CN101582900B - 防火墙安全策略配置方法及管理装置 - Google Patents
防火墙安全策略配置方法及管理装置 Download PDFInfo
- Publication number
- CN101582900B CN101582900B CN2009101397116A CN200910139711A CN101582900B CN 101582900 B CN101582900 B CN 101582900B CN 2009101397116 A CN2009101397116 A CN 2009101397116A CN 200910139711 A CN200910139711 A CN 200910139711A CN 101582900 B CN101582900 B CN 101582900B
- Authority
- CN
- China
- Prior art keywords
- information
- fire compartment
- compartment wall
- configuration information
- filter rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 35
- 230000009471 action Effects 0.000 claims abstract description 41
- 238000001914 filtration Methods 0.000 claims description 116
- 230000002265 prevention Effects 0.000 abstract 2
- 238000004891 communication Methods 0.000 description 12
- 230000006870 function Effects 0.000 description 5
- 230000002159 abnormal effect Effects 0.000 description 4
- 230000016571 aggressive behavior Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 239000000203 mixture Substances 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000001143 conditioned effect Effects 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 230000004888 barrier function Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 239000012467 final product Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 238000012797 qualification Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000012163 sequencing technique Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种防火墙安全策略配置方法及管理装置,所述方法包括:获取从防火墙发来的包括最大报文速率、报文大小或开关参数的攻击防范配置信息;获取从所述防火墙发来的包括IP地址、端口号、网络协议及动作属性的第一过滤规则信息;根据所述攻击防范配置信息及所述第一过滤规则信息生成包含安全策略配置信息的策略包;根据所述策略包中的安全策略配置信息对应的关联防火墙信息,将所述安全策略配置信息发送给关联防火墙。本发明实施例将单台防火墙的安全策略逆向还原为策略包,从而为用户对防火墙进行安全策略配置提供了便利。
Description
技术领域
本发明涉及网络安全技术,特别涉及一种防火墙安全策略配置方法及管理装置。
背景技术
现代的防火墙体系不但是一个“入口的屏障”,还是几个网络的接入控制点,所有经过被防火墙保护的网络的数据流都应该首先经过防火墙,使得防火墙成为信息进入的关口,因此防火墙可以保护整个内部网络在Internet中的安全。在每一个被防火墙分割的网络中,所有的计算机之间是被认为“可信任的”,它们之间的通信可以不受防火墙的干涉。而在各个被防火墙分割的网络之间,必须按照防火墙规定的“安全策略”进行互相的访问。因此,必须通过对防火墙的安全策略进行配置,实现防火墙对网络的保护。为了对防火墙的安全策略进行配置,现有技术中提出了两种解决方案:
1.管理装置提供针对单台防火墙的安全策略配置和下发功能,用户使用该功能进行单台防火墙的安全策略人工配置,将安全策略相关的配置下发到独立的防火墙上。
2.管理装置提供对多台防火墙使用策略包进行配置的功能,用户通过创建策略包同时对多台防火墙下发安全策略配置。
在实现本发明的过程中,发明人发现现有技术至少存在如下问题:用户进行单台防火墙的安全策略配置时,用户将需要对每一台防火墙进行配置和下发操作,当管理网元数量较大时,将会带来很大的麻烦。用户通过创建策略包对多台防火墙下发安全策略配置时,必须首先在管理装置中手工创建策略包,然后才能使用策略包对防火墙进行下发。手工创建和编辑策略包的工作即繁琐又易出错,并且如果一台防火墙上已经配置好了安全策略的信息,管理装置却无法有效地利用这些信息。
发明内容
本发明实施例在于提供一种防火墙安全策略配置方法及管理装置,以实现将单台防火墙的安全策略逆向还原为安全策略配置信息,为用户对源防火墙/其他防火墙进行安全策略配置提供了便利。
本发明实施例提供一种防火墙安全策略配置方法,所述方法包括:获取从源防火墙发来的包括最大报文速率、报文大小或开关参数的攻击防范配置信息;获取从所述源防火墙发来的包括IP地址、端口号、网络协议及动作属性的第一过滤规则信息;根据所述攻击防范配置信息及所述第一过滤规则信息生成包含安全策略配置信息的策略包;根据所述策略包中的安全策略配置信息对应的关联防火墙信息,将所述安全策略配置信息发送给关联防火墙。
本发明实施例还提供一种管理装置,所述装置包括:配置信息获取单元,用于获取从源防火墙发来的包括最大报文速率、报文大小或开关参数的攻击防范配置信息;规则信息获取单元,用于获取从所述源防火墙发来的包括IP地址、端口号、网络协议及动作属性的第一过滤规则信息;策略包生成单元,用于根据所述攻击防范配置信息及所述第一过滤规则信息生成包含安全策略配置信息的策略包;信息发送单元,用于根据所述策略包中的安全策略配置信息对应的关联防火墙信息,将所述安全策略配置信息发送给关联防火墙。
本发明实施例的有益技术效果,通过获取从源防火墙发来的包括最大报文速率、报文大小或开关参数的攻击防范配置信息;获取从所述源防火墙发来的包括IP地址、端口号、网络协议及动作属性的过滤规则信息;根据所述攻击防范配置信息及所述过滤规则信息生成包含安全策略配置信息的策略包;根据所述策略包中的安全策略配置信息对应的关联防火墙信息,将所述安全策略配置信息发送给关联防火墙;从而实现将单台防火墙的安全策略逆向还原为策略包,从而为用户对防火墙进行安全策略配置提供了便利。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例的防火墙安全策略配置方法的流程示意图;
图2为管理装置独立于网络中防火墙设备的组网示意图;
图3为本发明另一实施例的防火墙安全策略配置方法的流程示意图;
图4为本发明实施例管理装置从防火墙上获取的一条过滤规则示意图;
图5为本发明实施例最大速率的攻击防范配置信息的示意图;
图6为本发明实施例开关参数与最大速率结合的攻击防范配置信息的示意图;
图7为本发明实施例开关参数的攻击防范配置信息的示意图;
图8为本发明实施例由图4得到的管理装置的过滤规则示意图;
图9为本发明实施例过滤规则合并前的组成示意图;
图10为本发明实施例过滤规则合并后的组成示意图;
图11为本发明另一实施例过滤规则合并后的组成示意图;
图12为本发明另一实施例安全访问的过滤规则示意图;
图13为本发明实施例管理装置的结构示意图;
图14为本发明另一实施例管理装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例管理装置所在的网络中,存在多台防火墙设备,可以把管理装置获取安全策略配置信息的防火墙称为源防火墙,源防火墙设备可以是网络中任何一台防火墙设备,也可以是根据预设条件从网络中的防火墙设备中选择的一台防火墙设备,包括但不限于。
实施例一
图1为本发明实施例的防火墙安全策略配置方法的流程示意图,所述方法包括:
步骤S101:获取从源防火墙发来的包括最大报文速率、报文大小或开关参数的攻击防范配置信息;
步骤S102:获取从所述源防火墙发来的包括IP地址、端口号、网络协议及动作属性的第一过滤规则信息;
步骤S103:根据所述攻击防范配置信息及所述第一过滤规则信息生成包含安全策略配置信息的策略包;
步骤S104:根据所述策略包中的安全策略配置信息对应的关联防火墙信息,将所述安全策略配置信息发送给关联防火墙。
所述方法进一步包括:将所述策略包中与所述源防火墙关联的安全策略配置信息发送给所述源防火墙。
在一种实现下,可以通过通信协议Telnet向源防火墙发送请求包括最大报文速率、报文大小或开关参数的攻击防范配置信息的命令,源防火墙收到命令后通过通信协议将攻击防范配置信息返回。还可以通过简单网络协议(SNMP协议)等其它协议从源防火墙获取信息。
在另一种实现下,可以通过通信协议Telnet向源防火墙发送请求包括IP地址、端口号、网络协议及动作属性的过滤规则信息的命令,源防火墙收到命令后通过通信协议将过滤规则信息返回。还可以通过简单网络协议(SNMP协议)等其它协议从源防火墙获取信息。
步骤S101和步骤S102是分别获取从源防火墙发来的攻击防范配置信息及过滤规则信息,没有必然的先后顺序。
上述第一过滤规则信息进一步包括应用领域信息及时间段信息。根据所述攻击防范配置信息及所述第一过滤规则信息生成包含安全策略配置信息的策略包包括:根据所述第一过滤规则信息的IP地址、端口号、网络协议、动作属性及应用领域信息获得安全域信息;将所述安全域信息及获得的关联防火墙信息加入所述第一过滤规则信息得到第二过滤规则信息;根据所述第二过滤规则信息及所述攻击防范配置信息生成包含安全策略配置信息的策略包。
在步骤S102之后,所述方法还包括:根据所述过滤规则信息在相同应用领域内相对顺序不变的标准,将所述过滤规则信息中IP地址、端口号、网络协议及动作属性相同的不同过滤规则合并为同一条过滤规则。
在本发明的防火墙安全策略配置方法实施例中,管理装置从源防火墙设备配置逆向还原得到策略包,根据所述策略包中的安全策略配置信息对应的关联防火墙信息,将所述安全策略配置信息通过网络发送给关联防火墙设备(关联防火墙设备为网络中包括源防火墙的任何一台防火墙设备),从而可以便于实现对防火墙设备进行安全策略配置。应当理解的是,这里提到的源防火墙设备可以是网络中任何一台防火墙设备,也可以是根据预设条件从网络中的防火墙设备中选择的一台防火墙设备,包括但不限于。
关于本发明实施例管理装置在网络中的部署方式,在一种实现下,网络中的一个或多个防火墙设备可以具有管理装置的功能;在另一种实现下,管理装置可以独立于网络中防火墙设备之外,且与所述防火墙设备具有通信能力,用于将单台防火墙的安全策略逆向还原为安全策略配置信息,并向单台防火墙和/或其他防火墙发送该安全策略配置信息,以实现便于对网络中的防火墙设备进行安全策略配置。
图2为管理装置独立于网络中防火墙设备之外的组网示意图,如图2所示,Internet网络201通过多个防火墙202、防火墙203及防火墙204与多个内部网络205、内部网络206及内部网络207通信,管理装置208通过网络与多个防火墙202、防火墙203及防火墙204相连接。内部网络中计算机之间的通信可以不受防火墙的干涉,但是内部网络之间的通信以及内部网络与外部网络之间的通信,必须按照防火墙规定的安全策略进行互相的访问。
如图2所示,假设防火墙202为源防火墙,管理装置通过对源防火墙的安全策略逆向还原为策略包,完成对网络中源防火墙及其他防火墙的安全策略配置。在本发明实施例中,其他的防火墙也可以作为源防火墙,本发明不限于此。
下面针对管理装置独立于网络中防火墙设备之外情况,详细说明如何实现对网络中的防火墙设备进行安全策略配置。
图3为本发明另一实施例的防火墙安全策略配置方法的流程示意图,所述安全策略配置方法包括:
步骤S301:管理装置获取防火墙攻击防范配置信息。
防火墙202的安全策略配置为防火墙202上的所有安全配置,包括默认包过滤、域间包过滤、ASPF、日志及各种攻击防范配置等。其中,攻击防范配置为针对各种网络攻击(如特殊报文攻击、地址报文攻击及畸形报文攻击等)而在防火墙202中所配置的配置项,攻击防范配置参数包括报文的最大速率,报文大小及开关。报文的最大速率是指防火墙202中指定某种报文允许的最大速率,如基于TCP/IP协议的SYNflood攻击,存在一个最大报文速率,超过这个最大速率,防火墙202将采取防御措施;报文大小指防火墙202规定报文的大小值,如网络控制消息协议(Internet Control Message ProtocolICMP)报文攻击,报文超过防火墙202规定的报文大小,防火墙202就丢弃该报文;开关的开启表明防火墙202对攻击进行防御,开关的闭合表示防火墙202对攻击不进行防御,如拒绝服务攻击中的Winnuke攻击。这些攻击防范配置参数(信息)存在于防火墙202中,管理装置可以通过Telnet、SNMP等协议从防火墙202上获取这些参数配置信息,存储到管理装置中。
步骤S302:管理装置获取源防火墙的过滤规则信息。
防火墙202的过滤规则信息包括源IP地址、目的IP地址、源端口号、目的端口号、网络协议及动作属性、时间段信息及应用领域信息等,即上述的第一过滤规则信息。过滤规则中的IP地址包括源地址及目的地址,端口号包括源端口号和目的端口号。假设报文1从外部网络进入内部网络,源地址为外部网络的IP地址,目的地址为内部网络的IP地址,源端口为发送报文1的外部网络的计算机的端口号,目的端口号为报文1到达的内部网络的计算机的端口号。网络协议指的是过滤规则指定的协议,如TCP、UDP协议。假设过滤规则中包括的源地址为(11.1.1.1、11.1.1.2、11.1.1.3),目的地址为(12.1.1.1、12.1.1.2、12.1.1.3)源端口号为(11、22、33),目的端口号为(11、22、33),规定的网络协议为TCP协议。实际应用时,假设报文1中的源地址为11.1.1.3,目的地址为12.1.1.3,源端口号为33,目的端口号为22,采用的网络协议为TCP协议。可以看出,报文1的源地址、源端口、目的地址、目的端口及协议符合过滤规则,如果过滤规则的动作属性为Permit,表示放行报文1,如果过滤规则的动作属性为Deny,表示丢弃报文1。
时间段信息表示防火墙202在什么时间执行该条过滤规则,如果时间段为any,表示任何时间都要执行该条过滤规则。应用领域表示该条过滤规则应用于何种领域,如应用于日志、包过滤(Packet Filter PF)或应用层包过滤(Application Specific Packet Filter ASPF)等,其中日志用于定义异常数据流的特征,当检测到定义的数据流时,向日志服务器发送报告。
图4为本发明实施例管理装置从防火墙202上获取的一条过滤规则,图中示出了源IP地址、目的IP地址、源端口号、目的端口号、网络协议、动作属性信息、时间段信息及应用领域信息。
步骤S303:将源防火墙的过滤规则转化为管理装置的过滤规则。
管理装置208根据防火墙202过滤规则的IP地址、端口号、网络协议、动作属性及应用领域(如包过滤、ASPF、日志等),可以知道该应用领域在防火墙202的哪两个域之间,然后根据域间方向(出、入两种方向)可就可以判断出两个域中哪个为源安全域,哪个为目的安全域,得到了过滤规则的安全域信息。
管理装置的系统管理员可以设定从防火墙202获取的每条过滤规则关联的防火墙设备,也可以设定从防火墙202获取的每条攻击防范配置信息的关联设备,图5为本发明实施例最大速率的攻击防范配置信息示意图,接口和最大速率构成一条攻击防范配置信息,IP地址及安全域信息也可以分别与最大速率构成一条攻击防范配置信息;图6为本发明实施例开关参数与最大速率结合的攻击防范配置信息示意图,选择复选框之后就可以设定最大扫描速率;图7为本发明实施例开关参数的攻击防范配置信息示意图。管理人员可以为图5、图6及图7中的攻击防范配置信息设定关联的防火墙设备。
管理装置获取每条过滤规则的关联防火墙信息,将所述安全域信息及关联防火墙信息加入第一过滤规则信息得到管理装置的过滤规则信息,即第二过滤规则信息。
如图8所示,为本发明实施例在图2的防火墙202的过滤规则中加入安全域信息及获得的关联防火墙信息的管理装置过滤规则信息。图4所示的防火墙202的过滤规则Rule1中只包括源地址、源端口号、目的地址、目的端口号、网络协议、动作属性、时间段信息及应用领域信息;图9的过滤规则Rule1中除了包括源地址、源端口号、目的地址、目的端口号、网络协议、动作属性、时间段信息及应用领域信息之外,还包括源安全域、目的安全域及该规则的关联防火墙信息。
步骤S304:判断包含管理装置信息的过滤规则中是否存在内容相同的过滤规则,如果是,进行步骤S305,否则,进行步骤S306。
由防火墙202上获取的过滤规则得到的多个过滤规则中可能有内容相同的过滤规则。过滤规则内容相同是指这些过滤规则的源地址、源端口号、目的地址、目的端口号、协议号、动作属性(是permit还是deny)、源安全域、目的安全域及关联防火墙都一样,这些过滤规则的不同仅在于应用领域(即应用领域)不同。可能有的应用于包过滤,有的应用于ASPF。假设按照应用领域将过滤规则分为3组,分别为A组其中A、B组及C组,A组过滤规则应用于包过滤,B组过滤规则应用于ASPF配置,C组过滤规则应用于日志。A={Rule1、Rule2、Rule3、}及Rule4},B={Rule5、Rule6、Rule7、Rule8、Rule9},C={Rule10、Rule11、Rule12}。如图9所示,管理装置的策略包里记录了过滤规则合并前的12条过滤规则。过滤规则Rule1包括:源安全域untrust、源地址集1(假设为31.1.1.1、31.1.1.2、31.1.1.3)、目的安全域trust、目的地址集2(假设为28.1.1.1、28.1.1.2、28.1.1.3)、服务bgp(服务中包括了源端口(1111)、目的端口(2222)及协议号(TCP))、动作属性permit及时间段any,;过滤规则Rule6包括:源安全域untrust、源地址集1(假设为31.1.1.1、31.1.1.2、31.1.1.3)、目的安全域trust、目的地址集2(假设为28.1.1.1、28.1.1.2、28.1.1.3)、服务bgp(服务中包括了源端口(1111)、目的端口(2222)及协议号(TCP))、动作属性permit及时间段any,可见,除了应用领域(应用领域)不同外,过滤规则Rule6与过滤规则Rule1完全其他均相同;同样,过滤规则Rule2等于与Rule7,Rule3等于与Rule8,也分别属于这种情况。
步骤S305:将管理装置的过滤规则信息中内容相同的过滤规则信息合并。
如果管理装置的过滤规则信息中存在内容相同的过滤规则信息,为了简化,需要将内容相同的过滤规则信息合并。
在保证相同的应用领域内过滤规则相对顺序不变的标准下,将A、B两组过滤规则中内容相同的过滤规则进行合并(即将过滤规则Rule6与过滤规则Rule1合并,过滤规则Rule7与过滤规则Rule2合并,及过滤规则Rule8与过滤规则Rule3合并),生成新的过滤规则组D组,D={Rule5、Rule6′、Rule7′、Rule8′、Rule9},Rule6′由Rule1及Rule6合并而成,Rule7′由Rule2及Rule7合并而成,Rule8′由Rule3及Rule8合并而成,Rule6′包括:源安全域untrust、源地址集1(假设为31.1.1.1、31.1.1.2、31.1.1.3)、目的安全域trust、目的地址集2(假设为28.1.1.1、28.1.1.2、28.1.1.3)、服务bgp(服务中包括了源端口(1111)、目的端口(2222)及协议号(TCP))、动作属性permit及时间段any。如图10所示,管理装置的策略包里记录了相同过滤规则合并后的9条过滤规则。
在保证相同的应用领域内过滤规则相对顺序不变的标准下,过滤规则的合并可以有多种,如图11所示将应用于日志(即应用领域为日志)的过滤规则的位置排前。
步骤S306:管理装置根据管理装置的过滤规则信息及加入关联设备的攻击防范配置信息生成包含安全策略配置信息的策略包。
完成步骤S303-S305之后,管理装置根据图10或图11中的过滤规则信息及加入关联设备的攻击防范配置信息生成包含安全策略配置信息的策略包。
步骤S307:根据所述策略包中的安全策略配置信息对应的关联防火墙信息,将所述安全策略配置信息发送给关联防火墙。
上述方法进一步包括:将所述策略包中与所述源防火墙关联的安全策略配置信息发送给所述源防火墙(防火墙202)。
策略包中安全策略配置信息包括过滤规则信息及攻击防范配置信息。过滤规则信息及攻击防范配置信息存在对应的关联防火墙设备。
如图10所示,每一条过滤规则都对应关联防火墙,过滤规则Rule5对应的关联防火墙为防火墙0,管理装置可以将过滤规则Rule5发送给防火墙0。管理装置也可以将图5、图6及图7中的攻击防范配置信息发送给对应的关联防火墙(图中未示出)。管理装置设置的关联防火墙中可以包括源防火墙,这样,管理装置就可以根据安全策略配置信息的关联防火墙,统一将该安全策略配置信息发送给所有的关联防火墙。
防火墙收到策略包中的安全策略配置信息之后,各个被防火墙分割的网络之间,必须按照防火墙规定的“安全策略”进行互相的访问,下面举例说明如何根据过滤规则进行访问:
如图10所示,用于ASPF配置和包过滤的过滤规则依次分别为:Rule6′、Rule7′及Rule8′,假设报文从外部网络经过防火墙进入内部网络,当需要进行ASPF配置和包过滤检测的数据包从外部网络经过防火墙进入内部网络时,必须符合Rule6′、Rule7′及Rule8′三条过滤规则中的至少一条,假设报文A的源地址为:31.1.1.1,目的地址为:28.1.1.1,源端口号为1111、目的端口号为2222及网络协议TCP;假设报文B的源地址为:35.1.1.1,目的地址为:28.1.1.1,源端口为1111、目的端口为2222及网络协议TCP。将报文A中的内容与过滤规则Rule6′进行比较,可以发现报文A中的源地址、目的地址、源端口号及目的端口号包括在过滤规则Rule6′中的源地址、目的地址、源端口号及目的端口号中,报文A采用的网络协议符合过滤规则Rule6′规定的网络协议,则报文A符合过滤规则Rule6′,由于过滤规则Rule6′的动作属性为Permit,过滤规则Rule6′将报文A放行。同理判断报文B是否符合过滤规则Rule6′、Rule7′及Rule8′三条过滤规则中的一条,将报文B依次与过滤规则Rule6′、Rule7′及Rule8′进行比较,可以发现报文B中的源地址不包括在过滤规则Rule6′、Rule7′及Rule8′的源地址中,故报文B不符合过滤规则Rule6′、Rule7′及Rule8′。此时要看报文B在两个域之间的默认包过滤是不是允许报文通过,如果不允许,那么报文B将被丢弃,不能通过防火墙进入内部网络。
上述实施例说明了过滤规则中包含了源地址、源端口号、目的地址、目的端口号、网络协议、动作属性六项,并不是用来限定过滤规则中必须包括源地址、源端口号、目的地址、目的端口号、协议号、动作属性的每一项,过滤规则中除了必须包括动作属性外,可以只包括其中另外源地址、源端口号、目的地址、目的端口号及网络协议的一项或几项,如图12所示,过滤规则Rul1中只包括源地址(11.1.1、11.1.2及11.1.3)、源端口(22、33、44及11)和动作属性(Permit)。假设来自外部网络的报文C经过防火墙到达内部网络,报文C源地址为:11.1.1.1,目的地址为:28.1.1.1,源端口号为11、目的端口号为22及网络协议TCP。只需要判断报文C中的源地址、源端口是否符合过滤规则Rul1即可,可以发现报文C中的源地址、源端口符合过滤规则Rul1,根据过滤规则Rul1的动作属性Permit,报文C被放行。
上述实施例说明了管理装置独立于网络中防火墙设备之外时,如何实现防火墙的安全策略配置;对于网络中的一个或多个防火墙设备可以具有管理装置的功能的情况,防火墙的安全策略配置的实现方式与管理装置独立于网络中防火墙设备之外的情况相同,这里不再详述。
本发明实施例的有益技术效果:本发明实施例中,通过获取从源防火墙发来的包括最大报文速率、报文大小或开关参数的攻击防范配置信息;获取从所述源防火墙发来的包括IP地址、端口号、网络协议及动作属性的过滤规则信息;根据所述攻击防范配置信息及所述第一过滤规则信息生成包含安全策略配置信息的策略包;根据所述策略包中的安全策略配置信息对应的关联防火墙信息,将所述安全策略配置信息发送给关联防火墙;
从而实现将单台防火墙的安全策略逆向还原为策略包,从而为用户对防火墙进行安全策略配置提供了便利。
实施例二
图13为本发明实施例管理装置的结构示意图。如图13所示,所述的管理装置包括:配置信息获取单元1301,规则信息获取单元1302,策略包生成单元1303及信息发送单元1304,其中:
配置信息获取单元1301用于获取从源防火墙发来的包括最大报文速率、报文大小或开关参数的攻击防范配置信息;在一种实现下,配置信息获取单元1301具体通过通信协议Telnet向源防火墙发送请求攻击防范配置信息的命令,并接收源防火墙收到该命令后通过通信协议返回的包括最大报文速率、报文大小或开关参数的攻击防范配置信息。配置信息获取单元1301还可以通过简单网络协议(SNMP协议)等其它协议从源防火墙获取信息。
防火墙202的安全策略配置为防火墙202上的所有安全配置,包括默认包过滤、域间包过滤、ASPF、日志及各种攻击防范配置等。其中,攻击防范配置为针对各种网络攻击(如特殊报文攻击、地址报文攻击及畸形报文攻击等)而在防火墙202中所配置的配置项,攻击防范配置参数包括报文的最大速率,报文大小及开关。报文的最大速率是指防火墙202中指定某种报文允许的最大速率,如基于TCP/IP协议的SYNflood攻击,存在一个最大报文速率,超过这个最大速率,防火墙202将采取防御措施;报文大小指防火墙202规定报文的大小值,如网络控制消息协议(Internet Control Message ProtocolICMP)报文攻击,报文超过防火墙202规定的报文大小,防火墙202就丢弃该报文;开关的开启表明防火墙202对攻击进行防御,开关的闭合表示防火墙202对攻击不进行防御,如拒绝服务攻击中的Winnuke攻击。这些攻击防范配置参数(信息)存在于防火墙202中,管理装置可以通过Telnet、SNMP等协议从防火墙202上获取这些参数配置信息,存储到管理装置中。
规则信息获取单元1302用于获取从所述源防火墙发来的包括IP地址、端口号、网络协议及动作属性的第一过滤规则信息,所述第一过滤规则信息进一步包括应用领域信息及时间段信息。时间段信息表示防火墙202在什么时间执行该条过滤规则,如果时间段为any,表示任何时间都要执行该条过滤规则。应用领域表示该条过滤规则应用于何种领域,如应用于日志、包过滤(Packet Filter PF)或应用层包过滤(Application Specific Packet Filter ASPF)等,其中日志用于定义异常数据流的特征,当检测到定义的数据流时,向日志服务器发送报告。
在一种实现下,规则信息获取单元1302具体通过通信协议Telnet向源防火墙发送请求过滤规则信息的命令,并接收源防火墙收到该命令后通过通信协议所返回的包括IP地址、端口号、网络协议及动作属性的过滤规则信息。规则信息获取单元1302还可以通过简单网络协议(SNMP协议)等其它协议从源防火墙获取信息。
可选地,可以是配置信息获取单元1301先从源防火墙获取攻击防范配置信息,也可以是规则信息获取单元1302先从源防火墙获取过滤规则信息,二者不分先后顺序。
策略包生成单元1303,用于根据所述攻击防范配置信息及所述第一过滤规则信息生成包含安全策略配置信息的策略包;具体地,策略包生成单元1303首先根据所述第一过滤规则信息的IP地址、端口号、网络协议、动作属性及应用领域信息可以知道该应用领域在源防火墙的哪两个域之间,然后根据域间方向(出、入两种方向)可就可以判断出两个域中哪个为源安全域,哪个为目的安全域;然后将所述安全域信息及获得的关联防火墙信息加入所述第一过滤规则信息得到第二过滤规则信息;最后根据所述第二过滤规则信息及所述攻击防范配置信息生成包含安全策略配置信息的策略包。
根据源防火墙过滤规则的IP地址、端口号、网络协议、动作属性及应用领域(如包过滤、ASPF、日志等),可以知道该应用领域在源防火墙的哪两个域之间,然后根据域间方向(出、入两种方向)可就可以判断出两个域中哪个为源安全域,哪个为目的安全域,得到了过滤规则的安全域信息。
信息发送单元1304,用于根据所述策略包中的安全策略配置信息对应的关联防火墙信息,将所述安全策略配置信息发送给关联防火墙。关联防火墙为图2中包括源防火墙(防火墙202)的任何一台受管理装置控制的防火墙设备。
可选地,如图14所示,所述的管理装置还包括信息合并单元1401,用于根据所述过滤规则信息在相同应用领域内相对顺序不变的标准,将所述第二过滤规则信息中IP地址、端口号、网络协议及动作属性相同的不同过滤规则合并为同一条过滤规则;所述信息生成单元具体用于根据合并处理后的过滤规则信息及所述攻击防范配置信息生成安全策略配置信息。
本发明实施例的有益技术效果:本发明实施例中,通过获取从源防火墙发来的包括最大报文速率、报文大小或开关参数的攻击防范配置信息;获取从所述源防火墙发来的包括IP地址、端口号、网络协议及动作属性的过滤规则信息;根据所述攻击防范配置信息及所述第一过滤规则信息生成包含安全策略配置信息的策略包;根据所述策略包中的安全策略配置信息对应的关联防火墙信息,将所述安全策略配置信息发送给关联防火墙;从而实现将单台防火墙的安全策略逆向还原为策略包,从而为用户对防火墙进行安全策略配置提供了便利。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-OnlyMemory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种防火墙安全策略配置方法,其特征在于,所述方法包括:
获取从源防火墙发来的包括最大报文速率、报文大小或开关参数的攻击防范配置信息,并设定从源防火墙获取的每条攻击防范配置信息对应的关联防火墙;
获取从所述源防火墙发来的包括IP地址、端口号、网络协议及动作属性的第一过滤规则信息,并设定从源防火墙获取的每条第一过滤规则信息对应的关联防火墙;
根据所述攻击防范配置信息及所述第一过滤规则信息生成包含安全策略配置信息的策略包;
根据所述策略包中的安全策略配置信息对应的关联防火墙信息,将所述安全策略配置信息发送给关联防火墙,所述关联防火墙为网络中包括源防火墙的任何一台防火墙。
2.如权利要求1所述的方法,其特征在于,所述第一过滤规则信息进一步包括应用领域信息及时间段信息。
3.如权利要求2所述的方法,其特征在于,根据所述攻击防范配置信息及所述第一过滤规则信息生成包含安全策略配置信息的策略包,包括:
根据所述第一过滤规则信息的IP地址、端口号、网络协议、动作属性及应用领域信息获得安全域信息;
将所述安全域信息及获得的关联防火墙信息加入所述第一过滤规则信息得到第二过滤规则信息;
根据所述第二过滤规则信息及所述攻击防范配置信息生成包含安全策略配置信息的策略包。
4.如权利要求3所述的方法,其特征在于,所述方法还包括:
将所述第二过滤规则信息中IP地址、端口号、网络协议及动作属性相同的不同过滤规则合并为同一条过滤规则。
5.如权利要求4所述的方法,其特征在于,将所述第二过滤规则信息中IP地址、端口号、网络协议及动作属性相同的不同过滤规则合并为同一条过滤规则,包括:
根据所述第二过滤规则信息在相同应用领域内相对顺序不变的标准,将所述第二过滤规则信息中IP地址、端口号、网络协议及动作属性相同的不同过滤规则合并为同一条过滤规则。
6.如权利要求1所述的方法,其特征在于,所述方法进一步包括:将所述策略包中与所述源防火墙关联的安全策略配置信息发送给所述源防火墙。
7.一种管理装置,其特征在于,所述管理装置包括:
配置信息获取单元,用于获取从源防火墙发来的包括最大报文速率、报文大小或开关参数的攻击防范配置信息,并设定从源防火墙获取的每条攻击防范配置信息对应的关联防火墙;
规则信息获取单元,用于获取从所述源防火墙发来的包括IP地址、端口号、网络协议及动作属性的第一过滤规则信息,并设定从源防火墙获取的每条第一过滤规则信息对应的关联防火墙;
策略包生成单元,用于根据所述攻击防范配置信息及所述第一过滤规则信息生成包含安全策略配置信息的策略包;
信息发送单元,用于根据所述策略包中的安全策略配置信息对应的关联防火墙信息,将所述安全策略配置信息发送给关联防火墙,所述关联防火墙为网络中包括源防火墙的任何一台防火墙。
8.如权利要求7所述的管理装置,其特征在于,所述第一过滤规则信息进一步包括应用领域信息及时间段信息;
所述的策略包生成单元,具体用于根据所述第一过滤规则信息的IP地址、端口号、网络协议、动作属性及应用领域信息获得安全域信息;将所述安全域信息及获得的关联防火墙信息加入所述第一过滤规则信息得到第二过滤规则信息;根据所述第二过滤规则信息及所述攻击防范配置信息生成包含安全策略配置信息的策略包。
9.如权利要求8所述的管理装置,其特征在于,所述装置还包括:
信息合并单元,用于将所述第二过滤规则信息中IP地址、端口号、网络协议及动作属性相同的不同过滤规则合并为同一条过滤规则,得到合并处理后的过滤规则信息;
所述策略包生成单元具体用于根据合并处理后的过滤规则信息及所述攻击防范配置信息生成安全策略配置信息。
10.如权利要求9所述的管理装置,其特征在于,
所述信息合并单元,具体用于根据所述过滤规则信息在相同应用领域内相对顺序不变的标准,将所述第二过滤规则信息中IP地址、端口号、网络协议及动作属性相同的不同过滤规则合并为同一条过滤规则。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101397116A CN101582900B (zh) | 2009-06-24 | 2009-06-24 | 防火墙安全策略配置方法及管理装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101397116A CN101582900B (zh) | 2009-06-24 | 2009-06-24 | 防火墙安全策略配置方法及管理装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101582900A CN101582900A (zh) | 2009-11-18 |
| CN101582900B true CN101582900B (zh) | 2012-06-27 |
Family
ID=41364861
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009101397116A Expired - Fee Related CN101582900B (zh) | 2009-06-24 | 2009-06-24 | 防火墙安全策略配置方法及管理装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101582900B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103905407A (zh) * | 2012-12-28 | 2014-07-02 | 中国移动通信集团公司 | 一种防火墙访问控制策略的分析方法及装置 |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101834843B (zh) * | 2010-03-18 | 2012-12-05 | 吉林大学 | 建立防火墙吞吐率与过滤规则条数和排列顺序关系的方法 |
| CN103023682A (zh) * | 2011-09-26 | 2013-04-03 | 腾讯科技(深圳)有限公司 | 安全策略的管理方法和装置 |
| CN103457920B (zh) * | 2012-06-04 | 2016-12-14 | 中国科学院声学研究所 | 一种基于重叠网的分布式防火墙安全策略配置方法和系统 |
| CN103023707B (zh) * | 2012-12-28 | 2016-03-09 | 华为技术有限公司 | 一种策略配置的方法、管理服务器以及网络系统 |
| CN103905406B (zh) * | 2012-12-28 | 2017-09-12 | 中国移动通信集团公司 | 一种失效防火墙策略的检测方法和装置 |
| CN104079545A (zh) * | 2013-03-29 | 2014-10-01 | 西门子公司 | 一种提取数据包过滤规则的方法、装置和系统 |
| CN104135461A (zh) * | 2013-05-02 | 2014-11-05 | 中国移动通信集团河北有限公司 | 一种防火墙策略处理的方法及装置 |
| CN104243418A (zh) * | 2013-06-18 | 2014-12-24 | 富泰华工业(深圳)有限公司 | 信息拦截系统及方法 |
| CN104580078B (zh) * | 2013-10-15 | 2018-04-17 | 北京神州泰岳软件股份有限公司 | 一种网络访问控制方法和系统 |
| CN105393497B (zh) * | 2014-05-08 | 2019-09-20 | 华为技术有限公司 | 一种生成访问控制列表规则的方法、装置及系统 |
| CN105282099B (zh) * | 2014-06-25 | 2019-04-12 | 国家电网公司 | 防火墙命令的生成方法和装置 |
| CN105592049B (zh) * | 2015-09-07 | 2019-01-25 | 新华三技术有限公司 | 一种攻击防御规则的开启方法和装置 |
| CN106603524A (zh) * | 2016-12-09 | 2017-04-26 | 浙江宇视科技有限公司 | 一种安全规则的合并方法以及智能设备 |
| CN106790000B (zh) * | 2016-12-12 | 2019-11-12 | 杭州迪普科技股份有限公司 | 一种安全策略的配置方法及装置 |
| CN106790113A (zh) * | 2016-12-27 | 2017-05-31 | 华东师范大学 | 一种硬件防火墙配置管理方法及装置 |
| CN106709187B (zh) * | 2016-12-27 | 2020-06-05 | 北京航空航天大学 | 基于模型建立cpu的方法及装置 |
| CN109302409A (zh) * | 2018-10-31 | 2019-02-01 | 锐捷网络股份有限公司 | Acl访问控制策略的分析方法、装置、设备及存储介质 |
| CN110808963B (zh) * | 2019-10-17 | 2022-05-24 | 新华三信息安全技术有限公司 | 安全策略规则匹配方法、装置及防火墙设备 |
| CN112153053A (zh) * | 2020-09-25 | 2020-12-29 | 杭州安恒信息技术股份有限公司 | DDoS防护配置检测方法、装置、设备及可读存储介质 |
| CN112351014B (zh) * | 2020-10-28 | 2022-06-07 | 武汉思普崚技术有限公司 | 一种安全域间防火墙安全策略合规基线管理方法及装置 |
| CN113992407B (zh) * | 2021-10-27 | 2023-10-13 | 北京天融信网络安全技术有限公司 | 一种安全策略配置方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1722674A (zh) * | 2004-07-15 | 2006-01-18 | 联想网御科技(北京)有限公司 | 一种防火墙及其访问限制方法 |
| CN1725709A (zh) * | 2005-06-30 | 2006-01-25 | 杭州华为三康技术有限公司 | 网络设备与入侵检测系统联动的方法 |
| CN101340444A (zh) * | 2008-08-26 | 2009-01-07 | 华为技术有限公司 | 防火墙和服务器策略同步方法、系统和设备 |
-
2009
- 2009-06-24 CN CN2009101397116A patent/CN101582900B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1722674A (zh) * | 2004-07-15 | 2006-01-18 | 联想网御科技(北京)有限公司 | 一种防火墙及其访问限制方法 |
| CN1725709A (zh) * | 2005-06-30 | 2006-01-25 | 杭州华为三康技术有限公司 | 网络设备与入侵检测系统联动的方法 |
| CN101340444A (zh) * | 2008-08-26 | 2009-01-07 | 华为技术有限公司 | 防火墙和服务器策略同步方法、系统和设备 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103905407A (zh) * | 2012-12-28 | 2014-07-02 | 中国移动通信集团公司 | 一种防火墙访问控制策略的分析方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101582900A (zh) | 2009-11-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101582900B (zh) | 防火墙安全策略配置方法及管理装置 | |
| US9716690B2 (en) | Integrated security switch | |
| CN101616129B (zh) | 防网络攻击流量过载保护的方法、装置和系统 | |
| Ganesh Kumar et al. | Improved network traffic by attacking denial of service to protect resource using Z-test based 4-tier geomark traceback (Z4TGT) | |
| US8301771B2 (en) | Methods, systems, and computer program products for transmission control of sensitive application-layer data | |
| US7808897B1 (en) | Fast network security utilizing intrusion prevention systems | |
| CN106790193B (zh) | 基于主机网络行为的异常检测方法和装置 | |
| US11314614B2 (en) | Security for container networks | |
| CN109863732B (zh) | 用于通信网络的方法、和电子监测单元 | |
| US20080320582A1 (en) | Real-time industrial firewall | |
| CN104639504B (zh) | 网络协同防御方法、装置和系统 | |
| US20150052606A1 (en) | Method and a system to detect malicious software | |
| RU2402881C2 (ru) | Способ и средство управления потоками данных защищенных распределенных информационных систем в сети шифрованной связи | |
| CN103051605A (zh) | 一种数据包处理方法、装置和系统 | |
| US10567441B2 (en) | Distributed security system | |
| CN102571738A (zh) | 基于虚拟局域网交换的入侵防御方法与系统 | |
| CN103858383B (zh) | 防火墙群集中的验证共享 | |
| CN101141396B (zh) | 报文处理方法和网络设备 | |
| CN105429975A (zh) | 一种基于云终端的数据安全防御系统、方法及云终端安全系统 | |
| CN108199965B (zh) | Flow spec表项下发方法、网络设备、控制器及自治系统 | |
| RU2509425C1 (ru) | Способ и устройство управления потоками данных распределенной информационной системы | |
| US20060185009A1 (en) | Communication apparatus and communication method | |
| CN101729544A (zh) | 一种安全能力协商方法和系统 | |
| Zunnurhain et al. | FAPA: flooding attack protection architecture in a cloud system | |
| Shanmughapriya et al. | Bot net of things–a survey |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD. Free format text: FORMER NAME: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES CO., LTD. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee after: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. Address before: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee before: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220921 Address after: No. 1899 Xiyuan Avenue, high tech Zone (West District), Chengdu, Sichuan 610041 Patentee after: Chengdu Huawei Technologies Co.,Ltd. Address before: 611731 Qingshui River District, Chengdu hi tech Zone, Sichuan, China Patentee before: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120627 |