CN105393497A - 一种生成访问控制列表规则的方法、装置及系统 - Google Patents

一种生成访问控制列表规则的方法、装置及系统 Download PDF

Info

Publication number
CN105393497A
CN105393497A CN201480033317.3A CN201480033317A CN105393497A CN 105393497 A CN105393497 A CN 105393497A CN 201480033317 A CN201480033317 A CN 201480033317A CN 105393497 A CN105393497 A CN 105393497A
Authority
CN
China
Prior art keywords
information
server
rules
acl
security policy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201480033317.3A
Other languages
English (en)
Other versions
CN105393497B (zh
Inventor
蓝海青
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of CN105393497A publication Critical patent/CN105393497A/zh
Application granted granted Critical
Publication of CN105393497B publication Critical patent/CN105393497B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/34Signalling channels for network management communication
    • H04L41/344Out-of-band transfers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明实施例提供了一种生成访问控制列表规则的方法、装置及系统,涉及通信领域,防备整个网络系统遇到的所有网络安全威胁,从而提高整个网络系统的安全性。所述方法,包括:服务器获取网络安全威胁信息及安全策略信息;所述服务器根据获取的所述网络安全威胁信息及所述安全策略信息生成访问控制列表ACL规则;所述服务器将生成的所述ACL规则发送至至少一个防火墙系统。本发明适用于网络安全的场景。

Description

一种生成访问控制列表规则的方法、 装置及系统 技术领域
本发明涉及通信领域, 尤其涉及一种生成访问控制列表规则的 方法、 装置及系统。
背景技术
在现代通信系统中, 为了保证数据的安全传输, 通常在内部网 络与外部网路之间加入防火墙, 此防火墙允许合法数据包通过, 禁 止不合法数据包通过, 从而实现数据的安全传输。 防火墙技术的主 要工作原理是采用 ACL ( Access Control List , 访问控制列表) 来 实现数据的安全传输。 其中, ACL 中记录有多个 ACL 规则以便防火 墙通过 ACL 规则确定接收到的数据包是否能够通过防火墙, 从而实 现数据的安全传输。
在现有技术中, 具体生成 ACL规则的过程为: 防火墙在监测到 网络安全威胁时, 根据网络安全威胁来生成 ACL 规则, 进而将生成 的 ACL规则进行生效设置, 并将生效后的 ACL规则记录至 ACL 中, 更新 ACL。 并根据更新后的 ACL 记录的多个 ACL规则进行网络安全 保护。
在实现上述 ACL规则生成的过程中, 每个防火墙只能根据自身 监测到的网络安全威胁来生成 ACL规则, 即生成的 ACL规则只能防 备自身遇到的网络安全威胁, 而不能防备其他防火墙遇到的网络安 全威胁。 也就是说, 每个防火墙均不能防备整个网络系统遇到的所 有网络安全威胁, 从而降低了整个网络系统的安全性。
发明内容
本发明的实施例提供了一种生成访问控制列表规则的方法、 装 置及系统, 用于防备整个网络系统遇到的所有网络安全威胁, 从而 提高整个网络系统的安全性。
为达到上述目 的, 本发明的实施例采用如下技术方案:
第一方面, 本发明实施例提供了一种服务器, 包括: 获取单元, 用于获取网络安全威胁信息及安全策略信息; 生成单元, 用于根据 所述获取单元获取的所述网络安全威胁信息及所述安全策略信息生 成访问控制列表 AC L 规则; 发送单元, 用于将所述生成单元生成的 所述 AC L规则发送至至少一个防火墙系统。
在第一方面的第一种可能的实现方式中, 所述安全策略信息包 括: 支持安全等级划分的安全策略信息; 所述生成单元, 具体用于 根据所述获取单元获取的所述网络安全威胁信息及所述支持安全等 级划分的安全策略信息生成不同安全等级的 AC L 规则; 所述发送单 元, 具体用于将所述生成单元生成的所述不同安全等级的 AC L 规则 发送至与安全等级对应的防火墙系统。
在第一方面的第二种可能的实现方式中, 所述安全策略信息包 括: 支持区域划分的安全策略信息; 所述生成单元, 具体用于根据 所述获取单元获取的所述网络安全威胁信息及所述支持区域划分的 安全策略信息生成不同区域的 AC L 规则; 所述发送单元, 具体用于 将所述生成单元生成的所述不同区域的 A C L 规则发送至与区域对应 的防火墙系统。
在第一方面的第三种可能的实现方式中, 所述安全策略信息包 括: 支持安全等级划分且支持区域划分的安全策略信息; 所述生成 单元, 具体用于根据所述获取单元获取的所述网络安全威胁信息及 所述支持安全等级划分且支持区域划分的安全策略信息生成不同区 域的不同安全等级的 AC L 规则; 所述发送单元, 具体用于将所述生 成单元生成的所述不同区域的不同安全等级的 AC L 规则发送至与所 述区域对应的防火墙系统。
结合第一方面, 或第一方面的第一至第三任一种可能的实现方 式, 在第一方面的第四种可能的实现方式中, 所述获取单元, 还用 于获取第一信息; 其中, 所述第一信息包括第一 A C L 规划信息和 / 或用户使用需求信息; 所述生成单元, 具体用于在所述第一信息包 括所述第一 AC L规划信息的情况下, 根据所述第一 AC L规划信息、 所述网络安全威胁信息及所述安全策略信息生成所述 AC L 规则; 所 述生成单元, 具体用于在所述第一信息包括所述用户使用需求信息 的情况下, 根据所述用户使用需求信息, 所述网络安全威胁信息及 所述安全策略信息生成所述 ACL 规则; 所述生成单元, 具体用于在 所述第一信息包括所述第一 ACL 规划信息及所述用户使用需求信息 的情况下, 根据所述第一 ACL 规划信息, 所述用户使用需求信息, 所述网络安全威胁信息及所述安全策略信息生成所述 ACL规则。
结合第一方面的第四种可能的实现方式, 在第一方面的第五种 可能的实现方式中, 所述生成单元, 具体用于根据第一 ACL 规则, 所述获取单元获取的所述网络安全威胁信息及所述安全策略信息生 成所述 ACL规则; 或者, 所述生成单元, 具体用于根据第一 ACL规 则, 所述获取单元获取的所述网络安全威胁信息, 所述安全策略信 息及所述第一信息生成所述 ACL规则。
第二方面, 本发明实施例提供了一种防火墙系统, 包括: 获取 单元, 用于获取访问控制列表 ACL 规则; 处理单元, 用于生效所述 获取单元获取的所述 ACL 规则; 所述处理单元, 还用于根据生效后 的所述 ACL 规则对第一节点进行安全保护; 其中, 所述第一节点为 所述防火墙系统保护的节点。
在第二方面的第一种可能的实现方式中, 还包括: 接收单元; 所述获取单元, 具体用于触发所述接收单元接收服务器发送的 ACL 规则; 或者, 所述获取单元, 具体用于获取用户配置的 ACL规则。
结合第二方面的第一种可能的实现方式, 在第二方面的第二种 可能的实现方式中, 所述获取单元, 具体用于触发所述接收单元接 收所述服务器发送的与安全等级对应的所述 ACL 规则; 或者, 所述 获取单元, 具体用于触发所述接收单元接收所述服务器发送的与区 域对应的所述 ACL规则。
结合第二方面的第一或第二种可能的实现方式, 在第二方面的 第三种可能的实现方式中, 还包括: 发送单元; 所述处理单元, 具 体用于触发所述接收单元接收外部网络发送的数据包; 所述处理单 元, 具体用于根据生效后的 ACL 规则, 确定所述接收单元接收到的 所述数据包是否为安全数据包; 所述处理单元, 具体用于在根据所 述生效后的 AC L 规则确定所述接收单元接收到的所述数据包为安全 数据包时, 触发所述发送单元将所述数据包发送至所述第一节点; 所述处理单元, 具体用于在根据所述生效后的 AC L 规则确定所述接 收单元接收到的所述数据包为不安全数据包时, 确定所述数据包是 否为网络安全威胁信息; 所述处理单元, 具体用于在确定所述数据 包为所述网络安全威胁信息时, 触发所述发送单元将所述数据包作 为所述网络安全威胁信息发送至所述服务器。
结合第二方面的第三种可能的实现方式, 在第二方面的第四种 可能的实现方式中, 所述接收单元, 还用于接收所述第一节点发送 的网络安全威胁信息; 所述发送单元, 还用于将所述接收单元接收 到的所述网络安全威胁信息发送至所述服务器。
结合第二方面, 或第二方面的第一至第四任一种可能的实现方 式, 在第二方面的第五种可能的实现方式中, 所述获取单元, 还用 于获取用户使用需求信息; 所述发送单元, 还用于将所述获取单元 获取到的所述用户使用需求信息发送至所述服务器。
第三方面, 本发明实施例提供了一种生成访问控制列表规则的 方法, 包括: 服务器获取网络安全威胁信息及安全策略信息; 所述 服务器根据获取的所述网络安全威胁信息及所述安全策略信息生成 访问控制列表 AC L规则; 所述服务器将生成的所述 AC L规则发送至 至少一个防火墙系统。
在第三方面的第一种可能的实现方式中, 所述安全策略信息包 括: 支持安全等级划分的安全策略信息; 所述服务器根据获取的所 述网络安全威胁信息及所述安全策略信息生成所述 A C L 规则包括: 所述服务器根据获取的所述网络安全威胁信息及所述支持安全等级 划分的安全策略信息生成不同安全等级的 AC L 规则; 所述服务器将 生成的所述 AC L 规则发送至至少一个防火墙系统包括: 所述服务器 将生成的所述不同安全等级的 AC L 规则发送至与安全等级对应的防 火墙系统。 在第三方面的第二种可能的实现方式中, 所述安全策略信息包 括: 支持区域划分的安全策略信息; 所述服务器根据获取的所述网 络安全威胁信息及所述安全策略信息生成所述 AC L 规则包括: 所述 服务器根据获取的所述网络安全威胁信息及所述支持区域划分的安 全策略信息生成不同区域的 AC L规则;所述服务器将生成的所述 AC L 规则发送至至少一个防火墙系统包括: 所述服务器将生成的所述不 同区域的 AC L规则发送至与区域对应的防火墙系统。
在第三方面的第三种可能的实现方式中, 所述安全策略信息包 括: 支持安全等级划分且支持区域划分的安全策略信息; 所述服务 器根据获取的所述网络安全威胁信息及所述安全策略信息生成所述 AC L 规则包括: 所述服务器根据获取的所述网络安全威胁信息及所 述支持安全等级划分且支持区域划分的安全策略信息生成不同区域 的不同安全等级的 AC L规则; 所述服务器将生成的所述 AC L规则发 送至至少一个防火墙系统包括: 所述服务器将所述不同区域的不同 安全等级的 A C L规则发送至与所述区域对应的防火墙系统。
结合第三方面, 或第三方面的第一至第三任一种可能的实现方 式, 在第三方面的第四种可能的实现方式中, 在所述服务器根据获 取的所述网络安全威胁信息及所述安全策略信息生成所述 AC L 规则 之前, 还包括: 所述服务器获取第一信息; 其中, 所述第一信息包 括第一 A C L规划信息和 /或用户使用需求信息; 所述服务器根据获取 的所述网络安全威胁信息及所述安全策略信息生成所述 AC L 规则包 括: 在所述第一信息包括所述第一 AC L 规划信息的情况下, 所述服 务器根据获取的所述第一 AC L 规划信息、 所述网络安全威胁信息及 所述安全策略信息生成所述 A C L 规则; 在所述第一信息包括所述用 户使用需求信息的情况下, 所述服务器根据获取的所述用户使用需 求信息, 所述网络安全威胁信息及所述安全策略信息生成所述 A C L 规则; 在所述第一信息包括所述第一 AC L 规划信息及所述用户使用 需求信息的情况下, 所述服务器根据获取的所述第一 A C L规划信息, 所述用户使用需求信息, 所述网络安全威胁信息及所述安全策略信 息生成所述 AC L规则。
结合第三方面的第四种可能的实现方式, 在第三方面的第五种 可能的实现方式中, 所述服务器根据获取的所述网络安全威胁信息 及所述安全策略信息生成所述 AC L 规则包括: 所述服务器根据第一 AC L 规则, 所述网络安全威胁信息, 所述安全策略信息及所述第一 信息生成所述 AC L规则。
第四方面, 本发明实施例提供了一种生成访问控制列表规则的 方法, 包括: 防火墙系统获取访问控制列表 AC L 规则; 所述防火墙 系统生效获取的所述 AC L 规则; 所述防火墙系统根据生效后的所述 AC L 规则对第一节点进行安全保护; 所述第一节点为所述防火墙系 统保护的节点。
在第四方面的第一种可能的实现方式中, 所述防火墙系统获取 所述 AC L规则包括: 所述防火墙系统接收服务器发送的 AC L规则; 或者, 所述防火墙系统获取用户配置的 AC L规则。
结合第四方面的第一种可能的实现方式, 在第四方面的第二种 可能的实现方式中, 所述防火墙系统接收所述服务器发送的 AC L 规 则包括: 所述防火墙系统接收所述服务器发送的与安全等级对应的 所述 AC L 规则; 或者, 所述防火墙系统接收所述服务器发送的与区 域对应的所述 AC L规则。
结合第四方面的第一或第二种可能的实现方式, 在第四方面的 第三种可能的实现方式中, 所述防火墙系统根据生效后的所述 A C L 规则对第一节点进行安全保护包括: 所述防火墙系统接收外部网络 发送的数据包; 所述防火墙系统根据生效后的 AC L 规则, 确定接收 到的所述数据包是否为安全数据包; 若所述防火墙系统根据所述生 效后的 A C L 规则确定接收到的所述数据包为安全数据包, 则所述防 火墙系统将接收到的所述数据包发送至所述第一节点; 若所述防火 墙系统根据所述生效后的 AC L 规则确定接收到的所述数据包为不安 全数据包, 则所述防火墙系统确定所述数据包是否为网络安全威胁 信息; 若防火墙系统确定所述数据包为所述网络安全威胁信息, 则 所述防火墙系统将所述数据包作为所述网络安全威胁信息发送至所 述服务器。
结合第四方面的第三种可能的实现方式, 在第四方面的第四种 可能的实现方式中, 还包括: 所述防火墙系统接收所述第一节点发 送的网络安全威胁信息, 并将接收到的所述网络安全威胁信息发送 至所述服务器。
结合第四方面的第一至第四任一种可能的实现方式, 在第四方 面的第五种可能的实现方式中, 还包括: 所述防火墙系统获取用户 使用需求信息, 并将获取到的所述用户使用需求信息发送至所述服 务器。
本发明实施例提供了一种生成访问控制列表规则的方法、 装置 及系统, 服务器在获取到网络安全威胁信息及安全策略信息后, 根 据获取的网络安全威胁信息及安全策略信息生成访问控制列表 A C L 规则, 并将生成的 A C L 规则分别发送至对应的防火墙系统。 这样, 由于服务器获取到的网络安全威胁信息为整个网络系统中遇到的安 全威胁信息, 因此根据此安全威胁信息及安全策略信息生成的 A C L 规则可以防备整个网络系统遇到的所有网络安全威胁, 从而提高了 整个网络系统的安全性。
附图说明
为了更清楚地说明本发明实施例的技术方案, 下面将对实施例 或现有技术描述中所需要使用的附图作简单地介绍, 显而易见地, 下面描述中的附图仅仅是本发明的一些实施例, 对于本领域普通技 术人员来讲, 在不付出创造性劳动的前提下, 还可以根据这些附图 获得其他的附图。
图 1为本发明实施例提供的一种服务器的功能示意图;
图 2为本发明实施例提供的一种防火墙系统的功能示意图; 图 3为本发明实施例提供的另一种防火墙系统的功能示意图; 图 4 为本发明实施例提供的一种生成访问控制列表规则的流程 示意图; 图 5 为本发明实施例提供的另一种生成访问控制列表规则的流 程示意图;
图 6 为本发明实施例提供的另一种生成访问控制列表规则的流 程示意图;
图 7为本发明实施例提供的一种服务器的结构示意图;
图 8为本发明实施例提供的一种防火墙系统的结构示意图; 图 9 为本发明实施例提供的一种生成访问控制列表规则的系统 的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图, 对本发明实施例中的技术 方案进行清楚、 完整地描述, 显然, 所描述的实施例仅仅是本发明 一部分实施例, 而不是全部的实施例。 基于本发明中的实施例, 本 领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他 实施例, 都属于本发明保护的范围。
如图 1 所示, 其为本发明实施例提供的一种服务器的功能示意 图, 可参考图 1 所示, 该服务器包括: 获取单元 101, 生成单元 102 及发送单元 103。
所述获取单元 101, 用于获取网络安全威胁信息及安全策略信 息。
其中, 所述网络安全威胁信息的包头信息中包括源地址信息, 目的地址信息, 源端口号信息及目的端口号信息中的至少一种信息。
具体的, 所述获取单元 101 可以接收防火墙系统发送的网络安 全威胁信息; 所述获取单元 101 获取的安全策略信息为接收用户根 据需求配置的过滤规则信息。
需要说明的是, 所述获取单元 101还可以根据其他方式获取网 络安全威胁信息及安全策略信息, 本发明对此不作限制。
进一步的, 所述安全策略信息包括: 支持安全等级划分的安全 策略信息; 或者,
所述安全策略信息包括: 支持区域划分的安全策略信息; 或者, 所述安全策略信息包括: 支持安全等级划分且支持区域划分的 安全策略信息。
所述生成单元 102, 用于根据所述获取单元 101 获取的所述网 络安全威胁信息及所述安全策略信息生成访问控制列表 A C L( A c c e s s Control List, 访问控制列表) 规则。
具体的, 所述生成单元 102根据获取的网络安全威胁信息及安 全策略信息生成 ACL规则有两种方式, 具体如下:
第一种方式, 所述生成单元 102, 在所述获取单元 101 接收到 防火墙系统发送的网络安全威胁信息后, 解析出此网络安全威胁信 息的包头信息中携带的源地址信息, 目 的地址信息, 源端口号信息 及目 的端口号信息中的至少一种信息, 并根据所述获取单元 101 获 取的用户配置的安全策略信息确定此网络安全威胁信息可以通过的 网络接口信息及不可以通过的网络接口信息, 并根据此网络安全威 胁信息中携带的源地址信息, 目 的地址信息, 源端口号信息及目 的 端口号信息中的至少一种信息与可以通过的网络接口信息生成与此 网络安全威胁信息对应的执行指令为允许指令的 ACL规则。
第二种方式, 所述生成单元 102, 在所述获取单元 101 接收到 防火墙系统发送的网络安全威胁信息后, 解析出此网络安全威胁信 息的包头信息中携带的源地址信息, 目 的地址信息, 源端口号信息 及目 的端口号信息中的至少一种信息, 并根据所述获取单元 101 获 取的用户配置的安全策略信息确定此网络安全威胁信息可以通过的 网络接口信息及不可以通过的网络接口信息, 从而根据此网络安全 威胁信息中携带的源地址信息, 目 的地址信息, 源端口号信息及目 的端口号信息中的至少一种信息与不允许通过的网络接口信息生成 与此网络安全威胁信息对应的执行指令为禁止指令的 ACL规则。
进一步的, 所述生成单元 102根据安全策略信息的不同, 生成 的 ACL规则也不同, 具体为:
在所述安全策略信息包括: 支持安全等级划分的安全策略信息 的情况下, 所述生成单元 102, 具体用于根据所述获取单元 101 获 取的所述网络安全威胁信息及所述支持安全等级划分的安全策略信 息生成不同安全等级的 ACL规则。
具体的, 所述生成单元 102, 在安全策略信息包括支持安全等 级划分的安全策略信息的情况下, 在所述获取单元 101 接收到防火 墙系统发送的网络安全威胁信息后, 解析出此网络安全威胁信息的 包头信息中携带的源地址信息, 目 的地址信息, 源端口号信息及目 的端口号信息中的至少一种信息, 并根据所述获取单元 101 获取的 用户配置的支持安全等级划分的安全策略信息, 确定在每一个安全 等级下, 此网络安全威胁信息可以通过的网络接口信息及不可以通 过的网络接口信息, 从而根据此网络安全威胁信息中携带的源地址 信息, 目 的地址信息, 源端口号信息及目 的端口号信息中的至少一 种信息与每一个安全等级下允许通过的网络接口信息生成与此网络 安全威胁信息对应的执行指令为允许指令的每一个安全等级对应的 ACL规则。
需要说明的是, 所述生成单元 102根据网络安全威胁信息与支 持安全等级划分的安全策略信息生成与此网络安全威胁信息对应的 执行指令为禁止指令的每一个安全等级对应的 ACL 规则的方法, 可 参考所述生成单元 102 根据此网络安全威胁信息与支持安全等级划 分的安全策略信息生成与此网络安全威胁信息对应的执行指令为允 许指令的每一个安全等级对应的 ACL 规则的方法, 本发明在此不再 赘述。
在所述安全策略信息包括: 支持区域划分的安全策略信息的情 况下, 所述生成单元 102, 具体用于根据所述获取单元 101 获取的 所述网络安全威胁信息及所述支持区域划分的安全策略信息生成不 同区域的 ACL规则。
具体的, 所述生成单元 102, 在安全策略信息包括支持区域划 分的安全策略信息的情况下, 在所述获取单元 101 接收到防火墙系 统发送的网络安全威胁信息后, 解析出此网络安全威胁信息的包头 信息中携带的源地址信息, 目 的地址信息, 源端口号信息及目 的端 口号信息中的至少一种信息, 并根据所述获取单元 1 0 1 获取的用户 配置的支持区域划分的安全策略信息, 确定在每一个区域下, 此网 络安全威胁信息可以通过的网络接口信息及不可以通过的网络接口 信息, 从而根据此网络安全威胁信息中携带的源地址信息, 目 的地 址信息, 源端口号信息及目 的端口号信息中的至少一种信息与每一 个区域下允许通过的网络接口信息生成与此网络安全威胁信息对应 的执行指令为允许指令的每一个区域对应的 ACL规则。
需要说明的是, 所述生成单元 1 0 2根据网络安全威胁信息与支 持区域划分的安全策略信息生成与此网络安全威胁信息对应的执行 指令为禁止指令的每一个区域对应的 ACL 规则的方法, 可参考所述 生成单元 1 0 2 根据此网络安全威胁信息与支持区域划分的安全策略 信息生成与此网络安全威胁信息对应的执行指令为允许指令的每一 个区域的对应 ACL规则的方法, 本发明在此不再赘述。
在所述安全策略信息包括: 支持安全等级划分且支持区域划分 的安全策略信息的情况下, 所述生成单元 1 0 2 , 具体用于根据所述 获取单元 1 0 1 获取的所述网络安全威胁信息及所述支持安全等级划 分且支持区域划分的安全策略信息生成不同区域的不同安全等级的 ACL规则。
具体的, 所述生成单元 1 0 2 , 在安全策略信息包括支持安全等 级划分且支持区域划分的安全策略信息的情况下, 在所述获取单元 1 0 1 接收到防火墙系统发送的网络安全威胁信息后, 解析出此网络 安全威胁信息的包头信息中携带的源地址信息, 目 的地址信息, 源 端口号信息及目 的端口号信息中的至少一种信息, 并根据所述获取 单元 1 0 1 获取的用户配置的支持区域划分的安全策略信息, 确定在 每一个区域的每一个安全等级下, 此网络安全威胁信息可以通过的 网络接口信息及不可以通过的网络接口信息, 从而根据此网络安全 威胁信息中携带的源地址信息, 目 的地址信息, 源端口号信息及目 的端口号信息中的至少一种信息与每一个区域的每一个安全等级下 允许通过的网络接口信息生成与此网络安全威胁信息对应的执行指 令为允许指令的每一个区域的每一个安全等级对应的 ACL规则。 需要说明的是, 所述生成单元 102根据网络安全威胁信息与支 持安全等级划分且支持区域划分的安全策略信息生成与此网络安全 威胁信息对应的执行指令为禁止指令的每一个区域的每一个安全等 级的 ACL规则的方法, 可参考所述生成单元 102根据此网络安全威 胁信息与支持安全等级划分且支持区域划分的安全策略信息生成与 此网络安全威胁信息对应的执行指令为允许指令的每一个区域的每 一个安全等级对应的 ACL规则的方法, 本发明在此不再赘述。
所述发送单元 103, 用于将所述生成单元 102 生成的所述 ACL 规则发送至至少一个防火墙系统。
进一步的, 在安全策略信息包括: 支持安全等级划分的安全策 略信息的情况下, 所述发送单元 103, 具体用于将所述生成单元 102 生成的所述不同安全等级的 ACL 规则发送至与安全等级对应的防火 墙系统。
具体的, 所述发送单元 103在所述生成单元 102根据支持安全 等级划分的安全策略信息生成不同安全等级的 ACL 规则时, 根据用 户配置的每个防火墙系统对应的保护节点的安全等级的不同, 确定 每个防火墙系统对应的保护节点的安全等级, 并将生成的不同安全 等级的 A C L 规则分别发送至与保护节点的安全等级对应的防火墙系 统。
在安全策略信息包括:支持区域划分的安全策略信息的情况下, 所述发送单元 103, 具体用于将所述生成单元 102 生成的所述不同 区域的 ACL规则发送至与区域对应的防火墙系统。
具体的, 所述发送单元 103在所述生成单元 102根据支持区域 划分的安全策略信息生成不同区域的 ACL 规则时, 根据用户配置的 每个防火墙系统对应的保护节点的区域的不同, 确定每个防火墙系 统对应的保护节点的区域, 并将生成的不同区域的 ACL 规则分别发 送至与保护节点的区域对应的防火墙系统。
在安全策略信息包括: 支持安全等级划分且支持区域划分的安 全策略信息的情况下, 所述发送单元 103, 具体用于将所述生成单 元 102 所述不同区域的不同安全等级的 ACL规则发送至与所述区域 对应的防火墙系统。
具体的, 所述发送单元 1Q3, 在所述生成单元 102 根据支持安 全等级划分且支持区域划分的安全策略信息生成不同区域的不同安 全等级的 ACL 规则时, 根据用户配置的每个防火墙系统对应的保护 节点的区域的不同, 确定每个防火墙系统对应的保护节点所在的区 域及安全等级, 并将生成的不同区域的不同安全等级的 ACL 规则分 别发送至与保护节点所在的区域对应的防火墙系统。
进一步的, 所述获取单元 101 , 还用于获取第一信息。
其中,所述第一信息包括第一 ACL规划信息和 /或用户使用需求 信息。 所述用户使用需求信息为用户根据新的需求将之前确定为不 安全的数据包确定为安全的数据包的信息。
所述生成单元, 具体用于在所述第一信息包括所述第一 ACL规 划信息的情况下, 根据所述第一 ACL 规划信息、 所述网络安全威胁 信息及所述安全策略信息生成所述 ACL规则;
所述生成单元, 具体用于在所述第一信息包括所述用户使用需 求信息的情况下, 根据所述用户使用需求信息, 所述网络安全威胁 信息及所述安全策略信息生成所述 ACL规则;
所述生成单元, 具体用于在所述第一信息包括所述第一 ACL规 划信息及所述用户使用需求信息的情况下, 根据所述第一 ACL 规划 信息, 所述用户使用需求信息, 所述网络安全威胁信息及所述安全 策略信息生成所述 ACL规则。
需要说明的是, 所述生成单元 102根据所述获取单元 101获取 的第一 ACL规划信息、网络安全威胁信息及安全策略信息生成的 ACL 规则是对第一 ACL规划信息的更新, 或者是新生成的 ACL规则; 所 述生成单元 102根据所述获取单元 101 获取的第一 ACL规划信息、 用户使用需求信息, 网络安全威胁信息及安全策略信息生成的 ACL 规则是对第一 ACL规划信息的更新, 或者是新生成的 ACL规则, 本 发明对此不做限制。
所述生成单元 102, 具体用于根据第一 ACL规则, 所述获取单 元 101 获取的所述网络安全威胁信息及所述安全策略信息生成所述 ACL规则。
其中, 所述第一 ACL规则为所述生成单元 102在根据当前获取 到的第一 ACL规划信息, 和 /或网络安全威胁信息及安全策略信息生 成 ACL规则之前的所有 ACL规则的集合。
需要说明的是, 所述生成单元 102根据获取的第一 ACL规则、 网络安全威胁信息及安全策略信息生成的 ACL规则是对第一 ACL规 则的更新, 或者是新生成的 ACL规则, 本发明对此不做限制。
或者, 所述生成单元 102, 具体用于根据第一 ACL 规则, 所述 获取单元 101 获取的所述网络安全威胁信息, 所述安全策略信息及 所述第一信息生成所述 ACL规则。
需要说明的是, 所述生成单元 102根据获取的第一 ACL规则、 网络安全威胁信息, 安全策略信息及第一 ACL 规划信息生成的 ACL 规则是新生成的 ACL规则; 或者是对第一 ACL规则的更新, 或者是 对第一 ACL规划信息的更新;所述生成单元 102根据获取的第一 ACL 规则、 网络安全威胁信息, 安全策略信息, 第一 ACL 规划信息及用 户使用需求信息生成的 ACL规则是新生成的 ACL规则; 或者是对第 一 ACL规则的更新, 或者是对第一 ACL规划信息的更新; 本发明对 此不做限制。
需要说明的是, 本发明所述服务器是集中式服务器, 或者是分 布式服务器, 本发明对此不作限制。
需要说明的是, 本发明对服务器的部署方案不做限制, 例如, 服务器可以为独立的设备; 也可以与其他功能的服务器部署在同一 个设备; 也可以与整个网络系统中的任一个传输节点部署在同一个 设备; 也可以与其中一个防火墙系统部署在同一个设备。
本发明实施例提供了一种服务器, 服务器在获取到网络安全威 胁信息及安全策略信息后, 根据获取的网络安全威胁信息及安全策 略信息生成访问控制列表 ACL规则, 并将生成的 ACL规则分别发送 至对应的防火墙系统。 这样, 由于服务器获取到的网络安全威胁信 息为整个网络系统中遇到的安全威胁信息, 因此根据此安全威胁信 息及安全策略信息生成的 ACL 规则可以防备整个网络系统遇到的所 有网络安全威胁, 从而提高了整个网络系统的安全性。
可以参考如图 1 所示的服务器的实施例的实现, 相对应的, 如 图 2所示, 提供一种防火墙系统的功能示意图, 该防火墙系统包括: 获取单元 2 01及处理单元 2 02。
所述获取单元 2 01 , 用于获取访问控制列表 ACL规则。
进一步的, 所述防火墙系统, 如图 3所示, 还包括: 接收单元
2 0 3。
具体的, 所述获取单元 2 01 获取 ACL规则有两种方式, 具体如 下:
第一种方式, 所述获取单元 2 01 , 具体用于触发所述接收单元 2 0 3接收服务器发送的 ACL规则。
进一步的, 所述获取单元 2 01 , 具体用于触发所述接收单元 2 0 3 接收所述服务器发送的与安全等级对应的所述 ACL规则。
或者, 所述获取单元 2 01 , 具体用于触发所述接收单元 2 0 3接 收所述服务器发送的与区域对应的所述 ACL规则。
需要说明的是, 所述接收单元 2 0 3接收服务器发送的与区域对 应的 ACL规则包括: 所述接收单元 2 0 3接收服务器发送的根据支持 区域划分的安全策略信息生成的不同区域的 ACL 规则中的, 与防火 墙系统管理的区域对应的 ACL规则; 或者, 所述接收单元 2 0 3接收 服务器发送的根据支持安全等级划分且支持区域划分的安全策略信 息生成的不同区域的不同安全等级的 ACL 规则中, 与防火墙系统管 理的保护节点的安全等级及区域对应的 ACL规则。
第二种方式, 所述获取单元 2 01 , 具体用于获取用户配置的 ACL 规则。
也就是说, 所述获取单元 2 0 1 可以获取用户根据网络安全威胁 信息预先配置的 ACL规则。
所述处理单元 2 02 ,用于生效所述获取单元 2 01获取的所述 ACL 规则。
具体的, 所述处理单元 2 02 , 在所述获取单元 2 01 触发所述接 收单元 2 0 3接收到服务器发送的 ACL规则或所述获取单元 2 0 1 获取 到用户配置的 ACL规则时, 将接收到的服务器发送的 ACL规则或用 户配置的 ACL规则添加至 ACL列表中, 更新 ACL列表, 并将更新后 的 ACL 列表进行生效, 以使得所述处理单元 2 02在触发所述接收单 元 2 0 3 接收到外部网络发送的数据包时, 将接收到的此数据包与更 新后的 ACL 列表进行匹配, 从而完成所述处理单元 2 02对接收到的 此数据包的监控。
需要说明的是, 所述获取单元 2 0 1 在没有触发所述接收单元 2 0 3接收服务器发送的 ACL规则或用户配置的 ACL规则时, 则不更 新 ACL歹 表, 进而也不对不更新 ACL列表进行生效。
所述处理单元 2 02 , 还用于根据生效后的所述 ACL 规则对第一 节点进行安全保护。
其中, 所述第一节点为所述防火墙系统保护的节点。
进一步的, 所述防火墙系统, 如图 3所示, 还包括: 发送单元
2 04。
具体的, 所述处理单元 2 02根据生效后的 ACL规则对第一节点 进行安全保护的过程如下:
所述处理单元 2 02 , 具体用于触发所述接收单元 2 0 3 接收外部 网络发送的数据包; 并根据生效后的 ACL 规则, 确定所述接收单元 2 0 3 接收到的所述数据包是否为安全数据包; 在根据所述生效后的 ACL 规则确定所述接收单元 2 0 3 接收到的所述数据包为安全数据包 时, 触发所述发送单元 2 04将所述数据包发送至所述第一节点。
也就是说, 所述处理单元 2 02在触发所述接收单元 2 0 3接收到 外部网络发送的数据包时, 解析出此数据包的包头信息中携带的源 地址信息, 目 的地址信息, 源端口号信息及目 的端口号信息中的至 少一种信息, 并将解析出的此数据包的包头信息中携带的源地址信 息, 目 的地址信息, 源端口号信息及目 的端口号信息中的至少一种 信息与生效后的执行指令为允许指令的 ACL 规则进行匹配, 若将解 析出的此数据包的包头信息中携带的源地址信息, 目 的地址信息, 源端口号信息及目 的端口号信息中的至少一种信息与生效后的执行 指令为允许指令的任一条 ACL 规则中定义的源地址信息, 目的地址 信息, 源端口号信息及目 的端口号信息中的至少一种信息匹配, 则 确定此数据包为安全数据包, 并对此数据包执行生效后的执行指令 为允许指令的 ACL 规则中定义的允许指令, 此时, 触发所述发送单 元 2 04将此数据包发送至防火墙系统管理的第一节点。
所述处理单元 2 02 , 在根据所述生效后的 ACL 规则确定所述接 收单元 2 0 3 接收到的所述数据包为不安全数据包时, 确定所述数据 包是否为网络安全威胁信息; 在确定所述数据包为所述网络安全威 胁信息时, 触发所述发送单元 2 04 将所述数据包作为所述网络安全 威胁信息发送至所述服务器。
也就是说, 所述处理单元 2 02 , 在解析出此数据包的包头信息 中携带的源地址信息, 目 的地址信息, 源端口号信息及目 的端口号 信息中的至少一种信息与生效后的执行指令为允许指令的任一条 ACL 规则中定义的源地址信息, 目 的地址信息, 源端口号信息及目 的端口号信息中的至少一种信息不匹配时, 则确定此数据包为不安 全数据包, 此时, 确定此数据包是否为网络安全威胁信息, 若确定 此数据包为网络安全威胁信息, 此时, 触发所述发送单元 2 04 将此 数据包以网络安全威胁信息的格式发送至服务器。
需要说明的是, 所述处理单元 2 02在确定接收到的数据包是否 为安全数据包时, 还可以将此数据包的包头信息中携带的源地址信 息, 目 的地址信息, 源端口号信息及目 的端口号信息中的至少一种 信息与生效后的执行指令为禁止指令的 ACL 规则进行匹配, 本发明 对此不作限制。
需要说明的是, 本发明对防火墙系统的部署方案不做限制, 例 如, 防火墙系统可以为独立的设备; 也可以与整个网络系统中的传输节 点或服务器或第一节点部署在同一个设备;还可以将防火墙系统中的不同 功能模块分别装载在多个不同的设备中; 所述防火墙系统中的不同功 能模块可以为物理功能模块, 也可以为逻辑功能模块。
进一步的, 所述接收单元 2 0 3 , 还用于接收所述第一节点发送 的网络安全威胁信息。
所述发送单元 2 04 , 还用于将所述接收单元 2 0 3 接收到的所述 网络安全威胁信息发送至所述服务器。
所述获取单元 2 01 , 还用于获取用户使用需求信息。
其中, 所述用户使用需求信息为用户根据新的需求将之前确定 为不安全的数据包确定为安全的数据包的信息。
所述发送单元 2 04 , 还用于将所述获取单元 2 01 获取的所述用 户使用需求信息发送至所述服务器。
本发明实施例提供了一种防火墙系统, 在获取到 ACL规则时, 将获取到的 ACL规则进行生效, 并根据生效后的 ACL规则对第一节 点进行安全保护。 这样, 由于服务器获取到的网络安全威胁信息为 整个网络系统中遇到的安全威胁信息, 因此根据此安全威胁信息及 安全策略信息生成的 ACL 规则可以防备整个网络系统遇到的所有网 络安全威胁, 从而提高了整个网络系统的安全性。
本发明实施例提供了一种生成访问控制列表规则的方法, 如图 4所示, 包括:
4 01、 服务器获取网络安全威胁信息及安全策略信息。
其中, 所述网络安全威胁信息的包头信息中包括源地址信息, 目的地址信息, 源端口号信息及目的端口号信息中的至少一种信息。
具体的,服务器可以接收防火墙系统发送的网络安全威胁信息; 服务器获取的安全策略信息为接收用户根据需求配置的过滤规则信 息。
需要说明的是, 服务器还可以根据其他方式获取网络安全威胁 信息及安全策略信息, 本发明对此不作限制。 进一步的, 所述安全策略信息包括: 支持安全等级划分的安全 策略信息; 或者,
所述安全策略信息包括: 支持区域划分的安全策略信息; 或者, 所述安全策略信息包括: 支持安全等级划分且支持区域划分的 安全策略信息。
4 0 2、所述服务器根据获取的所述网络安全威胁信息及所述安全 策略信息生成 AC L规则。
具体的, 服务器根据获取的网络安全威胁信息及安全策略信息 生成 AC L规则有两种方式, 具体如下:
第一种方式, 服务器在接收到防火墙系统发送的网络安全威胁 信息后, 解析出此网络安全威胁信息的包头信息中携带的源地址信 息, 目 的地址信息, 源端口号信息及目 的端口号信息中的至少一种 信息, 并根据获取的用户配置的安全策略信息确定此网络安全威胁 信息可以通过的网络接口信息及不可以通过的网络接口信息, 并根 据此网络安全威胁信息中携带的源地址信息, 目 的地址信息, 源端 口号信息及目 的端口号信息中的至少一种信息与可以通过的网络接 口信息生成与此网络安全威胁信息对应的执行指令为允许指令的 AC L规则。
第二种方式, 服务器在接收到防火墙系统发送的网络安全威胁 信息后, 解析出此网络安全威胁信息的包头信息中携带的源地址信 息, 目 的地址信息, 源端口号信息及目 的端口号信息中的至少一种 信息, 并根据获取的用户配置的安全策略信息确定此网络安全威胁 信息可以通过的网络接口信息及不可以通过的网络接口信息, 从而 根据此网络安全威胁信息中携带的源地址信息, 目 的地址信息, 源 端口号信息及目 的端口号信息中的至少一种信息与不允许通过的网 络接口信息生成与此网络安全威胁信息对应的执行指令为禁止指令 的 AC L规则。
进一步的, 服务器根据安全策略信息的不同, 生成的 AC L规则 也不同, 具体为: 在所述安全策略信息包括: 支持安全等级划分的安全策略信息 的情况下, 所述服务器根据获取的所述网络安全威胁信息及所述支 持安全等级划分的安全策略信息生成不同安全等级的 A C L规则。
具体的, 在安全策略信息包括支持安全等级划分的安全策略信 息的情况下, 服务器在接收到防火墙系统发送的网络安全威胁信息 后, 解析出此网络安全威胁信息的包头信息中携带的源地址信息, 目的地址信息, 源端口号信息及目的端口号信息中的至少一种信息, 并根据获取的用户配置的支持安全等级划分的安全策略信息, 确定 在每一个安全等级下, 此网络安全威胁信息可以通过的网络接口信 息及不可以通过的网络接口信息, 从而根据此网络安全威胁信息中 携带的源地址信息, 目 的地址信息, 源端口号信息及目 的端口号信 息中的至少一种信息与每一个安全等级下允许通过的网络接口信息 生成与此网络安全威胁信息对应的执行指令为允许指令的每一个安 全等级对应的 AC L规则。
需要说明的是, 服务器根据网络安全威胁信息与支持安全等级 划分的安全策略信息生成与此网络安全威胁信息对应的执行指令为 禁止指令的每一个安全等级对应的 AC L 规则的方法, 可参考服务器 根据此网络安全威胁信息与支持安全等级划分的安全策略信息生成 与此网络安全威胁信息对应的执行指令为允许指令的每一个安全等 级对应的 AC L规则的方法, 本发明在此不再赘述。
在所述安全策略信息包括: 支持区域划分的安全策略信息的情 况下, 所述服务器根据获取的所述网络安全威胁信息及所述支持区 域划分的安全策略信息生成不同区域的 AC L规则。
具体的, 在安全策略信息包括支持区域划分的安全策略信息的 情况下, 服务器在接收到防火墙系统发送的网络安全威胁信息后, 解析出此网络安全威胁信息的包头信息中携带的源地址信息, 目 的 地址信息, 源端口号信息及目 的端口号信息中的至少一种信息, 并 根据获取的用户配置的支持区域划分的安全策略信息, 确定在每一 个区域下, 此网络安全威胁信息可以通过的网络接口信息及不可以 通过的网络接口信息, 从而根据此网络安全威胁信息中携带的源地 址信息, 目 的地址信息, 源端口号信息及目的端口号信息中的至少 一种信息与每一个区域下允许通过的网络接口信息生成与此网络安 全威胁信息对应的执行指令为允许指令的每一个区域对应的 AC L 规 则。
需要说明的是, 服务器根据网络安全威胁信息与支持区域划分 的安全策略信息生成与此网络安全威胁信息对应的执行指令为禁止 指令的每一个区域对应的 AC L 规则的方法, 可参考服务器根据此网 络安全威胁信息与支持区域划分的安全策略信息生成与此网络安全 威胁信息对应的执行指令为允许指令的每一个区域的对应 AC L 规则 的方法, 本发明在此不再赘述。
在所述安全策略信息包括: 支持安全等级划分且支持区域划分 的安全策略信息的情况下, 所述服务器根据获取的所述网络安全威 胁信息及所述支持安全等级划分且支持区域划分的安全策略信息生 成不同区域的不同安全等级的 AC L规则。
具体的, 在安全策略信息包括支持安全等级划分且支持区域划 分的安全策略信息的情况下, 服务器在接收到防火墙系统发送的网 络安全威胁信息后, 解析出此网络安全威胁信息的包头信息中携带 的源地址信息, 目 的地址信息, 源端口号信息及目 的端口号信息中 的至少一种信息, 并根据获取的用户配置的支持区域划分的安全策 略信息, 确定在每一个区域的每一个安全等级下, 此网络安全威胁 信息可以通过的网络接口信息及不可以通过的网络接口信息, 从而 根据此网络安全威胁信息中携带的源地址信息, 目 的地址信息, 源 端口号信息及目 的端口号信息中的至少一种信息与每一个区域的每 一个安全等级下允许通过的网络接口信息生成与此网络安全威胁信 息对应的执行指令为允许指令的每一个区域的每一个安全等级对应 的 AC L规则。
需要说明的是, 服务器根据网络安全威胁信息与支持安全等级 划分且支持区域划分的安全策略信息生成与此网络安全威胁信息对 应的执行指令为禁止指令的每一个区域的每一个安全等级的 AC L 规 则的方法, 可参考服务器根据此网络安全威胁信息与支持安全等级 划分且支持区域划分的安全策略信息生成与此网络安全威胁信息对 应的执行指令为允许指令的每一个区域的每一个安全等级对应的 AC L规则的方法, 本发明在此不再赘述。
4 0 3、所述服务器将生成的所述 A C L规则发送至至少一个防火墙 系统。
进一步的, 在安全策略信息包括: 支持安全等级划分的安全策 略信息的情况下, 所述服务器将生成的所述不同安全等级的 AC L 规 则发送至与安全等级对应的防火墙系统。
具体的, 服务器在根据支持安全等级划分的安全策略信息生成 不同安全等级的 AC L 规则时, 根据用户配置的每个防火墙系统对应 的保护节点的安全等级的不同, 确定每个防火墙系统对应的保护节 点的安全等级, 并将生成的不同安全等级的 AC L 规则分别发送至与 保护节点的安全等级对应的防火墙系统。
示例性的, 假设用户配置的防火墙系统 A对应的保护节点的安 全等级为安全等级 1 , 防火墙系统 B 对应的保护节点的安全等级为 安全等级 2 , 则服务器根据安全等级 1 的安全策略信息生成安全等 级 1 的 AC L规则, 根据安全等级 2 的安全策略信息生成安全等级 2 的 AC L规则, 并将生成的安全等级 1 的 AC L规则发送至防火墙系统 A ; 将生成的安全等级 2 的 AC L规则发送至防火墙系统 B。
在安全策略信息包括:支持区域划分的安全策略信息的情况下, 所述服务器将生成的所述不同区域的 AC L 规则发送至与区域对应的 防火墙系统。
具体的, 服务器在根据支持区域划分的安全策略信息生成不同 区域的 A C L 规则时, 根据用户配置的每个防火墙系统对应的保护节 点的区域的不同, 确定每个防火墙系统对应的保护节点的区域, 并 将生成的不同区域的 AC L 规则分别发送至与保护节点的区域对应的 防火墙系统。 示例性的, 假设用户配置的防火墙系统 Α对应的保护节点的区 域为区域 1 , 防火墙系统 B对应的保护节点的区域为区域 2 , 则服务 器根据区域 1 的安全策略信息生成区域 1 的 ACL规则, 根据区域 2 的安全策略信息生成区域 1 的 ACL规则, 并将生成的区域 1 的 AC L 规则发送至防火墙系统 A ; 将生成的区域 2 的 ACL规则发送至防火 墙系统 B。
在安全策略信息包括: 支持安全等级划分且支持区域划分的安 全策略信息的情况下, 所述服务器将所述不同区域的不同安全等级 的 ACL规则发送至与所述区域对应的防火墙系统。
具体的, 服务器在根据支持安全等级划分且支持区域划分的安 全策略信息生成不同区域的不同安全等级的 AC L 规则时, 根据用户 配置的每个防火墙系统对应的保护节点的区域的不同, 确定每个防 火墙系统对应的保护节点所在的区域及安全等级, 并将生成的不同 区域的不同安全等级的 AC L 规则分别发送至与保护节点所在的区域 对应的防火墙系统。
示例性的, 假设用户配置的防火墙系统 A 的保护节点有节点 1 与节点 2 , 节点 1 的安全等级为安全等级 1 , 节点 1的安全等级为安 全等级 2 , 且节点 1 与节点 2对应的区域为区域 1 , 防火墙系统 B的 保护节点有节点 3与节点 4 , 节点 3的安全等级为安全等级 1 , 节点 4的安全等级为安全等级 2 ,且节点 3与节点 4对应的区域为区域 2 , 则服务器根据区域 1 的安全等级 1 的安全策略信息生成区域 1 的安 全等级 1 的 AC L规则, 根据区域 1 的安全等级 2 的安全策略信息生 成区域 1 的安全等级 2 的 ACL规则, 根据区域 2 的安全等级 1 的安 全策略信息生成区域 2 的安全等级 1 的 ACL规则, 并将生成的区域 1 的安全等级 1 的 ACL规则及区域 1 的安全等级 2 的 ACL规则发送 至防火墙系统 A ; 将生成的区域 2的安全等级 1 的 ACL规则及区域 2 的安全等级 2 的 ACL规则发送至防火墙系统 B。
需要说明的是, 本发明所述服务器可以是集中式服务器, 或者 是分布式服务器, 本发明对此不作限制。 需要说明的是, 本发明对服务器的部署方案不做限制, 例如, 服务器可以为独立的设备; 也可以与其他功能的服务器部署在同一 个设备; 也可以与整个网络系统中的任一个传输节点部署在同一个 设备; 也可以与其中一个防火墙系统部署在同一个设备。
本发明实施例提供了一种生成访问控制列表规则的方法, 服务 器在获取到网络安全威胁信息及安全策略信息后, 根据获取的网络 安全威胁信息及安全策略信息生成访问控制列表 ACL 规则, 并将生 成的 ACL 规则分别发送至对应的防火墙系统。 这样, 由于服务器获 取到的网络安全威胁信息为整个网络系统中遇到的安全威胁信息, 因此根据此安全威胁信息及安全策略信息生成的 ACL 规则可以防备 整个网络系统遇到的所有网络安全威胁, 从而提高了整个网络系统 的安全性。
本发明实施例提供了一种生成访问控制列表规则的方法, 如图 5所示, 包括:
501、 防火墙系统获取 ACL规则。
具体的, 防火墙系统获取 ACL规则有两种方式, 具体如下: 第一种方式, 所述防火墙系统接收服务器发送的 ACL规则。 进一步的, 所述防火墙系统接收所述服务器发送的与安全等级 对应的所述 ACL规则。
或者, 所述防火墙系统接收所述服务器发送的与区域对应的所 述 ACL规则。
需要说明的是, 防火墙系统接收服务器发送的与区域对应的 ACL 规则包括: 防火墙系统接收服务器发送的根据支持区域划分的 安全策略信息生成的不同区域的 ACL 规则中的, 与防火墙系统管理 的区域对应的 ACL 规则; 或者, 防火墙系统接收服务器发送的根据 支持安全等级划分且支持区域划分的安全策略信息生成的不同区域 的不同安全等级的 ACL 规则中, 与防火墙系统管理的保护节点的安 全等级及区域对应的 ACL规则。
第二种方式, 所述防火墙系统获取用户配置的 ACL规则。 也就是说, 防火墙系统可以获取用户根据网络安全威胁信息预 先配置的 ACL规则。
502、 所述防火墙系统生效获取的所述 ACL规则。
具体的, 防火墙系统在接收到服务器发送的 ACL规则或用户配 置的 ACL规则时, 将接收到的服务器发送的 ACL规则或用户配置的 ACL规则添力。至 ACL 歹' J表中, 更新 ACL 列表, 并将更新后的 ACL 列 表进行生效, 以使得防火墙系统在接收到外部网络发送的数据包时, 将接收到的此数据包与更新后的 ACL 列表进行匹配, 从而完成防火 墙系统对接收到的此数据包的监控。
需要说明的是, 防火墙系统在没有接收到服务器发送的 ACL 规则或用户配置的 ACL规则时, 则不更新 ACL 列表, 进而也不对不 更新 ACL列表进行生效。
503、所述防火墙系统根据生效后的所述 ACL规则对第一节点进 行安全保护。
其中, 所述第一节点为所述防火墙系统保护的节点。
具体的, 防火墙系统根据生效后的 ACL规则对第一节点进行安 全保护的过程如下:
所述防火墙系统接收外部网络发送的数据包, 并根据生效后的 ACL 规则, 确定接收到的所述数据包是否为安全数据包; 若所述防 火墙系统根据所述生效后的 ACL 规则确定接收到的所述数据包为安 全数据包, 则所述防火墙系统将接收到的所述数据包发送至所述第 一节点。
也就是说, 防火墙系统在接收到外部网络发送的数据包时, 解 析出此数据包的包头信息中携带的源地址信息, 目 的地址信息, 源 端口号信息及目 的端口号信息中的至少一种信息, 并将解析出的此 数据包的包头信息中携带的源地址信息, 目的地址信息, 源端口号 信息及目 的端口号信息中的至少一种信息与生效后的执行指令为允 许指令的 ACL 规则进行匹配, 若将解析出的此数据包的包头信息中 携带的源地址信息, 目 的地址信息, 源端口号信息及目 的端口号信 息中的至少一种信息与生效后的执行指令为允许指令的任一条 A C L 规则中定义的源地址信息, 目 的地址信息, 源端口号信息及目 的端 口号信息中的至少一种信息匹配, 则确定此数据包为安全数据包, 并对此数据包执行生效后的执行指令为允许指令的 A C L 规则中定义 的允许指令, 从而将此数据包发送至防火墙系统管理的第一节点。
若所述防火墙系统根据所述生效后的 AC L规则确定接收到的所 述数据包为不安全数据包, 则所述防火墙系统确定所述数据包是否 为网络安全威胁信息; 若防火墙系统确定所述数据包为所述网络安 全威胁信息, 则所述防火墙系统将所述数据包作为所述网络安全威 胁信息发送至所述服务器。
也就是说, 若防火墙系统将解析出此数据包的包头信息中携带 的源地址信息, 目 的地址信息, 源端口号信息及目 的端口号信息中 的至少一种信息与生效后的执行指令为允许指令的任一条 AC L 规则 中定义的源地址信息, 目 的地址信息, 源端口号信息及目 的端口号 信息中的至少一种信息不匹配, 则确定此数据包为不安全数据包, 此时, 确定此数据包是否为网络安全威胁信息, 若确定此数据包为 网络安全威胁信息, 则防火墙系统将此数据包以网络安全威胁信息 的格式发送至服务器。
需要说明的是, 防火墙系统在确定接收到的数据包是否为安全 数据包时, 还可以将此数据包的包头信息中携带的源地址信息, 目 的地址信息, 源端口号信息及目 的端口号信息中的至少一种信息与 生效后的执行指令为禁止指令的 AC L 规则进行匹配, 本发明对此不 作限制。
需要说明的是, 本发明对防火墙系统的部署方案不做限制, 例 如, 防火墙系统可以为独立的设备; 也可以与整个网络系统中的传输节 点或服务器或第一节点部署在同一个设备;还可以将防火墙系统中的不同 功能模块分别装载在多个不同的设备中; 所述防火墙系统中的不同功 能模块可以为物理功能模块, 也可以为逻辑功能模块。
本发明实施例提供了一种生成访问控制列表规则的方法, 防火 墙系统在获取到 ACL规则时, 将获取到的 ACL规则进行生效, 并根 据生效后的 ACL 规则对第一节点进行安全保护。 这样, 由于服务器 获取到的网络安全威胁信息为整个网络系统中遇到的安全威胁信 息, 因此根据此安全威胁信息及安全策略信息生成的 ACL 规则可以 防备整个网络系统遇到的所有网络安全威胁, 从而提高了整个网络 系统的安全性。
本发明实施例提供了一种生成访问控制列表规则的方法, 如图 6所示, 包括:
需要说明的是, 防火墙系统获取网络安全威胁信息, 用户使用 需求信息及服务器获取安全策略信息没有先后顺序, 即步骤 6 0 1 , 步骤 6 02及步骤 6 0 3没有先后顺序, 本发明对此不作限制。
6 01、 所述防火墙系统获取网络安全威胁信息, 并将获取到的所 述网络安全威胁信息发送至服务器。 所述服务器接收所述防火墙系 统发送的所述网络安全威胁信息。
其中, 所述第一节点为所述防火墙系统保护的节点。
具体的, 所述防火墙系统接收所述第一节点发送的网络安全威 胁信息, 并将接收到的所述网络安全威胁信息发送至所述服务器, 此时, 服务器接收防火墙系统发送的网络安全威胁信息。
6 02、 所述防火墙系统获取用户使用需求信息, 并将获取到的所 述用户使用需求信息发送至所述服务器。 所述服务器获取第一信息。
其中,所述第一信息包括第一 ACL规划信息和 /或用户使用需求 信息。 所述第一 ACL规划信息为用户配置的 ACL规则。 所述用户使 用需求信息为用户根据新的需求确定的安全数据包信息, 和 /或不安 全数据包信息。
具体的, 防火墙系统接收第一节点发送的用户使用需求信息, 并将接收到的用户使用需求信息发送至服务器。 此时, 服务器接收 防火墙系统发送的用户使用需求信息。
需要说明的是, 防火墙系统还可以接收第一节点发送的携带有 用户使用需求信息的消息, 并在此消息中解析出携带的用户使用需 求信息, 进而将解析出的用户使用需求信息发送至服务器, 本发明 对此不做限制。
6 0 3、 所述服务器获取安全策略信息。
具体的, 服务器获取的安全策略信息为接收用户根据需求配置 的过滤规则信息。
进一步的, 所述安全策略信息包括: 支持安全等级划分的安全 策略信息; 或者,
所述安全策略信息包括: 支持区域划分的安全策略信息; 或者, 所述安全策略信息包括: 支持安全等级划分且支持区域划分的 安全策略信息。
6 04、所述服务器根据获取的所述网络安全威胁信息及所述安全 策略信息生成 ACL规则。
具体的, 服务器根据获取的网络安全威胁信息及安全策略信息 生成 ACL规则的方法, 可参考步骤 4 02 , 本发明在此不再赘述。
进一步的, 在第一信息包括第一 ACL规划信息的情况下, 所述 服务器根据获取的所述第一 ACL 规划信息、 所述网络安全威胁信息 及所述安全策略信息生成所述 ACL规则。
具体的, 服务器根据获取的第一 ACL规划信息、 网络安全威胁 信息及安全策略信息生成 ACL 规则的方法可参考步骤 4 02 , 本发明 在此不再赘述。
在所述第一信息包括用户使用需求信息的情况下, 所述服务器 根据获取的所述用户使用需求信息, 所述网络安全威胁信息及所述 安全策略信息生成所述 ACL规则。
具体的, 服务器根据获取的用户使用需求信息, 网络安全威胁 信息及安全策略信息生成 ACL 规则的方法可参考步骤 4 02 , 本发明 在此不再赘述。
在所述第一信息包括第一 ACL规划信息及用户使用需求信息的 情况下, 所述服务器根据获取的所述第一 ACL 规划信息、 所述用户 使用需求信息, 所述网络安全威胁信息及所述安全策略信息生成所 述 ACL规则。
具体的, 服务器根据获取的第一 ACL规划信息、 用户使用需求 信息, 网络安全威胁信息及安全策略信息生成 ACL 规则的方法可参 考步骤 402, 本发明在此不再赘述。
需要说明的是, 服务器根据获取的第一 ACL规划信息、 网络安 全威胁信息及安全策略信息生成的 ACL规则是对第一 ACL规划信息 的更新, 或者是新生成的 ACL规则; 服务器根据获取的第一 ACL规 划信息、 用户使用需求信息, 网络安全威胁信息及安全策略信息生 成的 ACL规则是对第一 ACL规划信息的更新, 或者是新生成的 ACL 规则, 本发明对此不做限制。
进一步的, 所述服务器根据第一 ACL规则, 所述网络安全威胁 信息及所述安全策略信息生成所述 ACL规则。
其中,所述第一 ACL规则为服务器在根据当前获取到的第一 ACL 规划信息, 和 /或网络安全威胁信息及安全策略信息生成 ACL规则之 前的所有 ACL规则的集合。
具体的, 服务器根据第一 ACL规则, 网络安全威胁信息及安全 策略信息生成 ACL 规则的方法, 可参考步骤 402, 本发明在此不再 赘述。
需要说明的是, 服务器根据获取的第一 ACL规则、 网络安全威 胁信息及安全策略信息生成的 ACL规则是对第一 ACL规则的更新, 或者是新生成的 ACL规则, 本发明对此不做限制。
或者, 所述服务器根据第一 ACL规则, 所述网络安全威胁信息, 所述安全策略信息及所述第一信息生成所述 ACL规则。
具体的, 服务器根据第一 ACL规则, 网络安全威胁信息, 安全 策略信息及第一信息生成 ACL 规则的方法, 可参考步骤 402, 本发 明在此不再赘述。
需要说明的是, 服务器根据获取的第一 ACL规则、 网络安全威 胁信息, 安全策略信息及第一 ACL规划信息生成的 ACL规则是新生 成的 ACL规则; 或者是对第一 ACL规则的更新, 或者是对第一 ACL 规划信息的更新; 服务器根据获取的第一 ACL 规则、 网络安全威胁 信息, 安全策略信息, 第一 ACL 规划信息及用户使用需求信息生成 的 ACL规则是新生成的 ACL规则; 或者是对第一 ACL规则的更新, 或者是对第一 ACL规划信息的更新; 本发明对此不做限制。
605、所述服务器将生成的所述 ACL规则发送至至少一个防火墙 系统。 所述防火墙系统获取所述 ACL规则。
具体的, 可参考步骤 403与步骤 501 , 本发明在此不再赘述。 606、 所述防火墙系统生效获取的所述 ACL规则。
具体的, 可参考步骤 502, 本发明在此不再赘述。
607、所述防火墙系统根据生效后的所述 ACL规则对第一节点进 行安全保护。
具体的, 可参考步骤 503, 本发明在此不再赘述。
需要说明的是, 防火墙系统在将获取的 ACL规则生效之后, 根 据生效后的 ACL 规则确定接收到的外部网络发送的数据包是否为网 络安全威胁信息, 在确定接收到的外部网络发送的数据包为网络安 全威胁信息时, 此时, 防火墙系统获取网络安全威胁信息的方法有 两种, 第一种方法为防火墙系统将接收到的数据包确定为网络安全 威胁信息; 第二种方法为防火墙系统接收第一节点发送的网络安全 威胁信息。
本发明实施例提供了一种生成访问控制列表规则的方法, 服务 器在获取到网络安全威胁信息及安全策略信息后, 根据获取的网络 安全威胁信息及安全策略信息生成访问控制列表 ACL 规则, 并将生 成的 ACL 规则分别发送至对应的防火墙系统, 防火墙系统在接收到 服务器发送的 ACL规则后, 生效接收到的 ACL规则, 并根据生效后 的 ACL 规则对第一节点进行安全保护。 这样, 由于服务器获取到的 网络安全威胁信息为整个网络系统中遇到的安全威胁信息, 因此根 据此安全威胁信息及安全策略信息生成的 ACL 规则可以防备整个网 络系统遇到的所有网络安全威胁, 从而提高了整个网络系统的安全 性。 如图 7 所示, 其为本发明实施例提供的一种服务器的结构示意 图, 可参考图 7所示, 该服务器包括: 发送器 7 0 1 , 存储器 7 02 , 以 及分别与发送器 7 01、 存储器 7 02连接的处理器 7 0 3。
其中, 存储器 7 02 中存储一组程序代码, 且处理器 7 0 3用于调 用存储器 7 02 中存储的程序代码。 发送器 7 01 及处理器 7 0 3用于执 行以下操作:
所述处理器 7 0 3 , 用于获取网络安全威胁信息及安全策略信息。 其中, 所述网络安全威胁信息的包头信息中包括源地址信息, 目的地址信息, 源端口号信息及目的端口号信息中的至少一种信息。
具体的, 所述处理器 7 0 3可以接收防火墙系统发送的网络安全 威胁信息; 所述处理器 7 0 3 获取的安全策略信息为接收用户根据需 求配置的过滤规则信息。
需要说明的是, 所述处理器 7 0 3还可以根据其他方式获取网络 安全威胁信息及安全策略信息, 本发明对此不作限制。
进一步的, 所述安全策略信息包括: 支持安全等级划分的安全 策略信息; 或者,
所述安全策略信息包括: 支持区域划分的安全策略信息; 或者, 所述安全策略信息包括: 支持安全等级划分且支持区域划分的 安全策略信息。
所述所述处理器 7 0 3 , 用于根据获取的所述网络安全威胁信息 及所述安全策略信息生成访问控制列表 A C L规则。
具体的, 所述处理器 7 0 3根据获取的网络安全威胁信息及安全 策略信息生成 ACL规则有两种方式, 具体如下:
第一种方式, 所述处理器 7 0 3在接收到防火墙系统发送的网络 安全威胁信息后, 解析出此网络安全威胁信息的包头信息中携带的 源地址信息, 目 的地址信息, 源端口号信息及目 的端口号信息中的 至少一种信息, 并根据获取的用户配置的安全策略信息确定此网络 安全威胁信息可以通过的网络接口信息及不可以通过的网络接口信 息, 并根据此网络安全威胁信息中携带的源地址信息, 目 的地址信 息, 源端口号信息及目 的端口号信息中的至少一种信息与可以通过 的网络接口信息生成与此网络安全威胁信息对应的执行指令为允许 指令的 ACL规则。
第二种方式, 所述处理器 7 0 3在接收到防火墙系统发送的网络 安全威胁信息后, 解析出此网络安全威胁信息的包头信息中携带的 源地址信息, 目 的地址信息, 源端口号信息及目 的端口号信息中的 至少一种信息, 并根据获取的用户配置的安全策略信息确定此网络 安全威胁信息可以通过的网络接口信息及不可以通过的网络接口信 息, 从而根据此网络安全威胁信息中携带的源地址信息, 目的地址 信息, 源端口号信息及目 的端口号信息中的至少一种信息与不允许 通过的网络接口信息生成与此网络安全威胁信息对应的执行指令为 禁止指令的 ACL规则。
进一步的, 所述处理器 7 0 3根据安全策略信息的不同, 生成的 ACL规则也不同, 具体为:
在所述安全策略信息包括: 支持安全等级划分的安全策略信息 的情况下, 所述处理器 7 0 3 , 具体用于根据获取的所述网络安全威 胁信息及所述支持安全等级划分的安全策略信息生成不同安全等级 的 ACL规则。
具体的, 所述处理器 7 0 3 , 在安全策略信息包括支持安全等级 划分的安全策略信息的情况下, 在接收到防火墙系统发送的网络安 全威胁信息后, 解析出此网络安全威胁信息的包头信息中携带的源 地址信息, 目 的地址信息, 源端口号信息及目 的端口号信息中的至 少一种信息, 并根据获取的用户配置的支持安全等级划分的安全策 略信息, 确定在每一个安全等级下, 此网络安全威胁信息可以通过 的网络接口信息及不可以通过的网络接口信息, 从而根据此网络安 全威胁信息中携带的源地址信息, 目 的地址信息, 源端口号信息及 目 的端口号信息中的至少一种信息与每一个安全等级下允许通过的 网络接口信息生成与此网络安全威胁信息对应的执行指令为允许指 令的每一个安全等级对应的 ACL规则。 需要说明的是, 所述处理器 7 0 3根据网络安全威胁信息与支持 安全等级划分的安全策略信息生成与此网络安全威胁信息对应的执 行指令为禁止指令的每一个安全等级对应的 ACL 规则的方法, 可参 考所述处理器 7 0 3 根据此网络安全威胁信息与支持安全等级划分的 安全策略信息生成与此网络安全威胁信息对应的执行指令为允许指 令的每一个安全等级对应的 ACL规则的方法, 本发明在此不再赘述。
在所述安全策略信息包括: 支持区域划分的安全策略信息的情 况下, 所述处理器 7 0 3 , 具体用于根据获取的所述网络安全威胁信 息及所述支持区域划分的安全策略信息生成不同区域的 ACL规则。
具体的, 所述处理器 7 0 3 , 在安全策略信息包括支持区域划分 的安全策略信息的情况下, 在接收到防火墙系统发送的网络安全威 胁信息后, 解析出此网络安全威胁信息的包头信息中携带的源地址 信息, 目 的地址信息, 源端口号信息及目 的端口号信息中的至少一 种信息, 并根据获取的用户配置的支持区域划分的安全策略信息, 确定在每一个区域下, 此网络安全威胁信息可以通过的网络接口信 息及不可以通过的网络接口信息, 从而根据此网络安全威胁信息中 携带的源地址信息, 目 的地址信息, 源端口号信息及目 的端口号信 息中的至少一种信息与每一个区域下允许通过的网络接口信息生成 与此网络安全威胁信息对应的执行指令为允许指令的每一个区域对 应的 ACL规则。
需要说明的是, 所述处理器 7 0 3根据网络安全威胁信息与支持 区域划分的安全策略信息生成与此网络安全威胁信息对应的执行指 令为禁止指令的每一个区域对应的 ACL 规则的方法, 可参考所述处 理器 7 0 3 根据此网络安全威胁信息与支持区域划分的安全策略信息 生成与此网络安全威胁信息对应的执行指令为允许指令的每一个区 域的对应 ACL规则的方法, 本发明在此不再赘述。
在所述安全策略信息包括: 支持安全等级划分且支持区域划分 的安全策略信息的情况下, 所述处理器 7 0 3 , 具体用于根据获取的 所述网络安全威胁信息及所述支持安全等级划分且支持区域划分的 安全策略信息生成不同区域的不同安全等级的 ACL规则。 具体的, 所述处理器 7 0 3 , 在安全策略信息包括支持安全等级 划分且支持区域划分的安全策略信息的情况下, 在接收到防火墙系 统发送的网络安全威胁信息后, 解析出此网络安全威胁信息的包头 信息中携带的源地址信息, 目 的地址信息, 源端口号信息及目 的端 口号信息中的至少一种信息, 并根据获取的用户配置的支持区域划 分的安全策略信息, 确定在每一个区域的每一个安全等级下, 此网 络安全威胁信息可以通过的网络接口信息及不可以通过的网络接口 信息, 从而根据此网络安全威胁信息中携带的源地址信息, 目 的地 址信息, 源端口号信息及目 的端口号信息中的至少一种信息与每一 个区域的每一个安全等级下允许通过的网络接口信息生成与此网络 安全威胁信息对应的执行指令为允许指令的每一个区域的每一个安 全等级对应的 ACL规则。
需要说明的是, 所述处理器 7 0 3根据网络安全威胁信息与支持 安全等级划分且支持区域划分的安全策略信息生成与此网络安全威 胁信息对应的执行指令为禁止指令的每一个区域的每一个安全等级 的 ACL规则的方法, 可参考所述处理器 7 0 3根据此网络安全威胁信 息与支持安全等级划分且支持区域划分的安全策略信息生成与此网 络安全威胁信息对应的执行指令为允许指令的每一个区域的每一个 安全等级对应的 ACL规则的方法, 本发明在此不再赘述。
所述发送器 7 01 , 用于将所述处理器 7 0 3 生成的所述 ACL规则 发送至至少一个防火墙系统。
进一步的, 在安全策略信息包括: 支持安全等级划分的安全策 略信息的情况下, 所述发送器 7 01 , 具体用于将所述处理器 7 0 3 生 成的所述不同安全等级的 ACL 规则发送至与安全等级对应的防火墙 系统。
具体的, 所述发送器 7 01在所述处理器 7 0 3根据支持安全等级 划分的安全策略信息生成不同安全等级的 ACL 规则时, 根据用户配 置的每个防火墙系统对应的保护节点的安全等级的不同, 确定每个 防火墙系统对应的保护节点的安全等级, 并将生成的不同安全等级 的 ACL规则分别发送至与保护节点的安全等级对应的防火墙系统。
在安全策略信息包括:支持区域划分的安全策略信息的情况下, 所述发送器 7 0 1 , 具体用于将所述处理器 7 0 3 生成的所述不同区域 的 ACL规则发送至与区域对应的防火墙系统。
具体的, 所述发送器 7 01在所述处理器 7 0 3根据支持区域划分 的安全策略信息生成不同区域的 ACL 规则时, 根据用户配置的每个 防火墙系统对应的保护节点的区域的不同, 确定每个防火墙系统对 应的保护节点的区域, 并将生成的不同区域的 ACL 规则分别发送至 与保护节点的区域对应的防火墙系统。
在安全策略信息包括: 支持安全等级划分且支持区域划分的安 全策略信息的情况下, 所述发送器 7 01 , 具体用于将所述处理器 7 0 3 所述不同区域的不同安全等级的 ACL 规则发送至与所述区域对应的 防火墙系统。
具体的, 所述发送器 7 01 , 在所述处理器 7 0 3 根据支持安全等 级划分且支持区域划分的安全策略信息生成不同区域的不同安全等 级的 ACL 规则时, 根据用户配置的每个防火墙系统对应的保护节点 的区域的不同, 确定每个防火墙系统对应的保护节点所在的区域及 安全等级, 并将生成的不同区域的不同安全等级的 ACL 规则分别发 送至与保护节点所在的区域对应的防火墙系统。
进一步的, 所述处理器 7 0 3 , 还用于获取第一信息。
其中,所述第一信息包括第一 ACL规划信息和 /或用户使用需求 信息。 所述用户使用需求信息为用户根据新的需求确定的安全数据 包信息, 和 /或不安全数据包信息。
所述处理器 7 0 3 , 具体用于具体用于在所述第一信息包括所述 第一 ACL规划信息的情况下, 根据所述第一 ACL规划信息、 所述网 络安全威胁信息及所述安全策略信息生成所述 ACL规则。
所述处理器 7 0 3 , 具体用于在所述第一信息包括所述用户使用 需求信息的情况下, 根据所述用户使用需求信息, 所述网络安全威 胁信息及所述安全策略信息生成所述 ACL规则。
所述处理器 703, 具体用于在所述第一信息包括所述第一 ACL 规划信息及所述用户使用需求信息的情况下, 根据所述第一 ACL 规 划信息, 所述用户使用需求信息, 所述网络安全威胁信息及所述安 全策略信息生成所述 ACL规则。
需要说明的是,所述处理器 703根据获取的第一 ACL规划信息、 网络安全威胁信息及安全策略信息生成的 ACL规则是对第一 ACL规 划信息的更新, 或者是新生成的 ACL规则; 所述处理器 703根据获 取的第一 ACL 规划信息、 用户使用需求信息, 网络安全威胁信息及 安全策略信息生成的 ACL规则是对第一 ACL规划信息的更新, 或者 是新生成的 ACL规则, 本发明对此不做限制。
所述处理器 703, 具体用于根据第一 ACL 规则, 所述网络安全 威胁信息及所述安全策略信息生成所述 ACL规则。
其中, 所述第一 ACL规则为所述处理器 703在根据当前获取到 的第一 ACL规划信息, 和 /或网络安全威胁信息及安全策略信息生成 ACL规则之前的所有 ACL规则的集合。
需要说明的是, 所述处理器 703根据获取的第一 ACL规则、 网 络安全威胁信息及安全策略信息生成的 ACL规则是对第一 ACL规则 的更新, 或者是新生成的 ACL规则, 本发明对此不做限制。
或者, 所述处理器 703, 具体用于根据第一 ACL 规则, 所述网 络安全威胁信息, 所述安全策略信息及所述第一信息生成所述 ACL 规则。
需要说明的是, 所述处理器 703根据获取的第一 ACL规则、 网 络安全威胁信息, 安全策略信息及第一 ACL规划信息生成的 ACL规 则是新生成的 ACL规则; 或者是对第一 ACL规则的更新, 或者是对 第一 ACL规划信息的更新; 所述处理器 703根据获取的第一 ACL规 则、 网络安全威胁信息, 安全策略信息, 第一 ACL 规划信息及用户 使用需求信息生成的 ACL规则是新生成的 ACL规则; 或者是对第一 ACL 规则的更新, 或者是对第一 ACL 规划信息的更新; 本发明对此 不做限制。
需要说明的是, 本发明所述服务器是集中式服务器, 或者是分 布式服务器, 本发明对此不作限制。
需要说明的是, 本发明对服务器的部署方案不做限制, 例如, 服务器可以为独立的设备; 也可以与其他功能的服务器部署在同一 个设备; 也可以与整个网络系统中的任一个传输节点部署在同一个 设备; 也可以与其中一个防火墙系统部署在同一个设备。
本发明实施例提供了一种服务器, 服务器在获取到网络安全威 胁信息及安全策略信息后, 根据获取的网络安全威胁信息及安全策 略信息生成访问控制列表 ACL规则, 并将生成的 ACL规则分别发送 至对应的防火墙系统。 这样, 由于服务器获取到的网络安全威胁信 息为整个网络系统中遇到的安全威胁信息, 因此根据此安全威胁信 息及安全策略信息生成的 A C L 规则可以防备整个网络系统遇到的所 有网络安全威胁, 从而提高了整个网络系统的安全性。
可以参考如图 7 所示的服务器的实施例的实现, 相对应的, 如 图 8所示, 提供一种防火墙系统的结构示意图, 该防火墙系统包括: 接收器 8 01 , 发送器 8 02 , 存储器 8 0 3 , 以及分别与接收器 8 01、 发 送器 8 02、 存储器 8 0 3连接的处理器 8 04。
其中, 存储器 8 0 3 中存储一组程序代码, 且处理器 8 04用于调 用存储器 8 0 3 中存储的程序代码。 接收器 8 0 1 , 发送器 8 02 及处理 器 8 04用于执行以下操作:
所述处理器 8 04 , 用于获取访问控制列表 ACL规则。
具体的, 所述处理器 8 04获取 ACL规则有两种方式, 具体如下: 第一种方式, 所述处理器 8 04 , 具体用于触发所述接收器 8 01 接收服务器发送的 ACL规则。
进一步的, 所述处理器 8 04 , 具体用于触发所述接收器 8 0 1 接 收所述服务器发送的与安全等级对应的所述 ACL规则。
或者, 所述处理器 8 04 , 具体用于触发所述接收器 8 01 接收所 述服务器发送的与区域对应的所述 ACL规则。 需要说明的是, 所述接收器 801接收服务器发送的与区域对应 的 ACL规则包括: 所述接收器 801接收服务器发送的根据支持区域 划分的安全策略信息生成的不同区域的 ACL 规则中的, 与防火墙系 统管理的区域对应的 ACL规则; 或者, 所述接收器 801接收服务器 发送的根据支持安全等级划分且支持区域划分的安全策略信息生成 的不同区域的不同安全等级的 ACL 规则中, 与防火墙系统管理的保 护节点的安全等级及区域对应的 ACL规则。
第二种方式, 所述处理器 804, 具体用于获取用户配置的 ACL 规则。
也就是说, 所述处理器 804 可以获取用户根据网络安全威胁信 息预先配置的 ACL规则。
所述处理器 804, 还用于生效获取的所述 ACL规则。
具体的, 所述处理器 804, 在触发所述接收器 801 接收到服务 器发送的 ACL规则或获取到用户配置的 ACL规则时, 将接收到的服 务器发送的 ACL规则或用户配置的 ACL规则添加至 ACL列表中, 更 新 ACL 列表, 并将更新后的 ACL 列表进行生效, 以使得所述处理器 804 在触发所述接收器 801 接收到外部网络发送的数据包时, 将接 收到的此数据包与更新后的 ACL 列表进行匹配, 从而完成所述处理 器 804对接收到的此数据包的监控。
需要说明的是, 所述处理器 804 在没有触发所述接收器 801 接收服务器发送的 ACL规则或用户配置的 ACL规则时,则不更新 ACL 列表, 进而也不对不更新 ACL列表进行生效。
所述处理器 804, 还用于根据生效后的所述 ACL 规则对第一节 点进行安全保护。
其中, 所述第一节点为所述防火墙系统保护的节点。
具体的, 所述处理器 804根据生效后的 ACL规则对第一节点进 行安全保护的过程如下:
所述处理器 804, 具体用于触发所述接收器 801 接收外部网络 发送的数据包; 并根据生效后的 ACL规则, 确定所述接收器 801接 收到的所述数据包是否为安全数据包; 在根据所述生效后的 ACL 规 则确定所述接收器 8 01 接收到的所述数据包为安全数据包时, 触发 所述发送器 8 02将所述数据包发送至所述第一节点。
也就是说, 所述处理器 8 04在触发所述接收器 8 0 1接收到外部 网络发送的数据包时, 解析出此数据包的包头信息中携带的源地址 信息, 目 的地址信息, 源端口号信息及目 的端口号信息中的至少一 种信息, 并将解析出的此数据包的包头信息中携带的源地址信息, 目 的地址信息, 源端口号信息及目 的端口号信息中的至少一种信息 与生效后的执行指令为允许指令的 ACL 规则进行匹配, 若将解析出 的此数据包的包头信息中携带的源地址信息, 目 的地址信息, 源端 口号信息及目 的端口号信息中的至少一种信息与生效后的执行指令 为允许指令的任一条 ACL规则中定义的源地址信息, 目的地址信息, 源端口号信息及目 的端口号信息中的至少一种信息匹配, 则确定此 数据包为安全数据包, 并对此数据包执行生效后的执行指令为允许 指令的 ACL规则中定义的允许指令, 此时, 触发所述发送器 8 02将 此数据包发送至防火墙系统管理的第一节点。
所述处理器 8 04 , 在根据所述生效后的 ACL规则确定所述接收 器 8 01 接收到的所述数据包为不安全数据包时, 确定所述数据包是 否为网络安全威胁信息; 在确定所述数据包为所述网络安全威胁信 息时, 触发所述发送器 8 02 将所述数据包作为所述网络安全威胁信 息发送至所述服务器。
也就是说, 所述处理器 8 04 , 在解析出此数据包的包头信息中 携带的源地址信息, 目 的地址信息, 源端口号信息及目 的端口号信 息中的至少一种信息与生效后的执行指令为允许指令的任一条 ACL 规则中定义的源地址信息, 目 的地址信息, 源端口号信息及目 的端 口号信息中的至少一种信息不匹配时, 则确定此数据包为不安全数 据包, 此时, 确定此数据包是否为网络安全威胁信息, 若确定此数 据包为网络安全威胁信息, 此时, 触发所述发送器 8 02 将此数据包 以网络安全威胁信息的格式发送至服务器。 需要说明的是, 所述处理器 8 04在确定接收到的数据包是否为 安全数据包时, 还可以将此数据包的包头信息中携带的源地址信息, 目 的地址信息, 源端口号信息及目 的端口号信息中的至少一种信息 与生效后的执行指令为禁止指令的 ACL 规则进行匹配, 本发明对此 不作限制。
需要说明的是, 本发明对防火墙系统的部署方案不做限制, 例 如, 防火墙系统可以为独立的设备; 也可以与整个网络系统中的传输节 点或服务器或第一节点部署在同一个设备;还可以将防火墙系统中的不同 功能模块分别装载在多个不同的设备中;所述防火墙系统中的不同功能 模块可以为物理功能模块, 也可以为逻辑功能模块。
进一步的, 所述接收器 8 01 , 还用于接收所述第一节点发送的 网络安全威胁信息。
所述发送器 8 02 , 还用于将所述接收器 8 01 接收到的所述网络 安全威胁信息发送至所述服务器。
所述处理器 8 04 , 还用于获取用户使用需求信息。
其中, 所述用户使用需求信息为用户根据新的需求确定的安全 数据包信息, 和 /或不安全数据包信息。
所述发送器 8 02 , 还用于将所述处理器 8 04 获取的所述用户使 用需求信息发送至所述服务器。
本发明实施例提供了一种防火墙系统, 防火墙系统在获取到 ACL 规则时, 将获取到的 ACL 规则进行生效, 并根据生效后的 ACL 规则对第一节点进行安全保护。 这样, 由于服务器获取到的网络安 全威胁信息为整个网络系统中遇到的安全威胁信息, 因此根据此安 全威胁信息及安全策略信息生成的 ACL 规则可以防备整个网络系统 遇到的所有网络安全威胁, 从而提高了整个网络系统的安全性。
本发明实施例提供的一种生成访问控制列表规则的系统, 如图 9所示, 包括: 服务器 9 01 , 防火墙系统 9 02。 其中,
所述服务器 9 01为上述实施例所述的服务器。
所述防火墙系统 9 02为上述实施例所述的防火墙系统。 本发明实施例提供了一种生成访问控制列表规则的方法、 装置 及系统, 服务器在获取到网络安全威胁信息及安全策略信息后, 根 据获取的网络安全威胁信息及安全策略信息生成访问控制列表 A C L 规则, 并将生成的 A C L 规则分别发送至对应的防火墙系统, 此时, 防火墙系统接收服务器发送的 AC L规则, 并将接收到的 AC L规则进 行生效, 并根据生效后的 AC L规则对第一节点进行安全保护。 这样, 由于服务器获取到的网络安全威胁信息为整个网络系统中遇到的安 全威胁信息, 因此根据此安全威胁信息及安全策略信息生成的 A C L 规则可以防备整个网络系统遇到的所有网络安全威胁, 从而提高了 整个网络系统的安全性。
在本申请所提供的几个实施例中, 应该理解到, 所揭露的系统, 装置和方法, 可以通过其它的方式实现。 例如, 以上所描述的装置 实施例仅仅是示意性的, 例如, 所述单元的划分, 仅仅为一种逻辑 功能划分, 实际实现时可以有另外的划分方式, 例如多个单元或组 件可以结合或者可以集成到另一个系统, 或一些特征可以忽略, 或 不执行。 另一点, 所显示或讨论的相互之间的耦合或直接耦合或通 信连接可以是通过一些接口, 装置或单元的间接耦合或通信连接, 可以是电性, 机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分 开的, 作为单元显示的部件可以是或者也可以不是物理单元, 即可 以位于一个地方, 或者也可以分布到多个网络单元上。 可以根据实 际的需要选择其中的部分或者全部单元来实现本实施例方案的 目 的。
另外, 在本发明各个实施例中的各功能单元可以集成在一个处 理单元中, 也可以是各个单元单独物理包括, 也可以两个或两个以 上单元集成在一个单元中。 上述集成的单元既可以采用硬件的形式 实现, 也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元, 可以存储在一 个计算机可读取存储介质中。 上述软件功能单元存储在一个存储介 质中, 包括若干指令用以使得一台计算机设备(可以是个人计算机, 服务器, 或者网络设备等) 执行本发明各个实施例所述方法的部分 步骤。 而前述的存储介质包括: U 盘、 移动硬盘、 只读存储器 ( Read-Only Memory, 简称画)、 随机存取存储器 ( Random Acces s Memory, 简称 RAM )、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是: 以上实施例仅用以说明本发明的技术方案, 而非对其限制; 尽管参照前述实施例对本发明进行了详细的说明, 本领域的普通技术人员应当理解: 其依然可以对前述各实施例所记 载的技术方案进行修改, 或者对其中部分技术特征进行等同替换; 而这些修改或者替换, 并不使相应技术方案的本质脱离本发明各实 施例技术方案的精神和范围。

Claims (22)

  1. 权 利 要 求 书
    1、 一种服务器, 其特征在于, 包括:
    获取单元, 用于获取网络安全威胁信息及安全策略信息; 生成单元,用于根据所述获取单元获取的所述网络安全威胁信息 及所述安全策略信息生成访问控制列表 A C L规则;
    发送单元,用于将所述生成单元生成的所述 AC L规则发送至至少 一个防火墙系统。
  2. 2、 根据权利要求 1 所述的服务器, 其特征在于, 所述安全策略 信息包括: 支持安全等级划分的安全策略信息;
    所述生成单元,具体用于根据所述获取单元获取的所述网络安全 威胁信息及所述支持安全等级划分的安全策略信息生成不同安全等 级的 AC L规则;
    所述发送单元,具体用于将所述生成单元生成的所述不同安全等 级的 AC L规则发送至与安全等级对应的防火墙系统。
  3. 3、 根据权利要求 1 所述的服务器, 其特征在于, 所述安全策略 信息包括: 支持区域划分的安全策略信息;
    所述生成单元,具体用于根据所述获取单元获取的所述网络安全 威胁信息及所述支持区域划分的安全策略信息生成不同区域的 ACL 规则;
    所述发送单元,具体用于将所述生成单元生成的所述不同区域的 ACL规则发送至与区域对应的防火墙系统。
  4. 4、 根据权利要求 1 所述的服务器, 其特征在于, 所述安全策略 信息包括: 支持安全等级划分且支持区域划分的安全策略信息;
    所述生成单元,具体用于根据所述获取单元获取的所述网络安全 威胁信息及所述支持安全等级划分且支持区域划分的安全策略信息 生成不同区域的不同安全等级的 ACL规则;
    所述发送单元,具体用于将所述生成单元生成的所述不同区域的 不同安全等级的 ACL规则发送至与所述区域对应的防火墙系统。
  5. 5、 根据权利要求 1 - 4任一项所述的服务器, 其特征在于, 所述获取单元, 还用于获取第一信息; 其中, 所述第一信息包括 第一 AC L规划信息和 /或用户使用需求信息;
    所述生成单元,具体用于在所述第一信息包括所述第一 ACL规划 信息的情况下, 根据所述第一 AC L规划信息、 所述网络安全威胁信息 及所述安全策略信息生成所述 AC L规则;
    所述生成单元,具体用于在所述第一信息包括所述用户使用需求 信息的情况下, 根据所述用户使用需求信息, 所述网络安全威胁信息 及所述安全策略信息生成所述 AC L规则;
    所述生成单元,具体用于在所述第一信息包括所述第一 ACL规划 信息及所述用户使用需求信息的情况下, 根据所述第一 AC L 规划信 息, 所述用户使用需求信息, 所述网络安全威胁信息及所述安全策略 信息生成所述 AC L规则。
  6. 6、 根据权利要求 5所述的服务器, 其特征在于,
    所述生成单元, 具体用于根据第一 AC L规则, 所述获取单元获取 的所述网络安全威胁信息及所述安全策略信息生成所述 AC L规则; 或 者,
    所述生成单元, 具体用于根据第一 AC L规则, 所述获取单元获取 的所述网络安全威胁信息, 所述安全策略信息及所述第一信息生成所 述 ACL规则。
  7. 7、 一种防火墙系统, 其特征在于, 包括:
    获取单元, 用于获取访问控制列表 AC L规则;
    处理单元, 用于生效所述获取单元获取的所述 ACL规则; 所述处理单元,还用于根据生效后的所述 ACL规则对第一节点进 行安全保护; 其中, 所述第一节点为所述防火墙系统保护的节点。
  8. 8、 根据权利要求 7所述的防火墙系统, 其特征在于, 还包括: 接收单元;
    所述获取单元, 具体用于触发所述接收单元接收服务器发送的 ACL规则; 或者,
    所述获取单元, 具体用于获取用户配置的 AC L规则。 9、 根据权利要求 8所述的防火墙系统, 其特征在于, 所述获取单元,具体用于触发所述接收单元接收所述服务器发送 的与安全等级对应的所述 ACL规则; 或者,
    所述获取单元,具体用于触发所述接收单元接收所述服务器发送 的与区域对应的所述 ACL规则。
  9. 1 0、 根据权利要求 8或 9所述的防火墙系统, 其特征在于, 还包 括: 发送单元;
    所述处理单元,具体用于触发所述接收单元接收外部网络发送的 数据包;
    所述处理单元, 具体用于根据生效后的 ACL规则, 确定所述接收 单元接收到的所述数据包是否为安全数据包;
    所述处理单元,具体用于在根据所述生效后的 ACL规则确定所述 接收单元接收到的所述数据包为安全数据包时, 触发所述发送单元将 所述数据包发送至所述第一节点;
    所述处理单元,具体用于在根据所述生效后的 ACL规则确定所述 接收单元接收到的所述数据包为不安全数据包时, 确定所述数据包是 否为网络安全威胁信息;
    所述处理单元,具体用于在确定所述数据包为所述网络安全威胁 信息时, 触发所述发送单元将所述数据包作为所述网络安全威胁信息 发送至所述服务器。
  10. 1 1、 根据权利要求 1 0所述的防火墙系统, 其特征在于,
    所述接收单元,还用于接收所述第一节点发送的网络安全威胁信 息;
    所述发送单元,还用于将所述接收单元接收到的所述网络安全威 胁信息发送至所述服务器。
  11. 1 2、 根据权利要求 8 - 1 1任一项所述的防火墙系统, 其特征在于, 所述获取单元, 还用于获取用户使用需求信息;
    所述发送单元,还用于将所述获取单元获取到的所述用户使用需 求信息发送至所述服务器。 1 3、 一种生成访问控制列表规则的方法, 其特征在于, 包括: 服务器获取网络安全威胁信息及安全策略信息;
    所述服务器根据获取的所述网络安全威胁信息及所述安全策略 信息生成访问控制列表 ACL规则;
    所述服务器将生成的所述 AC L规则发送至至少一个防火墙系统。
  12. 1 4、 根据权利要求 1 3所述的方法, 其特征在于, 所述安全策略 信息包括: 支持安全等级划分的安全策略信息;
    所述服务器根据获取的所述网络安全威胁信息及所述安全策略 信息生成所述 AC L规则包括:
    所述服务器根据获取的所述网络安全威胁信息及所述支持安全 等级划分的安全策略信息生成不同安全等级的 ACL规则;
    所述服务器将生成的所述 ACL 规则发送至至少一个防火墙系统 包括:
    所述服务器将生成的所述不同安全等级的 AC L 规则发送至与安 全等级对应的防火墙系统。
  13. 1 5、 根据权利要求 1 3所述的方法, 其特征在于, 所述安全策略 信息包括: 支持区域划分的安全策略信息;
    所述服务器根据获取的所述网络安全威胁信息及所述安全策略 信息生成所述 AC L规则包括:
    所述服务器根据获取的所述网络安全威胁信息及所述支持区域 划分的安全策略信息生成不同区域的 ACL规则;
    所述服务器将生成的所述 ACL 规则发送至至少一个防火墙系统 包括:
    所述服务器将生成的所述不同区域的 AC L 规则发送至与区域对 应的防火墙系统。
  14. 1 6、 根据权利要求 1 3所述的方法, 其特征在于, 所述安全策略 信息包括: 支持安全等级划分且支持区域划分的安全策略信息;
    所述服务器根据获取的所述网络安全威胁信息及所述安全策略 信息生成所述 AC L规则包括: 所述服务器根据获取的所述网络安全威胁信息及所述支持安全 等级划分且支持区域划分的安全策略信息生成不同区域的不同安全 等级的 AC L规则;
    所述服务器将生成的所述 ACL 规则发送至至少一个防火墙系统 包括:
    所述服务器将生成的所述不同区域的不同安全等级的 ACL 规则 发送至与所述区域对应的防火墙系统。
  15. 1 7、 根据权利要求 1 3 - 1 6任一项所述的方法, 其特征在于, 在所 述服务器根据获取的所述网络安全威胁信息及所述安全策略信息生 成所述 AC L规则之前, 还包括:
    所述服务器获取第一信息; 其中, 所述第一信息包括第一 AC L 规划信息和 /或用户使用需求信息;
    所述服务器根据获取的所述网络安全威胁信息及所述安全策略 信息生成所述 AC L规则包括:
    在所述第一信息包括所述第一 A C L规划信息的情况下,所述服务 器根据获取的所述第一 AC L规划信息、 所述网络安全威胁信息及所述 安全策略信息生成所述 ACL规则;
    在所述第一信息包括所述用户使用需求信息的情况下,所述服务 器根据获取的所述用户使用需求信息, 所述网络安全威胁信息及所述 安全策略信息生成所述 ACL规则;
    在所述第一信息包括所述第一 ACL 规划信息及所述用户使用需 求信息的情况下, 所述服务器根据获取的所述第一 AC L规划信息, 所 述用户使用需求信息, 所述网络安全威胁信息及所述安全策略信息生 成所述 AC L规则。
  16. 1 8、 根据权利要求 1 7所述的方法, 其特征在于, 所述服务器根 据获取的所述网络安全威胁信息及所述安全策略信息生成所述 ACL 规则包括:
    所述服务器根据第一 AC L规则,所述网络安全威胁信息及所述安 全策略信息生成所述 AC L规则; 或者, 所述服务器根据第一 AC L规则, 所述网络安全威胁信息, 所述安 全策略信息及所述第一信息生成所述 ACL规则。
  17. 1 9、 一种生成访问控制列表规则的方法, 其特征在于, 包括: 防火墙系统获取访问控制列表 AC L规则;
    所述防火墙系统生效获取的所述 ACL规则;
    所述防火墙系统根据生效后的所述 ACL 规则对第一节点进行安 全保护; 其中, 所述第一节点为所述防火墙系统保护的节点。
  18. 2 0、 根据权利要求 1 9所述的方法, 其特征在于, 所述防火墙系 统获取所述 AC L规则包括:
    所述防火墙系统接收服务器发送的 AC L规则; 或者,
    所述防火墙系统获取用户配置的 ACL规则。
  19. 2 1、 根据权利要求 2 0所述的方法, 其特征在于, 所述防火墙系 统接收所述服务器发送的 ACL规则包括:
    所述防火墙系统接收所述服务器发送的与安全等级对应的所述 ACL规则; 或者,
    所述防火墙系统接收所述服务器发送的与区域对应的所述 AC L 规则。
  20. 2 2、 根据权利要求 2 0或 2 1所述的方法, 其特征在于, 所述防火 墙系统根据生效后的所述 ACL规则对第一节点进行安全保护包括: 所述防火墙系统接收外部网络发送的数据包;
    所述防火墙系统根据生效后的 AC L规则,确定接收到的所述数据 包是否为安全数据包;
    若所述防火墙系统根据所述生效后的 AC L 规则确定接收到的所 述数据包为安全数据包, 则所述防火墙系统将接收到的所述数据包发 送至所述第一节点;
    若所述防火墙系统根据所述生效后的 AC L 规则确定接收到的所 述数据包为不安全数据包, 则所述防火墙系统确定所述数据包是否为 网络安全威胁信息;
    若防火墙系统确定所述数据包为所述网络安全威胁信息,则所述 防火墙系统将所述数据包作为所述网络安全威胁信息发送至所述服 务器。
  21. 2 3、 根据权利要求 22所述的方法, 其特征在于, 还包括: 所述防火墙系统接收所述第一节点发送的网络安全威胁信息,并 将接收到的所述网络安全威胁信息发送至所述服务器。
  22. 24、 根据权利要求 2 0- 2 3任一项所述的方法, 其特征在于, 还包 括:
    所述防火墙系统获取用户使用需求信息,并将获取到的所述用户 使用需求信息发送至所述服务器。
CN201480033317.3A 2014-05-08 2014-05-08 一种生成访问控制列表规则的方法、装置及系统 Active CN105393497B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2014/077031 WO2015168902A1 (zh) 2014-05-08 2014-05-08 一种生成访问控制列表规则的方法、装置及系统

Publications (2)

Publication Number Publication Date
CN105393497A true CN105393497A (zh) 2016-03-09
CN105393497B CN105393497B (zh) 2019-09-20

Family

ID=54391989

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201480033317.3A Active CN105393497B (zh) 2014-05-08 2014-05-08 一种生成访问控制列表规则的方法、装置及系统

Country Status (2)

Country Link
CN (1) CN105393497B (zh)
WO (1) WO2015168902A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116582362A (zh) * 2023-07-11 2023-08-11 建信金融科技有限责任公司 网络访问的控制方法、装置、电子设备及存储介质

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020140153A1 (en) * 2019-01-04 2020-07-09 Cybernetiq, Inc. Visualizing firewall-permitted network paths for assessing security of network configuration

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101022360A (zh) * 2007-03-16 2007-08-22 北京工业大学 一种基于ieee 802.1x协议的局域网安全管理方法
CN101232509A (zh) * 2008-02-26 2008-07-30 杭州华三通信技术有限公司 支持隔离模式的网络接入控制方法、系统及设备
CN101582900A (zh) * 2009-06-24 2009-11-18 成都市华为赛门铁克科技有限公司 防火墙安全策略配置方法及管理装置
CN102025735A (zh) * 2010-12-08 2011-04-20 北京航空航天大学 基于防御策略的Linux分布式网络防火墙系统

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100426794C (zh) * 2005-10-11 2008-10-15 华为技术有限公司 一种处理跨越不同防火墙间数据流的方法
CN100459798C (zh) * 2005-10-15 2009-02-04 华为技术有限公司 一种向移动终端提供安全服务的方法及系统
CN101146026B (zh) * 2006-09-13 2010-05-12 中兴通讯股份有限公司 报文过滤方法及系统和装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101022360A (zh) * 2007-03-16 2007-08-22 北京工业大学 一种基于ieee 802.1x协议的局域网安全管理方法
CN101232509A (zh) * 2008-02-26 2008-07-30 杭州华三通信技术有限公司 支持隔离模式的网络接入控制方法、系统及设备
CN101582900A (zh) * 2009-06-24 2009-11-18 成都市华为赛门铁克科技有限公司 防火墙安全策略配置方法及管理装置
CN102025735A (zh) * 2010-12-08 2011-04-20 北京航空航天大学 基于防御策略的Linux分布式网络防火墙系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116582362A (zh) * 2023-07-11 2023-08-11 建信金融科技有限责任公司 网络访问的控制方法、装置、电子设备及存储介质
CN116582362B (zh) * 2023-07-11 2023-09-26 建信金融科技有限责任公司 网络访问的控制方法、装置、电子设备及存储介质

Also Published As

Publication number Publication date
CN105393497B (zh) 2019-09-20
WO2015168902A1 (zh) 2015-11-12

Similar Documents

Publication Publication Date Title
US11159571B2 (en) Apparatus, method and device for encapsulating heterogeneous functional equivalents
US11283810B2 (en) Communication control method and communication control device for substituting security function of communication device
CN104935572B (zh) 多层级权限管理方法及装置
US20130219497A1 (en) Network intrusion detection in a network that includes a distributed virtual switch fabric
CN101420425A (zh) 用于保护网络的方法和设备
US10193868B2 (en) Safe security proxy
CN103067344A (zh) 在云环境中自动分发安全规则的非侵入性方法和设备
CN105049412A (zh) 一种不同网络间数据安全交换方法、装置及设备
CN104009858A (zh) 基于安全管理的多级验证系统
US20160294848A1 (en) Method for protection of automotive components in intravehicle communication system
CN103200059B (zh) 安全网络接入处理方法及装置
CN107257332A (zh) 大型防火墙集群中的定时管理
CN104717212A (zh) 一种云端虚拟网络安全的防护方法与系统
Samaila et al. Security threats and possible countermeasures in IoT applications covering different industry domains
Hamad et al. Red-Zone: Towards an Intrusion Response Framework for Intra-vehicle System.
US9444845B2 (en) Network security apparatus and method
CN117376032A (zh) 安全服务调度方法和系统、电子设备、存储介质
JP6233414B2 (ja) 情報処理装置、フィルタリングシステム、フィルタリング方法、及びフィルタリングプログラム
CN105393497A (zh) 一种生成访问控制列表规则的方法、装置及系统
CN114244576A (zh) 一种云环境下的流量防护方法及装置
CN114338510A (zh) 控制和转发分离的数据转发方法和系统
CN102647425A (zh) 防火墙防木马功能的实现方法及系统
Hamad et al. Intrusion response system for vehicles: Challenges and vision
CN104184746A (zh) 网关处理数据的方法和装置
CN108199965B (zh) Flow spec表项下发方法、网络设备、控制器及自治系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant