CN105847236B - 一种防火墙安全策略配置方法和装置、以及防火墙 - Google Patents

一种防火墙安全策略配置方法和装置、以及防火墙 Download PDF

Info

Publication number
CN105847236B
CN105847236B CN201610146206.4A CN201610146206A CN105847236B CN 105847236 B CN105847236 B CN 105847236B CN 201610146206 A CN201610146206 A CN 201610146206A CN 105847236 B CN105847236 B CN 105847236B
Authority
CN
China
Prior art keywords
information
assets
security policy
model library
firewall
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610146206.4A
Other languages
English (en)
Other versions
CN105847236A (zh
Inventor
贾涛
李建磊
孟庆森
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
BEIJING LEADSEC TECHNOLOGY CO LTD
Venustech Group Inc
Original Assignee
BEIJING LEADSEC TECHNOLOGY CO LTD
Venustech Group Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by BEIJING LEADSEC TECHNOLOGY CO LTD, Venustech Group Inc filed Critical BEIJING LEADSEC TECHNOLOGY CO LTD
Priority to CN201610146206.4A priority Critical patent/CN105847236B/zh
Publication of CN105847236A publication Critical patent/CN105847236A/zh
Application granted granted Critical
Publication of CN105847236B publication Critical patent/CN105847236B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请公开的防火墙安全策略配置方法和装置、以及防火墙,从网络环境中获取数据包,分析数据包,得到协议信息和数据信息,将数据信息与资产模型库进行匹配,得到资产信息,将资产信息和协议信息,与策略模型库进行匹配,得到与资产信息和协议信息对应的防火墙安全策略。通过资产模型库对资产进行识别,通过策略模型库获取资产信息和协议信息对应的防火墙安全策略,自动配置防火墙安全策略,避免防火墙安全策略配置中出现策略遗漏、策略错误和策略冗余等问题。

Description

一种防火墙安全策略配置方法和装置、以及防火墙
技术领域
本申请涉及网络安全领域,更具体地说,涉及一种防火墙安全策略配置方法和装置、以及防火墙。
背景技术
工业网络环境中部署防火墙时,需要针对网络环境中的协议和资产配置防火墙安全策略。目前的防火墙安全策略都是手动配置的,通过对网络环境中的数据进行提取分析,根据分析结果制定人员手动进行防火墙安全策略的配置。在防火墙安全策略的制定过程中,需要制定人员熟悉协议和资产的漏洞和缺陷,并针对协议和资产的漏洞和缺陷进行防火墙安全策略配置。但是,手动配置的过程,由于人为因素,容易出现策略遗漏、策略错误和策略冗余等问题。
发明内容
有鉴于词,本申请提出一种防火墙安全策略配置方法和装置、以及防火墙,欲实现自动配置防火墙安全策略,避免防火墙安全策略配置中出现策略遗漏、策略错误和策略冗余等问题。
为了实现上述目的,现提出的方案如下:
一种防火墙安全策略配置方法,基于资产模型库和策略模型库,所述资产模型库包含资产信息,所述策略模型库包含资产信息和协议信息,与防火墙安全策略的对应关系,所述方法包括:
从网络环境中获取数据包;
分析所述数据包,得到协议信息和数据信息;
将所述数据信息与所述资产模型库进行匹配,得到资产信息;
将所述资产信息和所述协议信息,与所述策略模型库进行匹配,得到与所述资产信息和协议信息对应的防火墙安全策略。
优选的,所述得到资产信息后,还包括:
对资产行为进行归结,生成记录信息。
优选的,所述生成记录信息后,还包括:
根据所述记录信息监控资产行为,若所述资产行为与所述记录信息不同,发出反馈信息。
优选的,所述反馈信息包括:阻断或告警。
一种防火墙安全策略配置装置,包括:
数据包获取单元,用于从网络环境中获取数据包;
数据包分析单元,用于分析所述数据包,得到协议信息和数据信息;
资产信息识别单元,用于将所述数据信息与资产模型库进行匹配,得到资产信息,所述资产模型库包含资产信息;
安全策略配置单元,用于将所述资产信息和所述协议信息,与策略模型库进行匹配,得到与所述资产信息和协议信息对应的防火墙安全策略,所述策略模型库包含资产信息和协议信息,与防火墙安全策略的对应关系。
优选的,还包括:
资产行为归结单元,用于对资产行为进行归结,生成记录信息。
优选的,还包括:
资产行为管理单元,用于根据所述记录信息监控资产行为,若所述资产行为与所述记录信息不同,发出反馈信息。
一种防火墙,包括所述的防火墙安全策略配置装置。
优选的,还包括:
开关单元,用于开启和关闭所述防火请安全策略配置装置。。
从上述的技术方案可以看出,本申请提出的防火墙安全策略配置方法和装置、以及防火墙,通过资产模型库对资产进行识别,通过策略模型库获取资产信息和协议信息对应的防火墙安全策略,自动配置防火墙安全策略,避免防火墙安全策略配置中出现策略遗漏、策略错误和策略冗余等问题。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本实施例公开的一种防火墙安全策略配置方法流程图;
图2为本实施例公开的另一种防火墙安全策略配置方法流程图;
图3为本实施例公开的一种防火墙安全策略配置装置示意图;
图4为本实施例公开的另一种防火墙安全策略配置装置示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请公开的防火墙安全策略的配置方案,通过资产模型库对网络环境中的资产进行识别,通过策略模型库获取资产和协议对应的防火墙安全策略,自动配置防火墙安全策略,避免防火墙安全策略配置中出现策略遗漏、策略错误和策略冗余等问题。
本实施例公开一种防火墙安全策略配置方法,该方法的实现基于资产模型库和策略模型库,资产模型库包含所有的资产信息,用于识别数据中的资产信息;策略模型库包含资产信息与防火墙安全策略的对应关系,以及协议信息与防火墙安全策略的对应关系,用于根据资产信息和协议信息生成防火墙安全策略。参见图1所示的流程图,本实施例公开的防火墙安全策略配置方法包括:
步骤S11:从网络环境中获取数据包。对网卡识别、资产类型请求和资产的运行服务等获取数据包。
步骤S12:分析从网络环境中获取的数据包,得到协议信息和数据信息。
分析获取的数据包,得到包含资产信息的数据信息和资产的运行协议信息。例如:包含Q-Series设备信息的数据信息,以及Q-Series设备运行的协议信息MELSOFT-TCP、MELSOFT-UDP。
步骤S13:将经过分析得到的数据信息与预置的资产模型库进行匹配,得到资产信息。
资产模型库包含所有的资产信息,数据信息包含某个资产信息,通过将模型数据库中的所有资产信息依此与数据信息进行匹配,就可以识别数据信息中包含的资产信息。
步骤S14:将匹配得到的资产信息和分析数据包得到的协议信息,与预置的策略模型库进行匹配,得到与资产信息和协议信息对应的防火墙安全策略。
根据策略模型库中的资产信息与防火墙安全策略的对应关系,以及协议信息与防火墙安全策略的对应关系,得到与资产信息和协议信息对应的防火墙安全策略,例如ABB控制器,运行协议为AC800M_MODBUS,自动生成针对资产ABB控制器和协议AC800M_MODBUS的防火墙安全策略。对资产形成防护,且对资产运行的协议进行防护。与协议对应的防火墙安全策略,能够对一些非正常协议进行告警或者过滤,不能对接收并运行该协议的资产进行防护;但是,资产信息对应的防火墙安全策略,实现对资产的防护。
本申请提出的防火墙安全策略配置方法,通过资产模型库对资产进行识别,通过策略模型库获取资产信息和协议信息对应的防火墙安全策略,自动配置防火墙安全策略,避免防火墙安全策略配置中出现策略遗漏、策略错误和策略冗余等问题。
本实施例公开另一种防火墙安全策略配置方法,通过对资产行为进行归结,并生成记录信息,进而对风险行为进行阻断或告警。参见图2所示,本实施例公开的防火墙安全策略配置方法包括:
步骤S11:从网络环境中获取数据包。
步骤S12:分析从网络环境中获取的数据包,得到协议信息和数据信息。
步骤S13:将经过分析得到的数据信息与预置的资产模型库进行匹配,得到资产信息。
步骤S21:对资产行为进行归结,生成记录信息。
得到资产信息后,将资产信息,协议信息,以及资产的行为进行分析归结。例如在某个时间点,进行一次数据采集、控制操作和操作内容,对应MODBUS读线圈、写线圈和写线圈的值。通过一段时间对资产行为进行记录和分析,生成一个记录信息,
步骤S22:根据生成的记录信息监控资产行为,若资产行为与记录信息不同,发出反馈信息。
记录信息生成后,将记录信息作为资产的安全行为对资产的日常行为进行监控,如果在某个时间段内,资产行为与记录信息产生差异,可以进行阻断或告警,并记录日志。
步骤S14:将匹配得到的资产信息和分析数据包得到的协议信息,与预置的策略模型库进行匹配,得到与资产信息和协议信息对应的防火墙安全策略。
本实施例公开的防火墙安全策略配置方法,通过对资产行为进行归结,并生成记录信息,进而对风险行为进行阻断或告警。
本实施例公开一种防火墙安全策略配置装置,参见图3所示,包括:
数据包获取单元101,用于从网络环境中获取数据包;
数据包分析单元102,用于分析所述数据包,得到协议信息和数据信息;
资产信息识别单元103,用于将所述数据信息与资产模型库进行匹配,得到资产信息,所述资产模型库包含资产信息;
安全策略配置单元104,用于将所述资产信息和所述协议信息,与策略模型库进行匹配,得到与所述资产信息和协议信息对应的防火墙安全策略,所述策略模型库包含资产信息和协议信息,与防火墙安全策略的对应关系。
本实施例公开另一种防火墙安全策略配置装置,参见图4所示,包括:数据包获取单元101,数据包分析单元102,资产信息识别单元103,安全策略配置单元104和资产行为归结单元201,以及和/或资产行为管理单元202
资产行为归结单元201,用于对资产行为进行归结,生成记录信息。
资产行为管理单元202,用于根据所述记录信息监测资产行为,若所述资产行为与所述记录信息不同,发出反馈信息。
本实施例公开一种防火墙,包括上述公开的一种防火墙安全策略配置装置。
还可以包括开关单元,用于开启和关闭防火请安全策略配置装置。防火墙开启防火墙安全策略配置装置后,通过对网络环境中的数据进行收集,并对收集到的数据进行分析,自动生成防火墙安全策略。
对于装置实施例而言,由于其基本相应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (9)

1.一种防火墙安全策略配置方法,其特征在于,基于资产模型库和策略模型库,所述资产模型库包含资产信息,所述策略模型库包含资产信息和协议信息,与防火墙安全策略的对应关系,所述方法包括:
从网络环境中获取数据包;
分析所述数据包,得到协议信息和数据信息;
将所述数据信息与所述资产模型库进行匹配,得到资产信息;
将所述资产信息和所述协议信息,与所述策略模型库进行匹配,得到与所述资产信息和协议信息对应的防火墙安全策略。
2.根据权利要求1所述的方法,其特征在于,所述得到资产信息后,还包括:
对资产行为进行归结,生成记录信息。
3.根据权利要求2所述的方法,其特征在于,所述生成记录信息后,还包括:
根据所述记录信息监控资产行为,若所述资产行为与所述记录信息不同,发出反馈信息。
4.根据权利要求3所述的方法,其特征在于,所述反馈信息包括:阻断或告警。
5.一种防火墙安全策略配置装置,其特征在于,包括:
数据包获取单元,用于从网络环境中获取数据包;
数据包分析单元,用于分析所述数据包,得到协议信息和数据信息;
资产信息识别单元,用于将所述数据信息与资产模型库进行匹配,得到资产信息,所述资产模型库包含资产信息;
安全策略配置单元,用于将所述资产信息和所述协议信息,与策略模型库进行匹配,得到与所述资产信息和协议信息对应的防火墙安全策略,所述策略模型库包含资产信息和协议信息,与防火墙安全策略的对应关系。
6.根据权利要求5所述的装置,其特征在于,还包括:
资产行为归结单元,用于对资产行为进行归结,生成记录信息。
7.根据权利要求6所述的装置,其特征在于,还包括:
资产行为管理单元,用于根据所述记录信息监控资产行为,若所述资产行为与所述记录信息不同,发出反馈信息。
8.一种防火墙,其特征在于,包括如权利要求5-7任意一项所述的防火墙安全策略配置装置。
9.根据权利要求8所述的防火墙,其特征在于,还包括:
开关单元,用于开启和关闭所述防火请安全策略配置装置。
CN201610146206.4A 2016-03-15 2016-03-15 一种防火墙安全策略配置方法和装置、以及防火墙 Active CN105847236B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610146206.4A CN105847236B (zh) 2016-03-15 2016-03-15 一种防火墙安全策略配置方法和装置、以及防火墙

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610146206.4A CN105847236B (zh) 2016-03-15 2016-03-15 一种防火墙安全策略配置方法和装置、以及防火墙

Publications (2)

Publication Number Publication Date
CN105847236A CN105847236A (zh) 2016-08-10
CN105847236B true CN105847236B (zh) 2019-03-12

Family

ID=56587177

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610146206.4A Active CN105847236B (zh) 2016-03-15 2016-03-15 一种防火墙安全策略配置方法和装置、以及防火墙

Country Status (1)

Country Link
CN (1) CN105847236B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108574667B (zh) 2017-03-09 2021-01-15 华为技术有限公司 一种业务流的控制方法及装置
CN109104399A (zh) * 2017-11-23 2018-12-28 新华三信息安全技术有限公司 一种安全策略规则配置方法及装置
CN108092979B (zh) * 2017-12-20 2021-05-28 国家电网公司 一种防火墙策略处理方法及装置
CN110474790B (zh) * 2018-05-11 2022-11-01 西门子股份公司 对边缘设备进行配置的系统、云平台、设备和方法
CN109669928A (zh) * 2018-12-11 2019-04-23 广东电网有限责任公司 策略配置方法及装置
CN113965406A (zh) * 2021-11-04 2022-01-21 杭州安恒信息技术股份有限公司 网络阻断方法、装置、电子装置和存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1558608A (zh) * 2004-01-13 2004-12-29 重庆邮电学院 基于tcp/ip的工业控制网络的安全策略实现方法及系统
CN102055735A (zh) * 2009-11-04 2011-05-11 中国移动通信集团山东有限公司 防火墙访问控制策略的配置方法及装置
CN102891855A (zh) * 2012-10-16 2013-01-23 北京神州绿盟信息安全科技股份有限公司 网络数据流安全处理方法及设备

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1558608A (zh) * 2004-01-13 2004-12-29 重庆邮电学院 基于tcp/ip的工业控制网络的安全策略实现方法及系统
CN102055735A (zh) * 2009-11-04 2011-05-11 中国移动通信集团山东有限公司 防火墙访问控制策略的配置方法及装置
CN102891855A (zh) * 2012-10-16 2013-01-23 北京神州绿盟信息安全科技股份有限公司 网络数据流安全处理方法及设备

Also Published As

Publication number Publication date
CN105847236A (zh) 2016-08-10

Similar Documents

Publication Publication Date Title
CN105847236B (zh) 一种防火墙安全策略配置方法和装置、以及防火墙
Myers et al. Anomaly detection for industrial control systems using process mining
JP6677623B2 (ja) セキュリティ対策立案支援システムおよび方法
CN111935172B (zh) 基于网络拓扑的网络异常行为检测方法、计算机装置及计算机可读存储介质
CN106055608B (zh) 自动采集和分析交换机日志的方法和装置
CN107992739A (zh) 用户验证方法、装置及系统
WO2019133146A8 (en) Automated data scaling, alignment, and organizing based on predefined parameters within surgical networks
CN104240171B (zh) 电子病历生成方法及系统
CN103117993B (zh) 用于提供过程控制系统的防火墙的方法、装置及制品
CN110602041A (zh) 基于白名单的物联网设备识别方法、装置及网络架构
CN107808502B (zh) 一种图像检测报警方法及装置
CN108989136A (zh) 业务端到端性能监控方法及装置
US9961047B2 (en) Network security management
Myers et al. Process discovery for industrial control system cyber attack detection
CN109063969A (zh) 一种账户风险评估的方法及装置
CN107409134A (zh) 法证分析
KR101281456B1 (ko) 자기 유사성을 이용한 scada 네트워크의 이상증후를 탐지하는 장치 및 방법
CN109005162A (zh) 工控系统安全审计方法及装置
CN109800571A (zh) 事件处理方法和装置、以及存储介质和电子装置
CN103886250A (zh) 面向业务支撑系统的数据处理方法、装置、控制器和系统
CN101426008B (zh) 一种基于回显的审计方法及系统
Rizal et al. Investigation Internet of Things (IoT) Device using Integrated Digital Forensics Investigation Framework (IDFIF)
CN111131325A (zh) 一种数据协议异常识别系统及方法
Akailvi et al. HELOT–Hunting Evil Life in Operational Technology
CN112437034A (zh) 虚假终端检测方法和装置、存储介质及电子装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant