主动防御平台设计

　　主动防御平台软件结构设计如图2 所示。该软件的核心层包含了安全的Linux 系统、TCP/IP 协议栈、协议分析模块、防火墙功能模块、VPN 功能模块、统一管理模块、安全策略模块等部分。

　　图2 主动防御平台结构

　　主动防御平台需要一套专用的强化安全的定制操作系统，这里采用经过加固的安全的Linux 内核。通过硬件加速，操作系统使各种类型流量的处理时间达到最小，从而带来最好的实时性，才能有效地实现防火墙、VPN 等功能。TCP/IP协议栈提供对网络协议的处理功能。

　　协议分析模块是主动防御平台核心层的核心，对其他功能模块，如防火墙模块、VPN 模块等起到基础支撑功能。协议分析模块处于数据链路层以上、IP 层以下，它作为一个数据链路层的服务使用者接收物理层传来的所有报文。此时，报文尚未经过IP 层和TCP 层的处理，还包含有IP 头和TCP头，可以从IP 头获得发送方和接收方的IP 地址。协议分析模块在Linux 中作为一个流设备实现。数据链路层服务的使用者可以像打开一个普通的流设备一样，使用访问数据链路层的服务。

　　主动防御平台核心层的功能模块包含了防火墙、VPN 等模块，这是出于提高数据处理效率考虑。核心层的功能实现以模块化方式组织，提高了主动防御的可扩展性，便于用户根据自己的需要选择不同的功能模块。核心层的统一管理模块、安全策略模块提供分布式防御系统的统一管理功能及安全策略配置功能。

　　应用层的其他模块如防火墙、VPN 等模块是核心层对应模块功能的有效补充，可在应用层加强此类补充模块的访问控制。通信接口提供主动防御平台与监控节点、主机监控模块的通信功能。

　　主动防御平台采用经过加固的安全Linux 操作系统。操作系统有效地分解和协调系统的处理任务，利用优化的算法，实行并行处理，将任务划分和协调过程中的消耗减到最小程度。在任一特定时间，每个数据流都得到最佳的处理水平。操作系统的设计集成了智能排队和管道管理，在数据包到达时和处理相关的事件时，系统中断会得到立即的响应，使流量的处理时间达到最小，加上最短的排队时间，从而使系统达到很高的实时性。

(责任编辑：)