基于防火墙日志的网络隔离安全审计系统设计与实现_赵平
计算机网络安全中防火墙技术的研究
计算机网络安全中防火墙技术的研究随着计算机网络的日益普及与发展,计算机网络安全问题也愈发凸显。
在计算机网络中,防火墙技术被广泛应用于保护网络安全,防止未经授权的访问和数据泄露。
防火墙技术的研究与应用对于确保网络安全至关重要。
本文将探讨计算机网络安全中防火墙技术的研究现状和发展趋势。
一、防火墙技术的基本原理防火墙是一种网络安全设备,它位于计算机网络和外部网络之间,用于限制外部网络对内部网络的访问,以保护内部网络的安全。
防火墙的基本原理是根据预设的安全策略,对网络流量进行过滤和控制,以确保网络中的数据传输符合安全要求。
在实际应用中,防火墙通常由硬件设备和软件系统组成,通过配置规则集来筛选网络流量,并且可以实现网络地址转换(NAT)、端口转发等功能。
根据其功能和部署位置的不同,防火墙技术可以分为网络层防火墙、应用层防火墙和代理服务器。
网络层防火墙主要基于网络地址和端口信息进行过滤,常见的有Packet Filter、Stateful Inspection等技术;应用层防火墙则能够对应用层的数据进行深度检测和分析,常见的有Proxy、Application Layer Gateway等技术;代理服务器是一种特殊的网关设备,通过与客户端和服务器进行隔离,实现对通信数据的控制和过滤。
根据防火墙的工作方式,还可以将其分类为基于协议的防火墙、基于状态的防火墙、基于内容的防火墙等。
这些不同类型的防火墙技术在实际应用中各有优缺点,可以根据具体的网络环境和需求进行选择和配置。
三、防火墙技术的研究现状随着互联网的发展和网络攻击手段的不断升级,防火墙技术的研究也在不断深入和发展。
当前,防火墙技术的研究主要包括以下几个方面:1.入侵检测与防御技术:入侵检测系统(IDS)和入侵防御系统(IPS)是防火墙的重要补充,能够及时发现和防范网络攻击。
随着深度学习和人工智能技术的发展,基于行为分析和智能识别的入侵检测技术受到越来越多的关注。
基于JumpServer的运维安全审计系统研究与实现
基于JumpServer的运维安全审计系统研究与实现作者:***来源:《现代信息科技》2023年第21期收稿日期:2023-05-05基金项目:内蒙古自治区高等学院科学技术研究项目(NJZY22247);内蒙古自治区哲学社会科学专项项目(ZSZX21090);河套学院教学研究与改革项目(HTXYJY2102);河套学院新冠肺炎重点研发项目(HYZX202089)DOI:10.19850/ki.2096-4706.2023.21.018摘要:随着IT技术的不断进步,信息系统在各行各业的应用范围日趋广泛,但网络安全风险也变得愈发严峻。
目前,网络安全的防护重点大多集中在外部入侵,一定程度上忽略了内部风险,但运维人员的违规操作会从内部破坏系统,因此需要针对运维操作进行安全审计,确保系统的正常运行。
基于此,将JumpServer作为核心技术,设计一个运维安全审计系统,实现了登录审计、操作审计、文件传输审计等多种功能,能够全面地监控系统的运维行为,有效提高了IT系统的安全性和可靠性,具有一定的应用推广价值。
关键词:网络安全;运维;安全审计;JumpServer中图分类号:TP393 文献标识码:A 文章编号:2096-4706(2023)21-0076-04Research and Implementation of Operation and Maintenance Security Audit System Based on JumpServerCAO Yuanqing(School of Mathematics and Computer Science, Hetao College, Bayannur 015000,China)Abstract: With the continuous progress of IT technology, the application range of information systems in various industries is becoming increasingly widespread, but network security risks have also become increasingly severe. At present, the focus of network security protection is mostly on external intrusion, which to some extent ignores internal risks. However, the illegal operations of operation and maintenance personnel will destroy the system from the inside. Therefore, it is necessary to conduct security audits for operation and maintenance operations to ensure the normal operation of the system. Based on this, using JumpServer as the core technology, an operation and maintenance security audit system is designed, which realizes various functions such as login audit, operation audit, file transfer audit, etc., it can comprehensively monitor the operation and maintenance behavior of the system, and effectively improve the security and reliability of the IT system, it has certain application and promotion value.Keywords: network security; operation and maintenance; security audit; JumpServer0 引言IT系統在企业和组织的日常运营中发挥着至关重要的作用,它不仅提高了企业和组织的生产效率和竞争力,还带来了更高的质量、安全和可靠性[1]。
会计师事务所内部的防火墙隔离机制
会计师事务所内部的防火墙隔离机制随着互联网的快速发展,网络安全问题越来越受到人们的关注。
作为一家专业的会计师事务所,确保客户信息的安全和保密是至关重要的。
在保障信息安全方面,防火墙隔离机制起着至关重要的作用。
本文将重点讨论会计师事务所内部的防火墙隔离机制,包括其作用、设计原则和实施方法。
一、防火墙隔离机制的作用1.1 保护内部网络安全会计师事务所内部存在大量的敏感客户信息和财务数据,如若泄露或被非法访问将会给客户和公司带来严重的损失。
防火墙隔离机制可以有效阻止未经授权的访问,保护内部网络安全。
1.2 分隔内部网络会计师事务所往往需要建立多个内部网络,用于区分员工和客户的工作环境,防火墙隔离机制可以帮助实现网络之间的安全分隔,确保不同网络之间的信息不会相互干扰或泄露。
1.3 监控和管理网络流量通过防火墙隔离机制,会计师事务所可以更好地监控和管理网络流量,实时发现并阻止潜在的网络攻击和入侵行为,保障网络的正常运行。
二、防火墙隔离机制的设计原则2.1 严格的访问控制防火墙隔离机制需要在网络设备上设置严格的访问控制策略,仅允许授权用户或设备访问特定的网络资源,同时阻止未授权的访问请求。
2.2 多层次的安全防护防火墙隔离机制需要采取多层次的安全防护措施,包括网络层、传输层和应用层的安全防护,以确保不同层次的网络都能得到有效的保护。
2.3 实时监控和响应机制防火墙隔离机制需要配备实时监控和响应机制,能够及时发现并应对各类网络安全事件,保障网络的安全和稳定运行。
三、防火墙隔离机制的实施方法3.1 网络拓扑规划在实施防火墙隔离机制前,会计师事务所需要进行网络拓扑规划,明确不同网络之间的关系和隔离需求,合理划分网络区域。
3.2 设备部署和配置根据网络拓扑规划,会计师事务所需部署并配置防火墙设备,在关键位置设立防火墙节点,对网络流量进行检测和过滤。
3.3 安全策略制定会计师事务所需要制定严格的安全策略,包括访问控制策略、入侵检测策略和流量管理策略,确保防火墙隔离机制的高效运行。
基于跨网闸的安全隔离交换平台的设计与实现的开题报告
基于跨网闸的安全隔离交换平台的设计与实现的开题报告一、研究背景及意义:随着互联网的迅速发展与普及,越来越多的企业和机构都在构建自己的信息化系统,使得企业内部网络规模不断扩大,内部网络间的通信量也愈加复杂。
但是,在网络之间尤其是跨不同网络之间的数据传输过程中,数据的安全性往往难以得到保障,企业的核心数据和设备信息面临较大的风险。
因此,本课题旨在探究基于跨网闸的安全隔离交换平台的设计与实现方法,以实现不同网络之间数据的安全传输,提升企业核心信息和设备的安全性,防范外部网络攻击。
二、研究内容:1. 网络安全隔离技术研究本研究将针对当前网络安全隔离技术进行深入探究与研究,结合实际情况,设计出一套安全隔离交换平台方案,实现异构网络互联的安全接入。
2. 设计与实现基于跨网闸的安全隔离交换平台建立跨网闸的安全隔离交换平台,实现异构网络安全接入与数据交互,确保网络安全。
3. 安全隔离交换平台的测试验证对平台进行模拟攻击、流量攻击等测试,并根据测试结果进行调优与改进,以确保平台的可靠性和实用性。
三、研究方法:1. 理论研究法通过对现有的网络安全隔离技术进行理论分析和总结,寻找能够解决本研究问题的方法和策略。
2. 实验研究法建立安全隔离交换平台,进行测试验证,并截取网络数据进行分析,得出可行性和可行性的结论。
四、预计成果:1. 设计与实现一个基于跨网闸的安全隔离交换平台;2. 对平台进行测试和验证,总结其优点和不足;3. 根据测试结果和实际需求,对平台进行改进,提高其安全性和实用性;4. 利用本研究成果,提高企业内部网络安全水平,为信息化进程提供可靠保障。
五、研究计划:1. 第一阶段(前期准备):2022年5月至2022年7月熟悉网络安全隔离技术,研究跨网闸技术及相关文献,确定研究方向2. 第二阶段(设计与实现):2022年7月至2023年3月根据研究情况,设计并实现跨网闸的安全隔离交换平台,不断进行各项测试验证,并进行改进优化。
第4讲 防火墙技术
4.1 防火墙的概述
对于所有的网络管理人员,首要考虑的是如何保护信息的 保密性,防止非法访问以及预防来自内、外网络的攻击。网络 的漏洞必须不断地被监视、发现和解决,否则,很有可能被入 侵者或黑客利用,造成严重的安全隐患。而防火墙技术正是保 护计算机网络安全的较为成熟的技术措施。 防火墙是一种网络访问控制设备,位于两个(或多个)网 络之间,通过执行访问控制策略来达到网络安全的目的。它隔 离了内部和外部网络,是内、外部网络通信的唯一途径,能够 根据制定的访问规则对流经它的信息流进行监控和审查,以保 护内部网络不受外界的非法访问和攻击。
4.4.1 包过滤
什么是“包过滤”呢?简单地说,就是一个根据数据包头 部信息来选择允许或拒绝数据包在网络中传送的过程。包过滤 技术应用在网络层,监视并过滤网络上流入流出的数据包,拒 绝发送那些可疑的包。它一般部署在路由器上,路由器中含有 包过滤器(也称为包过滤软件)。过滤器选择数据包的依据是
系统内设置的过滤规则——访问控制表ACL。表中的规则都是基 于数据包的包头信息制定的。通过检查数据流中每一个数据包 的源地址、目的地址、端口号、协议状态等,判断是否允许数 据包通过。 采用包过滤技术的防火墙,其过滤速度快、效率高。一个 包过滤防火墙能协助保护整个网络,这是一种通用、廉价而有 效的安全手段。然而,它有个很大的弱点,即规则的复杂性。 通常,确定了基本策略(如“拒绝”),然后,设置一系列相 反的(接收)规则。但很多情况下,需要对已经设立的规则设 定一些特例,这样的特例越多,规则就越不容易管理。而且, 过于复杂的规则也不易测试。另外,过滤判别的依据只是来自 网络层和传输层的有限信息,不能满足各种安全要求。在许多 过滤器中,过滤规则的数目是有限制的,且随着规则数目的增 加,性能会受到很大的影响。由于缺少上下文关联信息,所以
网络安全隔离装置
网络安全隔离装置
网络安全隔离装置是一种用于保护企业网络安全的重要设备。
它通过隔离不同的网络环境,防止恶意软件、网络攻击和数据泄漏等安全威胁对企业网络造成威胁。
网络安全隔离装置采用多种技术手段来实现安全隔离,包括虚拟局域网(VLAN),网络隔离墙(Firewall),安全访问控制列表(ACL)等。
这些技术可以将企业网络划分为不同的安全域,每个安全域之间相互隔离,互相之间的通信受到严格的控制。
通过网络安全隔离装置,企业可以实现不同部门、不同权限用户之间的隔离,确保不同数据之间的安全性。
同时,通过限制不必要的网络访问和通信,可以减少潜在的安全风险,提高网络的安全性和稳定性。
除了隔离不同的网络环境,网络安全隔离装置还可以提供其他安全功能,如入侵检测系统(IDS),虚拟专用网络(VPN)等。
这些功能可以帮助企业及时发现网络攻击和安全漏洞,并采取相应的措施进行防御和修复。
总而言之,网络安全隔离装置在企业网络安全中扮演着重要的角色。
它可以有效地保护企业网络资源免受安全威胁,并提供其他安全功能,为企业的网络安全提供全面的保护。
网络安全管理系统的设计与实现
Ky e w o d N t r S c r y; le t Ma a e n C mp tr Mane a c Vru l e wok r s: ewok eu i  ̄ moe t n g me t o u e i n ne; ita N t r t ;
1引言
:
;
;
;
本功能模块可以将中毒甚至是崩溃的计算机系 快 统,
f no ai n/ ei A a ey f Z oghu Ui m ? If m tn Egh r# cdm o hnzo nv / 7 r o e n e y,Z eg hu Hwn 4 0 4 .h a hn zo, e 5 D 4 O/ h
2Dpr etE c il nier NhomakorabeaHBR U/rt f T hog ,Ze z u e n4 00 ha .eat n l tc g erg o e n e i o e no m e ra E n / i a P sy c ly h gh ,Hn 5 0  ̄Oi) n o a n
cn iua in n c ec e ofg r t a d o ri ma a e e t f P drs o v n g m n o 1 a des; st h n t r ac s , i l i stig i l t o te n ent n po ii c es e te e wok c es n u n c d g etn r me i s n h itre a d rh t mi b a cs t n n — Fe td i s b n n ni g me O o ol e s e , a o ole a s, ec. o -d ma d e wokn a t n t ; n e n n t r ig, yo C n t n tme s ed d O om a e u a a a y i a ne e t f r nw n t r wihu e wok t ot
安全审计系统
第二章招标项目内容、数量、规格和技术要求核心数据和核心设备的安全是数据中心管理的重中之重。
05年以来我市劳动保障数据中心网络安全防护管理不断加强,陆续配置了防火墙、防毒墙、网闸等安全设备,建立了数据级异地容灾系统,较好地保障了劳动保障网络信息系统的稳定安全运行。
但因经费等原因,数据中心在核心设备和核心数据安全防护方面还相对较弱,按照劳动保障网络信息系统安全等级保护的要求和数据中心网络安全管理实际需要,为进一步完善劳动保障网络信息系统安全防护体系,提出本次网络安全设备采购需求。
一、网络安全设备采购需求(一)网络安全设备采购清单:分类设备名称基本目的基本参数要求数量备注网络安全防御千兆防火墙防护核心数据安全,提高整个网络可靠性2U机架式结构;最大配置不少于24个接口,现配8个千兆SFP(含4个原厂SFP光模块)和8个10/100/1000BASE-TX电接口,2个10/100/1000BASE-TX管理口。
要求接口支持STP协议。
网络吞吐量不少于5G,最大并发连接数不少于200万,每秒最大新建连接数不少于5万,现配置双电源。
2台原厂三年质保IPS入侵防御系统抵御网络攻击,防护网络系统安全1U机架式结构,最大配置不少于24个接口,现配4个SFP口(含4个原厂SFP光模块)和4个10/100/1000BASE-TX接口,支持4路Bypass功能,2个10/100/1000BASE-TX管理口,吞吐量不少于6G,具有3000条以上的攻击事件,三年特征库升级服务1台原厂三年质保网络交换设备24口二层交换机根据网络整合需要添置,与核心交换机H3C 9508对接H3C S5100-24P-SI 24个10/100/1000Base-T以太网端口和4个复用的1000Base-X SFP千兆以太网端口(Combo)4台原厂三年质保48口二层交换机根据网络整合需要添置,与核心交换机H3C 9508对接H3C S5100-48P-SI 48个10/100/1000Base-T以太网端口和4个复用的1000Base-X SFP千兆以太网端口(Combo)3台原厂三年质保SFP光纤单模模块用于H3C光纤连接用,10KMH3C 光纤单模模块,有效距离10KM 4个原厂三年质保数字认证系统数字认证系统用于浙江省社会保险网上申报系统统一软件安全认证网关支持多种签名数据,支持原文包含模式及原文分享模式的PKCS#7签名的验证。
网络隔离安全解决方案
网络隔离安全解决方案网络威胁无处不在:大到全球性的高达4000万张信用卡信息失窃、网上银行被克隆、用户资金被盗取,小到蠕虫、木马、钓鱼网站、恶意软件的侵扰。
网络时代的信息安全究竟由谁来保驾护航?安全保障的误区2005年5月,美国信用卡第三方服务商CardSystems的系统中泄露的4000多万条磁条信息包括万事达、Visa、美国运通和Discover的各种信用卡。
国际信用卡组织Visa发布的数据表明,2005年亚太地区信用卡欺诈造成的经济损失约合3亿美元。
越来越多的瞬间开始显示出互联网脆弱的一面。
目前,从全球来说,各种网络用户安全解决方案,如防火墙,CA认证,生物识别和数字签名等遍地皆是,以硬件为主包括防火墙、入侵检测系统、防病毒网关、VPN、物理隔离卡等产品更是令人眼花缭乱,但缘何无法堵住安全的漏洞呢?以物理隔离技术著称的南京神荼郁垒公司总工程师邵通先生对记者表示,实际上通过上面这些方式保证信息网络安全,本身存在一个误区。
目前,信息安全领域普遍采用的主流安全技术都不能实现绝对的信息安全,除了PC作为主要的上网终端与生俱来的安全设计缺陷外,在互联网上,接入的PC就犹如一座不设防的城市,任凭病毒的侵害和黑客的攻击。
相比,物理隔离的信息安全系数要高很多。
据悉,邵通先生多年来专注信息安全研究,是目前国内在个人计算机信息安全领域内拥有最多发明专利和专利申请的专家学者,堪称中国个人计算机核心技术原创发明第一人。
安全是不要做蠢事正如防火墙之父马尔科斯十六年悟出安全之“道”:隔离是最简单、安全、有效、可行的方案。
而此又正好与神荼郁垒公司对安全的理解不谋而合。
国际互联网上的电子政务和电子商务中,一个重要的问题就是安全性。
在用户,由于病毒的侵害、黑客及BO的攻击等,用户计算机中的机密信息几乎毫无安全可言。
神荼郁垒从物理隔离入手,将防火墙,CA认证,生物识别和数字签名等敏感信息放置在隔离计算机上,最大程度上保证了信息的安全,防止因病毒或黑客的侵入被盗取。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
收稿日期:2006-04-28;修返日期:2006-06-09 基金项目:国家2005信息安全专项基金资助项目([2005]879)作者简介:赵平(1984-),女,硕士研究生,主要研究方向为网络安全与电子商务(s uperzhaopi ng @yahoo .co );汪海航(1965-),男,教授,博导,主要研究方向为网络安全与电子商务;谭成翔(1965-),男,研究员,博导,主要研究方向为网络安全与电子商务.基于防火墙日志的网络隔离安全审计系统设计与实现*赵 平,汪海航,谭成翔(同济大学计算机科学与技术系,上海200092)摘 要:在当前网络攻击方式不断变化的背景下,新出现的安全隔离技术直接阻断网络在链路层上的连接,并进行数据交换。
日志是网络安全体系中的重要部分。
针对一个网络隔离系统,讨论了日志管理系统的架构、设计实现方法,并在实际中得到应用。
关键词:网络隔离;日志审计;安全隔离与信息交换网闸中图分类号:TP309 文献标志码:A 文章编号:1001-3695(2007)07-0114-03D esi gn and I mp le m entati on o fN et w ork Iso l ation Securit yA udit Syste m Based on F ire w all LogZHAO P i ng,W ANG H a-i hang ,TAN Cheng -x iang(De p t .of Compu ter S cience&Eng i neeri ng,Tong ji Un i versit y,Shanghai 200092,Ch i na )Abstract :A s the net work attack i ngm ethod changes constan tly ,t he e m ergi ng saf et y isolati on technol ogy ,wh ich can exchangedata ,i nterd icts t he connect i n li nk layer .Log is a very m i portant part i n net work safety syste m.This paper proposed a desi gn of a l og managem ent syste m for a net w ork i solation device ,wh i ch w as i n practical use .Key words :net work isolati on ;l og aud i;t SGAP 在当今计算机网络高度发达的信息化社会,网络安全越来越受到重视,出现了各种安全措施。
日志审计作为一种安全措施也受到关注。
通过对日志信息的分析可以达到查找网络安全隐患,弥补安全漏洞的目的。
安全隔离技术(GA P 技术)指通过专用硬件使两个彼此隔离的网络进行安全数据交换。
该技术逐渐发展并被应用。
在实际应用中,针对外网攻击和系统异常会产生大量日志文件,而传统的GA P 设备一般由内网处理单元、隔离传输硬件、外网处理单元三个部分组成,并没有特别针对日志信息进行处理。
如果利用这些日志对其进行分析,并进行严密监控,识别入侵和入侵企图,会大大提高系统的安全性能。
1 SGAP 系统整体概述SGAP (安全隔离与信息交换网闸系统)利用先进的安全隔离技术保证了安全、高效、可靠的数据交换,可以与防火墙或其他网络安全设备无缝地协同工作。
它一般部署于信任域与非信任域之间,并且是不同域之间唯一的连接,如图1所示。
SGA P 系统在结构上分为内、外网处理单元和中间的隔离传输硬件三个部分。
内、外网处理单元均为独立工作的主机,安装运行L i nux 操作系统;隔离传输硬件与内、外网服务器之间通信通过U SB 外部总线连接,传输交换数据。
隔离传输硬件内有一块CPU,一块存储数据用的缓存区域数据池(即一块移动硬盘);CPU 对通过的摆渡数据进行安全检查和病毒扫描,这也是与传统隔离设备的区别之处,在很大程度上提高了系统的安全级别。
隔离硬件保证了内、外网之间在任何时刻都不存在直接的通路;硬件与主机之间用U SB 进行通信,U SB 总线的即插即用特性,使硬件设计大大简化。
主机上安装L i nux R ed H at 216版本的操作系统,利用其自带Iptab les 配置,实现防火墙功能。
SGA P 系统中的代理功能由位于内网处理单元的代理存根和位于外网单元的代理引擎协同工作完成,检查应用层数据,不同代理服务的实现与具体的协议内容相关。
防火墙部分日志文件传输到专门的日志服务器端,导入数据库中,便于根据审计分析规则审记日志。
2 系统功能要求描述一个安全系统中的安全审计系统,是对系统中任一或所有安全相关事件进行记录、分析和再现。
对于安全产品,美国已经有一套比较完整的CC(Comm on Cr iteria),如U S G overn m ent A pp licati on L eve l F i re w a ll P rotecti on P ro file for L o w R i sk Environ -m ents ,而且国外一些大的网络安全公司也有其自己的安全指标。
这些安全指标的规范化和标准化为网络安全技术的发展第24卷第7期2007年7月计算机应用研究Application R esearc h of C o m putersV o.l 24N o .7Ju ly 2007起到了推动作用。
211 系统架构日志数据的产生由L i nux 系统的防火墙模块实现,并发送到专门的日志服务器。
日志服务器接收到防火墙发来的日志信息后,存储在数据库中,并通过审计界面来完成审计数据查找、统计等功能。
其系统架构如图2所示。
212 功能模块划分根据系统功能要求描述,并参考公安部《信息安全技术日志分析产品安全要求检验规范》,日志系统设计具有以下功能:①日志收集。
只有授权的审计数据源发送的审计信息才能被系统分析处理。
②日志分析管理。
能对数据源产生的日志进行实时监控,能提供基于时间、源地址、目的地址、协议类型、危险级别等字段的组合查询;能生成统计报表、支持一个常用的数据库,对数据进行备份/删除、导入/导出。
③安全功能。
保证只有授权管理员和可信主机才有权使用产品的管理功能,具备对授权管理员和可信主机进行身份鉴别的功能。
④审计功能。
能针对网络访问行为和网络数据包进行审计。
将日志系统分为以下功能模块:(1)用户身份验证。
对登录用户进行角色划分和身份验证管理,保证系统使用安全。
(2)日志信息管理。
接收日志信息模块,与防火墙进行通信,下载日志信息;日志查询模块,对日志信息进行查询、浏览;日志审计模块,根据审计规则对日志库中的数据进行审计;日志数据库管理模块,对日志信息进行删除、存储、备份。
(3)参数设置模块。
对系统中的参数进行设置,如登录防火墙的口令、网络参数。
3 系统实现311 日志格式和数据库设计目前日志服务器采用一台PC 机,系统配置为:处理器Penti u m Ⅲ1167GH z ,内存1GB ,操作系统W i ndows Serv er 2003。
内、外网服务器中采用L i nux K erne l 216版本,内核提供的Iptab l es 防火墙与I P 协议栈紧密结合,方便记录日志。
由于从防火墙传输过来的日志文件为文本格式,存储、检索、统计均不方便,设计将日志导入数据库中,提高效率;日志服务器安装W i ndo w s 操作系统,选择使用A ccess 数据库较为方便。
考虑到详细存储所花费的空间较大,且传输花费时间较长,日志只记录一些最主要的信息,如防火墙记载源地址(Source A ddress)、目的地址(D esti nation Address)、源端口、目的端口、传输协议、T CP 标志、数据包长度、字节数及记录时间。
数据库表结构设计如表1所示。
表1 防火墙日志字段名称类型备 注T i m e Char(15) 产生日志的时间S I P Char(15) 源IP DIP Char(15) 目的IP PTD Char(15) 协议SP Char(15) 源端口DP Char(15) 目的端口Interface_i n Char(20) 对应规则链名称Interface_out Char(20)动作字段Len Int IP 数据包长度I DIntIP 数据包I D312 日志传输与数据导入完成日志下载,最主要的有:(1)CP reLog 类。
它主要定义特定段日志下载的信息。
主要变量说明如下:{C stri ng m _str Date //最近日志日期 C stri ng m _str Location //最近日志结尾在日志文件中的偏移量 C stri ng m _str Loc H ead //最近日志开头在日志文件中的偏移量,}(2)CL ogD ownD l g 类。
它主要负责封装日志下载的Socket 通信类,同时可以显示下载日志的状态和封装网络通信等。
主要成员变量如下:{CLog DownSocketm _socket //CLogDo w nSoc k et 类对象 shortm _s port //要连接的端口 C stri ng m _strIP //要连接的I P C stri ng m _strSend //要发送的数据,}(3)CL ogDownSo cket 类。
它直接由CA syncSocket 派生,负责日志下载过程中与防火墙通信。
主要成员变量如下:{CObA rray m _ary Log//消息级别与文件名数组,元素类型为CLog L evel To N a m e CObArray m _aryLogIn f o //各元素为CP re Log 的数组 CF ilem _c u rFile //当前打开的日志文件i n tm _nLogLen //要接收到的日志数据的字节数 i n tm _nRead //已经接收到的日志字节数 i n tm _nS tat us //状态 C stri ng m _str Rec H ead //接收到的消息头 C stri ng m _strSend //发送的数据,}它的主要成员函数有ONSend:由框架调用,通知可以发送数据,根据m _nStat u s 发送数据。
SendReqCmm:发送请求下载日志消息头。
SendReady :发送ready ,通知防火墙客户端准备好接收日志数据。
SendOk:发送OK ,通知防火墙某级别日志接收完毕,可以开始发送下一个日志。