CN109104399A - 一种安全策略规则配置方法及装置 - Google Patents
一种安全策略规则配置方法及装置 Download PDFInfo
- Publication number
- CN109104399A CN109104399A CN201711184806.0A CN201711184806A CN109104399A CN 109104399 A CN109104399 A CN 109104399A CN 201711184806 A CN201711184806 A CN 201711184806A CN 109104399 A CN109104399 A CN 109104399A
- Authority
- CN
- China
- Prior art keywords
- security
- destination server
- rule
- strategy rule
- firewall
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种安全策略规则配置方法及装置,该方法包括:对所述目标服务器进行安全评估,以得到所述目标服务器的安全评估结果;将所述安全评估结果上报给云安全服务器,以使所述云安全服务器根据所述安全评估结果生成针对所述目标服务器的安全策略规则;接收所述云安全服务器下发的所述安全策略规则,并根据所述安全策略规则对所述目标服务器进行安全防护处理。应用本发明实施例可以提高安全策略规则的配置效率以及安全策略规则的针对性,进而,提高安全防护的精准度,优化安全防护的效果。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种安全策略规则配置方法及装置。
背景技术
防火墙是一种位于内部网络与外部网络之间的网络安全系统,其由软件和硬件设备组合而成,在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。
目前,防火墙主要是通过根据所配置安全策略规则对经过防火墙的报文进行匹配的方式来实现对保护网络的防护。
然而实践发现,现有防火墙中的所配置的安全策略规则为静态安全策略规则,其主要由用户或者专业工程师根据经验手动配置,安全策略规则配置效率较差;此外,安全策略规则配置之后,无法随着系统使用过程中产生的变化进行自动调整,安全防护的效果较差。
发明内容
本发明提供一种安全策略规则配置方法及装置,以解决现有安全策略规则配置方案中安全策略规则配置效率较差以及安全防护的效果较差的问题。
根据本发明实施例的第一方面,提供一种安全策略规则配置方法,应用于防火墙,该方法包括:
对所述目标服务器进行安全评估,以得到所述目标服务器的安全评估结果;
将所述安全评估结果上报给云安全服务器,以使所述云安全服务器根据所述安全评估结果生成针对所述目标服务器的安全策略规则;
接收所述云安全服务器下发的所述安全策略规则,并根据所述安全策略规则对所述目标服务器进行安全防护处理。
根据本发明实施例的第二方面,提供一种安全策略规则配置方法,应用于云安全服务器,该方法包括:
接收防火墙发送的目标服务器的安全评估结果;
根据所述安全评估结果生成针对所述目标服务器的安全策略规则;
向所述防火墙下发所述安全策略规则,以使所述防火墙根据所述安全策略规则对所述目标服务器进行安全防护处理。
根据本发明实施例的第三方面,提供一种安全策略规则配置装置,应用于防火墙,该装置包括:
安全评估单元,用于对所述目标服务器进行安全评估,以得到所述目标服务器的安全评估结果;
发送单元,用于将所述安全评估结果上报给云安全服务器,以使所述云安全服务器根据所述安全评估结果生成针对所述目标服务器的安全策略规则;
接收单元,用于接收所述云安全服务器下发的所述安全策略规则;
安全防护单元,用于根据所述安全策略规则对所述目标服务器进行安全防护处理。
根据本发明实施例的四方面,提供一种安全策略规则配置装置,应用于云安全服务器,该装置包括:
接收单元,用于接收防火墙发送的目标服务器的安全评估结果;
生成单元,用于根据所述安全评估结果生成针对所述目标服务器的安全策略规则;
发送单元,用于向所述防火墙下发所述安全策略规则,以使所述防火墙根据所述安全策略规则对所述目标服务器进行安全防护处理。
应用本发明实施例,通过对目标服务器进行安全评估,以得到目标服务器的安全评估结果,并将目标服务器的安全评估结果上报给云安全服务器,由云安全服务器根据目标服务器的安全评估结果生成针对目标服务器的安全策略规则;接收云安全服务器下发的针对目标服务器的安全策略规则,并根据该安全策略规则对目标服务器进行安全防护处理,提高了安全策略规则的配置效率以及安全策略规则的针对性,进而,提高了安全防护的精准度,优化了安全防护的效果。
附图说明
图1是本发明实施例提供的一种安全防护系统的架构的示意图;
图2是本发明实施例提供的一种安全策略规则配置方法的流程示意图;
图3是本发明实施例提供的一种安全策略规则配置方法的流程示意图;
图4是本发明实施例提供的一种具体应用场景的架构示意图;
图5是本发明实施例提供的一种安全策略规则配置装置的结构示意图;
图6是本发明实施例提供的一种安全策略规则配置装置的结构示意图;
图7是本发明实施例提供的一种安全策略规则配置装置的结构示意图;
图8是本发明实施例提供的一种安全策略规则配置装置的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,下面先对本发明实施例适用的组网架构进行简单说明。
请参见图1,为本发明实施例提供的一种安全防护系统的架构示意图,如图1所示,该安全防护系统除了可以包括需要安全防护的服务器以及防火墙之外,还可以包括云安全服务器。
在图1所示的安全防护系统中,防火墙可以按照预设策略对需要安全防护的服务器进行安全评估,并将安全评估结果上报给云安全服务器;云安全服务器可以根据防火墙上报的安全评估结果生成对应的安全策略规则,并下发给防火墙,进而,防火墙可以根据云安全服务器下发的安全策略规则对需要进行安全防护的服务器进行安全防护处理。
需要说明的是,在本发明实施例中,防火墙上的安全策略规则除了可以由云安全服务器下发之后,仍然也可以由用户手动配置,其具体实现与现有防火墙中的安全策略规则配置实现相同,本发明实施例对此不做赘述。
为便于理解,下文中将防火墙上由云安全服务器下发的安全策略规则称为动态安全策略规则,用户手动配置的安全策略规则称为静态安全策略规则。
为了使本发明实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明实施例中技术方案作进一步详细的说明。
请参见图2,为本发明实施例提供的一种安全策略规则配置方法的流程示意图,其中,该安全策略规则配置方法可以应用于图1所示的安全防护系统中的防火墙,如图2所示,该安全策略规则配置方法可以包括以下步骤:
步骤201、对目标服务器进行安全评估,以得到目标服务器的安全评估结果。
本发明实施例中,目标服务器并不特指某一固定的服务器,而是可以指代图1所示的安全防护系统中的任意一个或多个需要安全防护的服务器,本发明实施例后续不再复述。
本发明实施例中,为了实现安全策略规则的动态下发,防火墙可以对需要安全防护的服务器进行安全评估,并将安全评估结果上报给云安全服务器,由云安全服务器根据安全评估结果进行安全策略规则的生成和下发。
在本发明其中一个实施例中,上述对目标服务器进行安全评估,可以包括:
当到达预设的安全评估时间时,对目标服务器进行安全评估。
在该实施例中,可以预先设定防火墙对目标服务器进行安全评估的时间,以便防火墙能够定时对目标安全服务器进行安全评估。
例如,可以在防火墙中设置对应目标服务器的安全评估定时器,当安全评估定时器超时时,防火墙可以确定到达预设的安全评估时间,确定需要对目标服务器进行安全评估,此时,防火墙可以重置该安全评估定时器,并对目标服务器进行安全评估。
需要说明的时,在本发明实施例中,当目标服务器存在多个时,可以对应多个目标服务器设置统一的安全评估定时器,也可以分别为不同的目标服务器设置单独的安全评估定时器;其中,当存在多个安全评估定时器时,各安全评估定时器的超时时间可以相同也可以不同。
在本发明另一个实施例中,上述对目标服务器进行安全评估,可以包括:
当接收到目标服务器的安全评估请求时,对目标服务器进行安全评估。
在该实施例中,目标服务器可以按照预设策略向防火墙发送安全评估请求,以请求防火墙对目标服务器进行安全评估。
例如,目标服务器可以在检测到新的软件安装或软件更新任务时,向防火墙发送安全评估请求。
可选地,在该实施例中,可以通过在目标服务器中安装对应防火墙的安全插件,该安全插件用于对目标服务器进行监测,当满足特定条件(如检测到新的软件安装或软件更新)时,触发目标服务器向防火墙发送安全评估请求。
在该实施例中,当防火墙接收到目标服务器的安全评估请求时,防火墙可以确定需要对目标服务器进行安全评估。
应该认识到,上述实施例描述的对目标服务器进行安全评估的触发条件仅仅是本发明实施例中对目标服务器进行安全评估的触发条件的两种示例,而并不是对本发明保护范围的限定,例如,可以同时使用上述两个方式触发防火墙对目标服务器的安全评估,防火墙启动安全评估定时器之后,若安全评估定时器超时之前,接收到目标服务器发送的安全评估请求,则重置安全评估定时器,并对目标服务器进行安全评估;若未接收到目标服务器发送的安全评估请求,则防火墙可以在安全评估定时器超时时,重置安全评估定时器,并对目标服务器进行安全评估,其具体实现在此不做赘述。
本发明实施例中,防火墙对目标服务器进行安全评估可以包括但不限于判断目标服务器是否存在以下问题:
健康风险(如CPU使用率、内存使用率等是否超过预设安全警戒值)、安全风险、安全漏洞,恶意软件等。
其中,当通过安全评估确定目标服务器存在的问题之后,可以进一步确定引发问题的原因,如由操作系统引起的,还是由指定软件引起的。
相应地,防火墙向云安全服务器上报的安全评估结果可以包括目标服务器存在的问题,以及引起问题的原因等。
步骤202、将安全评估结果上报给云安全服务器,以使云安全服务器根据安全评估结果生成针对目标服务器的安全策略规则。
本发明实施例中,防火墙对目标服务器进行安全评估之后,可以将安全评估结果(包括但不限于目标服务器的CPU利用率、内存利用率、网卡带宽利用率、执行的任务列表等)上报给云安全服务器。
云安全服务器接收到防火墙上报的安全评估结果之后,可以根据该安全评估结果生成针对目标服务器的安全策略规则,其具体实现可以参见图3所示的方法流程,本发明实施例在此不做赘述。
步骤203、接收云安全服务器下发的安全策略规则,并根据该安全策略规则对目标服务器进行安全防护处理。
本发明实施例中,云安全服务器生成针对目标服务器的安全策略规则之后,可以将生成的安全策略规则下发给防火墙。
防火墙接收到云安全服务器下发的安全策略规则时,可以根据该安全策略规则对目标服务器进行安全防护处理。
可见,在图2所示的方法流程中,通过防火墙对目标服务器进行安全评估,并将安全评估结果上报给云安全服务器,由云安全服务器根据安全评估结果生成针对目标服务器的安全策略规则,并下发给防火墙,进而,防火墙根据云安全服务器下发的安全策略规则对目标服务器进行安全防护处理,实现了安全策略规则的动态生成和下发,提高了安全策略规则的配置效率,且提高了安全策略规则的针对性,进而,提高了安全防护的精准度,优化了安全防护的效果。
在本发明其中一个实施例中,上述根据该安全策略规则对目标服务器进行安全防护处理,可以包括:
判断本地已有的针对目标服务器的其它安全策略规则中是否存在与该安全策略规则发生冲突的目标安全策略规则;
若不存在,则根据该安全策略规则对目标服务器进行安全防护处理;
若存在,且目标安全策略规则为云安全服务器下发的安全策略规则时,使用该安全策略规则替换目标安全策略规则,并使用该安全策略规则对目标服务器进行安全防护处理;
若存在,且目标安全策略规则为静态安全策略规则时,输出提示信息,该提示信息用于提示选择是否替换静态安全策略规则;当接收到响应该提示信息输入的替换静态安全策略规则的指令时,使用该安全策略规则替换目标安全策略规则,并使用该安全策略规则对目标服务器进行安全防护处理;否则,确定该安全策略规则无效。
在该实施例中,考虑到云安全服务器下发的安全策略规则可能会与防火墙上针对同一目标服务器的其它安全策略规则存在冲突,进而,可能会导致防火墙根据云安全服务器下发的安全策略规则对目标服务器进行安全防护处理时发生异常。因此,为了避免防火墙上针对目标服务器的安全策略规则之间发生冲突,防火墙接收到云安全服务器下发的安全策略规则时,需要进行防冲突处理。
相应地,在该实施例中,防火墙接收到云安全服务器下发的安全策略规则时,需要比较该安全策略规则和本地已有的针对目标服务器的其它安全策略规则,以判断本地已有的针对目标服务器的其它安全策略规则中是否存在与云安全服务器下发的该安全策略规则发生冲突的其它安全策略规则(本文中称为目标安全策略规则)。
若防火墙确定本地不存在与云安全服务器下发的该安全策略规则发生冲突的目标安全策略规则,则防火墙可以直接根据云安全服务器下发的该安全策略规则对目标服务器进行安全防护处理。
若防火墙确定本地存在与云安全服务器下发的该安全策略规则发生冲突的目标安全策略规则,则防火墙需要进一步判断该目标安全策略规则是动态安全策略规则,还是静态安全策略规则。
若目标安全策略规则为动态安全策略规则,即目标安全策略规则也是由云安全服务器下发的,则防火墙可以直接进行安全策略规则的替换,即使用云安全服务器下发的该安全策略规则替换目标安全策略规则,并使用云安全服务器下发的该安全策略规则对目标服务器进行安全防护处理。
若目标安全策略故障为静态安全策略规则,即目标安全策略规则为用户手动配置的安全策略规则,则防火墙可以输出提示信息,由用户选择是否替换静态安全策略规则,进而,当接收到响应该提示信息输入的替换静态安全策略规则的指令时,使用云安全服务器下发的该安全策略规则替换目标安全策略规则,并使用云安全服务器下发的该安全策略规则对目标服务器进行安全防护处理;否则,即接收到响应该提示信息输入的不替换静态安全策略规则的指令,或者,在预设时间内未接收到响应该提示信息输入的指令,防火墙可以确定云安全服务器下发的该安全策略规则无效。
进一步地,在本发明实施例中,防火墙对目标服务器进行的安全评估还可以包括安全漏洞扫描,并当扫描到安全漏洞时,控制目标服务器进行漏洞补丁安装,以进一步地提高安全防护的可靠性。
相应地,在本发明其中一个实施例中,上述对目标服务器进行安全评估之后,还可以包括:
当确定目标服务器中存在安全漏洞时,向云安全服务器发送携带安全漏洞的标识信息的补丁获取请求;
接收云安全服务器发送的漏洞补丁文件,并在目标安全服务器中安装该漏洞补丁文件。
在该实施例中,当防火墙确定目标服务器中存在安全漏洞时,防火墙可以向云安全服务器发送携带安全漏洞的标识信息(即漏洞ID)的补丁获取请求;云安全服务器接收到该补丁获取请求之后,可以根据其中携带的漏洞ID查找对应的漏洞补丁文件,并将查找到的漏洞补丁文件下发给防火墙。防火墙接收到云安全服务器发送的漏洞补丁文件时,可以在目标服务器中安装该漏洞补丁文件。
例如,假设目标服务器中安装有对应防火墙的安全插件,则防火墙可以将该漏洞补丁文件发送给目标服务器中的安全插件,由该安全插件在目标服务器中安装该漏洞补丁文件。
需要说明的是,在本发明实施例中,若防火墙对目标服务器进行安全评估后,发现的安全漏洞为未知安全漏洞,或者,防火墙根据目标服务器中的安全漏洞的标识信息未获取到对应的漏洞补丁文件时,防火墙可以进行告警处理,如生成安全告警日志,以提示用户(如管理员)目标服务器中存在无法自动修复的安全漏洞,其具体实现在此不做赘述。
请参见图3,为本发明实施例提供的一种安全策略规则配置方法的流程示意图,其中,该安全策略规则配置方法可以应用于图1所示的安全防护系统中的云安全服务器,如图3所示,该安全策略规则配置方法可以包括以下步骤:
步骤301、接收防火墙发送的目标服务器的安全评估结果。
本发明实施例中,防火墙对目标服务器进行安全评估,并向云安全服务器上报目标服务器的安全评估结果的具体实现可以参见图2所示方法流程中的相关描述,本发明实施例在此不再赘述。
步骤302、根据目标服务器的安全评估结果生成针对目标服务器的安全策略规则。
本发明实施例中,云安全服务器接收到防火墙上报的目标服务器的安全评估结果时,可以根据目标服务器的安全评估结果按照预设策略生成针对目标服务器的安全策略规则。
在本发明其中一个实施例中,上述根据目标服务器的安全评估结果生成针对目标服务器的安全策略规则,可以包括:
对目标服务器的安全评估结果进行分类,以确定目标服务器的安全评估结果所属的类别;
根据目标服务器的安全评估结果所属的类别查询预先配置的安全策略规则模板,以确定与目标服务器的安全评估结果所属的类别对应的目标安全策略规则模板;
根据目标安全策略规则模板生成针对目标服务器的安全策略规则。
在该实施例中,可以预先将安全评估可能出现的各种结果按照预设策略划分为多个不同的类别,并分别对应不同类别设置安全策略规则模板。
当云安全服务器接收到防火墙上报的目标服务器的安全评估结果时,云安全服务器可以按照预设策略对目标服务器的安全评估结果进行分类,以确定目标服务器的安全评估结果所属的类别。
云安全服务器确定了目标服务器的安全评估结果所属的类别之后,可以根据该安全评估结果所属的类别查询预先配置的安全策略规则模板,以确定与目标服务器的安全评估结果所属的类别对应的安全策略规则模板(本文中称为目标安全策略规则模板)。
云安全服务器查询到目标安全策略规则模板之后,可以根据目标安全策略模板生成针对目标服务器的安全策略规则。
举例来说,仍以步骤201中所举示例为例,可以预先针对健康风险、安全风险、安全漏洞以及恶意软件等问题分别配置对应的安全策略模板集合,每个安全策略模板集合中可以包括针对不同引起问题的原因的安全策略模板。
云安全服务器接收到防火墙上报的安全评估结果之后,可以根据存在的问题查询匹配的安全策略模板集合,并根据引起问题的原因进一步在安全策略模板集合中查询匹配的安全策略模板(即目标安全策略模板),进而,可以根据查询到的目标安全策略模板生成针对目标服务器的安全策略规则。
步骤303、向防火墙下发针对目标服务器的安全策略规则,以使防火墙根据该安全策略规则对目标服务器进行安全防护处理。
本发明实施例中,云安全服务器生成了针对目标服务器的安全策略规则之后,可以将所生成的安全策略规则下发给防火墙,由防火墙根据该安全策略规则对目标服务器进行安全防护处理。
其中,防火墙根据云服务器下发的针对目标服务器的安全策略规则对目标服务器进行安全防护处理的具体实现可以参见图2所示方法流程中的相关描述,本发明实施例在此不再赘述。
进一步地,本发明实施例中,防火墙对目标服务器进行的安全评估还可以包括安全漏洞扫描,当防火墙发现目标服务器中存在安全漏洞时,还可以向云安全服务器发送补丁获取请求,以获取漏洞补丁文件。
相应地,在本发明其中一个实施例中,上述安全策略规则配置方法还可以包括:
接收防火墙发送的携带安全漏洞的标识信息的补丁获取请求;
根据该安全漏洞的标识信息查询对应的漏洞补丁文件;
将查询到的漏洞补丁文件发送给防火墙。
在该实施例中,防火墙向云安全服务器发送补丁获取请求的具体实现可以参见图2所示方法流程中的相关描述,本发明实施例在此不再赘述。
在该实施例中,云安全服务器接收到防火墙发送的补丁获取请求时,可以根据该补丁获取请求中携带的安全漏洞的标识信息查询对应的漏洞补丁文件,并将查询到的漏洞补丁文件发送给防火墙,由防火墙在目标服务器中安装该漏洞补丁文件。
为了使本领域技术人员更好地理解本发明实施例提供的技术方案,下面结合具体应用场景对本发明实施例提供的技术方案进行说明。
请参见图4,为本发明实施例提供的一种具体应用场景的架构示意图,如图4所示,该应用场景可以包括云安全服务器、防火墙、以及多个需要安全防护的服务器(即服务器1~服务器N)。
基于图4所示的应用场景,本发明实施例提供的安全策略配置方案实现流程如下:
1、开启防火墙,在防火墙上配置静态安全策略规则,用于防火墙的正常运行;
在该实施例中,防火墙仍然支持静态安全策略规则的配置,即用户(如管理员)可以根据需求在防火墙中配置静态安全策略规则,以使防火墙根据该静态安全策略规则对服务器1~服务器N进行安全防护处理;
2、开启防火墙的安全评估功能,并指定需要安全评估的服务器的IP地址,并保证防火墙与该服务器的IP地址路由可达;
在该实施例中,为了提高本发明实施例提供的方案的可控性,并兼容现有安全防护系统,可以在防火墙中增加安全评估功能开启或关闭选项,管理员可以通过特定指令控制防火墙开启或关闭安全评估功能。当防火墙的安全评估功能开启时,需要指定需要安全评估的服务器的IP地址,并保证防火墙与该服务器IP地址路由可达;
在该实施例中,以服务器1需要进行安全评估为例。
3、向服务器1推送安全插件,并在服务器1上安装该安全插件;
其中,该安全插件的功能包括对服务器1的CPU利用率、内存利用率、网卡带宽利用率、执行的任务列表等进行监测,对服务器1上新的软件安装或软件更新任务进行监测,执行漏洞补丁文件安装等;
4、当防火墙上预设的安全评估定时器超时,或者,防火墙接收到服务器1发送的安全评估请求时,对服务器1进行安全评估,并将安全评估结果上报给云安全服务器;
在该实施例中,可以在防火墙上设置安全评估定时器,并将该安全评估定时器的初始时间设置为intervalTime(间隔时间),当安全评估定时器的时间为0时,确定安全评估定时器超时。
在该实施例中,当安全插件监测到服务器1上有新的软件安装或软件更新任务时,触发服务器1向防火墙发送安全评估请求。
在该实施例中,防火墙启动安全评估定时器之后,可以判断是否在超时之前接收到服务器1发送的安全评估请求,若接收到,则重置安全评估定时器,并对服务器1进行安全评估;否则,防火墙可以在安全评估定时器超时时,对服务器1进行安全评估,并重置安全评估定时器。
其中,服务器1的安全评估结果可以包括服务器1的CPU利用率、内存利用率、网卡带宽利用率、执行的任务列表等,其可以由防火墙通过安全插件获得;
5、云安全服务器对服务器1的安全评估结果进行分类,并根据服务器1的安全评估结果所属的类别确定对应的安全策略模板(假设为安全策略模板1);云安全服务器根据安全策略模板1生成针对服务器1的安全策略规则,并下发给防火墙;
6、防火墙接收到云安全服务器发送的针对服务器1的安全策略规则(假设为安全策略规则1)时,判断本地已有的其它安全策略规则中是否存在与安全策略规则1发生冲突的安全策略规则(本文中称为安全策略规则2);
i、若不存在安全策略规则2,则防火墙确定安全策略规则1有效,并根据安全策略规则1对服务器1进行安全防护处理;
ii、若存在安全策略规则2,且安全策略规则2为动态安全策略规则,则防火墙可以使用安全策略规则1替换安全策略规则2,并根据安全策略规则1对服务器1进行安全防护处理;
iii、若存在安全策略规则2,且安全策略规则2为静态安全策略规则,则防火墙可以输出提示信息,该提示信息用于提示选择是否使用安全策略规则1替换安全策略规则2;当接收到响应该提示信息输入的使用安全策略规则1替换安全策略规则2的指令时,使用安全策略规则1替换安全策略规则2,并根据安全策略规则1对服务器1进行安全防护处理;当接收到响应该提示信息输入的不使用安全策略规则1替换安全策略规则2的指令,或者,在预设时间内(如5秒、10秒等)未接收到响应该提示信息输入的指令时,确定安全策略规则1无效。
7、当防火墙对服务器1进行安全评估时发现了安全漏洞时,防火墙向云安全服务器发送携带漏洞ID的补丁获取请求;
8、云安全服务器接收补丁获取请求,并根据其中携带的漏洞ID查询对应的漏洞补丁文件,并将查询到的漏洞补丁文件发送给防火墙;
9、防火墙接收到漏洞补丁文件,并将该漏洞补丁文件发送给服务器1上的安全插件,由安全插件在服务器1中安装该漏洞补丁文件。
通过以上描述可以看出,在本发明实施例提供的技术方案中,通过对目标服务器进行安全评估,以得到目标服务器的安全评估结果,并将目标服务器的安全评估结果上报给云安全服务器,由云安全服务器根据目标服务器的安全评估结果生成针对目标服务器的安全策略规则;接收云安全服务器下发的针对目标服务器的安全策略规则,并根据该安全策略规则对目标服务器进行安全防护处理,提高了安全策略规则的配置效率以及安全策略规则的针对性,进而,提高了安全防护的精准度,优化了安全防护的效果。
请参见图5,为本发明实施例提供的一种安全策略规则配置装置的结构示意图,其中,该装置可以应用于上述方法实施例中所描述的防火墙,如图5所示,该装置可以包括:
安全评估单元510,用于对所述目标服务器进行安全评估,以得到所述目标服务器的安全评估结果;
发送单元520,用于将所述安全评估结果上报给云安全服务器,以使所述云安全服务器根据所述安全评估结果生成针对所述目标服务器的安全策略规则;
接收单元530,用于接收所述云安全服务器下发的所述安全策略规则;
安全防护单元540,用于根据所述安全策略规则对所述目标服务器进行安全防护处理。
在可选实施例中,所述安全评估单元510,具体用于当到达预设的安全评估时间时,对目标服务器进行安全评估;或,当接收到目标服务器的安全评估请求时,对所述目标服务器进行安全评估。
在可选实施例中,所述安全防护单元540,具体用于判断本地已有的针对所述目标服务器的其它安全策略规则中是否存在与所述安全策略规则发生冲突的目标安全策略规则;
若不存在,则根据所述安全策略规则对所述目标服务器进行安全防护处理;
若存在,且所述目标安全策略规则为所述云安全服务器下发的安全策略规则时,使用所述安全策略规则替换所述目标安全策略规则,并使用所述安全策略规则对所述目标服务器进行安全防护处理;
若存在,且所述目标安全策略规则为静态安全策略规则时,输出提示信息,所述提示信息用于提示选择是否替换静态安全策略规则;当接收到响应所述提示信息输入的替换静态安全策略规则的指令时,使用所述安全策略规则替换所述目标安全策略规则,并使用所述安全策略规则对所述目标服务器进行安全防护处理;否则,确定所述安全策略规则无效。
在可选实施例中,所述安全评估单元510,具体用于对所述目标服务器进行安全漏洞扫描;
所述发送单元520,还用于当所述安全评估单元510确定所述目标服务器中存在安全漏洞时,向所述云安全服务器发送携带所述安全漏洞的标识信息的补丁获取请求;
所述接收单元530,还用于接收所述云安全服务器发送的漏洞补丁文件;
所述安全防护单元540,还用于在所述目标服务器中安全所述漏洞补丁文件。
请参见图6,为本发明实施例提供的一种安全策略规则配置装置的结构示意图,其中,该装置可以应用于上述方法实施例中所描述的云安全服务器,如图6所示,该装置可以包括:
接收单元610,用于接收防火墙发送的目标服务器的安全评估结果;
生成单元620,用于根据所述安全评估结果生成针对所述目标服务器的安全策略规则;
发送单元630,用于向所述防火墙下发所述安全策略规则,以使所述防火墙根据所述安全策略规则对所述目标服务器进行安全防护处理。
请一并参见图7,为本发明实施例提供的另一种安全策略规则配置装置的结构示意图,如图7所示,在图6所示的安全策略规则配置装置的基础上,图7所示的安全策略规则配置装置还包括:
分类单元640,用于对所述安全评估结果进行分类,以确定所述安全评估结果所属的类别;
第一查询单元650,用于根据所述安全评估结果所属的类别查询预先配置的安全策略规则模板,以确定与所述安全评估结果所属的类别对应的目标安全策略规则模板;
所述生成单元630,具体用于根据所述目标安全策略规则模板生成针对所述目标服务器的安全策略规则。
请一并参见图8,为本发明实施例提供的另一种安全策略规则配置装置的结构示意图,如图8所示,在图6所示的安全策略规则配置装置的基础上,图8所示的安全策略规则配置装置还包括:
所述接收单元610,还用于接收所述防火墙发送的携带安全漏洞的标识信息的补丁获取请求;
所述装置还包括:
第二查询单元660,用于根据所述安全漏洞的标识信息查询对应的漏洞补丁文件;
所述发送单元630,还用于将查询到的漏洞补丁文件发送给所述防火墙。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
由上述实施例可见,通过对目标服务器进行安全评估,以得到目标服务器的安全评估结果,并将目标服务器的安全评估结果上报给云安全服务器,由云安全服务器根据目标服务器的安全评估结果生成针对目标服务器的安全策略规则;接收云安全服务器下发的针对目标服务器的安全策略规则,并根据该安全策略规则对目标服务器进行安全防护处理,提高了安全策略规则的配置效率以及安全策略规则的针对性,进而,提高了安全防护的精准度,优化了安全防护的效果。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本发明的其它实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明的真正范围和精神由下面的权利要求指出。
应当理解的是,本发明并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。
Claims (14)
1.一种安全策略规则配置方法,其特征在于,应用于防火墙,该方法包括:
对所述目标服务器进行安全评估,以得到所述目标服务器的安全评估结果;
将所述安全评估结果上报给云安全服务器,以使所述云安全服务器根据所述安全评估结果生成针对所述目标服务器的安全策略规则;
接收所述云安全服务器下发的所述安全策略规则,并根据所述安全策略规则对所述目标服务器进行安全防护处理。
2.根据权利要求1所述的方法,其特征在于,对所述目标服务器进行安全评估,包括:
当到达预设的安全评估时间时,对目标服务器进行安全评估;或,
当接收到目标服务器的安全评估请求时,对所述目标服务器进行安全评估。
3.根据权利要求1所述的方法,其特征在于,所述根据所述安全策略规则对所述目标服务器进行安全防护处理,包括:
判断本地已有的针对所述目标服务器的其它安全策略规则中是否存在与所述安全策略规则发生冲突的目标安全策略规则;
若不存在,则根据所述安全策略规则对所述目标服务器进行安全防护处理;
若存在,且所述目标安全策略规则为所述云安全服务器下发的安全策略规则时,使用所述安全策略规则替换所述目标安全策略规则,并使用所述安全策略规则对所述目标服务器进行安全防护处理;
若存在,且所述目标安全策略规则为静态安全策略规则时,输出提示信息,所述提示信息用于提示选择是否替换静态安全策略规则;当接收到响应所述提示信息输入的替换静态安全策略规则的指令时,使用所述安全策略规则替换所述目标安全策略规则,并使用所述安全策略规则对所述目标服务器进行安全防护处理;否则,确定所述安全策略规则无效。
4.根据权利要求1所述的方法,其特征在于,所述对目标服务器进行安全评估,包括:
对所述目标服务器进行安全漏洞扫描;
所述对所述目标服务器进行安全评估之后,还包括:
当确定所述目标服务器中存在安全漏洞时,向所述云安全服务器发送携带所述安全漏洞的标识信息的补丁获取请求;
接收所述云安全服务器发送的漏洞补丁文件,并在所述目标服务器中安全所述漏洞补丁文件。
5.一种安全策略规则配置方法,其特征在于,应用于云安全服务器,该方法包括:
接收防火墙发送的目标服务器的安全评估结果;
根据所述安全评估结果生成针对所述目标服务器的安全策略规则;
向所述防火墙下发所述安全策略规则,以使所述防火墙根据所述安全策略规则对所述目标服务器进行安全防护处理。
6.根据权利要求5所述的方法,其特征在于,所述根据所述安全评估结果生成针对所述目标服务器的安全策略规则,包括:
对所述安全评估结果进行分类,以确定所述安全评估结果所属的类别;
根据所述安全评估结果所属的类别查询预先配置的安全策略规则模板,以确定与所述安全评估结果所属的类别对应的目标安全策略规则模板;
根据所述目标安全策略规则模板生成针对所述目标服务器的安全策略规则。
7.根据权利要求5所述的方法,其特征在于,所述方法还包括:
接收所述防火墙发送的携带安全漏洞的标识信息的补丁获取请求;
根据所述安全漏洞的标识信息查询对应的漏洞补丁文件;
将查询到的漏洞补丁文件发送给所述防火墙。
8.一种安全策略规则配置装置,其特征在于,应用于防火墙,该装置包括:
安全评估单元,用于对所述目标服务器进行安全评估,以得到所述目标服务器的安全评估结果;
发送单元,用于将所述安全评估结果上报给云安全服务器,以使所述云安全服务器根据所述安全评估结果生成针对所述目标服务器的安全策略规则;
接收单元,用于接收所述云安全服务器下发的所述安全策略规则;
安全防护单元,用于根据所述安全策略规则对所述目标服务器进行安全防护处理。
9.根据权利要求8所述的装置,其特征在于,
所述安全评估单元,具体用于当到达预设的安全评估时间时,对目标服务器进行安全评估;或,当接收到目标服务器的安全评估请求时,对所述目标服务器进行安全评估。
10.根据权利要求8所述的装置,其特征在于,
所述安全防护单元,具体用于判断本地已有的针对所述目标服务器的其它安全策略规则中是否存在与所述安全策略规则发生冲突的目标安全策略规则;
若不存在,则根据所述安全策略规则对所述目标服务器进行安全防护处理;
若存在,且所述目标安全策略规则为所述云安全服务器下发的安全策略规则时,使用所述安全策略规则替换所述目标安全策略规则,并使用所述安全策略规则对所述目标服务器进行安全防护处理;
若存在,且所述目标安全策略规则为静态安全策略规则时,输出提示信息,所述提示信息用于提示选择是否替换静态安全策略规则;当接收到响应所述提示信息输入的替换静态安全策略规则的指令时,使用所述安全策略规则替换所述目标安全策略规则,并使用所述安全策略规则对所述目标服务器进行安全防护处理;否则,确定所述安全策略规则无效。
11.根据权利要求8所述的装置,其特征在于,
所述安全评估单元,具体用于对所述目标服务器进行安全漏洞扫描;
所述发送单元,还用于当所述安全评估单元确定所述目标服务器中存在安全漏洞时,向所述云安全服务器发送携带所述安全漏洞的标识信息的补丁获取请求;
所述接收单元,还用于接收所述云安全服务器发送的漏洞补丁文件;
所述安全防护单元,还用于在所述目标服务器中安全所述漏洞补丁文件。
12.一种安全策略规则配置装置,其特征在于,应用于云安全服务器,该装置包括:
接收单元,用于接收防火墙发送的目标服务器的安全评估结果;
生成单元,用于根据所述安全评估结果生成针对所述目标服务器的安全策略规则;
发送单元,用于向所述防火墙下发所述安全策略规则,以使所述防火墙根据所述安全策略规则对所述目标服务器进行安全防护处理。
13.根据权利要求12所述的装置,其特征在于,所述装置还包括:
分类单元,用于对所述安全评估结果进行分类,以确定所述安全评估结果所属的类别;
第一查询单元,用于根据所述安全评估结果所属的类别查询预先配置的安全策略规则模板,以确定与所述安全评估结果所属的类别对应的目标安全策略规则模板;
所述生成单元,具体用于根据所述目标安全策略规则模板生成针对所述目标服务器的安全策略规则。
14.根据权利要求12所述的装置,其特征在于,
所述接收单元,还用于接收所述防火墙发送的携带安全漏洞的标识信息的补丁获取请求;
所述装置还包括:
第二查询单元,用于根据所述安全漏洞的标识信息查询对应的漏洞补丁文件;
所述发送单元,还用于将查询到的漏洞补丁文件发送给所述防火墙。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711184806.0A CN109104399A (zh) | 2017-11-23 | 2017-11-23 | 一种安全策略规则配置方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711184806.0A CN109104399A (zh) | 2017-11-23 | 2017-11-23 | 一种安全策略规则配置方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109104399A true CN109104399A (zh) | 2018-12-28 |
Family
ID=64796528
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711184806.0A Pending CN109104399A (zh) | 2017-11-23 | 2017-11-23 | 一种安全策略规则配置方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109104399A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110944005A (zh) * | 2019-12-10 | 2020-03-31 | 杭州安恒信息技术股份有限公司 | 一种基于应用层防火墙的防御方法、装置、设备、介质 |
| CN112241535A (zh) * | 2020-10-20 | 2021-01-19 | 福建奇点时空数字科技有限公司 | 一种基于流量数据分析的服务器安全策略配置方法 |
| CN112291249A (zh) * | 2020-10-30 | 2021-01-29 | 绿盟科技集团股份有限公司 | 一种安全策略处理方法、装置、介质和设备 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101321173A (zh) * | 2008-07-21 | 2008-12-10 | 华为技术有限公司 | 一种防止网络攻击的方法、系统及装置 |
| CN103023707A (zh) * | 2012-12-28 | 2013-04-03 | 华为技术有限公司 | 一种策略配置的方法、管理服务器以及网络系统 |
| CN104519016A (zh) * | 2013-09-29 | 2015-04-15 | 中国电信股份有限公司 | 防火墙自动防御分布式拒绝服务攻击的方法和装置 |
| CN104601530A (zh) * | 2013-10-31 | 2015-05-06 | 中兴通讯股份有限公司 | 云安全服务的实现方法及系统 |
| CN105592052A (zh) * | 2015-09-10 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种防火墙规则配置方法及装置 |
| US20160191466A1 (en) * | 2014-12-30 | 2016-06-30 | Fortinet, Inc. | Dynamically optimized security policy management |
| CN105847236A (zh) * | 2016-03-15 | 2016-08-10 | 北京网御星云信息技术有限公司 | 一种防火墙安全策略配置方法和装置、以及防火墙 |
| US20170078329A1 (en) * | 2015-09-11 | 2017-03-16 | International Business Machines Corporation | Automatically validating enterprise firewall rules and provisioning firewall rules in computer systems |
-
2017
- 2017-11-23 CN CN201711184806.0A patent/CN109104399A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101321173A (zh) * | 2008-07-21 | 2008-12-10 | 华为技术有限公司 | 一种防止网络攻击的方法、系统及装置 |
| CN103023707A (zh) * | 2012-12-28 | 2013-04-03 | 华为技术有限公司 | 一种策略配置的方法、管理服务器以及网络系统 |
| CN104519016A (zh) * | 2013-09-29 | 2015-04-15 | 中国电信股份有限公司 | 防火墙自动防御分布式拒绝服务攻击的方法和装置 |
| CN104601530A (zh) * | 2013-10-31 | 2015-05-06 | 中兴通讯股份有限公司 | 云安全服务的实现方法及系统 |
| US20160191466A1 (en) * | 2014-12-30 | 2016-06-30 | Fortinet, Inc. | Dynamically optimized security policy management |
| CN105592052A (zh) * | 2015-09-10 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种防火墙规则配置方法及装置 |
| US20170078329A1 (en) * | 2015-09-11 | 2017-03-16 | International Business Machines Corporation | Automatically validating enterprise firewall rules and provisioning firewall rules in computer systems |
| CN105847236A (zh) * | 2016-03-15 | 2016-08-10 | 北京网御星云信息技术有限公司 | 一种防火墙安全策略配置方法和装置、以及防火墙 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110944005A (zh) * | 2019-12-10 | 2020-03-31 | 杭州安恒信息技术股份有限公司 | 一种基于应用层防火墙的防御方法、装置、设备、介质 |
| CN112241535A (zh) * | 2020-10-20 | 2021-01-19 | 福建奇点时空数字科技有限公司 | 一种基于流量数据分析的服务器安全策略配置方法 |
| CN112291249A (zh) * | 2020-10-30 | 2021-01-29 | 绿盟科技集团股份有限公司 | 一种安全策略处理方法、装置、介质和设备 |
| CN112291249B (zh) * | 2020-10-30 | 2023-09-22 | 绿盟科技集团股份有限公司 | 一种安全策略处理方法、装置、介质和设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109076063B (zh) | 在云环境中保护动态和短期虚拟机实例 | |
| US10637888B2 (en) | Automated lifecycle system operations for threat mitigation | |
| US11747799B2 (en) | Industrial control system and network security monitoring method therefor | |
| CA2968327C (en) | Systems and methods for malicious code detection accuracy assurance | |
| US9276945B2 (en) | Method and system for providing security aware applications | |
| US11316877B2 (en) | Intrusion detection system enrichment based on system lifecycle | |
| CN104219218B (zh) | 一种主动安全防御的方法及装置 | |
| US20160205116A1 (en) | Method and system for virtual security isolation | |
| EP3476101B1 (en) | Method, device and system for network security | |
| EP3132349A1 (en) | Method and system for providing self-monitoring, self-reporting, and self-repairing virtual assets in a cloud computing environment | |
| CN109104399A (zh) | 一种安全策略规则配置方法及装置 | |
| EP3035636B1 (en) | Computer defenses and counterattacks | |
| US20200186429A1 (en) | Determining violation of a network invariant | |
| Kim et al. | Modbus monitoring for networked control systems of cyber-defensive architecture | |
| CN111510431B (zh) | 一种泛终端准入管控平台、客户端及管控方法 | |
| Zhang et al. | Securing the Internet of Things: Need for a New Paradigm and Fog Computing | |
| US11870815B2 (en) | Security of network traffic in a containerized computing environment | |
| JP7278561B2 (ja) | マシンラーニングセルフチェック機能を利用する非対面認証基盤ウェブファイアウォールメンテナンス方法および装置 | |
| US20230328078A1 (en) | System and method for counteracting effects of improper network traffic | |
| US11863586B1 (en) | Inline package name based supply chain attack detection and prevention | |
| Takemori et al. | Detection of bot infected PC using destination-based IP address and domain name whitelists | |
| EP3113440A1 (en) | Self-managed network security measures | |
| JP2006178762A (ja) | Pc検疫システム及びpc検疫方法 | |
| WO2023194701A1 (en) | Security of network traffic in a containerized computing environment | |
| KR20140102502A (ko) | 트래픽 제어 방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20181228 |