CN105610799B - Onvif应用系统中的安全防护方法及防火墙设备 - Google Patents
Onvif应用系统中的安全防护方法及防火墙设备 Download PDFInfo
- Publication number
- CN105610799B CN105610799B CN201510968729.2A CN201510968729A CN105610799B CN 105610799 B CN105610799 B CN 105610799B CN 201510968729 A CN201510968729 A CN 201510968729A CN 105610799 B CN105610799 B CN 105610799B
- Authority
- CN
- China
- Prior art keywords
- nvt
- access
- equipment
- message
- onvif
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种ONVIF应用系统中的安全防护方法及防火墙设备,应用于基于ONVIF应用系统的防火墙设备,所述安全防护方法基于ONVIF发现流程发现网络中的NVT设备具备动态规则配置能力,向发现的NVT设备发送获取访问规则消息,接收NVT设备的响应消息,从响应消息中获取NVT设备具有的访问规则,配置获取的访问规则,并根据配置的访问规则进行安全防护。所述防火墙设备包括发现模块、规则获取模块和规则应用模块。本发明的方法和防火墙设备,降低了防火墙设备对硬件的要求,实现访问规则的动态更新,应用针对性强,硬件开销小。
Description
技术领域
本发明属于防火墙技术领域,尤其涉及一种ONVIF应用系统中的安全防护方法及防火墙设备。
背景技术
视频监控是安全防范系统的重要组成部分,视频监控以其直观、准确、及时和信息内容丰富而广泛应用于许多场合。近年来,随着计算机、网络以及图像处理、传输技术的飞速发展,视频监控的普及化趋势越来越明显,越来越多的监控业务被连接到了互联网上。与此同时,由于越来越多的设备暴露在互联网上,用户面临安全的风险也日益增大,用户对设备本身的安全以及防火墙的安全要求日益增强。
现有技术中一般采用的智能防火墙,都是通过捕获接收到的数据包或用户执行的应用程序的进程,并根据防火墙设置的规则来进行拦截,需要对所有业务进行应用层状态解析。由于需要解析所有应用层数据,对运算量要求高,从而提高了防火墙设备硬件的要求。且目前网络应用更新日新月异,防火墙需要不断的更新才能满足安全防护的需求。最终防火墙的规则不断膨胀,系统硬件要求也越来越高,企业或个人对于防火墙设备的投入水涨船高,只能大企业才能承受较高的费用。
发明内容
本发明的目的是提供一种ONVIF应用系统中的安全防护方法及防火墙设备,由NVT设备检测到攻击后通知防火墙(NVC)动态更新访问规则,或防火墙遇到可疑的访问,向NVT设备发起查询以判断是否合法,从而避免现有技术中由防火墙对所有业务进行应用层状态解析,降低了防火墙设备对硬件的要求。
为了实现上述目的,本发明技术方案如下:
一种ONVIF应用系统中的安全防护方法,应用于基于ONVIF应用系统的防火墙设备,所述安全防护方法包括:
基于ONVIF发现流程发现网络中的NVT设备具备动态规则配置能力;
向发现的NVT设备发送获取访问规则消息,接收NVT设备的响应消息,从响应消息中获取NVT设备具有的访问规则;
配置获取的访问规则,并根据配置的访问规则进行安全防护。
进一步地,所述安全防护方法还包括:
接收NVT设备检测到攻击时发出的事件告警,向该NVT设备发送获取访问规则消息,接收该NVT设备的响应消息,从响应消息中获取该NVT设备针对攻击所生成的访问规则,配置获取的访问规则,并根据配置的访问规则进行安全防护。
进一步地,所述安全防护方法还包括:
在检测到具有设定的可疑特征的访问时,携带该访问的访问报文向该访问对应的NVT设备发起确认请求,以便对应的NVT解析确认请求中的访问报文,根据自身业务判断是否是异常攻击,如果是则返回访问规则;
接收对应的NVT设备返回的访问规则进行配置,并根据配置的访问规则进行安全防护。
进一步地,所述安全防护方法还包括:
在检测到具有设定的可疑特征的访问时,携带该访问的访问报文向该访问对应的NVT设备发起确认请求,以便NVT返回该访问的合法特征;
根据NVT返回的该访问的合法特征,判断该访问是否合法,丢弃非法的访问报文并屏蔽访问源。
进一步地,所述基于ONVIF发现流程发现网络中的NVT设备具备动态规则配置能力,包括:
接收NVT设备通过组播的Hello消息,根据Hello消息中携带的表示动态规则配置能力的标识符,发现该NVT设备具备动态规则配置能力;
或发送组播的Probe消息/Resolve消息,并接收NVT设备返回的ProbeMatch响应消息/ResolveMatch响应消息,根据ProbeMatch响应消息/ResolveMatch响应消息中携带的表示动态规则配置能力的标识符,发现该NVT设备具备动态规则配置能力。
本发明一种ONVIF应用系统中的防火墙设备,所述防火墙设备包括:
发现模块,用于基于ONVIF发现流程发现网络中的NVT设备具备动态规则配置能力;
规则获取模块,用于向发现的NVT设备发送获取访问规则消息,接收NVT设备的响应消息,从响应消息中获取NVT设备具有的访问规则;
规则应用模块,用于配置获取的访问规则,并根据配置的访问规则进行安全防护。
进一步地,所述规则获取模块还用于:
接收NVT设备检测到攻击时发出的事件告警,向该NVT设备发送获取访问规则消息,接收该NVT设备的响应消息,从响应消息中获取该NVT设备针对攻击所生成的访问规则。
进一步地,所述防火墙设备还包括:
可疑检测模块,用于在检测到具有设定的可疑特征的访问时,携带该访问的访问报文向该访问对应的NVT设备发起确认请求,以便对应的NVT解析确认请求中的访问报文,根据自身业务判断是否是异常攻击,如果是则返回访问规则,或便于NVT返回该访问的合法特征。
进一步地,所述规则应用模块还用于:
根据NVT返回的该访问的合法特征,判断该访问是否合法,丢弃非法的访问报文并屏蔽访问源。
进一步地,所述发现模块基于ONVIF发现流程发现网络中的NVT设备具备动态规则配置能力,执行如下操作:
接收NVT设备通过组播的Hello消息,根据Hello消息中携带的表示动态规则配置能力的标识符,发现该NVT设备具备动态规则配置能力;
或发送组播的Probe消息/Resolve消息,并接收NVT设备返回的ProbeMatch响应消息/ResolveMatch响应消息,根据ProbeMatch响应消息/ResolveMatch响应消息中携带的表示动态规则配置能力的标识符,发现该NVT设备具备动态规则配置能力。
本发明提出了一种ONVIF应用系统中的安全防护方法及防火墙设备,防火墙自动发现各个支持动态规则配置的设备,支持动态规则配置的设备检测到攻击后通知防火墙添加访问规则,防火墙遇到可疑的访问,向设备查询,由设备判断是否合法,告诉防火墙添加访问规则,实施相关防护。同时防火墙遇到可疑的访问,向设备索要进一步的信息,由防火墙主动判断是否合法,从而避免设备受到伤害,主动实施保护。本发明的防火墙访问规则动态更新,应用针对性强,硬件开销小,与支持ONVIF协议的监控设备集成,无需做其他配置。
附图说明
图1为本发明实施例视频监控网络示意图;
图2为本发明ONVIF应用系统中的安全防护方法流程图;
图3为本发明防火墙设备结构示意图。
具体实施方式
下面结合附图和实施例对本发明技术方案做进一步详细说明,以下实施例不构成对本发明的限定。
本发明适用于基于ONVIF(Open Network Video Interface Forum)的应用系统,例如视频监控系统。本实施例以视频监控系统为例,如图1所示一个典型的小型视频监控网络,所有设备通过局域网互联,防火墙作为局域网对外接口。在逻辑上,IPC4和IPC5隶属于NVR1管理,IPC4和IPC5是NVT(Network Video Transmitter)设备,NVR1是NVC(NetworkVideo Client);IPC6和IPC7隶属于NVR2管理,IPC6和IPC7是NVT设备,NVR2是NVC。然而在本实施例中,防火墙作为系统中的NVC设备,其他NVR和IPC都是NVT设备。
如图2所示,本发明一种ONVIF应用系统中的安全防护方法,应用于基于ONVIF应用系统的防火墙设备,包括如下步骤:
基于ONVIF发现流程发现网络中的NVT设备具备动态规则配置能力;
向发现的NVT设备发送获取访问规则消息,接收NVT设备的响应消息,从响应消息中获取NVT设备具有的访问规则;
配置获取的访问规则,并根据配置的访问规则进行安全防护。
在初始情况下,防火墙设备不包括任何访问规则。在设备启动后,防火墙设备作为NVC通过既有的ONVIF协议发现流程发现NVT设备(IPC/NVR)。
ONVIF中服务的发现流程主要采用三种方式,具体如下:
NVT(IPC/NVR)可以通过组播的Hello消息主动在网络中通告自己的服务;
NVC(防火墙)通过组播的Probe消息在网络中发现ONVIF设备,NVT(IPC/NVR)在收到Probe报文后,通过单播的ProbeMatch进行响应;
NVC(防火墙)通过组播的Resolve消息在网络中发现ONVIF设备,NVT(IPC/NVR)在收到Resolve报文后,通过单播的ResolveMatch进行响应。
例如:NVT(IPC/NVR)设备启动后,在ONVIF的Hello报文的Scopes中增加一种应用,插入表示动态规则配置能力的标识符FireWall_Config,用于通告本身具备动态规则配置能力:
<tns:Types>dn:NetworkVideoTransmitter</tns:Types>
<tns:Scopes>
onvif://www.onvif.org/type/FireWall_Config
</tns:Scopes>
同样,NVT(IPC/NVR)的ProbeMatch消息与ResolveMatch消息也作类似修改,在Scopes字段中插入动态规则配置能力的标识符FireWall_Config。
本实施例通过扩展ONVIF发现流程的消息报文来向NVC通告NVT是否支持这种扩展能力。本实施例将支持本发明安全防护方法的这种扩展能力称为动态规则配置能力。
从而在发现NVT设备的同时,还获知NVT是否具有动态规则配置能力。如果NVT(IPC/NVR)支持动态规则配置,将会在ONVIF发现流程中上报自己的扩展能力。NVC发现NVT设备具有该能力后,会主动通过增强的ONVIF消息获取其具有的访问规则,并作为防火墙的访问规则下发到自身。
具体地,NVC通过增强的ONVIF消息是通过GetFireConfig获取NVT设备的访问规则。GetFireConfig及其响应消息参照如下的WSDL及XML机制定义:
SOAP action
http://www.onvif.org/ver10/device/wsdl/GetFireWallRules
Input
FirewallVersion;[string]
Output
FirewallRules;[string]
通过该过程,NVC防火墙收到NVT回复的访问规则之后,下发新的访问规则至自身,用以拦截非法报文。即防火墙能够获取基本的业务配置访问规则,视频监控设备能够进行基本的通信。
下面以图1为例,说明上述过程:
防火墙启动后,默认拒绝所有来自外部的连接;
防火墙作为NVC按照ONVIF协议发现NVR1、NVR2、IPC3~IPC7。若这些NVT设备支持动态规则配置,则会上报FireWall_Config能力。防火墙对每个支持该能力的NVT设备发送GetFireConfig请,获取到的规则为:
目的IP(IP of NVR1):80/TCP/Open
目的IP(IP of NVR1):554/TCP/Open
目的IP(IP of NVR2):80/TCP/Open
目的IP(IP of NVR2):554/TCP/Open
目的IP(IP of IPC3):80/TCP/Open
目的IP(IP of IPC3):554/TCP/Open
在这里假设设备打开80(Web)端口和554即可进行基本业务。
上面防火墙向IPC3、NVR1、NVR2可以获取到访问规则,而其余IPC没有返回访问规则,原因是其余IPC通过它们的上级NVR接入外网,没有直接接入外网,因此无需配置访问规则。
防火墙配置获取到的访问规则,并在自身应用之后,外部设备可以通过防火墙访问NVR1、NVR2、IPC3的Web和RTSP服务。
进一步地,本实施例ONVIF应用系统中的安全防护方法,还包括步骤:
接收NVT设备检测到攻击时发出的事件告警,向该NVT设备发送获取访问规则消息,接收该NVT设备的响应消息,从响应消息中获取该NVT设备针对攻击所生成的访问规则,配置获取的访问规则,并根据配置的访问规则进行安全防护。
具体地,当NVT设备(IPC/NVR)检测到可疑的事件时,触发事件告警。假设外部网络对NVR1进行了HTTP攻击(常规的攻击,例如短时间发起大量连接可以被防火墙捕获而直接拒绝),比如说反复进行密码尝试,在传统的防火墙模型中需要应用层防火墙才能应付,在本方案,NVR1可以直接判断登录失败,当检测到反复登陆,即可触发事件告警,并生成对应的访问规则。防火墙收到事件告警后再次请求访问规则,NVR1通过响应返回访问规则,防火墙配置该访问规则,进行拦截。后续攻击者将无法攻击NVR1及其他防火墙后的设备。
下面是应用到NVR1中的事件告警代码,其中,FireWallRulesChanged表示这是一条对应于防火墙访问规则变化的事件告警:
从而在NVT设备检测到攻击时发出事件告警,生成新的针对攻击的访问规则,例如:源IP(攻击者的IP)/Drop。防火墙收到事件告警后再次向该设备获取访问规则,并更新应用于自身。通过这种方式,NVT设备可以根据发现的威胁动态的增加防火墙访问规则,并将生成的访问规则返回给防火墙设备,以便防火墙设备配置该访问规则,并更具该访问规则进行拦截。
进一步地,本实施例ONVIF应用系统中的安全防护方法,还包括步骤:
在检测到具有设定的可疑特征的访问时,携带该访问的访问报文向该访问对应的NVT设备发起确认请求,以便对应的NVT解析确认请求中的访问报文,根据自身业务判断是否是异常攻击,如果是则返回访问规则;
接收对应的NVT设备返回的访问规则进行配置,并根据配置的访问规则进行安全防护。
具体地,当防火墙(NVC)检测到可疑的访问时,可先缓存访问报文,同时向IPC/NVR发送携带该访问报文的确认请求。仅当IPC/NVR确认访问合法后才放行,反之NVT可增加访问规则并返回该访问规则。NVC接收到访问规则后丢弃缓存的该访问报文,根据该访问规则进行拦截。通过这样的方式,防火墙可以阻塞对设备的可能的攻击。判断访问是否是合法,在NVT设备中进行,降低了对NVC设备性能和硬件的要求。
可疑访问包括潜在的SQL注入攻击、XSS攻击,但防火墙又不能做出判断时,防火墙将暂时缓存该访问报文,并向其对应的NVT设备(例如NVR1)发起询问。
例如,来自外部的访问:
http://(IP of NVR1)/login.asp?userID=1231144 or userID>0。
在正常情况下,系统内部会对用户ID进行判断。例如select id from usertablewhere id=1231144。但上述异常输入后,判断语句变成了select id from usertablewhere userID=1231144 or userID>0。判断语句永远是成立的语句,绕开了userID校验。在这种情况下,防火墙本身无法判断访问的合法性而需要设备本身进行判断。因此防护墙将暂时阻止该数据包发送到NVR1,并将该访问的内容(http://(IP of NVR1)/login.asp?userID=1231144 oruserID>0)放入如下报文中,向NVT设备(NVR1)请求该访问的合法性。
SOAP action
http://www.onvif.org/ver10/device/wsdl/GetFireWallRules
Input
FirewallVersion;[string]
SuspectPackat;[string]
Output
FirewallRules;[string]
常见可疑特征的识别可疑很简单,例如“<、>、‘、”、”是XSS的特征,“or”是SQL注入的特征,“?”表明网页存在参数输入易受到攻击。在符合上述特性时,防火墙又不能进一步进行合法性判断时,防火墙可缓存该访问,并向NVT设备发起进一步查询。
NVR1接受请求后,解析确认请求中的访问报文,根据自身业务进行进一步判断,发现是异常攻击,则返回防护规则:
源IP(攻击者的IP)/Drop
防火墙在收到访问规则后直接丢弃缓存的报文,并应用该访问规则,拒绝后续的攻击。
进一步地,本实施例ONVIF应用系统中的安全防护方法,还包括步骤:
在检测到具有设定的可疑特征的访问时,携带该访问的访问报文向该访问对应的NVT设备发起确认请求,以便NVT返回该访问的合法特征;
根据NVT返回的该访问的合法特征,判断该访问是否合法,丢弃非法的访问报文并屏蔽访问源。
在上面的例子中,来自外部的访问:
http://(IP of NVR1)/login.asp?userID=1231144 oruserID>0。
防火墙将暂时阻止该访问报文发送到NVR,并将该访问的内容(http://(IP ofNVR1)/login.asp?userID=1231144 oruserID>0)放入确认请求报文中,向NVT设备请求该访问的合法性。
NVT设备返回这种情况下访问的合法特征,例如:
http://{目的IP}/login.asp?userID={Digital},指明在这这种情况下合法的访问是参数userID为一数字。防火墙通过该特征对原始访问(http://(IP of NVR1)/login.asp?userID=1231145 oruserID>0)进行合法性校验。校验结果发现输入的参数是(1231144 and userID>0)。防火墙根据NVT返回的该访问的合法特征,在规则中要求的是数字,而实际获取到的非数字,防火墙即认为收到了恶意访问,防火墙将丢弃该报文,并屏蔽访问源。
如图3所示,本实施例一种ONVIF应用系统中的防火墙设备,该防火墙设备包括:
发现模块,用于基于ONVIF发现流程发现网络中的NVT设备具备动态规则配置能力;
规则获取模块,用于向发现的NVT设备发送获取访问规则消息,接收NVT设备的响应消息,从响应消息中获取NVT设备具有的访问规则;
规则应用模块,用于配置获取的访问规则,并根据配置的访问规则进行安全防护。
本实施例规则获取模块还用于:
接收NVT设备检测到攻击时发出的事件告警,向该NVT设备发送获取访问规则消息,接收该NVT设备的响应消息,从响应消息中获取该NVT设备针对攻击所生成的访问规则。
进一步地,本实施例防火墙设备还包括:
可疑检测模块,用于在检测到具有设定的可疑特征的访问时,携带该访问的访问报文向该访问对应的NVT设备发起确认请求,以便对应的NVT解析确认请求中的访问报文,根据自身业务判断是否是异常攻击,如果是则返回访问规则,或便于NVT返回该访问的合法特征。
则本实施例规则应用模块还用于:
根据NVT返回的该访问的合法特征,判断该访问是否合法,丢弃非法的访问报文并屏蔽访问源。
与上述方法对应地,发现模块基于ONVIF发现流程发现网络中的NVT设备具备动态规则配置能力,执行如下操作:
接收NVT设备通过组播的Hello消息,根据Hello消息中携带的表示动态规则配置能力的标识符,发现该NVT设备具备动态规则配置能力;
或发送组播的Probe消息/Resolve消息,并接收NVT设备返回的ProbeMatch响应消息/ResolveMatch响应消息,根据ProbeMatch响应消息/ResolveMatch响应消息中携带的表示动态规则配置能力的标识符,发现该NVT设备具备动态规则配置能力。
以上实施例仅用以说明本发明的技术方案而非对其进行限制,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
Claims (10)
1.一种ONVIF应用系统中的安全防护方法,应用于基于ONVIF应用系统的防火墙设备,其特征在于,所述安全防护方法包括:
基于ONVIF发现报文中的Hello消息或ProbeMatch响应消息/ResolveMatch响应消息携带的表示动态规则配置能力的标识符发现网络中的NVT设备具备动态规则配置能力;
向发现的NVT设备发送获取访问规则消息,接收NVT设备的响应消息,从响应消息中获取NVT设备具有的访问规则;
配置获取的访问规则,并根据配置的访问规则进行安全防护。
2.根据权利要求1所述的ONVIF应用系统中的安全防护方法,其特征在于,所述安全防护方法还包括:
接收NVT设备检测到攻击时发出的事件告警,向该NVT设备发送获取访问规则消息,接收该NVT设备的响应消息,从响应消息中获取该NVT设备针对攻击所生成的访问规则,配置获取的访问规则,并根据配置的访问规则进行安全防护。
3.根据权利要求1所述的ONVIF应用系统中的安全防护方法,其特征在于,所述安全防护方法还包括:
在检测到具有设定的可疑特征的访问时,携带该访问的访问报文向该访问对应的NVT设备发起确认请求,以便对应的NVT解析确认请求中的访问报文,根据自身业务判断是否是异常攻击,如果是则返回访问规则;
接收对应的NVT设备返回的访问规则进行配置,并根据配置的访问规则进行安全防护。
4.根据权利要求1所述的ONVIF应用系统中的安全防护方法,其特征在于,所述安全防护方法还包括:
在检测到具有设定的可疑特征的访问时,携带该访问的访问报文向该访问对应的NVT设备发起确认请求,以便NVT返回该访问的合法特征;
根据NVT返回的该访问的合法特征,判断该访问是否合法,丢弃非法的访问报文并屏蔽访问源。
5.根据权利要求1所述的ONVIF应用系统中的安全防护方法,其特征在于,基于ONVIF发现报文中的Hello消息或ProbeMatch响应消息/ResolveMatch响应消息携带的表示动态规则配置能力的标识符发现网络中的NVT设备具备动态规则配置能力,包括:
接收NVT设备通过组播的Hello消息,根据Hello消息中携带的表示动态规则配置能力的标识符,发现该NVT设备具备动态规则配置能力;
或发送组播的Probe消息/Resolve消息,并接收NVT设备返回的ProbeMatch响应消息/ResolveMatch响应消息,根据ProbeMatch响应消息/ResolveMatch响应消息中携带的表示动态规则配置能力的标识符,发现该NVT设备具备动态规则配置能力。
6.一种ONVIF应用系统中的防火墙设备,其特征在于,所述防火墙设备包括:
发现模块,用于基于ONVIF发现报文中的Hello消息或ProbeMatch响应消息/ResolveMatch响应消息携带的表示动态规则配置能力的标识符发现网络中的NVT设备具备动态规则配置能力;
规则获取模块,用于向发现的NVT设备发送获取访问规则消息,接收NVT设备的响应消息,从响应消息中获取NVT设备具有的访问规则;
规则应用模块,用于配置获取的访问规则,并根据配置的访问规则进行安全防护。
7.根据权利要求6所述的ONVIF应用系统中的防火墙设备,其特征在于,所述规则获取模块还用于:
接收NVT设备检测到攻击时发出的事件告警,向该NVT设备发送获取访问规则消息,接收该NVT设备的响应消息,从响应消息中获取该NVT设备针对攻击所生成的访问规则。
8.根据权利要求6所述的ONVIF应用系统中的防火墙设备,其特征在于,所述防火墙设备还包括:
可疑检测模块,用于在检测到具有设定的可疑特征的访问时,携带该访问的访问报文向该访问对应的NVT设备发起确认请求,以便对应的NVT解析确认请求中的访问报文,根据自身业务判断是否是异常攻击,如果是则返回访问规则,或便于NVT返回该访问的合法特征。
9.根据权利要求8所述的ONVIF应用系统中的防火墙设备,其特征在于,所述规则应用模块还用于:
根据NVT返回的该访问的合法特征,判断该访问是否合法,丢弃非法的访问报文并屏蔽访问源。
10.根据权利要求6所述的ONVIF应用系统中的防火墙设备,其特征在于,所述发现模块基于ONVIF发现报文中的Hello消息或ProbeMatch响应消息/ResolveMatch响应消息携带的表示动态规则配置能力的标识符发现网络中的NVT设备具备动态规则配置能力,执行如下操作:
接收NVT设备通过组播的Hello消息,根据Hello消息中携带的表示动态规则配置能力的标识符,发现该NVT设备具备动态规则配置能力;
或发送组播的Probe消息/Resolve消息,并接收NVT设备返回的ProbeMatch响应消息/ResolveMatch响应消息,根据ProbeMatch响应消息/ResolveMatch响应消息中携带的表示动态规则配置能力的标识符,发现该NVT设备具备动态规则配置能力。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510968729.2A CN105610799B (zh) | 2015-12-19 | 2015-12-19 | Onvif应用系统中的安全防护方法及防火墙设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510968729.2A CN105610799B (zh) | 2015-12-19 | 2015-12-19 | Onvif应用系统中的安全防护方法及防火墙设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105610799A CN105610799A (zh) | 2016-05-25 |
CN105610799B true CN105610799B (zh) | 2019-06-11 |
Family
ID=55990337
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510968729.2A Active CN105610799B (zh) | 2015-12-19 | 2015-12-19 | Onvif应用系统中的安全防护方法及防火墙设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105610799B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109802928B (zh) * | 2017-11-17 | 2021-09-17 | 中兴通讯股份有限公司 | 一种ssl/tls代理方法、装置、设备及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2007072245A3 (en) * | 2005-12-21 | 2007-10-11 | Koninkl Philips Electronics Nv | Dynamic firewall rule definition |
CN101601257A (zh) * | 2007-02-09 | 2009-12-09 | 阿尔卡特朗讯公司 | 由用户和设备管理网络接入安全策略的系统和方法 |
CN103095778A (zh) * | 2011-11-07 | 2013-05-08 | 北京知道创宇信息技术有限公司 | Web应用防火墙和web应用安全防护方法 |
CN103281300A (zh) * | 2013-04-26 | 2013-09-04 | 深信服网络科技(深圳)有限公司 | 远程文件包含漏洞的识别方法及装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030233582A1 (en) * | 2002-04-09 | 2003-12-18 | Ram Pemmaraju | Methods and apparatus for a computer network firewall which can be configured dynamically via an authentication mechanism |
-
2015
- 2015-12-19 CN CN201510968729.2A patent/CN105610799B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2007072245A3 (en) * | 2005-12-21 | 2007-10-11 | Koninkl Philips Electronics Nv | Dynamic firewall rule definition |
CN101601257A (zh) * | 2007-02-09 | 2009-12-09 | 阿尔卡特朗讯公司 | 由用户和设备管理网络接入安全策略的系统和方法 |
CN103095778A (zh) * | 2011-11-07 | 2013-05-08 | 北京知道创宇信息技术有限公司 | Web应用防火墙和web应用安全防护方法 |
CN103281300A (zh) * | 2013-04-26 | 2013-09-04 | 深信服网络科技(深圳)有限公司 | 远程文件包含漏洞的识别方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN105610799A (zh) | 2016-05-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104219200B (zh) | 一种防范dns缓存攻击的装置和方法 | |
Li et al. | Botnet: Survey and case study | |
US20130312081A1 (en) | Malicious code blocking system | |
CN103581180B (zh) | 根据攻击日志调整命中特征的方法和装置 | |
JP2008177714A (ja) | ネットワークシステム、サーバ、ddnsサーバおよびパケット中継装置 | |
WO2008151321A2 (en) | Systems, methods, and media for enforcing a security policy in a network including a plurality of components | |
CN101789947A (zh) | 防范http post泛洪攻击的方法及防火墙 | |
Ghafir et al. | DNS traffic analysis for malicious domains detection | |
Kumar et al. | DDOS prevention in IoT | |
US20110023088A1 (en) | Flow-based dynamic access control system and method | |
EP1720315B1 (en) | Network management and administration by monitoring network traffic and vulnerability scanning | |
Huang et al. | An authentication scheme to defend against UDP DrDoS attacks in 5G networks | |
Kayas et al. | An overview of UPnP-based IoT security: threats, vulnerabilities, and prospective solutions | |
Al Sukkar et al. | Address resolution protocol (ARP): Spoofing attack and proposed defense | |
US9686311B2 (en) | Interdicting undesired service | |
CN105610799B (zh) | Onvif应用系统中的安全防护方法及防火墙设备 | |
Etemad et al. | Real-time botnet command and control characterization at the host level | |
Prasad et al. | IP traceback for flooding attacks on Internet threat monitors (ITM) using Honeypots | |
Li et al. | Research on security issues of military Internet of Things | |
Nayak et al. | Depth analysis on DoS & DDoS attacks | |
KR101776128B1 (ko) | 보안 장치 및 이의 동작 방법 | |
TW202209846A (zh) | 雙模式切換之阻斷網路連線的方法 | |
CN113630381A (zh) | 一种基于分布式与人工智能的双工赋能网络攻防的方法及系统 | |
Ali et al. | Wireshark window authentication based packet captureing scheme to pervent DDoS related security issues in cloud network nodes | |
Ren et al. | Security protection under the environment of WiFi |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |