CN112910824A - 网络安全策略配置方法、装置、计算机设备和存储介质 - Google Patents
网络安全策略配置方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN112910824A CN112910824A CN201911135794.1A CN201911135794A CN112910824A CN 112910824 A CN112910824 A CN 112910824A CN 201911135794 A CN201911135794 A CN 201911135794A CN 112910824 A CN112910824 A CN 112910824A
- Authority
- CN
- China
- Prior art keywords
- security policy
- policy
- data packet
- security
- configuration result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 48
- 238000004590 computer program Methods 0.000 claims description 29
- 230000009471 action Effects 0.000 claims description 16
- 230000004048 modification Effects 0.000 claims description 15
- 238000012986 modification Methods 0.000 claims description 15
- 238000012217 deletion Methods 0.000 claims description 13
- 230000037430 deletion Effects 0.000 claims description 13
- 238000010586 diagram Methods 0.000 description 13
- 230000008569 process Effects 0.000 description 7
- 230000007547 defect Effects 0.000 description 3
- 238000006243 chemical reaction Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种网络安全策略配置方法、装置、计算机设备和存储介质。所述方法包括:当获取业务访问信息后,根据业务访问信息和网络拓扑模型,对多个数据包进行路径查询,获取未放通数据包和对应的未放通访问路径;对未放通访问路径中的待配置设备进行定位,并获取待配置设备中未放行未放通数据包的待配置安全策略;根据未放通数据包与待配置安全策略的匹配状况,生成安全策略配置结果,并对待配置安全策略进行配置。采用本方法能够在路径查询的基础之上,获取路径上设备的未放通状态。在配置安全策略时,只需要针对未放通设备进行变更,从而能够有效的辅助管理员对网络安全策略进行配置,且提高了管理员的工作效率。
Description
技术领域
本申请涉及网络安全技术领域,特别是涉及一种网络安全策略配置方法、装置、计算机设备和存储介质。
背景技术
随着信息化的加速,应用场景不断增加,网络规模更加复杂,用户面临的网络安全威胁也越来越大。
网络安全策略隐藏于设备的策略集中,不能保证安全策略实施符合规划,安全策略的整体效果得不到保证,容易导致网络中各节点之间互访存在不合规范的通路。因此,需要管理员对安全策略进行配置和维护,例如对安全策略进行变更、新增或者删除等。
通常,管理员在对安全策略进行配置和维护前,需要对网络路径进行分析,传统的网络路径分析主要是以跟踪路由的方式实现。这种方式只能够查询安全策略已经放通的路径,从而导致管理员对安全策略进行配置和维护时缺少相关的操作依据,导致在配置和维护网络安全策略时容易出现缺陷或者错误,从而给系统的安全性和稳定性带来隐忧。
发明内容
基于此,有必要针对上述技术问题,提供一种能够辅助管理员对网络安全策略进行维护和配置的网络安全策略配置的方法、装置、计算机设备和存储介质。
为了实现上述目的,一方面,本申请实施例提供了一种网络安全策略配置方法,所述方法包括:
获取业务访问信息,根据业务访问信息生成多个数据包;
根据业务访问信息和网络拓扑模型,对多个数据包进行路径查询,获取未放通数据包和对应的未放通访问路径;
将未放通访问路径中,未放行未放通数据包的设备确认为是待配置设备,获取待配置设备中未放行未放通数据包的待配置安全策略;
根据未放通数据包与待配置安全策略的匹配状况,生成安全策略配置结果;
根据安全策略配置结果,对待配置安全策略进行配置。
在其中一个实施例中,根据未放通数据包与待配置安全策略的匹配状况,生成安全策略配置结果,包括:
根据未放通数据包中的五元组与待配置安全策略的匹配状况,生成安全策略配置结果,安全策略配置结果包括新增策略、修改策略和删除策略中的至少一种。
在其中一个实施例中,安全策略配置结果包括新增策略;根据未放通数据包中的五元组与待配置安全策略的匹配状况,生成安全策略配置结果,包括:
若五元组与待配置安全策略中的策略全部不匹配,则在待配置安全策略的底部进行新增策略;
若五元组匹配待配置安全策略中的最后一条策略,但是最后一条策略的动作与需求相反,则在最后一条策略之前新增与需求一致的策略。
在其中一个实施例中,安全策略配置结果包括修改策略;根据未放通数据包中的五元组与待配置安全策略的匹配状况,生成安全策略配置结果,包括:
若获取五元组中的任意四元与待配置安全策略中匹配的策略相同,则对匹配的策略进行修改。
在其中一个实施例中,安全策略配置结果包括删除策略;根据未放通数据包中的五元组与待配置安全策略的匹配状况,生成安全策略配置结果,包括:
若获取五元组与待配置安全策略中的策略匹配,但是根据匹配的策略执行的动作相反,则删除匹配的策略。
在其中一个实施例中,将未放通访问路径中,未放行未放通数据包的设备确认为是待配置设备,获取待配置设备中未放行未放通数据包的待配置安全策略,包括:
当未放通数据包经过网络拓扑模型中的设备时,依次将未放通数据包与设备的设备信息中包含的不同的安全策略进行匹配;
当检测到未放通数据包与不同的安全策略中的任一个不匹配时,则将设备确认为是待配置设备,将不匹配的安全策略确认为是待配置安全策略。
在其中一个实施例中,根据业务访问信息和网络拓扑模型,对多个数据包进行路径查询,获取未放通数据包和对应的未放通访问路径,包括:
根据业务访问信息,确定路径查询的起点和终点;
基于包含安全策略的查询方式转发多个数据包,将未到达终点的数据包确认为是未放通数据包;
基于不包含安全策略的查询方式,从起点开始,对未放通数据包进行路径查询,获取未放通访问路径。
在其中一个实施例中,根据未放通数据包与待配置安全策略的匹配状况,生成安全策略配置结果之后,还包括:
获取被选择的待配置设备,以及与被选择的待配置设备对应的安全策略配置结果;
根据安全策略配置结果,对待配置安全策略进行配置,包括:
根据与被选择的待配置设备对应的安全策略配置结果,对被选择的待配置设备的待配置安全策略进行配置。
在其中一个实施例中,根据安全策略配置结果,对待配置设备的安全策略信息进行配置,包括:
将安全策略配置结果转换成与待配置设备匹配的命令行,并基于命令行对待配置安全策略进行配置。
另一方面,本申请实施例还提供了一种网络安全策略配置装置,所述装置包括:
获取模块,用于获取业务访问信息,根据业务访问信息生成多个数据包;
未放通数据包和路径确定模块,用于根据业务访问信息和网络拓扑模型,对多个数据包进行路径查询,获取未放通数据包和对应的未放通访问路径;
待配置安全策略确定模块,将未放通访问路径中,未放行未放通数据包的设备确认为待配置设备,获取待配置设备中未放行未放通数据包的待配置安全策略;
策略配置结果生成模块,根据未放通数据包与待配置安全策略的匹配状况,生成安全策略配置结果;
安全策略配置模块,根据安全策略配置结果,对待配置安全策略进行配置。
又一方面,一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现如上方法的步骤。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如上方法的步骤。
上述网络安全策略配置方法、装置、计算机设备和存储介质,在获取业务访问信息,根据业务访问信息生成多个数据包后,根据业务访问信息和网络拓扑模型,对多个数据包进行路径查询,获取未放通数据包和对应的未放通访问路径。然后,将未放通访问路径中,未放行未放通数据包的设备确认为是待配置设备,获取待配置设备中未放行未放通数据包的待配置安全策略;根据未放通数据包与待配置安全策略的匹配状况,生成安全策略配置结果,从而对待配置安全策略进行配置。该方法在路径查询的基础之上,针对寻路的数据包定位设备上相关的安全策略,获取路径上设备的未放通状态。在配置安全策略时,只需要针对未放通设备进行变更,从而能够有效的辅助管理员对网络安全策略进行配置,且提高了管理员的工作效率。
附图说明
图1为一个实施例中网络安全策略配置方法的应用环境图;
图2为一个实施例中网络安全策略配置方法的流程示意图;
图3为一个实施例中在网络拓扑模型上显示访问路径的示意图;
图4为一个实施例中通过终端对生成的配置结果进行展示的示意图;
图5为一个实施例中设备对未放通数据包进行安全策略匹配的流程示意图;
图6为一个实施例中获取未放通数据包和未放通访问路径的流程示意图;
图7a为一个实施例中通过终端选择待配置设备的示意图;
图7b为一个实施例中通过终端选择待配置安全策略的示意图;
图8为一个实施例中网络安全策略配置方法的流程示意图;
图9为一个实施例中网络安全策略配置装置的结构框图;
图10为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请提供的网络安全策略配置方法,可以应用于如图1所示的应用环境中。该应用环境包括终端102和服务器104。其中,终端102通过网络与服务器104进行通信。服务器104中可以部署有后台业务系统,通过后台业务系统可以查询到访问路径查询的网络拓扑模型,以及网络拓扑模型中所包含的设备信息、网段信息等。具体地,后台业务系统获取业务访问信息,根据业务访问信息生成多个数据包。后台业务系统根据业务访问信息和网络拓扑模型,对多个数据包进行路径查询,获取未放通数据包和对应的未放通访问路径。后台业务系统将未放通访问路径中,未放行未放通数据包的设备确认为是待配置设备,获取待配置设备中未放行未放通数据包的待配置安全策略。后台业务系统根据未放通数据包与待配置安全策略的匹配状况,生成安全策略配置结果,并根据安全策略配置结果,对待配置安全策略进行配置。其中,终端102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备,服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一个实施例中,如图2所示,提供了一种网络安全策略配置方法,以该方法应用于图1中的服务器104为例进行说明,包括以下步骤:
步骤202,获取业务访问信息,根据业务访问信息生成多个数据包。
其中,业务访问信息可以是指根据实际业务需求提出的源信息、目的信息、源端口、目的端口或者协议等信息,业务访问信息可以是由管理员通过终端输入,或者是从系统中获取的,在此不做限定。数据包可以包括五元组。五元组属于通信术语,包括源地址、源端口、目的地址、目的端口和传输层协议。具体地,在获取业务访问信息后,可以根据业务访问信息中包含的源信息、目的信息等生成多个数据包,并根据该多个数据包中的五元组等信息在网络拓扑模型中进行路径查询。
步骤204,根据业务访问信息和网络拓扑模型,对多个数据包进行路径查询,获取未放通数据包和对应的未放通访问路径。
其中,后台业务系统中可以预先保存建立好的网络拓扑模型。在建立网络拓扑模型过程中,还可以将网络拓扑模型中每个网段的信息以及所包含的所有设备的信息保存在数据库中。未放通数据包可以是指基于包含安全策略的路径查询方式下,与设备的安全策略不匹配或者匹配到安全策略中的拒绝项,从而被设备丢弃、未到达路径查询终点的数据包。未放通访问路径可以是指针对未放通数据包,基于不包含安全策略的查询方式进行路径查询获取的访问路径。具体地,在确定业务访问信息和网络拓扑模型后,可以确定对多个数据包进行路径查询的起点和终点。然后,基于安全策略查询方式转发多个数据包。在转发过程中,若存在数据包被所经过的设备丢弃,则可以认为这部分数据包未能到达终点,该部分数据包为未放通数据包。然后,基于不包含安全策略查询方式重新对未放通数据包进行路径查询,可以得到未放通访问路径。
步骤206,将未放通访问路径中,未放行未放通数据包的设备确认为是待配置设备,获取待配置设备中未放行未放通数据包的待配置安全策略。
其中,设备配置的安全策略可以事先采集并保存进数据库中。安全策略可以包括访问控制策略信息、NAT(Network Address Translation,网络地址转换)策略项信息、策略路由信息等。具体地,在获取未放通访问路径后,可以将基于包含安全策略的查询方式下丢弃未放通数据包的设备定位为待配置设备。然后,继续获取待配置设备中没有放行未放通数据包的安全策略,并将该安全策略定位为是待配置安全策略。如图3所示,示出了对数据包进行路径查询得到的网络拓扑示意图。由图3可知,数据包依次经过了:
router2--ciscoasa1--sw2--firewall。这些设备中,若基于包含安全策略的查询方式下存在没有放行数据包的设备,那么可以认为图3中示出的路径为未放通访问路径,没有放行数据包的设备将会自动被定位为待配置设备。
步骤208,根据未放通数据包与待配置安全策略的匹配状况,生成安全策略配置结果。
具体地,对于未放通数据包与待配置安全策略匹配的不同状况,可以预先设置对应的配置规则。在定位到待配置设备,并获取与待配置设备对应的待配置安全策略后,可以根据该待配置安全策略与未放通数据包的具体匹配情况,自动根据预先设置的配置规则生成相应的安全策略配置结果。例如,配置规则中设定当待配置安全策略的所有策略项与未放通数据包均不匹配时,增加新的放通策略项;当待配置安全策略中的策略项与未放通数据包均匹配,但是动作相反时,删除该策略项。那么,当后台业务系统获取待配置安全策略的所有策略项与未放通数据包均不匹配时,可以根据该配置规则自动生成新的放通策略项。当然,根据实际需求,配置规则中还可以包括更多中情况,在此不将做进一步说明。在本实施例中,后台业务系统可以将生成的安全策略配置结果返回至终端进行展示,使管理员能够通过展示的结果,读取对路径中的哪些设备、以及对设备中的哪些安全策略进行了配置。
步骤210,根据安全策略配置结果,对待配置安全策略进行配置。
具体地,在针对待配置安全策略生成相应的配置结果后,可以设定后台业务系统根据配置结果自动地进入到下一步,自动地对待配置安全策略进行配置。或者,可以设定后台业务系统需要在获取管理员通过终端触发的配置指令时,根据生成的配置结果,自动地对待配置安全策略进行配置。管理员可以通过终端触发“确定”、“下一步”等按钮,使得后台业务系统根据生成的配置结果自动地对待配置安全策略进行配置。
上述网络安全策略配置方法中,在获取业务访问信息,根据业务访问信息生成多个数据包后,根据业务访问信息和网络拓扑模型,对多个数据包进行路径查询,获取未放通数据包和对应的未放通访问路径。然后,获取路径中的待配置设备和待配置安全策略。根据未放通数据包与待配置安全策略的匹配状况,生成安全策略配置结果,从而对待配置安全策略进行配置。该方法在路径查询的基础之上,针对寻路的数据包定位设备上相关的安全策略,获取路径上设备的未放通状态。在配置安全策略时,只需要针对未放通设备进行变更,从而能够有效的辅助管理员对网络安全策略进行配置,且提高了管理员的工作效率。
在一个实施例中,根据未放通数据包与待配置安全策略的匹配状况,生成安全策略配置结果,包括:根据未放通数据包中的五元组与待配置安全策略的匹配状况,生成安全策略配置结果,安全策略配置结果包括新增策略、修改策略和删除策略中的至少一种。
具体地,当数据包经过设备时,可以将设备配置的安全策略与数据包中的五元组进行匹配。若设备的安全策略未能放行五元组,那么可以针对五元组进行新增策略、修改原策略项、或者删除原策略项,使得修改后的安全策略能够放行五元组。本实施例中,通过根据未放通数据包中的五元组与待配置安全策略的匹配状况自动生成相应的配置结果,可以避免人为判断出现安全策略配置上的缺陷或者错误。
在一个实施例中,安全策略配置结果包括新增策略;根据未放通数据包中的五元组与待配置安全策略的匹配状况,生成安全策略配置结果,包括:若五元组与待配置安全策略中的策略全部不匹配,则在待配置安全策略的底部进行新增策略;若五元组匹配待配置安全策略中的最后一条策略,但是最后一条策略的动作与需求相反,则在最后一条策略之前新增与需求一致的策略。
具体地,在本实施例中,通过将五元组自上而下的匹配安全策略中的策略项,如果五元组匹配了某个策略项,将不再进行下一个策略项的匹配。当后台业务系统判断五元组与待配置安全策略的每条策略项都不匹配时,后台业务系统可以根据该匹配结果生成新的能够放通五元组的策略项,并将所生成的新的策略项添加在待配置安全策略的底部。或者,当后台业务系统判断五元组匹配到待配置安全策略的的最后一条,但是最后一条策略项的动作与需求相反,那么后台业务系统可以根据该匹配结果生成新的能够放通五元组的策略项,并将该策略项下发至最后一条策略项之前。进一步地,后台业务系统还可以将生成的配置结果通过终端进行展示。继续如图3所示,若在图3示出的路径中,设备ciscoasa1为待配置设备,后台业务系统判断五元组与ciscoasa1中策略集BB的匹配状况为:匹配上最后一条策略项,但是根据该最后一条策略项执行的动作为拒绝。那么后台业务系统可以针对五元组生成新的放通策略项,并将该新的放通策略项添加在原最后一条策略项之前。如图4所示,示出了通过终端对生成的配置结果进行展示的示意图。本实施例中,通过根据五元组与待配置安全策略的匹配情况,自动计算新的策略项在待配置安全策略中的添加循序,可以避免人为判断出现安全策略配置上的缺陷或者错误,从而提高了网络安全策略配置的准确性。
在一个实施例中,安全策略配置结果包括修改策略;根据未放通数据包中的五元组与待配置安全策略的匹配状况,生成安全策略配置结果,包括:若获取五元组中的任意四元与待配置安全策略中匹配的策略相同,则对匹配的策略进行修改。
具体地,当后台业务系统判断五元组中有任意四元与待配置安全策略中的策略项匹配结果相同,那么可以基于原策略项,针对没有匹配的那一元进行修改,使得修改后的策略项能够放通五元组。本实施例中,当五元组中匹配的数据较多时,通过修改原策略项对待配置安全策略进行配置,可以减少对待配置安全策略的修改程度。
在一个实施例中,安全策略配置结果包括删除策略;根据未放通数据包中的五元组与待配置安全策略的匹配状况,生成安全策略配置结果,包括:若获取五元组与待配置安全策略中的策略匹配,但是根据匹配的策略执行的动作相反,则删除匹配的策略。
具体地,当后台业务系统判断五元组与待配置安全策略中的某个策略项都匹配,但是根据该策略项执行的动作与需求相反。例如,需求为允许放行五元组,但是实际匹配的策略项的执行动作为“禁止”,那么设备将会拒绝放行五元组。在这种情况下,后台业务系统可以判断删除该策略项。
在一个实施例中,如图5所示,将未放通访问路径中,未放行未放通数据包的设备确认为是待配置设备,获取待配置设备中未放行未放通数据包的待配置安全策略,包括:
步骤502,当未放通数据包经过网络拓扑模型中的设备时,依次将未放通数据包与设备的设备信息中包含的不同的安全策略进行匹配。
其中,在建立网络拓扑模型前,需要对网络拓扑模型中包含的不同的设备分别进行设备信息采集,建立设备模型。需要采集的设备信息可以但不限于包括:厂商及版本信息、接口信息、安全策略配置信息、路由信息等。采集完成后,可以将所采集到的设备信息保存进数据库中。其中,安全策略信息可以包括访问控制策略信息、NAT策略项信息、策略路由信息等。对于不同的厂商及设备,采集设备信息的方式和流程可能有所不同。后台业务系统通过读取并解析所采集的设备配置文件及路由表文件,对设备建立模型。具体地,当未放通数据包经过网络拓扑模型中的某个设备时,后台业务系统调用预先建立的该设备的设备模型。根据设备模型中包含的设备信息对未放通数据包进行安全策略匹配。针对不同的设备类型,所包含的安全策略配置信息可以不同。例如,对于路由器,可以配置有访问控制策略信息、NAT策略项信息、静态路由信息、策略路由信息、路由表信息等;对于防火墙,可以配置有策略路由信息、安全策略访问等,在此不做进一步说明。
步骤504,当检测到未放通数据包与不同的安全策略中的任一个不匹配时,则将设备确认为是待配置设备,将不匹配的安全策略确认为是待配置安全策略。
其中,不匹配可以是指未放通数据包没有被安全策略放行。具体地,在对未放通数据包进行安全策略匹配的过程中,当检测到未放通数据包与任一项安全策略信息不匹配时,则丢弃该未放通数据包,确认设备对未放通数据包转发失败。后台业务系统可以保存该设备的信息,将该设备确认为待配置设备;并保存与未放通数据包匹配失败的安全策略信息,将该安全策略确认为是待配置安全策略。
在一个实施例中,如图6所示,根据业务访问信息和网络拓扑模型,对多个数据包进行路径查询,获取未放通数据包和对应的未放通访问路径,包括:
步骤602,根据业务访问信息,确定路径查询的起点和终点。
其中,起点和终点可以对应网络拓扑模型中的源网段和目的网段。具体地,数据库中可以预先存储有网络拓扑模型每个网段的网段信息,网段信息包括起始地址及其掩码。在本实施例中,业务访问信息可以包括源地址和目的地址。后台业务系统可以通过将网段信息中的起始地址及其掩码进行二进制转换,进而对二进制转换后的起始地址和掩码进行逻辑与计算,得到每个网段的起始地址和终止地址。若源地址位于某个网段的起始地址和终止地址之间,则可以确定该网段为源网段,将源网段确认为是起点;若目的地址位于某个网段的起始地址和终止地址之间,则可以确定该网段为目的网段,并将目的网段确认为是终点。
步骤604,基于包含安全策略的查询方式转发多个数据包,将未到达终点的数据包确认为是未放通数据包。
具体地,在确定起点后,可以根据起点在网络拓扑模型上查询与该起点相连接的下一跳设备,并基于该下一跳设备的输出信息循环查询与之相连的下一跳设备,直至查询到终点。在路径查询过程中,所查询的下一跳设备可能为空,也可能为一个或者多个,依实际的网络拓扑模型而定。当查询到存在下一跳设备时,可以根据下一跳设备的不同类型和对应配置的不同的安全策略信息,将数据包中包含的五元组等信息与该下一跳设备配置的安全策略进行匹配。由于输入至下一跳设备有多个数据包,因此可能会有部分数据包与该下一跳设备配置的安全策略信息不匹配,对于不匹配的数据包部分,下一跳设备将不会转发。后台业务系统可以将转发失败的这部分数据包确认为是未放通数据包。
步骤606,基于不包含安全策略的查询方式,从起点开始,对未放通数据包进行路径查询,获取未放通访问路径。
具体地,在得到未放通数据包后,后台业务系统可以基于不包含安全策略的查询方式,自动重新开始对未放通数据包进行路径查询,从而获取未放通数据包的访问路径。
本实施例中,通过基于不同的查询方式,可以同时得到已放通和未放通的访问路径,使得后台业务系统能够根据所获取的未放通访问路径对网络安全策略有针对性生成配置结果。
在一个实施例中,根据未放通数据包与待配置安全策略的匹配状况,生成安全策略配置结果之后,还包括:获取被选择的待配置设备,以及与被选择的待配置设备对应的安全策略配置结果。
在本实施例中,根据安全策略配置结果,对待配置安全策略进行配置,具体包括:根据与被选择的待配置设备对应的安全策略配置结果,对被选择的待配置设备的待配置安全策略进行配置。具体地,在对多个数据包进行路径查询时,针对不同的数据包会产生不同的路径,每条路径都有可能存在设备未放通的情况,因此在路径查询完成后后台业务系统可能会获取多个待配置设备,以及与每个待配置设备对应的待配置安全策略。后台业务系统可以将该多个待配置设备,以及对应的待配置安全策略和安全策略配置结果通过终端展示出来。管理员可以通过终端选择需要配置的待配置设备和待配置安全策略,例如,通过终端勾选需要配置的设备和安全策略。如图7a所示,后台业务系统通过终端展示所获取的待配置设备,使得管理员可以通过勾选的方式选择需要配置的待配置设备。如图7b所示,通过终端对管理员已选择的待配置设备所对应的待配置安全策略,和安全策略配置结果进行展示,使得管理员可以通过勾选等方式选择需要配置的待配置安全策略。后台业务系统在获取到被选择的待配置设备和待配置安全策略后,可以对根据对应的安全策略配置结果对被选择的待配置安全策略进行配置。进一步地,若安全策略配置结果为建议添加新的策略项,用户还可以选择策略项具体的添加位置。本实施例中,通过使管理员能够依实际需求选择待配置设备和待配置安全策略,便于管理员维护网络安全策略,提高了网络安全策略配置方法的实用性。
在一个实施例中,根据安全策略配置结果,对待配置设备的安全策略信息进行配置,包括:将安全策略配置结果转换成与待配置设备匹配的命令行,并基于命令行对待配置安全策略进行配置。具体地,后台业务管理系统可以根据安全策略配置结果,自动生成需要推送的各设备厂商的命令行,对待配置安全策略进行配置。
在一个实施例中,如图8所示,通过一个具体实施例中说明上述网络安全策略配置方法,包括以下步骤:
步骤801,获取业务访问信息,根据业务访问信息生成多个数据包。
步骤802,根据业务访问信息,确定路径查询的起点和终点。
步骤803,获取未放通数据包。
具体地,首先可以基于包含安全策略的查询方式转发多个数据包,将未到达终点的数据包确认为是未放通数据包。
步骤804,获取未放通访问路径。
具体地,对未放通数据包部分,可以基于不包含安全策略的查询方式自动重新进行路径查询,得到未放通访问路径。
步骤805,对未放通访问路径中的待配置设备进行定位,并确定待配置设备中的待配置安全策略。
具体地,当数据包经过网络拓扑模型中的设备时,依次将数据包与所经过的设备的设备信息中包含的不同的安全策略进行匹配。当检测到数据包与设备中不同的安全策略中的任一个不匹配时,则将该设备确认为是待配置设备,将不匹配的安全策略确认为是待配置安全策略。进一步地,还可以将待配置设备和待配置安全策略等信息通过终端进行展示。
步骤806,根据未放通数据包与待配置安全策略的匹配状况,生成安全策略配置结果。
具体地,根据未放通数据包中的五元组与待配置安全策略的匹配状况,生成的安全策略配置结果可以包括新增策略、修改策略和删除策略中的至少一种。进一步地,还可以将待配置设备、待配置安全策略和对应的安全策略配置结果等信息通过终端进行展示。
步骤807,获取被选择的待配置设备,以及与被选择的待配置设备对应的安全策略配置结果。
步骤808,根据与被选择的待配置设备对应的安全策略配置结果,对被选择的待配置设备的待配置安全策略进行配置。
应该理解的是,虽然图1-8的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图1-8中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,如图9所示,提供了一种网络安全策略配置装置900,包括:获取模块901、未放通数据包和路径确定模块902、待配置安全策略确定模块903、策略配置结果生成模块904和安全策略配置模块905,其中:
获取模块901,用于获取业务访问信息,根据业务访问信息生成多个数据包;
未放通数据包和路径确定模块902,用于根据业务访问信息和网络拓扑模型,对多个数据包进行路径查询,获取未放通数据包和对应的未放通访问路径;
待配置安全策略确定模块903,将未放通访问路径中,未放行未放通数据包的设备确认为待配置设备,获取待配置设备中未放行未放通数据包的待配置安全策略;
策略配置结果生成模块904,根据未放通数据包与待配置安全策略的匹配状况,生成安全策略配置结果;
安全策略配置模块905,根据安全策略配置结果,对待配置安全策略进行配置。
在一个实施例中,策略配置结果生成模块904具体用于根据未放通数据包中的五元组与待配置安全策略的匹配状况,生成安全策略配置结果,安全策略配置结果包括新增策略、修改策略和删除策略中的至少一种。
在一个实施例中,安全策略配置结果包括新增策略。策略配置结果生成模块904具体用于若五元组与待配置安全策略中的策略全部不匹配,则在待配置安全策略的底部进行新增策略;若五元组匹配待配置安全策略中的最后一条策略,但是最后一条策略的动作与需求相反,则在最后一条策略之前新增与需求一致的策略。
在一个实施例中,安全策略配置结果包括修改策略。策略配置结果生成模块904具体用于若获取五元组中的任意四元与待配置安全策略中匹配的策略相同,则对匹配的策略进行修改。
在一个实施例中,安全策略配置结果包括删除策略。策略配置结果生成模块904具体用于若获取五元组与待配置安全策略中的策略匹配,但是根据匹配的策略执行的动作相反,则删除匹配的策略。
在一个实施例中,待配置安全策略确定模块903具体用于当未放通数据包经过网络拓扑模型中的设备时,依次将未放通数据包与设备的设备信息中包含的不同的安全策略进行匹配;当检测到未放通数据包与不同的安全策略中的任一个不匹配时,则将设备确认为是待配置设备,将不匹配的安全策略确认为是待配置安全策略。
在一个实施例中,未放通数据包和路径确定模块902具体用于根据业务访问信息,确定路径查询的起点和终点;基于包含安全策略的查询方式转发多个数据包,将未到达终点的数据包确认为是未放通数据包;基于不包含安全策略的查询方式,从起点开始,对未放通数据包进行路径查询,获取未放通访问路径。
在一个实施例中,获取模块901还可以用于获取被选择的待配置设备,以及与被选择的待配置设备对应的安全策略配置结果。安全策略配置模块905具体用于根据与被选择的待配置设备对应的安全策略配置结果,对被选择的待配置设备的待配置安全策略进行配置。
在一个实施例中,安全策略配置模块905具体用于将安全策略配置结果转换成与待配置设备匹配的命令行,并基于命令行对待配置安全策略进行配置。
关于网络安全策略配置装置的具体限定可以参见上文中对于网络安全策略配置方法的限定,在此不再赘述。上述网络安全策略配置装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图10所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储设备信息等数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种网络安全策略配置方法。
本领域技术人员可以理解,图10中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现以下步骤:
获取业务访问信息,根据业务访问信息生成多个数据包;根据业务访问信息和网络拓扑模型,对多个数据包进行路径查询,获取未放通数据包和对应的未放通访问路径;将未放通访问路径中,未放行未放通数据包的设备确认为是待配置设备,获取待配置设备中未放行未放通数据包的待配置安全策略;根据未放通数据包与待配置安全策略的匹配状况,生成安全策略配置结果;根据安全策略配置结果,对待配置安全策略进行配置。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
根据未放通数据包中的五元组与待配置安全策略的匹配状况,生成安全策略配置结果,安全策略配置结果包括新增策略、修改策略和删除策略中的至少一种。
在一个实施例中,安全策略配置结果包括新增策略;处理器执行计算机程序时还实现以下步骤:
若五元组与待配置安全策略中的策略全部不匹配,则在待配置安全策略的底部进行新增策略;若五元组匹配待配置安全策略中的最后一条策略,但是最后一条策略的动作与需求相反,则在最后一条策略之前新增与需求一致的策略。
在一个实施例中,安全策略配置结果包括修改策略;处理器执行计算机程序时还实现以下步骤:
若获取五元组中的任意四元与待配置安全策略中匹配的策略相同,则对匹配的策略进行修改。
在一个实施例中,安全策略配置结果包括删除策略;处理器执行计算机程序时还实现以下步骤:
若获取五元组与待配置安全策略中的策略匹配,但是根据匹配的策略执行的动作相反,则删除匹配的策略。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
当未放通数据包经过网络拓扑模型中的设备时,依次将未放通数据包与设备的设备信息中包含的不同的安全策略进行匹配;当检测到未放通数据包与不同的安全策略中的任一个不匹配时,则将设备确认为是待配置设备,将不匹配的安全策略确认为是待配置安全策略。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
根据业务访问信息,确定路径查询的起点和终点;基于包含安全策略的查询方式转发多个数据包,将未到达终点的数据包确认为是未放通数据包;基于不包含安全策略的查询方式,从起点开始,对未放通数据包进行路径查询,获取未放通访问路径。
在一个实施例中,根据未放通数据包与待配置安全策略的匹配状况,生成安全策略配置结果之后,处理器执行计算机程序时还实现以下步骤:
获取被选择的待配置设备,以及与被选择的待配置设备对应的安全策略配置结果;根据与被选择的待配置设备对应的安全策略配置结果,对被选择的待配置设备的待配置安全策略进行配置。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
将安全策略配置结果转换成与待配置设备匹配的命令行,并基于命令行对待配置安全策略进行配置。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
获取业务访问信息,根据业务访问信息生成多个数据包;根据业务访问信息和网络拓扑模型,对多个数据包进行路径查询,获取未放通数据包和对应的未放通访问路径;将未放通访问路径中,未放行未放通数据包的设备确认为是待配置设备,获取待配置设备中未放行未放通数据包的待配置安全策略;根据未放通数据包与待配置安全策略的匹配状况,生成安全策略配置结果;根据安全策略配置结果,对待配置安全策略进行配置。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
根据未放通数据包中的五元组与待配置安全策略的匹配状况,生成安全策略配置结果,安全策略配置结果包括新增策略、修改策略和删除策略中的至少一种。
在一个实施例中,安全策略配置结果包括新增策略;计算机程序被处理器执行时还实现以下步骤:
若五元组与待配置安全策略中的策略全部不匹配,则在待配置安全策略的底部进行新增策略;若五元组匹配待配置安全策略中的最后一条策略,但是最后一条策略的动作与需求相反,则在最后一条策略之前新增与需求一致的策略。
在一个实施例中,安全策略配置结果包括修改策略;计算机程序被处理器执行时还实现以下步骤:
若获取五元组中的任意四元与待配置安全策略中匹配的策略相同,则对匹配的策略进行修改。
在一个实施例中,安全策略配置结果包括删除策略;计算机程序被处理器执行时还实现以下步骤:
若获取五元组与待配置安全策略中的策略匹配,但是根据匹配的策略执行的动作相反,则删除匹配的策略。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
当未放通数据包经过网络拓扑模型中的设备时,依次将未放通数据包与设备的设备信息中包含的不同的安全策略进行匹配;当检测到未放通数据包与不同的安全策略中的任一个不匹配时,则将设备确认为是待配置设备,将不匹配的安全策略确认为是待配置安全策略。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
根据业务访问信息,确定路径查询的起点和终点;基于包含安全策略的查询方式转发多个数据包,将未到达终点的数据包确认为是未放通数据包;基于不包含安全策略的查询方式,从起点开始,对未放通数据包进行路径查询,获取未放通访问路径。
在一个实施例中,根据未放通数据包与待配置安全策略的匹配状况,生成安全策略配置结果之后,计算机程序被处理器执行时还实现以下步骤:
获取被选择的待配置设备,以及与被选择的待配置设备对应的安全策略配置结果;根据与被选择的待配置设备对应的安全策略配置结果,对被选择的待配置设备的待配置安全策略进行配置。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
将安全策略配置结果转换成与待配置设备匹配的命令行,并基于命令行对待配置安全策略进行配置。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种网络安全策略配置方法,其特征在于,所述方法包括:
获取业务访问信息,根据所述业务访问信息生成多个数据包;
根据所述业务访问信息和网络拓扑模型,对所述多个数据包进行路径查询,获取未放通数据包和对应的未放通访问路径;
将所述未放通访问路径中,未放行所述未放通数据包的设备确认为是待配置设备,获取所述待配置设备中未放行所述未放通数据包的待配置安全策略;
根据所述未放通数据包与所述待配置安全策略的匹配状况,生成安全策略配置结果;
根据所述安全策略配置结果,对所述待配置安全策略进行配置。
2.根据权利要求1所述的方法,其特征在于,所述根据所述未放通数据包与所述待配置安全策略的匹配状况,生成安全策略配置结果,包括:
根据所述未放通数据包中的五元组与所述待配置安全策略的匹配状况,生成所述安全策略配置结果,所述安全策略配置结果包括新增策略、修改策略和删除策略中的至少一种。
3.根据权利要求2所述的方法,其特征在于,所述安全策略配置结果包括新增策略;所述根据所述未放通数据包中的五元组与所述待配置安全策略的匹配状况,生成所述安全策略配置结果,包括:
若所述五元组与所述待配置安全策略中的策略全部不匹配,则在所述待配置安全策略的底部进行新增策略;
若所述五元组匹配所述待配置安全策略中的最后一条策略,但是所述最后一条策略的动作与需求相反,则在所述最后一条策略之前新增与所述需求一致的策略。
4.根据权利要求2所述的方法,其特征在于,所述安全策略配置结果包括修改策略;所述根据所述未放通数据包中的五元组与所述待配置安全策略的匹配状况,生成所述安全策略配置结果,包括:
若获取所述五元组中的任意四元与所述待配置安全策略中匹配的策略相同,则对所述匹配的策略进行修改。
5.根据权利要求2所述的方法,其特征在于,所述安全策略配置结果包括删除策略;所述根据所述未放通数据包中的五元组与所述待配置安全策略的匹配状况,生成所述安全策略配置结果,包括:
若获取所述五元组与所述待配置安全策略中的策略匹配,但是根据匹配的策略执行的动作相反,则删除所述匹配的策略。
6.根据权利要求1所述的方法,其特征在于,所述根据所述业务访问信息和网络拓扑模型,对所述多个数据包进行路径查询,获取未放通数据包和对应的未放通访问路径,包括:
根据所述业务访问信息,确定路径查询的起点和终点;
基于包含安全策略的查询方式转发所述多个数据包,将未到达所述终点的数据包确认为是所述未放通数据包;
基于不包含安全策略的查询方式,从所述起点开始,对所述未放通数据包进行路径查询,获取所述未放通访问路径。
7.根据权利要求1所述的方法,其特征在于,所述根据所述未放通数据包与所述待配置安全策略的匹配状况,生成安全策略配置结果之后,还包括:
获取被选择的待配置设备,以及与所述被选择的待配置设备对应的安全策略配置结果;
所述根据所述安全策略配置结果,对所述待配置安全策略进行配置,包括:
根据与所述被选择的待配置设备对应的安全策略配置结果,对所述被选择的待配置设备的待配置安全策略进行配置。
8.一种网络安全策略配置装置,其特征在于,所述装置包括:
获取模块,用于获取业务访问信息,根据所述业务访问信息生成多个数据包;
未放通数据包和路径确定模块,用于根据所述业务访问信息和网络拓扑模型,对所述多个数据包进行路径查询,获取未放通数据包和对应的未放通访问路径;
待配置安全策略确定模块,将所述未放通访问路径中,未放行所述未放通数据包的设备确认为待配置设备,获取所述待配置设备中未放行所述未放通数据包的待配置安全策略;
策略配置结果生成模块,根据所述未放通数据包与所述待配置安全策略的匹配状况,生成安全策略配置结果;
安全策略配置模块,根据所述安全策略配置结果,对所述待配置安全策略进行配置。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911135794.1A CN112910824A (zh) | 2019-11-19 | 2019-11-19 | 网络安全策略配置方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911135794.1A CN112910824A (zh) | 2019-11-19 | 2019-11-19 | 网络安全策略配置方法、装置、计算机设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112910824A true CN112910824A (zh) | 2021-06-04 |
Family
ID=76103514
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911135794.1A Pending CN112910824A (zh) | 2019-11-19 | 2019-11-19 | 网络安全策略配置方法、装置、计算机设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112910824A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113472782A (zh) * | 2021-06-30 | 2021-10-01 | 中国工商银行股份有限公司 | 自动变更访问控制配置方法、装置、设备及存储介质 |
| CN113949661A (zh) * | 2021-09-27 | 2022-01-18 | 网络通信与安全紫金山实验室 | 一种数据转发方法及装置 |
| CN114047881A (zh) * | 2021-11-18 | 2022-02-15 | 江苏省未来网络创新研究院 | 一种基于用户策略的网络数据包存储装置及方法 |
| CN115065613A (zh) * | 2022-06-08 | 2022-09-16 | 北京启明星辰信息安全技术有限公司 | 一种基于防火墙配置的网络连通性分析系统及分析方法 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101505302A (zh) * | 2009-02-26 | 2009-08-12 | 中国联合网络通信集团有限公司 | 安全策略的动态调整方法和系统 |
| CN103023707A (zh) * | 2012-12-28 | 2013-04-03 | 华为技术有限公司 | 一种策略配置的方法、管理服务器以及网络系统 |
| CN104717182A (zh) * | 2013-12-12 | 2015-06-17 | 华为技术有限公司 | 网络防火墙的安全策略部署方法和装置 |
| CN105847300A (zh) * | 2016-05-30 | 2016-08-10 | 北京琵琶行科技有限公司 | 企业网络边界设备拓扑结构的可视化方法及装置 |
| CN106817275A (zh) * | 2016-12-16 | 2017-06-09 | 江苏省未来网络创新研究院 | 一种自动化预防和编排处理策略冲突的系统和方法 |
| CN108667776A (zh) * | 2017-03-31 | 2018-10-16 | 中兴通讯股份有限公司 | 一种网络业务诊断方法 |
| CN108683632A (zh) * | 2018-04-04 | 2018-10-19 | 山石网科通信技术有限公司 | 防火墙安全策略调整方法及装置 |
| US20190089740A1 (en) * | 2017-09-18 | 2019-03-21 | Fortinet, Inc. | Automated auditing of network security policies |
| CN109669928A (zh) * | 2018-12-11 | 2019-04-23 | 广东电网有限责任公司 | 策略配置方法及装置 |
-
2019
- 2019-11-19 CN CN201911135794.1A patent/CN112910824A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101505302A (zh) * | 2009-02-26 | 2009-08-12 | 中国联合网络通信集团有限公司 | 安全策略的动态调整方法和系统 |
| CN103023707A (zh) * | 2012-12-28 | 2013-04-03 | 华为技术有限公司 | 一种策略配置的方法、管理服务器以及网络系统 |
| CN104717182A (zh) * | 2013-12-12 | 2015-06-17 | 华为技术有限公司 | 网络防火墙的安全策略部署方法和装置 |
| CN105847300A (zh) * | 2016-05-30 | 2016-08-10 | 北京琵琶行科技有限公司 | 企业网络边界设备拓扑结构的可视化方法及装置 |
| CN106817275A (zh) * | 2016-12-16 | 2017-06-09 | 江苏省未来网络创新研究院 | 一种自动化预防和编排处理策略冲突的系统和方法 |
| CN108667776A (zh) * | 2017-03-31 | 2018-10-16 | 中兴通讯股份有限公司 | 一种网络业务诊断方法 |
| US20190089740A1 (en) * | 2017-09-18 | 2019-03-21 | Fortinet, Inc. | Automated auditing of network security policies |
| CN108683632A (zh) * | 2018-04-04 | 2018-10-19 | 山石网科通信技术有限公司 | 防火墙安全策略调整方法及装置 |
| CN109669928A (zh) * | 2018-12-11 | 2019-04-23 | 广东电网有限责任公司 | 策略配置方法及装置 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113472782A (zh) * | 2021-06-30 | 2021-10-01 | 中国工商银行股份有限公司 | 自动变更访问控制配置方法、装置、设备及存储介质 |
| CN113472782B (zh) * | 2021-06-30 | 2022-12-20 | 中国工商银行股份有限公司 | 自动变更访问控制配置方法、装置、设备及存储介质 |
| CN113949661A (zh) * | 2021-09-27 | 2022-01-18 | 网络通信与安全紫金山实验室 | 一种数据转发方法及装置 |
| CN113949661B (zh) * | 2021-09-27 | 2024-04-02 | 网络通信与安全紫金山实验室 | 一种数据转发方法及装置 |
| CN114047881A (zh) * | 2021-11-18 | 2022-02-15 | 江苏省未来网络创新研究院 | 一种基于用户策略的网络数据包存储装置及方法 |
| CN114047881B (zh) * | 2021-11-18 | 2023-11-17 | 江苏省未来网络创新研究院 | 一种基于用户策略的网络数据包存储装置及方法 |
| CN115065613A (zh) * | 2022-06-08 | 2022-09-16 | 北京启明星辰信息安全技术有限公司 | 一种基于防火墙配置的网络连通性分析系统及分析方法 |
| CN115065613B (zh) * | 2022-06-08 | 2024-01-12 | 北京启明星辰信息安全技术有限公司 | 一种基于防火墙配置的网络连通性分析系统及分析方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112910824A (zh) | 网络安全策略配置方法、装置、计算机设备和存储介质 | |
| CN108092979B (zh) | 一种防火墙策略处理方法及装置 | |
| CN112087379B (zh) | 业务链的编排方法及装置、存储介质和电子装置 | |
| CN108829459B (zh) | 基于Nginx服务器的配置方法、装置、计算机设备和存储介质 | |
| CN110689232A (zh) | 工作流配置的优化处理方法、装置和计算机设备 | |
| CN110135129B (zh) | 代码段保护方法、装置、计算机设备和存储介质 | |
| CN109032663A (zh) | 接口文档的生成方法、装置、计算机设备及存储介质 | |
| CN109361628B (zh) | 报文组装方法、装置、计算机设备和存储介质 | |
| CN111783124A (zh) | 基于隐私保护的数据处理方法、装置和服务器 | |
| CN109672562B (zh) | 数据处理方法、装置、电子设备及存储介质 | |
| CN108322394B (zh) | 路由表建立、查找、删除及状态变更方法和装置 | |
| US11561770B2 (en) | System configuration derivation device and system configuration derivation method | |
| CN112910721A (zh) | 访问路径查询方法、装置、计算机设备和存储介质 | |
| CN112491789B (zh) | 一种基于OpenStack框架的虚拟防火墙构建方法及存储介质 | |
| CN104243532A (zh) | 数据访问方法及系统 | |
| CN105827464A (zh) | 可自动化部署的虚拟路由器构建方法 | |
| CN110602234B (zh) | 区块链网络节点管理方法、装置、设备以及存储介质 | |
| CN109768962B (zh) | 防火墙策略生成方法、装置、计算机设备及存储介质 | |
| Rygielski et al. | Model-based throughput prediction in data center networks | |
| CN113746856A (zh) | Ssl可选验证方法、装置、计算机设备和存储介质 | |
| CN110569987A (zh) | 自动化运维方法、运维设备、存储介质及装置 | |
| US11425020B2 (en) | Methods, systems, and computer readable media for storage, retrieval, and use of programmable pipeline device profiles | |
| CN110597782A (zh) | 数据库动态切换方法、装置、计算机设备和存储介质 | |
| CN113965515B (zh) | 虚拟化网络链路可视化方法、系统、计算机及存储介质 | |
| CN109587061A (zh) | 一种路由处理的方法、装置及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20210604 |