CN112398815A - 一种基于仿真路径分析的访问控制基线检测方法及装置 - Google Patents
一种基于仿真路径分析的访问控制基线检测方法及装置 Download PDFInfo
- Publication number
- CN112398815A CN112398815A CN202011168536.6A CN202011168536A CN112398815A CN 112398815 A CN112398815 A CN 112398815A CN 202011168536 A CN202011168536 A CN 202011168536A CN 112398815 A CN112398815 A CN 112398815A
- Authority
- CN
- China
- Prior art keywords
- path
- domain
- violation
- simulation
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 60
- 238000004088 simulation Methods 0.000 title claims abstract description 59
- 238000004458 analytical method Methods 0.000 title claims abstract description 50
- 239000011159 matrix material Substances 0.000 claims abstract description 25
- 238000000034 method Methods 0.000 claims abstract description 11
- 238000004590 computer program Methods 0.000 claims description 10
- 238000012216 screening Methods 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 13
- 230000006835 compression Effects 0.000 description 2
- 238000007906 compression Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 238000011217 control strategy Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000037361 pathway Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于仿真路径分析的访问控制基线检测方法及装置,其中方法包括以下步骤:基于模拟仿真环境,创建业务区域,并建立各业务区域之间的域间访问规则矩阵;遍历待测源域的所有地址到待测目的域的所有地址,进行路径仿真,得到所有存在通路的路径信息;从所述域间访问规则矩阵中获取所述待测源域与所述待测目的域之间的访问规则;根据所述访问规则判断所述路径信息中是否存在违规通路;根据所述违规通路定位违规防火墙以及对应的违规策略,实现控制基线检测。本发明具有检测效率高、准确率高的技术效果。
Description
技术领域
本发明涉及访问控制基线检测技术领域,尤其涉及一种基于仿真路径分析的访问控制基线检测方法、装置及计算机存储介质。
背景技术
网络规划时,会按照不同的业务系统划分相应的业务区域,或者会根据组织机构或物理位置进行划分网络业务区域,为了加强各区域自身的安全防护,通常会在区域与区域之间通过防火墙的安全策略或路由交换设备的ACL策略进行互访的隔离或限制,从而形成业务域间的访问控制基线。
区域之间经过的防火墙或路由交换设备较多时,路径上每个设备都设置了相关策略影响两个区域之间的通路状态,可能会出现策略违规的情况,因此需要对访问控制基线进行检测维护。传统的检测方式为人工检测,首先人工找出源域到目的域之间经过的所有防火墙设备;然后逐一在防火墙上设备上进行违规测试的查询,有策略命中则为违规策略。
这种人工检测方式需要逐一分析各个网关设备配置的方式,人工关联比对多个防火墙或路由交换设备上的访问控制策略,效率极低,准确度也不高。
发明内容
有鉴于此,有必要提供一种基于仿真路径分析的访问控制基线检测方法及装置,用以解决人工检测效率低、准确率低的问题。
本发明提供一种基于仿真路径分析的访问控制基线检测方法,包括以下步骤:
基于模拟仿真环境,创建业务区域,并建立各业务区域之间的域间访问规则矩阵;
遍历待测源域的所有地址到待测目的域的所有地址,进行路径仿真,得到所有存在通路的路径信息;
从所述域间访问规则矩阵中获取所述待测源域与所述待测目的域之间的访问规则;
根据所述访问规则判断所述路径信息中是否存在违规通路;
根据所述违规通路定位违规防火墙以及对应的违规策略,实现控制基线检测。
进一步的,基于模拟仿真环境,创建业务区域,具体为:
录入业务区域的区域名称、区域包含的网段、对应的IP地址范围,实现业务区域的创建。
进一步的,基于模拟仿真环境,建立各业务区域之间的域间访问规则矩阵,具体包括:
创建每一所述业务区域与其它各业务区域之间的域间访问规则,得到所述域间访问规则矩阵。
进一步的,所述域间访问规则包括规则名称、规则相关的源地址、规则相关的目的地址、规则相关的服务端口或服务协议以及动作。
进一步的,所述域间访问规则为白名单规则或黑名单规则;
所述白名单规则包括所有不违规的通路名单,所述黑名单规则包括所有违规的通路名单。
进一步的,遍历待测源域的所有地址到待测目的域的所有地址,进行路径仿真,得到所有存在通路的路径信息,具体为:
叠加所述待测源域至所述待测目的域之间所有网络设备的安全策略,进行路径仿真,得到所有存在通路的路径信息。
进一步的,根据所述访问规则判断所述路径信息中是否存在违规通路,具体为:
筛选出所述路径信息中违背所述访问规则的通路,得到所述违规通路。
进一步的,根据所述违规通路定位违规防火墙以及对应的违规策略,具体为:
查找所述违规通路上所有的防火墙,得到违规防火墙;
获取各所述违规防火墙上与所述违规通路相关联的安全策略,得到违规策略。
本发明还提供一种基于仿真路径分析的访问控制基线检测装置,包括处理器以及存储器,所述存储器上存储有计算机程序,所述计算机程序被所述处理器执行时,实现所述基于仿真路径分析的访问控制基线检测方法。
本发明还提供一种计算机存储介质,其上存储有计算机程序,所述计算机该程序被处理器执行时,实现所述基于仿真路径分析的访问控制基线检测方法。
有益效果:本发明提基于模拟仿真环境,遍历各个业务区域之间的互访关系,将可以访问的通路信息找出来,然后再与域间访问规则进行比较,看是否有违规的域间通路,并可根据违规通路定位到具体的违规策略。本发明可以基于模拟仿真分析的方法一次叠加区域之间所有网关设备上的所有策略进行综合汇总分析出通路详情,取代传统需要人工逐一分析各个网关设备配置的方式,效率极大提升,准确度也更高。
附图说明
图1为本发明提供的基于仿真路径分析的访问控制基线检测方法第一实施例的方法流程图;
图2为本发明提供的基于仿真路径分析的访问控制基线检测方法第一实施例的网络拓扑结构图;
图3为本发明提供的基于仿真路径分析的访问控制基线检测方法第一实施例的业务区域创建界面图;
图4a为本发明提供的基于仿真路径分析的访问控制基线检测方法第一实施例的域间规则创建界面图;
图4b为本发明提供的基于仿真路径分析的访问控制基线检测方法第一实施例的全局规则创建界面图;
图5为本发明提供的基于仿真路径分析的访问控制基线检测方法第一实施例网络设备叠加结果图;
图6为本发明提供的基于仿真路径分析的访问控制基线检测方法第一实施例的违规检测界面图;
图7a为本发明提供的基于仿真路径分析的访问控制基线检测方法第一实施例的违规通路汇总图;
图7b为本发明提供的基于仿真路径分析的访问控制基线检测方法第一实施例的违规防火墙检测结果界面图;
图7c为本发明提供的基于仿真路径分析的访问控制基线检测方法第一实施例的违规策略检测结果界面图;
图8a为本发明提供的基于仿真路径分析的访问控制基线检测方法第一实施例的报表订阅界面图;
图8b为本发明提供的基于仿真路径分析的访问控制基线检测方法第一实施例的报表列表界面图;
图8c为本发明提供的基于仿真路径分析的访问控制基线检测方法第一实施例的报表压缩包文件夹图;
图8d为本发明提供的基于仿真路径分析的访问控制基线检测方法第一实施例的报表实例图。
具体实施方式
下面结合附图来具体描述本发明的优选实施例,其中,附图构成本申请一部分,并与本发明的实施例一起用于阐释本发明的原理,并非用于限定本发明的范围。
实施例1
如图1所示,本发明的实施例1提供了基于仿真路径分析的访问控制基线检测方法,以下简称本方法,包括以下步骤:
S1、基于模拟仿真环境,创建业务区域,并建立各业务区域之间的域间访问规则矩阵;
S2、遍历待测源域的所有地址到待测目的域的所有地址,进行路径仿真,得到所有存在通路的路径信息;
S3、从所述域间访问规则矩阵中获取所述待测源域与所述待测目的域之间的访问规则;
S4、根据所述访问规则判断所述路径信息中是否存在违规通路;
S5、根据所述违规通路定位违规防火墙以及对应的违规策略,实现控制基线检测。
本实施例首先基于模拟仿真环境,创建业务区域,并建立各业务区域之间的域间访问规则矩阵,实现访问控制基线的模拟,以便后续对于访问控制基线的检测。遍历各个业务区域之间的互访关系,将可以访问的通路信息找出来,然后再与域间访问规则进行比较,看是否有违反相应域间访问规则的域间通路,并根据违规通路定位到具体的违规防火墙以及违规策略。
本发明可以基于模拟仿真分析的方法一次叠加区域之间所有网关设备上的所有策略进行综合汇总分析出通路详情,取代传统需要人工逐一分析各个网关设备配置的方式,效率极大提升,准确度也更高,能够更好的辅助网络管理员建立正确的网络访问控制基线。访问控制基线的检测可以即时或定期检测,及时发现违规策略,并提供处置建议;同时,针对新增策略开通或变更时,可采用本方法对待添加的安全策略进行策略风险合规检查,提前告知管理员开通风险,起到对策略变更的合规性与风险进行监测预警作用。
优选的,基于模拟仿真环境,创建业务区域,具体为:
录入业务区域的区域名称、区域包含的网段、对应的IP地址范围,实现业务区域的创建。
本实施例针对图2示出的网络拓扑结构进行模拟仿真。首先创建业务区域,具体的,如图3所示,点击“策略风险>域间合规>规则矩阵>新建区域”,填入区域的名称、排序编码、地址等信息,保存即可新建一个逻辑安全域。注意:域与域之间的地址范围重复将会出现提示信息,但仍然可以保存。本实施例共建立了如下表所示的三个业务区域:
表1、
序号 | 区域名称 | 区域包含的网段 | 对应的IP地址范围 |
1 | 区域A | 192.168.254.0/24 | 192.168.254.0-192.168.254.254 |
2 | 区域B | 192.168.5.0/24 | 192.168.5.0-192.168.5.254 |
3 | 区域C | 192.168.1.0/24 | 192.168.1.0-192.168.1.254 |
… | … |
优选的,基于模拟仿真环境,建立各业务区域之间的域间访问规则矩阵,具体包括:
创建每一所述业务区域与其它各业务区域之间的域间访问规则,得到所述域间访问规则矩阵。
区域规则矩阵展示,在规则矩阵页面上展示了所有建立的区域以及规则等信息,将鼠标放置在规则矩阵里某个区域名称上,页面自动显示编辑和删除操作。此时就可以对这个区域进行编辑和删除操作了。注意:域间存在规则的区域将不能直接删除,需先删除域中已有的规则,再删除区域。
优选的,所述域间访问规则包括规则名称、规则相关的源地址、规则相关的目的地址、规则相关的服务端口或服务协议以及动作。
域间访问规则包括域间规则以及全局规则。
具体的,如图4a所示,点击域间访问规则矩阵中某一区域“+”号,打开新建域间规则页面,填入名称、源地址、排除源地址、目的地址、排除目的地址、服务、排除服务等信息,即可新建一条域间规则。注意:在填入源地址、目的地址和服务时需要选择相应的模式,勾选不同的模式时会影响排除地址和排除服务的输入;在填入地址或服务信息时,若对象不存在,可在当前页面新建地址对象或服务对象;选择的地址对象范围若不在区域范围内,仍然可以保存但页面会有提示信息。
创建每两个业务区域之间的域间访问规则,即可得到域间访问规则矩阵,点击域间访问规则矩阵中具有规则的某一区域,进入域间规则列表页面,页面展示出当前这个区域内所有规则。源域为:内部操作区域,目的域为:数据中心区。该列表页面支持对域间规则进行编辑、删除和查询操作。
如图4b所示,点击“策略风险>规则矩阵>全局规则>新建”,打开新建全局规则页面,填入名称、源地址、排除源地址、目的地址、排除目的地址、服务、排除服务等信息,即可新建一条全局规则。注意:在填入源地址、目的地址和服务时需要选择相应的模式,勾选不同的模式时会影响排除地址和排除服务的输入;在填入地址或服务信息时,若对象不存在,可在当前页面新建地址对象或服务对象。
点击“策略风险>规则矩阵>全局规则”,进入全局规则列表页面,页面展示出所有全局规则。当前列表页面支持对全局规则进行编辑、删除和查询操作。
优选的,所述域间访问规则为白名单规则或黑名单规则;
所述白名单规则包括所有不违规的通路名单,所述黑名单规则包括所有违规的通路名单。
本实施例中域间访问控制基线的访问规则支持黑/白名单模式,配置灵活。
黑名单模式:设定规则时,A域--B域维护一条黑名单规则,如:A域--B域445端口访问;目的就是检测若出现这种可访问的就是违规的;
检测时,若模拟路径分析,找到了一条A域--B域445端口可以访问的通路,如:源域a--目的b 445端口可达,则说明找到的这条通路为违规通路。
白名单模式:设定规则时,A域--B域维护一条白名单规则,如:A域--B域80端口访问;目的就是只能这个端口能访问,若检查出其他端口能访问则为违规通路。
检测时,若模拟路径分析,找到了一条A域--B域8080端口可以访问的通路,如:源a--目的b 8080端口可达,则说明找到的这条通路为违规通路。
以黑名单模式为例,本实施例建立的域间访问规则矩阵如下表所示:
表2、
各域间访问规则的规则信息如下表所示:
表3、
优选的,遍历待测源域的所有地址到待测目的域的所有地址,进行路径仿真,得到所有存在通路的路径信息,具体为:
叠加所述待测源域至所述待测目的域之间所有网络设备的安全策略,进行路径仿真,得到所有存在通路的路径信息。
本实施例采用基于端到端路径分析的测方式,在域间访问规则维护好的基础上,基于全路径分析方式,自动分析并列出违规路径详情。路径分析时,自动叠加路径上所有防火墙的安全策略,叠加结果如图5中,仅关注最终的通路关系即可,图5中只要有一台防火墙策略为阻断,则路径均是合规的。
以域A到域B为例,找出来的所有通路信息如下表所示:
表4、
优选的,根据所述访问规则判断所述路径信息中是否存在违规通路,具体为:
筛选出所述路径信息中违背所述访问规则的通路,得到所述违规通路。
具体的,如图6所示,点击“策略风险>违规检测”,进入违规检测页面,输入源地址、目的地址和服务,点击“开始检查”,待检查完成后,页面下方将会给出输入的策略违反的所有规则的详细信息,包括域间规则和全局规则。注意:检测输入的策略是否违反域间规则时,首先要进行域匹配,也就是说输入的源地址要与源域匹配,输入的目的地址要与目的域匹配,当只有源地址匹配上源域、目的地址匹配目的域时,才进行下一步输入策略与域间访问规则进行匹配,若匹配上,代表输入的策略违反了该条域间规则,若匹配不上,则不违反。、
具体的,将表4中的通路列表信息与规则AB1进行比对,则很容易发现域A-域B存在违规的通路:
192.168.254.0-192.168.254.255 --- 192.168.5.0-192.168.5.255 TCP 3306;
192.168.254.0-192.168.254.255 --- 192.168.5.0-192.168.5.255 UDP 3306。
优选的,根据所述违规通路定位违规防火墙以及对应的违规策略,具体为:
查找所述违规通路上所有的防火墙,得到违规防火墙;
获取各所述违规防火墙上与所述违规通路相关联的安全策略,得到违规策略。
具体的,检测得到的违规通路汇总,如图7a所示。通过违规路径详情,列出路径上所有防火墙,这些防火墙上均为违规防火墙,如图7b所示。通过违规路径详情,进一步查看防火墙上违规策略明细,即导致产生出违规通路的策略,如图7c示。
通过上述过程,即可快速查找出违规域间规则的所有违规防火墙、违规策略信息。优选的,还可以将检测结果以Excel形式展示,即,将违规防火墙上违反了域间访问规则的安全策略列表明细,并给网络管理员提供处置建议。
具体的,如图8a所示,点击“报表管理>报表订阅”,创建一个报表订阅,编辑报表订阅,拖入风险合规检查,选择设备。支持对报表订阅内容编辑和删除操作。注意:目前支持防火墙设备的风险合规检查;选择设备时可勾选一个或多个设备,若不勾选,则默认检查节点配置中所有防火墙设备。
如图8b所示,点击“报表管理>报表管理>报表列表”,找到新创建的报表条目,点击“立即生成”,等待,再点击“刷新”按钮,可观察是否生成完成,待生成完成后,点击“下载”,即可下载出相应的防火墙风险合规分析的报表。
如图8c所示,展示了报表压缩包内文件夹内容:包括域间规则和全局规则中所有违反条目。
如图8d所示,每个文件夹中的Excel表格内容展示:包括防火墙设备信息,每条规则里包含的防火墙上违反所有安全策略信息。
实施例2
本发明的实施例2提供了基于仿真路径分析的访问控制基线检测装置,包括处理器以及存储器,所述存储器上存储有计算机程序,所述计算机程序被所述处理器执行时,实现实施例1提供的基于仿真路径分析的访问控制基线检测方法。
本发明实施例提供的基于仿真路径分析的访问控制基线检测装置,用于实现基于仿真路径分析的访问控制基线检测方法,因此,基于仿真路径分析的访问控制基线检测方法所具备的技术效果,基于仿真路径分析的访问控制基线检测装置同样具备,在此不再赘述。
实施例3
本发明的实施例3提供了计算机存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时,实现实施例1提供的基于仿真路径分析的访问控制基线检测方法。
本发明实施例提供的计算机存储介质,用于实现基于仿真路径分析的访问控制基线检测方法,因此,基于仿真路径分析的访问控制基线检测方法所具备的技术效果,计算机存储介质同样具备,在此不再赘述。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。
Claims (10)
1.一种基于仿真路径分析的访问控制基线检测方法,其特征在于,包括以下步骤:
基于模拟仿真环境,创建业务区域,并建立各业务区域之间的域间访问规则矩阵;
遍历待测源域的所有地址到待测目的域的所有地址,进行路径仿真,得到所有存在通路的路径信息;
从所述域间访问规则矩阵中获取所述待测源域与所述待测目的域之间的访问规则;
根据所述访问规则判断所述路径信息中是否存在违规通路;
根据所述违规通路定位违规防火墙以及对应的违规策略,实现控制基线检测。
2.根据权利要求1所述的基于仿真路径分析的访问控制基线检测方法,其特征在于,基于模拟仿真环境,创建业务区域,具体为:
录入业务区域的区域名称、区域包含的网段、对应的IP地址范围,实现业务区域的创建。
3.根据权利要求1所述的基于仿真路径分析的访问控制基线检测方法,其特征在于,基于模拟仿真环境,建立各业务区域之间的域间访问规则矩阵,具体包括:
创建每一所述业务区域与其它各业务区域之间的域间访问规则,得到所述域间访问规则矩阵。
4.根据权利要求3所述的基于仿真路径分析的访问控制基线检测方法,其特征在于,所述域间访问规则包括规则名称、规则相关的源地址、规则相关的目的地址、规则相关的服务端口或服务协议以及动作。
5.根据权利要求3所述的基于仿真路径分析的访问控制基线检测方法,其特征在于,所述域间访问规则为白名单规则或黑名单规则;
所述白名单规则包括所有不违规的通路名单,所述黑名单规则包括所有违规的通路名单。
6.根据权利要求1所述的基于仿真路径分析的访问控制基线检测方法,其特征在于,遍历待测源域的所有地址到待测目的域的所有地址,进行路径仿真,得到所有存在通路的路径信息,具体为:
叠加所述待测源域至所述待测目的域之间所有网络设备的安全策略,进行路径仿真,得到所有存在通路的路径信息。
7.根据权利要求1所述的基于仿真路径分析的访问控制基线检测方法,其特征在于,根据所述访问规则判断所述路径信息中是否存在违规通路,具体为:
筛选出所述路径信息中违背所述访问规则的通路,得到所述违规通路。
8.根据权利要求1所述的基于仿真路径分析的访问控制基线检测方法,其特征在于,根据所述违规通路定位违规防火墙以及对应的违规策略,具体为:
查找所述违规通路上所有的防火墙,得到违规防火墙;
获取各所述违规防火墙上与所述违规通路相关联的安全策略,得到违规策略。
9.一种基于仿真路径分析的访问控制基线检测装置,其特征在于,包括处理器以及存储器,所述存储器上存储有计算机程序,所述计算机程序被所述处理器执行时,实现如权利要求1-8任一项所述的基于仿真路径分析的访问控制基线检测方法。
10.一种计算机存储介质,其上存储有计算机程序,其特征在于,所述计算机该程序被处理器执行时,实现如权利要求1-8任一项所述的基于仿真路径分析的访问控制基线检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011168536.6A CN112398815A (zh) | 2020-10-28 | 2020-10-28 | 一种基于仿真路径分析的访问控制基线检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011168536.6A CN112398815A (zh) | 2020-10-28 | 2020-10-28 | 一种基于仿真路径分析的访问控制基线检测方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112398815A true CN112398815A (zh) | 2021-02-23 |
Family
ID=74597974
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011168536.6A Pending CN112398815A (zh) | 2020-10-28 | 2020-10-28 | 一种基于仿真路径分析的访问控制基线检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112398815A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115065613A (zh) * | 2022-06-08 | 2022-09-16 | 北京启明星辰信息安全技术有限公司 | 一种基于防火墙配置的网络连通性分析系统及分析方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2005106694A2 (en) * | 2004-04-23 | 2005-11-10 | Onaro | Methods and systems for history analysis and predictive change management for access paths in networks |
US20070157286A1 (en) * | 2005-08-20 | 2007-07-05 | Opnet Technologies, Inc. | Analyzing security compliance within a network |
US20200007396A1 (en) * | 2018-06-29 | 2020-01-02 | Forescout Technologies, Inc. | Segmentation management including visualization, configuration, simulation, or a combination thereof |
CN111262879A (zh) * | 2020-02-13 | 2020-06-09 | 武汉思普崚技术有限公司 | 一种基于仿真路径分析的防火墙安全策略开通方法及装置 |
-
2020
- 2020-10-28 CN CN202011168536.6A patent/CN112398815A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2005106694A2 (en) * | 2004-04-23 | 2005-11-10 | Onaro | Methods and systems for history analysis and predictive change management for access paths in networks |
US20070157286A1 (en) * | 2005-08-20 | 2007-07-05 | Opnet Technologies, Inc. | Analyzing security compliance within a network |
US20200007396A1 (en) * | 2018-06-29 | 2020-01-02 | Forescout Technologies, Inc. | Segmentation management including visualization, configuration, simulation, or a combination thereof |
CN111262879A (zh) * | 2020-02-13 | 2020-06-09 | 武汉思普崚技术有限公司 | 一种基于仿真路径分析的防火墙安全策略开通方法及装置 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115065613A (zh) * | 2022-06-08 | 2022-09-16 | 北京启明星辰信息安全技术有限公司 | 一种基于防火墙配置的网络连通性分析系统及分析方法 |
CN115065613B (zh) * | 2022-06-08 | 2024-01-12 | 北京启明星辰信息安全技术有限公司 | 一种基于防火墙配置的网络连通性分析系统及分析方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20230267149A1 (en) | Analysis of data flows in complex enterprise it environments | |
CN112351014B (zh) | 一种安全域间防火墙安全策略合规基线管理方法及装置 | |
Nelson et al. | The Margrave tool for firewall analysis | |
Williams et al. | An interactive attack graph cascade and reachability display | |
Lippmann et al. | Evaluating and strengthening enterprise network security using attack graphs | |
Backes et al. | Reachability analysis for AWS-based networks | |
US9203808B2 (en) | Method and system for management of security rule set | |
El-Atawy et al. | Policy segmentation for intelligent firewall testing | |
KR100271143B1 (ko) | 인터넷 방화벽 상에서의 ip 터널링에 대한 웹 기초형 관리 | |
US7882229B2 (en) | Security checking program for communication between networks | |
Guttman et al. | Rigorous automated network security management | |
CN111262879B (zh) | 一种基于仿真路径分析的防火墙安全策略开通方法及装置 | |
US20070157286A1 (en) | Analyzing security compliance within a network | |
US20070250424A1 (en) | Virtual asset groups in a compliance management system | |
KR19980063454A (ko) | 인터넷 방화벽 상에서의 ip 필터링에 대한 웹 기초형 관리 | |
AU2015296248A1 (en) | Systems and methods for network management | |
JP2001237895A (ja) | ネットワークゲートウェイの解析方法及び装置 | |
Kim et al. | Firewall ruleset visualization analysis tool based on segmentation | |
CN108600260A (zh) | 一种工业物联网安全配置核查方法 | |
Hu et al. | Towards a reliable firewall for software-defined networks | |
CN112398815A (zh) | 一种基于仿真路径分析的访问控制基线检测方法及装置 | |
Jin et al. | Understanding security group usage in a public iaas cloud | |
Saâdaoui et al. | Formal approach for managing firewall misconfigurations | |
Snook et al. | Analysing security protocols using refinement in iUML-B | |
Hwang et al. | Systematic structural testing of firewall policies |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210223 |
|
RJ01 | Rejection of invention patent application after publication |