在集合A中的<应用名称、版本>子集合中，如果为假，则跳转到步骤S704；否则，当前事件的可信度提高到10级。\n[0139] 步骤S704：事件链关联处理；单个事件处理完毕后，将进行事件流关联处理，以通过事件流间的关联分析，挖掘到新事件。具体包括：\n[0140] 步骤1：预定义关联规则；关联规则源自经验，也可以直接源自第三方的关联规则的改编；规则属性包括：新安全事件标识、新安全事件描述、源IP、源端口、目标IP、目标端口、探测器、待关联事件标识等；单个规则将通过“且”关系(“and”)和/或“或”关系(“or”)组成树，所有树组成森林。\n[0141] 步骤2：将当前待关联事件依次同当前活动的森林中每棵树上的当前活动规则进行比较，如果都不匹配，则转步骤3；否则，产生新的安全事件，其事件标识与内容来自规则所对应的新安全事件标识、新安全事件描述；可信度为3；其它属性从当前待关联事件中拷贝；将新的安全事件插入到事件池中；然后结束。本步骤的比较操作包括：首先比较待关联事件的探测器、事件标识号是否与规则所要求的探测器、待关联事件标识相等；其次再依据规则指示，依次将待关联事件的源IP、源端口、目标IP、目标端口同父节点链上其它节点保存在数据域上的相应数据比较；只有完全匹配才返回比较成功。\n[0142] 产生新的安全事件后，还需要检测当前匹配规则是否是叶子规则；如果为真，则将当前树从活动森林中删除；否则，保存当前待关联事件的源IP、源端口、目标IP、目标端口到当前活动规则的数据域中，并修改当前树的活动规则指针；特别地，活动森林中的每棵树都有存活时间，如果在存活时间内没有等到下一个匹配事件，则该树自动清除；一棵树上可能活动规则不只有一个，如一个父规则下有两个“or”关系的子规则，则在父规则比较完后，其活动规则变为2个。\n[0143] 步骤3：将当前待关联事件依次同预设森林中每棵树的根节点规则进行比较，即测试待关联事件的探测器、事件标识号是否与根规则所要求的探测器、待关联事件标识相匹配，如果为真，则将该树拷贝到活动森林中，并将当前待关联事件的源IP、源端口、目标IP、目标端口拷贝到当前活动规则的数据域，并修改此树的活动规则为根规则的所有直接儿子规则，结束处理；否则，所有根规则均不匹配，则该事件不属于任何已知的事件链。\n[0144] 步骤S705：响应处理；安全服务平台M2调用预设的策略，对事件进行响应，并结束。\n[0145] 用户通过策略管理模块23，为需要关注的事件(由“事件标识”标识)定义响应策略；如安全服务平台管理员可以直接为“DDOS”类事件、“URL违规”事件定义iptables指令，指导本地的报文检测模块20阻隔事件源IP端的网络访问权限。\n[0146] 针对每个可信度为10的事件，查找事件响应策略表，提取到其响应策略后，依据策略指示进行处理。缺省的，所有事件的响应策略是指示资产管理模块21直接告警。\n[0147] 响应策略属性包括动作类型、操作指令、本地标志、正则表达式、有效期、有效标识等。其中动作类型包括：执行外部指令、直接告警和通知管理员；操作指令是具体的指令，可为iptables指令、shell脚本、以及防火墙配置指令；本地标志提示是否由安全服务平台M2执行；正则表达式用于提取当前事件的指定内容，操作指令中的占位符需要利用正则表达式提取的内容来填充。如果本地标志为假，则需要查询该防火墙系统M1是否允许安全服务平台M2控制，只有允许控制时，才会将防火墙配置指令下发到防火墙系统M1；否则，会自动变更为通知管理员方式，将安全事件以短信、和/或QQ、和/或MSN、和/或EMAIL方式，通知防火墙系统M1的维护员。\n[0148] 步骤S706；事件统计处理；将事件关联到防火墙系统M1上，并进行频率、累计总量处理。其内部包括：\n[0149] 步骤1：依据事件的服务器属性，查找保存所有防火墙系统、以及防火墙系统内网资产信息的节点表，找到该服务器所对应的目标防火墙系统，如果该服务器未登记，则将目标防火墙直接指派为安全服务平台侧的用于统计目的的虚防火墙系统；\n[0150] 步骤2：该防火墙系统上与当前事件的事件标识相等的统计项的值增1，并更新发生频率；如果该事件标识不存在，则新增一个事件标识项；\n[0151] 步骤3：测试该统计项是否需要告警，如果为假，则结束，否则比较累计量是否达到或超过告警阈值，如果为假，转步骤4；否则创建新事件，并提交到事件池。该事件描述为：主机(“防火墙系统的MAC”)、探测器(“事件管理模块”)、事件标识(“累计量告警”)、时间(“当前值”)、源IP(“防火墙系统IP”)、源端口(“0”)、目标URI(“防火墙系统IP”)、目标端口(“0”)、协议(“0”)、事件数据(“事件标识＝统计值”)、扩展事件数据(“事件标识＝阈值”)；并将累计量归零；\n[0152] 步骤4：比较频率值是否达到或超过告警阈值，如果为假，则结束；否则，创建新事件，并提交的事件池。该事件描述为：主机(“防火墙系统的MAC”)、探测器(“事件管理模块”)、事件标识(“频率告警”)、时间(“当前值”)、源IP(“防火墙系统IP”)、源端口(“0”)、目标URI(“防火墙系统IP”)、目标端口(“0”)、协议(“0”)、事件数据(“事件标识＝频率值”)、扩展事件数据(“事件标识＝阈值”)；并将频率值归零；结束。\n[0153] 本发明所述防火墙系统M1，可通过所述安全服务平台M2进行集中管理，包括针对防火墙系统本身的管控以及防火墙系统内网设备资产的管控。本发明所述防火墙系统的管理方法，如图8所示。在如图8所示的防火墙系统的管理方法中，包括如下步骤：\n[0154] 注册步骤S801：防火墙系统M1启动后，自动向预设的安全服务平台M2注册，包括注册使用设备身份信息、硬件信息和软件信息。安全服务平台M2首先测试设备身份信息是否合法，然后再处理其硬件信息和软件信息；本发明中，为了进一步验证防火墙系统M1与安全服务平台间M2的身份信息，安全服务平台M2在收到防火墙系统M1的注册请求后，处理该请求前，可以发起X509流程的节点身份认证流程，只有身份验证通过后，才处理注册请求。\n[0155] 其中，身份信息至少包括防火墙系统宿主机的外口MAC地址以及防火墙系统的序列号；硬件信息，包括CPU、内存、本地磁盘、主板、插接卡信息；软件信息，包括文件信息、服务信息、操作员信息和网络接口信息(包括MAC地址和IP地址)。\n[0156] 运行日志管理步骤S802：安全服务平台M2接收并处理合法防火墙系统M1的定时的心跳信息和日志信息，监控防火墙系统的运行状况；防火墙系统成功注册到安全服务平台后，主动上报心跳信息和日志信息；安全服务平台M2依据心跳信息，检测防火墙系统M1的设备级整体运行状况；依据日志信息，检测防火墙系统M1的软件级运行状况；自动知会异常状况，并提供安全运营报告。\n[0157] 其中，心跳信息，包括防火墙系统M1的运行状况信息，内含磁盘容量及利用率、CPU负载、内存负载、活动进程名称及进程号、网络接口MAC地址及IP地址、静态规则数、动态规则数、活动会话数和网络接口报文统计数；日志信息，包括防火墙系统的报文检测日志、规则修改日志、管理员登录日志、访问控制违规信息和应用协议代理日志；所述应用协议代理日志，包括HTTP日志、FTP日志、POP3日志、SMTP日志、BT协议日志和及时通信日志；所述日志信息遵循统一的日志格式，日志信息的属性至少包括源IP、源端口、目标URI、目标端口、时间和操作结果属性。\n[0158] 重定向报文管理步骤S803：安全服务平台M2接收合法防火墙系统M1重定向的报文，并对报文依次进行入侵检测处理、防病毒处理和内容检测处理后，通过应用代理透明转发；防火墙系统M1启动重定向报文管理后，将预设应用协议报文重定向到安全服务平台M2，委托安全服务平台M2进行入侵检测、防病毒以及内容过滤；安全服务平台M2对合法防火墙系统M1重定向的报文经入侵检测、防病毒和内容过滤处理后，通过应用层代理透明中转，并收集安全事件，自动处理并响应。\n[0159] 其中，安全事件处理，包括事件与漏洞关联，即事件与事件所对应资产上已发现的漏洞进行关联，提高事件的可信度；事件与资产关联，即事件所涉及漏洞的触发条件与资产的实际状况关联，以进一步减少虚警；事件链关联，即事件与预设的事件链规则匹配，以挖掘出新事件；安全事件响应，包括针对确定的安全事件，基于预设的响应策略指示进行自动处理，包括示警、执行Shell脚本、执行防火墙指令等。\n[0160] 内网管理步骤S804：安全服务平台M2通过合法防火墙系统主动创建的VPN隧道，对该防火墙系统M1的内网进行安全管控；防火墙系统M1进一步地委托安全服务平台M2进行内网安全管理，在主动建立到安全服务平台M2的VPN隧道后，通过此隧道，部署在防火墙系统内网的终端安全模块30和漏洞扫描模块31主动上报安全事件；部署在安全服务平台侧的漏洞扫描模块31可远程扫描内网漏洞；安全服务平台M2对内网安全事件进行远程响应，指示防火墙系统M1、和/或终端安全模块30、和/或漏洞扫描模块31安全联动，包括执行配置指令、执行shell脚本。\n[0161] 其中，内网安全管控，包括资产扫描，即IP扫描、端口扫描和链路扫描，以自动发现资产，进而发现违规；终端安全管控，即采集和上报硬件和软件信息、维护软件白名单、清理终端环境、和管理补丁与服务，并接收远程控制；弱点扫描，即漏洞扫描和操作系统被动指纹扫描，以及时发现结构性漏洞。\n[0162] 在对防火墙系统M1进行安全管控时，与防火墙系统绑定的操作员，仅能管控该防火墙系统本身以及其内网资产，且仅能管理与该防火墙系统及其内网资产相关的安全运营报表。\n[0163] 综上所述仅为本发明较佳的实施例，并非用来限定本发明的实施范围。即凡依本发明申请专利范围的内容所作的等效变化及修饰，皆应属于本发明的技术范畴。