CN106603471A - 一种防火墙策略检测方法及装置 - Google Patents

一种防火墙策略检测方法及装置 Download PDF

Info

Publication number
CN106603471A
CN106603471A CN201510674523.9A CN201510674523A CN106603471A CN 106603471 A CN106603471 A CN 106603471A CN 201510674523 A CN201510674523 A CN 201510674523A CN 106603471 A CN106603471 A CN 106603471A
Authority
CN
China
Prior art keywords
firewall policy
flow
strategy
address
fire wall
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201510674523.9A
Other languages
English (en)
Other versions
CN106603471B (zh
Inventor
闫卓旭
柴忠
杨志泉
刘艳青
汤云峰
王靖
李京红
赵雪昆
刘乐
王立川
刘丹
单雷光
田毅
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Venus Information Security Technology Co Ltd
Venustech Group Inc
Original Assignee
Beijing Venus Information Security Technology Co Ltd
Venustech Group Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Venus Information Security Technology Co Ltd, Venustech Group Inc filed Critical Beijing Venus Information Security Technology Co Ltd
Priority to CN201510674523.9A priority Critical patent/CN106603471B/zh
Publication of CN106603471A publication Critical patent/CN106603471A/zh
Application granted granted Critical
Publication of CN106603471B publication Critical patent/CN106603471B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种防火墙策略检测方法及装置,包括:在预定时间范围内从连接防火墙的交换机采集出入防火墙的流量;从所述流量中解析得到流信息;获取防火墙策略,确定每条防火墙策略对应的原子策略的数目,其中,所述原子策略指源网络协议(IP,Internet Protocol)地址、目的IP地址、目的端口以及协议不可分解的策略;针对每一条防火墙策略,根据解析得到的流信息确定与该防火墙策略匹配的流的总数,计算该防火墙策略的覆盖率,所述覆盖率由所述总数与该防火墙策略对应的原子策略的数目的比值确定,当该防火墙策略的覆盖率小于宽泛策略阈值时,判定该防火墙策略为宽泛策略。本发明公开的防火墙策略检测方法及装置,能够有效地检测防火墙策略中的宽泛策略。

Description

一种防火墙策略检测方法及装置
技术领域
本发明涉及信息安全领域,尤其涉及一种防火墙策略检测方法及装置。
背景技术
防火墙是目前最为流行也是使用最为广泛的一种网络安全技术。在构建安全网络环境的过程中,防火墙作为第一道安全防线,正受到越来越多的关注。防火墙通过设置安全策略控制进出系统的数据,从而实现访问控制。
在现有技术中,将采用NetFlow技术采集的防火墙业务流量七元组与策略七元组进行比对,进而判断不合规的防火墙策略,其中,流量七元组包括源地址、源端口、目的地址、目的端口、协议类型、数据流量大小以及流量发送频率,策略七元组包括源地址、源端口、目的地址、目的端口、协议类型、允许或拒绝。然而,上述方案依赖于防火墙,只适用于支持Flow功能的防火墙,而开启Flow功能会额外消耗防火墙的中央处理器(CPU,CentralProcessing Unit)时间,如果在防火墙CPU负载本身就很高的情况下,再额外增加CPU的负载很可能会影响到防火墙的正常工作,另外,从实现成本而言,当前的Flow类型很多,如Jflow、Sflow、Netstream等,每实现对一种Flow功能的支持就需要花费时间进行开发,实现成本高。并且,现有方案未涉及宽泛策略的检测。
防火墙策略的设置需要遵循一定的原则,然而,宽泛策略违背了“策略最小化”原则,会带来安全隐患,甚至导致安全事件的发生。
发明内容
为了解决上述技术问题,本发明提供一种防火墙策略检测方法及装置,能够有效地检测防火墙策略中的宽泛策略。
为了达到上述技术目的,本发明提供一种防火墙策略检测方法,包括:在预定时间范围内从连接防火墙的交换机采集出入防火墙的流量;从所述流量中解析得到流信息;获取防火墙策略,确定每条防火墙策略对应的原子策略的数目,其中,所述原子策略指源网络协议(IP,Internet Protocol)地址、目的IP地址、目的端口以及协议不可分解的策略;针对每一条防火墙策略,根据解析得到的流信息确定与该防火墙策略匹配的流的总数,计算该防火墙策略的覆盖率,所述覆盖率由所述总数与该防火墙策略对应的原子策略的数目的比值确定,当该防火墙策略的覆盖率小于宽泛策略阈值时,判定该防火墙策略为宽泛策略。
进一步地,所述在预定时间范围内从连接防火墙的交换机采集出入防火墙的流量之前,该方法还包括:获取用户配置信息,其中,所述用户配置信息包括宽泛策略阈值、介质访问控制(MAC,Media Access Control)地址以及MAC地址与区域或接口的对应关系。
进一步地,所述在预定时间范围内从连接防火墙的交换机采集出入防火墙的流量包括:
在预定时间范围内从连接防火墙的交换机的镜像口采集流量;
根据用户配置的MAC地址过滤采集的流量,得到出入防火墙的流量。
进一步地,所述流信息以七元组表示,所述七元组包括源区域、源IP地址、源端口、目的区域、目的IP地址、目的端口以及协议,其中,源区域及目的区域根据用户配置的MAC地址与区域或接口的对应关系确定。
进一步地,所述从所述流量中解析得到流信息之后,该方法还包括:将解析到的流信息存储至数据库流表。
本发明还提供一种防火墙策略检测装置,包括:流量采集模块,用于在预定时间范围内从连接防火墙的交换机采集一定时间范围内出入防火墙的流量;流解析模块,用于从所述流量中解析得到流信息;配置管理模块,用于获取防火墙策略,确定每条防火墙策略对应的原子策略的数目,其中,所述原子策略指源IP地址、目的IP地址、目的端口以及协议不可分解的策略;检测模块,用于针对每一条防火墙策略,根据解析得到的流信息确定与该防火墙策略匹配的流的总数,计算该防火墙策略的覆盖率,所述覆盖率根据所述总数与该防火墙策略对应的原子策略的数目的比值确定,当该防火墙策略的覆盖率小于宽泛策略阈值时,判定该防火墙策略为宽泛策略。
进一步地,所述配置管理模块,还用于获取用户配置信息,其中,所述用户配置信息包括宽泛策略阈值、MAC地址以及MAC地址与区域或接口的对应关系。
进一步地,所述流量采集模块,具体用于:在预定时间范围内从连接防火墙的交换机的镜像口采集流量;根据用户配置的MAC地址过滤采集的流量,得到出入防火墙的流量。
进一步地,所述流信息以七元组表示,所述七元组包括源区域、源IP地址、源端口、目的区域、目的IP地址、目的端口以及协议,其中,源区域及目的区域根据用户配置的MAC地址与区域或接口的对应关系确定。
进一步地,所述流解析模块,还用于将解析到的流信息存储至数据库流表。
在本发明中,在预定时间范围内从连接防火墙的交换机采集出入防火墙的流量;从所述流量中解析得到流信息;获取防火墙策略,确定每条防火墙策略对应的原子策略的数目,其中,所述原子策略指源IP地址、目的IP地址、目的端口以及协议不可分解的策略;针对每一条防火墙策略,根据解析得到的流信息确定与该防火墙策略匹配的流的总数,计算该防火墙策略的覆盖率,所述覆盖率由所述总数与该防火墙策略对应的原子策略的数目的比值确定,当该防火墙策略的覆盖率小于宽泛策略阈值时,判定该防火墙策略为宽泛策略。本发明基于出入防火墙的真实流量有效地检测防火墙策略中的宽泛策略。
相较于现有技术,本发明具有以下优点:
(1)本发明无需防火墙提供任何支持,适用于对任何防火墙宽泛策略的检测,通用性好,也不存在额外消耗防火墙CPU时间的弊端;
(2)本发明基于原始流量实现宽泛策略检测,实现成本低;
(3)在本发明中,反映了防火墙策略与真实流量的关系,宽泛策略检测的准确率高。
附图说明
图1为本发明实施例提供的防火墙策略检测方法的流程图;
图2为本发明实施例中步骤101及步骤102的具体流程图;
图3为本发明实施例中步骤103及步骤104的具体流程图;
图4为本发明实施例提供的防火墙策略检测装置的示意图;
图5为本发明一实施例的应用场景示意图。
具体实施方式
以下结合附图对本发明的实施例进行详细说明,应当理解,以下所说明的实施例仅用于说明和解释本发明,并不用于限定本发明。
图1为本发明实施例提供的防火墙策略检测方法的流程图。如图1所示,本实施例提供的防火墙策略检测方法包括以下步骤:
步骤101:在预定时间范围内从连接防火墙的交换机采集出入防火墙的流量。
于此,步骤101之前,该方法还包括:获取用户配置信息,其中,所述用户配置信息包括宽泛策略阈值、MAC地址以及MAC地址与区域或接口的对应关系。
于此,步骤101包括:
在预定时间范围内从连接防火墙的交换机的镜像口采集流量;
根据用户配置的MAC地址过滤采集的流量,得到出入防火墙的流量。
步骤102:从所述流量中解析得到流信息。
其中,所述流信息以七元组表示,所述七元组包括源区域、源IP地址、源端口、目的区域、目的IP地址、目的端口以及协议。其中,源区域以及目的区域根据用户配置的MAC地址与区域或接口的对应关系确定。
步骤102之后,该方法还包括:将解析到的流信息存储至数据库流表。
步骤103:获取防火墙策略,确定每条防火墙策略对应的原子策略的数目,其中,所述原子策略指源IP地址、目的IP地址、目的端口以及协议不可分解的策略。
具体而言,不可分解指源IP地址、目的IP地址、目的端口以及协议均为唯一的。一条原子策略中,源IP地址、目的IP地址、目的端口以及协议的数目均为一个。
步骤104:针对每一条防火墙策略,根据解析得到的流信息确定与该防火墙策略匹配的流的总数,计算该防火墙策略的覆盖率,所述覆盖率由所述总数与该防火墙策略对应的原子策略的数目的比值确定,当该防火墙策略的覆盖率小于宽泛策略阈值时,判定该防火墙策略为宽泛策略。
图2为本发明实施例中步骤101及步骤102的具体流程图。步骤101及步骤102为本实施例中的流量采集解析过程,如图2所示,步骤101及步骤102具体包括以下过程:
步骤201:读取防火墙接口MAC地址配置;
步骤202:在预定时间范围内从连接防火墙的交换机的镜像口采集流量;
步骤203:判断采集到的流量包的MAC地址是否等于配置的防火墙接口MAC地址,若是,执行步骤204,否则,返回步骤202;
步骤204:进行流解析,若解析成功,执行步骤205,否则,返回步骤202;
步骤205:将解析得到的以七元组表示的流信息存储至数据库流表。
图3为本发明实施例中步骤103及步骤104的具体流程图。如图3所示,步骤103及步骤104具体包括以下过程:
步骤301:读取防火墙接口MAC地址、防火墙策略以及宽泛策略阈值;
步骤302:计算每一条策略对应的原子策略的数目Pa;
步骤303:根据数据库流表存储的流信息计算每一条策略匹配的流的数目Pf;
步骤304:计算每一条策略的覆盖率,其中,策略的覆盖率=Pf/Pa;
步骤305:比较计算得到的策略的覆盖率与宽泛策略阈值,若某一策略的覆盖率小于宽泛策略阈值,则判定该策略为宽泛策略,若某一策略的覆盖率大于或等于宽泛策略阈值,则判定该策略为非宽泛策略。
举例而言,假设一条策略的源IP地址为192.168.1.0/24,源端口为任意,目的IP地址为10.10.10.1,目的端口为80,协议为传输控制协议(TCP,Transmission Control Protocol)。由于这条策略的源IP地址可以分解为192.168.1.1~192.168.1.255,共255个单个IP地址,目的IP地址、目的端口、协议不可分解,因此,该条策略对应的原子策略的数目为255条。假设数据库流表中有192.168.1.100~192.168.1.199共100条访问10.10.10.1的TCP 80端口的流,则该策略的覆盖率为:100/255≈39%。若宽泛策略阈值为50%,则判定该策略为宽泛策略。
图4为本发明实施例提供的防火墙策略检测装置的示意图。如图4所示,本实施例提供的防火墙策略检测装置包括:流量采集模块、流解析模块、配置管理模块以及检测模块;流量采集模块,用于在预定时间范围内从连接防火墙的交换机采集出入防火墙的流量;流解析模块,用于从所述流量中解析得到流信息;配置管理模块,用于获取防火墙策略,确定每条防火墙策略对应的原子策略的数目,其中,所述原子策略指源IP地址、目的IP地址、目的端口以及协议不可分解的策略;检测模块,用于针对每一条防火墙策略,根据解析得到的流信息确定与该防火墙策略匹配的流的总数,计算该防火墙策略的覆盖率,所述覆盖率根据所述总数与该防火墙策略对应的原子策略的数目的比值确定,当该防火墙策略的覆盖率小于宽泛策略阈值时,判定该防火墙策略为宽泛策略。
进一步地,配置管理模块,还用于获取用户配置信息,其中,所述用户配置信息包括宽泛策略阈值、MAC地址以及MAC地址与区域或接口的对应关系。
进一步地,流量采集模块,具体用于:在预定时间范围内从连接防火墙的交换机的镜像口采集流量;根据用户配置的MAC地址过滤采集的流量,得到出入防火墙的流量。
其中,流信息以七元组表示,所述七元组包括源区域、源IP地址、源端口、目的区域、目的IP地址、目的端口以及协议,其中,源区域及目的区域根据用户配置的MAC地址与区域或接口的对应关系确定。
进一步地,流解析模块,还用于将解析到的流信息存储至数据库流表。
图5为本发明一实施例的应用场景示意图。请一并参考图4及图5。于本实施例中,需要检测图5中防火墙内网1(ge0口)到外网2(ge1口)的策略是否存在宽泛策略,其中,ge1口MAC地址为MAC1;防火墙上为内网1到外网2配置的策略如表1所示。
源IP地址 源端口 目的IP地址 目的端口 协议 动作
192.168.100.0/24 任意 192.168.200.1 80 TCP 放行
表1
其中,由于这条策略的源IP地址可以分解为192.168.100.1~192.168.100.255,共255个单个IP地址,目的IP地址、目的端口、协议不可分解,因此,该条策略对应的原子策略的数目为255条。
于本实施例中,宽泛策略阈值为50%,即当某一策略的覆盖率小于50%时,判定该策略为宽泛策略。
具体而言,配置管理模块导入并解析防火墙的策略配置文件,以获取防火墙策略,并接收用户配置信息;通过配置交换机镜像出入ge1口的流量(也可为ge0的流量),流量采集模块从连接防火墙的交换机的镜像口采集流量;根据用户配置的MAC地址,配置用于过滤流量的ge1口MAC地址(如MAC1),将MAC地址映射为ge1口;流量采集模块采集预定时间范围内(例如,一天)的流量,在采集到的流量中只有源或目的MAC地址为ge1口MAC地址的流量被提供给流解析模块进行解析、建流、存储;检测模块,异步地执行宽泛策略的检测,具体而言,计算表1所示策略的覆盖率,进而判断该条策略是否为宽泛策略,例如在一天之内,192.168.100.0/24子网有60个IP地址:192.168.100.1~192.168.100.60,全都访问了192.168.200.1开放的TCP 80端口,则此时,该策略的覆盖率=60/255≈23%,该策略的覆盖率小于宽泛策略阈值(50%),因此,检测模块判定该策略为宽泛策略。
于实际应用中,流量采集模块、配置管理模块、流解析模块以及检测模块的功能可以是通过处理器执行存储在存储器中的程序/指令实现。然而,本发明对此并不限定。上述模块的功能还可以通过固件/逻辑电路/集成电路实现。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。

Claims (10)

1.一种防火墙策略检测方法,其特征在于,包括:
在预定时间范围内从连接防火墙的交换机采集出入防火墙的流量;
从所述流量中解析得到流信息;
获取防火墙策略,确定每条防火墙策略对应的原子策略的数目,其中,所述原子策略指源网络协议IP地址、目的IP地址、目的端口以及协议不可分解的策略;
针对每一条防火墙策略,根据解析得到的流信息确定与该防火墙策略匹配的流的总数,计算该防火墙策略的覆盖率,所述覆盖率由所述总数与该防火墙策略对应的原子策略的数目的比值确定,当该防火墙策略的覆盖率小于宽泛策略阈值时,判定该防火墙策略为宽泛策略。
2.如权利要求1所述的方法,其特征在于,所述在预定时间范围内从连接防火墙的交换机采集出入防火墙的流量之前,还包括:获取用户配置信息,其中,所述用户配置信息包括宽泛策略阈值、介质访问控制MAC地址以及MAC地址与区域或接口的对应关系。
3.如权利要求2所述的方法,其特征在于,所述在预定时间范围内从连接防火墙的交换机采集出入防火墙的流量包括:
在预定时间范围内从连接防火墙的交换机的镜像口采集流量;
根据用户配置的MAC地址过滤采集的流量,得到出入防火墙的流量。
4.如权利要求2所述的方法,其特征在于,所述流信息以七元组表示,所述七元组包括源区域、源IP地址、源端口、目的区域、目的IP地址、目的端口以及协议,其中,源区域及目的区域根据用户配置的MAC地址与区域或接口的对应关系确定。
5.如权利要求1所述的方法,其特征在于,所述从所述流量中解析得到流信息之后,还包括:将解析到的流信息存储至数据库流表。
6.一种防火墙策略检测装置,其特征在于,包括:
流量采集模块,用于在预定时间范围内从连接防火墙的交换机采集一定时间范围内出入防火墙的流量;
流解析模块,用于从所述流量中解析得到流信息;
配置管理模块,用于获取防火墙策略,确定每条防火墙策略对应的原子策略的数目,其中,所述原子策略指源IP地址、目的IP地址、目的端口以及协议不可分解的策略;
检测模块,用于针对每一条防火墙策略,根据解析得到的流信息确定与该防火墙策略匹配的流的总数,计算该防火墙策略的覆盖率,所述覆盖率根据所述总数与该防火墙策略对应的原子策略的数目的比值确定,当该防火墙策略的覆盖率小于宽泛策略阈值时,判定该防火墙策略为宽泛策略。
7.如权利要求6所述的装置,其特征在于,所述配置管理模块,还用于获取用户配置信息,其中,所述用户配置信息包括宽泛策略阈值、MAC地址以及MAC地址与区域或接口的对应关系。
8.如权利要求7所述的装置,其特征在于,所述流量采集模块,具体用于:在预定时间范围内从连接防火墙的交换机的镜像口采集流量;根据用户配置的MAC地址过滤采集的流量,得到出入防火墙的流量。
9.如权利要求7所述的装置,其特征在于,所述流信息以七元组表示,所述七元组包括源区域、源IP地址、源端口、目的区域、目的IP地址、目的端口以及协议,其中,源区域及目的区域根据用户配置的MAC地址与区域或接口的对应关系确定。
10.如权利要求6所述的装置,其特征在于,所述流解析模块,还用于将解析到的流信息存储至数据库流表。
CN201510674523.9A 2015-10-16 2015-10-16 一种防火墙策略检测方法及装置 Active CN106603471B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510674523.9A CN106603471B (zh) 2015-10-16 2015-10-16 一种防火墙策略检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510674523.9A CN106603471B (zh) 2015-10-16 2015-10-16 一种防火墙策略检测方法及装置

Publications (2)

Publication Number Publication Date
CN106603471A true CN106603471A (zh) 2017-04-26
CN106603471B CN106603471B (zh) 2019-09-13

Family

ID=58554214

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510674523.9A Active CN106603471B (zh) 2015-10-16 2015-10-16 一种防火墙策略检测方法及装置

Country Status (1)

Country Link
CN (1) CN106603471B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110391988A (zh) * 2018-04-16 2019-10-29 阿里巴巴集团控股有限公司 网络流量控制方法、系统及安全防护装置
CN111277586A (zh) * 2020-01-17 2020-06-12 武汉思普崚技术有限公司 一种防火墙安全策略的调整方法及装置
CN113411337A (zh) * 2021-06-21 2021-09-17 深圳天元云科技有限公司 一种基于分类的防火墙策略收敛方法、系统、终端及存储介质
CN115372748A (zh) * 2022-10-24 2022-11-22 深圳博润缘科技有限公司 电缆的维护数据处理方法及系统

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070261110A1 (en) * 2006-05-02 2007-11-08 Cisco Technology, Inc., A California Corporation Packet firewalls of particular use in packet switching devices
CN101115057A (zh) * 2006-07-27 2008-01-30 中兴通讯股份有限公司 基于策略管理的防火墙系统和调度方法
US20090113517A1 (en) * 2007-10-31 2009-04-30 Microsoft Corporation Security state aware firewall
CN102857486A (zh) * 2012-04-01 2013-01-02 深信服网络科技(深圳)有限公司 下一代应用防火墙系统及防御方法
US20130067556A1 (en) * 2011-09-08 2013-03-14 Spencer Minear Application state sharing in a firewall cluster
CN103051613A (zh) * 2012-12-13 2013-04-17 北京星网锐捷网络技术有限公司 一种报文检测扫描方法、装置及网络安全设备
US8555369B2 (en) * 2011-10-10 2013-10-08 International Business Machines Corporation Secure firewall rule formulation
CN104270384A (zh) * 2014-10-20 2015-01-07 山石网科通信技术有限公司 防火墙策略冗余检测方法及装置
CN104735084A (zh) * 2015-04-13 2015-06-24 国家电网公司 一种防火墙基线策略审计方法

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070261110A1 (en) * 2006-05-02 2007-11-08 Cisco Technology, Inc., A California Corporation Packet firewalls of particular use in packet switching devices
CN101115057A (zh) * 2006-07-27 2008-01-30 中兴通讯股份有限公司 基于策略管理的防火墙系统和调度方法
US20090113517A1 (en) * 2007-10-31 2009-04-30 Microsoft Corporation Security state aware firewall
US20130067556A1 (en) * 2011-09-08 2013-03-14 Spencer Minear Application state sharing in a firewall cluster
US8555369B2 (en) * 2011-10-10 2013-10-08 International Business Machines Corporation Secure firewall rule formulation
CN102857486A (zh) * 2012-04-01 2013-01-02 深信服网络科技(深圳)有限公司 下一代应用防火墙系统及防御方法
CN103051613A (zh) * 2012-12-13 2013-04-17 北京星网锐捷网络技术有限公司 一种报文检测扫描方法、装置及网络安全设备
CN104270384A (zh) * 2014-10-20 2015-01-07 山石网科通信技术有限公司 防火墙策略冗余检测方法及装置
CN104735084A (zh) * 2015-04-13 2015-06-24 国家电网公司 一种防火墙基线策略审计方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
卢云龙: "基于B/S架构的防火墙策略审计系统的设计与实现", 《中国优秀硕士学位论文全文数据库信息科技辑》 *
孙立琴: "防火墙策略冲突检测及冲突策略可视化", 《信息安全与通信保密》 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110391988A (zh) * 2018-04-16 2019-10-29 阿里巴巴集团控股有限公司 网络流量控制方法、系统及安全防护装置
CN111277586A (zh) * 2020-01-17 2020-06-12 武汉思普崚技术有限公司 一种防火墙安全策略的调整方法及装置
CN113411337A (zh) * 2021-06-21 2021-09-17 深圳天元云科技有限公司 一种基于分类的防火墙策略收敛方法、系统、终端及存储介质
CN115372748A (zh) * 2022-10-24 2022-11-22 深圳博润缘科技有限公司 电缆的维护数据处理方法及系统

Also Published As

Publication number Publication date
CN106603471B (zh) 2019-09-13

Similar Documents

Publication Publication Date Title
CN108667853B (zh) 恶意攻击的检测方法和装置
CN100471172C (zh) 一种黑名单实现的方法
CN102624696B (zh) 一种网络安全态势评估方法
CN106603471A (zh) 一种防火墙策略检测方法及装置
CN108809749B (zh) 基于采样率来执行流的上层检查
US9083730B2 (en) Methods and apparatus to identify an internet protocol address blacklist boundary
CN105282169A (zh) 基于SDN控制器阈值的DDoS攻击预警方法及其系统
CN111600865B (zh) 一种异常通信检测方法、装置及电子设备和存储介质
CN106778260A (zh) 攻击检测方法和装置
CN105554016A (zh) 网络攻击的处理方法和装置
WO2019246169A1 (en) Pattern match-based detection in iot security
CN103001972B (zh) Ddos攻击的识别方法和识别装置及防火墙
CN105471835A (zh) 提升防火墙处理性能的方法及系统
CN107733867A (zh) 一种发现僵尸网络及防护的方法和系统
WO2018177167A1 (zh) 一种ip地址分析方法、系统及计算机可读存储介质和计算机设备
CN113992423B (zh) 一种计算机网络防火墙的使用方法
CN104125213A (zh) 一种防火墙抗分布式拒绝服务ddos攻击的方法和装置
CN116471592A (zh) 网联汽车网络通信过程分析方法及其相关设备
WO2021098527A1 (zh) 一种蠕虫检测方法及网络设备
CN101202744A (zh) 一种自学习检测蠕虫的装置及其方法
CN112653658A (zh) 一种SDN环境下基于信息熵的DDoS攻击检测方法
EP4274160A1 (en) System and method for machine learning based malware detection
CN109218250A (zh) 基于故障自动迁移系统的ddos防御方法及系统
CN116668078A (zh) 一种互联网入侵安全防御系统
CN113055333A (zh) 可自适应动态调整密度网格的网络流量聚类方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant