CN105592052A - 一种防火墙规则配置方法及装置 - Google Patents

一种防火墙规则配置方法及装置 Download PDF

Info

Publication number
CN105592052A
CN105592052A CN201510574931.7A CN201510574931A CN105592052A CN 105592052 A CN105592052 A CN 105592052A CN 201510574931 A CN201510574931 A CN 201510574931A CN 105592052 A CN105592052 A CN 105592052A
Authority
CN
China
Prior art keywords
user
firewall
firewall rule
address
addresses
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201510574931.7A
Other languages
English (en)
Other versions
CN105592052B (zh
Inventor
宋焕启
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou H3C Technologies Co Ltd
Original Assignee
Hangzhou H3C Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou H3C Technologies Co Ltd filed Critical Hangzhou H3C Technologies Co Ltd
Priority to CN201510574931.7A priority Critical patent/CN105592052B/zh
Publication of CN105592052A publication Critical patent/CN105592052A/zh
Application granted granted Critical
Publication of CN105592052B publication Critical patent/CN105592052B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请提供一种防火墙规则配置方法及装置,应用于网管设备上,该方法包括:获取认证服务器上预先配置的用户信息;创建基于所述用户信息的防火墙规则;向防火墙设备下发已创建的防火墙规则;当用户上线时,根据所述用户的用户信息将所述用户对应的IP地址添加到已下发的防火墙规则中。通过本申请可降低防火墙规则配置和维护的工作量,提升防火墙系统的工作效率。

Description

一种防火墙规则配置方法及装置
技术领域
本申请涉及网络通信技术领域,尤其涉及一种防火墙规则配置方法及装置。
背景技术
防火墙作为一种网络安全系统,按照下发的防火墙规则控制网络流量是否可以通过防火墙设备,防火墙规则通常由网管设备进行配置并下发。
由于防火墙设备仅支持基于IP(InternetProtocol,网际协议)地址的防火墙规则,因此,目前的网管设备也仅基于用户的IP地址进行防火墙规则配置,当用户较多时,基于IP地址进行防火墙规则配置的可操作性变差。
而且,该配置方式只能体现IP地址与防火墙规则的对应关系,无法直观体现用户信息。当用户的IP地址发生变化时,网络管理员需查询用户与IP地址的对应关系,再对该用户的防火墙规则进行修改,无疑增加了网络管理员的维护工作量。
发明内容
有鉴于此,本申请提供一种防火墙规则配置方法及装置。
具体地,本申请是通过如下技术方案实现的:
本申请提供一种防火墙规则配置方法,应用于网管设备上,该方法包括:
获取认证服务器上预先配置的用户信息;
创建基于所述用户信息的防火墙规则;
向防火墙设备下发已创建的防火墙规则;
当用户上线时,根据所述用户的用户信息将所述用户对应的IP地址添加到已下发的防火墙规则中。
本申请还提供一种防火墙规则配置装置,应用于网管设备上,该装置包括:
获取单元,用于获取认证服务器上预先配置的用户信息;
创建单元,用于创建基于所述用户信息的防火墙规则;
下发单元,用于向防火墙设备下发已创建的防火墙规则;
添加单元,用于当用户上线时,根据所述用户的用户信息将所述用户对应的IP地址添加到已下发的防火墙规则中。
由以上描述可以看出,本申请利用网络中普遍存在的认证服务器获取预先配置的用户信息,建立基于用户信息的防火墙规则,并在用户上线时,根据用户的用户信息将该用户对应的IP地址添加到已下发的防火墙规则中。通过本申请可降低防火墙规则配置和维护的工作量,提升防火墙系统的工作效率。
附图说明
图1是本申请一示例性实施例示出的防火墙系统示意图;
图2是本申请一示例性实施例示出的一种防火墙规则配置方法流程图;
图3是本申请一示例性实施例示出的一种防火墙规则配置装置所在设备的基础硬件结构示意图;
图4是本申请一示例性实施例示出的一种防火墙规则配置装置的结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
图1所示为防火墙系统示意图。其中,User1~User3为用户,PC1~PC3为用户访问网络所使用的客户端设备,FW为防火墙设备,SS为用户拟访问的资源服务器,ND为网管设备,RS为认证服务器。客户端设备与服务器位于防火墙设备两侧,网管设备负责配置防火墙规则,并将防火墙规则下发给防火墙设备,防火墙设备根据下发的防火墙规则控制(允许或禁止)用户使用客户端设备访问资源服务器。认证服务器负责对接入网络的用户进行身份认证。
现有技术方案采用基于IP地址的防火墙规则配置方式。例如,假设,图1中User1、User2为非财务人员,SS为公司财务部的服务器,公司禁止非财务人员访问财务部服务器,则网络管理员在网管设备上进行如下规则配置:禁止源IP地址为192.168.1.10目的IP地址为10.6.1.2的访问;禁止源IP地址为192.168.1.20目的IP地址为10.6.1.2的访问。该基于IP地址的配置方式随着用户的不断增加(IP地址增加),配置工作量也会增加,可操作性差。此外,当用户的IP地址发生变化时,需要人工查询用户与IP地址的对应关系,从而更改对应的防火墙规则,可见,该技术方案的维护成本也很高。
针对上述问题,本申请实施例提出一种防火墙规则配置方法,该方法利用网络中普遍存在的认证服务器获取预先配置的用户信息,建立基于用户信息的防火墙规则,并在用户上线时,根据用户的用户信息将该用户对应的IP地址添加到已下发的防火墙规则中。
参见图2,为本申请防火墙规则配置方法的一个实施例流程图,该实施例对防火墙规则的配置过程进行描述。
步骤201,获取认证服务器上预先配置的用户信息。
为了保证网络的安全性,大部分的网络系统中都会部署安全认证系统,对接入网络的用户身份进行认证。本申请实施例正是利用该安全认证系统实现本申请的防火墙规则配置。
具体为,在安全认证系统的认证服务器中预先配置允许接入网络的用户的用户信息,该用户信息可以包括用户名以及该用户所属用户分组的用户分组名。例如,假设,某企业员工User1(用户名),该员工为研发部员工,因此,该员工所属用户分组为研发部,对应的用户分组名为R&DGroup。
网管设备通过与认证服务器进行信息交互,例如,可通过WebService(网络服务)接口,从认证服务器上获取上述预先配置的用户信息。
步骤202,创建基于所述用户信息的防火墙规则。
防火墙规则通常包括源域、目的域、源IP地址组、目的IP地址组、服务组、动作(允许或禁止)等信息。本申请实施例利用步骤201获取的用户信息配置防火墙规则。
具体为,创建安全域,将对应的防火墙设备接口添加到安全域中。例如,假设User1~User3为研发部员工,公司禁止研发部员工访问财务部服务器(SS服务器),因此,可创建两个安全域,研发部域(域名为R&DDomain)和财务部域(域名为FinanceDomain)。研发部域对应的防火墙设备接口为GE1/0/4,财务部域对应的防火墙设备接口为GE1/0/3,分别添加到对应安全域中。
创建IP地址组,同一IP地址组内的成员适用同一防火墙规则。本申请实施例根据步骤201获取的用户信息创建对应的IP地址组,该IP地址组的成员信息为用户信息。该用户信息可以为用户名或用户分组名。例如,创建研发部对应的IP地址组(R&DIPGroup),该IP地址组可以引用用户名(User1\User2\User3)或用户分组名(R&DUserGroup)。当IP地址组的成员信息为用户分组名时,表示该用户分组下的所有用户均采用同一防火墙规则。此外,如图1所示,创建财务部服务器对应的IP地址组(FinanceServerIPGroup),该IP地址组的成员为SS服务器。由于服务器的IP地址相对固定,且服务器的数量相对较少,因此,可直接将服务器IP地址配置在网管设备中。
在完成安全域及IP地址组的创建后,可根据安全需求创建对应的防火墙规则。例如,公司的安全需求为禁止研发部人员访问财务部服务器,则根据该安全需求创建如下防火墙规则:源域为R&DDomain,目的域为FinanceDomain、源IP地址组为R&DIPGroup、目的IP地址组为FinanceServerIPGroup、服务组为AnyService(任意服务)、动作为Deny(禁止)。
步骤203,向防火墙设备下发已创建的防火墙规则。
将步骤202创建的防火墙规则下发给防火墙设备。其中,对于引用已配置IP地址的网络设备(例如,在网管设备上直接配置SS服务器的IP地址)的防火墙规则,在下发防火墙规则时,直接将网络设备的IP地址下发给防火墙设备。而对于IP地址容易发生变化的用户,通过前述步骤201~步骤203无法获取到用户对应的IP地址,可执行步骤204以完成防火墙规则的配置。
步骤204,当用户上线时,根据所述用户的用户信息将所述用户对应的IP地址添加到已下发的防火墙规则中。
当用户上线时,认证服务器向网管设备发送用户上线报文,该用户上线报文中包含上线用户的用户信息以及对应的IP地址。
在前述描述中已介绍根据用户信息创建IP地址组以及根据IP地址组生成防火墙规则的过程,网管设备会记录用户信息、IP地址组以及防火墙规则的引用关系,因此,网管设备可根据上线用户的用户信息,查询引用该用户信息的IP地址组以及引用该IP地址组的防火墙规则。
在确定了对应的防火墙规则后,访问防火墙设备,例如,可通过NetConf(NetworkConfigurationProtocol,网络配置协议)接口访问防火墙设备,配置已下发到防火墙设备中的防火墙规则。本申请实施例中,网管设备通过访问防火墙设备将上线用户对应的IP地址添加到已下发的防火墙规则的IP地址组中,其中,该已下发的防火墙规则为位于防火墙设备中的与已查询到的防火墙规则一致的防火墙规则,即通过网管设备直接配置防火墙设备中的防火墙规则。
当用户下线时,网管设备同样可以根据用户的用户信息删除已下发的防火墙规则中用户对应的IP地址。具体为,接收认证服务器在用户下线时发送的用户下线报文,该用户下线报文中包含该下线用户的用户信息以及对应的IP地址。网管设备根据已记录的用户信息、IP地址组以及防火墙规则的引用关系,查询引用该下线用户的用户信息的IP地址组以及引用该IP地址组的防火墙规则。在确定了引用该下线用户的用户信息的防火墙规则后,访问防火墙设备,从已下发的防火墙规则的IP地址组中删除该下线用户对应的IP地址,其中,该已下发的防火墙规则为位于防火墙设备中的与已查询到的防火墙规则一致的防火墙规则。
从上述描述可以看出,本申请实施例利用大部分组网中普遍部署的认证系统,实现防火墙规则的自动配置和维护,降低了网络管理人员的工作量,提高了防火墙系统的工作效率。
此外,当网管设备启动日志功能时,可接收防火墙设备上报的防火墙日志。该防火墙日志用于记录防火墙设备对经过它的数据报文所执行的具体操作,例如,拦截某源IP地址到目的IP地址的报文。
当防火墙日志中的IP地址为上线用户对应的IP地址时,网管设备可根据在用户上线时记录的用户信息与IP地址的对应关系,获取上线用户的用户信息,将用户信息添加到防火墙日志中,从而使网络管理员更加直观的感知防火墙设备的运行状态,例如,哪一位用户发起攻击或被攻击。
现仍以图1为例,详细介绍防火墙规则配置过程。
如前所示,假设User1~User3为研发部员工,公司禁止研发部员工访问财务部服务器(SS服务器),则防火墙规则配置过程如下。
创建安全域,研发部域(域名为R&DDomain)和财务部域(域名为FinanceDomain)。将防火墙设备接口GE1/0/4添加到研发部域,防火墙设备接口GE1/0/3添加到财务部域。
从认证服务器获取预先配置的研发部人员的用户信息,该用户信息包括研发部分组名(R&DGroup)和研发部人员的用户名(User1\User2\User3)。
创建IP地址组,研发部IP地址组(R&DIPGroup)和财务部IP地址组(FinanceServerIPGroup)。研发部IP地址组引用用户分组名(R&DUserGroup),财务部IP地址组引用SS服务器,同时,网管设备(ND)上配置SS服务器的IP地址10.6.1.2。
根据公司的安全需求禁止研发部员工访问财务部服务器(SS服务器),因此,创建如下防火墙规则:源域为R&DDomain,目的域为FinanceDomain、源IP地址组为R&DIPGroup、目的IP地址组为FinanceServerIPGroup、服务组为AnyService(任意服务)、动作为Deny(禁止)。
将上述防火墙规则(以下简称规则1)下发给防火墙设备FW,同时,记录用户信息、IP地址组以及防火墙规则的引用关系,如表1所示,该表仅为示例性说明。
表1
当User1上线时,认证服务器(RS服务器)向网管设备发送用户上线报文,该用户上线报文中携带User1的用户名(User1)和User1所使用客户端设备PC1的IP地址(192.168.1.10)。网管设备可根据User1的用户名查询表1找到引用该用户信息的防火墙规则以及IP地址组信息。
网管设备通过NetConf接口访问防火墙设备,将User1对应的IP地址(192.168.1.10)添加到防火墙设备中规则1的IP地址组(R&DIPGroup)中,从而完成针对User1的防火墙规则的配置。
同理,User2和User3上线时,采用同样的方式完成的防火墙规则的配置。
当User1下线时,认证服务器(RS服务器)向网管设备发送用户下线报文,该用户下线报文中携带User1的用户名(User1)和User1所使用客户端设备PC1的IP地址(192.168.1.10)。网管设备同样根据User1的用户名查询表1找到引用该用户信息的防火墙规则以及IP地址组信息。
然后,通过NetConf接口访问防火墙设备,从防火墙设备中规则1的IP地址组(R&DIPGroup)中删除User1对应的IP地址(192.168.1.10),从而完成针对User1的防火墙规则的删除。
此外,网管设备可接收防火墙设备上报的防火墙日志,如表2所示,该表仅为示例性说明。
时间 源IP地址 目的IP地址 事件 操作
2015-08-17 10:55:00 192.168.1.10 10.6.1.2 攻击 拦截
表2
网络管理员无法直观的获知哪一位用户发起了攻击或被攻击。本申请中,由于网管设备在用户上线时可以从认证服务器获取用户信息和对应的IP地址信息,因此,可记录用户信息和IP地址的对应关系,如表3所示。
用户信息 IP地址
User1 192.168.1.10
User2 192.168.1.20
User3 192.168.1.30
表3
同时,网管设备中已配置了SS服务器的IP地址10.6.1.2,因此,网管设备可通过IP地址查找到对应的用户信息,在表2所示的防火墙日志中添加用户信息,生成表4所示防火墙日志。
时间 源用户名 源IP地址 目的用户名 目的IP地址 事件 操作
2015-08-17 10:55:00 User1 192.168.1.10 SS服务器 10.6.1.2 攻击 拦截
表4
可见,通过表4网络管理员可直观地获知防火墙设备的运行状态。
与前述防火墙规则配置方法的实施例相对应,本申请还提供了防火墙规则配置装置的实施例。
本申请防火墙规则配置装置的实施例可以应用在网管设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在设备的处理器运行存储器中对应的计算机程序指令形成的。从硬件层面而言,如图3所示,为本申请防火墙规则配置装置所在设备的一种硬件结构图,除了图3所示的处理器、网络接口、以及存储器之外,实施例中装置所在的设备通常根据该设备的实际功能,还可以包括其他硬件,对此不再赘述。
请参考图4,为本申请一个实施例中的防火墙规则配置装置的结构示意图。该防火墙规则配置装置包括获取单元401、创建单元402、下发单元403以及添加单元404,其中:
获取单元401,用于获取认证服务器上预先配置的用户信息;
创建单元402,用于创建基于所述用户信息的防火墙规则;
下发单元403,用于向防火墙设备下发已创建的防火墙规则;
添加单元404,用于当用户上线时,根据所述用户的用户信息将所述用户对应的IP地址添加到已下发的防火墙规则中。
进一步地,
所述创建单元402,具体用于创建安全域,将对应的防火墙设备的接口添加到所述安全域中;创建IP地址组,所述IP地址组引用所述用户信息;根据安全需求创建对应的防火墙规则,所述防火墙规则中包含已创建的安全域和IP地址组。
进一步地,
所述添加单元404,具体用于接收所述认证服务器在用户上线时发送的用户上线报文,所述用户上线报文中包含所述用户的用户信息以及对应的IP地址;查询引用所述用户信息的IP地址组;查询引用所述IP地址组的防火墙规则;将所述用户对应的IP地址添加到已下发的防火墙规则的IP地址组中,所述已下发的防火墙规则为位于所述防火墙设备中的与已查询到的防火墙规则一致的防火墙规则。
进一步地,所述装置还包括:
删除单元,用于当用户下线时,接收所述认证服务器发送的用户下线报文,所述用户下线报文中包含所述用户的用户信息以及对应的IP地址;查询引用所述用户信息的IP地址组;查询引用所述IP地址组的防火墙规则;从已下发的防火墙规则的IP地址组中删除所述用户对应的IP地址,所述已下发的防火墙规则为位于所述防火墙设备中的与已查询到的防火墙规则一致的防火墙规则。
进一步地,所述装置还包括:
处理单元,用于接收所述防火墙设备上报的防火墙日志,所述防火墙日志中包含所述用户对应的IP地址;根据所述用户对应的IP地址获取所述用户的用户信息,所述网管设备已在用户上线时记录所述用户的用户信息与IP地址的对应关系;在所述防火墙日志中添加所述IP地址对应的用户信息。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (10)

1.一种防火墙规则配置方法,应用于网管设备上,其特征在于,该方法包括:
获取认证服务器上预先配置的用户信息;
创建基于所述用户信息的防火墙规则;
向防火墙设备下发已创建的防火墙规则;
当用户上线时,根据所述用户的用户信息将所述用户对应的IP地址添加到已下发的防火墙规则中。
2.如权利要求1所述的方法,其特征在于,所述创建基于所述用户信息的防火墙规则,包括:
创建安全域,将对应的防火墙设备的接口添加到所述安全域中;
创建IP地址组,所述IP地址组引用所述用户信息;
根据安全需求创建对应的防火墙规则,所述防火墙规则中包含已创建的安全域和IP地址组。
3.如权利要求1或2所述的方法,其特征在于,所述根据所述用户的用户信息将所述用户对应的IP地址添加到已下发的防火墙规则中,包括:
接收所述认证服务器在用户上线时发送的用户上线报文,所述用户上线报文中包含所述用户的用户信息以及对应的IP地址;
查询引用所述用户信息的IP地址组;
查询引用所述IP地址组的防火墙规则;
将所述用户对应的IP地址添加到已下发的防火墙规则的IP地址组中,所述已下发的防火墙规则为位于所述防火墙设备中的与已查询到的防火墙规则一致的防火墙规则。
4.如权利要求1所述的方法,其特征在于,所述方法还包括:
当用户下线时,接收所述认证服务器发送的用户下线报文,所述用户下线报文中包含所述用户的用户信息以及对应的IP地址;
查询引用所述用户信息的IP地址组;
查询引用所述IP地址组的防火墙规则;
从已下发的防火墙规则的IP地址组中删除所述用户对应的IP地址,所述已下发的防火墙规则为位于所述防火墙设备中的与已查询到的防火墙规则一致的防火墙规则。
5.如权利要求1所述的方法,其特征在于,所述方法还包括:
接收所述防火墙设备上报的防火墙日志,所述防火墙日志中包含所述用户对应的IP地址;
根据所述用户对应的IP地址获取所述用户的用户信息,所述网管设备已在用户上线时记录所述用户的用户信息与IP地址的对应关系;
在所述防火墙日志中添加所述IP地址对应的用户信息。
6.一种防火墙规则配置装置,应用于网管设备上,其特征在于,该装置包括:
获取单元,用于获取认证服务器上预先配置的用户信息;
创建单元,用于创建基于所述用户信息的防火墙规则;
下发单元,用于向防火墙设备下发已创建的防火墙规则;
添加单元,用于当用户上线时,根据所述用户的用户信息将所述用户对应的IP地址添加到已下发的防火墙规则中。
7.如权利要求6所述的装置,其特征在于:
所述创建单元,具体用于创建安全域,将对应的防火墙设备的接口添加到所述安全域中;创建IP地址组,所述IP地址组引用所述用户信息;根据安全需求创建对应的防火墙规则,所述防火墙规则中包含已创建的安全域和IP地址组。
8.如权利要求6或7所述的装置,其特征在于:
所述添加单元,具体用于接收所述认证服务器在用户上线时发送的用户上线报文,所述用户上线报文中包含所述用户的用户信息以及对应的IP地址;查询引用所述用户信息的IP地址组;查询引用所述IP地址组的防火墙规则;将所述用户对应的IP地址添加到已下发的防火墙规则的IP地址组中,所述已下发的防火墙规则为位于所述防火墙设备中的与已查询到的防火墙规则一致的防火墙规则。
9.如权利要求6所述的装置,其特征在于,所述装置还包括:
删除单元,用于当用户下线时,接收所述认证服务器发送的用户下线报文,所述用户下线报文中包含所述用户的用户信息以及对应的IP地址;查询引用所述用户信息的IP地址组;查询引用所述IP地址组的防火墙规则;从已下发的防火墙规则的IP地址组中删除所述用户对应的IP地址,所述已下发的防火墙规则为位于所述防火墙设备中的与已查询到的防火墙规则一致的防火墙规则。
10.如权利要求6所述的装置,其特征在于,所述装置还包括:
处理单元,用于接收所述防火墙设备上报的防火墙日志,所述防火墙日志中包含所述用户对应的IP地址;根据所述用户对应的IP地址获取所述用户的用户信息,所述网管设备已在用户上线时记录所述用户的用户信息与IP地址的对应关系;在所述防火墙日志中添加所述IP地址对应的用户信息。
CN201510574931.7A 2015-09-10 2015-09-10 一种防火墙规则配置方法及装置 Active CN105592052B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510574931.7A CN105592052B (zh) 2015-09-10 2015-09-10 一种防火墙规则配置方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510574931.7A CN105592052B (zh) 2015-09-10 2015-09-10 一种防火墙规则配置方法及装置

Publications (2)

Publication Number Publication Date
CN105592052A true CN105592052A (zh) 2016-05-18
CN105592052B CN105592052B (zh) 2019-06-07

Family

ID=55931269

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510574931.7A Active CN105592052B (zh) 2015-09-10 2015-09-10 一种防火墙规则配置方法及装置

Country Status (1)

Country Link
CN (1) CN105592052B (zh)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106790113A (zh) * 2016-12-27 2017-05-31 华东师范大学 一种硬件防火墙配置管理方法及装置
CN108429743A (zh) * 2018-02-28 2018-08-21 新华三信息安全技术有限公司 一种安全策略配置方法、系统、域控服务器及防火墙设备
CN109104399A (zh) * 2017-11-23 2018-12-28 新华三信息安全技术有限公司 一种安全策略规则配置方法及装置
CN109218323A (zh) * 2018-09-28 2019-01-15 山东超越数控电子股份有限公司 一种针对防火墙设备的远程配置方法
CN110677383A (zh) * 2019-08-22 2020-01-10 平安科技(深圳)有限公司 防火墙开墙方法、装置、存储介质及计算机设备
CN111064715A (zh) * 2019-11-29 2020-04-24 北京浪潮数据技术有限公司 一种防火墙的编排方法、装置和计算机可读存储介质
CN111095862A (zh) * 2017-09-12 2020-05-01 新纳聚克斯集团 基于动态ip地址修改防火墙的方法、系统和介质
CN111600971A (zh) * 2020-04-30 2020-08-28 新华三信息安全技术有限公司 一种设备管理的方法和设备管理的装置
CN113079128A (zh) * 2020-01-06 2021-07-06 中国移动通信集团安徽有限公司 信息封堵方法、装置、计算设备及计算机存储介质
CN113114683A (zh) * 2021-04-14 2021-07-13 中国工商银行股份有限公司 防火墙策略处理方法及装置
CN113709099A (zh) * 2021-07-12 2021-11-26 新华三大数据技术有限公司 混合云防火墙规则下发方法、装置、设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1859384A (zh) * 2005-12-29 2006-11-08 华为技术有限公司 控制用户报文通过网络隔离设备的方法
CN101540757A (zh) * 2008-03-19 2009-09-23 北京艾科网信科技有限公司 网络认证方法、系统和认证设备
CN101635701A (zh) * 2008-07-21 2010-01-27 山石网科通信技术(北京)有限公司 安全访问控制的方法
CN101662415A (zh) * 2008-08-29 2010-03-03 华为技术有限公司 一种策略控制方法及通讯系统以及相关设备
CN101674587A (zh) * 2009-10-14 2010-03-17 成都市华为赛门铁克科技有限公司 实现业务监控的方法和系统及认证代理服务器

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1859384A (zh) * 2005-12-29 2006-11-08 华为技术有限公司 控制用户报文通过网络隔离设备的方法
CN101540757A (zh) * 2008-03-19 2009-09-23 北京艾科网信科技有限公司 网络认证方法、系统和认证设备
CN101635701A (zh) * 2008-07-21 2010-01-27 山石网科通信技术(北京)有限公司 安全访问控制的方法
CN101662415A (zh) * 2008-08-29 2010-03-03 华为技术有限公司 一种策略控制方法及通讯系统以及相关设备
CN101674587A (zh) * 2009-10-14 2010-03-17 成都市华为赛门铁克科技有限公司 实现业务监控的方法和系统及认证代理服务器

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106790113A (zh) * 2016-12-27 2017-05-31 华东师范大学 一种硬件防火墙配置管理方法及装置
CN111095862A (zh) * 2017-09-12 2020-05-01 新纳聚克斯集团 基于动态ip地址修改防火墙的方法、系统和介质
CN109104399A (zh) * 2017-11-23 2018-12-28 新华三信息安全技术有限公司 一种安全策略规则配置方法及装置
CN108429743A (zh) * 2018-02-28 2018-08-21 新华三信息安全技术有限公司 一种安全策略配置方法、系统、域控服务器及防火墙设备
CN109218323A (zh) * 2018-09-28 2019-01-15 山东超越数控电子股份有限公司 一种针对防火墙设备的远程配置方法
CN110677383A (zh) * 2019-08-22 2020-01-10 平安科技(深圳)有限公司 防火墙开墙方法、装置、存储介质及计算机设备
CN111064715A (zh) * 2019-11-29 2020-04-24 北京浪潮数据技术有限公司 一种防火墙的编排方法、装置和计算机可读存储介质
CN111064715B (zh) * 2019-11-29 2022-05-17 北京浪潮数据技术有限公司 一种防火墙的编排方法、装置和计算机可读存储介质
CN113079128A (zh) * 2020-01-06 2021-07-06 中国移动通信集团安徽有限公司 信息封堵方法、装置、计算设备及计算机存储介质
CN113079128B (zh) * 2020-01-06 2022-10-18 中国移动通信集团安徽有限公司 信息封堵方法、装置、计算设备及计算机存储介质
CN111600971A (zh) * 2020-04-30 2020-08-28 新华三信息安全技术有限公司 一种设备管理的方法和设备管理的装置
CN113114683A (zh) * 2021-04-14 2021-07-13 中国工商银行股份有限公司 防火墙策略处理方法及装置
CN113709099A (zh) * 2021-07-12 2021-11-26 新华三大数据技术有限公司 混合云防火墙规则下发方法、装置、设备及存储介质
CN113709099B (zh) * 2021-07-12 2023-11-07 新华三大数据技术有限公司 混合云防火墙规则下发方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN105592052B (zh) 2019-06-07

Similar Documents

Publication Publication Date Title
CN105592052A (zh) 一种防火墙规则配置方法及装置
US11489879B2 (en) Method and apparatus for centralized policy programming and distributive policy enforcement
AU2015253103B2 (en) Method and apparatus for multi-tenancy secrets management
CN106411857B (zh) 一种基于虚拟隔离机制的私有云gis服务访问控制方法
CN110287709A (zh) 用户操作权限控制方法、装置、设备及介质
EP2866411A1 (en) Method and system for detecting unauthorized access to and use of network resources with targeted analytics
CN102724189B (zh) 一种控制用户url访问的方法及装置
CN104769908A (zh) 基于ldap的多租户云中身份管理系统
CA2927591A1 (en) Method and system for dynamically and automatically managing resource access permissions
US10148637B2 (en) Secure authentication to provide mobile access to shared network resources
KR20090106541A (ko) 시간 기반 권한부여
CN111861140A (zh) 一种业务处理方法、装置、存储介质和电子装置
US20190273657A1 (en) Multiuser device staging
WO2005074228A1 (en) System and method for a directory secured user account
KR20140033056A (ko) 클라우드 서비스 재접속 자동화 방법
US20160364577A1 (en) Compromise free cloud data encryption and security
US11126460B2 (en) Limiting folder and link sharing
US10104019B2 (en) Systems and methods for locating application-specific data on a remote endpoint computer
WO2018226807A1 (en) Centralized authenticating abstraction layer with adaptive assembly line pathways
CN102006286A (zh) 信息系统的访问管理方法、装置、系统和接入设备
US20120233220A1 (en) Controlling Access To A Computer System
CN104363306A (zh) 一种企业私有云管理控制方法
US20190171842A1 (en) Extensibility tools for defining custom restriction rules in access control
US9015854B2 (en) Access rights management in enterprise digital rights management systems
US20170237745A1 (en) Enforcing label-based rules on a per-user basis in a distributed network management system

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No.

Applicant after: Xinhua three Technology Co., Ltd.

Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No.

Applicant before: Huasan Communication Technology Co., Ltd.

GR01 Patent grant
GR01 Patent grant