CN111262879B - 一种基于仿真路径分析的防火墙安全策略开通方法及装置 - Google Patents

一种基于仿真路径分析的防火墙安全策略开通方法及装置 Download PDF

Info

Publication number
CN111262879B
CN111262879B CN202010091151.8A CN202010091151A CN111262879B CN 111262879 B CN111262879 B CN 111262879B CN 202010091151 A CN202010091151 A CN 202010091151A CN 111262879 B CN111262879 B CN 111262879B
Authority
CN
China
Prior art keywords
firewall
target
security policy
path analysis
opening
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010091151.8A
Other languages
English (en)
Other versions
CN111262879A (zh
Inventor
孙祥明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Abt Networks Co ltd
Original Assignee
Wuhan Sipuling Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wuhan Sipuling Technology Co Ltd filed Critical Wuhan Sipuling Technology Co Ltd
Priority to CN202010091151.8A priority Critical patent/CN111262879B/zh
Publication of CN111262879A publication Critical patent/CN111262879A/zh
Application granted granted Critical
Publication of CN111262879B publication Critical patent/CN111262879B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请实施例公开了一种基于仿真路径分析的防火墙安全策略开通方法及装置,该方法中,通过获取策略开通申请信息,得到五元组信息,然后根据五元组信息,在网络仿真环境中进行路径分析,并获取路径分析结果,其中,网络仿真环境依据现网环境中各网络设备的连接与互访关系所构建。根据路径分析结果,将在路径分析过程中阻止访问的防火墙定位为目标防火墙,根据目标防火墙,生成与目标防火墙的类型相对应的目标安全策略,将目标安全策略下发至目标防火墙,以完成策略开通。通过上述方法,能够快速定位到阻止访问的防火墙,进而生成目标防火墙对应的目标安全策略,提高了策略开通的效率。

Description

一种基于仿真路径分析的防火墙安全策略开通方法及装置
技术领域
本申请涉及网络安全技术领域,尤其涉及一种基于仿真路径分析的防火墙安全策略开通方法及装置。
背景技术
防火墙是设置在不同网络或网络安全域之间的安全屏障,防火墙主要使用相关的安全策略来检验进出网络的访问行为,以达到限制某些访问行为的目的。目前,使用安全策略检验访问行为时,主要是通过判断经过防火墙的数据流中的五元组是否符合安全策略的规定,若符合规定,则可对该数据流进行放行,允许该种访问行为。其中,五元组包括源地址、目的地址、源端口号、目的端口号以及协议类型。
当某种访问行为被限制时,若要允许访问,则需针对相应的防火墙进行策略开通,在相应防火墙上增加允许数据流通过的安全策略。目前,在策略开通的过程中,通常由网络运维人员根据策略开通请求,找到阻止访问的防火墙设备,然后在防火墙上编写相对应的安全策略命令行,便可将原本被限制的访问改为允许访问。
但是,上述策略开通过程中,需利用人工找到阻止访问的防火墙设备,这将花费大量的时间,尤其是在防火墙设备较多的情况下,上述策略开通方法的效率较低。
发明内容
为了解决利用人工找到阻止访问的防火墙设备,将花费大量时间,尤其是在防火墙设备较多的情况下,现有策略开通方法效率较低的问题,本申请通过以下实施例公开了一种基于仿真路径分析的防火墙安全策略开通方法及装置。
本申请第一方面公开了一种基于仿真路径分析的防火墙安全策略开通方法,包括:
获取策略开通申请信息,所述策略开通申请信息中包括五元组信息,所述五元组信息包括源地址、目的地址、源端口号、目的端口号以及协议类型;
根据所述五元组信息,在网络仿真环境中进行路径分析,并获取路径分析结果,所述网络仿真环境依据现网环境中各网络设备的连接与互访关系所构建;
根据所述路径分析结果,定位目标防火墙,所述目标防火墙为在路径分析过程中阻止访问的防火墙;
根据所述目标防火墙,生成与所述目标防火墙的类型相对应的目标安全策略;
将所述目标安全策略下发至所述目标防火墙,以完成策略开通。
可选的,所述根据所述目标防火墙,生成与所述目标防火墙的类型相对应的目标安全策略,包括:
获取需开通的安全策略的命令行脚本;
根据所述目标防火墙的类型,获取预设的命令行模板;
根据所述预设的命令行模板,翻译所述命令行脚本,生成与所述目标防火墙的类型相对应的所述目标安全策略。
可选的,在将所述目标安全策略下发至所述目标防火墙之后,所述方法还包括:
更新所述网络仿真环境中的防火墙配置;
根据所述五元组信息,在完成更新的网络仿真环境中再次进行路径分析,检测更新后的网络仿真环境中是否还存在阻止访问的防火墙。
可选的,若更新后的网络仿真环境中还存在阻止访问的防火墙,所述方法还包括:
生成与第二目标防火墙的类型相对应的第二目标安全策略,所述第二目标防火墙为阻止访问的防火墙;
将所述第二目标安全策略下发至所述第二目标防火墙,以再次完成策略开通。
可选的,所述生成与所述第二目标防火墙的类型相对应的第二目标安全策略,包括:
获取需开通的安全策略的命令行脚本;
根据所述第二目标防火墙的类型,获取预设的第二命令行模板;
根据所述预设的第二命令行模板,翻译所述命令行脚本,生成与所述第二目标防火墙的类型相对应的所述第二目标安全策略。
本申请第二方面公开了一种基于仿真路径分析的防火墙安全策略开通装置,所述基于仿真路径分析的防火墙安全策略开通装置应用于本申请第一方面所述的一种基于仿真路径分析的防火墙安全策略开通方法,所述基于仿真路径分析的防火墙安全策略开通装置包括:
申请信息获取模块,用于获取策略开通申请信息,所述策略开通申请信息中包括五元组信息,所述五元组信息包括源地址、目的地址、源端口号、目的端口号以及协议类型;
路径分析模块,用于根据所述五元组信息,在网络仿真环境中进行路径分析,并获取路径分析结果,所述网络仿真环境依据现网环境中各网络设备的连接与互访关系所构建;
目标定位模块,用于根据所述路径分析结果,定位目标防火墙,所述目标防火墙为在路径分析过程中阻止访问的防火墙;
策略生成模块,用于根据所述目标防火墙,生成与所述目标防火墙的类型相对应的目标安全策略;
策略开通模块,用于将所述目标安全策略下发至所述目标防火墙,以完成策略开通。
可选的,所述策略生成模块包括:
脚本获取单元,用于获取需开通的安全策略的命令行脚本;
模板获取单元,用于根据所述目标防火墙的类型,获取预设的命令行模板;
翻译单元,用于根据所述预设的命令行模板,翻译所述命令行脚本,生成与所述目标防火墙的类型相对应的所述目标安全策略。
可选的,所述装置还包括:
更新模块,用于在将所述目标安全策略下发至所述目标防火墙之后,更新所述网络仿真环境中的防火墙配置;
检测验证模块,用于根据所述五元组信息,在完成更新的网络仿真环境中再次进行路径分析,检测更新后的网络仿真环境中是否还存在阻止访问的防火墙。
可选的,所述检测验证模块包括:
第二策略生成单元,用于在更新后的网络仿真环境中还存在阻止访问的防火墙时,生成与第二目标防火墙的类型相对应的第二目标安全策略,所述第二目标防火墙为阻止访问的防火墙;
策略再次开通单元,用于将所述第二目标安全策略下发至所述第二目标防火墙,以再次完成策略开通。
可选的,所述第二策略生成单元包括:
脚本获取子单元,用于获取需开通的安全策略的命令行脚本;
第二模板获取子单元,用于根据所述第二目标防火墙的类型,获取预设的第二命令行模板;
第二翻译子单元,用于根据所述预设的第二命令行模板,翻译所述命令行脚本,生成与所述第二目标防火墙的类型相对应的所述第二目标安全策略。
本申请实施例公开了一种基于仿真路径分析的防火墙安全策略开通方法及装置,该方法中,通过获取策略开通申请信息,得到五元组信息,然后根据五元组信息,在网络仿真环境中进行路径分析,并获取路径分析结果,其中,网络仿真环境依据现网环境中各网络设备的连接与互访关系所构建。根据路径分析结果,将在路径分析过程中阻止访问的防火墙定位为目标防火墙,根据目标防火墙,生成与目标防火墙的类型相对应的目标安全策略,将目标安全策略下发至目标防火墙,以完成策略开通。通过上述方法,能够快速定位到阻止访问的防火墙,进而生成目标防火墙对应的目标安全策略,提高了策略开通的效率。
附图说明
为了更清楚地说明本申请的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例公开的一种基于仿真路径分析的防火墙安全策略开通方法的工作流程示意图;
图2为本申请实施例公开的一种基于仿真路径分析的防火墙安全策略开通方法中,生成目标安全策略的工作流程示意图;
图3为本申请实施例公开的又一种基于仿真路径分析的防火墙安全策略开通方法的工作流程示意图;
图4为本申请实施例公开的一种基于仿真路径分析的防火墙安全策略开通装置的结构示意图;
图5为本申请实施例公开的一种基于仿真路径分析的防火墙安全策略开通装置中策略生成模块的结构示意图;
图6为本申请实施例公开的又一种基于仿真路径分析的防火墙安全策略开通装置的结构示意图。
具体实施方式
为了解决利用人工找到阻止访问的防火墙设备,将花费大量时间,尤其是在防火墙设备较多的情况下,现有策略开通方法效率较低的问题,本申请通过以下实施例公开了一种基于仿真路径分析的防火墙安全策略开通方法及装置。
参见图1,本申请第一实施例公开了一种基于仿真路径分析的防火墙安全策略开通方法,包括:
步骤S101,获取策略开通申请信息,所述策略开通申请信息中包括五元组信息,所述五元组信息包括源地址、目的地址、源端口号、目的端口号以及协议类型。
步骤S102,根据所述五元组信息,在网络仿真环境中进行路径分析,并获取路径分析结果,所述网络仿真环境依据现网环境中各网络设备的连接与互访关系所构建。
其中,网络仿真环境是通过提取现网环境中影响网络访问路径和数据流通过的三层网络设备的相关配置,通过大数据分析技术,自动构建各网络设备之间的连接与互访关系,从而形成的一套与现网环境网络配置及访问控制关系一致的全网网络仿真环境。在网络仿真环境中,可以模拟测试任意一组源地址、目的地址、协议端口是否存在通路,以及通路上所有经过的设备与配置信息。其中,设备类型包括:路由器、交换机、负载均衡及防火墙等,配置信息包括:路由、网络接口、ACL策略、Nat策略及安全策略等。
路径分析能够判断任意一组源地址、目的地址、协议类型、源端口及目的端口是否存在通路,以及通路上所有经过的设备与配置信息。路径分析能够实现任意源地址到目的地址的访问路径及数据流分析,包括是否有可达路径、可达路径经过的节点、命中的路由和策略信息、允许或拒绝的数据流详情等。访问路径分析时,通过源地址定位到对应的网关设备,再通过网关设备上的路由逐一寻找下一网关,直到目的地址,分析过程中,不断匹配网关设备上的ACL策略、Nat策略、路由及安全策略等信息。
步骤S103,根据所述路径分析结果,定位目标防火墙,所述目标防火墙为在路径分析过程中阻止访问的防火墙。
步骤S104,根据所述目标防火墙,生成与所述目标防火墙的类型相对应的目标安全策略。
步骤S105,将所述目标安全策略下发至所述目标防火墙,以完成策略开通。
本申请实施例公开了一种基于仿真路径分析的防火墙安全策略开通方法及装置,该方法中,通过获取策略开通申请信息,得到五元组信息,然后根据五元组信息,在网络仿真环境中进行路径分析,并获取路径分析结果,其中,网络仿真环境依据现网环境中各网络设备的连接与互访关系所构建。根据路径分析结果,将在路径分析过程中阻止访问的防火墙定位为目标防火墙,根据目标防火墙,生成与目标防火墙的类型相对应的目标安全策略,将目标安全策略下发至目标防火墙,以完成策略开通。通过上述方法,能够快速定位到阻止访问的防火墙,进而生成目标防火墙对应的目标安全策略,提高了策略开通的效率。
现有技术中,网络运维人员在寻找阻止访问的防火墙时,会通过判断每个防火墙设备上是否存在与需开通的安全策略相一致的策略信息,若不存在,则判定该防火墙为阻止访问的防火墙,需对其进行策略开通。这种将需要开通的安全策略与每个防火墙原有策略一一进行对比的方法,效率较低。本申请实施例公开的基于仿真路径分析的防火墙安全策略开通方法,能够通过路径分析,自动定位到阻止访问的防火墙,能够实现全自动的策略开通,极大提高的策略开通的效率。
进一步的,参见图2,上述步骤S104:根据所述目标防火墙,生成与所述目标防火墙的类型相对应的目标安全策略,包括:
步骤S1041,获取需开通的安全策略的命令行脚本。
步骤S1042,根据所述目标防火墙的类型,获取预设的命令行模板。
步骤S1043,根据所述预设的命令行模板,翻译所述命令行脚本,生成与所述目标防火墙的类型相对应的所述目标安全策略。
进一步的,参见图3,在将所述目标安全策略下发至所述目标防火墙之后,所述方法还包括:
步骤S106,更新所述网络仿真环境中的防火墙配置。
步骤S107,根据所述五元组信息,在完成更新的网络仿真环境中再次进行路径分析,检测更新后的网络仿真环境中是否还存在阻止访问的防火墙。
本申请实施例中,在完成策略开通之后,通过在更新后的网络仿真环境中再次进行路径分析,以验证策略开通是否成功。
进一步的,若更新后的网络仿真环境中还存在阻止访问的防火墙,所述方法还包括:
生成与第二目标防火墙的类型相对应的第二目标安全策略,所述第二目标防火墙为阻止访问的防火墙。
将所述第二目标安全策略下发至所述第二目标防火墙,以再次完成策略开通。
实际应用中,在还存在阻止访问的防火墙的情况下,系统可以发出警告,以提醒网络运维人员进行排查,分析策略开通失败的原因,以确保下一次策略开通的有效性。
进一步的,所述生成与所述第二目标防火墙的类型相对应的第二目标安全策略,包括:
获取需开通的安全策略的命令行脚本。
根据所述第二目标防火墙的类型,获取预设的第二命令行模板。
根据所述预设的第二命令行模板,翻译所述命令行脚本,生成与所述第二目标防火墙的类型相对应的所述第二目标安全策略。
下述为本申请公开的装置实施例,用于执行本申请公开的方法实施例。对于本申请装置实施例中未披露的细节,请参见本申请方法实施例。
本申请第二实施例公开了一种基于仿真路径分析的防火墙安全策略开通装置,所述基于仿真路径分析的防火墙安全策略开通装置应用于本申请第一实施例所述的一种基于仿真路径分析的防火墙安全策略开通方法,参见图4,所述基于仿真路径分析的防火墙安全策略开通装置包括:
申请信息获取模块10,用于获取策略开通申请信息,所述策略开通申请信息中包括五元组信息,所述五元组信息包括源地址、目的地址、源端口号、目的端口号以及协议类型。
路径分析模块20,用于根据所述五元组信息,在网络仿真环境中进行路径分析,并获取路径分析结果,所述网络仿真环境依据现网环境中各网络设备的连接与互访关系所构建。
目标定位模块30,用于根据所述路径分析结果,定位目标防火墙,所述目标防火墙为在路径分析过程中阻止访问的防火墙。
策略生成模块40,用于根据所述目标防火墙,生成与所述目标防火墙的类型相对应的目标安全策略。
策略开通模块50,用于将所述目标安全策略下发至所述目标防火墙,以完成策略开通。
进一步的,参见图5,所述策略生成模块40包括:
脚本获取单元401,用于获取需开通的安全策略的命令行脚本。
模板获取单元402,用于根据所述目标防火墙的类型,获取预设的命令行模板。
翻译单元403,用于根据所述预设的命令行模板,翻译所述命令行脚本,生成与所述目标防火墙的类型相对应的所述目标安全策略。
进一步的,参见图6,所述装置还包括:
更新模块60,用于在将所述目标安全策略下发至所述目标防火墙之后,更新所述网络仿真环境中的防火墙配置。
检测验证模块70,用于根据所述五元组信息,在完成更新的网络仿真环境中再次进行路径分析,检测更新后的网络仿真环境中是否还存在阻止访问的防火墙。
进一步的,所述检测验证模块包括:
第二策略生成单元,用于在更新后的网络仿真环境中还存在阻止访问的防火墙时,生成与第二目标防火墙的类型相对应的第二目标安全策略,所述第二目标防火墙为阻止访问的防火墙。
策略再次开通单元,用于将所述第二目标安全策略下发至所述第二目标防火墙,以再次完成策略开通。
进一步的,所述第二策略生成单元包括:
脚本获取子单元,用于获取需开通的安全策略的命令行脚本。
第二模板获取子单元,用于根据所述第二目标防火墙的类型,获取预设的第二命令行模板。
第二翻译子单元,用于根据所述预设的第二命令行模板,翻译所述命令行脚本,生成与所述第二目标防火墙的类型相对应的所述第二目标安全策略。
以上结合具体实施方式和范例性实例对本申请进行了详细说明,不过这些说明并不能理解为对本申请的限制。本领域技术人员理解,在不偏离本申请精神和范围的情况下,可以对本申请技术方案及其实施方式进行多种等价替换、修饰或改进,这些均落入本申请的范围内。本申请的保护范围以所附权利要求为准。

Claims (10)

1.一种基于仿真路径分析的防火墙安全策略开通方法,其特征在于,包括:
获取策略开通申请信息,所述策略开通申请信息中包括五元组信息,所述五元组信息包括源地址、目的地址、源端口号、目的端口号以及协议类型;
根据所述五元组信息,在网络仿真环境中进行路径分析,并获取路径分析结果,所述网络仿真环境依据现网环境中各网络设备的连接与互访关系所构建;所述路径分析包括通过源地址定位到对应的网关设备,再通过网关设备上的路由逐一寻找下一网关,直到目的地址;
根据所述路径分析结果,定位目标防火墙,所述目标防火墙为在路径分析过程中阻止访问的防火墙;
根据所述目标防火墙,生成与所述目标防火墙的类型相对应的目标安全策略;
将所述目标安全策略下发至所述目标防火墙,以完成策略开通。
2.根据权利要求1所述的基于仿真路径分析的防火墙安全策略开通方法,其特征在于,所述根据所述目标防火墙,生成与所述目标防火墙的类型相对应的目标安全策略,包括:
获取需开通的安全策略的命令行脚本;
根据所述目标防火墙的类型,获取预设的命令行模板;
根据所述预设的命令行模板,翻译所述命令行脚本,生成与所述目标防火墙的类型相对应的所述目标安全策略。
3.根据权利要求1所述的基于仿真路径分析的防火墙安全策略开通方法,其特征在于,在将所述目标安全策略下发至所述目标防火墙之后,所述方法还包括:
更新所述网络仿真环境中的防火墙配置;
根据所述五元组信息,在完成更新的网络仿真环境中再次进行路径分析,检测更新后的网络仿真环境中是否还存在阻止访问的防火墙。
4.根据权利要求3所述的基于仿真路径分析的防火墙安全策略开通方法,其特征在于,若更新后的网络仿真环境中还存在阻止访问的防火墙,所述方法还包括:
生成与第二目标防火墙的类型相对应的第二目标安全策略,所述第二目标防火墙为阻止访问的防火墙;
将所述第二目标安全策略下发至所述第二目标防火墙,以再次完成策略开通。
5.根据权利要求4所述的基于仿真路径分析的防火墙安全策略开通方法,其特征在于,所述生成与所述第二目标防火墙的类型相对应的第二目标安全策略,包括:
获取需开通的安全策略的命令行脚本;
根据所述第二目标防火墙的类型,获取预设的第二命令行模板;
根据所述预设的第二命令行模板,翻译所述命令行脚本,生成与所述第二目标防火墙的类型相对应的所述第二目标安全策略。
6.一种基于仿真路径分析的防火墙安全策略开通装置,其特征在于,所述基于仿真路径分析的防火墙安全策略开通装置应用于权利要求1-5任一项所述的一种基于仿真路径分析的防火墙安全策略开通方法,所述基于仿真路径分析的防火墙安全策略开通装置包括:
申请信息获取模块,用于获取策略开通申请信息,所述策略开通申请信息中包括五元组信息,所述五元组信息包括源地址、目的地址、源端口号、目的端口号以及协议类型;
路径分析模块,用于根据所述五元组信息,在网络仿真环境中进行路径分析,并获取路径分析结果,所述网络仿真环境依据现网环境中各网络设备的连接与互访关系所构建;所述路径分析包括通过源地址定位到对应的网关设备,再通过网关设备上的路由逐一寻找下一网关,直到目的地址;
目标定位模块,用于根据所述路径分析结果,定位目标防火墙,所述目标防火墙为在路径分析过程中阻止访问的防火墙;
策略生成模块,用于根据所述目标防火墙,生成与所述目标防火墙的类型相对应的目标安全策略;
策略开通模块,用于将所述目标安全策略下发至所述目标防火墙,以完成策略开通。
7.根据权利要求6所述的基于仿真路径分析的防火墙安全策略开通装置,其特征在于,所述策略生成模块包括:
脚本获取单元,用于获取需开通的安全策略的命令行脚本;
模板获取单元,用于根据所述目标防火墙的类型,获取预设的命令行模板;
翻译单元,用于根据所述预设的命令行模板,翻译所述命令行脚本,生成与所述目标防火墙的类型相对应的所述目标安全策略。
8.根据权利要求6所述的基于仿真路径分析的防火墙安全策略开通装置,其特征在于,所述装置还包括:
更新模块,用于在将所述目标安全策略下发至所述目标防火墙之后,更新所述网络仿真环境中的防火墙配置;
检测验证模块,用于根据所述五元组信息,在完成更新的网络仿真环境中再次进行路径分析,检测更新后的网络仿真环境中是否还存在阻止访问的防火墙。
9.根据权利要求8所述的基于仿真路径分析的防火墙安全策略开通装置,其特征在于,所述检测验证模块包括:
第二策略生成单元,用于在更新后的网络仿真环境中还存在阻止访问的防火墙时,生成与第二目标防火墙的类型相对应的第二目标安全策略,所述第二目标防火墙为阻止访问的防火墙;
策略再次开通单元,用于将所述第二目标安全策略下发至所述第二目标防火墙,以再次完成策略开通。
10.根据权利要求9所述的基于仿真路径分析的防火墙安全策略开通装置,其特征在于,所述第二策略生成单元包括:
脚本获取子单元,用于获取需开通的安全策略的命令行脚本;
第二模板获取子单元,用于根据所述第二目标防火墙的类型,获取预设的第二命令行模板;
第二翻译子单元,用于根据所述预设的第二命令行模板,翻译所述命令行脚本,生成与所述第二目标防火墙的类型相对应的所述第二目标安全策略。
CN202010091151.8A 2020-02-13 2020-02-13 一种基于仿真路径分析的防火墙安全策略开通方法及装置 Active CN111262879B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010091151.8A CN111262879B (zh) 2020-02-13 2020-02-13 一种基于仿真路径分析的防火墙安全策略开通方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010091151.8A CN111262879B (zh) 2020-02-13 2020-02-13 一种基于仿真路径分析的防火墙安全策略开通方法及装置

Publications (2)

Publication Number Publication Date
CN111262879A CN111262879A (zh) 2020-06-09
CN111262879B true CN111262879B (zh) 2022-05-24

Family

ID=70949497

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010091151.8A Active CN111262879B (zh) 2020-02-13 2020-02-13 一种基于仿真路径分析的防火墙安全策略开通方法及装置

Country Status (1)

Country Link
CN (1) CN111262879B (zh)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112398815A (zh) * 2020-10-28 2021-02-23 武汉思普崚技术有限公司 一种基于仿真路径分析的访问控制基线检测方法及装置
CN112272189A (zh) * 2020-11-04 2021-01-26 国网湖南省电力有限公司 用于电力系统的边界防护标准化及白名单自动部署方法
CN112600703B (zh) * 2020-12-11 2023-04-07 中国工商银行股份有限公司 网络设备远程访问故障定位方法及装置
CN112651137B (zh) * 2020-12-31 2023-06-09 武汉思普崚技术有限公司 一种策略模拟仿真给出策略开通建议的方法及装置
CN112367211B (zh) * 2021-01-13 2021-04-13 武汉思普崚技术有限公司 一种设备命令行生成配置模板方法、装置及存储介质
CN113301040B (zh) * 2021-05-21 2023-02-10 恒安嘉新(北京)科技股份公司 一种防火墙策略优化方法、装置、设备及存储介质
CN115225307A (zh) * 2022-05-12 2022-10-21 马上消费金融股份有限公司 一种防火墙管理方法、系统、电子设备和存储介质
CN115065613B (zh) * 2022-06-08 2024-01-12 北京启明星辰信息安全技术有限公司 一种基于防火墙配置的网络连通性分析系统及分析方法
CN115208671A (zh) * 2022-07-15 2022-10-18 山石网科通信技术股份有限公司 防火墙配置方法、装置、电子设备和存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104066103A (zh) * 2013-03-19 2014-09-24 中国移动通信集团湖北有限公司 数据业务核心网的故障定位方法和装置
CN110430206A (zh) * 2019-08-13 2019-11-08 上海新炬网络技术有限公司 基于脚本模板化生成配置防火墙安全策略的方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8505083B2 (en) * 2010-09-30 2013-08-06 Microsoft Corporation Remote resources single sign on
CN103067395B (zh) * 2012-12-31 2016-03-30 山石网科通信技术有限公司 诊断网络防火墙的方法及装置
CN104580078B (zh) * 2013-10-15 2018-04-17 北京神州泰岳软件股份有限公司 一种网络访问控制方法和系统
CN110289967A (zh) * 2019-06-19 2019-09-27 长城华冠汽车科技(苏州)有限公司 通信认证方法、装置及车辆

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104066103A (zh) * 2013-03-19 2014-09-24 中国移动通信集团湖北有限公司 数据业务核心网的故障定位方法和装置
CN110430206A (zh) * 2019-08-13 2019-11-08 上海新炬网络技术有限公司 基于脚本模板化生成配置防火墙安全策略的方法

Also Published As

Publication number Publication date
CN111262879A (zh) 2020-06-09

Similar Documents

Publication Publication Date Title
CN111262879B (zh) 一种基于仿真路径分析的防火墙安全策略开通方法及装置
JP6419967B2 (ja) ネットワーク管理のためのシステムおよび方法
Maldonado-Lopez et al. Detection and prevention of firewall-rule conflicts on software-defined networking
US10965580B2 (en) Systems and methods for automated determination of network device transiting data attributes
US7463593B2 (en) Network host isolation tool
US9319424B2 (en) Methods and systems for complying with network security requirements
CN111565127B (zh) 用于网络地址转换的测试方法、系统、设备及介质
CN110995764A (zh) 一种移动蜂窝网络应用层数据流量模糊测试系统及方法
CN113965355B (zh) 一种基于soc的非法ip省内网络封堵方法及装置
US10445746B2 (en) Method for checking compliance of payment application in virtualized environment
CN112383536B (zh) 防火墙验证方法、装置、计算机设备及存储介质
Zhang et al. Toward comprehensive network verification: Practices, challenges and beyond
Yu et al. Mining anomaly communication patterns for industrial control systems
You et al. OpenFlow security threat detection and defense services
CN104753955A (zh) 基于反弹端口木马的互联审计方法
Saied et al. A Comprehensive Solution for the Analysis, Validation and Optimization of SDN Data-Plane Configurations
CN115189905B (zh) 网络通信与安全管控一体机及其工作方法
CN114221808B (zh) 安全策略部署方法、装置、计算机设备及可读存储介质
US20230140706A1 (en) Pipelined Malware Infrastructure Identification
CN114666072B (zh) 非法转接点检测方法、服务器、平台、系统及存储介质
CN117221228A (zh) 内容计费网关ccg流量标识多规则校验方法、装置、设备、介质及程序产品
CN112580835B (zh) 服务器的管理方法及装置
CN115484142A (zh) 一种网络故障的诊断方法、装置、介质及网络设备
Sato et al. An Evaluation on Feasibility of a Communication Classifying System
CN106533830B (zh) 一种提高报文响应时间的装置及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20230427

Address after: 100120 room c0310, building 6, No.3, Dongbinhe Road, Deshengmen, Xicheng District, Beijing

Patentee after: BEIJING ABT NETWORKS CO.,LTD.

Address before: 430070 room 01, 3rd floor, building 11, phase I, Guanggu power energy saving and environmental protection technology business incubator (accelerator), No. 308, Guanggu Avenue, Donghu New Technology Development Zone, Wuhan City, Hubei Province

Patentee before: WUHAN SIPULING TECHNOLOGY Co.,Ltd.

TR01 Transfer of patent right