防火墙日志事件审计方法及教学实验系统

1.一种防火墙日志事件审计方法，其特征在于，在流量可控的局域网环境中，部署典型的开源防火墙系统iptables和FWTK，通过配置iptables，对其记录的用户分组的访问成功及其失败的流量进行日志记录，通过在iptables普通系统日志的基础上增加相关用户登录ID作为前缀，并增加对于用户访问失败的数据流向作为额外的链，此链涉及到的日志记录部分前缀为失败字符加上用户ID，在系统进行日志记录的时候，系统日志部分就留下了带有设定用户ID及其针对普通包过滤失败访问的带有失败标识的日志项目；
FWTK日志项目自动生成后，由每个iptables生成的普通包过滤型日志里面抽取相关的本分组的访问失败及其成功日志，进行标注后，完成文件转储，通过扫描系统日志，结合用户ID和是否有失败标识，得到设定用户的成功或失败的日志数据，写入带有用户ID的用户普通包过滤日志文件中，存入设置好的一个设定文件夹；
FWTK分组日志也进行日志文件转储，通过分析系统日志，根据用户IP，结合用户ID及应用代理型日志特有的标识符，生成设定用户分组日志，并转储到带有分组用户ID的应用代理型日志文件中；
最后利用分类输出模块将该分组涉及到的普通包过滤iptables及FWTK日志文件进行展开，依类别和时间进行列表输出，在输出的实验报告部分，显示了用户设置好的分组普通包过滤或者应用代理规则及其对应的日志，通过对比，观察分组普通包过滤或者应用代理规则及其验证结果在理论上和实际上的符合程度。
2.一种基于权利要求1所述方法实现的防火墙日志事件审计教学实验系统，包括：普通包过滤日志生成解析模块、应用代理型日志生成解析模块和日志分类输出模块，其特征在于，用户登录的时候，即由系统和普通包过滤日志生成解析模块启动了普通包过滤的日志记录，而应用代理型日志已经随应用代理程序启动，从而使系统的日志部分得到了初始化；用户进行网络验证性的实验过程中，日志部分就进行了记录，生成了系统的原始日志文件，存放在固定的文件夹中，当用户选择普通包过滤日志查看实验的时候，则启动了普通包过滤日志生成解析模块，针对系统日志中的普通包过滤部分进行解析生成了带有用户ID的普通包过滤日志文件，存放在设定的目录下；而当用户选择应用代理型日志查看实验的时候，则启动了应用代理型日志生成解析模块，针对系统日志中的应用代理型日志部分进行解析生成了带有分组用户ID的应用代理日志文件，存放在设定的目录下；日志分类输出模块读取用户要求的日志类型的日志文件，分页显示出来。
3.根据权利要求2所述的防火墙日志事件审计教学实验系统，其特征是，所述的普通包过滤日志生成解析模块，控制普通包过滤相关日志的生成动作，包括用户登录系统时的普通包过滤日志记录部分启动，分组用户失败及其成功日志部分分类记录，在用户设置好普通包过滤规则、进行了验证规则的网络访问操作以后，首先在系统日志上加入分组用户ID及其在失败访问日志中加入失败标识，然后分析归纳出分组用户日志，并转储到带有分组用户ID的普通包过滤文件中，等待日志分类输出模块的进一步处理。
4.根据权利要求2所述的防火墙日志事件审计教学实验系统，其特征是，所述的应用代理型日志生成解析模块，控制应用代理型日志生成动作，包括分析系统日志，根据用户IP，结合用户ID及应用代理型日志特有的标识符，生成设定用户分组日志，并转储到带有分组用户ID的应用代理型日志文件中，并对用户身份认证成败及其接下来的相关网络访问操作进行应用代理型日志的分析。
5.根据权利要求2所述的防火墙日志事件审计教学实验系统，其特征是，所述的日志分类输出模块，对于普通包过滤日志及应用代理型日志两种类型的日志，依据解析生成的分类日志文件，按表格方式输出，支持日志的分页动态显示。
6.根据权利要求5所述的防火墙日志事件审计教学实验系统，其特征是，所述的普通包过滤日志及应用代理型日志，由防火墙服务器上的相关分类日志文件进行存储，用于记录防火墙日志事件审计到的多用户分组日志事件。

防火墙日志事件审计方法及教学实验系统\n技术领域\n[0001] 本发明涉及一种网络安全技术领域，具体是一种防火墙日志事件审计方法及教学实验系统，即用于大规模多用户信息安全教学实验系统的实现多用户防火墙日志事件审计的方法及教学实验系统。\n背景技术\n[0002] 防火墙(Firewall)是一个或一组组件构成的系统，它在网络连接的通道上执行访问控制策略。可在链路层、网络层和应用层上实现，其功能的本质特征是隔离内外网络和对进出信息流实施访问控制，保护网络资源(含主机、子网络和站点等)\n[0003] 防火墙系统(Firewall System，简称FWS)就是执行防火墙安全策略的系统。防火墙系统通常部署在内网的最外端，也就是与外网直接相连的位置，因此，防火墙作为保护内网，防止外网攻击的第一道防护，有着非常重要的作用。包括：限制他人进入内部网络，内容过滤，阻断网络攻击，访问控制，对网络存取和访问进行记录、监控，设定网络之间的加密传输。\n[0004] 防火墙的日志审计是防火墙系统的重要组成部分。它记录通过防火墙系统的所有连接及网络活动。管理员可以监测时间戳、行为、源地址、目的地址、错误、服务等等。防火墙日志可以作为后期安全审计的重要材料。但是目前，用于大规模多用户教学实验系统日志处理缺乏有效的手段进行多用户分组日志的归类、格式化输出，及其实验报告整合。在支持大规模多用户教学实验系统发展迅速的今天，多用户日志分类输出，实验报告整合成了系统发展的瓶颈，迫切需要得到实现。\n[0005] 根据调查，目前市场上商业防火墙日志产品的主要功能是在开放、复杂的网络系统中运用各种手段，分析得出本机或其监管网段的日志。该类产品对本机或其监管网段日志处理是充分的，但是缺乏对于支持大规模多用户分组日志的分类处理，没有做到实验报告整合。由于没有涉及教学培训目的的，诸如实验报告整合，用户分组日志输出，分类日志输出。在支持大规模多用户教学实验系统方面有待开发。\n[0006] 以教学为目的的防火墙日志事件审计教学实验旨在为多用户提供一个查看相关分组日志，校验分组规则实施效果的多用户实验环境。在此实验系统中，用户通过选择日志类型，对比防火墙教学实验系统的已有规则来了解防火墙规则及其效果。商业防火墙产品由于没有完全针对教学的目的开发，故不适合开展教学实验。开发出适合教学的大规模多用户日志事件审计实验系统是一个刻不容缓的任务。\n[0007] 经过进一步的检索，尚未发现与本发明主题相同或者类似的文献报道。\n发明内容\n[0008] 本发明的目的在于克服现有商业防火墙产品缺乏日志分组归类，实验报告整合等局限性，提出一种防火墙日志事件审计方法及教学实验系统，使其很好地解决网络安全问题日益严重、网络安全技术进一步发展与教学实践环节缺乏相应教学实验之间的矛盾，让学生加深对防火墙日志的理解，规则设置的效果，并适用于多用户的应用环境。\n[0009] 本发明是通过以下技术方案实现：本发明在流量可控的局域网环境中，真实再现多用户防火墙日志生成的全过程，由开源的防火墙系统监控整个网段的网络流量，通过比对日志类型及其相关的规则设置，加深用户对防火墙规则设置的认识和理解。\n[0010] 本发明所述的防火墙日志事件审计方法，具体的实现过程是这样的：在流量可控的局域网环境中，部署典型的开源防火墙系统iptables和FWTK，通过配置iptables，对其记录的用户分组的访问成功及其失败的流量进行日志记录；而FWTK日志项目自动生成，在多用户日志初始化方面暂时不用特殊配置，然后，由每个iptables生成的普通包过滤型日志里面抽取相关的本分组的失败及其成功日志，进行标注后，完成文件转储。FWTK分组日志也进行日志文件转储，最后利用分类输出模块将该分组涉及到的普通包过滤(iptables)及其FWTK(应用代理)日志文件进行展开，依类别和时间进行列表输出。在分类输出模块的实验报告部分，显示了用户设置好的分组普通包过滤或者应用代理规则及其对应的日志，通过对比，可以观察分组规则及其对应日志即验证结果在理论上和实践上的符合程度。的符合程度。也就是说，此实验报告重点在于用户可根据理论得出的设定规则的预期日志结果同实际日志结果进行对比，通过多次变换规则或者改变多重规则的先后顺序，并比对得到的日志，加深关于防火墙规则设置的认识。\n[0011] 所述的iptables，被配置为对设定的用户分组流量进行日志检测，并分离出成功及其失败流量。在这个前提下，生成相关分组用户的详细日志记录。\n[0012] 本发明防火墙日志事件审计实验通过对多用户的日志进行分组和分类地演示，让用户了解各种防火墙日志，帮助用户全面地理解防火墙规则设置的结果。\n[0013] 本发明基于上述方法实现的防火墙日志事件审计教学实验系统，包括：普通包过滤日志生成解析模块，应用代理型日志生成解析模块，日志分类输出模块。用户登录的时候，即由系统和普通包过滤日志生成解析模块启动了普通包过滤的日志记录，而应用代理日志已经随应用代理程序启动。这样系统的日志部分得到了初始化。用户进行网络验证性的实验过程中，日志部分就进行了记录，生成了系统的原始日志文件，存放在固定的文件夹中。当用户选择查看日志的时候，包过滤日志部分则启动了普通包过滤日志生成解析模块，针对系统日志中的普通包过滤部分进行解析生成了带有用户ID的普通包过滤日志文件，存放在设定的目录下。而应用代理型日志部分启动了应用代理型日志生成解析模块，针对系统日志中的应用代理日志部分进行解析生成了带有用户ID的应用代理日志文件，存放在设定的目录下。日志分类输出模块读取用户要求的日志类型的日志文件，分页显示出来。\n[0014] 所述的普通包过滤日志生成解析模块，控制普通包过滤相关日志的生成动作，包括用户登录系统时的普通包过滤用户分组日志记录启动，分组用户失败及其成功日志部分分类记录，在用户设置好普通包过滤规则，进行了验证规则的网络访问操作以后，首先在系统日志上加入分组用户标识及其在失败访问日志中加入失败标识，然后分析归纳出分组用户日志，并转储到带有分组用户ID的普通包过滤日志文件中，等待日志分类输出模块的进一步处理。\n[0015] 所述的应用代理型日志生成解析模块，控制应用代理型日志生成动作，包括分析系统日志，根据用户IP，结合用户ID，及其应用代理型日志特有的标识符，生成设定用户分组日志，并转储到带有分组用户ID的应用代理型日志文件中，并对用户身份认证成败和相关网络访问操作进行详细的日志分析。\n[0016] 所述的日志分类输出模块，对于普通包过滤及其应用代理两种类型的日志，依据解析生成的分类日志文件，按表格方式输出，支持大量日志的分页动态显示。\n[0017] 本发明的效果是显著的，使用这种方法设计的多用户防火墙日志事件审计实验系统融合了现在流行的日志生成分类技术：如用户分组识别，日志数据分类等等，向用户充分展示了多用户防火墙日志生成的结果，帮助用户正确地认识自己设置的规则的效果，并引导用户做出规则设置的优化处理。同时，本实验系统支持多用户同时操作，使用典型的开源防火墙系统而无需购买价格昂贵的商业防火墙产品，成本低但效果显著，具有良好的推广应用前景。\n附图说明\n[0018] 图1是基于本发明的教学实验系统的结构图。\n[0019] 图2是基于本发明的教学实验系统的模块框图。\n[0020] 图3是基于本发明的教学实验系统的工作流程图。\n具体实施方式\n[0021] 本发明方法的内容提供以下实施实例。基于本发明方法实现的防火墙日志事件审计教学实验系统采用浏览器/服务端(B/S)结构，利用JSP编程技术，融合了当前流行的日志生成技术，支持多用户同时进行实验，具体实施内容如下：\n[0022] 1.用户登录实验系统页面。\n[0023] 2.用户选择实验类型，即选择普通包过滤实验还是应用代理型实验。\n[0024] 4.用户设置防火墙实验系统的普通包过滤规则或应用代理规则。\n[0025] 5.用户进行相关的网络访问操作，验证规则有效性。\n[0026] 6.用户选择查看相关分类规则对应的日志。\n[0027] 7.可以发现，日志事件审计部分找到了设定用户分组的普通包过滤日志和应用代理型日志，成功解析出了用户的失败及其成功的网络访问行为。\n[0028] 如图2所示，本发明的防火墙日志事件审计教学实验系统包括如下模块：普通包过滤日志生成解析模块，应用代理型日志生成解析模块，日志分类输出模块。其中各日志生成解析模块都参照分组日志部分进行了设定处理，仅输出设定分组日志，支持了多用户。\n[0029] 所述的普通包过滤日志生成解析模块，控制普通包过滤相关日志的生成动作，在用户登录实验系统即启动分组用户成功及其失败访问日志记录部分。用户设置好相关规则，进行了验证规则的网络访问操作的同时，根据日志记录过程中加入普通日志中的用户ID及其访问失败时加入的失败标识，生成分组用户普通包过滤日志文件存入系统预先设置好的某个文件夹。\n[0030] 所述的应用代理型日志生成解析模块，其日志记录部分在用户登录系统前已经启动，用户登录以后针对设定分组用户行为进行跟踪日志记录。在用户设置好规则并进行验证规则的网络访问以后，生成了系统日志。这时，通过应用代理型日志生成解析模块分析用户IP，结合用户ID和应用代理日志的特殊日志符号(应用代理日志特有的http-gw，tn-gw，ftp-gw标识符)，生成带有分组用户ID的应用代理型日志文件。并对用户身份认证成败，以及接下来通过代理的网络访问操作结果进行了分析处理。\n[0031] 所述的日志分类输出模块，对于两种类型的日志文件分类分页按表格输出，支持大量日志的分页显示。以上模块支持多用户同时进行实验，不会互相干扰。\n[0032] 所述的普通包过滤日志及其应用代理日志，由防火墙服务器上的相关分类日志文件进行存储，用于记录防火墙日志事件审计到的多用户分组日志事件。\n[0033] 如图3所示，本发明系统工作流程。用户登录过程中即启动了关于设定用户的普通包过滤的日志记录部分，且应用网关型防火墙日志是自动记录的。故用户在进行实验的整个过程中都处在设定日志记录下。用户登录，则两种日志记录都已经启动，即日志部分初始化。然后，用户选择实验类型，通过不同的页面选择，启动不同的日志生成解析模块。对于普通包过滤日志生成解析模块，在iptables普通系统日志的基础上增加了相关用户登录ID作为前缀。并且由于事先增加了对于用户访问失败的数据流向作为额外的链，此链涉及到的日志记录部分前缀为失败字符加上用户ID。在系统进行日志记录的时候，系统日志部分就留下了带有设定用户ID及其针对普通包过滤失败访问的带有失败标识的日志项目。在普通包过滤日志生成的时候，首先扫描系统日志，结合用户ID和是否有失败标识，得到设定用户的成功或失败的日志数据，写入带有用户ID的用户普通包过滤日志文件中，存入设置好的一个设定文件夹。应用网关型防火墙由于有特殊的日志格式，其日志生成是FWTK自动进行的，故应用网关型日志生成解析模块可利用其特有的日志标识符，在解析识别过程中找到相关标识，将ip地址作为设定用户识别符，分析出设定用户的应用网关型日志，存入带有用户ID的用户应用代理型日志文件中。经过以上各日志生成解析模块处理以后，页面转向查看相关日志部分，由日志分类输出模块结合用户请求类型日志文件及用户ID，读取文件，交由web页面分页显示。