CN109413020B - 一种防火墙的策略配置方法和装置 - Google Patents

一种防火墙的策略配置方法和装置 Download PDF

Info

Publication number
CN109413020B
CN109413020B CN201810400504.0A CN201810400504A CN109413020B CN 109413020 B CN109413020 B CN 109413020B CN 201810400504 A CN201810400504 A CN 201810400504A CN 109413020 B CN109413020 B CN 109413020B
Authority
CN
China
Prior art keywords
data packet
firewall
data packets
session
policy configuration
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810400504.0A
Other languages
English (en)
Other versions
CN109413020A (zh
Inventor
孙祥明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing anbotong Jin'an Technology Co.,Ltd.
Original Assignee
Wuhan Sipuling Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wuhan Sipuling Technology Co Ltd filed Critical Wuhan Sipuling Technology Co Ltd
Priority to CN201810400504.0A priority Critical patent/CN109413020B/zh
Publication of CN109413020A publication Critical patent/CN109413020A/zh
Application granted granted Critical
Publication of CN109413020B publication Critical patent/CN109413020B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请实施例公开了一种防火墙的策略配置方法和装置,其中,所述方法包括:获取预设通过时间内通过防火墙的各个数据包的会话信息;根据会话信息,确定各个数据包关于防火墙的策略配置标准;比较各个数据包的策略配置参数与策略配置标准,根据比较结果配置所述各个数据包的策略建议;根据所述会话信息包含的会话参数对各个数据包进行分类,将策略建议相同,并且会话参数相同的数据包分为一类,获取其中的目标类型数据包;根据目标类型数据包的策略建议与会话参数,配置相应的防火墙策略。采用前述方法或装置能够在获取会话信息后,根据会话信息配置相应的防火墙策略,提高了防火墙策略的配置效率。

Description

一种防火墙的策略配置方法和装置
技术领域
本申请涉及防火墙技术领域,尤其涉及一种防火墙的策略配置方法和装置。
背景技术
防火墙是一种应用广泛的网络安全技术,通常部署在不同网域之间,参见图1,为防火墙的应用场景示意图。防火墙能够根据预先配置的防火墙策略,对到达防火墙的各个数据包进行过滤。其中,如果防火墙策略中对某一数据包执行的动作是拒绝通过,就将该数据包拦截在防火墙之外,因此能够滤除可疑数据包;如果防火墙策略中对某一数据包执行的动作是允许通过,就允许该数据包通过防火墙,因此能够将合法数据包从防火墙处放行,从而达到保护网络和用户资源的目的。
另外,在网络环境的日常运维中,如果需要在两个网域之间,如在局域网和因特网之间部署新的防火墙,则需要为该防火墙配置防火墙策略。在现有的防火墙策略配置方法中,管理员往往首先设定该防火墙的防火墙策略为拒绝所有数据包通过防火墙,当根据业务需求,确定某一数据包需要通过该防火墙时,管理员再根据这一业务需求手动添加允许该数据包通过的防火墙策略,并将该防火墙策略配置于防火墙,从而使该数据包能够通过防火墙。例如,在局域网与因特网之间部署有防火墙,管理员得知有访问局域网的业务需求,如有来自源IP地址为1.1.*.*的数据包,需要对局域网内部进行访问,根据该业务需求,管理员需要新增一条防火墙策略,如允许源IP地址为1.1.*.*的数据包通过防火墙,并将该防火墙策略配置于防火墙。
但是,发明人在本申请的研究过程中发现,当需要为防火墙配置防火墙策略时,现有的防火墙策略配置方法中,只有在管理员得知具体的业务需求,确定某一数据包需要通过防火墙后,才能根据该业务需求,为防火墙增加并配置新的防火墙策略,配置防火墙策略的效率较低。
发明内容
本申请提供了一种防火墙的策略配置方法和装置,以解决现有的防火墙策略配置方法效率较低这一问题。
第一方面,本申请实施例部分提供了一种防火墙的策略配置方法,所述方法包括:
获取预设通过时间内通过防火墙的各个数据包的会话信息;
根据所述各个数据包的会话信息,确定所述各个数据包关于所述防火墙的策略配置标准;
比较所述各个数据包的策略配置参数与所述策略配置标准,根据比较结果配置所述各个数据包的策略建议,其中,若所述数据包的策略配置参数不小于所述策略配置标准,确定所述数据包的策略建议为允许通过防火墙,若所述数据包的策略配置参数小于所述策略配置标准,确定所述数据包的策略建议为拒绝通过防火墙;
根据所述会话信息包含的会话参数对所述各个数据包进行分类,将策略建议相同,并且所述会话参数相同的数据包分为一类,获取其中的目标类型数据包;
根据所述目标类型数据包的策略建议与所述会话参数,配置相应的防火墙策略。
结合第一方面,在一种实现方式中,根据所述各个数据包的会话信息,确定所述各个数据包的策略配置标准,包括:
根据所述各个数据包的会话信息,获取所述各个数据包的会话信息中的上行流量和下行流量;
根据所述各个数据包的上行流量和下行流量,确定流量阈值,将所述流量阈值作为策略配置标准。
结合第一方面,在一种实现方式中,根据所述各个数据包的会话信息,确定所述各个数据包的策略配置标准,包括:
根据所述各个数据包的会话信息,获取所述各个数据包的访问次数;
根据所述各个数据包的访问次数,确定访问频率阈值,将所述访问频率阈值作为策略配置标准。
结合第一方面,在一种实现方式中,所述获取其中的目标类型数据包,包括:
在根据所述会话信息包含的会话参数对所述各个数据包进行分类之后,获取每一类数据包对应的相同的会话参数的数量;
根据所述每一类数据包对应的相同的会话参数的数量,获取其中的目标类型数据包,其中,所述目标类型数据包对应的相同会话参数的数量为所述会话参数的数量的最大值。
结合第一方面,在一种实现方式中,所述获取其中的目标类型数据包,包括:
在根据所述会话信息包含的会话参数对所述各个数据包进行分类之后,获取每一类数据包对应的相同的会话参数的数量;
根据所述每一类数据包对应的相同的会话参数的数量,设定所述会话参数的数量阈值;
根据所述每一类数据包对应的相同的会话参数的数量,获取其中的目标类型数据包,其中,所述目标类型数据包对应的相同会话参数的数量大于或等于所述会话参数的数量阈值。
结合第一方面,在一种实现方式中,所述获取其中的目标类型数据包,包括:
在根据所述会话信息包含的会话参数对所述各个数据包进行分类之后,获取每一类数据包中包含的数据包的数量;
根据所述每一类数据包中包含的数据包的数量,确定数据包的数量阈值;
根据所述每一类数据包中包含的数据包的数量,获取其中的目标类型数据包,其中,所述目标类型数据包中包含的数据包的数量大于或等于所述数据包的数量阈值。
第二方面,本申请实施例部分提供了一种防火墙的策略配置装置,所述装置包括:
获取模块,用于获取预设通过时间内通过防火墙的各个数据包的会话信息;
确定模块,用于根据所述各个数据包的会话信息,确定所述各个数据包关于所述防火墙的策略配置标准;
策略建议配置模块,用于比较所述各个数据包的策略配置参数与所述策略配置标准,根据比较结果配置所述各个数据包的策略建议,其中,若所述数据包的策略配置参数不小于所述策略配置标准,确定所述数据包的策略建议为允许通过防火墙,若所述数据包的策略配置参数小于所述策略配置标准,确定所述数据包的策略建议为拒绝通过防火墙;
分类模块,用于根据所述会话信息包含的会话参数对所述各个数据包进行分类,将策略建议相同,并且所述会话参数相同的数据包分为一类,获取其中的目标类型数据包;
防火墙策略配置模块,用于根据所述目标类型数据包的策略建议与所述会话参数,配置相应的防火墙策略。
结合第二方面,在一种实现方式中,所述确定模块,包括:
第一获取单元,用于根据所述各个数据包的会话信息,获取所述各个数据包的会话信息中的上行流量和下行流量;
第一标准确定单元,用于根据所述各个数据包的上行流量和下行流量,确定流量阈值,将所述流量阈值作为策略配置标准。
结合第二方面,在一种实现方式中,所述确定模块,包括:
第二获取单元,用于根据所述各个数据包的会话信息,获取所述各个数据包的访问次数;
第二标准确定单元,用于根据所述各个数据包的访问次数,确定访问频率阈值,将所述访问频率阈值作为策略配置标准。
结合第二方面,在一种实现方式中,所述分类模块,包括:
第一数量获取单元,用于在根据所述会话信息包含的会话参数对所述各个数据包进行分类之后,获取每一类数据包对应的相同的会话参数的数量;
第一数据包获取单元,用于根据所述每一类数据包对应的相同的会话参数的数量,获取其中的目标类型数据包,其中,所述目标类型数据包对应的相同会话参数的数量为所述会话参数的数量的最大值。
结合第二方面,在一种实现方式中,所述分类模块,包括:
第二数量获取单元,用于在根据所述会话信息包含的会话参数对所述各个数据包进行分类之后,获取每一类数据包对应的相同的会话参数的数量;
第一阈值设定单元,用于根据所述每一类数据包对应的相同的会话参数的数量,设定所述会话参数的数量阈值;
第二数据包获取单元,用于根据所述每一类数据包对应的相同的会话参数的数量,获取其中的目标类型数据包,其中,所述目标类型数据包对应的相同会话参数的数量大于或等于所述会话参数的数量阈值。
结合第二方面,在一种实现方式中,所述分类模块,包括:
第三数量获取单元,用于在根据所述会话信息包含的会话参数对所述各个数据包进行分类之后,获取每一类数据包中包含的数据包的数量;
第二阈值设定单元,用于根据所述每一类数据包中包含的数据包的数量,确定数据包的数量阈值;
第三数据包获取单元,用于根据所述每一类数据包中包含的数据包的数量,获取其中的目标类型数据包,其中,所述目标类型数据包中包含的数据包的数量大于或等于所述数据包的数量阈值。
由以上技术方案可知,本申请实施例提供的一种防火墙的策略配置方法和装置。其中,所述方法包括:获取预设通过时间内通过防火墙的各个数据包的会话信息;根据所述各个数据包的会话信息,确定所述各个数据包关于所述防火墙的策略配置标准;比较所述各个数据包的策略配置参数与所述策略配置标准,根据比较结果配置所述各个数据包的策略建议,其中,若所述数据包的策略配置参数不小于所述策略配置标准,确定所述数据包的策略建议为允许通过防火墙,若所述数据包的策略配置参数小于所述策略配置标准,确定所述数据包的策略建议为拒绝通过防火墙;根据所述会话信息包含的会话参数对所述各个数据包进行分类,将策略建议相同,并且所述会话参数相同的数据包分为一类,获取其中的目标类型数据包;根据所述目标类型数据包的策略建议与所述会话参数,配置相应的防火墙策略。
现有技术中,当需要为防火墙配置防火墙策略时,只有在管理员得知具体的业务需求,确定某一数据包需要通过防火墙后,才能根据该业务需求,为防火墙增加并配置新的防火墙策略,配置防火墙策略的效率较低。而采用前述方法或装置,能够在获取通过防火墙的各个数据包的会话信息后,根据所述会话信息配置防火墙策略,达到了根据两个网域之间的实际网络情况配置防火墙策略的效果,并且无需管理人员根据业务需求配置防火墙策略,因此,相对于现有技术,提升了配置防火墙策略的效率。
附图说明
为了更清楚地说明本申请的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是现有的防火墙的应用场景示意图;
图2是本申请实施例部分提供的一种防火墙策略的配置方法的工作流程示意图;
图3是本申请实施例部分提供的一种防火墙策略的配置方法中策略配置标准确定的工作流程示意图;
图4是本申请实施例部分提供的另一种防火墙策略的配置方法中策略配置标准确定的工作流程示意图;
图5是本申请实施例部分提供的一种防火墙策略的配置方法中目标数据包获取的工作流程示意图;
图6是本申请实施例部分提供的另一种防火墙策略的配置方法中目标数据包获取的工作流程示意图;
图7是本申请实施例部分提供的另一种防火墙策略的配置方法中目标数据包获取的工作流程示意图;
图8是本申请实施例部分提供的一种防火墙策略的配置装置的结构示意图。
具体实施方式
为使本申请的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本申请作进一步详细的说明。
本发明第一实施例公开一种防火墙的策略配置方法,本方法应用于防火墙,防火墙为部署在不同网域之间的一种网络安全技术,能够根据预先配置的防火墙策略,对到达防火墙的各个数据包进行过滤。其中,如果防火墙策略中对某一数据包执行的动作是拒绝通过,就将该数据包拦截在防火墙之外,因此能够滤除可疑数据包;如果防火墙策略中对某一数据包执行的动作是允许通过,就允许该数据包通过防火墙,因此能够将合法数据包从防火墙处放行,从而达到保护网络和用户资源的目的。
参照图2,是本申请实施例部分提供的一种防火墙策略的配置方法的工作流程示意图,包括以下步骤:
步骤101,获取预设通过时间内通过防火墙的各个数据包的会话信息。
本申请实施例中,在预设通过时间内,设置各个数据包能够通过防火墙,以便后续根据通过防火墙的各个数据包,为所述防火墙配置防火墙策略。其中,所述预设通过时间的具体数值根据实际应用需求限定,本申请对此不作限定。
这种情况下,需要采集预设通过时间内通过防火墙的各个数据包,这种情况下,可通过采集设备采集所述各个数据包,再由采集设备将采集到的各个数据包传输至防火墙,以便防火墙获取各个数据包的会话信息。本步骤中,如果所述防火墙支持数据包的镜像采集,将与采集设备相连的镜像口布置在所述防火墙上,也就是说,采集设备内置在防火墙中;如果所述防火墙不支持数据包的镜像采集,将与采集设备相连的镜像口布置在与所述防火墙相连的交换机上,也就是说,采集设备内置在交换机中。
通过获取预设通过时间内通过防火墙的各个数据包的会话信息,能够汇聚预设通过时间内所述各个数据包的会话信息,从而获取两个网域之间的实际网络情况,因此,与现有技术相比,本申请实施例部分提供的一种防火墙策略的配置方法,达到了根据两个网域之间的实际网络情况配置防火墙策略的目的。
步骤102,根据所述各个数据包的会话信息,确定所述各个数据包关于所述防火墙的策略配置标准。
本步骤中,所述策略配置标准,可以是根据所述各个数据包的会话信息确定的一个阈值。通过本步骤能够以所述策略配置标准为配置防火墙策略建议的依据,为后续准确地配置各个数据包的策略建议做准备。
步骤103,比较所述各个数据包的策略配置参数与所述策略配置标准,根据比较结果配置所述各个数据包的策略建议,其中,若所述数据包的策略配置参数不小于所述策略配置标准,确定所述数据包的策略建议为允许通过防火墙,若所述数据包的策略配置参数小于所述策略配置标准,确定所述数据包的策略建议为拒绝通过防火墙。
本步骤中,所述各个数据包的策略配置参数,可以是根据所述各个数据包的会话信息确定的参数。通过首先比较所述各个数据包的策略配置参数与所述策略配置标准,再根据比较结果配置所述各个数据包的策略建议,能够准确地配置各个数据包的策略建议。
步骤104,根据所述会话信息包含的会话参数对所述各个数据包进行分类,将策略建议相同,并且所述会话参数相同的数据包分为一类,获取其中的目标类型数据包。
本步骤中,所述会话信息包含的会话参数可以是所述会话信息中包含的四元组,即所述会话信息包含的会话参数可以是源IP地址、目的IP地址、端口号和协议。因此,所述会话参数相同的数据包,可以是所述各个数据包的源IP地址、目的IP地址和端口号协议中任意一种会话参数相同的数据包。当然,所述会话参数还可以为其他类型的参数,例如五元组等,本申请实施例对此不作限定。
其中,在分类时依据所述会话参数可以是一个具体的值,也可以是一个范围。例如,如果用于分类的会话参数为源IP地址,并且为一个具体的值,若两个数据包的源IP地址都是10.1.1.1,并且所述两个数据包的策略建议都为允许通过,那么所述两个数据包划分为一类数据包;如果用于分类的会话参数为源IP地址,并且为一个范围,若两个数据包的源IP地址都属于10.1.*.*这一范围,并且所述两个数据包的策略建议都为允许通过,那么所述两个数据包划分为一类数据包。
步骤105,根据所述目标类型数据包的策略建议与所述会话参数,配置相应的防火墙策略。
本步骤中,所述相应的防火墙策略包括目标类型数据包的策略建议与所述会话参数。
本发明实施例部分通过步骤101至步骤105公开了一种防火墙策略配制方法,该方法中,首先获取预设通过时间内通过防火墙的各个数据包的会话信息;然后根据所述各个数据包的会话信息,确定所述各个数据包关于所述防火墙的策略配置标准;在比较所述各个数据包的策略配置参数与所述策略配置标准,根据比较结果配置所述各个数据包的策略建议之后,根据所述会话信息包含的会话参数对所述各个数据包进行分类,将策略建议相同,并且所述会话参数相同的数据包分为一类,获取其中的目标类型数据包;最后根据所述目标类型数据包的策略建议与所述会话参数,配置相应的防火墙策略。
通过本发明实施例公开的一种防火墙策略配置方法,在获取预设通过时间内通过防火墙的各个数据包的会话信息后,能够根据所述会话信息,确定防火墙的策略配置标准,在根据策略配置参数与所述策略配置标准的比较结果配置各个数据的策略建议之后,根据所述会话信息包含的会话参数获取目标类型数据包,最后根据所述目标类型数据包和所述会话参数,配置相应的防火墙策略。因此,本发明实施例公开的方法,根据通过防火墙的数据包中的会话信息配置防火墙策略,能够以实际网络情况为依据配置防火墙策略,解决了现有的防火墙策略配置方法中,只有在管理员得知具体的业务需求,确定某一数据包需要通过防火墙后,才能根据该业务需求为防火墙增加并配置新的防火墙策略,从而导致配置防火墙策略的效率较低的问题。
本发明第二实施例公开一种防火墙策略配置方法中策略配置标准确定的方法,参照图3,是本申请实施例部分提供的一种防火墙策略配置方法中策略配置标准确定的工作流程示意图,根据所述各个数据包的会话信息,确定所述各个数据包的策略配置标准,包括以下步骤:
步骤201,根据所述各个数据包的会话信息,获取所述各个数据包的会话信息中的上行流量和下行流量。
本步骤中,所述上行流量为各个数据包发送的字节数,所述下行流量为各个数据包下载的字节数,通过获取所述各个数据包的会话信息中的上行流量和下行流量,能够得到所述各个数据包的流量信息。
步骤202,根据所述各个数据包的上行流量和下行流量,确定流量阈值,将所述流量阈值作为策略配置标准。
本步骤中,首先,根据所述各个数据包的上行流量和下行流量,能够得到所述各个数据包的流量信息,所述流量信息可以是所述各个数据包的上行流量和下行流量之和。其次,根据所述各个数据包的上行流量和下行流量,确定流量阈值,其中,所述确定流量阈值具体包括:先将所述各个数据包的流量信息进行排序,再根据排序结果确定流量阈值,最后将所述流量阈值作为策略配置标准。例如,可按照流量信息从大到小进行排序,将排序结果中的第N个流量信息作为流量阈值,N为预设的正整数,如N可以为5。
通过该步骤,能够以流量阈值为配置防火墙策略建议的依据,为后续准确地配置各个数据包的策略建议做准备。
本发明实施例部分通过步骤201至步骤202公开了一种防火墙的策略配置方法中策略配置标准确定方法,该方法中,首先根据所述各个数据包的会话信息,获取所述各个数据包的会话信息中的上行流量和下行流量,然后根据所述各个数据包的上行流量和下行流量,确定流量阈值,将所述流量阈值作为策略配置标准。
通过本发明实施例公开的一种防火墙的策略配置方法中策略配置标准确定方法能够根据各个数据包的流量信息,确定策略配置标准。因此,本发明实施例公开的方法,不仅解决了现有防火墙策略配置方法中配置效率低的问题,进一步还能够达到提升防火墙策略配置的准确性的效果。
本发明第三实施例公开一种防火墙策略配置方法中策略配置标准确定的方法,参照图4,是本申请实施例部分提供的另一种防火墙策略配置方法中策略配置标准确定的工作流程示意图,根据所述各个数据包的会话信息,确定所述各个数据包的策略配置标准,包括以下步骤:
步骤301,根据所述各个数据包的会话信息,获取所述各个数据包的访问次数。
本步骤中,所述各个数据包的会话信息至少包括四元组:源IP地址、目的IP地址、端口和协议,因此,所述访问次数可以是根据所述会话信息中任意一元组而确定的访问次数。此外,可以在获取预设通过时间内通过防火墙的各个数据包的会话信息后,通过与所述防火墙相应的计算命令获取所述访问次数。
步骤302,根据所述各个数据包的访问次数,确定访问频率阈值,将所述访问频率阈值作为策略配置标准。
本步骤中,首先,根据所述各个数据包的访问次数,能够得到所述各个数据包的访问频率信息。其次,根据所述各个数据包的访问次数,确定访问频率阈值,其中,所述确定访问频率阈值具体包括:先将所述各个数据包的访问频率信息进行排序,再根据排序结果确定访问频率阈值,最后,通过确定访问频率阈值,将所述访问频率阈值作为策略配置标准。例如,可按照访问频率信息从大到小进行排序,将排序结果中的第N个访问频率信息作为访问频率阈值,N为预设的正整数,如N可以为6。
通过该步骤,能够以访问频率阈值为配置防火墙策略建议的依据,为后续准确地配置各个数据包的策略建议做准备。
本发明实施例部分通过步骤301至步骤302公开了另一种防火墙的策略配置方法中策略配置标准确定方法,该方法中,首先根据所述各个数据包的会话信息,获取所述各个数据包的访问次数,然后根据所述各个数据包的访问次数,确定访问频率阈值,将所述访问频率阈值作为策略配置标准。
通过本发明实施例公开的另一种防火墙的策略配置方法中策略配置标准确定方法,能够根据各个数据包的访问频率信息,确定策略配置标准。因此,本发明实施例公开的方法,不仅解决了现有防火墙策略配置方法中配置效率低的问题,进一步还能够达到提升防火墙策略配置的准确性的效果。
本发明第四实施例公开一种防火墙策略配置方法中目标数据包的获取方法,参照图5,是本申请实施例部分提供的一种防火墙策略配置方法中目标数据包获取的工作流程示意图,所述获取其中的目标类型数据包,包括以下步骤:
步骤401,在根据所述会话信息包含的会话参数对所述各个数据包进行分类之后,获取每一类数据包对应的相同的会话参数的数量。
本步骤中,所述会话信息包含的会话参数可以是所述会话信息中包含的四元组,即所述会话信息包含的会话参数可以是源IP地址、目的IP地址、端口号和协议。因此,所述每一类数据包对应的相同的会话参数的数量,可以是一种或多种会话参数的数量,即所述获取每一类数据包对应的相同的会话参数的数量可以是1至4中的任一正整数。例如,当所述会话信息包含的会话参数是源IP地址、目的IP地址、端口号和协议时,在根据所述会话信息包含的会话参数对所述各个数据包进行分类之后,有一类数据包中的源IP地址、目的IP地址和端口号均相同,那么该类数据包中,相同的会话参数的数量为3。
步骤402,根据所述每一类数据包对应的相同的会话参数的数量,获取其中的目标类型数据包,其中,所述目标类型数据包对应的相同会话参数的数量为所述会话参数的数量的最大值。
本步骤中,所述会话信息包含的会话参数可以是所述会话信息中包含的四元组,即所述会话信息包含的会话参数可以是源IP地址、目的IP地址、端口号和协议。因此,所述会话信息包含的会话参数的数量的最大值根据会话参数的数量而确定,即所述会话参数的数量的最大值可以是1至4中的任一正整数。例如,当所述会话参数分别为源IP地址、目的IP地址、端口号和协议时,A类数据包中的源IP地址和目的IP地址均相同,B类数据包中的源IP地址、目的IP地址和端口号均相同,C类数据包中的源IP地址相同,由于A类数据包中相同会话参数的数量为2,B类数据包中相同会话参数的数量为3,C类数据包中相同会话参数的数量为1,应该以B类数据包作为目标类型数据包,为后续根据B类数据包的策略建议与会话参数配置相应的防火墙策略做准备。
本发明实施例部分通步骤401至步骤402公开了一种防火墙策略配置方法中目标数据包的获取方法,该方法中,首先在根据所述会话信息包含的会话参数对所述各个数据包进行分类之后,获取每一类数据包对应的相同的会话参数的数量,然后根据所述每一类数据包对应的相同的会话参数的数量,获取其中的目标类型数据包,其中,所述目标类型数据包对应的相同会话参数的数量为所述会话参数的数量的最大值。
通过本发明实施例公开的一种防火墙策略配置方法中目标数据包的获取方法,能够根据会话参数的数量获取目标类型数据包。因此,本发明实施例公开的方法,不仅解决了现有防火墙策略配置方法中配置效率低的问题,进一步还能够达到提升防火墙策略配置的准确性的效果。
本发明第五实施例公开一种防火墙策略配置方法中目标数据包的获取方法,参照图6,是本申请实施例部分提供的另一种防火墙策略配置方法中目标数据包获取的工作流程示意图,所述获取其中的目标类型数据包,包括以下步骤:
步骤501,在根据所述会话信息包含的会话参数对所述各个数据包进行分类之后,获取每一类数据包对应的相同的会话参数的数量。
本步骤中,所述会话信息包含的会话参数可以是所述会话信息中包含的四元组,即所述会话信息包含的会话参数可以是源IP地址、目的IP地址、端口号和协议。因此,所述每一类数据包对应的相同的会话参数的数量,可以是一种或多种会话参数的数量,即所述获取每一类数据包对应的相同的会话参数的数量可以是1至4中的任一正整数。例如,当所述会话信息包含的会话参数是源IP地址、目的IP地址、端口号和协议时,在根据所述会话信息包含的会话参数对所述各个数据包进行分类之后,有一类数据包中的源IP地址和端口号均相同,那么该类数据包中,相同的会话参数的数量为2。
步骤502,根据所述每一类数据包对应的相同的会话参数的数量,设定所述会话参数的数量阈值。
本步骤中,所述会话信息包含的会话参数可以是所述会话信息中包含的四元组,即所述会话信息包含的会话参数可以是源IP地址、目的IP地址、端口号和协议。因此,所述会话参数的数量阈值可以是一种或多种会话参数的数量,即所述会话参数的数量阈值可以是1至4中的任一正整数。
步骤503,根据所述每一类数据包对应的相同的会话参数的数量,获取其中的目标类型数据包,其中,所述目标类型数据包对应的相同会话参数的数量大于或等于所述会话参数的数量阈值。
本步骤中,所述会话信息包含的会话参数可以是所述会话信息中包含的四元组,即所述会话信息包含的会话参数可以是源IP地址、目的IP地址、端口号和协议。因此,所述会话参数的数量阈值根据会话参数的数量而确定,即所述会话参数的数量阈值可以是1至4中的任一正整数。例如,当所述会话参数分别为源IP地址、目的IP地址、端口号和协议时,A类数据包中的源IP地址和目的IP地址均相同,B类数据包中的源IP地址、目的IP地址和端口号均相同,C类数据包中的源IP地址相同,由于A类数据包中相同会话参数的数量为2,B类数据包中相同会话参数的数量为3,C类数据包中相同会话参数的数量为1,若所述会话参数的数量阈值为2,此时所述A类数据包与所述B类数据包为所述目标类型数据包,为后续根据所述A类数据包与所述B类数据包各自的策略建议与会话参数,配置相应的防火墙策略做准备。
本发明实施例部分通步骤501至步骤503公开了另一种防火墙策略配置方法中目标数据包的获取方法,该方法中,首先在根据所述会话信息包含的会话参数对所述各个数据包进行分类之后,获取每一类数据包对应的相同的会话参数的数量,然后根据所述每一类数据包对应的相同的会话参数的数量,设定所述会话参数的数量阈值,再根据所述每一类数据包对应的相同的会话参数的数量,获取其中的目标类型数据包,其中,所述目标类型数据包对应的相同会话参数的数量大于或等于所述会话参数的数量阈值。
通过本发明实施例公开的一种防火墙策略配置方法中目标数据包的获取方法,能够根据会话参数的数量设定会话参数的数量阈值,再根据所述数量阈值获取目标类型数据包。因此,本发明实施例公开的方法,不仅解决了现有防火墙策略配置方法中配置效率低的问题,进一步还能够达到提升防火墙策略配置的灵活性的效果。
本发明第六实施例公开一种防火墙策略配置方法中目标数据包的获取方法,参照图7,是本申请实施例部分提供的另一种防火墙策略配置方法中目标数据包获取的工作流程示意图,所述获取其中的目标类型数据包,包括以下步骤:
步骤601,在根据所述会话信息包含的会话参数对所述各个数据包进行分类之后,获取每一类数据包中包含的数据包的数量。
本步骤中,每一类数据包中包含的数据包的数量可能不同,如果需要针对较少或者较多数量的数据包设定防火墙策略,可以根据每一类数据包中包含的数据包的数量,将包含某一数量的多类数据包筛选出来,再针对筛选出的每类数据包进行防火墙策略的配置。
步骤602,根据所述每一类数据包中包含的数据包的数量,确定数据包的数量阈值。
本步骤中,在获取每一类数据包中包含的数据包的数量之后,可以根据每一类数据包中包含的数据包的数量,对每一类数据包进行排序,再根据排序结果确定数据包的数量阈值。其中,所述数据包的数量阈值为正整数。
步骤603,根据所述每一类数据包中包含的数据包的数量,获取其中的目标类型数据包,其中,所述目标类型数据包中包含的数据包的数量大于或等于所述数据包的数量阈值。
本步骤中,在将大于或等于所述数据包的数量阈值的每类数据包筛选出来后,针对筛选出的每类数据包进行防火墙策略的配置。例如,A类数据包中包含5个数据包,B类数据包中包含10个数据包,C类数据包中包含50个数据包,若所述数据包的数量阈值为10,此时所述B类数据包与所述C类数据包为所述目标类型数据包,为后续根据所述B类数据包与所述C类数据包各自的策略建议与会话参数,配置相应的防火墙策略做准备。
本发明实施例部分通步骤601至步骤603公开了另一种防火墙策略配置方法中目标数据包的获取方法,该方法中,首先在根据所述会话信息包含的会话参数对所述各个数据包进行分类之后,获取每一类数据包中包含的数据包的数量,然后根据所述每一类数据包中包含的数据包的数量,确定数据包的数量阈值,再根据所述每一类数据包中包含的数据包的数量,获取其中的目标类型数据包,其中,所述目标类型数据包中包含的数据包的数量大于或等于所述数据包的数量阈值。
通过本发明实施例公开的一种防火墙策略配置方法中目标数据包的获取方法,能够根据数据包的数量设定数据包的数量阈值,再根据所述数量阈值获取目标类型数据包。因此,本发明实施例公开的方法,不仅解决了现有防火墙策略配置方法中配置效率低的问题,进一步还能够达到提升防火墙策略配置的灵活性的效果。
本发明第七实施例公开一种防火墙策略配置装置,参照图8,是本申请实施例部分提供的一种防火墙策略的配置装置的结构示意图,包括以下模块:
获取模块701,用于获取预设通过时间内通过防火墙的各个数据包的会话信息。
确定模块702,用于根据所述各个数据包的会话信息,确定所述各个数据包关于所述防火墙的策略配置标准。
策略建议配置模块703,用于比较所述各个数据包的策略配置参数与所述策略配置标准,根据比较结果配置所述各个数据包的策略建议,其中,若所述数据包的策略配置参数不小于所述策略配置标准,确定所述数据包的策略建议为允许通过防火墙,若所述数据包的策略配置参数小于所述策略配置标准,确定所述数据包的策略建议为拒绝通过防火墙。
分类模块704,用于根据所述会话信息包含的会话参数对所述各个数据包进行分类,将策略建议相同,并且所述会话参数相同的数据包分为一类,获取其中的目标类型数据包。
防火墙策略配置模块705,用于根据所述目标类型数据包的策略建议与所述会话参数,配置相应的防火墙策略。
本发明实施例部分通过获取模块701至防火墙策略配置模块705公开了一种防火墙策略配制装置,该装置中,通过获取模块701,获取预设通过时间内通过防火墙的各个数据包的会话信息;通过确定模块702,根据所述各个数据包的会话信息,确定所述各个数据包关于所述防火墙的策略配置标准;通过策略建议配置模块703,比较所述各个数据包的策略配置参数与所述策略配置标准,根据比较结果配置所述各个数据包的策略建议,通过分类模块704,根据所述会话信息包含的会话参数对所述各个数据包进行分类,将策略建议相同,并且所述会话参数相同的数据包分为一类,获取其中的目标类型数据包;通过防火墙策略配置模块705,根据所述目标类型数据包的策略建议与所述会话参数,配置相应的防火墙策略。
通过本发明实施例公开的一种防火墙策略配置装置,能够根据实际网络情况配置防火墙策略,解决了现有的防火墙策略配置装置中,只有在管理员得知具体的业务需求,确定某一数据包需要通过防火墙后,才能根据该业务需求为防火墙增加并配置新的防火墙策略,导致配置防火墙策略的效率较低的问题。
所述确定模块,包括:
第一获取单元,用于根据所述各个数据包的会话信息,获取所述各个数据包的会话信息中的上行流量和下行流量;
第一标准确定单元,用于根据所述各个数据包的上行流量和下行流量,确定流量阈值,将所述流量阈值作为策略配置标准。
所述确定模块,包括:
第二获取单元,用于根据所述各个数据包的会话信息,获取所述各个数据包的访问次数;
第二标准确定单元,用于根据所述各个数据包的访问次数,确定访问频率阈值,将所述访问频率阈值作为策略配置标准。
所述分类模块,包括:
第一数量获取单元,用于在根据所述会话信息包含的会话参数对所述各个数据包进行分类之后,获取每一类数据包对应的相同的会话参数的数量;
第一数据包获取单元,用于根据所述每一类数据包对应的相同的会话参数的数量,获取其中的目标类型数据包,其中,所述目标类型数据包对应的相同会话参数的数量为所述会话参数的数量的最大值。
所述分类模块,包括:
第二数量获取单元,用于在根据所述会话信息包含的会话参数对所述各个数据包进行分类之后,获取每一类数据包对应的相同的会话参数的数量;
第一阈值设定单元,用于根据所述每一类数据包对应的相同的会话参数的数量,设定所述会话参数的数量阈值;
第二数据包获取单元,用于根据所述每一类数据包对应的相同的会话参数的数量,获取其中的目标类型数据包,其中,所述目标类型数据包对应的相同会话参数的数量大于或等于所述会话参数的数量阈值。
所述分类模块,包括:
第三数量获取单元,用于在根据所述会话信息包含的会话参数对所述各个数据包进行分类之后,获取每一类数据包中包含的数据包的数量;
第二阈值设定单元,用于根据所述每一类数据包中包含的数据包的数量,确定数据包的数量阈值;
第三数据包获取单元,用于根据所述每一类数据包中包含的数据包的数量,获取其中的目标类型数据包,其中,所述目标类型数据包中包含的数据包的数量大于或等于所述数据包的数量阈值。
具体实现中,本申请还提供一种计算机存储介质,其中,该计算机存储介质可存储有程序,该程序执行时可包括本申请提供的一种防火墙策略的配置方法的各实施例中的部分或全部步骤。所述的存储介质可为磁碟、光盘、只读存储记忆体(英文:read-onlymemory,简称:ROM)或随机存储记忆体(英文:random access memory,简称:RAM)等。
本领域的技术人员可以清楚地了解到本申请实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本申请实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例或者实施例的某些部分所述的方法。
本说明书中各个实施例之间相同相似的部分互相参见即可。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例中的说明即可。
以上所述的本申请实施方式并不构成对本申请保护范围的限定。

Claims (12)

1.一种防火墙的策略配置方法,其特征在于,包括:
获取预设通过时间内通过防火墙的各个数据包的会话信息;
根据所述各个数据包的会话信息,确定所述各个数据包关于所述防火墙的策略配置标准;
比较所述各个数据包的策略配置参数与所述策略配置标准,根据比较结果配置所述各个数据包的策略建议,其中,若所述数据包的策略配置参数不小于所述策略配置标准,确定所述数据包的策略建议为允许通过防火墙,若所述数据包的策略配置参数小于所述策略配置标准,确定所述数据包的策略建议为拒绝通过防火墙;
根据所述会话信息包含的会话参数对所述各个数据包进行分类,将策略建议相同,并且所述会话参数相同的数据包分为一类,获取其中的目标类型数据包;
根据所述目标类型数据包的策略建议与所述会话参数,配置相应的防火墙策略。
2.根据权利要求1所述的防火墙的策略配置方法,其特征在于,根据所述各个数据包的会话信息,确定所述各个数据包的策略配置标准,包括:
根据所述各个数据包的会话信息,获取所述各个数据包的会话信息中的上行流量和下行流量;
根据所述各个数据包的上行流量和下行流量,确定流量阈值,将所述流量阈值作为策略配置标准。
3.根据权利要求1所述的防火墙的策略配置方法,其特征在于,根据所述各个数据包的会话信息,确定所述各个数据包的策略配置标准,包括:
根据所述各个数据包的会话信息,获取所述各个数据包的访问次数;
根据所述各个数据包的访问次数,确定访问频率阈值,将所述访问频率阈值作为策略配置标准。
4.根据权利要求1所述的防火墙的策略配置方法,其特征在于,所述获取其中的目标类型数据包,包括:
在根据所述会话信息包含的会话参数对所述各个数据包进行分类之后,获取每一类数据包对应的相同的会话参数的数量;
根据所述每一类数据包对应的相同的会话参数的数量,获取其中的目标类型数据包,其中,所述目标类型数据包对应的相同会话参数的数量为所述会话参数的数量的最大值。
5.根据权利要求1所述的防火墙的策略配置方法,其特征在于,所述获取其中的目标类型数据包,包括:
在根据所述会话信息包含的会话参数对所述各个数据包进行分类之后,获取每一类数据包对应的相同的会话参数的数量;
根据所述每一类数据包对应的相同的会话参数的数量,设定所述会话参数的数量阈值;
根据所述每一类数据包对应的相同的会话参数的数量,获取其中的目标类型数据包,其中,所述目标类型数据包对应的相同会话参数的数量大于或等于所述会话参数的数量阈值。
6.根据权利要求1所述的防火墙的策略配置方法,其特征在于,所述获取其中的目标类型数据包,包括:
在根据所述会话信息包含的会话参数对所述各个数据包进行分类之后,获取每一类数据包中包含的数据包的数量;
根据所述每一类数据包中包含的数据包的数量,确定数据包的数量阈值;
根据所述每一类数据包中包含的数据包的数量,获取其中的目标类型数据包,其中,所述目标类型数据包中包含的数据包的数量大于或等于所述数据包的数量阈值。
7.一种防火墙的策略配置装置,其特征在于,包括:
获取模块,用于获取预设通过时间内通过防火墙的各个数据包的会话信息;
确定模块,用于根据所述各个数据包的会话信息,确定所述各个数据包关于所述防火墙的策略配置标准;
策略建议配置模块,用于比较所述各个数据包的策略配置参数与所述策略配置标准,根据比较结果配置所述各个数据包的策略建议,其中,若所述数据包的策略配置参数不小于所述策略配置标准,确定所述数据包的策略建议为允许通过防火墙,若所述数据包的策略配置参数小于所述策略配置标准,确定所述数据包的策略建议为拒绝通过防火墙;
分类模块,用于根据所述会话信息包含的会话参数对所述各个数据包进行分类,将策略建议相同,并且所述会话参数相同的数据包分为一类,获取其中的目标类型数据包;
防火墙策略配置模块,用于根据所述目标类型数据包的策略建议与所述会话参数,配置相应的防火墙策略。
8.根据权利要求7所述的防火墙的策略配置装置,其特征在于,所述确定模块,包括:
第一获取单元,用于根据所述各个数据包的会话信息,获取所述各个数据包的会话信息中的上行流量和下行流量;
第一标准确定单元,用于根据所述各个数据包的上行流量和下行流量,确定流量阈值,将所述流量阈值作为策略配置标准。
9.根据权利要求7所述的防火墙的策略配置装置,其特征在于,所述确定模块,包括:
第二获取单元,用于根据所述各个数据包的会话信息,获取所述各个数据包的访问次数;
第二标准确定单元,用于根据所述各个数据包的访问次数,确定访问频率阈值,将所述访问频率阈值作为策略配置标准。
10.根据权利要求7所述的防火墙的策略配置装置,其特征在于,所述分类模块,包括:
第一数量获取单元,用于在根据所述会话信息包含的会话参数对所述各个数据包进行分类之后,获取每一类数据包对应的相同的会话参数的数量;
第一数据包获取单元,用于根据所述每一类数据包对应的相同的会话参数的数量,获取其中的目标类型数据包,其中,所述目标类型数据包对应的相同会话参数的数量为所述会话参数的数量的最大值。
11.根据权利要求7所述的防火墙的策略配置装置,其特征在于,所述分类模块,包括:
第二数量获取单元,用于在根据所述会话信息包含的会话参数对所述各个数据包进行分类之后,获取每一类数据包对应的相同的会话参数的数量;
第一阈值设定单元,用于根据所述每一类数据包对应的相同的会话参数的数量,设定所述会话参数的数量阈值;
第二数据包获取单元,用于根据所述每一类数据包对应的相同的会话参数的数量,获取其中的目标类型数据包,其中,所述目标类型数据包对应的相同会话参数的数量大于或等于所述会话参数的数量阈值。
12.根据权利要求7所述的防火墙的策略配置装置,其特征在于,所述分类模块,包括:
第三数量获取单元,用于在根据所述会话信息包含的会话参数对所述各个数据包进行分类之后,获取每一类数据包中包含的数据包的数量;
第二阈值设定单元,用于根据所述每一类数据包中包含的数据包的数量,确定数据包的数量阈值;
第三数据包获取单元,用于根据所述每一类数据包中包含的数据包的数量,获取其中的目标类型数据包,其中,所述目标类型数据包中包含的数据包的数量大于或等于所述数据包的数量阈值。
CN201810400504.0A 2018-04-28 2018-04-28 一种防火墙的策略配置方法和装置 Active CN109413020B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810400504.0A CN109413020B (zh) 2018-04-28 2018-04-28 一种防火墙的策略配置方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810400504.0A CN109413020B (zh) 2018-04-28 2018-04-28 一种防火墙的策略配置方法和装置

Publications (2)

Publication Number Publication Date
CN109413020A CN109413020A (zh) 2019-03-01
CN109413020B true CN109413020B (zh) 2020-07-31

Family

ID=65464068

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810400504.0A Active CN109413020B (zh) 2018-04-28 2018-04-28 一种防火墙的策略配置方法和装置

Country Status (1)

Country Link
CN (1) CN109413020B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101714997A (zh) * 2010-01-15 2010-05-26 中国工商银行股份有限公司 防火墙策略生成方法、装置及系统
CN104468161A (zh) * 2013-09-17 2015-03-25 中国移动通信集团设计院有限公司 一种防火墙规则集的配置方法、装置及防火墙
CN105471618A (zh) * 2015-08-03 2016-04-06 汉柏科技有限公司 一种基于防火墙的网络安全的管理方法和系统
CN105791213A (zh) * 2014-12-18 2016-07-20 华为技术有限公司 一种策略优化装置及方法
CN107332802A (zh) * 2016-04-28 2017-11-07 中国移动通信集团江西有限公司 一种防火墙策略监控方法及装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040193943A1 (en) * 2003-02-13 2004-09-30 Robert Angelino Multiparameter network fault detection system using probabilistic and aggregation analysis

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101714997A (zh) * 2010-01-15 2010-05-26 中国工商银行股份有限公司 防火墙策略生成方法、装置及系统
CN104468161A (zh) * 2013-09-17 2015-03-25 中国移动通信集团设计院有限公司 一种防火墙规则集的配置方法、装置及防火墙
CN105791213A (zh) * 2014-12-18 2016-07-20 华为技术有限公司 一种策略优化装置及方法
CN105471618A (zh) * 2015-08-03 2016-04-06 汉柏科技有限公司 一种基于防火墙的网络安全的管理方法和系统
CN107332802A (zh) * 2016-04-28 2017-11-07 中国移动通信集团江西有限公司 一种防火墙策略监控方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
单体防火墙策略规则的优化研究;张林;《中国优秀硕士学位论文全文数据库 信息科技辑》;20170315;第I139-160页 *

Also Published As

Publication number Publication date
CN109413020A (zh) 2019-03-01

Similar Documents

Publication Publication Date Title
US11539665B2 (en) Rule swapping in a packet network
US10951495B2 (en) Application signature generation and distribution
CN107409089B (zh) 一种在网络引擎中实施的方法及虚拟网络功能控制器
US10084713B2 (en) Protocol type identification method and apparatus
US20190149396A1 (en) System and method for network incident remediation recommendations
US9621516B2 (en) Firewall configured with dynamic membership sets representing machine attributes
US7742406B1 (en) Coordinated environment for classification and control of network traffic
US20160105364A1 (en) Network traffic flow management using machine learning
JP7344314B2 (ja) ネットワーク異常検出
EP2806602A1 (en) Feature extraction device, network traffic identification method, device and system.
US20130100803A1 (en) Application based bandwidth control for communication networks
CN107800668B (zh) 一种分布式拒绝服务攻击防御方法、装置及系统
US20220166691A1 (en) Traffic classification of elephant and mice data flows in managing data networks
JP2016528630A (ja) アプリケーションアウェアネットワーク管理
US10819658B2 (en) Network management with network virtualization based on modular quality of service control (MQC)
US11057308B2 (en) User- and application-based network treatment policies
Wijesinghe et al. Botnet detection using software defined networking
CN110881023A (zh) 一种基于sdn/nfv提供网络区分安全服务的方法
CN109413020B (zh) 一种防火墙的策略配置方法和装置
Bolodurina et al. Development and Investigation of Multi-Cloud Platform Network Security Algorithms Based on the Technology of Virtualization Network Functions 1 The research work was funded by RFBR, according to the research projects No. 16-37-60086 mol_a_dk, 16-07-01004, 18-07-01446, 18-47-560016 and the President of the Russian Federation within the grant for state support of young Russian scientists (MK-1624.2017. 9)
Rajaboevich et al. Method for implementing traffic filtering in SDN networks
EP3790228B1 (en) Configuration method and apparatus of network device, and storage medium
KR101503718B1 (ko) 트래픽 분류 장치 및 방법, 트래픽 분류 프로그램 구축 장치 및 방법, 컴퓨터로 판독 가능한 기록매체
RU181257U1 (ru) Межсетевой экран на основе кластеризации данных
US20240114000A1 (en) Optimizing policy tree searches with hybrid ranges of policy sets while examining network traffic

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20210510

Address after: 100032 no.227, 2nd floor, block a, 28 xinjiekouwai street, Xicheng District, Beijing

Patentee after: Beijing anbotong Jin'an Technology Co.,Ltd.

Address before: 430070 No.01, 2 / F, building A4, financial port backstage service center phase I, 77 Guanggu Avenue, Donghu New Technology Development Zone, Wuhan City, Hubei Province

Patentee before: WUHAN SIPULING TECHNOLOGY Co.,Ltd.