CN102394897A - 结合底线策略实现虚拟防火墙安全策略的系统和方法 - Google Patents
结合底线策略实现虚拟防火墙安全策略的系统和方法 Download PDFInfo
- Publication number
- CN102394897A CN102394897A CN2011104238956A CN201110423895A CN102394897A CN 102394897 A CN102394897 A CN 102394897A CN 2011104238956 A CN2011104238956 A CN 2011104238956A CN 201110423895 A CN201110423895 A CN 201110423895A CN 102394897 A CN102394897 A CN 102394897A
- Authority
- CN
- China
- Prior art keywords
- sub
- strategy
- bottom line
- firewall
- fire compartment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明公开了一种结合底线策略实现虚拟防火墙安全策略的系统,包括:底线策略数据库、子防火墙本地安全策略数据库、安全策略引擎、底线策略维护模块和子防火墙本地安全策略维护模块。本发明通过底线策略,主防火墙的管理员可以方便的对全局安全策略进行统一的管理,提升了虚拟防火墙解决方案的可管理性和安全性。
Description
技术领域
本发明涉及一种虚拟防火墙解决方案,特别涉及虚拟防火墙的安全策略管理技术,属于计算机网络安全边界防护技术领域。
背景技术
随着计算机技术的快速发展,服务器的强大处理能力为虚拟化技术提供了支持。虚拟化解决方案能够提高设备的利用率,降低对电力和空间的要求,甚至通过冗余配置提高设备的可靠性。
随着虚拟化技术的日趋广泛应用,设备的密集程度越来越高,不同安全级别、不同安全域的服务器之间必须做适当的隔离,并部署安全访问控制策略。传统的解决方案是将不同安全域的服务器划分成组,然后在服务器组之间部署防火墙来实施安全策略控制,这种方案涉及到数量较大的防火墙部署、安装、维护工作,对网络管理工作提出了挑战。另外,对于结构比较复杂的网络环境,或者下属单位比较多需要分别维护安全策略的情况下,也会面临类似的管理困境。
同服务器虚拟化类似,虚拟防火墙技术可以在一定程度上应对上述挑战。虚拟防火墙技术通过将一台物理防火墙(简称主防火墙)模拟成多台虚拟子防火墙(简称子防火墙),每台子防火墙相互独立,可以交由不同的管理员分别管理,从而大大降低投入,同时也可以降低对电力和空间的要求。
对目前的虚拟防火墙解决方案来说,虽然都是从同一台硬件防火墙虚拟出来,各子防火墙一般来说都是相对独立的。另一方面,既然都源于同一台物理防火墙,子防火墙在安全管理方面一般又会存在一定的共性。比如出现了某种病毒,或者服务器发现了未被修补的安全漏洞,需要对全局安全策略进行修改,从而消除或减轻病毒以及漏洞带来的影响。
要实现对全局安全策略的维护,主防火墙管理员要么协调所有子防火墙管理员进行维护,要么直接以各个子防火墙的管理员身份登录到子防火墙中进行维护。对子防火墙进行安全策略的维护时,还要根据子防火墙当前的安全策略进行适当的调整。如图3所示,一台物理防火墙在虚拟出N台子防火墙之后,维护管理工作也相应的增加了N倍。
在多管理员同时维护的情况下,子防火墙的管理员也完全可以对全局策略进行修改,从而出现违背全局安全策略的情况,进而带来安全隐患。
发明内容
针对上述防火墙安全策略的缺陷,本发明提供了一种结合底线策略实现虚拟防火墙安全策略的系统。
本发明实现过程如下:
该系统包括以下模块:
底线策略数据库,用于存储底线策略的内容;
子防火墙本地安全策略数据库,用于存储子防火墙本地安全策略的内容;
安全策略引擎,用于将用户请求与安全策略进行匹配并执行允许或拒绝操作,所述安全策略包括请求的所属子防火墙底线策略及本地安全策略;
底线策略维护模块,用于为主防火墙管理员服务,提供底线策略的维护功能;
子防火墙本地安全策略维护模块,用于为子防火墙管理员服务,提供本地安全策略的维护功能,同时支持查看应用到所属子防火墙的底线策略的功能。
其中,所述底线策略是一种全局安全策略,该策略独立于子防火墙的本地安全策略,同子防火墙本地的安全策略一起作用于用户请求之上。底线策略的修改不需要子防火墙管理员的参与,无需考虑子防火墙的当前配置,也无需对子防火墙的配置进行修改,修改后的底线策略会自动生效。
所述底线策略相对于子防火墙的本地安全策略具有更高的优先级,当二者发生冲突时,以该底线策略为准。所述底线策略的规划设计、创建和维护由主防火墙管理员来执行,为了便于子防火墙的管理,让子防火墙管理员在设置本地安全策略时能够意识到该底线策略的存在,允许子防火墙管理查看该底线策略,但不允许对其进行修改。
为了便于维护,所述底线策略在形式上可以和普通的安全策略相同,主防火墙管理员设置好一组安全策略之后,可以将该策略组指定给子防火墙作为底线策略。主防火墙管理员可以选择将一组策略指定给所有的子防火墙作为底线策略以便于统一管理,也可以选择给每个子防火墙分别指定不同的底线策略组以提高安全策略管理的灵活性。
本发明还提供了一种结合底线策略实现虚拟防火墙安全策略的方法,该方法包括以下步骤:(1)主防火墙管理员配置主防火墙;
(2)主防火墙管理员添加子防火墙配置,为其分配子接口资源,添加子防火墙管理员;
(3)主防火墙管理员设计整个防火墙系统的底线安全策略,并配置底线策略组;
(4)子防火墙管理员与底线安全策略进行匹配并给子防火墙分配底线策略;
(5)主防火墙管理员通知子防火墙管理员管理所属子防火墙信息;
(6)子防火墙管理员对所属子防火墙进行配置;
(7)主防火墙管理员完成防火墙系统的部署;
(8)主防火墙管理员维护底线策略;
(9)子防火墙管理员维护本地安全策略。
该底线策略和本地安全策略虽然由不同的管理员维护、存储在不同的位置,但它们都属于安全策略的范畴,都是分组管理的,每一组内都可以包含多条安全策略。一条安全策略通常包含特征匹配和处理动作两部分。处理动作主要包含允许和拒绝两大类,还可能包含像日志、限制等扩展动作。特征匹配部分则是对会话的特征进行限定,匹配特征可以包含但不限于源IP地址、目标IP地址、协议、端口号、时间、源MAC地址、目的MAC地址、连接建立速率、并发连接数等。
其中所述方法中底线安全策略匹配过程还包括以下步骤:
(1)查找用户请求所属的子防火墙;
(2)将用户请求与子防火墙底线策略匹配,匹配成功则按照子防火墙底线策略处理;
(3)将用户请求与子防火墙本地安全策略匹配,匹配成功则按照子防火墙本地安全策略处理;
(4)对底线策略和本地安全策略都不匹配的用户请求按默认策略做拒绝处理。
本发明的有益效果:
1、由于底线策略由主防火墙管理员负责修改,通知及协助子防火墙管理员的工作可以省略;
2、通过底线策略,主防火墙的管理员可以方便的对全局安全策略进行统一的管理,提升了虚拟防火墙解决方案的可管理性;
3、由于底线策略优先于子防火墙本地策略,因此典型安全策略可以确保得到实施;
4、由于子防火墙管理员只能查看不能修改底线策略,因此无需担心典型安全策略被其他管理员修改;
5、利用底线策略,主防火墙管理员就可以设定一条最低安全策略的底线,即使子防火墙管理员对其本地策略进行了不当的配置,也不会超越主防火墙划定的底线,将危害限制在一定范围之内,从而使系统的安全性得到基本的保障。
附图说明
图1为结合底线策略实现虚拟防火墙安全策略的系统模块结构图;
图2为所述虚拟防火墙系统对用户请求进行安全策略匹配的流程图;
图3为不支持底线策略的情况下,全局安全策略的实施情况;
图4为带底线策略支持的情况下,全局安全策略的实施情况。
具体实施方式
下面结合附图和实施例对本发明作进一步的说明。
实施例1
图1展示了结合底线策略实现虚拟防火墙安全策略的系统模块结构,该系统包括以下模块:底线策略数据库模块101,子防火墙本地安全策略数据库模块102,安全策略引擎模块103,底线策略维护模块104,子防火墙本地安全策略维护模块105。其中,
底线策略数据库模块101用来存储底线策略的内容,该模块是主防火墙的一部分,由主防火墙管理员负责维护,它可以作为主防火墙配置的一部分,也可以单独存储。模块101可以存储多组底线策略,每一组底线策略可以包含多条安全策略,一组底线策略内的安全策略按顺序匹配执行。
除了存储底线策略规则之外,模块101还存储了底线策略组与子防火墙之间的对应关系。主防火墙管理员可以将一组底线策略分配给所有的子防火墙以便于统一管理,也可以为每个子防火墙分配不同的底线策略以便提高管理的灵活性。如果主防火墙管理员要给一台子防火墙分配多组底线策略的话,需要注意它们之间的顺序,因为多组底线策略是按照管理员指定的顺序匹配的。
子防火墙本地安全策略数据库模块102用来存储子防火墙本地安全策略的内容。对于子防火墙管理员来说,子防火墙和普通的防火墙很相似。管理员可以配置多组本地安全策略,同一组的安全策略是按顺序执行的。模块102由子防火墙管理员负责维护,它是子防火墙配置的一部分。
安全策略引擎模块103是安全策略的执行机构,负责根据安全策略对用户的请求进行匹配并做相应的处理。与普通防火墙的安全策略引擎不同的是,该引擎需要综合考虑请求所属子防火墙的底线策略及本地安全策略。
底线策略维护模块模块104为主防火墙管理员服务,提供底线策略的配置和展示功能;同时支持底线策略与子防火墙对应关系的维护功能。
防火墙本地安全策略维护模块105为子防火墙管理员服务,提供本地安全策略的维护和展示功能;同时支持查看应用到所属子防火墙的底线策略的功能。
实施例2
图2展示了所述虚拟防火墙系统对用户请求进行安全策略匹配的流程。该流程包括以下步骤:
如图2步骤201所示,主防火墙从某个接口收到用户请求;
如图2步骤202所示,主防火墙对收到的用户请求进行分类,查找该请求所属的子防火墙。分类的依据与子防火墙的划分依据相同,可以根据用户请求进入的接口划分,也可以根据请求的IP地址或者MAC地址划分;
如图2步骤203所示,安全策略引擎将用户请求与分配给子防火墙的底线策略进行匹配,匹配就按照管理员配置的顺序依次进行。如果管理员没有给子防火墙分配底线策略,则跳过这个步骤,直接转到步骤204;如果底线策略匹配了用户请求,则不再进行步骤204,直接根据匹配规则的处理动作,允许(转步骤205)或者拒绝(转步骤206)该用户请求,处理流程结束;如果底线策略未能匹配用户请求,则继续下一个步骤204的处理;
如图2步骤204所示,对未被底线策略匹配的用户请求,安全策略引擎将其与子防火墙的本地安全策略进行匹配,匹配也是按照子防火墙管理员配置的顺序依次进行。如果本地安全策略匹配了用户请求,则根据匹配规则的处理动作,允许(转步骤205)或者拒绝(转步骤206)该用户请求,处理流程结束;
如图2步骤204所示,对未被底线策略匹配的用户请求,如果子防火墙管理员没有配置本地安全策略,又或者本地安全策略未能匹配用户请求,则按照默认策略对用户请求进行处理。出于安全考虑,一般的默认策略都是拒绝,于是就直接转到步骤206,处理流程结束。
下面对安全策略的匹配结果做进一步的说明,安全策略的匹配结果分为三类:允许、拒绝和未定义——这里的未定义包含两种情况,一是管理员没有配置相应的安全策略,二是安全策略未能匹配用户请求。在默认安全策略为拒绝的情况下,用户请求经过底线策略和子防火墙本地安全策略的匹配之后,最终的处理结果如表1所示。
实施例3
本实施例以典型安全策略的实施过程为例,对比有底线策略与无底线策略情况下,全局安全策略管理流程和安全性的差别。该实施例以一组防止蠕虫病毒传播的安全策略作为典型安全策略:病毒通过Windows文件共享的漏洞进行自动传播,相应的可以通过一组安全策略阻止病毒的进一步扩散:
(1)阻止目的端口是137的UDP会话;
(2)阻止目的端口是138的UDP会话;
(3)阻止目的端口是139的TCP会话;
(4)阻止目的端口是445的TCP会话。
图3展示了不支持底线策略的虚拟防火墙解决方案,在该方案中主防火墙模拟了N台子防火墙,每台子防火墙配备一个管理员。从图中我们看到,不同子防火墙的网络需求不同,因此各自的安全策略也各不相同。为了保证上述安全策略能够部署在所有子防火墙中去,主防火墙管理员需要做以下步骤:
(1)通知管理员X需要增加一组安全策略,告知安全策略的详细内容;
(2)上述步骤重复N次;
(3)登录防火墙X,验证安全策略是否得以正确的部署;
(4)上述步骤重复N*M次,其中M>=1。
可以看到,一个负责的管理员至少需要2N个步骤才能完成典型安全策略的部署。另外,以下的情况也必须充分考虑:N个管理员的水平各不相同,可能有个别管理员需要单独协助才能完成部署;N台防火墙的策略各不相同,新添加的策略是否会与现有策略发生冲突;经过一段时间之后,是否会有个别管理员在有意无意的情况下修改或删除了这些典型安全策略。
图4展示了支持底线策略的虚拟防火墙解决方案,为了保证上述安全策略能够部署在所有子防火墙中去,主防火墙管理员需要做以下步骤:
(1)分配给子防火墙X的底线策略中添加上述安全策略;
(2)如果每台子防火墙的底线策略各不相同,上述步骤需要重复N次;如果所有子防火墙共用同一组底线策略,上述步骤只需进行一次。
Claims (8)
1.结合底线策略实现虚拟防火墙安全策略的系统,其特征在于,包括:
底线策略数据库,用于存储底线策略的内容;
子防火墙本地安全策略数据库,用于存储子防火墙本地安全策略的内容;
安全策略引擎,用于将用户请求与安全策略进行匹配并执行允许或拒绝操作,所述安全策略包括请求的所属子防火墙底线策略及本地安全策略;
底线策略维护模块,用于为主防火墙管理员服务,提供底线策略的维护功能;
子防火墙本地安全策略维护模块,用于为子防火墙管理员服务,提供本地安全策略的维护功能,同时支持查看应用到所属子防火墙的底线策略的功能。
2.如权利要求1所述的系统,其特征在于:底线策略是一种全局安全策略,它独立于子防火墙的本地安全策略。
3.如权利要求1所述的系统,其特征在于:底线策略相对于子防火墙的本地安全策略具有更高的优先级,当二者发生冲突时,以底线策略为准。
4.如权利要求1所述的系统,其特征在于:底线策略由主防火墙管理员维护,子防火墙本地安全策略由子防火墙管理员维护,二者相互独立。
5.如权利要求1所述的系统,其特征在于:子防火墙管理员能够查看指定给所属子防火墙的底线策略,但不能对其进行修改。
6.如权利要求1所述的系统,其特征在于:主防火墙管理员选择指定一组底线策略给所有的子防火墙,或给不同子防火墙指定不同的底线策略。
7.权利要求1所述结合底线策略实现虚拟防火墙安全策略系统的实现方法,其特征在于,包括以下步骤:
(1)主防火墙管理员配置主防火墙;
(2)主防火墙管理员添加子防火墙配置,为其分配子接口资源,添加子防火墙管理员;
(3)主防火墙管理员设计整个防火墙系统的底线安全策略,并配置底线策略组;
(4)子防火墙管理员与底线安全策略进行匹配并给子防火墙分配底线策略;
(5)主防火墙管理员通知子防火墙管理员管理所属子防火墙信息;
(6)子防火墙管理员对所属子防火墙进行配置;
(7)主防火墙管理员完成防火墙系统的部署;
(8)主防火墙管理员维护底线策略;
(9)子防火墙管理员维护本地安全策略。
8.如权利要求7所述的方法,其特征在于步骤(4)中底线安全策略的匹配步骤如下:
(1)查找用户请求所属的子防火墙;
(2)将用户请求与子防火墙底线策略匹配,匹配成功则按照子防火墙底线策略处理;
(3)将用户请求与子防火墙本地安全策略匹配,匹配成功则按照子防火墙本地安全策略处理;
(4)对底线策略和本地安全策略都不匹配的用户请求按默认策略做拒绝处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011104238956A CN102394897A (zh) | 2011-12-18 | 2011-12-18 | 结合底线策略实现虚拟防火墙安全策略的系统和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011104238956A CN102394897A (zh) | 2011-12-18 | 2011-12-18 | 结合底线策略实现虚拟防火墙安全策略的系统和方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102394897A true CN102394897A (zh) | 2012-03-28 |
Family
ID=45862102
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011104238956A Pending CN102394897A (zh) | 2011-12-18 | 2011-12-18 | 结合底线策略实现虚拟防火墙安全策略的系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102394897A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103561027A (zh) * | 2013-11-05 | 2014-02-05 | 曙光云计算技术有限公司 | 虚拟网络隔离的实现方法和实现装置 |
| CN104113522A (zh) * | 2014-02-20 | 2014-10-22 | 西安未来国际信息股份有限公司 | 一种作用于云计算数据中心安全域的虚拟防火墙组件的设计 |
| CN108200095A (zh) * | 2018-02-09 | 2018-06-22 | 华北电力科学研究院有限责任公司 | 互联网边界安全策略脆弱性确定方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1748395A (zh) * | 2003-02-05 | 2006-03-15 | 日本电信电话株式会社 | 防火墙装置 |
| CN101212453A (zh) * | 2006-12-29 | 2008-07-02 | 凹凸科技(中国)有限公司 | 实现网络访问控制的方法及其防火墙装置 |
| CN101478533A (zh) * | 2008-11-29 | 2009-07-08 | 成都市华为赛门铁克科技有限公司 | 一种跨越虚拟防火墙发送和接收数据的方法及系统 |
-
2011
- 2011-12-18 CN CN2011104238956A patent/CN102394897A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1748395A (zh) * | 2003-02-05 | 2006-03-15 | 日本电信电话株式会社 | 防火墙装置 |
| CN101212453A (zh) * | 2006-12-29 | 2008-07-02 | 凹凸科技(中国)有限公司 | 实现网络访问控制的方法及其防火墙装置 |
| CN101478533A (zh) * | 2008-11-29 | 2009-07-08 | 成都市华为赛门铁克科技有限公司 | 一种跨越虚拟防火墙发送和接收数据的方法及系统 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103561027A (zh) * | 2013-11-05 | 2014-02-05 | 曙光云计算技术有限公司 | 虚拟网络隔离的实现方法和实现装置 |
| CN104113522A (zh) * | 2014-02-20 | 2014-10-22 | 西安未来国际信息股份有限公司 | 一种作用于云计算数据中心安全域的虚拟防火墙组件的设计 |
| CN108200095A (zh) * | 2018-02-09 | 2018-06-22 | 华北电力科学研究院有限责任公司 | 互联网边界安全策略脆弱性确定方法及装置 |
| CN108200095B (zh) * | 2018-02-09 | 2021-02-23 | 华北电力科学研究院有限责任公司 | 互联网边界安全策略脆弱性确定方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3311544B1 (en) | Managing dynamic ip address assignments | |
| CN105656903B (zh) | 一种Hive平台的用户安全管理系统及应用 | |
| CN106559382B (zh) | 基于opc协议的安全网关防护系统访问控制方法 | |
| CN105184147B (zh) | 云计算平台中的用户安全管理方法 | |
| CN101964799B (zh) | 点到网隧道方式下地址冲突的解决方法 | |
| CN105184164B (zh) | 一种数据处理方法 | |
| EP2109042A1 (en) | Cost-based deployment of components in heterogeneous environments | |
| US20110060725A1 (en) | Systems and methods for grid-based data scanning | |
| CN1703867A (zh) | 防火墙 | |
| CN1470989A (zh) | 独立于过程模式的驱动器模型 | |
| CN109413080B (zh) | 一种跨域动态权限控制方法及系统 | |
| CN105049412A (zh) | 一种不同网络间数据安全交换方法、装置及设备 | |
| CN100586123C (zh) | 基于角色管理的安全审计方法及系统 | |
| CN102394897A (zh) | 结合底线策略实现虚拟防火墙安全策略的系统和方法 | |
| Shamim | Mitigating security attacks in kubernetes manifests for security best practices violation | |
| CN103685586A (zh) | 一种实现地址共享的方法、装置和系统 | |
| CN1791026A (zh) | 一种网格授权实现方法 | |
| CN106789267A (zh) | 公有云管理系统及管理方法 | |
| CN106537873B (zh) | 建立针对虚拟化和管理的安全计算设备 | |
| EP1981242B1 (en) | Method and system for securing a commercial grid network | |
| CN112100608A (zh) | 多角色权限控制系统及方法 | |
| CN110098924A (zh) | 支持可搜索透明加密的层级密钥技术 | |
| US11651101B2 (en) | Multi-persona enrollment management | |
| US20130086623A1 (en) | Systems and methods for establishing isolation between content hosting services executing on common support server | |
| CN112637111B (zh) | 虚拟化云平台系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20120328 |