CN107508716A - 一种安全策略的检查方法和系统 - Google Patents
一种安全策略的检查方法和系统 Download PDFInfo
- Publication number
- CN107508716A CN107508716A CN201710954443.8A CN201710954443A CN107508716A CN 107508716 A CN107508716 A CN 107508716A CN 201710954443 A CN201710954443 A CN 201710954443A CN 107508716 A CN107508716 A CN 107508716A
- Authority
- CN
- China
- Prior art keywords
- acl
- configuration files
- network
- router
- network equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Abstract
本申请公开了一种安全策略的检查方法和系统,该方法和系统应用于路由器,具体为通过遍历路由器所服务的安全区域生成网络拓扑;根据网络拓扑界定安全区域内的所有网络设备;根据路由器上预置的acl配置文件对所有网络设备进行核对;如果存在acl配置文件没有包含的网络设备,则向用户报告acl保护缺失。用户在得到acl保护缺失报告后,可以及时对acl配置文件进行重新配置,从而避免因为人为失误导致部分用户得不到安全保障的问题。
Description
技术领域
本申请涉及互联网技术领域,更具体地说,涉及一种安全策略的检查方法和系统。
背景技术
当前的信息化对网络与信息安全提出了更高的要求。网络与信息的安全性已成为维护国家安全、社会稳定的焦点。网络应用是利用网络以及信息系统直接为用户提供服务以及业务的平台。网络应用服务直接与成千上万的用户打交道:用户通过网络应用服务浏览网站、网上购物、下载文件、看电视、发短信等,网络应用服务的安全直接关系到广大网络用户的利益。因此网络应用服务的安全策略是网络与信息安全中重要组成部分。
安全策略是指在某个安全区域(通常是指属于某个组织的一系列处理和通信资源)内,用于所有与安全相关活动的一套规则。这些规则是由此安全区域中所设立的一个安全权力机构建立的,具体来说由网管通过对防火墙或者路由器进行配置实现的。网管在对防火墙或者路由器的安全策略进行配置时,可能因人为失误,导致该安全区域内的部分用户得不到保护,从而导致这部分用户的安全无法得到保障。
发明内容
有鉴于此,本申请提供一种安全策略的检查方法和系统,用于对安全区域内的安全策略进行自动检查,以避免因人为失误导致部分用户得不到安全保障。
为了实现上述目的,现提出的方案如下:
一种安全策略的检查方法,应用于路由器,所述检查方法包括步骤:
通过遍历所述路由器所服务的安全区域生成网络拓扑;
根据所述网络拓扑界定所述安全区域内的所有网络设备;
根据所述路由器上预置的acl配置文件对所有所述网络设备进行核对;
如果存在所述acl配置文件没有包含的网络设备,则向用户报告acl保护缺失。
可选的,所述网络设备包括核心路由器、防火墙、次级路由器和网络终端设备。
可选的,所述根据所述路由器上预置的acl配置文件对所有所述网络设备进行核对,包括:
对所述acl配置文件与所述网络设备的地址进行核对;
判断是否存在没有被所述acl配置文件所包含的地址。
可选的,还包括步骤:
检查每条acl配置文件是否符合预设的安全规范;
如存在不符合所述安全规范的acl配置文件,则报告acl保护缺失。
可选的,所述安全规范包括不允许ssh、不允许ping、不允许明文、禁止syn、禁止icmp和禁止usrf中的部分或全部。
一种安全策略的检查系统,应用于路由器,所述检查系统包括:
拓扑生成模块,用于通过遍历所述路由器所服务的安全区域生成网络拓扑;
设备界定模块,用于根据所述网络拓扑界定所述安全区域内的所有网络设备;
设备核对模块,用于根据所述路由器上预置的acl配置文件对所有所述网络设备进行核对;
第一缺失报告模块,用于如果存在所述acl配置文件没有包含的网络设备,则向用户报告acl保护缺失。
可选的,所述网络设备包括核心路由器、防火墙、次级路由器和网络终端设备。
可选的,所述设备核对模块包括:
地址核对单元,用于对所述acl配置文件与所述网络设备的地址进行核对;
缺失判断单元,用于判断是否存在没有被所述acl配置文件所包含的地址。
可选的,还包括:
文件检查模块,用于检查每条acl配置文件是否符合预设的安全规范;
第二缺失报告模块,用于如存在不符合所述安全规范的acl配置文件,则报告acl保护缺失。
可选的,所述安全规范包括不允许ssh、不允许ping、不允许明文、禁止syn、禁止icmp和禁止usrf中的部分或全部。
从上述的技术方案可以看出,本申请公开了一种安全策略的检查方法和系统,该方法和系统应用于路由器,具体为通过遍历路由器所服务的安全区域生成网络拓扑;根据网络拓扑界定安全区域内的所有网络设备;根据路由器上预置的acl配置文件对所有网络设备进行核对;如果存在acl配置文件没有包含的网络设备,则向用户报告acl保护缺失。用户在得到acl保护缺失报告后,可以及时对acl配置文件进行重新配置,从而避免因为人为失误导致部分用户得不到安全保障的问题。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请提供的一种安全策略的检查方法实施例的步骤流程图;
图2为本申请提供的另一种安全策略的检查方法实施例的步骤流程图;
图3为本申请提供的一种安全策略的检查系统实施例的结构框图;
图4为本申请提供的另一种安全策略的检查系统实施例的结构框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
实施例一
图1为本申请提供的一种安全策略的检查方法实施例的步骤流程图。
如图1所示,本实施例提供的安全策略检查方法用于对路由器或者防火墙的安全配置是否全面,以避免因出现漏洞而对用户的安全造成威胁。这里安全配置是否全面是指路由器或者防火墙所配置的acl配置或者acl配置文件是否包含了所有的业务网段,具体的安全策略检查方法包括如下步骤:
S101:通过遍历所有设备的方法生成网络拓扑。
遍历即对该路由器或防火墙所服务的区域内所有设备进行查找和核对,即查找到该区域内所有的设备和其连接方式,为了加以辨识,这里将该区域称为安全区域。在得到所有的设备和连接方式后,根据每台设备的具体信息和其之间的连接方式生成网络拓扑。
计算机连接的方式叫做“网络拓扑结构”(Network Topology)。其中,网络拓扑是指用传输媒体互连各种设备的物理布局,特别是计算机分布的位置以及电缆如何通过它们。设计一个网络的时候,应根据自己的实际情况选择正确的拓扑方式。每种拓扑都有它自己的优点和缺点。
拓扑是一种不考虑物体的大小、形状等物理属性,而仅仅使用点或者线描述多个物体实际位置与关系的抽象表示方法。拓扑不关心事物的细节,也不在乎相互的比例关系,而只是以图的形式表示一定范围内多个物体之间的相互关系。
S102:根据网络拓扑界定安全区域内的所有网络设备。
在得到上述的网络拓扑后,界定该安全区域内的所有网络设备,界定网络设备是指确定属于上述预置的acl配置文件所应该保护的所有网络设备,即明确该acl配置文件所需要保护的范围。
这里的网络设备包括该安全区域内的网络终端设备,如联网的个人电脑;网络设备还包括隶属与上述路由器或防火墙的其他路由器。
S103:根据acl配置文件对网络设备进行核对。
在确定出acl配置文件所需保护的范围后,利用该预置的acl配置文件对所有网络设备进行核对,即核对每台网络设备是否处于该acl配置文件的有效保护之下。
例如:该acl配置文件配置的用户保护范围为1.2.3.0,但是因业务范围扩大到1.2.0.0网段,如果网管不做调整的话,超出1.2.3.0的范围的网络设备就得不到保护。
在核对时,对acl配置文件的文件数据与所有网络设备的地址进行核对,在核对过程中,判断有没有超出该acl配置文件的地址,如果有,则确定出现acl保护缺失。
S104:如果存在acl配置文件没有包含的网络设备,向用户报警。
即通过上面的核对后,发现预置的acl配置文件没有对所有网络设备进行保护,例如在上面的示例中扩展后的业务范围为1.2.0.0,而acl配置文件只包保护了1.2.3.0内的网络设备,此时就会存在acl配置文件中没有包含的网络设备,为了向用户提示及时进行保护,此时向用户报告出现acl保护缺失,用于提示用户及时对acl配置文件进行重新配置。
从上述技术方案可以看出,本实施例提供了一种安全策略的检查方法,该方法应用于路由器,具体为通过遍历路由器所服务的安全区域生成网络拓扑;根据网络拓扑界定安全区域内的所有网络设备;根据路由器上预置的acl配置文件对所有网络设备进行核对;如果存在acl配置文件没有包含的网络设备,则向用户报告acl保护缺失。用户在得到acl保护缺失报告后,可以及时对acl配置文件进行重新配置,从而避免因为人为失误导致部分用户得不到安全保障的问题。
实施例二
图2为本申请提供的另一种安全策略的检查方法实施例的步骤流程图。
如图2所示,本实施例提供的安全策略检查方法用于对路由器或者防火墙的安全配置是否全面,以避免因出现漏洞而对用户的安全造成威胁。这里安全配置是否全面是指路由器或者防火墙所配置的acl配置或者acl配置文件是否包含了所有的业务网段,具体的安全策略检查方法包括如下步骤:
S201:通过遍历所有设备的方法生成网络拓扑。
遍历即对该路由器或防火墙所服务的区域内所有设备进行查找和核对,即查找到该区域内所有的设备和其连接方式,为了加以辨识,这里将该区域称为安全区域。在得到所有的设备和连接方式后,根据每台设备的具体信息和其之间的连接方式生成网络拓扑。
计算机连接的方式叫做“网络拓扑结构”(Network Topology)。其中,网络拓扑是指用传输媒体互连各种设备的物理布局,特别是计算机分布的位置以及电缆如何通过它们。设计一个网络的时候,应根据自己的实际情况选择正确的拓扑方式。每种拓扑都有它自己的优点和缺点。
拓扑是一种不考虑物体的大小、形状等物理属性,而仅仅使用点或者线描述多个物体实际位置与关系的抽象表示方法。拓扑不关心事物的细节,也不在乎相互的比例关系,而只是以图的形式表示一定范围内多个物体之间的相互关系。
S202:根据网络拓扑界定安全区域内的所有网络设备。
在得到上述的网络拓扑后,界定该安全区域内的所有网络设备,界定网络设备是指确定属于上述预置的acl配置文件所应该保护的所有网络设备,即明确该acl配置文件所需要保护的范围。
这里的网络设备包括该安全区域内的网络终端设备,如联网的个人电脑;网络设备还包括隶属与上述路由器或防火墙的其他路由器。
S203:根据acl配置文件对网络设备进行核对。
在确定出acl配置文件所需保护的范围后,利用该预置的acl配置文件对所有网络设备进行核对,即核对每台网络设备是否处于该acl配置文件的有效保护之下。
例如:该acl配置文件配置的用户保护范围为1.2.3.0,但是因业务范围扩大到1.2.0.0网段,如果网管不做调整的话,超出1.2.3.0的范围的网络设备就得不到保护。
在核对时,对acl配置文件的文件数据与所有网络设备的地址进行核对,在核对过程中,判断有没有超出该acl配置文件的地址,如果有,则确定出现acl保护缺失。
S204:如果存在acl配置文件没有包含的网络设备,向用户报警。
即通过上面的核对后,发现预置的acl配置文件没有对所有网络设备进行保护,例如在上面的示例中扩展后的业务范围为1.2.0.0,而acl配置文件只包保护了1.2.3.0内的网络设备,此时就会存在acl配置文件中没有包含的网络设备,为了向用户提示及时进行保护,此时向用户报告出现acl保护缺失,用于提示用户及时对acl配置文件进行重新配置。
S205:检查每条acl配置文件是否符合预设的安全规范。
这里的安全规范除去技术层面的安全规范外,还包括企业标准中规定的安全规范,即应用该网络设备的企业自己所制定的安全规范,以避免本企业的网络受到外部恶意攻击。
这里的安全规范包括不允许ssh、不允许ping、不允许明文、禁止syn、禁止icmp和禁止usrf,也可以在安全规范中包括上述项目中的部分项目。具体内容如下:
配置说明:
配置Telnet/SSH、Console以及通过GE电口作为管理口登录的认证方式,提高设备的安全性。
规范要求:
●考虑安全性,在非信任域必须使用SSH登录,对于用户与设备之间存在跳板机的情况,可以配置跳板机通过Telnet方式登录设备,用户直接登录设备必须采用SSH方式;
●设置Telnet用户的验证方式为AAA认证;
●设置SSH用户登录的验证方式为AAA认证,设备采用SSHv2版本,并使用DSA密钥对;
●设置Console用户的验证方式为AAA认证。配置示例:
(1)配置Telnet用户认证方式(可以配置跳板机通过Telnet方式登录设备,用户直接登录设备必须采用SSH方式)
(2)配置SSH用户认证方式
(3)配置Console用户认证方式
配置注意细节:
在非信任域必须使用SSH登录,对于用户与设备之间存在跳板机的情况,可以配置跳板机通过Telnet方式登录设备,但用户直接登录设备必须采用SSH方式。
对于华为ME60设备,缺省情况下,用户界面仅支持Telnet协议。
配置AAA认证时,为防止被锁到AAA服务器外,必须先配置本地AAA账号。
检查步骤:
扫描设备配置。
预期结果和判定原则:
(1)配置VTY用户登录的验证方式为AAA认证。(错误)
检查语句user-interface vty所在段落authentication-mode语句中是否包含“aaa”字段。如果不是,则错误,并报告“没有配置VTY用户登录的验证方式为AAA验证”。
(2)VTY用户界面的用户编号与最大配置VTY数目一致,保证所有VTY用户通过AAA方式验证。(告警)
检查user-interface vty first-number last-number语句中,vty用户界面数是否为最大允许vty数,即命令行“user-interface maximum-vty number”中的number值,其中,vty用户界面个数=后一个数字-前一个数字+1。如果小于number值,则错误,并报告“VTY用户界面的用户编号与最大配置VTY数目不一致,不能保证所有VTY用户通过AAA方式验证。”
如果本台设备配置中至少存在两条命令行中包含关键字“user-interface vty”,那么只要存在一条命令行“user-interface vty first-number last-number”,其中,vty用户界面个数=后一个数字-前一个数字+1,vty用户界面个数大于或者等于number值,则不考虑其他“user-interface vty first-number last-number”命令行中的VTY用户界面个数是否小于number值,都认为正确。
(3)VTY用户必须通过SSH方式登录。(告警)
检查语句user-interface vty所在段落是否配置了“protocol inbound ssh”语句。如果没有配置该语句并且没有配置命令行“protocol inbound all”,则错误,并报告“VTY用户通过Telnet方式登录”;如果配置为“protocol inbound all”,也错误,并报告“VTY用户可能通过Telnet方式登录,规范要求VTY用户必须通过SSH方式登录”;如果配置了“protocol inbound all”,同时在aaa视图下,存在某个“username”,该“username”所在命令行“local-user username service-type”中有关键字“telnet”(如果在aaa视图下不存在“local-user user-name”命令行,但在关键字“local-aaa-server”所在段落中存在关键字“user user-name”,那么在关键字“local-aaa-server”所在段落中查找user username所在命令行中是否包含关键字authentication-type,并且该authentication-type后的关键字中包含大写字母“T”)则错误,并报告“VTY用户username(要求用命令行中真实的username替换此处的username)可能通过Telnet方式登录,规范要求VTY用户必须通过SSH方式登录。”。
如上描述中,“;”后的第二种情况是“;”前第一种情况的特例,仅在本核查项中,如果两种情况都存在,要求也输出第一种情况的报告内容。
(4)SSH用户登录使用DSA密钥。(告警)
如果步骤(3)正确的情况下,检查是否配置了“dsa local-key-pair create”语句,如果没有配置则错误,并报告“SSH用户登录没有使用DSA密钥”。
(5)Console用户的验证方式为AAA认证。(错误)
检查语句user-interface con 0所在段落authentication-mode语句中是否包含“aaa”字段。如果不是,则错误,并报告“没有配置Console用户登录的验证方式为AAA认证。”。
S206:当有acl配置文件不符合安全规范时报告acl保护缺失。
经过上面的核对,如果存在某条acl配置文件不符合相应的安全规范时,向用户报告acl保护缺失,以便用户及时进行处置,即重新对相应的acl配置文件进行配置。
从上述技术方案可以看出,本实施例提供了一种安全策略的检查方法,该方法应用于路由器,具体为通过遍历路由器所服务的安全区域生成网络拓扑;根据网络拓扑界定安全区域内的所有网络设备;根据路由器上预置的acl配置文件对所有网络设备进行核对;如果存在acl配置文件没有包含的网络设备,则向用户报告acl保护缺失;另外,对每条acl配置文件是否符合预设的安全规范进行检查;如存在不符合安全规范的acl配置文件,则报告acl保护缺失。用户在得到acl保护缺失报告后,可以及时对acl配置文件进行重新配置,从而避免因为人为失误导致部分用户得不到安全保障的问题。
实施例三
图3为本申请提供的一种安全策略的检查系统实施例的结构框图。
如图3所示,本实施例提供的安全策略检查系统用于对路由器或者防火墙的安全配置是否全面,以避免因出现漏洞而对用户的安全造成威胁。这里安全配置是否全面是指路由器或者防火墙所配置的acl配置或者acl配置文件是否包含了所有的业务网段,具体的安全策略检查系统包括拓扑生成模块10、设备界定模块20、设备核对模块30和第一缺失报告模块40。
拓扑生成模块用于通过遍历所有设备的方法生成网络拓扑。
遍历即对该路由器或防火墙所服务的区域内所有设备进行查找和核对,即查找到该区域内所有的设备和其连接方式,为了加以辨识,这里将该区域称为安全区域。在得到所有的设备和连接方式后,根据每台设备的具体信息和其之间的连接方式生成网络拓扑。
计算机连接的方式叫做“网络拓扑结构”(Network Topology)。其中,网络拓扑是指用传输媒体互连各种设备的物理布局,特别是计算机分布的位置以及电缆如何通过它们。设计一个网络的时候,应根据自己的实际情况选择正确的拓扑方式。每种拓扑都有它自己的优点和缺点。
拓扑是一种不考虑物体的大小、形状等物理属性,而仅仅使用点或者线描述多个物体实际位置与关系的抽象表示方法。拓扑不关心事物的细节,也不在乎相互的比例关系,而只是以图的形式表示一定范围内多个物体之间的相互关系。
设备界定模块用于根据网络拓扑界定安全区域内的所有网络设备。
在得到上述的网络拓扑后,界定该安全区域内的所有网络设备,界定网络设备是指确定属于上述预置的acl配置文件所应该保护的所有网络设备,即明确该acl配置文件所需要保护的范围。
这里的网络设备包括该安全区域内的网络终端设备,如联网的个人电脑;网络设备还包括隶属与上述路由器或防火墙的其他路由器。
设备核对模块用于根据acl配置文件对网络设备进行核对。
在确定出acl配置文件所需保护的范围后,利用该预置的acl配置文件对所有网络设备进行核对,即核对每台网络设备是否处于该acl配置文件的有效保护之下。
例如:该acl配置文件配置的用户保护范围为1.2.3.0,但是因业务范围扩大到1.2.0.0网段,如果网管不做调整的话,超出1.2.3.0的范围的网络设备就得不到保护。
该模块包括地址核对单元(未示出)和缺失判断单元(未示出),在核对时,地址核对单元用于对acl配置文件的文件数据与所有网络设备的地址进行核对,在核对过程中,缺失判断单元用于判断有没有超出该acl配置文件的地址,如果有,则确定出现acl保护缺失。
第一缺失报告模块用于如果存在acl配置文件没有包含的网络设备,向用户报警。
即通过上面的核对后,发现预置的acl配置文件没有对所有网络设备进行保护,例如在上面的示例中扩展后的业务范围为1.2.0.0,而acl配置文件只包保护了1.2.3.0内的网络设备,此时就会存在acl配置文件中没有包含的网络设备,为了向用户提示及时进行保护,此时向用户报告出现acl保护缺失,用于提示用户及时对acl配置文件进行重新配置。
从上述技术方案可以看出,本实施例提供了一种安全策略的检查系统,该系统应用于路由器,具体为通过遍历路由器所服务的安全区域生成网络拓扑;根据网络拓扑界定安全区域内的所有网络设备;根据路由器上预置的acl配置文件对所有网络设备进行核对;如果存在acl配置文件没有包含的网络设备,则向用户报告acl保护缺失。用户在得到acl保护缺失报告后,可以及时对acl配置文件进行重新配置,从而避免因为人为失误导致部分用户得不到安全保障的问题。
实施例四
图4为本申请提供的另一种安全策略的检查系统实施例的结构框图。
如图4所示,本实施例提供的安全策略检查系统是在上一实施例的基础上增设了文件检查模块50和第二缺失报告模块60。
文件检查模块用于检查每条acl配置文件是否符合预设的安全规范。
这里的安全规范除去技术层面的安全规范外,还包括企业标准中规定的安全规范,即应用该网络设备的企业自己所制定的安全规范,以避免本企业的网络受到外部恶意攻击。
这里的安全规范包括不允许ssh、不允许ping、不允许明文、禁止syn、禁止icmp和禁止usrf,也可以在安全规范中包括上述项目中的部分项目。
第二缺失报告模块用于当有acl配置文件不符合安全规范时报告acl保护缺失。
经过上面的核对,如果存在某条acl配置文件不符合相应的安全规范时,向用户报告acl保护缺失,以便用户及时进行处置,即重新对相应的acl配置文件进行配置。
从上述技术方案可以看出,本实施例提供了一种安全策略的检查系统,该系统应用于路由器,具体为通过遍历路由器所服务的安全区域生成网络拓扑;根据网络拓扑界定安全区域内的所有网络设备;根据路由器上预置的acl配置文件对所有网络设备进行核对;如果存在acl配置文件没有包含的网络设备,则向用户报告acl保护缺失;另外,对每条acl配置文件是否符合预设的安全规范进行检查;如存在不符合安全规范的acl配置文件,则报告acl保护缺失。用户在得到acl保护缺失报告后,可以及时对acl配置文件进行重新配置,从而避免因为人为失误导致部分用户得不到安全保障的问题。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种安全策略的检查方法,应用于路由器,其特征在于,所述检查方法包括步骤:
通过遍历所述路由器所服务的安全区域生成网络拓扑;
根据所述网络拓扑界定所述安全区域内的所有网络设备;
根据所述路由器上预置的acl配置文件对所有所述网络设备进行核对;
如果存在所述acl配置文件没有包含的网络设备,则向用户报告acl保护缺失。
2.如权利要求1所述的检查方法,其特征在于,所述网络设备包括核心路由器、防火墙次级路由器和网络终端设备。
3.如权利要求1所述的检查方法,其特征在于,所述根据所述路由器上预置的acl配置文件对所有所述网络设备进行核对,包括:
对所述acl配置文件与所述网络设备的地址进行核对;
判断是否存在没有被所述acl配置文件所包含的地址。
4.如权利要求1~3任一项所述的检查方法,其特征在于,还包括步骤:
检查每条acl配置文件是否符合预设的安全规范;
如存在不符合所述安全规范的acl配置文件,则报告acl保护缺失。
5.如权利要求4所述的检查方法,其特征在于,所述安全规范包括不允许ssh、不允许ping、不允许明文、禁止syn、禁止icmp和禁止usrf中的部分或全部。
6.一种安全策略的检查系统,应用于路由器,其特征在于,所述检查系统包括:
拓扑生成模块,用于通过遍历所述路由器所服务的安全区域生成网络拓扑;
设备界定模块,用于根据所述网络拓扑界定所述安全区域内的所有网络设备;
设备核对模块,用于根据所述路由器上预置的acl配置文件对所有所述网络设备进行核对;
第一缺失报告模块,用于如果存在所述acl配置文件没有包含的网络设备,则向用户报告acl保护缺失。
7.如权利要求6所述的检查系统,其特征在于,所述网络设备包括核心路由器、防火墙、次级路由器和网络终端设备。
8.如权利要求6所述的检查系统,其特征在于,所述设备核对模块包括:
地址核对单元,用于对所述acl配置文件与所述网络设备的地址进行核对;
缺失判断单元,用于判断是否存在没有被所述acl配置文件所包含的地址。
9.如权利要求6~8任一项所述的检查系统,其特征在于,还包括:
文件检查模块,用于检查每条acl配置文件是否符合预设的安全规范;
第二缺失报告模块,用于如存在不符合所述安全规范的acl配置文件,则报告acl保护缺失。
10.如权利要求9所述的检查系统,其特征在于,所述安全规范包括不允许ssh、不允许ping、不允许明文、禁止syn、禁止icmp和禁止usrf中的部分或全部。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710954443.8A CN107508716A (zh) | 2017-10-13 | 2017-10-13 | 一种安全策略的检查方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710954443.8A CN107508716A (zh) | 2017-10-13 | 2017-10-13 | 一种安全策略的检查方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107508716A true CN107508716A (zh) | 2017-12-22 |
Family
ID=60701656
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710954443.8A Pending CN107508716A (zh) | 2017-10-13 | 2017-10-13 | 一种安全策略的检查方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107508716A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115514675A (zh) * | 2022-09-19 | 2022-12-23 | 北京威努特技术有限公司 | 一种网络架构合规性的自动检查方法与装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140359693A1 (en) * | 2013-06-03 | 2014-12-04 | International Business Machines Corporation | Coordinated network security management |
| CN104506351A (zh) * | 2014-12-18 | 2015-04-08 | 北京随方信息技术有限公司 | 在线全自动配置合规性安全审计方法及系统 |
| CN105099733A (zh) * | 2014-05-04 | 2015-11-25 | 北京神州泰岳信息安全技术有限公司 | 安全管控平台中设备安全管理的方法和系统 |
| CN105871908A (zh) * | 2016-05-30 | 2016-08-17 | 北京琵琶行科技有限公司 | 企业网络边界设备访问控制策略的管控方法及装置 |
-
2017
- 2017-10-13 CN CN201710954443.8A patent/CN107508716A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140359693A1 (en) * | 2013-06-03 | 2014-12-04 | International Business Machines Corporation | Coordinated network security management |
| CN105099733A (zh) * | 2014-05-04 | 2015-11-25 | 北京神州泰岳信息安全技术有限公司 | 安全管控平台中设备安全管理的方法和系统 |
| CN104506351A (zh) * | 2014-12-18 | 2015-04-08 | 北京随方信息技术有限公司 | 在线全自动配置合规性安全审计方法及系统 |
| CN105871908A (zh) * | 2016-05-30 | 2016-08-17 | 北京琵琶行科技有限公司 | 企业网络边界设备访问控制策略的管控方法及装置 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115514675A (zh) * | 2022-09-19 | 2022-12-23 | 北京威努特技术有限公司 | 一种网络架构合规性的自动检查方法与装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Potteiger et al. | Software and attack centric integrated threat modeling for quantitative risk assessment | |
| US9319424B2 (en) | Methods and systems for complying with network security requirements | |
| US20120079107A1 (en) | System and Method for Interfacing with Heterogeneous Network Data Gathering Tools | |
| CN103634786A (zh) | 一种无线网络的安全检测和修复的方法与系统 | |
| CN105991595A (zh) | 网络安全防护方法及装置 | |
| Huluka et al. | Root cause analysis of session management and broken authentication vulnerabilities | |
| CN106899561A (zh) | 一种基于acl的tnc权限控制方法和系统 | |
| ITTO20130513A1 (it) | Sistema e metodo per il filtraggio di messaggi elettronici | |
| Dees et al. | Enhancing Infrastructure Security in Real Estate | |
| Goni | Implementation of Local Area Network (lan) And Build A Secure Lan System For Atomic Energy Research Establishment (AERE) | |
| Morais et al. | A model-based attack injection approach for security validation | |
| CN107508716A (zh) | 一种安全策略的检查方法和系统 | |
| EP3783514A1 (en) | A system and a method for automated cyber-security risk control | |
| AlZadjali et al. | An analysis of the security threats and vulnerabilities of cloud computing in oman | |
| CN105656937A (zh) | 一种基于深度内容解析的http协议数据防外泄方法及系统 | |
| CN108347411B (zh) | 一种统一安全保障方法、防火墙系统、设备及存储介质 | |
| Androulidakis et al. | Imeca-based technique for security assessment of private communications: Technology and training | |
| Rocha | Cybersecurity analysis of a SCADA system under current standards, client requisites, and penetration testing | |
| Khondoker et al. | Addressing industry 4.0 security by software-defined networking | |
| Kim et al. | A Framework for managing user-defined security policies to support network security functions | |
| Wei et al. | emphaSSL: towards emphasis as a mechanism to harden networking security in android apps | |
| Hadaad et al. | Protecting services from security mis-configuration | |
| Astudillo | Wireless Hacking 101 | |
| Djambazova et al. | Emerging and future cyber threats to critical systems | |
| Onshus et al. | Ict security and independence |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20171222 |
|
| RJ01 | Rejection of invention patent application after publication |