CN104753857B - 网络流量控制设备及其安全策略配置方法及装置 - Google Patents
网络流量控制设备及其安全策略配置方法及装置 Download PDFInfo
- Publication number
- CN104753857B CN104753857B CN201310733490.1A CN201310733490A CN104753857B CN 104753857 B CN104753857 B CN 104753857B CN 201310733490 A CN201310733490 A CN 201310733490A CN 104753857 B CN104753857 B CN 104753857B
- Authority
- CN
- China
- Prior art keywords
- security strategy
- source
- destination
- data flow
- little
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 33
- 238000012545 processing Methods 0.000 claims abstract description 91
- 230000008520 organization Effects 0.000 claims abstract description 47
- 230000009471 action Effects 0.000 claims description 34
- 238000004891 communication Methods 0.000 claims description 12
- 238000010586 diagram Methods 0.000 description 13
- 230000006870 function Effects 0.000 description 6
- 238000003860 storage Methods 0.000 description 5
- 230000000694 effects Effects 0.000 description 4
- 238000001514 detection method Methods 0.000 description 3
- 238000013519 translation Methods 0.000 description 2
- 241000930965 Spartobacteria Species 0.000 description 1
- 241000936928 Verrucomicrobia subdivision 3 Species 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 238000000151 deposition Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/535—Tracking the activity of the user
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种网络流量控制设备及其安全策略配置方法及装置,该方法包括:对输入的数据流,识别数据流的源、目的地以及应用类型,基于预定的企业组织结构执行第一上溯处理以得到第一源上溯点及第一目的地上溯点,生成第一安全策略,第一安全策略的匹配条件中的源被配置为第一源上溯点、第一安全策略的匹配条件中的目的地被配置为第一目的地上溯点、第一安全策略的匹配条件中的应用被配置为数据流的应用类型。通过基于预定企业组织结构执行第一上溯处理以得到第一源上溯点及第一目的地上溯点,生成第一安全策略,根据本发明实施例的网络流量控制设备上的安全策略配置方法及装置能够自动生成安全策略,降低安全策略的配置难度,提高配置成功率。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种网络流量控制设备及其安全策略配置方法及装置。
背景技术
安全策略是配置在网络流量控制设备,例如网络防火墙、安全网关或入侵检测设备上,用于对数据流进行转发以及进行内容安全检测的策略。安全策略中往往包含匹配条件和策略动作,匹配条件是指用于判断数据流是否与安全策略匹配的判断条件;策略动作是指在根据匹配条件判定数据流匹配安全策略的情况下要对数据流执行的动作,包括允许(permit)和禁止(forbidden)。
网络流量控制设备能够识别出数据流的属性,并将数据流的属性与安全策略的匹配条件进行匹配。如果所有匹配条件都匹配,则此数据流成功匹配安全策略。数据流匹配安全策略后,设备将会执行安全策略的策略动作。
安全策略的匹配条件中可配置的参数比较多,包括源及目的安全区域、源及目的地址、用户、服务、应用、时间段等。这些参数可以通过不同的组合方式,来定义出具有相同性质的数据流。例如,人力资源部的员工可以使用QQ应用,则可以将该安全策略配置为:源=“人力资源部”;目的地=任意网络(any);应用=“QQ”;动作=“允许”。
通常,由管理员根据自身的经验以及用户反馈,来手动配置和维护安全策略,这存在配置难度大且容易出错的问题。对于管理员的技能较低的中小企业来说,该问题尤为突出。
发明内容
技术问题
有鉴于此,本发明要解决的技术问题是,如何降低网络流量控制设备上安全策略的配置难度以及出错概率。
解决方案
第一方面,提供了一种网络流量控制设备上的安全策略配置方法,包括:
对输入的数据流,识别所述数据流的源、目的地以及应用类型,其中,所述源表示发出所述数据流的用户或者用户地址,所述数据流的目的地表示接收所述数据流的用户地址、服务器地址或者公网地址,所述应用类型表示所述数据流包括哪种应用的数据;
基于预定的企业组织结构执行第一上溯处理以得到第一源上溯点以及第一目的地上溯点,其中,所述第一源上溯点为所述数据流的源表示的用户所属的部门、或者为所述数据流的源表示的用户地址所属的网段,所述第一目的地上溯点为所述数据流的目的地表示的用户地址所属的网段、为与所述数据流的目的地表示的服务器地址对应的服务器、或者为与所述数据流的目的地表示的公网地址对应的任意地址;
生成第一安全策略,所述第一安全策略的匹配条件中的源被配置为所述第一源上溯点、所述第一安全策略的匹配条件中的目的地被配置为所述第一目的地上溯点、所述第一安全策略的匹配条件中的应用被配置为所述数据流的应用类型。
在第一方面的第一种可能的实施方式中,在所述生成第一安全策略之后,还包括:
判断所述网络流量控制设备中是否存在第二安全策略,所述第二安全策略的匹配条件与所述第一安全策略的匹配条件相比仅源不同,并且所述第二安全策略的策略动作与所述第一安全策略的策略动作相同;
在判断为存在所述第二安全策略的情况下,基于所述企业组织结构执行第二上溯处理以得到第二源上溯点,所述第二源上溯点为所述第一安全策略的源表示的部门与所述第二安全策略的源表示的部门共同所属的上一级部门、或者为所述第一安全策略的源表示的网段与所述第二安全策略的源表示的网段共同所属的上一级网段;
将所述第一安全策略的源更新为所述第二源上溯点,并删除所述第二安全策略。
结合第一方面、或第一方的第一种可能的实现方式,在第一方面的第二种可能的实施方式中,在所述生成第一安全策略之后,还包括:
判断所述网络流量控制设备中是否存在第三安全策略,所述第三安全策略的匹配条件与所述第一安全策略的匹配条件相比仅目的地不同,并且所述第三安全策略的策略动作与所述第一安全策略的策略动作相同;
在判断为存在所述第三安全策略的情况下,基于所述企业组织结构执行第三上溯处理以得到第二目的地上溯点,所述第二目的地上溯点为所述第一安全策略的目的地表示的网段与所述第三安全策略的目的地表示的网段共同所属的上一级网段;
将所述第一安全策略的目的地更新为所述第二目的地上溯点,并删除所述第三安全策略。
结合第一方面、或第一方面的上述任意一种可能的实现方式,在第一方面的第三种可能的实施方式中,在基于预定的企业组织结构执行第一上溯处理之后,还包括:将所述第一源上溯点、所述第一目的地上溯点以及所述数据流的应用类型作为一条三元组信息存储于存储器中;
在所述生成第一安全策略之后,还包括:将包括所述第一源上溯点、所述第一目的地上溯点以及所述数据流的应用类型的三元组信息从所述存储器删除;以及
在所述基于预定的企业组织结构执行第一上溯处理以得到第一源上溯点以及第一目的地上溯点之前,还包括:判断所述存储器中是否存在与所述数据流的源、目的地以及应用类型匹配的三元组信息;
并且,在判断为所述存储器中不存在与所述数据流的源、目的地以及应用类型匹配的三元组信息的情况下,执行所述第一上溯处理。
第二方面,提供了一种网络流量控制设备上的安全策略配置装置,包括:
识别模块,用于对输入的数据流,识别所述数据流的源、目的地以及应用类型,其中,所述源表示发出所述数据流的用户或者用户地址,所述数据流的目的地表示接收所述数据流的用户地址、服务器地址或者公网地址,所述应用类型表示所述数据流包括哪种应用的数据;
第一上溯处理模块,与所述识别模块连接,用于基于预定的企业组织结构执行第一上溯处理以得到第一源上溯点以及第一目的地上溯点,其中,所述第一源上溯点为所述数据流的源表示的用户所属的部门、或者为所述数据流的源表示的用户地址所属的网段,所述第一目的地上溯点为所述数据流的目的地表示的用户地址所属的网段、为与所述数据流的目的地表示的服务器地址对应的服务器、或者为与所述数据流的目的地表示的公网地址对应的任意地址;
生成模块,与所述第一上溯处理模块连接,用于生成第一安全策略,所述第一安全策略的匹配条件中的源被配置为所述第一源上溯点、所述第一安全策略的匹配条件中的目的地被配置为所述第一目的地上溯点、所述第一安全策略的匹配条件中的应用被配置为所述数据流的应用类型。
在第二方面的第一种可能的实施方式中,该装置还包括:
第一判断模块,与所述生成模块连接,用于判断所述网络流量控制设备中是否存在第二安全策略,所述第二安全策略的匹配条件与所述第一安全策略的匹配条件相比仅源不同,并且所述第二安全策略的策略动作与所述第一安全策略的策略动作相同;
第二上溯处理模块,与所述第一判断模块连接,用于在判断为存在所述第二安全策略的情况下,基于所述企业组织结构执行第二上溯处理以得到第二源上溯点,所述第二源上溯点为所述第一安全策略的源表示的部门与所述第二安全策略的源表示的部门共同所属的上一级部门、或者为所述第一安全策略的源表示的网段与所述第二安全策略的源表示的网段共同所属的上一级网段;
更新模块,与所述第二上溯处理模块连接,用于将所述第一安全策略的源更新为所述第二源上溯点,并删除所述第二安全策略。
结合第二方面、或第二方面的第一种可能的实现方式,在第二方面的第二种可能的实施方式中,该装置还包括:
第二判断模块,与所述生成模块连接,用于判断所述网络流量控制设备中是否存在第三安全策略,所述第三安全策略的匹配条件与所述第一安全策略的匹配条件相比仅目的地不同,并且所述第三安全策略的策略动作与所述第一安全策略的策略动作相同;
第三上溯处理模块,与所述第二判断模块及所述更新模块连接,用于在判断为存在所述第三安全策略的情况下,基于所述企业组织结构执行第三上溯处理以得到第二目的地上溯点,所述第二目的地上溯点为所述第一安全策略的目的地表示的网段与所述第三安全策略的目的地表示的网段共同所属的上一级网段;
所述更新模块还被配置为,将所述第一安全策略的目的地更新为所述第二目的地上溯点,并删除所述第三安全策略。
结合第二方面、或第二方面的上述任意一种可能的实现方式,在第二方面的第三种可能的实施方式中,该装置还包括:
三元组生成模块,与所述第一上溯处理模块连接,用于向所述存储器发送指令,在基于预定的企业组织结构执行第一上溯处理之后,将所述第一源上溯点、所述第一目的地上溯点以及所述数据流的应用类型作为一条三元组信息存储于存储器中;并且,在所述生成第一安全策略之后,将包括所述第一源上溯点、所述第一目的地上溯点以及所述数据流的应用类型的三元组信息从所述存储器删除;
三元组判断模块,与所述识别模块及所述第一上溯处理模块连接,用于在所述基于预定的企业组织结构执行第一上溯处理以得到第一源上溯点以及第一目的地上溯点之前,判断所述存储器中是否存在与所述数据流的源、目的地以及应用类型匹配的三元组信息;并且,在判断为所述存储器中不存在与所述数据流的源、目的地以及应用类型匹配的三元组信息的情况下,执行所述第一上溯处理。
第三方面,提供一种网络流量控制设备,包括存储器、通信接口和处理器;
所述存储器用于存储程序代码;
所述处理器读取所述存储器中存储的程序代码,执行:
对所述通信接口获得的数据流,识别所述数据流的源、目的地以及应用类型,其中,所述源表示发出所述数据流的用户或者用户地址,所述数据流的目的地表示接收所述数据流的用户地址、服务器地址或者公网地址,所述应用类型表示所述数据流包括哪种应用的数据;
基于预定的企业组织结构执行第一上溯处理以得到第一源上溯点以及第一目的地上溯点,其中,所述第一源上溯点为所述数据流的源表示的用户所属的部门、或者为所述数据流的源表示的用户地址所属的网段,所述第一目的地上溯点为所述数据流的目的地表示的用户地址所属的网段、为与所述数据流的目的地表示的服务器地址对应的服务器、或者为与所述数据流的目的地表示的公网地址对应的任意地址;
生成第一安全策略,所述第一安全策略的匹配条件中的源被配置为所述第一源上溯点、所述第一安全策略的匹配条件中的目的地被配置为所述第一目的地上溯点、所述第一安全策略的匹配条件中的应用被配置为所述数据流的应用类型。
有益效果
通过基于预定的企业组织结构执行第一上溯处理以得到第一源上溯点以及第一目的地上溯点,生成第一安全策略,根据本发明实施例的网络流量控制设备上的安全策略配置方法及装置能够自动生成安全策略,降低安全策略的配置难度,提高成功率。
通过在基于预定的企业组织结构执行第一上溯处理之前,判断存储器中是否存在与该数据流匹配的三元组信息,根据本发明实施例的网络流量控制设备上的安全策略配置方法及装置能够过滤正在处理的数据流,防止数据流重复进入流程,提高配置安全策略的效率。
通过判断网络流量控制设备中是否存在已有的第二安全策略及第三安全策略,并通过将第一安全策略分别与第二安全策略及第三安全策略做第二上溯处理,根据本发明实施例的网络流量控制设备上的安全策略配置方法及装置能够对生成的安全策略做进一步归并,减少生成的安全策略的数量,达到精简网络流量控制设备中的安全策略的效果。
根据下面参考附图对示例性实施例的详细说明,本发明的其它特征及方面将变得清楚。
附图说明
包含在说明书中并且构成说明书的一部分的附图与说明书一起示出了本发明的示例性实施例、特征和方面,并且用于解释本发明的原理。
图1示出本发明实施例提供的一种网络流量控制设备上的安全策略配置方法的流程图;
图2示出本发明实施例中用户模型1的组织结构示意图;
图3示出本发明实施例中用户模型2的组织结构示意图;
图4示出本发明实施例中用户模型3的组织结构示意图;
图5示出本发明实施例中当数据流的源表示用户地址时执行第一上溯处理的示意图;
图6示出本发明实施例中在私网地址中区分企业用户地址和服务器地址的方法的流程图;
图7示出本发明实施例中提供的另一种网络流量控制设备上的安全策略配置方法的流程图;
图8示出本发明实施例中用户模型4的组织结构示意图;
图9a及图9b示出本发明实施例中用户模型5的组织结构示意图;
图10示出本发明实施例提供的一种网络流量控制设备上的安全策略配置装置的结构示意图;
图11示出本发明实施例提供的另一种网络流量控制设备上的安全策略配置装置的结构示意图;
图12示出本发明实施例提供的一种网络流量控制设备的结构示意图。
具体实施方式
以下将参考附图详细说明本发明的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面,但是除非特别指出,不必按比例绘制附图。
在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。
另外,为了更好的说明本发明,在下文的具体实施方式中给出了众多的具体细节。本领域技术人员应当理解,没有某些具体细节,本发明同样可以实施。在一些实例中,对于本领域技术人员熟知的方法、手段、元件和电路未作详细描述,以便于凸显本发明的主旨。
实施例1
图1示出根据本发明一实施例的网络流量控制设备上的安全策略配置方法的流程图。本发明实施例中的网络流量控制设备包括但不限于防火墙,路由器、入侵检测设备等网络设备。如图1所示,该方法主要包括:
步骤S101、对输入的数据流,识别所述数据流的源、目的地以及应用类型。
其中,所述源表示发出所述数据流的用户或者用户地址,例如用户A或用户的网络协议地址(英文:Internet Protocol Address,缩写:IP地址);所述数据流的目的地表示接收所述数据流的用户地址、服务器地址或者公网地址,所述应用类型表示所述数据流包括哪种应用的数据,例如应用类型为QQ。
在一种可能的实施方式中,步骤S101之后还可以包括新建一条允许所有(英文:permit any)策略,允许所有用户访问。若数据流匹配了现有策略,则按照现有策略处理,若数据流未匹配现有策略,则匹配permit any策略,当有一条数据流匹配了permit any策略时,进入步骤S102。
步骤S102、基于预定的企业组织结构执行第一上溯处理以得到第一源上溯点以及第一目的地上溯点。
其中,第一源上溯点为所述数据流的源表示的用户所属的部门、或者为所述数据流的源表示的用户地址所属的网段。
当所述源表示用户时,第一源上溯点为所述源表示的用户所属的部门;当所述源表示用户所属的部门时,将与所述源对应的上溯点设置为所述部门或上一层部门。下面结合附图,根据不同的用户模型分别阐述第一上溯处理的原则,图2示出用户模型1的组织结构示意图,图3示出用户模型2的组织结构示意图,如图2及图3所示,在一种可能的实施方式中,一个部门可能只存在一个子部门或一个员工,这两种用户模型下,此类用户可以直接上溯到上一层部门。图4示出用户模型3的组织结构示意图,如图4所示,用户部门下存在多个用户,此时用户可以直接上溯到上一层部门,也可以配置为当该部门下至少若干个用户存在同样的目的地及同样应用类型的策略时才上溯到上一层部门。
当所述源表示用户地址时,第一源上溯点为所述数据流的源表示的用户地址所属的网段。图5示出当数据流的源表示用户地址时执行第一上溯处理的示意图。当一个IP地址使用一个应用的情况下,可以上溯IP地址到24位网段。一个IP网段的所有IP不可能均被用户使用到,在按照IP地址来配置策略的情况下,管理员会对企业的网络按组进行规划,因此同网段的用户属于相同部门的可能性较大。24位掩码属于通用的网段划分标准。网段掩码上溯的原则是当23位掩码都存在的情况下,上溯到23位掩码。
第一目的地上溯点可以为数据流的目的地表示的用户地址所属的网段,第一目的地上溯点也可以为与数据流的目的地表示的服务器地址对应的服务器、或者为与数据流的目的地表示的公网地址对应的任意地址any。
对目的地所表示的地址区分公网地址和私网地址,私网地址需要细分为服务器地址和企业用户地址。当目的地表示公网地址时,将第一目的地上溯点设置为任意地址any;当目的地表示服务器地址时,将第一目的地上溯点设置为服务器;当目的地表示用户地址时,将第一目的地上溯点设置为该用户地址所属的网段。
其中,公网IP地址通过IP网段来识别,所有的私网IP地址集中在三个私网地址池10.0.0.0~10.255.255.255、172.16.0.0~172.31.0.0、192.168.0.0~192.168.255.255中,属于私网地址池外的地址均为公网IP地址,公网IP地址直接上溯为any。
私网地址需要细分为服务器地址和企业用户地址,图6示出在私网地址中区分企业用户地址和服务器地址的方法的流程图。首先必须满足目的地址为私网地址的前提条件,具体步骤如下:
步骤S601、判断源地址是否为公网地址。
是则执行步骤S606、将目的地址识别为服务器地址;
否则执行步骤S602。
步骤S602、判断目的地址属于非军事化安全区域(英文:De Militarized Zone,缩写:DMZ)。
是则执行步骤S606;否则执行步骤S603。
网络流量控制设备通常存在多个缺省的安全区域:受信任安全区域(通常用于部属公司的内网)、比较可信的网络以及不受信任安全区域(通常用于部属未知网络)。DMZ安全区域,通常用于部属服务器。服务器用于对外提供服务,因此将服务器部属到DMZ安全区域对于公司内网比较安全。
步骤S603、判断目的地址是否属于服务器负载均衡(英文:Server LoadBalancing,缩写:SLB)或网络地址转换服务器(英文:Network Address TranslationServer,缩写:NAT Server)的地址。
是则执行步骤S606;否则执行步骤S604。
SLB和NAT Server用于企业对外网提供服务的场景,将服务器的私网IP地址映射为虚拟的公网IP地址来供外部用户访问。SLB和NAT Server的区别在于服务器的个数是一台还是多台。SLB对应多台服务器的场景,多台服务器之间采用一定的调度算法,负载分担外网访问的流量。NAT Server对应只有一台服务器的场景,无需调度算法,所有的流量都映射到这一台服务器上。
步骤S604、判断域名解析系统(英文:Domain Name System,缩写:DNS)请求的响应地址是否为私网地址。
是则执行步骤S606;否则执行步骤S605。
DNS服务器用于返回具体域名的实际IP地址。若服务器存在于私网,需要用域名提供给内部用户访问时,其对应的IP地址也可能为私网IP地址。因此这种情况下需要将其识别为服务器地址。
步骤S605、将目的地址识别为企业用户地址。
当所述目的地表示企业用户地址时,将第一目的地上溯点设置为该企业用户地址所属的网段,其进行第一上溯处理的方法与图5所示及相应描述类似,在此不再赘述。
步骤S103、生成第一安全策略,所述第一安全策略的匹配条件中的源被配置为所述第一源上溯点、所述第一安全策略的匹配条件中的目的地被配置为所述第一目的地上溯点、所述第一安全策略的匹配条件中的应用被配置为所述数据流的应用类型。
通过基于预定的企业组织结构执行第一上溯处理以得到第一源上溯点以及第一目的地上溯点,生成第一安全策略,根据本发明实施例的网络流量控制设备上的安全策略配置方法能够自动生成安全策略,降低安全策略的配置难度,提高配置的成功率。
实施例2
图7示出根据本发明另一实施例的网络流量控制设备上的安全策略配置方法的流程图。图7中标号与图1相同的组件具有相同的功能,为简明起见,省略对这些组件的详细说明。如图7所示,在一种可能的实现方式中,在步骤S101之后,该方法还包括:
步骤S701、判断存储器中是否存在与所述数据流的源、目的地以及应用类型匹配的三元组信息。
在判断为所述存储器中不存在与数据流的源、目的地以及应用类型匹配的三元组信息的情况下,执行步骤S102;
在判断为存在匹配的三元组信息的情况下,结束流程。
步骤S102、与图1中步骤S102类似,在此不再赘述。
步骤S702、将第一源上溯点、第一目的地上溯点以及该数据流的应用类型作为一条三元组信息存储于存储器中。
本发明实施例通过在基于预定的企业组织结构执行第一上溯处理之前,判断存储器中是否存在与该数据流匹配的三元组信息,过滤正在处理的数据流,防止数据流重复进入流程,提高配置安全策略的效率。
步骤S103、与图1中步骤S103类似,在此不再赘述。例如,用户A源地址192.168.0.2通过上网登录了QQ,生成一条第一安全策略:源=192.168.0.0/24;目的地=any;应用=QQ;动作=允许。
步骤S703、判断网络流量控制设备中是否存在第二安全策略,第二安全策略的匹配条件与第一安全策略的匹配条件相比仅源不同,并且第二安全策略的策略动作与第一安全策略的策略动作相同。需要说明的是,第二安全策略可以为一条或多条。
在判断结果为是的情况下,执行步骤S704,例如,网络流量控制设备中存在第二安全策略:源=192.168.1.0/24;目的地=any;应用=QQ;动作=允许,则执行步骤S704。
在判断结果为否的情况下,结束流程。
步骤S704、基于所述企业组织结构执行第二上溯处理以得到第二源上溯点,所述第二源上溯点为所述第一安全策略的源表示的部门与所述第二安全策略的源表示的部门共同所属的上一级部门、或者为所述第一安全策略的源表示的网段与所述第二安全策略的源表示的网段共同所属的上一级网段。
第二上溯处理包括:当所述第一安全策略以及所述第二安全策略的源均表示部门时,将与所述第一安全策略的源以及所述第二安全策略的源对应的上溯点设置为所述部门共同的上一级部门。例如,图8所示出的用户模型4的组织结构示意图,第一安全策略以及第二安全策略的源分别表示图中的子部门,将与第一安全策略的源以及第二安全策略的源对应的上溯点设置为两个子部门共同的上一级部门。图9a及图9b示出用户模型5的组织结构示意图,部门下面既存在一个或多个子部门,又存在一个或多个用户时,在步骤S102中可以将该部门下的直属用户形成一个虚拟子部门3(如图9b所示),将员工先上溯到该虚拟子部门3,即第一安全策略的源为该虚拟子部门3。在本步骤中,若存在第二安全策略的源为该子部门2,其它匹配条件均与第一安全策略相同,则符合部门上溯条件,可以将与第一安全策略的源以及第二安全策略的源对应的上溯点设置为子部门2及子部门3共同的上一级部门。此外,在一种可能的实现方式中,一个用户拥有多个部门权限,每个部门都按自己的上溯原则进行上溯,参考模型1-5的处理原则。
当第一安全策略以及第二安全策略的源均表示网段时,将与第一安全策略的源以及第二安全策略的源对应的上溯点设置为两个网段同属的上一级网段。例如将第一安全策略的源(192.168.0.0/24)及第二安全策略的源(192.168.1.0/24)上溯为(192.168.0.0/23)。
步骤S705、将所述第一安全策略的源更新为所述第二源上溯点,并删除所述第二安全策略。
例如将第一安全策略更新为:源=192.168.0.0/23;目的地=any;应用=QQ;动作=允许,删除原第二安全策略(源=192.168.1.0/24;目的地=any;应用=QQ;动作=允许)。
步骤S706、判断网络流量控制设备中是否存在第三安全策略,第三安全策略的匹配条件与第一安全策略的匹配条件相比仅目的地不同,并且第三安全策略的策略动作与第一安全策略的策略动作相同。
在判断结果为是的情况下,执行步骤S707;
在判断结果为否的情况下,结束流程。
步骤S707、基于企业组织结构执行第三上溯处理以得到第二目的地上溯点,第二目的地上溯点为第一安全策略的目的地表示的网段与第三安全策略的目的地表示的网段共同所属的上一级网段。
步骤S708、将第一安全策略的目的地更新为所述第二目的地上溯点,并删除第三安全策略。
步骤S706-S708与步骤S703-S705类似,在此不再举例说明。第三安全策略也可以为一条或多条。本发明实施例通过判断网络流量控制设备中是否存在已有的第二安全策略及第三安全策略,并通过将第一安全策略与第二安全策略及第三安全策略做第二上溯处理,对生成的安全策略做进一步归并,减少生成的安全策略的数量,达到精简网络流量控制设备中的安全策略的效果。
步骤S709、将包括第一源上溯点、第一目的地上溯点以及数据流的应用类型的三元组信息从所述存储器删除。
已生成安全策略,后续与该三元组匹配的数据流会命中已生成的安全策略,不再命中permit any策略,因此存储器中的三元组信息无需再继续保存。管理员查看基于流量模型生成的策略,批量应用策略,运行一段周期,验证策略的合理性,当permit any没有新的流量命中时,可以认为用户的流量已经稳定。
通过基于预定的企业组织结构执行第一上溯处理以得到第一源上溯点以及第一目的地上溯点,生成第一安全策略,根据本发明实施例的网络流量控制设备上的安全策略配置方法能够自动生成安全策略,降低安全策略的配置难度,提高配置成功率。
通过在基于预定的企业组织结构执行第一上溯处理之前,判断存储器中是否存在与该数据流匹配的三元组信息,根据本发明实施例的网络流量控制设备上的安全策略配置方法能够过滤正在处理的数据流,防止数据流重复进入流程,提高配置安全策略的效率。
通过判断网络流量控制设备中是否存在已有的第二安全策略及第三安全策略,并通过将第一安全策略分别与第二安全策略及第三安全策略做第二上溯处理,根据本发明实施例的网络流量控制设备上的安全策略配置方法能够对生成的安全策略做进一步归并,减少生成的安全策略的数量,达到精简网络流量控制设备中的安全策略的效果。
实施例3
图10示出根据本发明一实施例的网络流量控制设备上的安全策略配置装置的结构示意图。如图10所示,该装置10包括:识别模块110、第一上溯处理模块120、生成模块130。
识别模块110,用于对输入的数据流,识别所述数据流的源、目的地以及应用类型,其中,所述源表示发出所述数据流的用户或者用户地址,所述数据流的目的地表示接收所述数据流的用户地址、服务器地址或者公网地址,所述应用类型表示所述数据流包括哪种应用的数据。
第一上溯处理模块120,与所述识别模块110连接,用于基于预定的企业组织结构执行第一上溯处理以得到第一源上溯点以及第一目的地上溯点,其中,所述第一源上溯点为所述数据流的源表示的用户所属的部门、或者为所述数据流的源表示的用户地址所属的网段,所述第一目的地上溯点为所述数据流的目的地表示的用户地址所属的网段、为与所述数据流的目的地表示的服务器地址对应的服务器、或者为与所述数据流的目的地表示的公网地址对应的任意地址。
生成模块130,与所述第一上溯处理模块120连接,用于生成第一安全策略,所述第一安全策略的匹配条件中的源被配置为所述第一源上溯点、所述第一安全策略的匹配条件中的目的地被配置为所述第一目的地上溯点、所述第一安全策略的匹配条件中的应用被配置为所述数据流的应用类型。
具体地,识别模块110识别数据流的源、目的地以及应用类型可以参照实施例1中步骤S101,第一上溯处理模块120基于预定的企业组织结构对所述数据流的源以及目的地执行第一上溯点发现处理以得到与数据流的源对应的上溯点以及与数据流的目的地对应的上溯点,具体过程可以参见实施例1中步骤S102的相关描述。
通过第一上溯处理模块120基于预定的企业组织结构执行第一上溯处理,以得到第一源上溯点以及第一目的地上溯点,生成第一安全策略,根据本发明实施例的网络流量控制设备上的安全策略配置装置10能够自动生成安全策略,降低安全策略的配置难度,提高配置成功率。
实施例4
图11示出根据本发明一实施例的网络流量控制设备上的安全策略配置装置的结构示意图。如图11所示,图11中标号与图10相同的组件具有相同的功能,为简明起见,省略对这些组件的详细说明。该装置10还包括:第一判断模块210、第二上溯处理模块220、更新模块230、第二判断模块240、第三上溯处理模块250。
第一判断模块210,与生成模块130连接,用于判断所述网络流量控制设备中是否存在第二安全策略,所述第二安全策略的匹配条件与所述第一安全策略的匹配条件相比仅源不同,并且所述第二安全策略的策略动作与所述第一安全策略的策略动作相同。
第二上溯处理模块220,与第一判断模块210连接,用于在判断为存在所述第二安全策略的情况下,基于所述企业组织结构执行第二上溯处理以得到第二源上溯点,所述第二源上溯点为所述第一安全策略的源表示的部门与所述第二安全策略的源表示的部门共同所属的上一级部门、或者为所述第一安全策略的源表示的网段与所述第二安全策略的源表示的网段共同所属的上一级网段。
更新模块230,与第二上溯处理模块220连接,用于将所述第一安全策略的源更新为所述第二源上溯点,并删除所述第二安全策略。
第二判断模块240,与生成模块130连接,用于判断所述网络流量控制设备中是否存在第三安全策略,第三安全策略的匹配条件与第一安全策略的匹配条件相比仅目的地不同,并且所述第三安全策略的策略动作与所述第一安全策略的策略动作相同。
第三上溯处理模块250,与第二判断模块240及所述更新模块230连接,用于在判断为存在所述第三安全策略的情况下,基于所述企业组织结构执行第三上溯处理以得到第二目的地上溯点,所述第二目的地上溯点为所述第一安全策略的目的地表示的网段与所述第三安全策略的目的地表示的网段共同所属的上一级网段。
更新模块230还被配置为,将所述第一安全策略的目的地更新为所述第二目的地上溯点,并删除所述第三安全策略。具体可以参见实施例2中步骤S703-S708中的相关描述,此处不再赘述。本发明实施例的网络流量控制设备上的安全策略配置装置10通过第一判断模块210及第二判断模块240判断网络流量控制设备中是否存在已有的第二安全策略及第三安全策略,并通过第二上溯处理模块220及第三上溯处理模块250将第一安全策略分别与第二安全策略及第三安全策略做第二上溯处理,对生成的安全策略做进一步归并,减少生成的安全策略的数量,达到精简网络流量控制设备中的安全策略的效果。
在再一种可能的实现方式中,该装置10还包括:三元组生成模块260、三元组判断模块270。
三元组生成模块260,与第一上溯处理模块120及存储器300连接,用于向存储器300发送指令,在基于预定的企业组织结构执行第一上溯处理之后,将第一源上溯点、第一目的地上溯点以及数据流的应用类型作为一条三元组信息存储于存储器300中;并且,在生成模块130生成第一安全策略之后,将包括所述第一源上溯点、第一目的地上溯点以及数据流的应用类型的三元组信息从所述存储器300中删除。
三元组判断模块270,分别与识别模块110、第一上溯处理模块120及存储器300连接,用于在基于预定的企业组织结构执行第一上溯处理之前,判断存储器300中是否存在与数据流的源、目的地以及应用类型匹配的三元组信息,并且,在判断为存储器300中不存在与所述数据流的源、目的地以及应用类型匹配的三元组信息的情况下,由第一上溯处理模块120执行第一上溯处理。具体步骤参见实施例2中关于步骤S701、步骤S702及步骤S709的详细描述,此处不再赘述。本发明实施例的网络流量控制设备的安全策略配置装置10通过三元组生成模块260、三元组判断模块270过滤正在处理的数据流,防止具有相同属性的数据流重复进入流程,提高配置安全策略的效率。
实施例5
图12示出了本发明的一个实施例的一种网络流量控制设备的结构示意图。所述网络流量控制设备上的安全策略配置装置1100可以是具备计算能力的主机服务器、个人计算机PC、或者可携带的便携式计算机或终端等。本发明具体实施例并不对计算节点的具体实现做限定。
所述网络流量控制设备上的安全策略配置装置1100包括处理器(processor)1110、通信接口(Communications Interface)1120、存储器(memory)1130和总线1140。其中,处理器1110、通信接口1120、以及存储器1130通过总线1140完成相互间的通信。
通信接口1120用于与网络设备通信,其中网络设备包括例如虚拟机管理中心、共享存储等。在本实施例中通信接口1120用于获得数据流。
处理器1110用于读取存储器1130中存储的程序代码并执行。处理器1110可能是一个中央处理器CPU,或者是专用集成电路ASIC(Application Specific IntegratedCircuit),或者是被配置成实施本发明实施例的一个或多个集成电路。
存储器1130用于存放程序代码。存储器1130可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。存储器1130也可以是存储器阵列。存储器1130还可能被分块,并且所述块可按一定的规则组合成虚拟卷。
在一种可能的实施方式中,上述程序可为包括计算机操作指令的程序代码。该程序具体可用于:
对通信接口1120输入的数据流,识别所述数据流的源、目的地以及应用类型,其中,所述源表示发出所述数据流的用户或者用户地址,所述数据流的目的地表示接收所述数据流的用户地址、服务器地址或者公网地址,所述应用类型表示所述数据流包括哪种应用的数据;
基于预定的企业组织结构执行第一上溯处理以得到第一源上溯点以及第一目的地上溯点,其中,所述第一源上溯点为所述数据流的源表示的用户所属的部门、或者为所述数据流的源表示的用户地址所属的网段,所述第一目的地上溯点为所述数据流的目的地表示的用户地址所属的网段、为与所述数据流的目的地表示的服务器地址对应的服务器、或者为与所述数据流的目的地表示的公网地址对应的任意地址;
生成第一安全策略,所述第一安全策略的匹配条件中的源被配置为所述第一源上溯点、所述第一安全策略的匹配条件中的目的地被配置为所述第一目的地上溯点、所述第一安全策略的匹配条件中的应用被配置为所述数据流的应用类型。
在一种可能的实施方式中,在所述生成第一安全策略之后,该程序还用于:
判断所述网络流量控制设备中是否存在第二安全策略,所述第二安全策略的匹配条件与所述第一安全策略的匹配条件相比仅源不同,并且所述第二安全策略的策略动作与所述第一安全策略的策略动作相同;
在判断为存在所述第二安全策略的情况下,基于所述企业组织结构执行第二上溯处理以得到第二源上溯点,所述第二源上溯点为所述第一安全策略的源表示的部门与所述第二安全策略的源表示的部门共同所属的上一级部门、或者为所述第一安全策略的源表示的网段与所述第二安全策略的源表示的网段共同所属的上一级网段;
将所述第一安全策略的源更新为所述第二源上溯点,并删除所述第二安全策略。
在一种可能的实施方式中,在所述生成第一安全策略之后,该程序还用于:
判断所述网络流量控制设备中是否存在第三安全策略,所述第三安全策略的匹配条件与所述第一安全策略的匹配条件相比仅目的地不同,并且所述第三安全策略的策略动作与所述第一安全策略的策略动作相同;
在判断为存在所述第三安全策略的情况下,基于所述企业组织结构执行第三上溯处理以得到第二目的地上溯点,所述第二目的地上溯点为所述第一安全策略的目的地表示的网段与所述第三安全策略的目的地表示的网段共同所属的上一级网段;
将所述第一安全策略的目的地更新为所述第二目的地上溯点,并删除所述第三安全策略。
在一种可能的实施方式中,在基于预定的企业组织结构执行第一上溯处理之后,该程序还用于:将所述第一源上溯点、所述第一目的地上溯点以及所述数据流的应用类型作为一条三元组信息存储于存储器中;
在所述生成第一安全策略之后,该程序还用于:将包括所述第一源上溯点、所述第一目的地上溯点以及所述数据流的应用类型的三元组信息从所述存储器删除;以及
在所述基于预定的企业组织结构执行第一上溯处理以得到第一源上溯点以及第一目的地上溯点之前,该程序还用于:判断所述存储器中是否存在与所述数据流的源、目的地以及应用类型匹配的三元组信息;
并且,在判断为所述存储器中不存在与所述数据流的源、目的地以及应用类型匹配的三元组信息的情况下,执行所述第一上溯处理。
本领域普通技术人员可以意识到,本文所描述的实施例中的各示例性单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件形式来实现,取决于技术方案的特定应用和设计约束条件。专业技术人员可以针对特定的应用选择不同的方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
如果以计算机软件的形式来实现所述功能并作为独立的产品销售或使用时,则在一定程度上可认为本发明的技术方案的全部或部分(例如对现有技术做出贡献的部分)是以计算机软件产品的形式体现的。该计算机软件产品通常存储在计算机可读取的非易失性存储介质中,包括若干指令用以使得计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各实施例方法的全部或部分步骤。而前述的存储介质包括U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种网络流量控制设备上的安全策略配置方法,其特征在于,包括:
对输入的数据流,识别所述数据流的源、目的地以及应用类型,其中,所述数据流的源表示发出所述数据流的用户或者用户地址,所述数据流的目的地表示接收所述数据流的用户地址、服务器地址或者公网地址,所述应用类型表示所述数据流包括哪种应用的数据;
基于预定的企业组织结构执行第一上溯处理以得到第一源上溯点以及第一目的地上溯点,其中,所述第一源上溯点为所述数据流的源表示的用户所属的部门、或者为所述数据流的源表示的用户地址所属的网段,所述第一目的地上溯点为所述数据流的目的地表示的用户地址所属的网段、为与所述数据流的目的地表示的服务器地址对应的服务器、或者为与所述数据流的目的地表示的公网地址对应的任意地址;
生成第一安全策略,所述第一安全策略的匹配条件中的源被配置为所述第一源上溯点、所述第一安全策略的匹配条件中的目的地被配置为所述第一目的地上溯点、所述第一安全策略的匹配条件中的应用被配置为所述数据流的应用类型。
2.根据权利要求1所述的安全策略配置方法,其特征在于,在所述生成第一安全策略之后,还包括:
判断所述网络流量控制设备中是否存在第二安全策略,所述第二安全策略的匹配条件与所述第一安全策略的匹配条件相比仅源不同,并且所述第二安全策略的策略动作与所述第一安全策略的策略动作相同;
在判断为存在所述第二安全策略的情况下,基于所述企业组织结构执行第二上溯处理以得到第二源上溯点,所述第二源上溯点为所述第一安全策略的源表示的部门与所述第二安全策略的源表示的部门共同所属的上一级部门、或者为所述第一安全策略的源表示的网段与所述第二安全策略的源表示的网段共同所属的上一级网段;
将所述第一安全策略的源更新为所述第二源上溯点,并删除所述第二安全策略。
3.根据权利要求1或2所述的安全策略配置方法,其特征在于,在所述生成第一安全策略之后,还包括:
判断所述网络流量控制设备中是否存在第三安全策略,所述第三安全策略的匹配条件与所述第一安全策略的匹配条件相比仅目的地不同,并且所述第三安全策略的策略动作与所述第一安全策略的策略动作相同;
在判断为存在所述第三安全策略的情况下,基于所述企业组织结构执行第三上溯处理以得到第二目的地上溯点,所述第二目的地上溯点为所述第一安全策略的目的地表示的网段与所述第三安全策略的目的地表示的网段共同所属的上一级网段;
将所述第一安全策略的目的地更新为所述第二目的地上溯点,并删除所述第三安全策略。
4.根据权利要求1或2所述的安全策略配置方法,其特征在于,
在基于预定的企业组织结构执行第一上溯处理之后,还包括:将所述第一源上溯点、所述第一目的地上溯点以及所述数据流的应用类型作为一条三元组信息存储于存储器中;
在所述生成第一安全策略之后,还包括:将包括所述第一源上溯点、所述第一目的地上溯点以及所述数据流的应用类型的三元组信息从所述存储器删除;以及
在所述基于预定的企业组织结构执行第一上溯处理以得到第一源上溯点以及第一目的地上溯点之前,还包括:判断所述存储器中是否存在与所述数据流的源、目的地以及应用类型匹配的三元组信息;
并且,在判断为所述存储器中不存在与所述数据流的源、目的地以及应用类型匹配的三元组信息的情况下,执行所述第一上溯处理。
5.根据权利要求3所述的安全策略配置方法,其特征在于,
在基于预定的企业组织结构执行第一上溯处理之后,还包括:将所述第一源上溯点、所述第一目的地上溯点以及所述数据流的应用类型作为一条三元组信息存储于存储器中;
在所述生成第一安全策略之后,还包括:将包括所述第一源上溯点、所述第一目的地上溯点以及所述数据流的应用类型的三元组信息从所述存储器删除;以及
在所述基于预定的企业组织结构执行第一上溯处理以得到第一源上溯点以及第一目的地上溯点之前,还包括:判断所述存储器中是否存在与所述数据流的源、目的地以及应用类型匹配的三元组信息;
并且,在判断为所述存储器中不存在与所述数据流的源、目的地以及应用类型匹配的三元组信息的情况下,执行所述第一上溯处理。
6.一种网络流量控制设备上的安全策略配置装置,其特征在于,包括:
识别模块,用于对输入的数据流,识别所述数据流的源、目的地以及应用类型,其中,所述数据流的源表示发出所述数据流的用户或者用户地址,所述数据流的目的地表示接收所述数据流的用户地址、服务器地址或者公网地址,所述应用类型表示所述数据流包括哪种应用的数据;
第一上溯处理模块,与所述识别模块连接,用于基于预定的企业组织结构执行第一上溯处理以得到第一源上溯点以及第一目的地上溯点,其中,所述第一源上溯点为所述数据流的源表示的用户所属的部门、或者为所述数据流的源表示的用户地址所属的网段,所述第一目的地上溯点为所述数据流的目的地表示的用户地址所属的网段、为与所述数据流的目的地表示的服务器地址对应的服务器、或者为与所述数据流的目的地表示的公网地址对应的任意地址;
生成模块,与所述第一上溯处理模块连接,用于生成第一安全策略,所述第一安全策略的匹配条件中的源被配置为所述第一源上溯点、所述第一安全策略的匹配条件中的目的地被配置为所述第一目的地上溯点、所述第一安全策略的匹配条件中的应用被配置为所述数据流的应用类型。
7.根据权利要求6所述的安全策略配置装置,其特征在于,还包括:
第一判断模块,与所述生成模块连接,用于判断所述网络流量控制设备中是否存在第二安全策略,所述第二安全策略的匹配条件与所述第一安全策略的匹配条件相比仅源不同,并且所述第二安全策略的策略动作与所述第一安全策略的策略动作相同;
第二上溯处理模块,与所述第一判断模块连接,用于在判断为存在所述第二安全策略的情况下,基于所述企业组织结构执行第二上溯处理以得到第二源上溯点,所述第二源上溯点为所述第一安全策略的源表示的部门与所述第二安全策略的源表示的部门共同所属的上一级部门、或者为所述第一安全策略的源表示的网段与所述第二安全策略的源表示的网段共同所属的上一级网段;
更新模块,与所述第二上溯处理模块连接,用于将所述第一安全策略的源更新为所述第二源上溯点,并删除所述第二安全策略。
8.根据权利要求7所述的安全策略配置装置,其特征在于,还包括:
第二判断模块,与所述生成模块连接,用于判断所述网络流量控制设备中是否存在第三安全策略,所述第三安全策略的匹配条件与所述第一安全策略的匹配条件相比仅目的地不同,并且所述第三安全策略的策略动作与所述第一安全策略的策略动作相同;
第三上溯处理模块,与所述第二判断模块及所述更新模块连接,用于在判断为存在所述第三安全策略的情况下,基于所述企业组织结构执行第三上溯处理以得到第二目的地上溯点,所述第二目的地上溯点为所述第一安全策略的目的地表示的网段与所述第三安全策略的目的地表示的网段共同所属的上一级网段;
所述更新模块还被配置为,将所述第一安全策略的目的地更新为所述第二目的地上溯点,并删除所述第三安全策略。
9.根据权利要求6至8中任一项所述的安全策略配置装置,其特征在于,还包括:
三元组生成模块,与所述第一上溯处理模块连接,用于向存储器发送指令,在基于预定的企业组织结构执行第一上溯处理之后,将所述第一源上溯点、所述第一目的地上溯点以及所述数据流的应用类型作为一条三元组信息存储于所述存储器中;并且,在所述生成第一安全策略之后,将包括所述第一源上溯点、所述第一目的地上溯点以及所述数据流的应用类型的三元组信息从所述存储器删除;
三元组判断模块,与所述识别模块及所述第一上溯处理模块连接,用于在所述基于预定的企业组织结构执行第一上溯处理以得到第一源上溯点以及第一目的地上溯点之前,判断所述存储器中是否存在与所述数据流的源、目的地以及应用类型匹配的三元组信息;并且,在判断为所述存储器中不存在与所述数据流的源、目的地以及应用类型匹配的三元组信息的情况下,执行所述第一上溯处理。
10.一种网络流量控制设备,其特征在于,包括:存储器、通信接口和处理器;
所述存储器用于存储程序代码;
所述处理器读取所述存储器中存储的程序代码,执行:
对所述通信接口获得的数据流,识别所述数据流的源、目的地以及应用类型,其中,所述数据流的源表示发出所述数据流的用户或者用户地址,所述数据流的目的地表示接收所述数据流的用户地址、服务器地址或者公网地址,所述应用类型表示所述数据流包括哪种应用的数据;
基于预定的企业组织结构执行第一上溯处理以得到第一源上溯点以及第一目的地上溯点,其中,所述第一源上溯点为所述数据流的源表示的用户所属的部门、或者为所述数据流的源表示的用户地址所属的网段,所述第一目的地上溯点为所述数据流的目的地表示的用户地址所属的网段、为与所述数据流的目的地表示的服务器地址对应的服务器、或者为与所述数据流的目的地表示的公网地址对应的任意地址;
生成第一安全策略,所述第一安全策略的匹配条件中的源被配置为所述第一源上溯点、所述第一安全策略的匹配条件中的目的地被配置为所述第一目的地上溯点、所述第一安全策略的匹配条件中的应用被配置为所述数据流的应用类型。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310733490.1A CN104753857B (zh) | 2013-12-26 | 2013-12-26 | 网络流量控制设备及其安全策略配置方法及装置 |
| ES14875870.9T ES2687351T3 (es) | 2013-12-26 | 2014-11-26 | Dispositivo de control de flujo de red y método de configuración de estrategia de seguridad y dispositivo del mismo |
| PCT/CN2014/092235 WO2015096580A1 (zh) | 2013-12-26 | 2014-11-26 | 网络流量控制设备及其安全策略配置方法及装置 |
| EP14875870.9A EP3057282B1 (en) | 2013-12-26 | 2014-11-26 | Network flow control device, and security strategy configuration method and device thereof |
| US15/154,681 US10051007B2 (en) | 2013-12-26 | 2016-05-13 | Network traffic control device, and security policy configuration method and apparatus thereof |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310733490.1A CN104753857B (zh) | 2013-12-26 | 2013-12-26 | 网络流量控制设备及其安全策略配置方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104753857A CN104753857A (zh) | 2015-07-01 |
| CN104753857B true CN104753857B (zh) | 2018-03-09 |
Family
ID=53477508
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310733490.1A Active CN104753857B (zh) | 2013-12-26 | 2013-12-26 | 网络流量控制设备及其安全策略配置方法及装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10051007B2 (zh) |
| EP (1) | EP3057282B1 (zh) |
| CN (1) | CN104753857B (zh) |
| ES (1) | ES2687351T3 (zh) |
| WO (1) | WO2015096580A1 (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10116493B2 (en) | 2014-11-21 | 2018-10-30 | Cisco Technology, Inc. | Recovering from virtual port channel peer failure |
| EP3289748B1 (en) * | 2015-04-30 | 2022-03-23 | Nokia Solutions and Networks Oy | Multi-security levels/traffic management across multiple network function instantiations |
| US10333828B2 (en) | 2016-05-31 | 2019-06-25 | Cisco Technology, Inc. | Bidirectional multicasting over virtual port channel |
| US11509501B2 (en) * | 2016-07-20 | 2022-11-22 | Cisco Technology, Inc. | Automatic port verification and policy application for rogue devices |
| US10193750B2 (en) | 2016-09-07 | 2019-01-29 | Cisco Technology, Inc. | Managing virtual port channel switch peers from software-defined network controller |
| US10547509B2 (en) | 2017-06-19 | 2020-01-28 | Cisco Technology, Inc. | Validation of a virtual port channel (VPC) endpoint in the network fabric |
| US10666606B2 (en) * | 2017-06-28 | 2020-05-26 | Amazon Technologies, Inc. | Virtual private network service endpoints |
| CN109802924B (zh) * | 2017-11-17 | 2022-05-17 | 华为技术有限公司 | 一种识别加密数据流的方法及装置 |
| CN112887211B (zh) * | 2021-01-26 | 2021-11-16 | 北京树米网络科技有限公司 | 一种网际协议报文数据转发系统 |
| CN112953841B (zh) * | 2021-02-20 | 2022-05-27 | 杭州迪普信息技术有限公司 | 报文分流方法及系统 |
| CN113726689B (zh) * | 2021-07-27 | 2023-06-13 | 新华三信息安全技术有限公司 | 一种安全业务处理方法以及装置 |
| CN114866417B (zh) * | 2022-07-05 | 2022-09-06 | 上海有孚智数云创数字科技有限公司 | 确定组织机构网络配置的方法、系统、介质及设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1863193A (zh) * | 2005-05-10 | 2006-11-15 | 联想网御科技(北京)有限公司 | 实现网络安全装置安全策略的方法 |
| EP1826944A1 (en) * | 2006-02-27 | 2007-08-29 | Research In Motion Limited | Method of customizing a standardized IT policy |
| CN101399838A (zh) * | 2008-10-29 | 2009-04-01 | 成都市华为赛门铁克科技有限公司 | 报文处理方法、装置和系统 |
| CN102918801A (zh) * | 2010-05-27 | 2013-02-06 | 瑞科网信科技有限公司 | 将网络流量策略应用于应用会话的系统和方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6687353B1 (en) * | 1998-12-11 | 2004-02-03 | Securelogix Corporation | System and method for bringing an in-line device on-line and assuming control of calls |
| US9197668B2 (en) * | 2003-02-28 | 2015-11-24 | Novell, Inc. | Access control to files based on source information |
| US7386789B2 (en) * | 2004-02-27 | 2008-06-10 | Hewlett-Packard Development Company, L.P. | Method for determining logical components of a document |
| US10129182B2 (en) * | 2012-06-29 | 2018-11-13 | Juniper Networks, Inc. | Methods and apparatus for providing services in distributed switch |
| CN102710669B (zh) * | 2012-06-29 | 2016-03-02 | 杭州华三通信技术有限公司 | 一种防火墙策略控制的方法及装置 |
| US8811172B1 (en) * | 2014-04-10 | 2014-08-19 | tw telecom holdings inc. | Network path selection using bandwidth prediction |
-
2013
- 2013-12-26 CN CN201310733490.1A patent/CN104753857B/zh active Active
-
2014
- 2014-11-26 ES ES14875870.9T patent/ES2687351T3/es active Active
- 2014-11-26 EP EP14875870.9A patent/EP3057282B1/en active Active
- 2014-11-26 WO PCT/CN2014/092235 patent/WO2015096580A1/zh active Application Filing
-
2016
- 2016-05-13 US US15/154,681 patent/US10051007B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1863193A (zh) * | 2005-05-10 | 2006-11-15 | 联想网御科技(北京)有限公司 | 实现网络安全装置安全策略的方法 |
| EP1826944A1 (en) * | 2006-02-27 | 2007-08-29 | Research In Motion Limited | Method of customizing a standardized IT policy |
| CN101399838A (zh) * | 2008-10-29 | 2009-04-01 | 成都市华为赛门铁克科技有限公司 | 报文处理方法、装置和系统 |
| CN102918801A (zh) * | 2010-05-27 | 2013-02-06 | 瑞科网信科技有限公司 | 将网络流量策略应用于应用会话的系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3057282B1 (en) | 2018-07-04 |
| WO2015096580A1 (zh) | 2015-07-02 |
| US10051007B2 (en) | 2018-08-14 |
| US20160255118A1 (en) | 2016-09-01 |
| ES2687351T3 (es) | 2018-10-24 |
| EP3057282A4 (en) | 2016-11-30 |
| CN104753857A (zh) | 2015-07-01 |
| EP3057282A1 (en) | 2016-08-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104753857B (zh) | 网络流量控制设备及其安全策略配置方法及装置 | |
| CN103067344B (zh) | 在云环境中自动分发安全规则的非侵入性方法和设备 | |
| CN105247531B (zh) | 提供受管浏览器 | |
| CN105991734B (zh) | 一种云平台管理方法及系统 | |
| CN104769908B (zh) | 基于ldap的多租户云中身份管理系统 | |
| US9270704B2 (en) | Modeling network devices for behavior analysis | |
| CN106068627B (zh) | 用于在vpn网关处识别数据会话的方法和系统 | |
| CN105074685B (zh) | 企业社交商业计算的多租户支持方法、计算机可读介质及系统 | |
| CN104054321B (zh) | 针对云服务的安全管理 | |
| CN108092979A (zh) | 一种防火墙策略处理方法及装置 | |
| CN104935572B (zh) | 多层级权限管理方法及装置 | |
| CN106850324A (zh) | 虚拟网络接口对象 | |
| CN105659520A (zh) | 用于保护私有数据的安全代理 | |
| CN110493195A (zh) | 一种网络准入控制方法及系统 | |
| CN105765901B (zh) | 智能防火墙访问规则 | |
| CN106060041A (zh) | 企业网络访问权限的控制方法及装置 | |
| US11388175B2 (en) | Threat detection of application traffic flows | |
| CN109845223A (zh) | 使用预分类来实施网络安全策略 | |
| US11882147B2 (en) | Method and apparatus for determining a threat using distributed trust across a network | |
| CN102006286A (zh) | 信息系统的访问管理方法、装置、系统和接入设备 | |
| CN108881299A (zh) | 私有云平台信息系统安全运维方法及其装置 | |
| CN106713004A (zh) | 一种路由器适配方法及系统 | |
| CN103957174B (zh) | 语义交换机松耦合系统进行信息处理的方法 | |
| CN104281272A (zh) | 密码输入处理方法及装置 | |
| CN106487770A (zh) | 鉴权方法及鉴权装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20231127 Address after: No. 1-9, 24th Floor, Unit 2, Building 1, No. 28, North Section of Tianfu Avenue, High tech Zone, Chengdu, Sichuan Province, 610000 Patentee after: Sichuan Huakun Zhenyu Intelligent Technology Co.,Ltd. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right |