CN105721188A - 防火墙策略核查方法及系统 - Google Patents
防火墙策略核查方法及系统 Download PDFInfo
- Publication number
- CN105721188A CN105721188A CN201410730406.5A CN201410730406A CN105721188A CN 105721188 A CN105721188 A CN 105721188A CN 201410730406 A CN201410730406 A CN 201410730406A CN 105721188 A CN105721188 A CN 105721188A
- Authority
- CN
- China
- Prior art keywords
- firewall
- strategy
- firewall policy
- policy
- high priority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例公开了一种防火墙策略核查方法和系统。所述方法包括:采集防火墙中的防火墙策略;解析并标准化所述防火墙策略;根据预先制定的核查规则核查标准化后的防火墙策略,所述核查规则根据防火墙策略异常的性质和核查的目的预先制定。通过采集防火墙的防火墙策略后,解析防火墙策略将防火墙策略标准化,针对标准化的防火墙策略制订核查规则进行核查,从而实现防火墙策略的自动化核查,提高防火墙策略核查的效率并且能够覆盖所有防火墙策略,通过核查规则的制订可以提高防火墙策略核查的正确性。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种防火墙策略核查方法及系统。
背景技术
防火墙作为网络的第一道关卡,哪些访问允许通过,哪些访问需要阻挡,这些都需要通过防火墙策略来设置,防火墙策略很大程度上决定了防火墙的功能及安全性。网络规模的大幅增长,使得防火墙中的防火墙策略数也急剧增长,单台防火墙通常存在成千上万条防火墙策略。业务系统长期运行中访问需求的变更以及管理员人员的变化,会使得业务系统防火墙的大量防火墙策略变得无效、冗余、冲突、错误甚至是违反安全规定,使防火墙策略出现混乱,导致防火墙的安全性和性能受到重大影响,严重威胁业务系统的安全。为了防止防火墙策略的混乱,需要对防火墙策略进行核查。
现有的防火墙策略核查主要采用人工方式。人工方式的防火墙策略核查虽然可以查出一些明显的漏洞,例如源地址和目的地址同时为任意(Any)的AnytoAny策略、源端口和目的端口没有限制、内网地址无任何限制地直接访问公网的x.x.x.xtoAny以及策略之间的包含和交叉等,但在缺乏准确合理的真实网络设备互连信息的情况下,无法进一步发现看似严谨实则宽松的防火墙策略,导致核查无法覆盖所有存在缺陷的防火墙策略。另外,人工方式存在主观性,容易出现判断错误,尤其在防火墙策略数量繁多、防火墙品牌众多的情况下,无法对防火墙策略做到定期核查和及时修改,人工方式已经难以胜任防火墙策略核查的需求。
发明内容
为实现防火墙策略的自动化核查,本申请提供一种防火墙策略核查方法及系统。
根据本申请实施例的第一方面,提供一种防火墙策略核查方法,包括:
采集防火墙中的防火墙策略;
解析并标准化所述防火墙策略;
根据预先制定的核查规则核查标准化后的防火墙策略,所述核查规则根据防火墙策略异常的性质和核查的目的预先制定。
可选的,所述根据预先制定的核查规则核查标准化后的防火墙策略信息,包括:
按组号对防火墙策略进行分组;
依次核查每组防火墙策略,对同一组内的每一条防火墙策略:
判断当前防火墙策略的目的地址是否为Any或超过预设的地址范围;
判断当前防火墙策略的目的端口是否为Any或超过预设的端口范围;
判断当前防火墙策略的目的端口是否包含管理端口;
依次比较当前防火墙策略与高优先级防火墙策略,判断所述当前防火墙策略与所述高优先级防火墙策略之间是否为策略冲突、策略重复、策略交叉冲突或者策略交叉重复,所述高优先级防火墙策略为优先级高于所述当前防火墙策略的其他防火墙策略。
可选的,所述判断所述当前防火墙策略与所述高优先级防火墙策略之间是否为策略冲突、策略重复、策略交叉冲突或者策略交叉重复,包括:
判断所述当前防火墙策略与所述高优先级防火墙策略的动作类型是否一致;
当所述当前防火墙策略与所述高优先级防火墙策略的动作类型一致时,判断所述当前防火墙策略的五元组元素内容与对应的所述高优先级防火墙策略的五元组元素内容之间的包含关系,
如果所述当前防火墙策略的五元组元素内容全部为所述高优先级防火墙策略的五元组元素内容的子集,则所述当前防火墙策略与所述高优先级防火墙策略之间为策略重复,如果所述当前防火墙策略的五元组元素内容中存在至少一个元素内容与对应的高优先级防火墙策略的元素内容之间的包含关系,与其他元素内容之间的包含关系相反,则当前防火墙策略与所述高优先级防火墙策略之间为策略交叉重复;
当所述当前防火墙策略与所述高优先级防火墙策略的动作类型相反时,判断所述当前防火墙策略的五元组元素内容与对应的所述高优先级防火墙策略的五元组元素内容之间的包含关系,
如果所述当前防火墙策略的五元组元素内容全部为所述高优先级防火墙策略的五元组元素内容的子集,则当前防火墙策略与所述高优先级防火墙策略之间为策略冲突,如果所述当前防火墙策略的五元组元素内容中存在至少一个元素内容与对应的高优先级防火墙策略的元素内容之间的包含关系,与其他元素内容之间的包含关系相反,则当前防火墙策略与所述高优先级防火墙策略之间为策略交叉冲突,
其中,所述五元组元素内容为协议、目的地址、目的端口、源地址和源端口。
可选的,所述的防火墙策略核查方法,还包括命中数核查,所述命中数核查包括:
采集防火墙策略在第一时间点和第二时间点的命中数;
计算第一时间点的命中数和第二时间点的命中数的差值;
根据所述差值判断所述防火墙策略的活跃度。
可选的,所述的防火墙策略核查方法,还包括白名单核查,所述白名单核查包括:
获取防火墙的白名单;
比较防火墙的防火墙策略与所述白名单,判断防火墙策略与所述白名单的匹配度。
与本申请实施例的第一方面相应,根据本申请实施例的第二方面,提供一种防火墙策略核查系统,包括:
防火墙策略采集单元,用于采集防火墙中的防火墙策略;
防火墙策略标准化单元,用于解析并标准化所述防火墙策略;
防火墙策略异常核查单元,用于根据预先制定的核查规则核查标准化后的防火墙策略,所述核查规则根据防火墙策略异常的性质和核查的目的预先制定。
可选的,所述的防火墙策略核查系统中,所述防火墙策略核查单元,包括:
分组子单元,用于按组号对防火墙策略进行分组;
核查子单元,用于依次核查每组防火墙策略,所述核查子单元包括:
第一判断模块,用于判断当前防火墙策略的目的地址是否为Any或超过预设的地址范围;
第二判断模块,用于判断当前防火墙策略的目的端口是否为Any或超过预设的端口范围;
第三判断模块,用于判断当前防火墙策略的目的端口是否包含管理端口;
比较模块,用于依次比较当前防火墙策略与优先级高于所述当前防火墙策略的其他防火墙策略;
第四判断模块,用于判断所述当前防火墙策略与所述当前高优先级防火墙策略之间是否为策略冲突、策略重复、策略交叉冲突或者策略交叉重复。
可选的,所述的防火墙策略核查系统,所述第四判断模块,包括:
动作类型判断子模块,用于判断所述当前防火墙策略与所述高优先级防火墙策略的动作类型是否一致;
第一包含关系判断子模块,用于当所述当前防火墙策略与所述高优先级防火墙策略的动作类型一致时,判断所述当前防火墙策略的五元组元素内容与对应的所述高优先级防火墙策略的五元组元素内容之间的包含关系,
如果所述当前防火墙策略的五元组元素内容全部为所述高优先级防火墙策略的五元组元素内容的子集,则所述当前防火墙策略与所述高优先级防火墙策略之间为策略重复,如果所述当前防火墙策略的五元组元素内容中存在至少一个元素内容与对应的高优先级防火墙策略的元素内容之间的包含关系,与其他元素内容之间的包含关系相反,则当前防火墙策略与所述高优先级防火墙策略之间为策略交叉重复;
第二包含关系判断子模块,用于当所述当前防火墙策略与所述高优先级防火墙策略的动作类型相反时,判断所述当前防火墙策略的五元组元素内容与对应的所述高优先级防火墙策略的五元组元素内容之间的包含关系,
如果所述当前防火墙策略的五元组元素内容全部为所述高优先级防火墙策略的五元组元素内容的子集,则当前防火墙策略与所述高优先级防火墙策略之间为策略冲突,如果所述当前防火墙策略的五元组元素内容中存在至少一个元素内容与对应的高优先级防火墙策略的元素内容之间的包含关系,与其他元素内容之间的包含关系相反,则当前防火墙策略与所述高优先级防火墙策略之间为策略交叉冲突,
其中,所述五元组元素内容为协议、目的地址、目的端口、源地址和源端口。
可选的,所述的防火墙策略核查系统,还包括命中数核查单元,所述命中数核查单元包括:
命中数采集子单元,用于采集防火墙策略在第一时间点和第二时间点的命中数;
差值计算子单元,计算第一时间点的命中数和第二时间点的命中数的差值;
活跃度判定子单元,用于根据所述差值判断所述防火墙策略的活跃度。
可选的,所述的防火墙策略核查系统,还包括白名单核查单元,所述白名单核查单元包括:
白名单获取子单元,用于获取防火墙的白名单;
匹配度判定子单元,用于比较防火墙的防火墙策略与所述白名单,判断防火墙策略与所述白名单的匹配度。
本申请实施例提供的技术方案可以包括以下有益效果:采集防火墙的防火墙策略后,解析防火墙策略将防火墙策略标准化,针对标准化的防火墙策略制订核查规则进行核查,从而实现防火墙策略的自动化核查,提高防火墙策略核查的效率并且能够覆盖所有防火墙策略,通过核查规则的制订可以提高防火墙策略核查的正确性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请一示例性实施例示出的一种防火墙策略核查方法的流程示意图;
图2为图1中步骤S103的一示例性流程示意图;
图3本申请另一示例性实施例示出的一种防火墙策略核查方法的流程示意图;
图4为本申请一示例性实施例示出的一种防火墙策略核查系统的框图;
图5为本申请另一示例性实施例示出的一种防火墙策略核查系统的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的系统和方法的例子。
为了全面理解本申请,在以下详细描述中提到了众多具体的细节,但是本领域技术人员应该理解,本申请可以无需这些具体细节而实现。在其他实施例中,不详细描述公知的方法、过程、组件和电路,以免不必要地导致实施例模糊。
根据本申请实施例的第一方面,提供一种防火墙策略核查方法。图1为本申请一示例性实施例示出的一种防火墙策略核查方法的流程示意图,如图1所示,所述方法包括:
步骤S101,采集防火墙中的防火墙策略。
其中,需要对某个业务系统的防火墙进行检查,核查防火墙的防火墙策略时,得到所述业务系统内所有防火墙信息,根据所述防火墙信息能够得知防火墙与外部设备的所有网络连接方式和使用的网络协议,将探测程序(Probe)作为外部设备使用相同的网络连接方式和网络协议建立与防火墙的连接,例如Telnet、SSH(SecureShell,安全外壳协议)和RDP(RemoteDesktopProtocol,远程桌面协议)连接等,通过所述网络连接,探测程序能够采集到防火墙的防火墙策略。其中,探测程序可以使用常规的防火墙探测程序。在一种优选的实施方式中,探测程序分布式的并发建立与防火墙的网络连接,从而可以快速全面地采集到防火墙策略,提高采集的效率。由于防火墙有多种不同的类型,不同类型的防火墙,防火墙策略包含的信息和信息的格式大多数是相同的,但也存在不同的部分,因此,采集防火墙策略时,根据被检查防火墙的类型,使用对应地读取格式采集防火墙策略。所采集的防火墙策略的信息包括:组号、编号、动作类型、协议类型、源地址、源端口、目的地址、目的端口等。
使用探测程序采集完毕后,断开探测程序和防火墙的网络连接,即结束采集。所采集的防火墙策略保存于数据库中。
步骤S102,解析并标准化所述防火墙策略。
其中,为了便于后续的核查,需将防火墙策略进行解析,并根据解析的结果将防火墙策略标准化。所述解析为得到防火墙策略的元素内容,包括组号、组描述、编号、动作类型、协议类型、源地址、源端口、目的地址、目的端口、服务等基本字段,并且将防火墙策略缺省的字段补全。解析防火墙策略包括:
(a1)读取防火墙策略的配置文件;
(a2)将预先定义的正则表达式和所述配置文件的内容进行匹配,得到与所述正则表达式匹配成功的防火墙策略的元素内容。
所述正则表达式根据防火墙策略所包含的元素内容和元素内容的格式预先定义,例如对于组号,定义对应的组号正则表达式,对于目的地址,定义对应的目的地址正则表达式。在读取防火墙策略的配置文件的过程中,将预先定义的各个正则表达式与读取的配置文件的内容进行匹配,与某个正则表达式匹配的,即是与该正则表达式对应的元素内容,并将所述对应的元素内容截取保存,例如,与组号正则表达式匹配的为组号,从而得到当前读取的防火墙策略的组号,将解析到的组号进行保存。
除了解析防火墙策略的元素内容,还可以根据核查的需要进行地址组解析、端口组解析和服务组解析。地址组解析为将地址组内所有的IP地址逐个解析出来;端口组解析为将端口组内所有的端口逐个解析出来,主要针对华为、思科类型的防火墙的防火墙策略;服务解析为将服务名中包含的信息解析出来,主要针对Juniper防火墙。地址组解析、端口组解析和服务组解析的结果可以供防火墙管理员在配置防火墙策略时作为参考。
由于采集得到的不同的防火墙策略的原始信息可能各不相同,解析得到的防火墙策略的同一类元素内容的格式也不一致,为便于进行统一的自动核查,需要将解析得到的防火墙策略的元素内容标准化。所述标准化可以使用正则表达式或者其他规则将解析得到的防火墙策略的元素内容标准化。例如,对于不同厂商提供的防火墙策略,其中的元素内容格式、排列顺序等不一致,采集防火墙中的防火墙策略后,将防火墙策略的元素内容按统一的访问控制列表(AccessControlList,ACL)标示,例如ACL(组名、组号、动作、协议、源地址、源端口、目的地址、目的端口)。
步骤S103,根据预先制定的核查规则核查标准化后的防火墙策略,所述核查规则根据防火墙策略异常的性质和核查的目的预先制定。
其中,防火墙策略的异常通常包括目的地址异常、目的端口异常、策略重复、策略冲突、策略交叉重复、策略交叉冲突等,根据异常的性质能够相应地制定核查规则,来核查出对应的异常,例如表1所示:
表1核查规则
对防火墙策略进行核查,可以针对防火墙策略的部分异常情况进行核查,也可以针对防火墙策略的所有可能的异常情况进行核查,可以根据核查的需要和目的选择核查规则的多少。图2为步骤S103的一示例性流程示意图,如图2所示,所述根据预先制定的核查规则核查标准化后的防火墙策略信息,可以包括:
步骤S131,按组号对防火墙策略进行分组。
其中,通常对防火墙策略分组后,防火墙策略会按组号顺序排列或者优先级高低顺序排列。
步骤S132,依次核查每组防火墙策略,对同一组内的每一条防火墙策略,执行如下步骤:
步骤S1321,判断当前防火墙策略的目的IP地址是否为Any或超过预设的地址范围;
步骤S1322,判断当前防火墙策略的目的端口是否为Any或超过预设的端口范围;
步骤S1323,判断当前防火墙策略的目的端口是否包含管理端口;
步骤S1324,依次比较当前防火墙策略与高优先级防火墙策略,判断所述当前防火墙策略与所述高优先级防火墙策略之间是否为策略冲突、策略重复、策略交叉冲突或者策略交叉重复,所述高优先级防火墙策略为优先级高于所述当前防火墙策略的其他防火墙策略。
其中,对每一组中的每一个防火墙策略进行核查,当发现防火墙策略存在任何一个异常时便可缓存防火墙策略,作为后续管理员进行策略处理和策略配置的参考。上述步骤S1321至S1324的核查,可以根据核查的需要全部执行,也可以部分执行,也可以增加其他异常的核查。步骤S1321至S1324的顺序并非唯一的顺序,也可以先进行目的端口的核查再进行目的地址的核查,或者先进村策略冲突或者策略重复的核查,再核查目的地址和目的端口,以此类推。
其中,预设的目的地址范围和端口范围,可以根据实际的防火墙网络连接涉及的目的地址范围和端口范围来确定。当当前防火墙策略的目的地址为Any或超过预设的地址范围时,当前防火墙策略的目的地址异常;当当前防火墙策略的目的端口为Any或超过预设的端口范围时,当前防火墙策略的目的端口异常;当当前防火墙策略的目的端口包含管理端口时,为另一种当前防火墙策略的目的端口异常的情况。
步骤S1324为核查防火墙策略之间是否存在策略冲突、策略重复、策略交叉冲突或者策略交叉重复。步骤S1234中,将当前防火墙策略和优先级高于所述当前防火墙策略的其他防火墙策略一一比较,判断当前防火墙策略和每个高优先级防火墙策略之间是否为策略冲突、策略重复、策略交叉冲突或者策略交叉重复,所述高优先级防火墙策略为优先级高于所述当前防火墙策略的其他防火墙策略。其中,所述判断当前防火墙策略和每个高优先级防火墙策略之间是否为策略冲突、策略重复、策略交叉冲突或者策略交叉重复,包括:
(b1)判断所述当前防火墙策略与所述高优先级防火墙策略的动作类型是否一致;
(b2)当所述当前防火墙策略与所述高优先级防火墙策略的动作类型一致时,判断所述当前防火墙策略的五元组元素内容与对应的所述高优先级防火墙策略的五元组元素内容之间的包含关系,
如果所述当前防火墙策略的五元组元素内容全部为所述高优先级防火墙策略的五元组元素内容的子集,则所述当前防火墙策略与所述高优先级防火墙策略之间为策略重复,如果所述当前防火墙策略的五元组元素内容中存在至少一个元素内容与对应的高优先级防火墙策略的元素内容之间的包含关系,与其他元素内容之间的包含关系相反,则当前防火墙策略与所述高优先级防火墙策略之间为策略交叉重复;
(b3)当所述当前防火墙策略与所述高优先级防火墙策略的动作类型相反时,判断所述当前防火墙策略的五元组元素内容与对应的所述高优先级防火墙策略的五元组元素内容之间的包含关系,
如果所述当前防火墙策略的五元组元素内容全部为所述高优先级防火墙策略的五元组元素内容的子集,则当前防火墙策略与所述高优先级防火墙策略之间为策略冲突,如果所述当前防火墙策略的五元组元素内容中存在至少一个元素内容与对应的高优先级防火墙策略的元素内容之间的包含关系,与其他元素内容之间的包含关系相反,则当前防火墙策略与所述高优先级防火墙策略之间为策略交叉冲突。
其中,所述五元组元素内容为协议、目的地址、目的端口、源地址和源端口。当前防火墙策略的五元组元素内容全部为高优先级防火墙策略的五元组元素内容的子集,即当前防火墙策略的协议为高优先级防火墙策略的协议的子集,且当前防火墙策略的目的地址为高优先级防火墙策略的目的地址的子集,以此类推。当前防火墙策略的五元组元素内容中存在至少一个元素内容与对应的高优先级防火墙策略的元素内容之间的包含关系,与其他元素内容之间的包含关系相反,为:当前防火墙策略的协议、目的地址、目的端口、源地址和源端口中,至少有一个为高优先级防火墙策略的对应的元素内容的子集,例如当前防火墙策略的协议为高优先级防火墙策略的协议的子集,而其他元素内容中,至少有一个高优先级防火墙策略的元素内容为当前防火墙策略的对应的元素内容的子集,例如高优先级防火墙策略的目的地址是当前防火墙策略的目的地址的子集,其余的元素内容之间,当前防火墙策略的元素内容为高优先级防火墙策略的对应的元素内容的子集或者高优先级防火墙策略的元素内容为当前防火墙策略的对应的元素内容的子集。
其中,步骤(b2)和步骤(b3)之间并无先后顺序。
当出现上述任何一种异常时,便可以将缓存当前防火墙策略并标记异常类型,一个防火墙策略存在多种异常时,标记所有异常类型,作为后续管理员配置防火墙策略的参考。本实施例中,如果所述当前防火墙策略不存在上述任何一种异常,则可以判断当前防火墙策略为正常。
图3为本申请另一示例性实施例示出的一种防火墙策略核查方法的流程示意图,如图3所示,所述方法包括:
步骤S301,采集防火墙中的防火墙策略。
步骤S302,解析并标准化所述防火墙策略。
步骤S303,根据预先制定的核查规则核查标准化后的防火墙策略。
步骤S304,进行防火墙策略命中数核查。
步骤S305,进行白名单核查。
其中,步骤S301至步骤S303与步骤S101至步骤S103相同。除针对防火墙策略本身内容进行核查外,还可以进行其他的核查,例如命中数核查和白名单核查,命中数核查可以考察防火墙策略的活跃度,白名单核查可以考察对当前防火墙来讲,哪些防火墙策略是安全的或符合白名单要求的。
其中,步骤S304命中数核查包括:
(c1)采集防火墙策略在第一时间点和第二时间点的命中数;
(c2)计算第一时间点的命中数和第二时间点的命中数的差值;
(c3)根据所述差值判断所述防火墙策略的活跃度。
其中,需要考察第一时间点到另外的第二时间点之间的时间范围内防火墙策略是否有被使用,即是否活跃时,分别采集防火墙策略在第一时间点和第二时间点内的命中数,第一时间点和第二时间点可以为不同日期的相同时刻,例如第一时间点为周二12:00,第二时间点为周三12:00。对采集的第一时间点的命中数和第二时间点的命中数求差值,由于是考察近的时间点相对于远的时间点命中数是否发生了变化,因此本领域技术人员不难理解差值优选为第二时间点的命中数减去第一时间点的命中数。所述活跃度为定性值非定量值,当所述差值大于0时,说明防火墙策略是活跃的;当所述差值小于0时,说明防火墙策略的活跃度下降;当所述差值为0且第一时间点的命中数不为0时,说明防火墙策略在第一时间点和第二时间点之间是非活跃的;当所述差值为0且第一时间点的命中数为0时,说明防火墙策略是始终非活跃的。活跃度的核查可以作为管理员是否需要删除或重新配置某个防火墙策略的参考,例如某个防火墙策略是始终非活跃的,则可以删除该防火墙策略。而且防火墙策略的活跃度还可以反映防火墙策略的实际命中情况,据此能够发现非正常访问以及潜在的攻击行为。
其中,步骤S305白名单核查包括:
(d1)获取防火墙的白名单;
(d2)比较防火墙的防火墙策略与所述白名单,判断防火墙策略与所述白名单的匹配度。
通常防火墙的白名单中安全的访问点以地址和对应的端口表示,将防火墙策略与白名单比较,即将防火墙策略中所包含的点对点访问控制的元素内容,也就是将防火墙策略的地址组和对应的端口组拆分后得到的地址和对应的端口,与白名单进行比较。当防火墙策略与白名单完全一致或者为白名单的子集时,防火墙策略与所述白名单完全匹配;当防火墙策略的一部分与白名单的一部分一致时,所述白名单与防火墙策略离别交叉匹配;当防火墙策略与白名单完全不一致时,防火墙策略与所述白名单未匹配。当防火墙策略与所述白名单完全匹配时,全部防火墙策略都是安全的或符合白名单要求的,当防火墙策略与所述白名单交叉匹配时,防火墙策略中交叉匹配的部分是安全的或符合白名单要求的,当防火墙策略与所述白名单未匹配时,全部防火墙策略不安全或不符合白名单要求的。由于随着业务系统的运行,防火墙面临的外部设备可能发生变化,导致白名单发生变化,白名单核查可以检查出当前防火墙的防火墙策略哪些是安全的,供管理员配置防火墙策略时进行参考。
步骤S303、步骤S304和步骤S305也可以按其他的顺序进行,例如进行命中数核查和白名单核查后再根据核查规则核查防火墙策略本身。
通过以上的方法实施例的描述,所属领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,并存储在一个存储介质中,包括若干指令用以使得一台智能设备执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:只读存储器(ROM)、随机存取存储器(RAM)、磁碟或者光盘等各种可以存储数据和程序代码的介质。
与本申请实施例的第一方面相应,根据本申请实施例的第二方面,提供一种防火墙策略核查系统。图4为本申请一示例性实施例示出的一种防火墙策略核查系统的框图。如图4所示,所述系统包括:
防火墙策略采集单元U401,用于采集防火墙中的防火墙策略;
防火墙策略标准化单元U402,用于解析并标准化所述防火墙策略;
防火墙策略核查单元U403,用于根据预先制定的核查规则核查标准化后的防火墙策略。
其中,所述防火墙策略采集单元U401,可以包括:
连接子单元,用于根据防火墙的网络连接方式,分布式并发建立与所述防火墙的网络连接;
采集子单元,用于根据防火墙的类型,采集对应的防火墙策略。
其中,所述防火墙策略标准化单元,解析防火墙策略时,读取防火墙策略的配置文件,将预先定义的正则表达式和所述配置文件的内容进行匹配,得到与所述正则表达式匹配成功的防火墙策略的元素内容,然后将解析得到的防火墙策略的元素内容使用正则表达式或其他规则进行标准化,例如,将防火墙策略的元素内容按统一的访问控制列表(AccessControlList,ACL)标示。
其中,所述防火墙策略异常核查单元U403,可以包括:
分组子单元,用于按组号对防火墙策略进行分组;
核查子单元,用于依次核查每组防火墙策略,所述核查子单元包括:
第一判断模块,用于判断当前防火墙策略的目的地址是否为Any或超过预设的地址范围;
第二判断模块,用于判断当前防火墙策略的目的端口是否为Any或超过预设的端口范围;
第三判断模块,用于判断当前防火墙策略的目的端口是否包含管理端口;
比较模块,用于依次比较当前防火墙策略与优先级高于所述当前防火墙策略的其他防火墙策略;
第四判断模块,用于判断所述当前防火墙策略与所述当前高优先级防火墙策略之间是否为策略冲突、策略重复、策略交叉冲突或者策略交叉重复。
其中,所述第四判断模块,包括:
动作类型判断子模块,用于判断所述当前防火墙策略与所述高优先级防火墙策略的动作类型是否一致;
第一包含关系判断子模块,用于当所述当前防火墙策略与所述高优先级防火墙策略的动作类型一致时,判断所述当前防火墙策略的五元组元素内容与对应的所述高优先级防火墙策略的五元组元素内容之间的包含关系,
如果所述当前防火墙策略的五元组元素内容全部为所述高优先级防火墙策略的五元组元素内容的子集,则所述当前防火墙策略与所述高优先级防火墙策略之间为策略重复,如果所述当前防火墙策略的五元组元素内容中存在至少一个元素内容与对应的高优先级防火墙策略的元素内容之间的包含关系,与其他元素内容之间的包含关系相反,则当前防火墙策略与所述高优先级防火墙策略之间为策略交叉重复;
第二包含关系判断子模块,用于当所述当前防火墙策略与所述高优先级防火墙策略的动作类型相反时,判断所述当前防火墙策略的五元组元素内容与对应的所述高优先级防火墙策略的五元组元素内容之间的包含关系,
如果所述当前防火墙策略的五元组元素内容全部为所述高优先级防火墙策略的五元组元素内容的子集,则当前防火墙策略与所述高优先级防火墙策略之间为策略冲突,如果所述当前防火墙策略的五元组元素内容中存在至少一个元素内容与对应的高优先级防火墙策略的元素内容之间的包含关系,与其他元素内容之间的包含关系相反,则当前防火墙策略与所述高优先级防火墙策略之间为策略交叉冲突,
其中,所述五元组元素内容为协议、目的地址、目的端口、源地址和源端口。
图5为本申请另一示例性实施例示出的一种防火墙策略核查系统的框图。如图5所示,所述系统包括:
防火墙策略采集单元U501,用于采集防火墙中的防火墙策略;
防火墙策略标准化单元U502,用于解析并标准化所述防火墙策略;
防火墙策略异常核查单元U503,用于根据预先制定的核查规则核查标准化后的防火墙策略;
命中数核查单元U504,用于核查标准化后的防火墙策略的命中数,得到防火墙策略的活跃度;
白名单核查单元U505,用户核查标准化后的防火墙策略和防火墙白名单之间的匹配关系。
其中,所述命中数核查单元包括:
命中数采集子单元,用于采集防火墙策略在第一时间点和第二时间点的命中数;
差值计算子单元,计算第一时间点的命中数和第二时间点的命中数的差值;
活跃度判定子单元,用于根据所述差值判断所述防火墙策略的活跃度。
其中,所述白名单核查单元包括:
白名单获取子单元,用于获取防火墙的白名单;
匹配度判定子单元,用于比较防火墙的防火墙策略与所述白名单,判断防火墙策略与所述白名单的匹配度。
为了描述的方便,描述以上系统时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统或系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的系统及系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者逆序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、系统或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、系统或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、系统或者设备中还存在另外的相同要素。
以上所述仅是本申请的具体实施方式,使本领域技术人员能够理解或实现本申请。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种防火墙策略核查方法,其特征在于,包括:
采集防火墙中的防火墙策略;
解析并标准化所述防火墙策略;
根据预先制定的核查规则核查标准化后的防火墙策略,所述核查规则根据防火墙策略异常的性质和核查的目的预先制定。
2.如权利要求1所述的防火墙策略核查方法,其特征在于,所述根据预先制定的核查规则核查标准化后的防火墙策略信息,包括:
按组号对防火墙策略进行分组;
依次核查每组防火墙策略,对同一组内的每一条防火墙策略:
判断当前防火墙策略的目的地址是否为Any或超过预设的地址范围;
判断当前防火墙策略的目的端口是否为Any或超过预设的端口范围;
判断当前防火墙策略的目的端口是否包含管理端口;
依次比较当前防火墙策略与高优先级防火墙策略,判断所述当前防火墙策略与所述高优先级防火墙策略之间是否为策略冲突、策略重复、策略交叉冲突或者策略交叉重复,所述高优先级防火墙策略为优先级高于所述当前防火墙策略的其他防火墙策略。
3.如权利要求2所述的防火墙策略核查方法,其特征在于,所述判断所述当前防火墙策略与所述高优先级防火墙策略之间是否为策略冲突、策略重复、策略交叉冲突或者策略交叉重复,包括:
判断所述当前防火墙策略与所述高优先级防火墙策略的动作类型是否一致;
当所述当前防火墙策略与所述高优先级防火墙策略的动作类型一致时,判断所述当前防火墙策略的五元组元素内容与对应的所述高优先级防火墙策略的五元组元素内容之间的包含关系,
如果所述当前防火墙策略的五元组元素内容全部为所述高优先级防火墙策略的五元组元素内容的子集,则所述当前防火墙策略与所述高优先级防火墙策略之间为策略重复,如果所述当前防火墙策略的五元组元素内容中存在至少一个元素内容与对应的高优先级防火墙策略的元素内容之间的包含关系,与其他元素内容之间的包含关系相反,则当前防火墙策略与所述高优先级防火墙策略之间为策略交叉重复;
当所述当前防火墙策略与所述高优先级防火墙策略的动作类型相反时,判断所述当前防火墙策略的五元组元素内容与对应的所述高优先级防火墙策略的五元组元素内容之间的包含关系,
如果所述当前防火墙策略的五元组元素内容全部为所述高优先级防火墙策略的五元组元素内容的子集,则当前防火墙策略与所述高优先级防火墙策略之间为策略冲突,如果所述当前防火墙策略的五元组元素内容中存在至少一个元素内容与对应的高优先级防火墙策略的元素内容之间的包含关系,与其他元素内容之间的包含关系相反,则当前防火墙策略与所述高优先级防火墙策略之间为策略交叉冲突,
其中,所述五元组元素内容为协议、目的地址、目的端口、源地址和源端口。
4.如权利要求1所述的防火墙策略核查方法,其特征在于,还包括命中数核查,所述命中数核查包括:
采集防火墙策略在第一时间点和第二时间点的命中数;
计算第一时间点的命中数和第二时间点的命中数的差值;
根据所述差值判断所述防火墙策略的活跃度。
5.如权利要求1所述的防火墙策略核查方法,其特征在于,还包括白名单核查,所述白名单核查包括:
获取防火墙的白名单;
比较防火墙的防火墙策略与所述白名单,判断防火墙策略与所述白名单的匹配度。
6.一种防火墙策略核查系统,其特征在于,包括:
防火墙策略采集单元,用于采集防火墙中的防火墙策略;
防火墙策略标准化单元,用于解析并标准化所述防火墙策略;
防火墙策略异常核查单元,用于根据预先制定的核查规则核查标准化后的防火墙策略,所述核查规则根据防火墙策略异常的性质和核查的目的预先制定。
7.如权利要求6所述的防火墙策略核查系统,其特征在于,所述防火墙策略核查单元,包括:
分组子单元,用于按组号对防火墙策略进行分组;
核查子单元,用于依次核查每组防火墙策略,所述核查子单元包括:
第一判断模块,用于判断当前防火墙策略的目的地址是否为Any或超过预设的地址范围;
第二判断模块,用于判断当前防火墙策略的目的端口是否为Any或超过预设的端口范围;
第三判断模块,用于判断当前防火墙策略的目的端口是否包含管理端口;
比较模块,用于依次比较当前防火墙策略与优先级高于所述当前防火墙策略的其他防火墙策略;
第四判断模块,用于判断所述当前防火墙策略与所述当前高优先级防火墙策略之间是否为策略冲突、策略重复、策略交叉冲突或者策略交叉重复。
8.如权利要求7所述的防火墙策略核查系统,其特征在于,所述第四判断模块,包括:
动作类型判断子模块,用于判断所述当前防火墙策略与所述高优先级防火墙策略的动作类型是否一致;
第一包含关系判断子模块,用于当所述当前防火墙策略与所述高优先级防火墙策略的动作类型一致时,判断所述当前防火墙策略的五元组元素内容与对应的所述高优先级防火墙策略的五元组元素内容之间的包含关系,
如果所述当前防火墙策略的五元组元素内容全部为所述高优先级防火墙策略的五元组元素内容的子集,则所述当前防火墙策略与所述高优先级防火墙策略之间为策略重复,如果所述当前防火墙策略的五元组元素内容中存在至少一个元素内容与对应的高优先级防火墙策略的元素内容之间的包含关系,与其他元素内容之间的包含关系相反,则当前防火墙策略与所述高优先级防火墙策略之间为策略交叉重复;
第二包含关系判断子模块,用于当所述当前防火墙策略与所述高优先级防火墙策略的动作类型相反时,判断所述当前防火墙策略的五元组元素内容与对应的所述高优先级防火墙策略的五元组元素内容之间的包含关系,
如果所述当前防火墙策略的五元组元素内容全部为所述高优先级防火墙策略的五元组元素内容的子集,则当前防火墙策略与所述高优先级防火墙策略之间为策略冲突,如果所述当前防火墙策略的五元组元素内容中存在至少一个元素内容与对应的高优先级防火墙策略的元素内容之间的包含关系,与其他元素内容之间的包含关系相反,则当前防火墙策略与所述高优先级防火墙策略之间为策略交叉冲突,
其中,所述五元组元素内容为协议、目的地址、目的端口、源地址和源端口。
9.如权利要求6所述的防火墙策略核查系统,其特征在于,还包括命中数核查单元,所述命中数核查单元包括:
命中数采集子单元,用于采集防火墙策略在第一时间点和第二时间点的命中数;
差值计算子单元,计算第一时间点的命中数和第二时间点的命中数的差值;
活跃度判定子单元,用于根据所述差值判断所述防火墙策略的活跃度。
10.如权利要求6所述的防火墙策略核查系统,其特征在于,还包括白名单核查单元,所述白名单核查单元包括:
白名单获取子单元,用于获取防火墙的白名单;
匹配度判定子单元,用于比较防火墙的防火墙策略与所述白名单,判断防火墙策略与所述白名单的匹配度。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410730406.5A CN105721188A (zh) | 2014-12-04 | 2014-12-04 | 防火墙策略核查方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410730406.5A CN105721188A (zh) | 2014-12-04 | 2014-12-04 | 防火墙策略核查方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105721188A true CN105721188A (zh) | 2016-06-29 |
Family
ID=56143300
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410730406.5A Pending CN105721188A (zh) | 2014-12-04 | 2014-12-04 | 防火墙策略核查方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105721188A (zh) |
Cited By (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109040089A (zh) * | 2018-08-15 | 2018-12-18 | 深圳前海微众银行股份有限公司 | 网络策略审计方法、设备及计算机可读存储介质 |
| CN109413019A (zh) * | 2018-04-28 | 2019-03-01 | 武汉思普崚技术有限公司 | 一种防火墙策略优化检查方法及装置 |
| CN109413017A (zh) * | 2018-04-28 | 2019-03-01 | 武汉思普崚技术有限公司 | 一种管理异构防火墙的方法及系统 |
| CN109587124A (zh) * | 2018-11-21 | 2019-04-05 | 国家电网有限公司 | 电力网络的处理方法、装置和系统 |
| CN109600368A (zh) * | 2018-12-07 | 2019-04-09 | 中盈优创资讯科技有限公司 | 一种确定防火墙策略的方法及装置 |
| CN110138742A (zh) * | 2019-04-17 | 2019-08-16 | 深圳中兴网信科技有限公司 | 防火墙策略优化方法、系统及计算机可读存储介质 |
| CN110266654A (zh) * | 2019-05-29 | 2019-09-20 | 国网思极网安科技(北京)有限公司 | 一种基于安全域策略分析的方法和电子设备 |
| CN110661811A (zh) * | 2019-10-10 | 2020-01-07 | 国网山东省电力公司信息通信公司 | 一种防火墙策略管理方法及装置 |
| CN111049801A (zh) * | 2019-11-15 | 2020-04-21 | 广东电网有限责任公司 | 一种防火墙策略检测方法 |
| CN111064715A (zh) * | 2019-11-29 | 2020-04-24 | 北京浪潮数据技术有限公司 | 一种防火墙的编排方法、装置和计算机可读存储介质 |
| CN111193744A (zh) * | 2019-12-31 | 2020-05-22 | 中信百信银行股份有限公司 | 防火墙策略查询、弹性伸缩方法及系统、设备、存储介质 |
| CN111786949A (zh) * | 2020-05-22 | 2020-10-16 | 山东鲁能软件技术有限公司 | 防火墙安全策略自动适配系统及方法 |
| CN111988273A (zh) * | 2020-07-07 | 2020-11-24 | 国网思极网安科技(北京)有限公司 | 一种防火墙策略管理方法及装置 |
| CN112104637A (zh) * | 2020-09-10 | 2020-12-18 | 杭州优稳自动化系统有限公司 | 一种安全网关隔离方法及外网数据发送至内网的方法 |
| CN112651137A (zh) * | 2020-12-31 | 2021-04-13 | 武汉思普崚技术有限公司 | 一种策略模拟仿真给出策略开通建议的方法及装置 |
| CN112887324A (zh) * | 2021-02-20 | 2021-06-01 | 广西电网有限责任公司 | 电力监控系统的网络安全装置的策略配置管理系统 |
| CN113162782A (zh) * | 2020-01-22 | 2021-07-23 | 中国移动通信集团山东有限公司 | 数据中心网络配置方法及装置 |
| CN113301040A (zh) * | 2021-05-21 | 2021-08-24 | 恒安嘉新(北京)科技股份公司 | 一种防火墙策略优化方法、装置、设备及存储介质 |
| CN113676703A (zh) * | 2021-08-23 | 2021-11-19 | 湖北拓普源电力工程有限公司 | 一种用于防火墙盖板的可视化智能监查系统 |
| CN113992422A (zh) * | 2021-11-04 | 2022-01-28 | 中海油信息科技有限公司北京分公司 | 防火墙规则动态配置方法 |
| CN114039853A (zh) * | 2021-11-15 | 2022-02-11 | 北京天融信网络安全技术有限公司 | 一种检测安全策略的方法、装置、存储介质和电子设备 |
| CN114050908A (zh) * | 2020-07-24 | 2022-02-15 | 中国移动通信集团浙江有限公司 | 防火墙策略自动审核的方法、装置及计算设备计算机存储介质 |
| CN117220998A (zh) * | 2023-10-23 | 2023-12-12 | 北京睿航至臻科技有限公司 | 一种防火墙策略统一范式化方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101820414A (zh) * | 2010-01-29 | 2010-09-01 | 蓝盾信息安全技术股份有限公司 | 一种主机接入控制系统及方法 |
| US20120216271A1 (en) * | 2011-02-23 | 2012-08-23 | Geoffrey Howard Cooper | System and method for interlocking a host and a gateway |
| CN103561002A (zh) * | 2013-10-22 | 2014-02-05 | 北京神州泰岳软件股份有限公司 | 基于防火墙策略的安全访问方法和系统 |
| CN103763323A (zh) * | 2014-01-23 | 2014-04-30 | 杭州华三通信技术有限公司 | 一种防火墙规则管理方法及装置 |
| CN104135461A (zh) * | 2013-05-02 | 2014-11-05 | 中国移动通信集团河北有限公司 | 一种防火墙策略处理的方法及装置 |
-
2014
- 2014-12-04 CN CN201410730406.5A patent/CN105721188A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101820414A (zh) * | 2010-01-29 | 2010-09-01 | 蓝盾信息安全技术股份有限公司 | 一种主机接入控制系统及方法 |
| US20120216271A1 (en) * | 2011-02-23 | 2012-08-23 | Geoffrey Howard Cooper | System and method for interlocking a host and a gateway |
| CN104135461A (zh) * | 2013-05-02 | 2014-11-05 | 中国移动通信集团河北有限公司 | 一种防火墙策略处理的方法及装置 |
| CN103561002A (zh) * | 2013-10-22 | 2014-02-05 | 北京神州泰岳软件股份有限公司 | 基于防火墙策略的安全访问方法和系统 |
| CN103763323A (zh) * | 2014-01-23 | 2014-04-30 | 杭州华三通信技术有限公司 | 一种防火墙规则管理方法及装置 |
Cited By (36)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109413019A (zh) * | 2018-04-28 | 2019-03-01 | 武汉思普崚技术有限公司 | 一种防火墙策略优化检查方法及装置 |
| CN109413017A (zh) * | 2018-04-28 | 2019-03-01 | 武汉思普崚技术有限公司 | 一种管理异构防火墙的方法及系统 |
| CN109040089A (zh) * | 2018-08-15 | 2018-12-18 | 深圳前海微众银行股份有限公司 | 网络策略审计方法、设备及计算机可读存储介质 |
| CN109587124A (zh) * | 2018-11-21 | 2019-04-05 | 国家电网有限公司 | 电力网络的处理方法、装置和系统 |
| CN109600368A (zh) * | 2018-12-07 | 2019-04-09 | 中盈优创资讯科技有限公司 | 一种确定防火墙策略的方法及装置 |
| CN109600368B (zh) * | 2018-12-07 | 2021-04-13 | 中盈优创资讯科技有限公司 | 一种确定防火墙策略的方法及装置 |
| CN110138742B (zh) * | 2019-04-17 | 2022-05-31 | 深圳中兴网信科技有限公司 | 防火墙策略优化方法、系统及计算机可读存储介质 |
| CN110138742A (zh) * | 2019-04-17 | 2019-08-16 | 深圳中兴网信科技有限公司 | 防火墙策略优化方法、系统及计算机可读存储介质 |
| CN110266654A (zh) * | 2019-05-29 | 2019-09-20 | 国网思极网安科技(北京)有限公司 | 一种基于安全域策略分析的方法和电子设备 |
| CN110661811A (zh) * | 2019-10-10 | 2020-01-07 | 国网山东省电力公司信息通信公司 | 一种防火墙策略管理方法及装置 |
| CN111049801A (zh) * | 2019-11-15 | 2020-04-21 | 广东电网有限责任公司 | 一种防火墙策略检测方法 |
| CN111049801B (zh) * | 2019-11-15 | 2022-02-11 | 广东电网有限责任公司 | 一种防火墙策略检测方法 |
| CN111064715A (zh) * | 2019-11-29 | 2020-04-24 | 北京浪潮数据技术有限公司 | 一种防火墙的编排方法、装置和计算机可读存储介质 |
| CN111064715B (zh) * | 2019-11-29 | 2022-05-17 | 北京浪潮数据技术有限公司 | 一种防火墙的编排方法、装置和计算机可读存储介质 |
| CN111193744A (zh) * | 2019-12-31 | 2020-05-22 | 中信百信银行股份有限公司 | 防火墙策略查询、弹性伸缩方法及系统、设备、存储介质 |
| CN111193744B (zh) * | 2019-12-31 | 2022-03-15 | 中信百信银行股份有限公司 | 防火墙策略查询、弹性伸缩方法及系统、设备、存储介质 |
| CN113162782B (zh) * | 2020-01-22 | 2022-12-09 | 中国移动通信集团山东有限公司 | 数据中心网络配置方法及装置 |
| CN113162782A (zh) * | 2020-01-22 | 2021-07-23 | 中国移动通信集团山东有限公司 | 数据中心网络配置方法及装置 |
| CN111786949B (zh) * | 2020-05-22 | 2023-04-07 | 山东鲁软数字科技有限公司 | 防火墙安全策略自动适配系统及方法 |
| CN111786949A (zh) * | 2020-05-22 | 2020-10-16 | 山东鲁能软件技术有限公司 | 防火墙安全策略自动适配系统及方法 |
| CN111988273A (zh) * | 2020-07-07 | 2020-11-24 | 国网思极网安科技(北京)有限公司 | 一种防火墙策略管理方法及装置 |
| CN114050908B (zh) * | 2020-07-24 | 2023-07-21 | 中国移动通信集团浙江有限公司 | 防火墙策略自动审核的方法、装置、计算设备及计算机存储介质 |
| CN114050908A (zh) * | 2020-07-24 | 2022-02-15 | 中国移动通信集团浙江有限公司 | 防火墙策略自动审核的方法、装置及计算设备计算机存储介质 |
| CN112104637A (zh) * | 2020-09-10 | 2020-12-18 | 杭州优稳自动化系统有限公司 | 一种安全网关隔离方法及外网数据发送至内网的方法 |
| CN112651137A (zh) * | 2020-12-31 | 2021-04-13 | 武汉思普崚技术有限公司 | 一种策略模拟仿真给出策略开通建议的方法及装置 |
| CN112887324B (zh) * | 2021-02-20 | 2022-07-08 | 广西电网有限责任公司 | 电力监控系统的网络安全装置的策略配置管理系统 |
| CN112887324A (zh) * | 2021-02-20 | 2021-06-01 | 广西电网有限责任公司 | 电力监控系统的网络安全装置的策略配置管理系统 |
| CN113301040B (zh) * | 2021-05-21 | 2023-02-10 | 恒安嘉新(北京)科技股份公司 | 一种防火墙策略优化方法、装置、设备及存储介质 |
| CN113301040A (zh) * | 2021-05-21 | 2021-08-24 | 恒安嘉新(北京)科技股份公司 | 一种防火墙策略优化方法、装置、设备及存储介质 |
| CN113676703A (zh) * | 2021-08-23 | 2021-11-19 | 湖北拓普源电力工程有限公司 | 一种用于防火墙盖板的可视化智能监查系统 |
| CN113676703B (zh) * | 2021-08-23 | 2024-05-24 | 湖北拓普源电力工程有限公司 | 一种用于防火墙盖板的可视化智能监查系统 |
| CN113992422A (zh) * | 2021-11-04 | 2022-01-28 | 中海油信息科技有限公司北京分公司 | 防火墙规则动态配置方法 |
| CN113992422B (zh) * | 2021-11-04 | 2024-03-26 | 中海油信息科技有限公司北京分公司 | 防火墙规则动态配置方法 |
| CN114039853A (zh) * | 2021-11-15 | 2022-02-11 | 北京天融信网络安全技术有限公司 | 一种检测安全策略的方法、装置、存储介质和电子设备 |
| CN114039853B (zh) * | 2021-11-15 | 2024-02-09 | 天融信雄安网络安全技术有限公司 | 一种检测安全策略的方法、装置、存储介质和电子设备 |
| CN117220998A (zh) * | 2023-10-23 | 2023-12-12 | 北京睿航至臻科技有限公司 | 一种防火墙策略统一范式化方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105721188A (zh) | 防火墙策略核查方法及系统 | |
| US11218510B2 (en) | Advanced cybersecurity threat mitigation using software supply chain analysis | |
| US9742794B2 (en) | Method and apparatus for automating threat model generation and pattern identification | |
| EP3175579B1 (en) | Systems and methods for network management | |
| Williams et al. | An interactive attack graph cascade and reachability display | |
| US20220191230A1 (en) | Diagnosing and managing network vulnerabilities | |
| US20210194909A1 (en) | Analysis device, method and system for operational technology system and storage medium | |
| CN111934922B (zh) | 一种网络拓扑的构建方法、装置、设备、存储介质 | |
| US20220094614A1 (en) | Systems for and methods of modelling, analysis and management of data networks | |
| US20050193430A1 (en) | System and method for risk detection and analysis in a computer network | |
| US20130096980A1 (en) | User-defined countermeasures | |
| US20220210202A1 (en) | Advanced cybersecurity threat mitigation using software supply chain analysis | |
| JP2012104088A (ja) | 情報セキュリティ保護ホスト | |
| CN101447991A (zh) | 用于测试入侵检测系统的测试装置及测试方法 | |
| CN110708315A (zh) | 资产漏洞的识别方法、装置和系统 | |
| Kim et al. | Firewall ruleset visualization analysis tool based on segmentation | |
| WO2020195228A1 (ja) | 分析システム、方法およびプログラム | |
| CN117294517A (zh) | 解决异常流量的网络安全保护方法及系统 | |
| JP2015026182A (ja) | セキュリティサービス効果表示システム、セキュリティサービス効果表示方法、及びセキュリティサービス効果表示プログラム | |
| US20180196708A1 (en) | System management apparatus and system management method | |
| US20230129114A1 (en) | Analysis system, method, and program | |
| CN111193727A (zh) | 运行监测系统及运行监测方法 | |
| JP7396371B2 (ja) | 分析装置、分析方法及び分析プログラム | |
| JP7355118B2 (ja) | リスク分析結果表示装置、方法、及びプログラム | |
| US12081395B2 (en) | Formal verification of network changes |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160629 |
|
| RJ01 | Rejection of invention patent application after publication |