CN111786949A - 防火墙安全策略自动适配系统及方法 - Google Patents
防火墙安全策略自动适配系统及方法 Download PDFInfo
- Publication number
- CN111786949A CN111786949A CN202010440004.7A CN202010440004A CN111786949A CN 111786949 A CN111786949 A CN 111786949A CN 202010440004 A CN202010440004 A CN 202010440004A CN 111786949 A CN111786949 A CN 111786949A
- Authority
- CN
- China
- Prior art keywords
- firewall
- policy
- strategy
- information
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
Abstract
本发明公开了防火墙安全策略自动适配系统及方法,包括:采集器,用于采集防火墙的策略配置信息,并将采集的防火墙的策略配置信息上传给服务器;服务器,用于对采集器上传的防火墙的策略配置信息进行解析,判断当前防火墙的策略配置信息是否有更新,并将判断结果输出显示。
Description
技术领域
本公开涉及防火墙策略适配技术领域,特别是涉及防火墙安全策略自动适配系统及方法。
背景技术
本部分的陈述仅仅是提到了与本公开相关的背景技术,并不必然构成现有技术。
随着网络基础建设和网络安全控制的逐步健全,网络环境规模和复杂度不断增加,部署的防火墙以及配置访问控制列表的路由交换设备日益增多。发明人发现,防火墙设备使用年限的增加,现网设备日常运维或升级改造中存在大量冗余策略、无效策略和不合规策略,影响防火墙等设备运行效率和资源利用率,同时存在较大安全隐患,不符合安全检查要求。
发明内容
为了解决现有技术的不足,本公开提供了防火墙安全策略自动适配方法及系统;
第一方面,本公开提供了防火墙安全策略自动适配系统;
防火墙安全策略自动适配系统,包括:
采集器,用于采集防火墙的策略配置信息,并将采集的防火墙的策略配置信息上传给服务器;
服务器,用于对采集器上传的防火墙的策略配置信息进行解析,判断当前防火墙的策略配置信息是否有更新,并将判断结果输出显示。
第二方面,本公开还提供了防火墙安全策略自动适配方法;
防火墙安全策略自动适配方法,包括:
采集防火墙的策略配置信息;所述防火墙的策略配置信息,包括:防火墙的安全策略、路由策略或NAT策略;
对采集的防火墙策略配置信息进行解析;
对解析后的数据进行归一化处理,并进行存储和展示。
与现有技术相比,本公开的有益效果是:
针对不同品牌、不同型号的防火墙设备采用不同的策略且其建立于防火墙基础策略的适配器,建立统一配置文件模型标准库,通过策略比对匹配完成策略管理等,降低了防火墙策略维护的工作量,降低了防火墙策略管理的可读性,适合多种设备的集中管理。
附图说明
构成本申请的一部分的说明书附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。
图1为第一个实施例的硬件拓扑架构图;
图2为第一个实施例的功能模块示意图;
图3为第一个实施例的防火墙冗余策略解析步骤;
图4为第一个实施例的防火墙配置文件解析步骤。
具体实施方式
应该指出,以下详细说明都是示例性的,旨在对本申请提供进一步的说明。除非另有指明,本文使用的所有技术和科学术语具有与本申请所属技术领域的普通技术人员通常理解的相同含义。
需要注意的是,这里所使用的术语仅是为了描述具体实施方式,而非意图限制根据本申请的示例性实施方式。如在这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式,此外,还应当理解的是,当在本说明书中使用术语“包含”和/或“包括”时,其指明存在特征、步骤、操作、器件、组件和/或它们的组合。
实施例一,本实施例提供了防火墙安全策略自动适配系统;
如图1所示,防火墙安全策略自动适配系统,包括:
采集器,用于采集防火墙的策略配置信息,并将采集的防火墙的策略配置信息上传给服务器;
服务器,用于对采集器上传的防火墙的策略配置信息进行解析,判断当前防火墙的策略配置信息是否有更新,并将判断结果输出显示。
作为一个或多个实施例,如图2所示,所述采集器,包括:
第一存储层,其被配置为:存储防火墙的策略配置信息、采集任务的配置信息和采集日志;
第一逻辑层,其被配置为:防火墙策略采集适配器获取数据信息进行数据处理并传输到后台服务进行数据存储;
第一应用层,其被配置为:更改防火墙访问账号或设置后台服务访问认证。
进一步地,所述第一逻辑层包括:采集适配器、数据获取模块、数据处理模块和数据传输模块;
所述采集适配器,其被配置为:根据防火墙品牌、型号进行自动适配采集器,进行防火墙配置文件采集;
所述数据获取模块,其被配置为:通过采集器适配去获取防火墙配置文件和日志文件数据信息;
所述数据处理模块,其被配置为:对防火墙配置文件和日志文件数据信息进行归一化处理;
所述数据传输模块,其被配置为:定时传输数据到后台系统消息队列,为降低对网络带宽的占用,传输前进行数据压缩处理,在数据传输成功后再把本地存储的相应文件删除。
进一步地,所述服务器包括:
第二存储层,其被配置为:存储防火墙策略、防火墙资源、防火墙策略分析结果和防火墙日志;
缓存层,其被配置为:对防火墙配置文件、防火墙日志文件和采集器日志进行缓存;
服务层,其被配置为:包括采集器服务模块、管理系统服务模块、策略解析服务模块、策略分析服务模块,每个服务模块内部采用分层结构设计;
第二应用层,其被配置为:应用层为安全运维人员提供的防火墙管理、策略管理、策略分析等功能和为系统管理员提供的系统管理、采集器配置管理等功能。对现网防火墙安全策略配置进行深度分析和监管,保障防火墙安全策略配置的合规性和准确性,分析防火墙安全策略的使用情况,避免冗余策略和无效策略带来的安全风险,提高防火墙设备的利用率和访问执行效率,从而实现防火墙管理的系统化、规范化和流程化。
进一步地,所述采集器服务模块,为采集器提供数据获取服务,采集器服务异步调用策略解析服务进行配置文件解析;所述采集器服务模块,包括:第一接口服务层、第一业务逻辑层和第一数据访问层;
所述管理系统服务模块,其被配置为:管理系统维护和展示的防火墙基本信息、防火墙任务、系统信息等数据,通过管理系统服务存储到数据中心处理域;通过管理系统服务模块读取数据信息进行防火墙信息、策略管理、策略分析、采集器管理和系统管理信息展示;管理系统服务模块,包括:第二接口服务层、第二业务逻辑层和第二数据访问层,为管理系统提供服务;
所述策略解析服务模块,其被配置为:管理系统维护的防火墙基本信息、防火墙任务、系统信息等数据,通过防火墙管理系统服务存储到全业务数据中心处理域;策略解析服务模块,包括:第三接口服务层、第三业务逻辑层、防火墙策略解析适配器、第三数据访问层,通过防火墙策略解析适配器解析各种类型的防火墙,生成防火墙的资源和策略信息;
所述策略分析服务模块,其被配置为:策略分析服务包括接口服务层、业务逻辑层、算法分析、数据访问层,负责分析防火墙的策略风险,生成防火墙策略风险分析结果;策略分析服务模块,包括:第四接口服务层、第四业务逻辑层、算法分析单元、第四数据访问层,负责分析防火墙的策略风险,生成防火墙策略风险分析结果。
进一步地,所述采集器服务模块,包括:
第一数据访问层,其被配置为:支撑采集服务器获取数据,进行信息采集;
第一业务逻辑层,其被配置为:获取采集器配置文件数据,进行业务逻辑处理,执行数据采集服务;
第一接口服务层,其被配置为:为采集器提供数据传输接口,支撑获取防火墙配置文件和日志数据传输。
进一步地,所述管理系统服务模块,包括:
第二数据访问层,其被配置为:根据业务处理逻辑,连接数据库进行数据获取或数据处理;
第二业务逻辑层,其被配置为:根据应用层系统功能代码进行业务逻辑处理;
第二接口服务层,其被配置为:为应用层提供业务服务接口进行相应数据获取处理。
进一步地,所述策略解析服务模块,包括:
第三数据访问层,其被配置为:根据业务处理逻辑,连接数据库进行数据获取或数据处理;
第三业务逻辑层,其被配置为:根据应用层系统功能代码进行业务逻辑处理;
解析适配器单元,其被配置为:解析适配器根据业务逻辑传输数据信息进行选择相应解析适配器进行数据解析;
第三接口服务层,其被配置为:为应用层提供业务服务接口进行相应数据获取处理。
进一步地,所述策略分析服务模块,包括:
第四数据访问层,其被配置为:根据业务处理逻辑,连接数据库进行数据获取或数据处理;
第四业务逻辑层,其被配置为:根据应用层系统功能代码进行业务逻辑处理;
算法分析单元,其被配置为:算法分析根据业务逻辑传输数据信息进行数据解析;
第四接口服务层,其被配置为:为应用层提供业务服务接口进行相应数据获取处理。
进一步地,所述第二应用层,包括:
防火墙管理模块,其被配置为:对防火墙基本信息进行维护和统一管理,包括对防火墙信息查询、新增、修改和删除功能。信息内容:防火墙编号、防火墙名称、公司、部门、部署位置、管理地址、品牌、型号、版本、管理方式、状态、防火墙组、管理人员、管理员联系方式;
资源管理模块,其被配置为:对防火墙资源信息展示,详细信息包括:公司名称、防火墙、区域资源、地址资源、Vlan信息、时间和服务;
配置文件管理模块,其被配置为:采集器获取防火墙配置信息,根据防火墙信息进行分类存储。配置文件管理模块对防火墙配置文件信息进行展示,按照配置文件类型和存储时间查询所属地区防火墙的配置文件;
策略管理模块,其被配置为:通过采集器获取所有防护墙策略信息进行保存,在管理平台上进行对防火墙策略信息进行展示和统一管理;
策略业务流程管控模块,其被配置为:是对防火墙策略进行规范化管理,安全管理员新增或者修改防火墙安全策略,需要进行流程审批和策略验证;
策略分析模块,其被配置为:针对获取防火墙策略信息进行策略分析,按照宽松策略、冗余策略、冲突策略、过期策略、高危端口策略、策略命中数和策略变更等分类方式进行解析后展示;
系统字典管理模块,其被配置为:是对公共信息维护和统一管理。主要包括:防火墙品牌、型号、版本、高危端口信息;
采集器管理模块,其被配置为:对采集器基本信息进行维护和统一管理。主要功能包括对采集器查询、新增、修改和删除等功能。内容信息包括:采集器编号、采集器名称、公司名称、部署位置、IP地址、端口号、心跳时间、状态、防火墙信息;
系统日志管理模块,其被配置为:系统日志管理是针对平台本身的系统日志、运行日志、操作日志、配置日志和时间日志的查询、查看、导出、删除和配置。日志不限于登录日志、配置日志、故障日志、变更日志、采集日志、分析日志。
实施例二,本实施例提供了防火墙安全策略自动适配方法;
防火墙安全策略自动适配方法,包括:
S1:采集防火墙的策略配置信息;所述防火墙的策略配置信息,包括:防火墙的安全策略、路由策略或NAT策略;
S2:对采集的防火墙策略配置信息进行解析;
S3:对解析后的数据进行归一化处理,并进行存储和展示。
作为一个或多个实施例,S1中,采集防火墙的策略配置信息;具体步骤包括:
S11:采集器根据防火墙的品牌、型号和版本号从命令配置库中匹配各种策略的采集命令;
S12:通过SSH远程连接到防火墙,按设定顺序执行不同策略的采集命令,并以数据通道的方式获取到命令执行结果,把结果写入到以时间为名字指定的配置文件中;
S13:每个防火墙的策略信息采集过程结束,监听服务主动把配置文件发送给服务器以进行防火墙配置文件解析。
应理解的,所述S11中,如果匹配失败,会有信息提示,然后通过人工进行在采集防火墙配置文件,通过梳理各种防火墙的采集命令,提炼公共配置和各个防火墙的个性配置,通过编写统一的防火墙采集适配器程序,来完成防火墙配置文件的采集读取。后续随着防火墙的更新换代,只需要维护采集命令配置文件,就可以不用改动程序就完成了各种防火墙配置文件的采集读取。
作为一个或多个实施例,所述S2中,对采集的防火墙策略配置信息进行解析;具体步骤包括:
S21:服务器获取不同品牌防火墙的策略,并对防火墙策略的公共配置和个性配置进行提炼,生成标准型号配置库;
S22:采集器登陆防火墙,获取防火墙配置文件,将配置文件远程传输到服务器,并存入数据库;
S23:解析器从数据库取出配置文件,不同工厂模式的防火墙配置文件使用不同的解析方式;
解析配置文件过程中,首先,先解析资源;然后,再解析主机、主机组、地址、地址组、时间、时间组、策略、NAT策略;
解析防火墙策略的过程中,对资源策略进行比对判断策略是否变化,对变化的资源和策略存入数据库,页面获取信息进行展示和策略变更预警。
作为一个或多个实施例,如图4所示,所述S23的具体步骤包括:
S231:解析器从数据库取出配置文件,调用防火墙策略解析服务,验证防火墙配置文件是否正确,如果不正确,就返回错误信息;如果正确,就根据不同防火墙调用不同的解析服务;(例如,调用华为防火墙的解析服务、调用华三防火墙的解析服务、调用天融防火墙的解析服务或调用其他厂家的防火墙解析服务);
S232:解析防火墙策略;解析主机;解析子网;解析范围;解析地址组;解析服务;解析服务组;解析时间;解析时间组;解析端口;解析区域;解析策略;解析策略组;解析nat策略;资源策略比对;
S233:判断资源策略是否发生变化,如果是就进入下一步,如果否,就结束;
S234:判断是否走变更流程,如果是就变更入库,结束;如果否,就发邮件提醒管理员非法变更。
作为一个或多个实施例,如图3所示,所述资源策略比对的具体步骤包括:
S2321:接收第i+1条的防火墙策略;
S2322:判断第i+1条的防火墙策略是否属于高危协议,如果是就提示告警信息,如果否就进入下一步;
S2323:判断第i+1条的防火墙策略提供的端口是否属于高危端口,如果是就提示告警信息,如果否就进入下一步;
S2324:对第i+1条的防火墙策略进行冗余判断:
如果第i+1条的防火墙策略的策略源、目的区域和地址与第i条的防火墙策略的策略源、目的区域和地址存在包含关系,则输出第i+1条的防火墙策略为冗余策略;否则,进入S2325;
如果第i条的防火墙策略的策略源、目的区域和地址与第i+1条的防火墙策略的策略源、目的区域和地址存在包含关系,则判断第i+1条的防火墙策略为冗余策略;否则,进入S2325;
S2325:对第i+1条的防火墙策略进行冲突判断:
如果第i+1条的防火墙策略的策略源、目的区域和地址与第i条的防火墙策略的策略源、目的区域和地址存在冲突,则输出第i+1条的防火墙策略为冲突策略;否则,结束;
如果第i条的防火墙策略的策略源、目的区域和地址与第i+1条的防火墙策略的策略源、目的区域和地址存在冲突,则判断第i+1条的防火墙策略为冲突策略;否则,进入结束。
为了对现网防火墙安全策略配置进行深度分析和监管,保障防火墙安全策略配置的合规性和准确性,分析防火墙安全策略的使用情况,避免冗余策略和无效策略带来的安全风险,提高防火墙设备的利用率和访问执行效率,从而实现防火墙管理的系统化、规范化和流程化,需要对的防火墙安全策略进行分析管理和策略自动化监测。
冗余策略:如果两条规则之间为包含和被包含的关系,则被包含的规则为冗余规则。规则之间的包含意味着一条规则匹配的包集合被包含于另一条规则所匹配的包集合。规则之间包含判断逻辑为。
无效策略:无效策略即没有发生实际真是效应的策略,即策略地址或者端口号不合规,该策略永远不会被命中。
通过策略分析后,对这些类型的策略根据防火墙进行存储,然后在系统页面进行展示分析和预警。
本公开提供对所有品牌防火墙策略集中进行优化管理,构建标准策略信息库,通过适配器自动匹配策略,减少人工手动匹配防火墙策略工作量,应用解决所有解决现有防火墙在技术中提出的防火墙策略复杂、维护难度高,对现有的防火墙策略可读性和可维护低、不适用于多种品牌防火墙设备策略的集中管理和策略管理流程化审批。
本公开实现对现网异构品牌的防火墙的安全策略、路由策略、NAT策略等策略配置信息的自动采集、解析、归一化存储,并采用统一的可视化结构进行策略业务逻辑展示;归一化存储是指对解析的策略进行和防火墙一一对应存储。
通过智能化、自动化的策略开通管理,从策略申请工单提交、审批、工单推送、策略执行做到及时跟踪和审核,协助运维人员能快速、有效的完成策略申请,并确保策略及时、准确执行;
服务器的应用层,通过策略查询、策略优化检查、策略历史备份与对比、策略命中与收敛分析、策略报表报告等一系列功能,最终实现全网安全策略可控、可看、可管,大幅提升网络安全运维管理效率。
所述策略查询,是指:根据防火墙查询防火墙内部相应的策略信息;
所述策略优化检查,是指:采集器采集的策略是全量定期存储的,如果出现冗余策略和重复策略,系统会进行信息提示,这里的策略优化检查对重复策略和冗余策略是否根据信息提示进行过优化进行程序后台对比进行检查;
所述策略命中与收敛分析,是指:防火墙策略命中率是根据日志分析出来这个策略被执行的次数;收敛分析是对防火墙策是否存在冗余策略、冲突策略的分析。
1.设计采集器:根据管控系统设置采集器获取配置文件频率,为安全考虑采用最小访问权限,通过SSH连接防火墙设备获取防火墙配置文件,支持运运维人员定期修改访问信息等措施来确保采集过程安全。通过对传输数据加密及采用HTTPS等措施来确保数据传输安全。通过对敏感信息加密存储等措施确保存储安全。
2.设计防火墙适配器:根据防火墙五元素(源IP,目的IP,源端口,目的端口,协议)对不同品牌、型号、版本防火墙策略定义规则进行不同的采集和解析适配,来动态扩展接入各种品牌、型号、版本的防火墙。
在采集防火墙配置文件时,通过梳理各种防火墙的采集命令,提炼公共配置和各个防火墙的个性配置,编写统一的防火墙采集适配器程序,完成防火墙配置文件的采集读取,通过防火墙适配器进配置文件的读取和解析。
3.集中管理和分发策略:对不同品牌、不同型号防火墙设备进行统一管理,建立统一配置文件模型标准库(配置文件模型标准库里包含属性:防火墙ID,配置文件类型,保存时间,配置文件内容),根据适配器对不同品牌、不同型号防火墙通过SSH进行统一下发执行;对新上线的设备根据品牌、型号通过SSH下发配置文件,并进行关联相应的采集器通过SSH进行策略采集存储;
4.策略分析统计:通过防火墙安全策略采集分析、按照相应策略的分析规则对防火墙冲突策略、冗余策略、过期策略、命中率策略、策略变更分析和高危端口、高危协议进行统计分析,实现对网异构品牌的防火墙的安全策略、路由策略、NAT策略等策略配置信息的自动采集、解析、归一化存储,并采用统一的可视化结构进行策略业务逻辑展示,可读性和可维护管理性大大提高。
随着技术的发展防火墙更新换代,防火墙策略集中管理与分析中的策略适配器要根据新的设备进行扩展适配。
防火墙安全策略自动适配方法及分析管理,实现对网异构品牌的防火墙的安全策略、路由策略、NAT策略等策略配置信息的自动采集、解析、归一化存储,通过适配器自动匹配策略,减少人工手动匹配防火墙策略工作量,应用解决所有解决现有防火墙在技术中提出的防火墙策略复杂、维护难度高,对现有的防火墙策略可读性和可维护低、不适用于多种品牌防火墙设备策略的集中管理和策略管理流程化审批。
(一)防火墙适配器:防火墙设备品牌众多,同时每个防火墙策略数以万计,根据对不同品牌、型号、版本防火墙的配置文件进行不同的采集和解析适配,来动态扩展接入各种品牌、型号、版本的防火墙。
1.在采集防火墙配置文件时,通过梳理各种防火墙的采集命令,提炼公共配置和各个防火墙的个性配置,通过编写统一的防火墙采集适配器程序(数据库中配置不同防火墙采集配置文件的命令,将写好的客户端采集程序部署到客户防火墙所在的局域网内,配置防火墙访问账号密码,客户端根据配置的防火墙信息通过ssh进入到防火墙,从服务器中获取到该品牌防火墙的获取配置文件的命令,进行执行命令,返回配置文件,将配置文件通过远程服务传输到服务器存入数据库,然后调用服务器解析程序进行解析),来完成防火墙配置文件的采集读取。后续随着防火墙的更新换代,只需要维护采集命令配置文件,就可以不用改动程序就完成了各种防火墙配置文件的采集读取。
2.在解析防火墙配置文件时,和采集防火墙配置文件类似,通过梳理各种防火墙的解析规则命令,提炼公共配置和各个防火墙的个性配置,通过编写统一的防火墙解析适配器程序(解析器从数据库取出配置文件,采用工厂模式不同的防火墙配置文件使用不同的解析程序。解析式先解析资源,解析主机、主机组、地址、地址组、时间、时间组、策略、nat策略。解析策略的过程中对资源策略进行比对判断策略是否变化,对变化的资源和策略存入数据库,页面获取信息进行展示),来完成防火墙配置文件的解析。后续随着防火墙的更新换代,只需要维护解析命令配置文件,就可以不用改动程序就完成了各种防火墙配置文件的解析。
(二)防火墙采集器及防护措施:
1.采集器侧安全防护措施:
(1)采集器通过独立的系统部署在服务器上,仅供防火墙安全运维人员登录使用。
(2)通过让用户能修改防火墙访问信息满足防火墙用户密码的安全管理要求。
(3)通过异常处理机制确保系统运行安全。
(4)通过对防火墙访问信息进行本地加密存储,来确保敏感数据安全。
(5)通过防火墙最小查询权限来访问防火墙,确保防火墙访问安全。
2.数据传输安全防护措施:
(1)通过采用符合安全要求的非对称加解密算法对数据进行加解密,确保数据安全。
(2)采集器、管理系统和后台系统的交互采用https方式,确保数据传输安全。
(3)采集器不对外提供接口服务,只单向访问后台系统,确保采集器侧访问安全。
3.后台系统侧安全防护措施:
(1)后台系统部署在服务数据中心处理域上,用户和权限由系统进行控制。
(2)通过用户身份认证来确保web系统登录安全,通过权限控制来确保系统功能权限满足安全要求,通过会话机制安全、异常处理来确保系统运行安全,通过审计安全功能来确保对系统的安全审计要求。
(3)在处理域安全机制之外,通过服务接口安全验证确保系统对外公开的服务接口的访问安全,通过异常处理来确保系统运行安全,通过配置文件内容加密确保系统配置信息的敏感信息安全。
(4)通过对敏感数据加密存储确保业务数据安全,通过审计日志确保系统满足审计安全要求。
(三)防火墙日志文件解析
通过日志框架作为统一的防火墙日志收集服务部署在采集器上,分散了过多防火墙日志同时收集时的并发处理压力,隔离了与防火墙策略分析管理平台的耦合关系。
日志收集服务作为采集器的一部分,服务启动后实时监听指定端口,接收到防火墙的日志数据后根据数据来源地址查找配置信息加载指定的日志解析适配器,按指定的规则对每条日志进行解析转换处理并保存到本地,由于日志数据量较大,实时传输会对网络产生较大压力,业务上也没有相关需求场景,因此采用批量上传方式,由采集器的数据传输服务把日志数据定时传输到后台服务。
在接入新的防火墙或者防火墙软件升级时,主要开发工作量为防火墙日志解析适配器的修改,新的日志解析适配器直接放到各地市的采集器上,动态加载保证了采集器服务的稳定性。
防火墙日志解析适配器的修改,具体包括:
每个日志文件都有键值对,我们根据建立的规则把获取到的日志文件进行转换处理,然后根据我们的规则,进行文件解析。比如:ID:12344;name:深信服防火墙。我们的适配器就会根据ID和name获取对应的值。
1.防火墙采集:梳理不同品牌、不同型号防火墙的采集命令,创建公共配置和防火墙的个性配置库,设计防火墙采集适配器,完成防火墙配置文件的采集读取和存储。
2.防火墙策略配置解析:针对所有品牌防火墙设备建立统一配置文件模型标准库,建立防火墙策略适配器通过策略比对匹配完成防火墙配置文件的解析。后续随着防火墙的更新换代,只需要维护解析命令配置文件,可以不用更改适配器就完成各种防火墙配置文件的解析。所述策略比对,是指:适配器根据统一配置文件模型标准库比对防火墙进行策略解析。
按照图1部署架构图进行系统部署,在防火墙端部署采集去,定期采集防火墙配置信息,传输后台服务,后台服务部署防火墙适配器、配置文件模型标准库和应用服务,根据标准库进行配置文件适配解析,后存入应用服务器进行统计分析展示。
通过防火墙安全策略集中管理,实现对在网不同品牌的防火墙的安全策略、路由策略、NAT策略等策略配置信息的统一自动采集、解析、集中管理,并采用统一的可视化结构进行策略业务逻辑展示,极大提升安全运维人员防火墙管理效率,提高防火墙策略可读性和可维护性。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.防火墙安全策略自动适配系统,其特征是,包括:
采集器,用于采集防火墙的策略配置信息,并将采集的防火墙的策略配置信息上传给服务器;
服务器,用于对采集器上传的防火墙的策略配置信息进行解析,判断当前防火墙的策略配置信息是否有更新,并将判断结果输出显示。
2.如权利要求1所述的系统,其特征是,所述采集器,包括:
第一存储层,其被配置为:存储防火墙的策略配置信息、采集任务的配置信息和采集日志;
第一逻辑层,其被配置为:防火墙策略采集适配器获取数据信息进行数据处理并传输到后台服务进行数据存储;
第一应用层,其被配置为:更改防火墙访问账号或设置后台服务访问认证。
3.如权利要求2所述的系统,其特征是,所述第一逻辑层包括:采集适配器、数据获取模块、数据处理模块和数据传输模块;
所述采集适配器,其被配置为:根据防火墙品牌、型号进行自动适配采集器,进行防火墙配置文件采集;
所述数据获取模块,其被配置为:通过采集器适配去获取防火墙配置文件和日志文件数据信息;
所述数据处理模块,其被配置为:对防火墙配置文件和日志文件数据信息进行归一化处理;
所述数据传输模块,其被配置为:定时传输数据到后台系统消息队列,为降低对网络带宽的占用,传输前进行数据压缩处理,在数据传输成功后再把本地存储的相应文件删除。
4.如权利要求1所述的系统,其特征是,所述服务器包括:
第二存储层,其被配置为:存储防火墙策略、防火墙资源、防火墙策略分析结果和防火墙日志;
缓存层,其被配置为:对防火墙配置文件、防火墙日志文件和采集器日志进行缓存;
服务层,其被配置为:包括采集器服务模块、管理系统服务模块、策略解析服务模块、策略分析服务模块,每个服务模块内部采用分层结构设计;
第二应用层,其被配置为:应用层为安全运维人员提供的防火墙管理、策略管理、策略分析功能和为系统管理员提供的系统管理、采集器配置管理功能。
5.如权利要求4所述的系统,其特征是,所述采集器服务模块,为采集器提供数据获取服务,采集器服务异步调用策略解析服务进行配置文件解析;所述采集器服务模块,包括:第一接口服务层、第一业务逻辑层和第一数据访问层;
所述管理系统服务模块,其被配置为:管理系统维护和展示的防火墙基本信息、防火墙任务、系统信息数据,通过管理系统服务存储到数据中心处理域;通过管理系统服务模块读取数据信息进行防火墙信息、策略管理、策略分析、采集器管理和系统管理信息展示;管理系统服务模块,包括:第二接口服务层、第二业务逻辑层和第二数据访问层,为管理系统提供服务;
所述策略解析服务模块,其被配置为:管理系统维护的防火墙基本信息、防火墙任务、系统信息数据,通过防火墙管理系统服务存储到全业务数据中心处理域;策略解析服务模块,包括:第三接口服务层、第三业务逻辑层、防火墙策略解析适配器、第三数据访问层,通过防火墙策略解析适配器解析各种类型的防火墙,生成防火墙的资源和策略信息;
所述策略分析服务模块,其被配置为:策略分析服务包括接口服务层、业务逻辑层、算法分析、数据访问层,负责分析防火墙的策略风险,生成防火墙策略风险分析结果;策略分析服务模块,包括:第四接口服务层、第四业务逻辑层、算法分析单元、第四数据访问层,负责分析防火墙的策略风险,生成防火墙策略风险分析结果;
或者,
所述采集器服务模块,包括:
第一数据访问层,其被配置为:支撑采集服务器获取数据,进行信息采集;
第一业务逻辑层,其被配置为:获取采集器配置文件数据,进行业务逻辑处理,执行数据采集服务;
第一接口服务层,其被配置为:为采集器提供数据传输接口,支撑获取防火墙配置文件和日志数据传输;
或者,
所述管理系统服务模块,包括:
第二数据访问层,其被配置为:根据业务处理逻辑,连接数据库进行数据获取或数据处理;
第二业务逻辑层,其被配置为:根据应用层系统功能代码进行业务逻辑处理;
第二接口服务层,其被配置为:为应用层提供业务服务接口进行相应数据获取处理;
或者,
所述策略解析服务模块,包括:
第三数据访问层,其被配置为:根据业务处理逻辑,连接数据库进行数据获取或数据处理;
第三业务逻辑层,其被配置为:根据应用层系统功能代码进行业务逻辑处理;
解析适配器单元,其被配置为:解析适配器根据业务逻辑传输数据信息进行选择相应解析适配器进行数据解析;
第三接口服务层,其被配置为:为应用层提供业务服务接口进行相应数据获取处理;
或者,
所述策略分析服务模块,包括:
第四数据访问层,其被配置为:根据业务处理逻辑,连接数据库进行数据获取或数据处理;
第四业务逻辑层,其被配置为:根据应用层系统功能代码进行业务逻辑处理;
算法分析单元,其被配置为:算法分析根据业务逻辑传输数据信息进行数据解析;
第四接口服务层,其被配置为:为应用层提供业务服务接口进行相应数据获取处理;
或者,
所述第二应用层,包括:
防火墙管理模块,其被配置为:对防火墙基本信息进行维护和统一管理,包括对防火墙信息查询、新增、修改和删除功能;信息内容:防火墙编号、防火墙名称、公司、部门、部署位置、管理地址、品牌、型号、版本、管理方式、状态、防火墙组、管理人员、管理员联系方式;
资源管理模块,其被配置为:对防火墙资源信息展示,详细信息包括:公司名称、防火墙、区域资源、地址资源、Vlan信息、时间和服务;
配置文件管理模块,其被配置为:采集器获取防火墙配置信息,根据防火墙信息进行分类存储;配置文件管理模块对防火墙配置文件信息进行展示,按照配置文件类型和存储时间查询所属地区防火墙的配置文件;
策略管理模块,其被配置为:通过采集器获取所有防护墙策略信息进行保存,在管理平台上进行对防火墙策略信息进行展示和统一管理;
策略业务流程管控模块,其被配置为:是对防火墙策略进行规范化管理,安全管理员新增或者修改防火墙安全策略,需要进行流程审批和策略验证;
策略分析模块,其被配置为:针对获取防火墙策略信息进行策略分析,按照宽松策略、冗余策略、冲突策略、过期策略、高危端口策略、策略命中数和策略变更分类方式进行解析后展示;
系统字典管理模块,其被配置为:是对公共信息维护和统一管理;包括:防火墙品牌、型号、版本、高危端口信息;
采集器管理模块,其被配置为:对采集器基本信息进行维护和统一管理;主要功能包括对采集器查询、新增、修改和删除功能;内容信息包括:采集器编号、采集器名称、公司名称、部署位置、IP地址、端口号、心跳时间、状态、防火墙信息;
系统日志管理模块,其被配置为:系统日志管理是针对平台本身的系统日志、运行日志、操作日志、配置日志和时间日志的查询、查看、导出、删除和配置;日志不限于登录日志、配置日志、故障日志、变更日志、采集日志、分析日志。
6.防火墙安全策略自动适配方法,其特征是,包括:
采集防火墙的策略配置信息;所述防火墙的策略配置信息,包括:防火墙的安全策略、路由策略或NAT策略;
对采集的防火墙策略配置信息进行解析;
对解析后的数据进行归一化处理,并进行存储和展示。
7.如权利要求6所述的方法,其特征是,采集防火墙的策略配置信息;具体步骤包括:
采集器根据防火墙的品牌、型号和版本号从命令配置库中匹配各种策略的采集命令;
通过SSH远程连接到防火墙,按设定顺序执行不同策略的采集命令,并以数据通道的方式获取到命令执行结果,把结果写入到以时间为名字指定的配置文件中;
每个防火墙的策略信息采集过程结束,监听服务主动把配置文件发送给服务器以进行防火墙配置文件解析。
8.如权利要求6所述的方法,其特征是,对采集的防火墙策略配置信息进行解析;具体步骤包括:
服务器获取不同品牌防火墙的策略,并对防火墙策略的公共配置和个性配置进行提炼,生成标准型号配置库;
采集器登陆防火墙,获取防火墙配置文件,将配置文件远程传输到服务器,并存入数据库;
解析器从数据库取出配置文件,不同工厂模式的防火墙配置文件使用不同的解析方式;
解析配置文件过程中,首先,先解析资源;然后,再解析主机、主机组、地址、地址组、时间、时间组、策略、NAT策略;
解析防火墙策略的过程中,对资源策略进行比对判断策略是否变化,对变化的资源和策略存入数据库,页面获取信息进行展示和策略变更预警。
9.如权利要求8所述的方法,其特征是,所述解析器从数据库取出配置文件,不同工厂模式的防火墙配置文件使用不同的解析方式的具体步骤包括:
解析器从数据库取出配置文件,调用防火墙策略解析服务,验证防火墙配置文件是否正确,如果不正确,就返回错误信息;如果正确,就根据不同防火墙调用不同的解析服务;
解析防火墙策略;解析主机;解析子网;解析范围;解析地址组;解析服务;解析服务组;解析时间;解析时间组;解析端口;解析区域;解析策略;解析策略组;解析nat策略;资源策略比对;
判断资源策略是否发生变化,如果是就进入下一步,如果否,就结束;
判断是否走变更流程,如果是就变更入库,结束;如果否,就发邮件提醒管理员非法变更。
10.如权利要求9所述的方法,其特征是,所述资源策略比对的具体步骤包括:
接收第i+1条的防火墙策略;
判断第i+1条的防火墙策略是否属于高危协议,如果是就提示告警信息,如果否就进入下一步;
判断第i+1条的防火墙策略提供的端口是否属于高危端口,如果是就提示告警信息,如果否就进入下一步;
对第i+1条的防火墙策略进行冗余判断:
如果第i+1条的防火墙策略的策略源、目的区域和地址与第i条的防火墙策略的策略源、目的区域和地址存在包含关系,则输出第i+1条的防火墙策略为冗余策略;否则,进入冲突判断步骤;
如果第i条的防火墙策略的策略源、目的区域和地址与第i+1条的防火墙策略的策略源、目的区域和地址存在包含关系,则判断第i+1条的防火墙策略为冗余策略;否则,进入冲突判断步骤;
对第i+1条的防火墙策略进行冲突判断:
如果第i+1条的防火墙策略的策略源、目的区域和地址与第i条的防火墙策略的策略源、目的区域和地址存在冲突,则输出第i+1条的防火墙策略为冲突策略;否则,结束;
如果第i条的防火墙策略的策略源、目的区域和地址与第i+1条的防火墙策略的策略源、目的区域和地址存在冲突,则判断第i+1条的防火墙策略为冲突策略;否则,进入结束。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010440004.7A CN111786949B (zh) | 2020-05-22 | 2020-05-22 | 防火墙安全策略自动适配系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010440004.7A CN111786949B (zh) | 2020-05-22 | 2020-05-22 | 防火墙安全策略自动适配系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111786949A true CN111786949A (zh) | 2020-10-16 |
| CN111786949B CN111786949B (zh) | 2023-04-07 |
Family
ID=72754450
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010440004.7A Active CN111786949B (zh) | 2020-05-22 | 2020-05-22 | 防火墙安全策略自动适配系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111786949B (zh) |
Cited By (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112351014A (zh) * | 2020-10-28 | 2021-02-09 | 武汉思普崚技术有限公司 | 一种安全域间防火墙安全策略合规基线管理方法及装置 |
| CN112380282A (zh) * | 2020-11-30 | 2021-02-19 | 四川大学华西医院 | 一种端到端的可回溯的多元异构医学数据管理平台 |
| CN112615811A (zh) * | 2020-11-19 | 2021-04-06 | 贵州电网有限责任公司 | 一种电力信息内网络边界策略健壮性自动化分析方法 |
| CN112651137A (zh) * | 2020-12-31 | 2021-04-13 | 武汉思普崚技术有限公司 | 一种策略模拟仿真给出策略开通建议的方法及装置 |
| CN112887324A (zh) * | 2021-02-20 | 2021-06-01 | 广西电网有限责任公司 | 电力监控系统的网络安全装置的策略配置管理系统 |
| CN112995169A (zh) * | 2021-02-22 | 2021-06-18 | 中国工商银行股份有限公司 | 防火墙部署方法和装置 |
| CN113037752A (zh) * | 2021-03-09 | 2021-06-25 | 北京计算机技术及应用研究所 | 一种轻量级异构防火墙策略获取方法和系统 |
| CN113055391A (zh) * | 2021-03-25 | 2021-06-29 | 建信金融科技有限责任公司 | 防火墙更换时策略配置转换的方法和装置 |
| CN113301040A (zh) * | 2021-05-21 | 2021-08-24 | 恒安嘉新(北京)科技股份公司 | 一种防火墙策略优化方法、装置、设备及存储介质 |
| CN113411337A (zh) * | 2021-06-21 | 2021-09-17 | 深圳天元云科技有限公司 | 一种基于分类的防火墙策略收敛方法、系统、终端及存储介质 |
| CN113452715A (zh) * | 2021-06-29 | 2021-09-28 | 中国工商银行股份有限公司 | 一种防火墙策略的管理方法、系统、设备及可读存储介质 |
| CN113452725A (zh) * | 2021-08-31 | 2021-09-28 | 腾讯科技(深圳)有限公司 | 报文过滤信息生成方法及装置 |
| CN113507454A (zh) * | 2021-06-23 | 2021-10-15 | 北京惠而特科技有限公司 | 一种基于流量分析的工业防火墙策略自动生成部署方法 |
| CN113810429A (zh) * | 2021-11-16 | 2021-12-17 | 北京安博通科技股份有限公司 | 一种自动化策略开通的方法 |
| CN113938383A (zh) * | 2021-10-19 | 2022-01-14 | 广东奥飞数据科技股份有限公司 | 一种sd-wan集中策略管理方法 |
| CN113961939A (zh) * | 2021-12-20 | 2022-01-21 | 北京智芯微电子科技有限公司 | 嵌入式操作系统安全的防护方法和系统 |
| CN114024765A (zh) * | 2021-11-15 | 2022-02-08 | 北京智维盈讯网络科技有限公司 | 基于旁路流量与防火墙配置相结合的防火墙策略收敛方法 |
| CN114338162A (zh) * | 2021-12-28 | 2022-04-12 | 奇安信科技集团股份有限公司 | 安全策略的管理方法及装置、电子设备、存储介质 |
| CN114567494A (zh) * | 2022-03-04 | 2022-05-31 | 山东源鲁信息科技有限公司 | 异构防火墙策略集中管理的方法、装置和系统 |
| CN114629726A (zh) * | 2022-04-26 | 2022-06-14 | 深信服科技股份有限公司 | 一种云管理方法、装置、设备、系统及可读存储介质 |
| CN114679295A (zh) * | 2022-01-26 | 2022-06-28 | 杭州迪普科技股份有限公司 | 防火墙安全配置方法及装置 |
| CN114884835A (zh) * | 2022-05-10 | 2022-08-09 | 交通银行股份有限公司海南省分行 | 一种监测业务系统的方法及装置 |
| CN115174219A (zh) * | 2022-07-06 | 2022-10-11 | 哈尔滨工业大学(威海) | 一种可适配多种工业防火墙的管理系统 |
| CN115766177A (zh) * | 2022-11-08 | 2023-03-07 | 广西电网有限责任公司 | 一种网络爬虫防火墙策略自动梳理方法及相关装置 |
| CN117220998A (zh) * | 2023-10-23 | 2023-12-12 | 北京睿航至臻科技有限公司 | 一种防火墙策略统一范式化方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060288409A1 (en) * | 1999-01-29 | 2006-12-21 | Yair Bartal | Method and apparatus for managing a firewall |
| CN105721188A (zh) * | 2014-12-04 | 2016-06-29 | 北京神州泰岳信息安全技术有限公司 | 防火墙策略核查方法及系统 |
| CN108429774A (zh) * | 2018-06-21 | 2018-08-21 | 蔡梦臣 | 一种防火墙策略集中优化管理方法及其系统 |
| CN108933791A (zh) * | 2018-07-09 | 2018-12-04 | 国网山东省电力公司信息通信公司 | 一种基于电力信息网安全防护策略智能优化方法及装置 |
| CN109040037A (zh) * | 2018-07-20 | 2018-12-18 | 南京方恒信息技术有限公司 | 一种基于策略和规则的安全审计系统 |
| CN110266654A (zh) * | 2019-05-29 | 2019-09-20 | 国网思极网安科技(北京)有限公司 | 一种基于安全域策略分析的方法和电子设备 |
| CN110661811A (zh) * | 2019-10-10 | 2020-01-07 | 国网山东省电力公司信息通信公司 | 一种防火墙策略管理方法及装置 |
-
2020
- 2020-05-22 CN CN202010440004.7A patent/CN111786949B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060288409A1 (en) * | 1999-01-29 | 2006-12-21 | Yair Bartal | Method and apparatus for managing a firewall |
| CN105721188A (zh) * | 2014-12-04 | 2016-06-29 | 北京神州泰岳信息安全技术有限公司 | 防火墙策略核查方法及系统 |
| CN108429774A (zh) * | 2018-06-21 | 2018-08-21 | 蔡梦臣 | 一种防火墙策略集中优化管理方法及其系统 |
| CN108933791A (zh) * | 2018-07-09 | 2018-12-04 | 国网山东省电力公司信息通信公司 | 一种基于电力信息网安全防护策略智能优化方法及装置 |
| CN109040037A (zh) * | 2018-07-20 | 2018-12-18 | 南京方恒信息技术有限公司 | 一种基于策略和规则的安全审计系统 |
| CN110266654A (zh) * | 2019-05-29 | 2019-09-20 | 国网思极网安科技(北京)有限公司 | 一种基于安全域策略分析的方法和电子设备 |
| CN110661811A (zh) * | 2019-10-10 | 2020-01-07 | 国网山东省电力公司信息通信公司 | 一种防火墙策略管理方法及装置 |
Cited By (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112351014B (zh) * | 2020-10-28 | 2022-06-07 | 武汉思普崚技术有限公司 | 一种安全域间防火墙安全策略合规基线管理方法及装置 |
| CN112351014A (zh) * | 2020-10-28 | 2021-02-09 | 武汉思普崚技术有限公司 | 一种安全域间防火墙安全策略合规基线管理方法及装置 |
| CN112615811A (zh) * | 2020-11-19 | 2021-04-06 | 贵州电网有限责任公司 | 一种电力信息内网络边界策略健壮性自动化分析方法 |
| CN112380282A (zh) * | 2020-11-30 | 2021-02-19 | 四川大学华西医院 | 一种端到端的可回溯的多元异构医学数据管理平台 |
| CN112380282B (zh) * | 2020-11-30 | 2023-04-21 | 四川大学华西医院 | 一种端到端的可回溯的多元异构医学数据管理平台 |
| CN112651137A (zh) * | 2020-12-31 | 2021-04-13 | 武汉思普崚技术有限公司 | 一种策略模拟仿真给出策略开通建议的方法及装置 |
| CN112887324B (zh) * | 2021-02-20 | 2022-07-08 | 广西电网有限责任公司 | 电力监控系统的网络安全装置的策略配置管理系统 |
| CN112887324A (zh) * | 2021-02-20 | 2021-06-01 | 广西电网有限责任公司 | 电力监控系统的网络安全装置的策略配置管理系统 |
| CN112995169A (zh) * | 2021-02-22 | 2021-06-18 | 中国工商银行股份有限公司 | 防火墙部署方法和装置 |
| CN112995169B (zh) * | 2021-02-22 | 2022-12-06 | 中国工商银行股份有限公司 | 防火墙部署方法和装置 |
| CN113037752A (zh) * | 2021-03-09 | 2021-06-25 | 北京计算机技术及应用研究所 | 一种轻量级异构防火墙策略获取方法和系统 |
| CN113037752B (zh) * | 2021-03-09 | 2022-09-27 | 北京计算机技术及应用研究所 | 一种轻量级异构防火墙策略获取方法和系统 |
| CN113055391A (zh) * | 2021-03-25 | 2021-06-29 | 建信金融科技有限责任公司 | 防火墙更换时策略配置转换的方法和装置 |
| CN113301040A (zh) * | 2021-05-21 | 2021-08-24 | 恒安嘉新(北京)科技股份公司 | 一种防火墙策略优化方法、装置、设备及存储介质 |
| CN113301040B (zh) * | 2021-05-21 | 2023-02-10 | 恒安嘉新(北京)科技股份公司 | 一种防火墙策略优化方法、装置、设备及存储介质 |
| CN113411337A (zh) * | 2021-06-21 | 2021-09-17 | 深圳天元云科技有限公司 | 一种基于分类的防火墙策略收敛方法、系统、终端及存储介质 |
| CN113411337B (zh) * | 2021-06-21 | 2023-04-18 | 深圳天元云科技有限公司 | 一种基于分类的防火墙策略收敛方法、系统、终端及存储介质 |
| CN113507454A (zh) * | 2021-06-23 | 2021-10-15 | 北京惠而特科技有限公司 | 一种基于流量分析的工业防火墙策略自动生成部署方法 |
| CN113452715A (zh) * | 2021-06-29 | 2021-09-28 | 中国工商银行股份有限公司 | 一种防火墙策略的管理方法、系统、设备及可读存储介质 |
| CN113452725B (zh) * | 2021-08-31 | 2021-12-10 | 腾讯科技(深圳)有限公司 | 报文过滤信息生成方法及装置 |
| CN113452725A (zh) * | 2021-08-31 | 2021-09-28 | 腾讯科技(深圳)有限公司 | 报文过滤信息生成方法及装置 |
| CN113938383A (zh) * | 2021-10-19 | 2022-01-14 | 广东奥飞数据科技股份有限公司 | 一种sd-wan集中策略管理方法 |
| CN114024765B (zh) * | 2021-11-15 | 2022-07-22 | 北京智维盈讯网络科技有限公司 | 基于旁路流量与防火墙配置相结合的防火墙策略收敛方法 |
| CN114024765A (zh) * | 2021-11-15 | 2022-02-08 | 北京智维盈讯网络科技有限公司 | 基于旁路流量与防火墙配置相结合的防火墙策略收敛方法 |
| CN113810429A (zh) * | 2021-11-16 | 2021-12-17 | 北京安博通科技股份有限公司 | 一种自动化策略开通的方法 |
| CN113961939A (zh) * | 2021-12-20 | 2022-01-21 | 北京智芯微电子科技有限公司 | 嵌入式操作系统安全的防护方法和系统 |
| CN114338162A (zh) * | 2021-12-28 | 2022-04-12 | 奇安信科技集团股份有限公司 | 安全策略的管理方法及装置、电子设备、存储介质 |
| CN114679295A (zh) * | 2022-01-26 | 2022-06-28 | 杭州迪普科技股份有限公司 | 防火墙安全配置方法及装置 |
| CN114567494A (zh) * | 2022-03-04 | 2022-05-31 | 山东源鲁信息科技有限公司 | 异构防火墙策略集中管理的方法、装置和系统 |
| CN114629726A (zh) * | 2022-04-26 | 2022-06-14 | 深信服科技股份有限公司 | 一种云管理方法、装置、设备、系统及可读存储介质 |
| CN114884835A (zh) * | 2022-05-10 | 2022-08-09 | 交通银行股份有限公司海南省分行 | 一种监测业务系统的方法及装置 |
| CN115174219A (zh) * | 2022-07-06 | 2022-10-11 | 哈尔滨工业大学(威海) | 一种可适配多种工业防火墙的管理系统 |
| CN115174219B (zh) * | 2022-07-06 | 2024-04-19 | 哈尔滨工业大学(威海) | 一种可适配多种工业防火墙的管理系统 |
| CN115766177A (zh) * | 2022-11-08 | 2023-03-07 | 广西电网有限责任公司 | 一种网络爬虫防火墙策略自动梳理方法及相关装置 |
| CN117220998A (zh) * | 2023-10-23 | 2023-12-12 | 北京睿航至臻科技有限公司 | 一种防火墙策略统一范式化方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111786949B (zh) | 2023-04-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111786949B (zh) | 防火墙安全策略自动适配系统及方法 | |
| CN109034720A (zh) | 一种适用于电力调度业务管理的移动办公平台及装置 | |
| CN103546343B (zh) | 网络流量分析系统的网络流量展示方法和系统 | |
| EP3544330B1 (en) | System and method for validating correctness of changes to network device configurations | |
| US20220094689A1 (en) | Automatically Executing Responsive Actions Based on a Verification of an Account Lineage Chain | |
| CN112838951B (zh) | 一种终端设备的运维方法、装置、系统及存储介质 | |
| CN104952117A (zh) | 一种考勤管理方法 | |
| CN110971464A (zh) | 一种适合灾备中心的运维自动化系统 | |
| WO2021212655A1 (zh) | 设备监控方法、装置、计算机设备和存储介质 | |
| CN112788031A (zh) | 基于Envoy架构的微服务接口认证系统、方法及装置 | |
| WO2022018554A1 (en) | Dynamically determining trust level of end-to-end link | |
| US8677446B2 (en) | Centrally managed impersonation | |
| CN109948331A (zh) | 一种弱口令检测系统及方法 | |
| CN107463490B (zh) | 一种应用于平台开发中的集群日志集中收集方法 | |
| WO2021155683A1 (zh) | 日志打印方法、装置、电子设备和存储介质 | |
| CN106911510B (zh) | 网络准入系统的可用性监测系统及方法 | |
| KR101233934B1 (ko) | 지능형 통합 보안 관리 시스템 및 방법 | |
| CN110995538B (zh) | 网络数据采集方法、装置、系统、设备及存储介质 | |
| KR101775517B1 (ko) | 빅데이터 보안 점검 클라이언트, 빅데이터 보안 점검 장치 및 방법 | |
| CN116633725A (zh) | 一种全渠道接入网关 | |
| CN113361723B (zh) | 一种基于规则树自动匹配的it运维管理系统和方法 | |
| CN115086160A (zh) | 一种基于SaaS平台的日志采集方法、终端代理、设备 | |
| US10459895B2 (en) | Database storage monitoring equipment | |
| KR102657160B1 (ko) | 데이터 관리 장치, 데이터 관리 방법 및 데이터 관리 프로그램을 저장하는 컴퓨터로 판독 가능한 저장 매체 | |
| CN115361264B (zh) | 节点管理方法、装置、节点、系统及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: No.185, Jingsi Road, Shizhong District, Jinan City, Shandong Province Applicant after: Shandong luruan Digital Technology Co.,Ltd. Address before: No.185, Jingsi Road, Shizhong District, Jinan City, Shandong Province Applicant before: SHANDONG LUNENG SOFTWARE TECHNOLOGY Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |