CN112333139A - 防火墙防护提升方法、装置、设备及可读存储介质 - Google Patents

防火墙防护提升方法、装置、设备及可读存储介质 Download PDF

Info

Publication number
CN112333139A
CN112333139A CN202010850585.1A CN202010850585A CN112333139A CN 112333139 A CN112333139 A CN 112333139A CN 202010850585 A CN202010850585 A CN 202010850585A CN 112333139 A CN112333139 A CN 112333139A
Authority
CN
China
Prior art keywords
firewall
strategy
protection
policy
strategies
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010850585.1A
Other languages
English (en)
Inventor
李明明
王瑞琦
耿洁宇
赵毅
冯勇
闫娇
宋志勇
李鹏
孙睿贞
胡碧波
宋仁杰
郭鹏
翟玲玲
潘巍
赵博文
胡健
李春晖
王方
吴文韬
杜予贺
陈钊
王志刚
吴勇
李威
阙东阳
谢杨
米俊
张昀
沈雷
候伟
高小芳
高慧
王冰
张东阳
乔鸣鸣
刘喜
付刚
方新利
喻鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
Zhumadian Power Supply Co of State Grid Henan Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
Zhumadian Power Supply Co of State Grid Henan Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, Zhumadian Power Supply Co of State Grid Henan Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN202010850585.1A priority Critical patent/CN112333139A/zh
Publication of CN112333139A publication Critical patent/CN112333139A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0823Configuration setting characterised by the purposes of a change of settings, e.g. optimising configuration for enhancing reliability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明属于防火墙防护提升技术领域,具体涉及防火墙防护提升方法、装置、设备及可读存储介质;防火墙防护提升方法,包括通过数据采集重新构建防火墙策略,归类防火墙策略方法,比较处理防火墙策略的权限,构建防火墙策略生命周期,筛选处理闲置和重复策略;防火墙防护提升装置包括,重建模块,用于通过数据采集重新构建防火墙策略,归类模块,用于归类防火墙策略方法,比较模块,用于比较处理防火墙策略的权限,构建模块,用于构建防火墙策略生命周期,筛选模块,用于筛选处理闲置和重复策略;计算机设备,包括可在处理器上运行的实现上述防火墙防护提升方法的计算机程序;本发明解决了防火墙策略出错和策略表臃肿问题,提高了防火墙防护能力。

Description

防火墙防护提升方法、装置、设备及可读存储介质
技术领域
本发明属于防火墙防护提升技术领域,具体涉及防火墙防护提升方法、装置、设备及可读存储介质。
背景技术
日常工作中,防火墙的维护工作主要包括策略的添加、修改以及删除,运维人员在收到操作票后,根据票面内容,通过Web防火墙管理工具进行相应变动,运维过程中,涉及的关键字段包括有源地址、目的地址、源端口、目的端口、策略状态、策略动作、策略生效时间段等,均由运维人员根据票面内容修改,有一定的出错几率,随着防火墙系统的使用,策略表也会愈发臃肿,运行效率随之降低,需要运维人员定期进行防火墙策略表的优化工作;然而,筛查过程对于运维人员具有一定的挑战性,在逐条筛查过程中,主要面临以下难点:1)策略条数多,定期维护压力大,2)策略表中IP地址表示方法多,难以直观判断2条策略IP地址之间的包含关系,3)各防火墙厂商提供的分析工具各异,且大多提供简单的查找功能,综合分析功能较弱;因此提供一种能够取代人工定期优化防火墙策略,分析防火墙安全策略,主动提供策略优化措施的防火墙防护提升方法是很有必要的。
发明内容
本发明的目的是为了克服现有技术的不足,而提供一种可解决防火墙策略配置出错和策略表臃肿问题,取代运维人员定期进行防火墙策略表的优化工作,提高工作效率,提高防火墙防护能力的防火墙防护提升方法、装置、设备及可读存储介质。
本发明的目的是这样实现的:防火墙防护提升方法,它包括:
通过数据采集重新构建防火墙策略;
归类防火墙策略方法;
比较处理防火墙策略的权限;
构建防火墙策略生命周期;
筛选处理闲置和重复策略。
所述通过数据采集重新构建防火墙策略,包括:通过终端模拟管理防火墙,通过数据解码的方式,采集和重新构建防火墙策略。
所述归类防火墙策略方法,包括:基于防火墙安全防护对象,实现以IP、协议、应用等为主体防护策略方法的归类和疏理。
所述比较处理防火墙策略的权限,包括:基于IP、协议、端口等策略对象,自动分析权限过大策略、闲置策略、关键系统所用策略。
所述构建防火墙策略生命周期,包括:基于安全防护对象和安全事件来重新疏理和构建防火墙策略,基于时间构建防火墙策略和存活时间。
所述筛选处理闲置和重复策略,包括:自动筛选防火墙闲置和重复策略,实现自动处理和告警提示。
防火墙防护提升装置,它包括:
重建模块,用于通过数据采集重新构建防火墙策略,即通过终端模拟管理防火墙,通过数据解码的方式,采集和重新构建防火墙策略;
归类模块,用于归类防火墙策略方法,即基于防火墙安全防护对象,实现以IP、协议、应用等为主体防护策略方法的归类和疏理;
比较模块,用于比较处理防火墙策略的权限,即基于IP、协议、端口等策略对象,自动分析权限过大策略、闲置策略、关键系统所用策略;
构建模块,用于构建防火墙策略生命周期,即基于安全防护对象和安全事件来重新疏理和构建防火墙策略,基于时间构建防火墙策略和存活时间;
筛选模块,用于筛选处理闲置和重复策略,即自动筛选防火墙闲置和重复策略,实现自动处理和告警提示。
一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述任意的防火墙防护提升方法,以解决防火墙策略配置出错和策略表臃肿,防护能力弱,运维压力大的问题。
一种计算机可读存储介质,所述计算机可读存储介质存储有执行上述任意的防火墙防护提升方法的计算机程序,以解决防火墙策略配置出错和策略表臃肿,防护能力弱,运维压力大的问题。
本发明的有益效果:本发明的防火墙防护提升方法、装置、设备及可读存储介质,能够取代人工定期优化防火墙策略的工作,分析防火墙安全策略,发现过期策略、重复策略、不合理策略,主动提供策略优化措施,自动或者运维人员授权修改防火墙策略;通过自动学习方式,获取防火墙策略表,自动分析和比对防火墙策略配置,呈现不合理配置,并提供相应的优化措施,自动或通过运维人员授权修改防火墙策略,解决防火墙策略配置出错和策略表臃肿的问题,取代了运维人员定期进行防火墙策略表的优化工作,提高了工作效率,提高了防火墙的防护能力。
附图说明
图1为本发明防火墙防护提升方法的流程示意图。
具体实施方式
下面结合附图对本发明做进一步的说明。
实施例1
如图1所示,防火墙防护提升方法,它包括:
通过数据采集重新构建防火墙策略;
归类防火墙策略方法;
比较处理防火墙策略的权限;
构建防火墙策略生命周期;
筛选处理闲置和重复策略。
防火墙防护提升装置,它包括:
重建模块,用于通过数据采集重新构建防火墙策略,即通过终端模拟管理防火墙,通过数据解码的方式,采集和重新构建防火墙策略;
归类模块,用于归类防火墙策略方法,即基于防火墙安全防护对象,实现以IP、协议、应用等为主体防护策略方法的归类和疏理;
比较模块,用于比较处理防火墙策略的权限,即基于IP、协议、端口等策略对象,自动分析权限过大策略、闲置策略、关键系统所用策略;
构建模块,用于构建防火墙策略生命周期,即基于安全防护对象和安全事件来重新疏理和构建防火墙策略,基于时间构建防火墙策略和存活时间;
筛选模块,用于筛选处理闲置和重复策略,即自动筛选防火墙闲置和重复策略,实现自动处理和告警提示。
一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述任意的防火墙防护提升方法,以解决防火墙策略配置出错和策略表臃肿,防护能力弱,运维压力大的问题。
一种计算机可读存储介质,所述计算机可读存储介质存储有执行上述任意的防火墙防护提升方法的计算机程序,以解决防火墙策略配置出错和策略表臃肿,防护能力弱,运维压力大的问题。
本发明的防火墙防护提升方法、装置、设备及可读存储介质,能够取代人工定期优化防火墙策略的工作,分析防火墙安全策略,发现过期策略、重复策略、不合理策略,主动提供策略优化措施,自动或者运维人员授权修改防火墙策略;通过自动学习方式,获取防火墙策略表,自动分析和比对防火墙策略配置,呈现不合理配置,并提供相应的优化措施,自动或通过运维人员授权修改防火墙策略,解决防火墙策略配置出错和策略表臃肿的问题,取代了运维人员定期进行防火墙策略表的优化工作,提高了工作效率,提高了防火墙的防护能力。
实施例2
如图1所示,防火墙防护提升方法,它包括:
通过数据采集重新构建防火墙策略;
归类防火墙策略方法;
比较处理防火墙策略的权限;
构建防火墙策略生命周期;
筛选处理闲置和重复策略。
所述通过数据采集重新构建防火墙策略,包括:通过终端模拟管理防火墙,通过数据解码的方式,采集和重新构建防火墙策略。
所述归类防火墙策略方法,包括:基于防火墙安全防护对象,实现以IP、协议、应用等为主体防护策略方法的归类和疏理。
所述比较处理防火墙策略的权限,包括:基于IP、协议、端口等策略对象,自动分析权限过大策略、闲置策略、关键系统所用策略。
所述构建防火墙策略生命周期,包括:基于安全防护对象和安全事件来重新疏理和构建防火墙策略,基于时间构建防火墙策略和存活时间。
所述筛选处理闲置和重复策略,包括:自动筛选防火墙闲置和重复策略,实现自动处理和告警提示。
防火墙防护提升装置,它包括:
重建模块,用于通过数据采集重新构建防火墙策略,即通过终端模拟管理防火墙,通过数据解码的方式,采集和重新构建防火墙策略;
归类模块,用于归类防火墙策略方法,即基于防火墙安全防护对象,实现以IP、协议、应用等为主体防护策略方法的归类和疏理;
比较模块,用于比较处理防火墙策略的权限,即基于IP、协议、端口等策略对象,自动分析权限过大策略、闲置策略、关键系统所用策略;
构建模块,用于构建防火墙策略生命周期,即基于安全防护对象和安全事件来重新疏理和构建防火墙策略,基于时间构建防火墙策略和存活时间;
筛选模块,用于筛选处理闲置和重复策略,即自动筛选防火墙闲置和重复策略,实现自动处理和告警提示。
一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述任意的防火墙防护提升方法,以解决防火墙策略配置出错和策略表臃肿,防护能力弱,运维压力大的问题。
一种计算机可读存储介质,所述计算机可读存储介质存储有执行上述任意的防火墙防护提升方法的计算机程序,以解决防火墙策略配置出错和策略表臃肿,防护能力弱,运维压力大的问题。
本发明的防火墙防护提升方法、装置、设备及可读存储介质,能够取代人工定期优化防火墙策略的工作,分析防火墙安全策略,发现过期策略、重复策略、不合理策略,主动提供策略优化措施,自动或者运维人员授权修改防火墙策略;通过自动学习方式,获取防火墙策略表,自动分析和比对防火墙策略配置,呈现不合理配置,并提供相应的优化措施,自动或通过运维人员授权修改防火墙策略,解决防火墙策略配置出错和策略表臃肿的问题,取代了运维人员定期进行防火墙策略表的优化工作,提高了工作效率,提高了防火墙的防护能力。

Claims (9)

1.防火墙防护提升方法,其特征在于,它包括:
通过数据采集重新构建防火墙策略;
归类防火墙策略方法;
比较处理防火墙策略的权限;
构建防火墙策略生命周期;
筛选处理闲置和重复策略。
2.如权利要求1所述的防火墙防护提升方法,其特征在于,所述通过数据采集重新构建防火墙策略,包括:
通过终端模拟管理防火墙,通过数据解码的方式,采集和重新构建防火墙策略。
3.如权利要求1所述的防火墙防护提升方法,其特征在于,所述归类防火墙策略方法,包括:
基于防火墙安全防护对象,实现以IP、协议、应用等为主体防护策略方法的归类和疏理。
4.如权利要求1所述的防火墙防护提升方法,其特征在于,所述比较处理防火墙策略的权限,包括:
基于IP、协议、端口等策略对象,自动分析权限过大策略、闲置策略、关键系统所用策略。
5.如权利要求1所述的防火墙防护提升方法,其特征在于,所述构建防火墙策略生命周期,包括:
基于安全防护对象和安全事件来重新疏理和构建防火墙策略,基于时间构建防火墙策略和存活时间。
6.如权利要求1所述的防火墙防护提升方法,其特征在于,所述筛选处理闲置和重复策略,包括:
自动筛选防火墙闲置和重复策略,实现自动处理和告警提示。
7.防火墙防护提升装置,其特征在于,它包括:
重建模块,用于通过数据采集重新构建防火墙策略,即通过终端模拟管理防火墙,通过数据解码的方式,采集和重新构建防火墙策略;
归类模块,用于归类防火墙策略方法,即基于防火墙安全防护对象,实现以IP、协议、应用等为主体防护策略方法的归类和疏理;
比较模块,用于比较处理防火墙策略的权限,即基于IP、协议、端口等策略对象,自动分析权限过大策略、闲置策略、关键系统所用策略;
构建模块,用于构建防火墙策略生命周期,即基于安全防护对象和安全事件来重新疏理和构建防火墙策略,基于时间构建防火墙策略和存活时间;
筛选模块,用于筛选处理闲置和重复策略,即自动筛选防火墙闲置和重复策略,实现自动处理和告警提示。
8.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述的防火墙防护提升方法。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有执行权利要求1至6中任一项所述的防火墙防护提升方法的计算机程序。
CN202010850585.1A 2020-08-21 2020-08-21 防火墙防护提升方法、装置、设备及可读存储介质 Pending CN112333139A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010850585.1A CN112333139A (zh) 2020-08-21 2020-08-21 防火墙防护提升方法、装置、设备及可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010850585.1A CN112333139A (zh) 2020-08-21 2020-08-21 防火墙防护提升方法、装置、设备及可读存储介质

Publications (1)

Publication Number Publication Date
CN112333139A true CN112333139A (zh) 2021-02-05

Family

ID=74303703

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010850585.1A Pending CN112333139A (zh) 2020-08-21 2020-08-21 防火墙防护提升方法、装置、设备及可读存储介质

Country Status (1)

Country Link
CN (1) CN112333139A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113992422A (zh) * 2021-11-04 2022-01-28 中海油信息科技有限公司北京分公司 防火墙规则动态配置方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9553845B1 (en) * 2013-09-30 2017-01-24 F5 Networks, Inc. Methods for validating and testing firewalls and devices thereof
CN108429774A (zh) * 2018-06-21 2018-08-21 蔡梦臣 一种防火墙策略集中优化管理方法及其系统
CN108933791A (zh) * 2018-07-09 2018-12-04 国网山东省电力公司信息通信公司 一种基于电力信息网安全防护策略智能优化方法及装置
CN111193744A (zh) * 2019-12-31 2020-05-22 中信百信银行股份有限公司 防火墙策略查询、弹性伸缩方法及系统、设备、存储介质

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9553845B1 (en) * 2013-09-30 2017-01-24 F5 Networks, Inc. Methods for validating and testing firewalls and devices thereof
CN108429774A (zh) * 2018-06-21 2018-08-21 蔡梦臣 一种防火墙策略集中优化管理方法及其系统
CN108933791A (zh) * 2018-07-09 2018-12-04 国网山东省电力公司信息通信公司 一种基于电力信息网安全防护策略智能优化方法及装置
CN111193744A (zh) * 2019-12-31 2020-05-22 中信百信银行股份有限公司 防火墙策略查询、弹性伸缩方法及系统、设备、存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113992422A (zh) * 2021-11-04 2022-01-28 中海油信息科技有限公司北京分公司 防火墙规则动态配置方法
CN113992422B (zh) * 2021-11-04 2024-03-26 中海油信息科技有限公司北京分公司 防火墙规则动态配置方法

Similar Documents

Publication Publication Date Title
CN111046035B (zh) 数据自动化处理方法、系统、计算机设备及可读存储介质
CN112732802A (zh) 一种基于大数据的企业数据挖掘系统及方法
CN112333139A (zh) 防火墙防护提升方法、装置、设备及可读存储介质
CN112559280A (zh) 基于数据中台的数据全链路监控方法
CN103488695A (zh) 数据同步装置和数据同步方法
CN104699752A (zh) 一种基于云数据库的知识产权查询系统
CN118195329A (zh) 煤矿安全生产智能风险识别的多维融合处理方法及系统
CN112394686A (zh) 工业企业排污总量自动计算方法、系统、装置及介质
CN112598142B (zh) 一种风电机组检修工作质量审查辅助方法与系统
CN111352953A (zh) 一种企业环保管理及报告系统
CN101931525B (zh) 一种信息安全管理资源定位方法及系统
CN112990746A (zh) 检验检测机构云平台智能管理系统
CN104699753A (zh) 一种基于云数据库的知识产权查询系统
CN117851389A (zh) 一种基于物联网中间件的多源异构海量数据采集与治理系统
CN106649034B (zh) 一种可视化智能运维方法及平台
CN110825379A (zh) 个人代码行为评价方法、系统、计算机设备和介质
CN116991952A (zh) 一种水务数据的血缘分析方法、装置、设备和介质
CN111538833A (zh) 一种基于政策知识图谱的低保鉴别方法
CN111105202A (zh) 一种设备管理系统
CN115409268A (zh) 智能化楼宇设备管理方法、系统、计算机设备及存储介质
CN114444049A (zh) 一种智慧建筑数据共享交换平台
CN114240241A (zh) 一种基于标识解析的工厂设备协同运维管理系统
CN111340461A (zh) 一种矿山环保管家系统
CN111027923A (zh) 一种基于石油大数据一体化协同管理应用平台
CN110856208A (zh) 一种网络式资源环境数据采集通信平台

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20210205

RJ01 Rejection of invention patent application after publication