CN111277586A - 一种防火墙安全策略的调整方法及装置 - Google Patents

一种防火墙安全策略的调整方法及装置 Download PDF

Info

Publication number
CN111277586A
CN111277586A CN202010050248.4A CN202010050248A CN111277586A CN 111277586 A CN111277586 A CN 111277586A CN 202010050248 A CN202010050248 A CN 202010050248A CN 111277586 A CN111277586 A CN 111277586A
Authority
CN
China
Prior art keywords
path
policy
preset
address
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010050248.4A
Other languages
English (en)
Inventor
孙祥明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wuhan Sipuleng Technology Co Ltd
Wuhan Sipuling Technology Co Ltd
Original Assignee
Wuhan Sipuling Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wuhan Sipuling Technology Co Ltd filed Critical Wuhan Sipuling Technology Co Ltd
Priority to CN202010050248.4A priority Critical patent/CN111277586A/zh
Publication of CN111277586A publication Critical patent/CN111277586A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供了一种防火墙安全策略的调整方法及装置。所述方法包括:在预设时间段内,获取到用户访问互联网产生的日志信息之后,可以通过分析日志信息,得到访问记录,其中,访问记录中可以包括多条访问路径;然后,可以根据访问路径,对预先设置的防火墙安全策略进行调整。如此,相比于现有技术中认为配置安全策略的方式而言,本申请实施例提供的方法能够根据实际访问情况,调整安全策略,从而可以避免人为判断失误的问题,进而可以提升网络的整体安全防御能力。

Description

一种防火墙安全策略的调整方法及装置
技术领域
本申请涉及网络安全技术领域,特别涉及一种防火墙安全策略的调整方法及装置。
背景技术
防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。防火墙依照其配置的安全策略,按序检测通过的数据包,防止非法数据入侵内部网络实现安全防护。随着互联网的发展,网络规模不断扩大,数据包日益增大,防火墙作为内、外网安全屏障,起到至关重要的安全作用。
在防火墙使用的实际场景中,有专设防火墙管理人员或者安全团队对防火墙进行管理和维护并且配置必须的安全策略,其中,防火墙安全策略中可以包括策略路径,策略路径限定了哪些源IP地址可以访问哪个目的IP地址。但是,这种人为配置安全策略的方式主观性较高,容易出现人为的判断失误。
基于此,目前亟需一种防火墙安全策略的调整方法,用于解决人为配置安全策略的方式主观性较高,容易出现人为的判断失误的问题。
发明内容
本申请提供了一种防火墙安全策略的调整方法及装置,可用于解决人为配置安全策略的方式主观性较高,容易出现人为的判断失误的技术问题。
第一方面,本申请实施例提供一种防火墙安全策略的调整方法,所述方法包括:
获取在预设时间段内用户访问互联网产生的日志信息;
分析所述日志信息,得到访问记录;所述访问记录包括多条访问路径,所述访问路径是指从源IP地址到目的IP地址之间的路径;
根据所述访问路径,对预先设置的防火墙安全策略进行调整。
结合第一方面,在第一方面的一种可实现方式中,所述预先设置的防火墙安全策略包括多条策略路径,所述策略路径是指从预设的源IP地址到预设的目的IP地址之间的路径。
结合第一方面,在第一方面的一种可实现方式中,根据所述访问路径,对预先设置的防火墙安全策略进行调整,包括:
根据所述访问路径以及所述策略路径,确定策略路径的命中率;
根据所述策略路径的命中率,对预先设置的防火墙安全策略进行调整。
结合第一方面,在第一方面的一种可实现方式中,根据所述访问路径以及所述策略路径,确定策略路径的命中率,包括:
针对第一策略路径,根据所述第一策略路径对应的预设的源IP地址和预设的目的IP地址,确定与所述第一策略路径一致的访问路径的数量;所述第一策略路径为所述多条策略路径中任意一条策略路径;
根据所述与所述第一策略路径一致的访问路径的数量,以及访问路径的总数量,确定第一策略路径的命中率。
结合第一方面,在第一方面的一种可实现方式中,根据所述策略路径的命中率,对预先设置的防火墙安全策略进行调整,包括:
针对第一策略路径,如果所述第一策略路径的命中率大于或等于预设阈值,则保留所述预先设置的防火墙安全策略中包含的所述第一策略路径;如果所述第一策略路径的命中率小于预设阈值,则删除所述预先设置的防火墙安全策略中包含的所述第一策略路径;
其中,所述第一策略路径为所述多条策略路径中任意一条策略路径。
结合第一方面,在第一方面的一种可实现方式中,获取在预设时间段内用户访问互联网产生的日志信息,包括:
从网络交换机处获取在预设时间段内用户访问互联网产生的日志信息。
第二方面,本申请实施例提供一种防火墙安全策略的调整装置,所述装置包括:
获取单元,用于获取在预设时间段内用户访问互联网产生的日志信息;
分析单元,用于分析所述日志信息,得到访问记录;所述访问记录包括多条访问路径,所述访问路径是指从源IP地址到目的IP地址之间的路径;
调整单元,用于根据所述访问路径,对预先设置的防火墙安全策略进行调整。
结合第二方面,在第二方面的一种可实现方式中,所述预先设置的防火墙安全策略包括多条策略路径,所述策略路径是指从预设的源IP地址到预设的目的IP地址之间的路径。
结合第二方面,在第二方面的一种可实现方式中,所述调整单元具体用于:
根据所述访问路径以及所述策略路径,确定策略路径的命中率;以及,根据所述策略路径的命中率,对预先设置的防火墙安全策略进行调整。
结合第二方面,在第二方面的一种可实现方式中,所述调整单元具体用于:
针对第一策略路径,根据所述第一策略路径对应的预设的源IP地址和预设的目的IP地址,确定与所述第一策略路径一致的访问路径的数量;所述第一策略路径为所述多条策略路径中任意一条策略路径;
根据所述与所述第一策略路径一致的访问路径的数量,以及访问路径的总数量,确定第一策略路径的命中率。
结合第二方面,在第二方面的一种可实现方式中,所述调整单元具体用于:
针对第一策略路径,如果所述第一策略路径的命中率大于或等于预设阈值,则保留所述预先设置的防火墙安全策略中包含的所述第一策略路径;如果所述第一策略路径的命中率小于预设阈值,则删除所述预先设置的防火墙安全策略中包含的所述第一策略路径;
其中,所述第一策略路径为所述多条策略路径中任意一条策略路径。
结合第二方面,在第二方面的一种可实现方式中,所述获取单元具体用于:
从网络交换机处获取在预设时间段内用户访问互联网产生的日志信息。
第三方面,本申请实施例提供了一种电子设备,包括:
存储器,用于存储程序指令;
处理器,用于调用并执行所述存储器中的程序指令,以实现第一方面所述的防火墙安全策略的调整方法。
第四方面,本申请实施例提供了一种存储介质,所述存储介质中存储有计算机程序,当防火墙安全策略的调整装置的至少一个处理器执行所述计算机程序时,防火墙安全策略的调整装置执行第一方面所述的防火墙安全策略的调整方法。
采用上述方法,在预设时间段内,获取到用户访问互联网产生的日志信息之后,可以通过分析日志信息,得到访问记录,其中,访问记录中可以包括多条访问路径;然后,可以根据访问路径,对预先设置的防火墙安全策略进行调整。如此,相比于现有技术中认为配置安全策略的方式而言,本申请实施例提供的方法能够根据实际访问情况,调整安全策略,从而可以避免人为判断失误的问题,进而可以提升网络的整体安全防御能力。
附图说明
图1为本申请实施例适用的一种系统的结构示意图;
图2为本申请实施例提供的一种防火墙安全策略的调整方法所对应的流程示意图;
图3为本申请实施例提供的一种防火墙安全策略的调整装置的结构示意图;
图4为本申请实施例提供的电子设备硬件结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。
下面首先结合图1对本申请实施例适用的可能的系统架构进行介绍。
请参考图1,其示例性示出了本申请实施例适用的一种系统的结构示意图。该系统100可以包括用户端设备101、网络端设备102、防火墙103、交换机104和分析平台105。
其中,用户端设备101与网络端设备102之间通过网络连接,并且,为了提高互联网访问的安全性,通常,在用户端设备101与网络端设备102之间可以设置防火墙103,也就是说,用户端设备101向网络端设备102发送的消息可以被防火墙103拦截,在确定该消息安全后,防火墙103可以将该消息转发给网络端设备102;类似地,网络端设备102向用户端设备101发送的消息也可以被防火墙103拦截,在确定该消息安全后,防火墙103可以将该消息转发给用户端设备101。
用户的设备101可以是多种类型的设备,比如可以是个人计算机、笔记本电脑、平板电脑、智能手机或智能穿戴设备,具体不做限定。
网络端设备102可以是提供网络服务的设备,比如服务器。
在用户端设备101与防火墙103之间还可以设置交换机104。用户端设备101向网络端设备102发送的消息时,该消息首先抵达交换机104,然后再被防火墙103拦截,在确定该消息安全后,防火墙103可以将该消息转发给网络端设备102;类似地,网络端设备102向用户端设备101发送的消息时,该被防火墙103拦截,在确定该消息安全后,防火墙103可以将该消息通过交换机104转发给用户端设备101。
其中,交换是按照通信两端传输信息的需要,用人工或设备自动完成的方法,把要传输的信息送到符合要求的相应路由上的技术的统称。交换机根据工作位置的不同,可以分为广域网交换机和局域网交换机。广域网交换机就是一种在通信系统中完成信息交换功能的设备,它应用在数据链路层。局域网交换机指的是用在交换式局域网内进行数据交换的设备。交换机有多个端口,每个端口都具有桥接功能,可以连接一个局域网或一台高性能服务器或工作站。实际上,交换机有时被称为多端口网桥。
分析平台105可以获取用户端设备101与网络端设备102之间通信交互产生的日志信息。
本申请实施例中,交换机104既可以是广域网交换机,也可以是局域网交换机,具体不做限定。
基于图1所示的系统架构,图2示例性示出了本申请实施例提供的一种防火墙安全策略的调整方法所对应的流程示意图。如图2所示,具体包括如下步骤:
步骤201,获取在预设时间段内用户访问互联网产生的日志信息;
步骤202,分析日志信息,得到访问记录。
步骤203,根据访问路径,对预先设置的防火墙安全策略进行调整。
需要说明的是,上述步骤201至步骤203可以由图1中示出的分析平台105执行。
采用上述方法,在预设时间段内,获取到用户访问互联网产生的日志信息之后,可以通过分析日志信息,得到访问记录,其中,访问记录中可以包括多条访问路径;然后,可以根据访问路径,对预先设置的防火墙安全策略进行调整。如此,相比于现有技术中认为配置安全策略的方式而言,本申请实施例提供的方法能够根据实际访问情况,调整安全策略,从而可以避免人为判断失误的问题,进而可以提升网络的整体安全防御能力。
具体来说,步骤201和步骤202中,用户访问互联网产生的日志信息的来源有多种,一个示例中,可以从防火墙处获取在预设时间段内用户访问互联网产生的日志信息。也就是说,以图1示出的系统架构为例,分析平台105可以从防火墙103处获取在预设时间段内用户访问互联网产生的日志信息。
另一个示例中,考虑到不同厂商的防火墙发送的日志格式不一样,如果从防火墙中获取日志信息,那么就需要逐一适配防火墙,当防火墙中日志信息的数量较大时,从防火墙中获取日志信息的方法可能会影响防火墙的性能。基于此,可以从网络交换机处获取在预设时间段内用户访问互联网产生的日志信息。也就是说,以图1示出的系统架构为例,分析平台105可以从交换机104处获取在预设时间段内用户访问互联网产生的日志信息。
需要说明的是,上述两个示例仅为示例性说明,本领域技术人员还可以采用其它方式获取用户访问互联网产生的日志信息,具体不做限定。
本申请实施例中,预设时间段可以是本领域技术人员根据经验和实际情况确定的时间长度,具体不做限定。
对日志信息进行分析后,可以得到访问记录。其中,访问记录可以包括多条访问路径,访问路径可以是指从源IP地址到目的IP地址之间的路径。
如表1所示,为访问路径的一种示例。其中,访问路径包括:1、从源IP地址192.168.1.1到目的IP地址10.10.168.1;2、从源IP地址192.168.1.2到目的IP地址10.10.168.1;3、从源IP地址192.168.1.1到目的IP地址10.10.168.1;4、从源IP地址192.168.1.1到目的IP地址10.10.168.1;5、从源IP地址192.168.1.2到目的IP地址10.10.168.1;6、从源IP地址192.168.1.1到目的IP地址10.10.168.1;7、从源IP地址192.168.1.1到目的IP地址10.10.168.1;8、从源IP地址192.168.1.2到目的IP地址10.10.168.1;9、从源IP地址192.168.1.2到目的IP地址10.10.168.1;10、从源IP地址192.168.1.1到目的IP地址10.10.168.1。
表1:访问路径的一种示例
Figure BDA0002370884750000041
Figure BDA0002370884750000051
步骤203中,预先设置的防火墙安全策略可以包括多条策略路径,策略路径是预先设置的,可以是指从预设的源IP地址到预设的目的IP地址之间的。
如表2所示,为策略路径的一种示例。其中,策略路径包括:1、从预设的源IP地址192.168.1.1到预设的目的IP地址10.10.168.1;2、从预设的源IP地址192.168.1.2到预设的目的IP地址10.10.168.1;3、从预设的源IP地址192.168.1.3到预设的目的IP地址10.10.168.1;4、从预设的源IP地址192.168.1.4到预设的目的IP地址10.10.168.1;5、从预设的源IP地址192.168.1.5到预设的目的IP地址10.10.168.1;6、从预设的源IP地址192.168.1.6到预设的目的IP地址10.10.168.1;7、从预设的源IP地址192.168.1.7到预设的目的IP地址10.10.168.1;8、从预设的源IP地址192.168.1.8到预设的目的IP地址10.10.168.1;9、从预设的源IP地址192.168.1.9到预设的目的IP地址10.10.168.1;10、从预设的源IP地址192.168.1.10到预设的目的IP地址10.10.168.1。
表2:策略路径的一种示例
Figure BDA0002370884750000052
本申请实施例中,根据访问路径,对预先设置的防火墙安全策略进行调整的方式有多种。一种可能的实现方式为,可以根据访问路径以及策略路径,确定策略路径的命中率,然后可以根据策略路径的命中率,对预先设置的防火墙安全策略进行调整。
其中,确定策略路径的命中率的过程可以如下:
针对第一策略路径,可以根据第一策略路径对应的预设的源IP地址和预设的目的IP地址,确定与第一策略路径一致的访问路径的数量;然后,可以根据与第一策略路径一致的访问路径的数量,以及访问路径的总数量,确定第一策略路径的命中率。其中,第一策略路径可以为多条策略路径中任意一条策略路径。
进一步地,在确定策略路径的命中率之后,如果第一策略路径的命中率大于或等于预设阈值,则保留预先设置的防火墙安全策略中包含的第一策略路径;如果第一策略路径的命中率小于预设阈值,则删除预先设置的防火墙安全策略中包含的第一策略路径。
为了更加清楚地描述上述确定策略路径的命中率的过程,下面根据表1和表2示出的内容,进行举例说明。
通过分析表1示出的内容,可以确定,表1中共有10次访问路径的记录,具体包括两种访问路径,一种是从源IP地址192.168.1.1到目的IP地址10.10.168.1,且该路径在预设时间段内出现的次数为6次;另一种是,从源IP地址192.168.1.2到目的IP地址10.10.168.1,且该路径在预设时间段内出现的次数为4次。
结合表2示出的内容,可知,表2中示出的策略路径包括:1、从预设的源IP地址192.168.1.1到预设的目的IP地址10.10.168.1;2、从预设的源IP地址192.168.1.2到预设的目的IP地址10.10.168.1;3、从预设的源IP地址192.168.1.3到预设的目的IP地址10.10.168.1;4、从预设的源IP地址192.168.1.4到预设的目的IP地址10.10.168.1;5、从预设的源IP地址192.168.1.5到预设的目的IP地址10.10.168.1;6、从预设的源IP地址192.168.1.6到预设的目的IP地址10.10.168.1;7、从预设的源IP地址192.168.1.7到预设的目的IP地址10.10.168.1;8、从预设的源IP地址192.168.1.8到预设的目的IP地址10.10.168.1;9、从预设的源IP地址192.168.1.9到预设的目的IP地址10.10.168.1;10、从预设的源IP地址192.168.1.10到预设的目的IP地址10.10.168.1。
那么,针对表2中示出的第1个策略路径(即从预设的源IP地址192.168.1.1到预设的目的IP地址10.10.168.1),其命中率为60%;针对表2中示出的第2个策略路径(从预设的源IP地址192.168.1.2到预设的目的IP地址10.10.168.1),其命中率为40%;针对表2中示出的其它策略路径,命中率均为0%。
假设预设阈值为30%,那么保留下来的策略路径包括:1、从预设的源IP地址192.168.1.1到预设的目的IP地址10.10.168.1;2、从预设的源IP地址192.168.1.2到预设的目的IP地址10.10.168.1。相反地,删除的策略路径包括:3、从预设的源IP地址192.168.1.3到预设的目的IP地址10.10.168.1;4、从预设的源IP地址192.168.1.4到预设的目的IP地址10.10.168.1;5、从预设的源IP地址192.168.1.5到预设的目的IP地址10.10.168.1;6、从预设的源IP地址192.168.1.6到预设的目的IP地址10.10.168.1;7、从预设的源IP地址192.168.1.7到预设的目的IP地址10.10.168.1;8、从预设的源IP地址192.168.1.8到预设的目的IP地址10.10.168.1;9、从预设的源IP地址192.168.1.9到预设的目的IP地址10.10.168.1;10、从预设的源IP地址192.168.1.10到预设的目的IP地址10.10.168.1。如此,就可以实现对预先设置的防火墙安全策略进行调整。
在其它可能的实现方式为,本领域技术人员可以根据经验和实际情况来对预先设置的防火墙安全策略进行调整,比如,可以根据访问路径以及策略路径,确定策略路径的匹配程度,然后可以根据策略路径的匹配程度,对预先设置的防火墙安全策略进行调整。
采用上述方法,在预设时间段内,获取到用户访问互联网产生的日志信息之后,可以通过分析日志信息,得到访问记录,其中,访问记录中可以包括多条访问路径;然后,可以根据第一策略路径对应的预设的源IP地址和预设的目的IP地址,确定与第一策略路径一致的访问路径的数量;然后,可以根据与第一策略路径一致的访问路径的数量,以及访问路径的总数量,确定第一策略路径的命中率;再然后,可以判断第一策略路径的命中率是否大于或等于预设阈值,如果第一策略路径的命中率大于或等于预设阈值,则保留预先设置的防火墙安全策略中包含的第一策略路径;如果第一策略路径的命中率小于预设阈值,则删除预先设置的防火墙安全策略中包含的第一策略路径。如此,相比于现有技术中认为配置安全策略的方式而言,本申请实施例提供的方法能够根据实际访问情况,调整安全策略,从而可以避免人为判断失误的问题,进而可以提升网络的整体安全防御能力。
下述为本申请装置实施例,可以用于执行本申请方法实施例。对于本申请装置实施例中未披露的细节,请参照本申请方法实施例。
图3示例性示出了本申请实施例提供的一种防火墙安全策略的调整装置的结构示意图。如图3所示,该装置具有实现上述防火墙安全策略的调整方法的功能,所述功能可以由硬件实现,也可以由硬件执行相应的软件实现。该装置可以包括:获取单元301,分析单元302和调整单元303。
获取单元301,用于获取在预设时间段内用户访问互联网产生的日志信息;
分析单元302,用于分析所述日志信息,得到访问记录;所述访问记录包括多条访问路径,所述访问路径是指从源IP地址到目的IP地址之间的路径;
调整单元303,用于根据所述访问路径,对预先设置的防火墙安全策略进行调整。
在一种可能的实现方式中,所述预先设置的防火墙安全策略包括多条策略路径,所述策略路径是指从预设的源IP地址到预设的目的IP地址之间的路径。
在一种可能的实现方式中,所述调整单元303具体用于:
根据所述访问路径以及所述策略路径,确定策略路径的命中率;以及,根据所述策略路径的命中率,对预先设置的防火墙安全策略进行调整。
在一种可能的实现方式中,所述调整单元303具体用于:
针对第一策略路径,根据所述第一策略路径对应的预设的源IP地址和预设的目的IP地址,确定与所述第一策略路径一致的访问路径的数量;所述第一策略路径为所述多条策略路径中任意一条策略路径;
根据所述与所述第一策略路径一致的访问路径的数量,以及访问路径的总数量,确定策略路径的命中率。
在一种可能的实现方式中,所述调整单元303具体用于:
针对第一策略路径,如果所述第一策略路径的命中率大于或等于预设阈值,则保留所述预先设置的防火墙安全策略中包含的所述第一策略路径;如果所述第一策略路径的命中率小于预设阈值,则删除所述预先设置的防火墙安全策略中包含的所述第一策略路径;
其中,所述第一策略路径为所述多条策略路径中任意一条策略路径。
在一种可能的实现方式中,所述获取单元301具体用于:
从网络交换机处获取在预设时间段内用户访问互联网产生的日志信息。
采用上述装置,在预设时间段内,获取到用户访问互联网产生的日志信息之后,可以通过分析日志信息,得到访问记录,其中,访问记录中可以包括多条访问路径;然后,可以根据第一策略路径对应的预设的源IP地址和预设的目的IP地址,确定与第一策略路径一致的访问路径的数量;然后,可以根据与第一策略路径一致的访问路径的数量,以及访问路径的总数量,确定第一策略路径的命中率;再然后,可以判断第一策略路径的命中率是否大于或等于预设阈值,如果第一策略路径的命中率大于或等于预设阈值,则保留预先设置的防火墙安全策略中包含的第一策略路径;如果第一策略路径的命中率小于预设阈值,则删除预先设置的防火墙安全策略中包含的第一策略路径。如此,相比于现有技术中认为配置安全策略的方式而言,本申请实施例提供的方法能够根据实际访问情况,调整安全策略,从而可以避免人为判断失误的问题,进而可以提升网络的整体安全防御能力。
图4为本申请实施例提供的电子设备硬件结构示意图。如图4所示,本申请实施例提供的电子设备包括:存储器401,用于存储程序指令;处理器402,用于调用并执行所述存储器中的程序指令,以实现上述实施例所述的防火墙安全策略的调整方法。
本申请实施例中,处理器402和存储器401可通过总线或其他方式连接。处理器可以是通用处理器,例如中央处理器、数字信号处理器、专用集成电路,或者被配置成实施本申请实施例的一个或多个集成电路。存储器可以包括易失性存储器,例如随机存取存储器;存储器也可以包括非易失性存储器,例如只读存储器、快闪存储器、硬盘或固态硬盘。
本申请实施例还提供了一种存储介质,所述存储介质中存储有计算机程序,当防火墙安全策略的调整装置的至少一个处理器执行所述计算机程序时,防火墙安全策略的调整装置执行上述实施例所述的防火墙安全策略的调整方法。
所述的存储介质可为磁碟、光盘、只读存储记忆体(英文:read-only memory,简称:ROM)或随机存储记忆体(英文:random access memory,简称:RAM)等。
本领域的技术人员可以清楚地了解到本申请实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本申请实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例或者实施例的某些部分所述的方法。
本说明书中各个实施例之间相同相似的部分互相参见即可。尤其,对于服务构建装置和服务加载装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例中的说明即可。
以上所述的本申请实施方式并不构成对本申请保护范围的限定。

Claims (10)

1.一种防火墙安全策略的调整方法,其特征在于,所述方法包括:
获取在预设时间段内用户访问互联网产生的日志信息;
分析所述日志信息,得到访问记录;所述访问记录包括多条访问路径,所述访问路径是指从源IP地址到目的IP地址之间的路径;
根据所述访问路径,对预先设置的防火墙安全策略进行调整。
2.根据权利要求1所述的方法,其特征在于,所述预先设置的防火墙安全策略包括多条策略路径,所述策略路径是指从预设的源IP地址到预设的目的IP地址之间的路径。
3.根据权利要求2所述的方法,其特征在于,根据所述访问路径,对预先设置的防火墙安全策略进行调整,包括:
根据所述访问路径以及所述策略路径,确定策略路径的命中率;
根据所述策略路径的命中率,对预先设置的防火墙安全策略进行调整。
4.根据权利要求3所述的方法,其特征在于,根据所述访问路径以及所述策略路径,确定策略路径的命中率,包括:
针对第一策略路径,根据所述第一策略路径对应的预设的源IP地址和预设的目的IP地址,确定与所述第一策略路径一致的访问路径的数量;所述第一策略路径为所述多条策略路径中任意一条策略路径;
根据所述与所述第一策略路径一致的访问路径的数量,以及访问路径的总数量,确定第一策略路径的命中率。
5.根据权利要求3所述的方法,其特征在于,根据所述策略路径的命中率,对预先设置的防火墙安全策略进行调整,包括:
针对第一策略路径,如果所述第一策略路径的命中率大于或等于预设阈值,则保留所述预先设置的防火墙安全策略中包含的所述第一策略路径;如果所述第一策略路径的命中率小于预设阈值,则删除所述预先设置的防火墙安全策略中包含的所述第一策略路径;
其中,所述第一策略路径为所述多条策略路径中任意一条策略路径。
6.根据权利要求1所述的方法,其特征在于,获取在预设时间段内用户访问互联网产生的日志信息,包括:
从网络交换机处获取在预设时间段内用户访问互联网产生的日志信息。
7.一种防火墙安全策略的调整装置,其特征在于,所述装置包括:
获取单元,用于获取在预设时间段内用户访问互联网产生的日志信息;
分析单元,用于分析所述日志信息,得到访问记录;所述访问记录包括多条访问路径,所述访问路径是指从源IP地址到目的IP地址之间的路径;
调整单元,用于根据所述访问路径,对预先设置的防火墙安全策略进行调整。
8.根据权利要求7所述的装置,其特征在于,所述预先设置的防火墙安全策略包括多条策略路径,所述策略路径是指从预设的源IP地址到预设的目的IP地址之间的路径。
9.根据权利要求8所述的装置,其特征在于,所述调整单元具体用于:
根据所述访问路径以及所述策略路径,确定策略路径的命中率;以及,根据所述策略路径的命中率,对预先设置的防火墙安全策略进行调整。
10.根据权利要求9所述的装置,其特征在于,所述调整单元具体用于:
针对第一策略路径,根据所述第一策略路径对应的预设的源IP地址和预设的目的IP地址,确定与所述第一策略路径一致的访问路径的数量;所述第一策略路径为所述多条策略路径中任意一条策略路径;
根据所述与所述第一策略路径一致的访问路径的数量,以及访问路径的总数量,确定第一策略路径的命中率。
CN202010050248.4A 2020-01-17 2020-01-17 一种防火墙安全策略的调整方法及装置 Pending CN111277586A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010050248.4A CN111277586A (zh) 2020-01-17 2020-01-17 一种防火墙安全策略的调整方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010050248.4A CN111277586A (zh) 2020-01-17 2020-01-17 一种防火墙安全策略的调整方法及装置

Publications (1)

Publication Number Publication Date
CN111277586A true CN111277586A (zh) 2020-06-12

Family

ID=71001729

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010050248.4A Pending CN111277586A (zh) 2020-01-17 2020-01-17 一种防火墙安全策略的调整方法及装置

Country Status (1)

Country Link
CN (1) CN111277586A (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111935117A (zh) * 2020-07-30 2020-11-13 平安科技(深圳)有限公司 防火墙策略的下发方法、装置、电子设备及存储介质
CN112019546A (zh) * 2020-08-28 2020-12-01 杭州安恒信息技术股份有限公司 一种防护策略调整方法、系统、设备及计算机存储介质
CN114244555A (zh) * 2021-11-04 2022-03-25 华能信息技术有限公司 一种安全策略的调整方法
CN114938288A (zh) * 2022-04-08 2022-08-23 北京指掌易科技有限公司 一种数据访问方法、装置、设备以及存储介质
CN115065613A (zh) * 2022-06-08 2022-09-16 北京启明星辰信息安全技术有限公司 一种基于防火墙配置的网络连通性分析系统及分析方法

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140090014A1 (en) * 2005-11-22 2014-03-27 Fortinet, Inc. Policy-based content filtering
CN105791213A (zh) * 2014-12-18 2016-07-20 华为技术有限公司 一种策略优化装置及方法
CN105827649A (zh) * 2016-05-19 2016-08-03 上海携程商务有限公司 防火墙策略的自动生成方法及系统
CN106603471A (zh) * 2015-10-16 2017-04-26 北京启明星辰信息安全技术有限公司 一种防火墙策略检测方法及装置
CN108418801A (zh) * 2018-02-01 2018-08-17 杭州安恒信息技术股份有限公司 一种基于大数据分析的防火墙策略优化方法及系统
CN109413019A (zh) * 2018-04-28 2019-03-01 武汉思普崚技术有限公司 一种防火墙策略优化检查方法及装置
CN109639743A (zh) * 2018-12-13 2019-04-16 成都亚信网络安全产业技术研究院有限公司 一种防火墙策略检测方法及设备

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140090014A1 (en) * 2005-11-22 2014-03-27 Fortinet, Inc. Policy-based content filtering
CN105791213A (zh) * 2014-12-18 2016-07-20 华为技术有限公司 一种策略优化装置及方法
CN106603471A (zh) * 2015-10-16 2017-04-26 北京启明星辰信息安全技术有限公司 一种防火墙策略检测方法及装置
CN105827649A (zh) * 2016-05-19 2016-08-03 上海携程商务有限公司 防火墙策略的自动生成方法及系统
CN108418801A (zh) * 2018-02-01 2018-08-17 杭州安恒信息技术股份有限公司 一种基于大数据分析的防火墙策略优化方法及系统
CN109413019A (zh) * 2018-04-28 2019-03-01 武汉思普崚技术有限公司 一种防火墙策略优化检查方法及装置
CN109639743A (zh) * 2018-12-13 2019-04-16 成都亚信网络安全产业技术研究院有限公司 一种防火墙策略检测方法及设备

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111935117A (zh) * 2020-07-30 2020-11-13 平安科技(深圳)有限公司 防火墙策略的下发方法、装置、电子设备及存储介质
CN112019546A (zh) * 2020-08-28 2020-12-01 杭州安恒信息技术股份有限公司 一种防护策略调整方法、系统、设备及计算机存储介质
CN112019546B (zh) * 2020-08-28 2022-11-25 杭州安恒信息技术股份有限公司 一种防护策略调整方法、系统、设备及计算机存储介质
CN114244555A (zh) * 2021-11-04 2022-03-25 华能信息技术有限公司 一种安全策略的调整方法
CN114244555B (zh) * 2021-11-04 2024-01-26 华能信息技术有限公司 一种安全策略的调整方法
CN114938288A (zh) * 2022-04-08 2022-08-23 北京指掌易科技有限公司 一种数据访问方法、装置、设备以及存储介质
CN114938288B (zh) * 2022-04-08 2024-04-26 北京指掌易科技有限公司 一种数据访问方法、装置、设备以及存储介质
CN115065613A (zh) * 2022-06-08 2022-09-16 北京启明星辰信息安全技术有限公司 一种基于防火墙配置的网络连通性分析系统及分析方法
CN115065613B (zh) * 2022-06-08 2024-01-12 北京启明星辰信息安全技术有限公司 一种基于防火墙配置的网络连通性分析系统及分析方法

Similar Documents

Publication Publication Date Title
CN111277586A (zh) 一种防火墙安全策略的调整方法及装置
US11023378B2 (en) Distributed cloud-based dynamic name server surrogation systems and methods
US10447560B2 (en) Data leakage protection in cloud applications
US8095683B2 (en) Method and system for mirroring dropped packets
US11290424B2 (en) Methods and systems for efficient network protection
US9654445B2 (en) Network traffic filtering and routing for threat analysis
US10135785B2 (en) Network security system to intercept inline domain name system requests
US10904288B2 (en) Identifying and deceiving adversary nodes and maneuvers for attack deception and mitigation
US10735453B2 (en) Network traffic filtering and routing for threat analysis
US20230362131A1 (en) Systems and methods for monitoring and securing networks using a shared buffer
US11330011B2 (en) Avoidance of over-mitigation during automated DDOS filtering
US10057390B2 (en) Method and system for modifying HTTP request headers without terminating the connection
CN112804230B (zh) 分布式拒绝服务攻击的监控方法、系统、设备及存储介质
KR101017015B1 (ko) 네트워크 기반 고성능 콘텐츠 보안 시스템 및 방법
CN111447199A (zh) 服务器的风险分析方法、服务器的风险分析装置及介质
CN111245858A (zh) 网络流量拦截方法、系统、装置、计算机设备和存储介质
CN110213301A (zh) 一种转移网络攻击面的方法、服务器和系统
CN106937350B (zh) 基于移动终端的路由方法及系统
CN111970250A (zh) 一种识别账号共享的方法及电子设备、存储介质
CN113608893B (zh) 防止重复下发策略给RabbitMQ的方法、系统、终端及存储介质
US20240137302A1 (en) System and method for determining flow specification efficacy
Lind et al. Privacy surviving data retention in Europe
US20240235977A9 (en) System and method for determining flow specification efficacy
CN113489726B (zh) 流量限制方法及设备
KR20170047533A (ko) 비인가 우회접속 차단 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20200612

RJ01 Rejection of invention patent application after publication