CN110290153A - 一种防火墙的端口管理策略自动下发方法及装置 - Google Patents
一种防火墙的端口管理策略自动下发方法及装置 Download PDFInfo
- Publication number
- CN110290153A CN110290153A CN201910655026.2A CN201910655026A CN110290153A CN 110290153 A CN110290153 A CN 110290153A CN 201910655026 A CN201910655026 A CN 201910655026A CN 110290153 A CN110290153 A CN 110290153A
- Authority
- CN
- China
- Prior art keywords
- security domain
- strategy
- firewall
- interface
- current command
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
Abstract
本发明公开了一种防火墙的端口管理策略自动下发方法及装置,所述方法包括:通过SSH登录防火墙,获取防火墙的配置文件;对获取的配置文件进行安全域解析,获取安全域解析的结果;集合安全域解析的结果,以及端口申请的IP地址数据,动态分析开通或关闭所述端口所需经过的防火墙、安全域以及已有策略;依据策略比对流程,生成新策略并下发;本发明的优点在于:防火墙策略自动生成,不需要人工手动输入防火墙策略,效率高,通过策略间包含或者互斥的直接比对,实现策略的校验。
Description
技术领域
本发明涉及防火墙的访问控制领域,更具体涉及一种防火墙的端口管理策略自动下发方法及装置。
背景技术
防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,是一种获取安全性方法。形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(SecurityGateway),从而保护内部网免受非法用户的侵入,它实际上是一种隔离技术。
防火墙的访问控制策略配置目前主要是通过相关厂商提供的Web端可视化界面进行访问策略的配置。通过此类策略配置方法虽然可以很好的实现策略管控,但是现有技术防火墙的访问控制策略在实际业务中访问控制策略生成方式主要依赖于人工手动输入的方式,效率低;同时现有技术判断策略是否合适主要通过人为经验判断,存在一定的误差。
发明内容
本发明所要解决的技术问题在于现有技术的防火墙的访问控制策略效率低的问题。
本发明是通过以下技术方案解决上述技术问题的:一种防火墙的端口管理策略自动下发方法,所述方法包括:
步骤一:通过SSH登录防火墙,获取防火墙的配置文件;
步骤二:对获取的配置文件进行安全域解析,获取安全域解析的结果;
步骤三:集合安全域解析的结果,以及端口申请的IP地址数据,动态分析开通或关闭所述端口所需经过的防火墙、安全域以及已有策略;
步骤四:依据策略比对流程,生成新策略并下发。
优选的,所述配置文件包括防火墙基本信息、安全域信息、地址段信息以及已有策略的信息。
优选的,所述安全域解析的结果包括防火墙的虚拟防火墙信息、虚拟防火墙下的安全域及优先级数据。
优选的,所述安全域解析的过程包括:
步骤201:通过静态路由找出所述防火墙中具有的所有虚拟防火墙;
步骤202:通过每一个虚拟防火墙找出每一个虚拟防火墙下的安全域,并得到所述安全域的名称以及优先级;
步骤203:找出每个安全域下的所有接口;
步骤204:找出每个接口下的IP地址段;
步骤205:通过SSH协议获取已有策略。
优选的,所述步骤四包括:
步骤401:进入系统视图,开通第一接口,绑定第一接口的IP地址并绑定子网IP地址,开通第二接口,绑定第二接口的IP地址;
步骤402:创建虚拟防火墙,给虚拟防火墙分配第一接口;
步骤403:进入虚拟防火墙,新建第一安全域,定义第一安全域的优先级,将第一安全域包含的信息以及第一安全域的优先级的值导入第一接口,新建第二安全域,定义第二安全域的优先级,将第二安全域包含的信息以及第二安全域的优先级的值导入第二接口;
步骤404:创建第二安全域的第二服务对象,定义第二服务对象的端口为第二接口并定义第二接口协议,创建第一安全域的第一服务对象,定义第一服务对象的端口为第一接口并定义第一接口协议;
步骤405:创建第二安全域到第一安全域的实例,创建有效时间对象,定义有效时间对象内允许第二安全域到第一安全域的动作,确定第一接口的IP,引用第一服务对象,确定第二接口的IP,引用第二服务对象,生成第二安全域到第一安全域的策略脚本,并生成第二安全域向第一安全域下发策略的当前命令语句;
步骤406:判断第二安全域向第一安全域下发策略的命令语句是否符合策略比对流程,策略比对流程包括互斥判断过程和/或包含判断过程,其中,
互斥判断过程,包括判断当前命令语句与已有策略是否互斥,若不互斥,合并当前命令语句与已有策略作为新策略并下发,若互斥,则将已有策略中与当前命令语句中互斥的内容删除然后合并已有策略和当前命令语句作为新策略并下发;
包含判断过程,包括判断当前命令语句与已有策略是否有相同内容的部分,若有,则合并当前命令语句与已有策略作为新策略并下发,若没有则将当前命令语句作为新策略并下发。
本发明还提供一种防火墙的端口管理策略自动下发装置,所述装置包括:
配置文件获取模块,配置文件获取模块用于通过SSH登录防火墙,获取防火墙的配置文件;
安全域解析模块,安全域解析模块用于对获取的配置文件进行安全域解析,获取安全域解析的结果;
动态分析模块,动态分析模块用于集合安全域解析的结果,以及端口申请的IP地址数据,动态分析开通或关闭所述端口所需经过的防火墙、安全域以及已有策略;
新策略生成模块,依据策略比对流程,生成新策略并下发。
优选的,所述配置文件获取模块还用于防火墙基本信息、安全域信息、地址段信息以及已有策略的信息的获取。
优选的,所述安全域解析模块还用于获取防火墙的虚拟防火墙信息、虚拟防火墙下的安全域及优先级数据。
优选的,所述安全域解析模块还用于:
步骤201:通过静态路由找出所述防火墙中具有的所有虚拟防火墙;
步骤202:通过每一个虚拟防火墙找出每一个虚拟防火墙下的安全域,并得到所述安全域的名称以及优先级;
步骤203:找出每个安全域下的所有接口;
步骤204:找出每个接口下的IP地址段;
步骤205:通过SSH协议获取已有策略。
所述新策略生成模块还用于:
步骤401:进入系统视图,开通第一接口,绑定第一接口的IP地址并绑定子网IP地址,开通第二接口,绑定第二接口的IP地址;
步骤402:创建虚拟防火墙,给虚拟防火墙分配第一接口;
步骤403:进入虚拟防火墙,新建第一安全域,定义第一安全域的优先级,将第一安全域包含的信息以及第一安全域的优先级的值导入第一接口,新建第二安全域,定义第二安全域的优先级,将第二安全域包含的信息以及第二安全域的优先级的值导入第二接口;
步骤404:创建第二安全域的第二服务对象,定义第二服务对象的端口为第二接口并定义第二接口协议,创建第一安全域的第一服务对象,定义第一服务对象的端口为第一接口并定义第一接口协议;
步骤405:创建第二安全域到第一安全域的实例,创建有效时间对象,定义有效时间对象内允许第二安全域到第一安全域的动作,确定第一接口的IP,引用第一服务对象,确定第二接口的IP,引用第二服务对象,生成第二安全域到第一安全域的策略脚本,并生成第二安全域向第一安全域下发策略的当前命令语句;
步骤406:判断第二安全域向第一安全域下发策略的命令语句是否符合策略比对流程,策略比对流程包括互斥判断过程和/或包含判断过程,其中,
互斥判断过程,包括判断当前命令语句与已有策略是否互斥,若不互斥,合并当前命令语句与已有策略作为新策略并下发,若互斥,则将已有策略中与当前命令语句中互斥的内容删除然后合并已有策略和当前命令语句作为新策略并下发;
包含判断过程,包括判断当前命令语句与已有策略是否有相同内容的部分,若有,则合并当前命令语句与已有策略作为新策略并下发,若没有则将当前命令语句作为新策略并下发。
本发明相比现有技术具有以下优点:
(1)防火墙策略自动生成,只需配置策略的前置条件如端口等,即可自动生成相应的开通或关闭策略,不需要人工手动输入防火墙策略,效率高。
(2)策略自动校验,通过策略间包含或者互斥的直接比对,实现策略的校验,如果存在包含的现象,合并新策略和已有策略,如果出现互斥,找出出现互斥的命令行,删除该命令行或者缩小该命令行的管控范围。判断策略是否合适主要通过机器比对识别,相比现有技术误差小,策略下发更准确。
附图说明
图1为本发明实施例提供的一种防火墙的端口管理策略自动下发方法的流程示意图。
具体实施方式
下面对本发明的实施例作详细说明,本实施例在以本发明技术方案为前提下进行实施,给出了详细的实施方式和具体的操作过程,但本发明的保护范围不限于下述的实施例。
一种防火墙的端口管理策略自动下发方法,所述方法包括:
步骤S1:通过SSH(Secure Shell,安全外壳协议)登录防火墙,获取防火墙的配置文件;
具体的,所述配置文件包括防火墙基本信息、安全域信息、地址段信息以及已有策略的信息。
步骤S2:对获取的配置文件进行安全域解析,获取安全域解析的结果;
具体的,所述安全域解析的过程包括:
步骤201:通过静态路由找出所述防火墙中具有的所有虚拟防火墙;
步骤202:通过每一个虚拟防火墙找出每一个虚拟防火墙下的安全域,并得到所述安全域的名称以及优先级;
步骤203:找出每个安全域下的所有接口;
步骤204:找出每个接口下的IP地址段;
步骤205:通过SSH协议获取已有策略。
具体的,所述安全域解析的结果包括防火墙的虚拟防火墙信息、虚拟防火墙下的安全域及优先级数据。
步骤S3:集合安全域解析的结果,以及端口申请的IP地址数据,动态分析开通或关闭所述端口所需经过的防火墙、安全域以及已有策略;
步骤S4:依据策略比对流程,生成新策略并下发。
下面详细介绍策略生成和下发的过程,所述步骤S4包括:
步骤401:进入系统视图,开通第一接口,绑定第一接口的IP地址并绑定子网IP地址,开通第二接口,绑定第二接口的IP地址;
步骤402:创建虚拟防火墙,给虚拟防火墙分配第一接口;
步骤403:进入虚拟防火墙,新建第一安全域,定义第一安全域的优先级,将第一安全域包含的信息以及第一安全域的优先级的值导入第一接口,新建第二安全域,定义第二安全域的优先级,将第二安全域包含的信息以及第二安全域的优先级的值导入第二接口;
步骤404:创建第二安全域的第二服务对象,定义第二服务对象的端口为第二接口并定义第二接口协议,创建第一安全域的第一服务对象,定义第一服务对象的端口为第一接口并定义第一接口协议;
步骤405:创建第二安全域到第一安全域的实例,创建有效时间对象,定义有效时间对象内允许第二安全域到第一安全域的动作,确定第一接口的IP,引用第一服务对象,确定第二接口的IP,引用第二服务对象,生成第二安全域到第一安全域的策略脚本,并生成第二安全域向第一安全域下发策略的命令语句;
步骤406:判断第二安全域向第一安全域下发策略的命令语句是否符合策略比对流程,所述策略比对流程包括互斥判断过程和/或包含判断过程,其中,
互斥判断过程,包括判断当前命令语句与已有策略是否互斥,若不互斥,合并当前命令语句与已有策略作为新策略并下发,若互斥,则将已有策略中与当前命令语句中互斥的内容删除然后合并已有策略和当前命令语句作为新策略并下发;
包含判断过程,包括判断当前命令语句与已有策略是否有相同内容的部分,若有,则合并当前命令语句与已有策略作为新策略并下发,若没有则将当前命令语句作为新策略并下发。下发的时候,实时读取所要操作的防火墙的配置文件内容,分析策略的源、目的地址以及策略的类型,如策略类型是开通或者,策略类型是关闭,与所要下发的策略的源、目的地址、策略的类型进行比较,如果所要下发的策略的源、目的地址以及策略的类型在配置文件中已经存在或者已存在的策略中包含所要下发的策略,则所要下发的策略就是被包含在已有策略当中了,将下发的策略与已有策略合并生成新策略,相反,如果下发的策略包含已有策略,将下发的策略与已有策略合并生成新策略;如果所要下发的策略在配置中已存在,但策略类型是相反的,如下发的策略是开通1号防火墙到3号防火墙,但配置文件中关闭1号防火墙到3号防火墙,则所要下发的策略就与配置文件中的策略是互斥的,解决办法是删除关闭1号防火墙到3号防火墙的命令或者缩小该命令的范围。
需要注意的是,策略的自动生成、下发主要是根据要下发的策略的关键字段:源IP、目的IP、协议、目的端口、开放时间等,生成相应的策略脚本,从而生成下发策略的命令语句,然后通过SSH连接、登录防火墙,进行命令实时下发,同时在系统中保存相应的操作记录,从而对策略进行管理。
本发明还提供一种防火墙的端口管理策略自动下发装置,所述装置包括:
配置文件获取模块,配置文件获取模块用于通过SSH登录防火墙,获取防火墙的配置文件;
安全域解析模块,安全域解析模块用于对获取的配置文件进行安全域解析,获取安全域解析的结果;
动态分析模块,动态分析模块用于集合安全域解析的结果,以及端口申请的IP地址数据,动态分析开通或关闭所述端口所需经过的防火墙、安全域以及已有策略;
新策略生成模块,依据策略比对流程,生成新策略并下发。
具体的,所述配置文件获取模块还用于防火墙基本信息、安全域信息、地址段信息以及已有策略的信息的获取。
具体的,所述安全域解析模块还用于获取防火墙的虚拟防火墙信息、虚拟防火墙下的安全域及优先级数据。
具体的,所述安全域解析模块还用于:
步骤201:通过静态路由找出所述防火墙中具有的所有虚拟防火墙;
步骤202:通过每一个虚拟防火墙找出每一个虚拟防火墙下的安全域,并得到所述安全域的名称以及优先级;
步骤203:找出每个安全域下的所有接口;
步骤204:找出每个接口下的IP地址段;
步骤205:通过SSH协议获取已有策略。
所述新策略生成模块还用于:
步骤401:进入系统视图,开通第一接口,绑定第一接口的IP地址并绑定子网IP地址,开通第二接口,绑定第二接口的IP地址;
步骤402:创建虚拟防火墙,给虚拟防火墙分配第一接口;
步骤403:进入虚拟防火墙,新建第一安全域,定义第一安全域的优先级,将第一安全域包含的信息以及第一安全域的优先级的值导入第一接口,新建第二安全域,定义第二安全域的优先级,将第二安全域包含的信息以及第二安全域的优先级的值导入第二接口;
步骤404:创建第二安全域的第二服务对象,定义第二服务对象的端口为第二接口并定义第二接口协议,创建第一安全域的第一服务对象,定义第一服务对象的端口为第一接口并定义第一接口协议;
步骤405:创建第二安全域到第一安全域的实例,创建有效时间对象,定义有效时间对象内允许第二安全域到第一安全域的动作,确定第一接口的IP,引用第一服务对象,确定第二接口的IP,引用第二服务对象,生成第二安全域到第一安全域的策略脚本,并生成第二安全域向第一安全域下发策略的当前命令语句;
步骤406:判断第二安全域向第一安全域下发策略的命令语句是否符合策略比对流程,策略比对流程包括互斥判断过程和/或包含判断过程,其中,
互斥判断过程,包括判断当前命令语句与已有策略是否互斥,若不互斥,合并当前命令语句与已有策略作为新策略并下发,若互斥,则将已有策略中与当前命令语句中互斥的内容删除然后合并已有策略和当前命令语句作为新策略并下发;
包含判断过程,包括判断当前命令语句与已有策略是否有相同内容的部分,若有,则合并当前命令语句与已有策略作为新策略并下发,若没有则将当前命令语句作为新策略并下发。
通过以上技术方案,本发明提供的一种防火墙的端口管理策略自动下发方法及装置,优化现有技术的防火墙的端口管理策略,通过程序段以及各命令行的设置,实现个防火墙的策略逐级下发,只需配置策略的前置条件如端口等,即可自动生成相应的开通或关闭策略,不需要人工手动输入防火墙策略,效率高。同时,新策略的生成能够自主校验,将新策略与已有策略逐条比对,如果出现严重的策略失误,如与已有策略相反,则舍弃该新策略中出现严重错误的命令行,如果出现包含的现象则合并新策略和已有的策略,如果出现互斥的现象,则找出出现互斥的命令行,删除该命令行或者缩小该命令行的管控范围,误差小,策略下发更准确。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种防火墙的端口管理策略自动下发方法,其特征在于,所述方法包括:
步骤一:通过SSH登录防火墙,获取防火墙的配置文件;
步骤二:对获取的配置文件进行安全域解析,获取安全域解析的结果;
步骤三:集合安全域解析的结果,以及端口申请的IP地址数据,动态分析开通或关闭所述端口所需经过的防火墙、安全域以及已有策略;
步骤四:依据策略比对流程,生成新策略并下发。
2.根据权利要求1所述的一种防火墙的端口管理策略自动下发方法,其特征在于,所述配置文件包括防火墙基本信息、安全域信息、地址段信息以及已有策略的信息。
3.根据权利要求1所述的一种防火墙的端口管理策略自动下发方法,其特征在于,所述安全域解析的结果包括防火墙的虚拟防火墙信息、虚拟防火墙下的安全域及优先级数据。
4.根据权利要求3所述的一种防火墙的端口管理策略自动下发方法,其特征在于,所述安全域解析的过程包括:
步骤201:通过静态路由找出所述防火墙中具有的所有虚拟防火墙;
步骤202:通过每一个虚拟防火墙找出每一个虚拟防火墙下的安全域,并得到所述安全域的名称以及优先级;
步骤203:找出每个安全域下的所有接口;
步骤204:找出每个接口下的IP地址段;
步骤205:通过SSH协议获取已有策略。
5.根据权利要求4所述的一种防火墙的端口管理策略自动下发方法,其特征在于,所述步骤四包括:
步骤401:进入系统视图,开通第一接口,绑定第一接口的IP地址并绑定子网IP地址,开通第二接口,绑定第二接口的IP地址;
步骤402:创建虚拟防火墙,给虚拟防火墙分配第一接口;
步骤403:进入虚拟防火墙,新建第一安全域,定义第一安全域的优先级,将第一安全域包含的信息以及第一安全域的优先级的值导入第一接口,新建第二安全域,定义第二安全域的优先级,将第二安全域包含的信息以及第二安全域的优先级的值导入第二接口;
步骤404:创建第二安全域的第二服务对象,定义第二服务对象的端口为第二接口并定义第二接口协议,创建第一安全域的第一服务对象,定义第一服务对象的端口为第一接口并定义第一接口协议;
步骤405:创建第二安全域到第一安全域的实例,创建有效时间对象,定义有效时间对象内允许第二安全域到第一安全域的动作,确定第一接口的IP,引用第一服务对象,确定第二接口的IP,引用第二服务对象,生成第二安全域到第一安全域的策略脚本,并生成第二安全域向第一安全域下发策略的当前命令语句;
步骤406:判断第二安全域向第一安全域下发策略的命令语句是否符合策略比对流程,策略比对流程包括互斥判断过程和/或包含判断过程,其中,
互斥判断过程,包括判断当前命令语句与已有策略是否互斥,若不互斥,合并当前命令语句与已有策略作为新策略并下发,若互斥,则将已有策略中与当前命令语句中互斥的内容删除然后合并已有策略和当前命令语句作为新策略并下发;
包含判断过程,包括判断当前命令语句与已有策略是否有相同内容的部分,若有,则合并当前命令语句与已有策略作为新策略并下发,若没有则将当前命令语句作为新策略并下发。
6.一种防火墙的端口管理策略自动下发装置,其特征在于,所述装置包括:
配置文件获取模块,配置文件获取模块用于通过SSH登录防火墙,获取防火墙的配置文件;
安全域解析模块,安全域解析模块用于对获取的配置文件进行安全域解析,获取安全域解析的结果;
动态分析模块,动态分析模块用于集合安全域解析的结果,以及端口申请的IP地址数据,动态分析开通或关闭所述端口所需经过的防火墙、安全域以及已有策略;
新策略生成模块,依据策略比对流程,生成新策略并下发。
7.根据权利要求6所述的一种防火墙的端口管理策略自动下发装置,其特征在于,所述配置文件获取模块还用于防火墙基本信息、安全域信息、地址段信息以及已有策略的信息的获取。
8.根据权利要求6所述的一种防火墙的端口管理策略自动下发装置,其特征在于,所述安全域解析模块还用于获取防火墙的虚拟防火墙信息、虚拟防火墙下的安全域及优先级数据。
9.根据权利要求6所述的一种防火墙的端口管理策略自动下发装置,其特征在于,所述安全域解析模块还用于:
步骤201:通过静态路由找出所述防火墙中具有的所有虚拟防火墙;
步骤202:通过每一个虚拟防火墙找出每一个虚拟防火墙下的安全域,并得到所述安全域的名称以及优先级;
步骤203:找出每个安全域下的所有接口;
步骤204:找出每个接口下的IP地址段;
步骤205:通过SSH协议获取已有策略。
10.根据权利要求6所述的一种防火墙的端口管理策略自动下发装置,其特征在于,所述新策略生成模块还用于:
步骤401:进入系统视图,开通第一接口,绑定第一接口的IP地址并绑定子网IP地址,开通第二接口,绑定第二接口的IP地址;
步骤402:创建虚拟防火墙,给虚拟防火墙分配第一接口;
步骤403:进入虚拟防火墙,新建第一安全域,定义第一安全域的优先级,将第一安全域包含的信息以及第一安全域的优先级的值导入第一接口,新建第二安全域,定义第二安全域的优先级,将第二安全域包含的信息以及第二安全域的优先级的值导入第二接口;
步骤404:创建第二安全域的第二服务对象,定义第二服务对象的端口为第二接口并定义第二接口协议,创建第一安全域的第一服务对象,定义第一服务对象的端口为第一接口并定义第一接口协议;
步骤405:创建第二安全域到第一安全域的实例,创建有效时间对象,定义有效时间对象内允许第二安全域到第一安全域的动作,确定第一接口的IP,引用第一服务对象,确定第二接口的IP,引用第二服务对象,生成第二安全域到第一安全域的策略脚本,并生成第二安全域向第一安全域下发策略的当前命令语句;
步骤406:判断第二安全域向第一安全域下发策略的命令语句是否符合策略比对流程,策略比对流程包括互斥判断过程和/或包含判断过程,其中,
互斥判断过程,包括判断当前命令语句与已有策略是否互斥,若不互斥,合并当前命令语句与已有策略作为新策略并下发,若互斥,则将已有策略中与当前命令语句中互斥的内容删除然后合并已有策略和当前命令语句作为新策略并下发;
包含判断过程,包括判断当前命令语句与已有策略是否有相同内容的部分,若有,则合并当前命令语句与已有策略作为新策略并下发,若没有则将当前命令语句作为新策略并下发。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910655026.2A CN110290153A (zh) | 2019-07-19 | 2019-07-19 | 一种防火墙的端口管理策略自动下发方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910655026.2A CN110290153A (zh) | 2019-07-19 | 2019-07-19 | 一种防火墙的端口管理策略自动下发方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110290153A true CN110290153A (zh) | 2019-09-27 |
Family
ID=68023469
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910655026.2A Pending CN110290153A (zh) | 2019-07-19 | 2019-07-19 | 一种防火墙的端口管理策略自动下发方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110290153A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110730178A (zh) * | 2019-10-21 | 2020-01-24 | 广州海颐信息安全技术有限公司 | 动态控制特权系统端口和策略开放的方法及装置 |
WO2021139339A1 (zh) * | 2020-07-30 | 2021-07-15 | 平安科技(深圳)有限公司 | 防火墙策略的下发方法、装置、电子设备及存储介质 |
CN113810429A (zh) * | 2021-11-16 | 2021-12-17 | 北京安博通科技股份有限公司 | 一种自动化策略开通的方法 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1949741A (zh) * | 2005-10-11 | 2007-04-18 | 华为技术有限公司 | 一种处理跨越不同防火墙间数据流的方法 |
CN101212453A (zh) * | 2006-12-29 | 2008-07-02 | 凹凸科技(中国)有限公司 | 实现网络访问控制的方法及其防火墙装置 |
CN101478533A (zh) * | 2008-11-29 | 2009-07-08 | 成都市华为赛门铁克科技有限公司 | 一种跨越虚拟防火墙发送和接收数据的方法及系统 |
CN103905464A (zh) * | 2014-04-21 | 2014-07-02 | 西安电子科技大学 | 基于形式化方法的网络安全策略验证系统及方法 |
CN104519030A (zh) * | 2013-09-30 | 2015-04-15 | 西门子公司 | 一种用于安全性检测的方法和装置 |
CN105871930A (zh) * | 2016-06-21 | 2016-08-17 | 上海携程商务有限公司 | 基于应用的防火墙安全策略的自适应配置方法及系统 |
CN105939356A (zh) * | 2016-06-13 | 2016-09-14 | 北京网康科技有限公司 | 一种虚拟防火墙划分方法和装置 |
CN108259514A (zh) * | 2018-03-26 | 2018-07-06 | 平安科技(深圳)有限公司 | 漏洞检测方法、装置、计算机设备和存储介质 |
CN108429774A (zh) * | 2018-06-21 | 2018-08-21 | 蔡梦臣 | 一种防火墙策略集中优化管理方法及其系统 |
CN109600368A (zh) * | 2018-12-07 | 2019-04-09 | 中盈优创资讯科技有限公司 | 一种确定防火墙策略的方法及装置 |
-
2019
- 2019-07-19 CN CN201910655026.2A patent/CN110290153A/zh active Pending
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1949741A (zh) * | 2005-10-11 | 2007-04-18 | 华为技术有限公司 | 一种处理跨越不同防火墙间数据流的方法 |
CN101212453A (zh) * | 2006-12-29 | 2008-07-02 | 凹凸科技(中国)有限公司 | 实现网络访问控制的方法及其防火墙装置 |
CN101478533A (zh) * | 2008-11-29 | 2009-07-08 | 成都市华为赛门铁克科技有限公司 | 一种跨越虚拟防火墙发送和接收数据的方法及系统 |
CN104519030A (zh) * | 2013-09-30 | 2015-04-15 | 西门子公司 | 一种用于安全性检测的方法和装置 |
CN103905464A (zh) * | 2014-04-21 | 2014-07-02 | 西安电子科技大学 | 基于形式化方法的网络安全策略验证系统及方法 |
CN105939356A (zh) * | 2016-06-13 | 2016-09-14 | 北京网康科技有限公司 | 一种虚拟防火墙划分方法和装置 |
CN105871930A (zh) * | 2016-06-21 | 2016-08-17 | 上海携程商务有限公司 | 基于应用的防火墙安全策略的自适应配置方法及系统 |
CN108259514A (zh) * | 2018-03-26 | 2018-07-06 | 平安科技(深圳)有限公司 | 漏洞检测方法、装置、计算机设备和存储介质 |
CN108429774A (zh) * | 2018-06-21 | 2018-08-21 | 蔡梦臣 | 一种防火墙策略集中优化管理方法及其系统 |
CN109600368A (zh) * | 2018-12-07 | 2019-04-09 | 中盈优创资讯科技有限公司 | 一种确定防火墙策略的方法及装置 |
Non-Patent Citations (2)
Title |
---|
李敏等: "《web网络安全技术与实例》", 31 August 2013 * |
谢正兰等: "《新一代防火墙技术及应用》", 30 April 2018 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110730178A (zh) * | 2019-10-21 | 2020-01-24 | 广州海颐信息安全技术有限公司 | 动态控制特权系统端口和策略开放的方法及装置 |
WO2021139339A1 (zh) * | 2020-07-30 | 2021-07-15 | 平安科技(深圳)有限公司 | 防火墙策略的下发方法、装置、电子设备及存储介质 |
CN113810429A (zh) * | 2021-11-16 | 2021-12-17 | 北京安博通科技股份有限公司 | 一种自动化策略开通的方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7756981B2 (en) | Systems and methods for remote rogue protocol enforcement | |
Creery et al. | Industrial cybersecurity for power system and SCADA networks | |
Hamed et al. | Taxonomy of conflicts in network security policies | |
Bartal et al. | Firmato: A novel firewall management toolkit | |
Kim et al. | Fundamentals of information systems security | |
CN101360015B (zh) | 测试网络设备的方法、系统及装置 | |
CN107493280A (zh) | 用户认证的方法、智能网关及认证服务器 | |
CA2525343C (en) | Security checking program for communication between networks | |
CN110290153A (zh) | 一种防火墙的端口管理策略自动下发方法及装置 | |
CN111726353A (zh) | 基于数控系统的敏感数据分级保护方法及分级保护系统 | |
CN101512510A (zh) | 基于定义和应用网络管理意图提供网络管理的方法和系统 | |
CN105847300B (zh) | 企业网络边界设备拓扑结构的可视化方法及装置 | |
CN109067937A (zh) | 终端准入控制方法、装置、设备、系统及存储介质 | |
Ranathunga et al. | Case studies of scada firewall configurations and the implications for best practices | |
Burns et al. | Security power tools | |
CN116055254A (zh) | 一种安全可信网关系统、控制方法、介质、设备及终端 | |
CN105827648B (zh) | 基于ip-mac实名绑定的网络准入控制系统及控制方法 | |
Sheikh et al. | Zero trust using network micro segmentation | |
CN108966216A (zh) | 一种应用于配电网的移动通信方法及装置 | |
CN109302397A (zh) | 一种网络安全管理方法、平台和计算机可读存储介质 | |
CN108881127A (zh) | 一种控制远程访问权限的方法及系统 | |
Sianturi et al. | A Security Framework for Secure Host-to-Host Environments | |
CN115412348A (zh) | 一种基于白名单机制实现api零信任的方法 | |
US7971244B1 (en) | Method of determining network penetration | |
Ali et al. | Byod cyber forensic eco-system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190927 |
|
RJ01 | Rejection of invention patent application after publication |