CN111224996A - 一种防火墙集中辅助维护系统 - Google Patents

一种防火墙集中辅助维护系统 Download PDF

Info

Publication number
CN111224996A
CN111224996A CN202010050697.9A CN202010050697A CN111224996A CN 111224996 A CN111224996 A CN 111224996A CN 202010050697 A CN202010050697 A CN 202010050697A CN 111224996 A CN111224996 A CN 111224996A
Authority
CN
China
Prior art keywords
port
firewalls
layer
service
firewall
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010050697.9A
Other languages
English (en)
Inventor
纪文
王怡婷
粟仁杰
傅杰
徐海东
张和琳
林晨晗
刘佳
高董英
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Fujian Electric Power Co Ltd
Information and Telecommunication Branch of State Grid Fujian Electric Power Co Ltd
Original Assignee
State Grid Fujian Electric Power Co Ltd
Information and Telecommunication Branch of State Grid Fujian Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Fujian Electric Power Co Ltd, Information and Telecommunication Branch of State Grid Fujian Electric Power Co Ltd filed Critical State Grid Fujian Electric Power Co Ltd
Priority to CN202010050697.9A priority Critical patent/CN111224996A/zh
Publication of CN111224996A publication Critical patent/CN111224996A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/133Protocols for remote procedure calls [RPC]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/08Protocols for interworking; Protocol conversion

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种防火墙集中辅助维护系统,包括服务层、通信层和设备层;所述服务层包括前置采集平台、业务应用以及数据库;所述通信层包括内部局域网;所述设备层包括若干防火墙、服务器以及客户机;所述服务层通过所述通信层并经telnet/ssh指令及时发现各个被管理的设备上线或端口状态。本发明实现基于工具的多协议转换和防火墙命令执行,并根据执行结果自动形成执行记录。

Description

一种防火墙集中辅助维护系统
技术领域
本发明涉及防护墙领域,具体涉及一种防火墙集中辅助维护系统。
背景技术
随着网络技术的不断发展,网络所承载的信息系统越来越多、规模也越来越大,信息系统面临的安全问题也越来越严峻。防火墙作为最常见的安全防护设备,被广泛应用于各种网络边界。而防火墙数量及防火墙中安全策略条目的增加,使得安全工程师的运维工作量也成倍的增长。
请参见图2,各安全厂商的此类系统主要都是针对各自硬件产品,由于技术的封闭性,各厂商之间的防火墙管理系统无法兼容其他厂商的防火墙,无法做到统一的管理。
发明内容
有鉴于此,本发明的目的在于提供一种防火墙集中辅助维护系统,以实现基于工具的多协议转换和防火墙命令执行,并根据执行结果自动形成执行记录。
为实现上述目的本发明采用以下技术方案实现:
一种防火墙集中辅助维护系统,包括服务层、通信层和设备层;所述服务层包括前置采集平台、业务应用以及数据库;所述通信层包括内部局域网;所述设备层包括若干防火墙、服务器以及客户机;所述服务层通过所述通信层并经telnet/ssh 指令及时发现各个被管理的设备上线或端口状态。
进一步的,各个防火墙之间通过内部局域网联通,且各防火墙开放telnet或者ssh端口服务。
进一步的,所述数据库采用mysql5.0开源数据库。
进一步的,所述所述防火墙集中辅助维护系统采用前后端分离原则,基于RPC的统一接口调用规则;后端采用轻量级的基于C++开发的URCP JSON HTTP服务;前端后端通讯主要采用urcp on json 格式的基于HTTP的远程RPC调用模式。
进一步的,所述端口匹配规则为IP-MAC-PORT完整匹配。
进一步的,所述通过通信层并经telnet/ssh 指令及时发现各个被管理的设备上线或端口状态,具体为:
1)形成服务层与端口的IP地址、MAC的对应关系;
2)设置端口匹配规则;
3)获取服务层每个端口下联的MAC地址信息;
4)通过所述IP地址、MAC的对应关系;
5)根据配置的端口匹配规则,对端口、IP地址、MAC地址进行验配从而获取端口的状态。
本发明与现有技术相比具有以下有益效果:
本发明根据多种防火墙统一配置策略,实现基于工具的多协议转换和防火墙命令执行,并根据执行结果自动形成执行记录。另外,后端采用轻量级基于C++开发的URCP JSONHTTP服务.具备开发简单,部署快的特点。前端后端通讯主要采用urcp on json 格式的一种基于HTTP的远程RPC调用模式,其接口定义简单明了,扩展性好。
附图说明
图1是现有技术中各自硬件产品的防火墙的架构图
图2是本发明实施例提供防火墙集中辅助维护系统的架构图。
具体实施方式
下面结合附图及实施例对本发明做进一步说明。
请参照图1本实施例提供一种防火墙集中辅助维护系统,包括服务层、通信层和设备层;所述服务层包括前置采集平台、业务应用以及数据库;所述通信层包括内部局域网;所述设备层包括若干防火墙、服务器以及客户机;各个防火墙之间通过内部局域网联通,且各防火墙开放telnet或者ssh端口服务;所述服务层通过所述通信层并经telnet/ssh 指令及时发现各个被管理的设备上线或端口状态。
在本实施例中,所述端口匹配规则为IP-MAC-PORT完整匹配。
在本实施例中,所述通过通信层并经telnet/ssh 指令及时发现各个被管理的设备上线或端口状态,具体为:
6)形成服务层与端口的IP地址、MAC的对应关系;
7)设置端口匹配规则;
8)获取服务层每个端口下联的MAC地址信息;
9)通过所述IP地址、MAC的对应关系;
10)根据配置的端口匹配规则,对端口、IP地址、MAC地址进行验配从而获取端口的状态。
优选的,所述数据库采用mysql5.0开源数据库。
优选的,所述所述防火墙集中辅助维护系统采用前后端分离原则,基于RPC的统一接口调用规则;后端采用轻量级的基于C++开发的URCP JSON HTTP服务;前端后端通讯主要采用urcp on json 格式的基于HTTP的远程RPC调用模式。
以上所述仅为本发明的较佳实施例,凡依本发明申请专利范围所做的均等变化与修饰,皆应属本发明的涵盖范围。

Claims (6)

1.一种防火墙集中辅助维护系统,其特征在于:包括服务层、通信层和设备层;所述服务层包括前置采集平台、业务应用以及数据库;所述通信层包括内部局域网;所述设备层包括若干防火墙、服务器以及客户机;所述服务层通过所述通信层并经telnet/ssh 指令及时发现各个被管理的设备上线或端口状态。
2.根据权利要求1所述的一种防火墙集中辅助维护系统,其特征在于:各个防火墙之间通过内部局域网联通,且各防火墙开放telnet或者ssh端口服务。
3.根据权利要求1所述的一种防火墙集中辅助维护系统,其特征在于:所述数据库采用mysql5.0开源数据库。
4.根据权利要求1所述的一种防火墙集中辅助维护系统,其特征在于:所述防火墙集中辅助维护系统采用前后端分离原则,基于RPC的统一接口调用规则;后端采用轻量级的基于C++开发的URCP JSON HTTP服务;前端后端通讯主要采用urcp on json 格式的基于HTTP的远程RPC调用模式。
5.根据权利要求1所述的一种防火墙集中辅助维护系统,其特征在于:所述端口匹配规则为IP-MAC-PORT完整匹配。
6.根据权利要求1所述的一种防火墙集中辅助维护系统,其特征在于:所述通过通信层并经telnet/ssh 指令及时发现各个被管理的设备上线或端口状态,具体为:
形成服务层与端口的IP地址、MAC的对应关系;
设置端口匹配规则;
获取服务层每个端口下联的MAC地址信息;
通过所述IP地址、MAC的对应关系;
根据配置的端口匹配规则,对端口、IP地址、MAC地址进行验配从而获取端口的状态。
CN202010050697.9A 2020-01-17 2020-01-17 一种防火墙集中辅助维护系统 Pending CN111224996A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010050697.9A CN111224996A (zh) 2020-01-17 2020-01-17 一种防火墙集中辅助维护系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010050697.9A CN111224996A (zh) 2020-01-17 2020-01-17 一种防火墙集中辅助维护系统

Publications (1)

Publication Number Publication Date
CN111224996A true CN111224996A (zh) 2020-06-02

Family

ID=70828201

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010050697.9A Pending CN111224996A (zh) 2020-01-17 2020-01-17 一种防火墙集中辅助维护系统

Country Status (1)

Country Link
CN (1) CN111224996A (zh)

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1453700A (zh) * 2002-04-26 2003-11-05 联想(北京)有限公司 一种通过网络对防火墙设备进行安全管理的方法
US20040128545A1 (en) * 2002-12-31 2004-07-01 International Business Machines Corporation Host controlled dynamic firewall system
JP2006099605A (ja) * 2004-09-30 2006-04-13 Shinano Kenshi Co Ltd ネットワーク接続システム
CN1905555A (zh) * 2005-07-30 2007-01-31 华为技术有限公司 基于ngn业务的防火墙控制系统及方法
CN101771669A (zh) * 2008-12-30 2010-07-07 北京天融信网络安全技术有限公司 一种设置防火墙策略的方法和装置
CN103023700A (zh) * 2012-12-03 2013-04-03 陕西维德科技股份有限公司 一种信息中心硬件设备的管理操作系统和方法
CN103607316A (zh) * 2012-03-15 2014-02-26 无锡信捷电气股份有限公司 一种基于工业物联网的状态防火墙状态检测系统及方法
CN106230771A (zh) * 2016-07-07 2016-12-14 国网青海省电力公司 基于多核处理器的工业控制系统工业防火墙
CN108429774A (zh) * 2018-06-21 2018-08-21 蔡梦臣 一种防火墙策略集中优化管理方法及其系统

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1453700A (zh) * 2002-04-26 2003-11-05 联想(北京)有限公司 一种通过网络对防火墙设备进行安全管理的方法
US20040128545A1 (en) * 2002-12-31 2004-07-01 International Business Machines Corporation Host controlled dynamic firewall system
JP2006099605A (ja) * 2004-09-30 2006-04-13 Shinano Kenshi Co Ltd ネットワーク接続システム
CN1905555A (zh) * 2005-07-30 2007-01-31 华为技术有限公司 基于ngn业务的防火墙控制系统及方法
CN101771669A (zh) * 2008-12-30 2010-07-07 北京天融信网络安全技术有限公司 一种设置防火墙策略的方法和装置
CN103607316A (zh) * 2012-03-15 2014-02-26 无锡信捷电气股份有限公司 一种基于工业物联网的状态防火墙状态检测系统及方法
CN103023700A (zh) * 2012-12-03 2013-04-03 陕西维德科技股份有限公司 一种信息中心硬件设备的管理操作系统和方法
CN106230771A (zh) * 2016-07-07 2016-12-14 国网青海省电力公司 基于多核处理器的工业控制系统工业防火墙
CN108429774A (zh) * 2018-06-21 2018-08-21 蔡梦臣 一种防火墙策略集中优化管理方法及其系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
葛磊蛟等: "智能用电条件下用户用能管理与服务平台", 《电力自动化设备》 *

Similar Documents

Publication Publication Date Title
US11706102B2 (en) Dynamically deployable self configuring distributed network management system
US8843605B2 (en) Method and system for filtering and suppression of telemetry data
CN110557437B (zh) 基于自定义协议的普适性拟态分发表决调度装置及方法
EP1859597B1 (en) Method for communication between an application and a client
DE60019640T2 (de) Digitales Rechnersystem und Verfahren zur Beantwortung von über ein externes Netzwerk empfangenen Anfragen
CN108476231A (zh) 用于经由中间装置维持会话的系统和方法
US8244853B1 (en) Method and system for non intrusive application interaction and dependency mapping
US9455888B2 (en) Application topology based on network traffic
US20030225883A1 (en) System and method for reliable delivery of event information
US8848522B2 (en) Telecommunications system and server apparatus
KR101480126B1 (ko) 네트워크 기반 고성능 sap 모니터링 시스템 및 방법
US11805033B2 (en) Monitoring of IoT simulated user experience
CN104408777B (zh) 一种基于nat穿越实现p2p通信的互联网考勤管理系统和方法
CN107078936A (zh) 用于提供对传输层连接的mss值的细粒度控制的系统和方法
CN115460250A (zh) 一种基于工业互联网的企业数据共享系统的传输方法
CN112637081A (zh) 带宽限速的方法及装置
US20070033641A1 (en) Distributed Network Security System
JP2015092341A (ja) 安全なリモートアクセスのためのシステムおよび方法
CN116599775B (zh) 一种主被动探测结合的资产发现系统及方法
CN109787848A (zh) 一种通过内网穿透技术组建去中心化网络架构技术
CN105577686A (zh) 基于网络控制器的局域网单点登录方法
CN111224996A (zh) 一种防火墙集中辅助维护系统
Kleinschmidt et al. End-to-end security in the IoT computing continuum: Perspectives in the SWAMP project
US20050050193A1 (en) Use of a policy-based network management system for centralised control of the enforcement of policy rules
CN112822054A (zh) 一种多个相关设备利用同一网元的远程管理方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20200602

RJ01 Rejection of invention patent application after publication