CN111641601A - 防火墙管理方法、装置、设备及存储介质 - Google Patents

防火墙管理方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN111641601A
CN111641601A CN202010398965.6A CN202010398965A CN111641601A CN 111641601 A CN111641601 A CN 111641601A CN 202010398965 A CN202010398965 A CN 202010398965A CN 111641601 A CN111641601 A CN 111641601A
Authority
CN
China
Prior art keywords
security policy
firewall
detection result
invalid
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010398965.6A
Other languages
English (en)
Inventor
高阳
刘明
李妍
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Citic Bank Corp Ltd
Original Assignee
China Citic Bank Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Citic Bank Corp Ltd filed Critical China Citic Bank Corp Ltd
Priority to CN202010398965.6A priority Critical patent/CN111641601A/zh
Publication of CN111641601A publication Critical patent/CN111641601A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/21Design, administration or maintenance of databases
    • G06F16/215Improving data quality; Data cleansing, e.g. de-duplication, removing invalid entries or correcting typographical errors
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Databases & Information Systems (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请提供一种防火墙管理方法、装置、设备及存储介质,涉及防火墙管理技术领域。该方法包括:获取多个待解析配置备份文件中的安全策略;对所述安全策略进行检测,生成检测结果;其中,所述检测结果用于指示安全策略是否为无效安全策略;若所述检测结果指示所述安全策略为无效安全策略,则根据所述检测结果和预设规则,生成配置文件,所述配置文件用于删除防火墙中的所述无效安全策略。相对于现有技术,避免了防火墙内存在大量无效安全策略,导致防火墙资源被占用的问题。

Description

防火墙管理方法、装置、设备及存储介质
技术领域
本申请涉及防火墙管理技术领域,具体而言,涉及一种防火墙管理方法、装置、设备及存储介质。
背景技术
防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。其可以及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。
现有技术中防火墙的策略管理方法一般是通过范式化操作后的防火墙策略与基线策略进行对比,判断是否发生变更,再依次对范世化操作后的防火墙策略两两进行判断,表示出不合理的策略,对范式化操作后防火墙策略与防火墙端口黑名单进行比对,标识出开通高危端口的防火墙策略等。
但是这样的管理方法无法检查出当前防火墙内的无效安全策略,导致大量无效安全策略的存在只能用了防火墙的资源,降低了防火墙的处理能力。
发明内容
本申请的目的在于,针对上述现有技术中的不足,提供一种防火墙管理方法、装置、设备及存储介质,以解决现有技术中防火墙内存在大量无效安全策略,导致防火墙资源被占用的问题。
为实现上述目的,本申请实施例采用的技术方案如下:
第一方面,本申请一实施例提供了一种防火墙管理方法,所述方法包括:
获取多个待解析配置备份文件中的安全策略信息;
对所述安全策略信息进行检测,生成检测结果;其中,所述检测结果用于指示安全策略信息对应的安全策略,是否为无效安全策略;
若所述检测结果指示所述安全策略为无效安全策略,则根据所述检测结果和预设规则,生成配置文件,所述配置文件用于删除防火墙中的所述无效安全策略。
可选地,所述获取多个待解析配置文件中的安全策略信息之前,该方法还包括:
获取各子系统中,各防火墙对应的配置信息;
根据所述配置信息、所述配置信息对应的管理地址和备份命令,生成对应的配置备份文件。
可选地,所述对所述安全策略信息进行检测,生成检测结果,包括:
对所述安全策略信息进行解析,获取解析结果;
根据预设检测模型对所述解析结果进行检测,生成检测结果,其中,预设检测模型用于检测对所述解析结果进行检测,从而确定所述解析结果对应的安全策略是否为无效安全策略。
可选地,所述解析结果包括:所述安全策略对应的命中数量、存在时间、连接模式、源地址和目的端口;
对应地,所述根据预设检测模型对所述解析结果进行检测,生成检测结果,包括:
根据所述安全策略对应的命中数量、所述存在时间、所述连接模式、所述源地址和所述目的端口,生成所述检测结果。
可选地,所述根据所述安全策略对应的命中数量、所述存在时间、所述连接模式、所述源地址和所述目的端口,生成所述检测结果,包括:
获取各子系统中,命中数量为0、存在时间超过预设时间,且连接模式为长连接模式的所述安全策略为目标安全策略;
判断各目标安全策略的所述源地址和所述目的端口是否相同;
若相同,则确定相同的所述目标安全策略为无效安全策略。
第二方面,本申请另一实施例提供了一种防火墙管理装置,所述装置包括:获取模块、检测模块和生成模块,其中:
所述获取模块,用于获取多个待解析配置备份文件中的安全策略信息;
所述检测模块,用于对所述安全策略信息进行检测,生成检测结果;其中,所述检测结果用于指示安全策略信息对应的安全策略,是否为无效安全策略;
所述生成模块,用于若所述检测结果指示所述安全策略为无效安全策略,则根据所述检测结果和预设规则,生成配置文件,所述配置文件用于删除防火墙中的所述无效安全策略。
可选地,所述获取模块,还用于获取各子系统中,各防火墙对应的配置信息;
所述生成模块,还用于根据所述配置信息、所述配置信息对应的管理地址和备份命令,生成对应的配置备份文件。
可选地,所述获取模块,还用于对所述安全策略信息进行解析,获取解析结果;
所述生成模块,还用于根据预设检索模型对所述解析结果进行检测,生成检测结果。
可选地,所述解析结果包括:所述安全策略对应的命中数量、存在时间、连接模式、源地址和目的端口;所述生成模块,还用于根据所述安全策略对应的命中数量、所述存在时间、所述连接模式、所述源地址和所述目的端口,生成所述检测结果。
可选地,所述装置还包括:判断模块和确定模块,其中:
所述获取模块,还用于获取各子系统中,命中数量为0、存在时间超过预设时间,且连接模式为长连接模式的所述安全策略为目标安全策略;
所述判断模块,用于判断各目标安全策略的所述源地址和所述目的端口是否相同;
所述确定模块,用于若相同,则确定相同的所述目标安全策略为无效安全策略。
第三方面,本申请另一实施例提供了一种防火墙管理设备,包括:处理器、存储介质和总线,所述存储介质存储有所述处理器可执行的机器可读指令,当防火墙管理设备运行时,所述处理器与所述存储介质之间通过总线通信,所述处理器执行所述机器可读指令,以执行如上述第一方面任一所述方法的步骤。
第四方面,本申请另一实施例提供了一种存储介质,所述存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行如上述第一方面任一所述方法的步骤。
采用本申请提供的防火墙管理方法,通过对待解析配置文件中的安全策略信息进行检测,判断当前安全策略信息对应的安全策略是否为无效安全策略,根据检测结果和预设规则生成配置文件,并根据配置文件对当前防火墙中的无效安全策略进行删除,从而实现了对防火墙中的无效安全策略进行自动清理,减少了无效安全策略对防火墙资源的占用,从而提高了防火墙的处理能力。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请一实施例提供的防火墙管理方法的流程示意图;
图2为本申请另一实施例提供的防火墙管理方法的流程示意图;
图3为本申请另一实施例提供的防火墙管理方法的流程示意图;
图4为本申请另一实施例提供的防火墙管理方法的流程示意图;
图5为本申请另一实施例提供的防火墙管理方法的流程示意图;
图6为本申请一实施例提供的防火墙管理装置的结构示意图;
图7为本申请另一实施例提供的防火墙管理装置的结构示意图;
图8为本申请一实施例提供的防火墙管理设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。
如下结合多个具体的应用示例,对本申请实施例所提供的防火墙管理方法进行解释说明。图1为本申请一实施例提供的一种防火墙管理方法的流程示意图,该方法应用于服务器或服务器集群上,在本申请的一个实施例中,以该方法应用于服务器集群上为例进行说明,在该实施例中,该方法的执行主体为安装在服务器集群中的主控服务器上的安全运营管理平台,如图1所示,该方法包括:
S101:获取多个待解析配置备份文件中的安全策略信息。
其中,待解析配置备份文件是根据当前系统对应的各子系统的防火墙配置信息中获取的。
可选地,在本申请的一个实施例中,待解析配置文件是安全运营管理平台从运维管理平台获取的,运维管理平台定时从全网防火墙获取各设备对应的待解析配置信息,并根据待解析配置信息生成待解析配置文件,将生成的文件发送至安全运营管理平台,以使安全运营管理平台进行后续处理。
S102:对安全策略信息进行检测,生成检测结果。
其中,安全策略信息用于指示防火墙根据当前的安全策略信息,进行全网防护;检测结果用于指示安全策略信息对应的安全策略,是否为无效安全策略。
可选地,在本申请的一个实施例中,安全策略信息中可以包括:安全策略、安全策略对应的命中数、安全策略在防火墙中的存在时间,采用的连接模式和对应的源地址等,其中,命中数为0的安全策略为无效安全策略,表示该安全策略从未成功命中过,这类安全策略的大量存在会占用防火墙的资源,使得防火墙做了大量的无效工作,影响了防火墙的工作效率。
S103:若检测结果指示安全策略为无效安全策略,则根据检测结果和预设规则,生成配置文件。
其中,配置文件用于删除防火墙中的无效安全策略,预设规则为预先建立的各厂商防火墙对应的规则。
可选地,在本申请的一个实施例中,S103执行完成后,可以间隔预设检测时间间隔后再次执行S101,开始下一次无效安全策略的检测,使得整个检测管理流程形成闭环控制;其中,预设检测时间间隔可以根据用户需要进行调整,在本申请的一个实施例中,预设检测时间间隔可以设置为一个0,即每个月执行一次防火墙管理方法,从而对当前系统中的安全策略进行筛选检测,但是也可以设置为每一周、每半个月或每三个月执行一次,具体预设检测时间间隔的设置并不以上述实施例给出的为限。
采用本申请提供的防火墙管理方法,通过对待解析配置文件中的安全策略信息进行检测,判断当前安全策略信息对应的安全策略是否为无效安全策略,根据检测结果和预设规则生成配置文件,并根据配置文件对当前防火墙中的无效安全策略进行删除,从而实现了对防火墙中的无效安全策略进行自动清理,减少了无效安全策略对防火墙资源的占用,从而提高了防火墙的处理能力,解决了现有技术中,由于防火墙运行较长时间,因为各种原因存在大量无效安全策略,且这些安全策略无法自动筛选和处理,仅能通过人工筛选并删除,费时费力且筛选精度无法保证的问题。
可选的,在上述实施例的基础上,本申请实施例还可提供一种防火墙管理方法,如下结合附图进行说明。图2为本申请另一实施例提供的一种防火墙管理方法的流程示意图,如图2所示,S101之前,该方法还包括:
S104:获取各子系统中,各防火墙对应的配置信息。
其中,在本申请的一个实施例中,各防火墙对应的配置信息中可能包括:当前防火墙对应的厂商信息、型号信息、配置文件信息、安全策略信息等。
S105:根据配置信息、配置信息对应的管理地址和备份命令,生成对应的配置备份文件。
可选地,在本申请的一个实施例中,根据配置信息生成配置备份文件,并根据当前配置信息对应的管理地址和备份命令,对该配置备份文件进行命名。
可选的,在上述实施例的基础上,本申请实施例还可提供一种防火墙管理方法,如下结合附图进行说明。图3为本申请另一实施例提供的一种防火墙管理方法的流程示意图,如图3所示,S102可包括:
S106:对安全策略信息进行解析,获取解析结果。
其中,对安全策略信息进行解析,即对安全策略信息进行拆分,拆分结果即为解析结果。对安全策略信息进行拆分,可以使得后续检测时,对每类拆分后的信息进行针对性检测,使得后续地检测更具有针对性。
S107:根据预设检测模型对解析结果进行检测,生成检测结果。
其中,预设检测模型用于对解析结果进行检测,从而确定解析结果对应的安全策略是否为无效安全策略。
可选的,在上述实施例的基础上,本申请实施例还可提供一种防火墙管理方法,如下结合附图进行说明。图4为本申请另一实施例提供的一种防火墙管理方法的流程示意图,如图4所示,解析结果包括:安全策略对应的命中数量、存在时间、连接模式、源地址和目的端口;则S107可包括:
S108:根据安全策略对应的命中数量、存在时间、连接模式、源地址和目的端口,生成检测结果。
其中,连接模式可以包括:长连接和短连接。
举例说明,在本申请的一个实施例中,可以先获取多个安全策略中,命中数量为0的安全策略,随后对获取到的命中数量为0的安全策略进行筛选,筛选出存在时间超过三个月,且连接模式为长连接模式的安全策略,并对筛选出的安全策略进行检测,检测其是否采用相同的源地址和目的端口的子系统,若是,则确定这类安全策略均为无效安全策略,并根据确定结果生成对应的检测结果。
可选的,在上述实施例的基础上,本申请实施例还可提供一种防火墙管理方法,如下结合附图进行说明。图5为本申请另一实施例提供的一种防火墙管理方法的流程示意图,如图5所示,S108可包括:
S109:获取各子系统中,命中数量为0、存在时间超过预设时间,且连接模式为长连接模式的安全策略为目标安全策略。
可选地,在本申请的一个实施例中,预设时间可以设置为3个月,这样筛选出的安全策略即为存在时间超过3个月,且命中数量在3个月内一直为0的安全策略;预设时间的设置可以防止由于有些安全策略存在时间不长,所以没有命中过,避免将此类安全策略误判为无效安全策略的情况,保证管理的可靠性,但是具体预设时间的设置可以根据用户需要设置,并不以上述实施例给出的为限制。
S110:判断各目标安全策略的源地址和目的端口是否相同。
若相同,则执行S111:确定相同的目标安全策略为无效安全策略。
采用本申请提供的防火墙管理方法,通过预设检测时间间隔,定时对待解析配置文件中的安全策略信息进行检测,筛选出命中率为零、存在时间超过预设时间间隔、采用长连接模式且源地址和目的端口一直的安全策略为无效安全策略,根据检测结果和预设规则生成配置文件,并根据配置文件对当前防火墙中的无效安全策略进行删除,从而实现了对防火墙中的无效安全策略进行定时自动清理的闭环控制,减少了无效安全策略对防火墙资源的占用,提高了防火墙的处理能力。
下述结合附图对本申请所提供的防火墙管理装置进行解释说明,该防火墙管理装置可执行上述图1-图5任一防火墙管理方法,其具体实现以及有益效果参照上述,如下不再赘述。
图6为本申请一实施例提供的防火墙管理装置的结构示意图,如图6所示,该装置包括:获取模块201、检测模块202和生成模块203,其中:
获取模块201,用于获取多个待解析配置备份文件中的安全策略信息。
检测模块202,用于对安全策略信息进行检测,生成检测结果;其中,检测结果用于指示安全策略信息对应的安全信息,是否为无效安全策略。
生成模块203,用于若检测结果指示安全策略为无效安全策略,则根据检测结果和预设规则,生成配置文件,配置文件用于删除防火墙中的无效安全策略。
可选地,获取模块201,还用于获取各子系统中,各防火墙对应的配置信息。
生成模块203,还用于根据配置信息、配置信息对应的管理地址和备份命令,生成对应的配置备份文件。
可选地,获取模块201,还用于对安全策略信息进行解析,获取解析结果。
生成模块203,还用于根据预设检索模型对解析结果进行检测,生成检测结果。
可选地,解析结果包括:安全策略对应的命中数量、存在时间、连接模式、源地址和目的端口;生成模块203,还用于根据安全策略对应的命中数量、存在时间、连接模式、源地址和目的端口,生成检测结果。
图7为本申请另一实施例提供的防火墙管理装置的结构示意图,如图7所示,该装置还包括:判断模块204和确定模块205,其中:
获取模块201,还用于获取各子系统中,命中数量为0、存在时间超过预设时间,且连接模式为长连接模式的安全策略为目标安全策略。
判断模块204,用于判断各目标安全策略的源地址和目的端口是否相同。
确定模块205,用于若相同,则确定相同的目标安全策略为无效安全策略。
上述装置用于执行前述实施例提供的方法,其实现原理和技术效果类似,在此不再赘述。
以上这些模块可以是被配置成实施以上方法的一个或多个集成电路,例如:一个或多个特定集成电路(Application Specific Integrated Circuit,简称ASIC),或,一个或多个微处理器(digital singnal processor,简称DSP),或,一个或者多个现场可编程门阵列(Field Programmable Gate Array,简称FPGA)等。再如,当以上某个模块通过处理元件调度程序代码的形式实现时,该处理元件可以是通用处理器,例如中央处理器(CentralProcessing Unit,简称CPU)或其它可以调用程序代码的处理器。再如,这些模块可以集成在一起,以片上系统(system-on-a-chip,简称SOC)的形式实现。
图8为本申请一实施例提供的防火墙管理设备的结构示意图,该防火墙管理设备可以集成于终端设备或者终端设备的芯片。
该防火墙管理设备包括:处理器501、存储介质502和总线503。
处理器501用于存储程序,处理器501调用存储介质502存储的程序,以执行上述图1-图5对应的方法实施例。具体实现方式和技术效果类似,这里不再赘述。
可选地,本申请还提供一种程序产品,例如存储介质,该存储介质上存储有计算机程序,包括程序,该程序在被处理器运行时执行上述方法对应的实施例。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(英文:processor)执行本申请各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(英文:Read-Only Memory,简称:ROM)、随机存取存储器(英文:Random Access Memory,简称:RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

Claims (10)

1.一种防火墙管理方法,其特征在于,所述方法包括:
获取多个待解析配置备份文件中的安全策略信息;
对所述安全策略信息进行检测,生成检测结果;其中,所述检测结果用于指示安全策略信息对应的安全策略,是否为无效安全策略;
若所述检测结果指示所述安全策略为无效安全策略,则根据所述检测结果和预设规则,生成配置文件,所述配置文件用于删除防火墙中的所述无效安全策略。
2.如权利要求1所述的方法,其特征在于,所述获取多个待解析配置备份文件中的安全策略信息之前,该方法还包括:
获取各子系统中,各防火墙对应的配置信息;
根据所述配置信息、所述配置信息对应的管理地址和备份命令,生成对应的配置备份文件。
3.如权利要求1所述的方法,其特征在于,所述对所述安全策略进行检测,生成检测结果,包括:
对所述安全策略信息进行解析,获取解析结果;
根据预设检测模型对所述解析结果进行检测,生成检测结果,其中,预设检测模型用于检测对所述解析结果进行检测,从而确定所述解析结果对应的安全策略是否为无效安全策略。
4.如权利要求3所述的方法,其特征在于,所述解析结果包括:所述安全策略对应的命中数量、存在时间、连接模式、源地址和目的端口;
对应地,所述根据预设检测模型对所述解析结果进行检测,生成检测结果,包括:
根据所述安全策略对应的命中数量、所述存在时间、所述连接模式、所述源地址和所述目的端口,生成所述检测结果。
5.如权利要求4所述的方法,其特征在于,所述根据所述安全策略对应的命中数量、所述存在时间、所述连接模式、所述源地址和所述目的端口,生成所述检测结果,包括:
获取各子系统中,命中数量为0、存在时间超过预设时间,且连接模式为长连接模式的所述安全策略为目标安全策略;
判断各目标安全策略的所述源地址和所述目的端口是否相同;
若相同,则确定相同的所述目标安全策略为无效安全策略。
6.一种防火墙管理装置,其特征在于,所述装置包括:获取模块、检测模块和生成模块,其中:
所述获取模块,用于获取多个待解析配置备份文件中的安全策略信息;
所述检测模块,用于对所述安全策略信息进行检测,生成检测结果;其中,所述检测结果用于指示安全策略信息对应的安全策略,是否为无效安全策略;
所述生成模块,用于若所述检测结果指示所述安全策略为无效安全策略,则根据所述检测结果和预设规则,生成配置文件,所述配置文件用于删除防火墙中的所述无效安全策略。
7.如权利要求6所述的装置,其特征在于,所述获取模块,还用于获取各子系统中,各防火墙对应的配置信息;
所述生成模块,还用于根据所述配置信息、所述配置信息对应的管理地址和备份命令,生成对应的配置备份文件。
8.如权利要求6所述的装置,其特征在于,所述获取模块,还用于对所述安全策略信息进行解析,获取解析结果;
所述生成模块,还用于根据预设检索模型对所述解析结果进行检测,生成检测结果。
9.一种防火墙管理设备,其特征在于,所述设备包括:处理器、存储介质和总线,所述存储介质存储有所述处理器可执行的机器可读指令,当防火墙管理设备运行时,所述处理器与所述存储介质之间通过总线通信,所述处理器执行所述机器可读指令,以执行上述权利要求1-5任一项所述的方法。
10.一种存储介质,其特征在于,所述存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行上述权利要求1-5任一项所述的方法。
CN202010398965.6A 2020-05-12 2020-05-12 防火墙管理方法、装置、设备及存储介质 Pending CN111641601A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010398965.6A CN111641601A (zh) 2020-05-12 2020-05-12 防火墙管理方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010398965.6A CN111641601A (zh) 2020-05-12 2020-05-12 防火墙管理方法、装置、设备及存储介质

Publications (1)

Publication Number Publication Date
CN111641601A true CN111641601A (zh) 2020-09-08

Family

ID=72333195

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010398965.6A Pending CN111641601A (zh) 2020-05-12 2020-05-12 防火墙管理方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN111641601A (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111935182A (zh) * 2020-09-25 2020-11-13 武汉思普崚技术有限公司 一种网络设备的防火墙策略检查方法、装置及存储介质
CN112398857A (zh) * 2020-11-17 2021-02-23 腾讯科技(深圳)有限公司 防火墙测试方法、装置、计算机设备和存储介质
CN112839049A (zh) * 2021-01-18 2021-05-25 北京长亭未来科技有限公司 Web应用防火墙防护方法、装置、存储介质及电子设备
CN112887324A (zh) * 2021-02-20 2021-06-01 广西电网有限责任公司 电力监控系统的网络安全装置的策略配置管理系统
CN114285657A (zh) * 2021-12-28 2022-04-05 中国工商银行股份有限公司 防火墙安全策略变更验证方法及装置
CN114640522A (zh) * 2022-03-18 2022-06-17 广东润联信息技术有限公司 防火墙安全策略的处理方法、装置、设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104883347A (zh) * 2014-09-28 2015-09-02 北京匡恩网络科技有限责任公司 一种网络安全规则冲突分析与简化方法
US9553845B1 (en) * 2013-09-30 2017-01-24 F5 Networks, Inc. Methods for validating and testing firewalls and devices thereof
CN108429774A (zh) * 2018-06-21 2018-08-21 蔡梦臣 一种防火墙策略集中优化管理方法及其系统
CN109587124A (zh) * 2018-11-21 2019-04-05 国家电网有限公司 电力网络的处理方法、装置和系统
CN109639743A (zh) * 2018-12-13 2019-04-16 成都亚信网络安全产业技术研究院有限公司 一种防火墙策略检测方法及设备

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9553845B1 (en) * 2013-09-30 2017-01-24 F5 Networks, Inc. Methods for validating and testing firewalls and devices thereof
CN104883347A (zh) * 2014-09-28 2015-09-02 北京匡恩网络科技有限责任公司 一种网络安全规则冲突分析与简化方法
CN108429774A (zh) * 2018-06-21 2018-08-21 蔡梦臣 一种防火墙策略集中优化管理方法及其系统
CN109587124A (zh) * 2018-11-21 2019-04-05 国家电网有限公司 电力网络的处理方法、装置和系统
CN109639743A (zh) * 2018-12-13 2019-04-16 成都亚信网络安全产业技术研究院有限公司 一种防火墙策略检测方法及设备

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111935182A (zh) * 2020-09-25 2020-11-13 武汉思普崚技术有限公司 一种网络设备的防火墙策略检查方法、装置及存储介质
CN111935182B (zh) * 2020-09-25 2021-01-15 武汉思普崚技术有限公司 一种网络设备的防火墙策略检查方法、装置及存储介质
CN112398857A (zh) * 2020-11-17 2021-02-23 腾讯科技(深圳)有限公司 防火墙测试方法、装置、计算机设备和存储介质
CN112398857B (zh) * 2020-11-17 2023-07-25 腾讯科技(深圳)有限公司 防火墙测试方法、装置、计算机设备和存储介质
CN112839049A (zh) * 2021-01-18 2021-05-25 北京长亭未来科技有限公司 Web应用防火墙防护方法、装置、存储介质及电子设备
CN112839049B (zh) * 2021-01-18 2023-07-11 北京长亭未来科技有限公司 Web应用防火墙防护方法、装置、存储介质及电子设备
CN112887324A (zh) * 2021-02-20 2021-06-01 广西电网有限责任公司 电力监控系统的网络安全装置的策略配置管理系统
CN112887324B (zh) * 2021-02-20 2022-07-08 广西电网有限责任公司 电力监控系统的网络安全装置的策略配置管理系统
CN114285657A (zh) * 2021-12-28 2022-04-05 中国工商银行股份有限公司 防火墙安全策略变更验证方法及装置
CN114285657B (zh) * 2021-12-28 2024-05-17 中国工商银行股份有限公司 防火墙安全策略变更验证方法及装置
CN114640522A (zh) * 2022-03-18 2022-06-17 广东润联信息技术有限公司 防火墙安全策略的处理方法、装置、设备及存储介质
CN114640522B (zh) * 2022-03-18 2024-04-16 华润智算科技(广东)有限公司 防火墙安全策略的处理方法、装置、设备及存储介质

Similar Documents

Publication Publication Date Title
CN111641601A (zh) 防火墙管理方法、装置、设备及存储介质
CN112631913B (zh) 应用程序的运行故障监控方法、装置、设备和存储介质
KR101043299B1 (ko) 악성 코드 탐지 방법, 시스템 및 컴퓨터 판독 가능한 저장매체
CN108337266B (zh) 一种高效的协议客户端漏洞发掘方法与系统
CN109460343A (zh) 基于日志的系统异常监控方法、装置、设备及存储介质
CN102831021A (zh) 插件拦截或清理的方法及装置
CN112422554B (zh) 一种检测异常流量外连的方法、装置、设备及存储介质
CN111679968A (zh) 接口调用异常的检测方法、装置、计算机设备及存储介质
CN113760652B (zh) 基于应用的全链路监控的方法、系统、设备和存储介质
CN114168951B (zh) 异常检测方法以及装置
CN110618853B (zh) 一种僵尸容器的检测方法、装置及设备
CN105843675B (zh) 线程退出方法和装置
CN108650123B (zh) 故障信息记录方法、装置、设备和存储介质
CN114528350A (zh) 集群脑裂的处理方法、装置、设备及可读存储介质
CN114329452A (zh) 一种异常行为检测方法、装置及相关设备
CN105528546A (zh) 一种挖掘漏洞的方法、装置及电子设备
CN106899977B (zh) 异常流量检验方法和装置
CN116226865A (zh) 云原生应用的安全检测方法、装置、服务器、介质及产品
CN116230067A (zh) 一种固态硬盘自动化测试方法、系统、设备及介质
CN106856477B (zh) 一种基于局域网的威胁处理方法和装置
CN115373916A (zh) 异常检测方法、装置、电子设备及计算机可读存储介质
CN114780412A (zh) 页面测试方法、系统、设备及介质
CN113127853A (zh) 对虚拟机文件的安全处理方法及装置
CN111783089A (zh) 一种追溯恶意进程的方法、装置及存储介质
CN112329021A (zh) 一种排查应用漏洞的方法、装置、电子装置和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20200908

RJ01 Rejection of invention patent application after publication