CN113301040B - 一种防火墙策略优化方法、装置、设备及存储介质 - Google Patents
一种防火墙策略优化方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN113301040B CN113301040B CN202110558636.8A CN202110558636A CN113301040B CN 113301040 B CN113301040 B CN 113301040B CN 202110558636 A CN202110558636 A CN 202110558636A CN 113301040 B CN113301040 B CN 113301040B
- Authority
- CN
- China
- Prior art keywords
- strategy
- firewall
- policy
- adjusted
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例公开了一种防火墙策略优化方法、装置、设备及存储介质,该方法包括:从至少一个防火墙的配置信息中,提取所述防火墙的资源信息和策略信息;根据所述资源信息分析不同资源之间的关系,确定待调整资源;根据所述策略信息分析不同策略之间的关系,计算所述策略的粒度和策略命中数,并确定待调整策略;根据预设策略调整规则,对于所述待调整策略生成对应的策略处置建议;将所述待调整资源、所述待调整策略和所述策略调整建议展示给用户。本发明实施例的技术方案可以有效地控制防火墙安全策略的数量,并保持企业网络业务稳定、安全地运行。
Description
技术领域
本发明实施例涉及网络安全技术,尤其涉及一种防火墙策略优化方法、装置、设备及存储介质。
背景技术
随着企业信息化建设的推进,网络应用和业务应用的不断扩展,其中日益凸显的信息安全问题已不容忽视,任何信息安全事故的发生都会对企业业务的发展造成严重的影响,在企业网络中作为安全基石的防火墙设备则显得尤为重要。
防火墙是通过安全策略来进行安全防护的,所以防火墙安全策略的配置和管理更是企业信息安全工作的重要组成部分,但目前大多数的企业对防火墙安全策略的管理配置还是比较简单,只具备基本的安全策略申请、审批流程,缺乏安全策略的退出机制,如定期的策略安全审计。策略生命周期管理、持续开展的策略收敛优化等。长此以往,造成的结果是防火墙上的安全策略越来越多,某些安全策略的目的和作用已无从查起,既不能改变,也不能删除,部分核心区域防火墙策略数目甚至多达数千条,不仅造成核心区域网络性能的下降,而且还成为了企业内部网络中潜藏的安全隐患。
发明内容
本发明实施例提供一种防火墙策略优化方法、装置、设备及存储介质,以实现有效地控制防火墙安全策略的数量,并保持企业网络业务稳定、安全地运行。
第一方面,本发明实施例提供了一种防火墙策略优化方法,包括:
从至少一个防火墙的配置信息中,提取所述防火墙的资源信息和策略信息;
根据所述资源信息分析不同资源之间的关系,确定待调整资源;
根据所述策略信息分析不同策略之间的关系,计算所述策略的粒度和策略命中数,并确定待调整策略;
根据预设策略调整规则,对于所述待调整策略生成对应的策略处置建议;
将所述待调整资源、所述待调整策略和所述策略调整建议展示给用户。
第二方面,本发明实施例还提供了一种防火墙策略优化装置,包括:
信息提取模块,用于从至少一个防火墙的配置信息中,提取所述防火墙的资源信息和策略信息;
资源分析模块,用于根据所述资源信息分析不同资源之间的关系,确定待调整资源;
策略分析模块,用于根据所述策略信息分析不同策略之间的关系,计算所述策略的粒度和策略命中数,并确定待调整策略;
策略处置建议模块,用于根据预设策略调整规则,对于所述待调整策略生成对应的策略处置建议;
策略展示模块,用于将所述待调整资源、所述待调整策略和所述策略调整建议展示给用户。
第三方面,本发明实施例还提供了一种防火墙策略优化设备,所述防火墙策略优化设备包括:
一个或多个处理器;
存储器,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如本发明任意实施例所提供的防火墙策略优化方法。
第四方面,本发明实施例还提供了一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行如本发明任意实施例所提供的防火墙策略优化方法。
本发明实施例通过分析防火墙的策略和资源,对策略和资源进行梳理分析,提出策略处置建议,解决防火墙策略数目过多,造成的核心区域网络性能的下降,企业内部网络中存在潜在安全隐患的问题,实现控制防火墙安全策略的数量,提高防火墙中配置的安全策略有效性占比,并保持企业网络业务稳定、安全地运行的效果。
附图说明
图1是本发明实施例一中的一种防火墙策略优化方法的流程图;
图2是本发明实施例二中的一种防火墙策略优化方法的流程图;
图3是本发明实施例三中的一种防火墙策略优化装置的结构示意图;
图4是本发明实施例四中的一种防火墙策略优化设备的结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
实施例一
图1为本发明实施例一提供的一种防火墙策略优化方法的流程图,本实施例可适用于对网络中的防火墙安全策略进行管理和优化的情况,该方法可以由防火墙策略优化装置来执行,该装置可以由硬件和/或软件来实现,该方法具体包括如下步骤:
步骤110、从至少一个防火墙的配置信息中,提取防火墙的资源信息和策略信息;
其中,配置信息包含安全策略配置文件与路由数据,防火墙资源包括地址、服务、时间、安全域等。防火墙安全策略,是防火墙控制访问的策略,其中包含源地址、目的地址、目的端口等元素。对提取到的资源信息和策略信息可以进行格式化存入数据库。
步骤120、根据资源信息分析不同资源之间的关系,确定待调整资源;
其中,资源和资源之间可能存在重复、包含、不一致、不相关等关系。对于存在重复、包含和不一致的资源,就确定为待调整资源。
步骤130、根据策略信息分析不同策略之间的关系,计算策略的粒度和策略命中数,并确定待调整策略;
其中,策略和策略之间可能存在重复、包含、不一致、不相关等关系。对于存在重复、包含和不一致的策略,就确定为待调整策略。策略的粒度可以划分为若干级,例如,策略的粒度分为5级,5级为最严格,最细化;1级为最宽松。对于较为宽松的策略也可以确定为待调整策略。如果策略命中数较低,甚至为0,那么这种策略就是冗余的,尽管该策略存在却没有实际作用,可以称其为僵尸策略,也可以确定为待调整策略。
步骤140、根据预设策略调整规则,对于待调整策略生成对应的策略处置建议;
其中,可以通过预先建立的优化策略模型,给出待调整策略的处置建议,供用户参考,或者基于策略处置建议对于待调整策略进行对应的调整。
步骤150、将待调整资源、待调整策略和策略调整建议展示给用户。
其中,通过用户的终端展示待调整资源、待调整策略和策略调整建议,供用户参考,以便用户修正待调整资源和待调整策略。
本实施例的技术方案,通过分析防火墙的策略和资源,对策略和资源进行梳理分析,提出策略处置建议,解决防火墙策略数目过多,造成的核心区域网络性能的下降,企业内部网络中存在潜在安全隐患的问题,实现控制防火墙安全策略的数量,提高防火墙中配置的安全策略有效性占比,并保持企业网络业务稳定、安全地运行的效果。
实施例二
图2为本发明实施例二提供的一种防火墙策略优化方法的流程图,本实施例在上述技术方案的基础上进一步细化,该方法包括:
步骤210、通过至少一种预设方式对接防火墙,读取防火墙的配置信息。
其中,系统可以通过SSH、web界面、接口等多种方式对接防火墙,可以适应多品牌,多型号,多软件版本的防火墙,对接防火墙并读取防火墙的配置信息。
步骤220、从至少一个防火墙的配置信息中,提取防火墙的资源信息和策略信息;
步骤230、分析不同资源之间是否存在异常关系;
其中,异常关系包括:重复、包含和不一致中的至少一种。
步骤240、将存在异常关系的资源确定为待调整资源。
步骤250、分析不同策略之间是否存在异常关系;
其中,异常关系包括:重复、包含和不一致中的至少一种;
步骤260、计算策略的粒度和策略命中数,筛选策略的命中数低于预设命中数的僵尸策略和粒度低于预设粒度的宽松策略;
其中,将命中数低于预设命中数的策略筛选出来作为僵尸策略,例如命中数为0的策略为僵尸策略。将粒度低于预设粒度的策略筛选出来作为宽松策略,例如粒度小于等于2的策略为宽松策略。预设命中数和预设粒度可以预先设定,也可以进行修改。
步骤270、将存在异常关系的资源、僵尸策略和宽松策略确定为待调整策略。
步骤280、根据预设策略调整规则,对于待调整策略生成对应的策略处置建议;
步骤290、将待调整资源、待调整策略和策略调整建议展示给用户。
可选的,根据预设策略调整规则,对于待调整策略生成对应的策略处置建议,包括:
对于存在异常关系的资源,提供重复策略、冗余策略和冲突策略的处置建议;
对于僵尸策略,提供删除建议;
对于宽松策略,提供细化建议。
其中,策略优化遵循以下原则,最小化原则,在优化过程中,对于动作为允许(permit)的策略,杜绝策略中出现源地址/目的地址/服务的为任意/any/空/所有的情况,避免策略中出现大网段,大范围的IP地址,大范围的端口,所有策略遵循最小化原则,将所有系统/IP地址缩小到最小化的访问权限。
以业务为基准,防火墙策略服务于业务,分析当前业务访问图,对策略整理,出现于当前业务访问图不相符的情况,应分析其必要性和合理性。
避免僵尸策略,对于临时策略应加时间控制,到时间后,主动清理,避免长时间不使用策略出现,控制策略的最简化,最优化。
可选的,防火墙策略优化方法,还包括:
当用户输入新的安全策略或修改当前的安全策略时,根据业务开通信息进行全网访问路径模拟仿真分析,生成策略开通建议。
其中,业务人员提出变更策略后结合流程服务,在审批前进行策略风险评估,通过挖掘原有设备上的策略信息与现有的变更策略进行对比分析,查看是否有相同策略存在,是否与现有策略造成冲突,确认变更的合规性。
策略变更前进行仿真测试,验证业务人员申请的变更是否达到预期要求并且无新的风险引入;根据仿真测试的结果生成变更建议,告诉用户一条最优路径进行变更并生成响应的变更参数,由自动化变更平台调用相应的参数进行变更下发,减少技术人员对变更的参与,确认变更的可靠性。
可选的,在根据预设策略调整规则,对于待调整策略生成对应的策略处置建议之后,还包括:
根据策略处置建议,自动配置对应的策略。
其中,除了向用户提供策略处置建议,对策略和资源进行手动配置以外,还可以自动配置对应的策略。
系统采用分层设计理念,共分为数据采集层、建模分析层、业务功能层、可视化展示层。
数据采集层主要通过在线采集方式定期采集防火墙、路由、交换机、负载均衡等设备的策略配置文件与路由数据,并进行归一化入库存储。
建模分析层提供了一套策略模拟仿真环境,可以根据业务开通信息进行全网访问路径模拟仿真分析,生成策略开通建议并翻译成命令行。
业务功能层主要提供访问控制策略的集中管理和分析,主要包括策略列表、策略梳理、策略检查、策略命中与收敛分析。
可视化展示层主要提供网络拓扑可视化、安全路径可视化以及攻击面可视化。
越来越严峻的安全威胁形式催生了大量的安全产品,安全团队盲目追求未知威胁的防护,不断在网络上叠加各种安全产品,让网络变得越来越负责,也让自己疲于安全运维,在这个过程中迷失掉了真正的安全防护目标。
基于安全策略数据进行网络安全基础架构建模,分析、优化安全控制策略质量,避免策略漏洞带来的安全风险,同时监管全网的安全控制策略与业务访问路径,构造并持续维护明晰的网络安全作战路径图。
围绕资产清点,风险分析、入侵监控三个方面对业务主机的安全状态进行深入的分析,根据操作系统和系统内业务的不同,自动识别不同操作系统内的关键业务服务和组件情况,周期性清点系统、中间件、进程、端口、网站、账号等资产信息,并针对各类资产进行脆弱性分析与基于行为模式的异常入侵行为监测。
系统的展现方式为web方式,用户操作主要是通过web界面与系统交互,通过web界面,添加防火墙,查看防火墙策略收集结果,分析结果,通过web界面查询防火墙策略,通过web界面查看地址、服务、安全域、时间等资源的采集和分析结果。
本实施例的技术方案,将防火墙策略进行统一管理,提高策略的规范性,达到策略规范配置。标准化的策略制定,可为每个防火墙定制资源和策略,为日后策略维护工作提供良好的实践向导,杜绝垃圾策略。策略优化配置。针对重复策略、宽松策略、僵尸策略、不一致策略等问题策略提出优化配置建议,提高防火墙的效能。监控策略命中数。监控策略命中数,绘制命中数走势,优化策略优先级,为策略和业务匹配度提供依据。策略风险分析。对风险策略分析,涵盖统计风险、宽松风险、高危端口、合规风险等多个维度。
实施例三
图3为本发明实施例三提供的一种防火墙策略优化装置的结构示意图,该装置可以集成在服务器中,该装置具体包括:
信息提取模块310,用于从至少一个防火墙的配置信息中,提取防火墙的资源信息和策略信息;
资源分析模块320,用于根据资源信息分析不同资源之间的关系,确定待调整资源;
策略分析模块330,用于根据策略信息分析不同策略之间的关系,计算策略的粒度和策略命中数,并确定待调整策略;
策略处置建议模块340,用于根据预设策略调整规则,对于待调整策略生成对应的策略处置建议;
策略展示模块350,用于将待调整资源、待调整策略和策略调整建议展示给用户。
本实施例的技术方案,通过分析防火墙的策略和资源,对策略和资源进行梳理分析,提出策略处置建议,解决防火墙策略数目过多,造成的核心区域网络性能的下降,企业内部网络中存在潜在安全隐患的问题,实现控制防火墙安全策略的数量,提高防火墙中配置的安全策略有效性占比,并保持企业网络业务稳定、安全地运行的效果。
可选的,防火墙策略优化装置还包括:
配置信息读取模块,用于在从至少一个防火墙的配置信息中,提取防火墙的资源信息和策略信息之前,通过至少一种预设方式对接防火墙,读取防火墙的配置信息。
可选的,防火墙策略优化装置还包括:
策略开通建议生成模块,用于当用户输入新的安全策略或修改当前的安全策略时,根据业务开通信息进行全网访问路径模拟仿真分析,生成策略开通建议。
可选的,资源分析模块320,具体用于:
分析不同资源之间是否存在异常关系;其中,异常关系包括:重复、包含和不一致中的至少一种;
将存在异常关系的资源确定为待调整资源。
可选的,策略分析模块330,具体用于:
分析不同策略之间是否存在异常关系;其中,异常关系包括:重复、包含和不一致中的至少一种;
计算策略的粒度和策略命中数,筛选策略的命中数低于预设命中数的僵尸策略和粒度低于预设粒度的宽松策略;
将存在异常关系的资源、僵尸策略和宽松策略确定为待调整策略。
可选的,策略处置建议模块340,具体用于:
对于存在异常关系的资源,提供重复策略、冗余策略和冲突策略的处置建议;
对于僵尸策略,提供删除建议;
对于宽松策略,提供细化建议。
可选的,防火墙策略优化装置还包括:
策略配置模块,用于在根据预设策略调整规则,对于待调整策略生成对应的策略处置建议之后,根据策略处置建议,自动配置对应的策略。
本发明实施例所提供的防火墙策略优化装置可执行本发明任意实施例所提供的防火墙策略优化方法,具备执行方法相应的功能模块和有益效果。
实施例四
图4为本发明实施例四提供的一种防火墙策略优化设备的结构示意图,如图4所示,该防火墙策略优化设备包括处理器410、存储器420、输入装置430和输出装置440;防火墙策略优化设备中处理器410的数量可以是一个或多个,图4中以一个处理器410为例;防火墙策略优化设备中的处理器410、存储器420、输入装置430和输出装置440可以通过总线或其他方式连接,图4中以通过总线连接为例。
存储器420作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本发明实施例中的防火墙策略优化方法对应的程序指令/模块(例如,防火墙策略优化装置中的信息提取模块310、资源分析模块320、策略分析模块330、策略处置建议模块340和策略展示模块350)。处理器410通过运行存储在存储器420中的软件程序、指令以及模块,从而执行防火墙策略优化设备的各种功能应用以及数据处理,即实现上述的防火墙策略优化方法。
存储器420可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据终端的使用所创建的数据等。此外,存储器420可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储器420可进一步包括相对于处理器410远程设置的存储器,这些远程存储器可以通过网络连接至防火墙策略优化设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置430可用于接收输入的数字或字符信息,以及产生与防火墙策略优化设备的用户设置以及功能控制有关的键信号输入。输出装置440可包括显示屏等显示设备。
实施例五
本发明实施例五还提供一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行一种防火墙策略优化方法,包括:
从至少一个防火墙的配置信息中,提取所述防火墙的资源信息和策略信息;
根据所述资源信息分析不同资源之间的关系,确定待调整资源;
根据所述策略信息分析不同策略之间的关系,计算所述策略的粒度和策略命中数,并确定待调整策略;
根据预设策略调整规则,对于所述待调整策略生成对应的策略处置建议;
将所述待调整资源、所述待调整策略和所述策略调整建议展示给用户。
当然,本发明实施例所提供的一种包含计算机可执行指令的存储介质,其计算机可执行指令不限于如上所述的方法操作,还可以执行本发明任意实施例所提供的防火墙策略优化方法中的相关操作。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本发明可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
值得注意的是,上述防火墙策略优化装置的实施例中,所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (9)
1.一种防火墙策略优化方法,其特征在于,包括:
从至少一个防火墙的配置信息中,提取所述防火墙的资源信息和策略信息;
根据所述资源信息分析不同资源之间的关系,确定待调整资源;
根据所述策略信息分析不同策略之间的关系,计算所述策略的粒度和策略命中数,并确定待调整策略;
根据预设策略调整规则,对于所述待调整策略生成对应的策略处置建议;
将所述待调整资源、所述待调整策略和所述策略处置建议展示给用户;
当用户输入新的安全策略或修改当前的安全策略时,根据业务开通信息进行全网访问路径模拟仿真分析,生成策略开通建议。
2.根据权利要求1所述的方法,其特征在于,在所述从至少一个防火墙的配置信息中,提取所述防火墙的资源信息和策略信息之前,还包括:
通过至少一种预设方式对接所述防火墙,读取所述防火墙的所述配置信息。
3.根据权利要求1所述的方法,其特征在于,所述根据所述资源信息分析不同资源之间的关系,确定待调整资源,包括:
分析不同资源之间是否存在异常关系;其中,所述异常关系包括:重复、包含和不一致中的至少一种;
将存在异常关系的所述资源确定为所述待调整资源。
4.根据权利要求1所述的方法,其特征在于,所述根据所述策略信息分析不同策略之间的关系,计算所述策略的粒度和策略命中数,并确定待调整策略,包括:
分析不同策略之间是否存在异常关系;其中,所述异常关系包括:重复、包含和不一致中的至少一种;
计算所述策略的粒度和策略命中数,筛选策略的命中数低于预设命中数的僵尸策略和粒度低于预设粒度的宽松策略;
将存在异常关系的所述策略、所述僵尸策略和所述宽松策略确定为所述待调整策略。
5.根据权利要求4所述的方法,其特征在于,所述根据预设策略调整规则,对于所述待调整策略生成对应的策略处置建议,包括:
对于存在异常关系的所述策略,提供重复策略、冗余策略和冲突策略的处置建议;
对于所述僵尸策略,提供删除建议;
对于所述宽松策略,提供细化建议。
6.根据权利要求5所述的方法,其特征在于,在所述根据预设策略调整规则,对于所述待调整策略生成对应的策略处置建议之后,还包括:
根据所述策略处置建议,自动配置对应的策略。
7.一种防火墙策略优化装置,其特征在于,包括:
信息提取模块,用于从至少一个防火墙的配置信息中,提取所述防火墙的资源信息和策略信息;
资源分析模块,用于根据所述资源信息分析不同资源之间的关系,确定待调整资源;
策略分析模块,用于根据所述策略信息分析不同策略之间的关系,计算所述策略的粒度和策略命中数,并确定待调整策略;
策略处置建议模块,用于根据预设策略调整规则,对于所述待调整策略生成对应的策略处置建议;
策略展示模块,用于将所述待调整资源、所述待调整策略和所述策略处置建议展示给用户;
策略开通建议生成模块,用于当用户输入新的安全策略或修改当前的安全策略时,根据业务开通信息进行全网访问路径模拟仿真分析,生成策略开通建议。
8.一种防火墙策略优化设备,其特征在于,所述防火墙策略优化设备包括:
一个或多个处理器;
存储器,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-6中任一所述的防火墙策略优化方法。
9.一种包含计算机可执行指令的存储介质,其特征在于,所述计算机可执行指令在由计算机处理器执行时用于执行如权利要求1-6中任一所述的防火墙策略优化方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110558636.8A CN113301040B (zh) | 2021-05-21 | 2021-05-21 | 一种防火墙策略优化方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110558636.8A CN113301040B (zh) | 2021-05-21 | 2021-05-21 | 一种防火墙策略优化方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113301040A CN113301040A (zh) | 2021-08-24 |
| CN113301040B true CN113301040B (zh) | 2023-02-10 |
Family
ID=77323720
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110558636.8A Active CN113301040B (zh) | 2021-05-21 | 2021-05-21 | 一种防火墙策略优化方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113301040B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114465809A (zh) * | 2022-03-04 | 2022-05-10 | 山东源鲁信息科技有限公司 | 一种安全策略粒度的计算方法 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011060249A (ja) * | 2009-09-15 | 2011-03-24 | Kddi Corp | ファイアウォールに対するポリシ情報表示方法、管理装置及びプログラム |
| CN105721188A (zh) * | 2014-12-04 | 2016-06-29 | 北京神州泰岳信息安全技术有限公司 | 防火墙策略核查方法及系统 |
| CN108418801A (zh) * | 2018-02-01 | 2018-08-17 | 杭州安恒信息技术股份有限公司 | 一种基于大数据分析的防火墙策略优化方法及系统 |
| CN108933791A (zh) * | 2018-07-09 | 2018-12-04 | 国网山东省电力公司信息通信公司 | 一种基于电力信息网安全防护策略智能优化方法及装置 |
| CN109639743A (zh) * | 2018-12-13 | 2019-04-16 | 成都亚信网络安全产业技术研究院有限公司 | 一种防火墙策略检测方法及设备 |
| CN111262879A (zh) * | 2020-02-13 | 2020-06-09 | 武汉思普崚技术有限公司 | 一种基于仿真路径分析的防火墙安全策略开通方法及装置 |
| CN111786949A (zh) * | 2020-05-22 | 2020-10-16 | 山东鲁能软件技术有限公司 | 防火墙安全策略自动适配系统及方法 |
| CN111988273A (zh) * | 2020-07-07 | 2020-11-24 | 国网思极网安科技(北京)有限公司 | 一种防火墙策略管理方法及装置 |
| CN112615811A (zh) * | 2020-11-19 | 2021-04-06 | 贵州电网有限责任公司 | 一种电力信息内网络边界策略健壮性自动化分析方法 |
| CN112651137A (zh) * | 2020-12-31 | 2021-04-13 | 武汉思普崚技术有限公司 | 一种策略模拟仿真给出策略开通建议的方法及装置 |
| CN112788059A (zh) * | 2021-01-28 | 2021-05-11 | 新华三信息安全技术有限公司 | 一种策略识别方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9948680B2 (en) * | 2015-12-29 | 2018-04-17 | Fortinet, Inc. | Security configuration file conversion with security policy optimization |
-
2021
- 2021-05-21 CN CN202110558636.8A patent/CN113301040B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011060249A (ja) * | 2009-09-15 | 2011-03-24 | Kddi Corp | ファイアウォールに対するポリシ情報表示方法、管理装置及びプログラム |
| CN105721188A (zh) * | 2014-12-04 | 2016-06-29 | 北京神州泰岳信息安全技术有限公司 | 防火墙策略核查方法及系统 |
| CN108418801A (zh) * | 2018-02-01 | 2018-08-17 | 杭州安恒信息技术股份有限公司 | 一种基于大数据分析的防火墙策略优化方法及系统 |
| CN108933791A (zh) * | 2018-07-09 | 2018-12-04 | 国网山东省电力公司信息通信公司 | 一种基于电力信息网安全防护策略智能优化方法及装置 |
| CN109639743A (zh) * | 2018-12-13 | 2019-04-16 | 成都亚信网络安全产业技术研究院有限公司 | 一种防火墙策略检测方法及设备 |
| CN111262879A (zh) * | 2020-02-13 | 2020-06-09 | 武汉思普崚技术有限公司 | 一种基于仿真路径分析的防火墙安全策略开通方法及装置 |
| CN111786949A (zh) * | 2020-05-22 | 2020-10-16 | 山东鲁能软件技术有限公司 | 防火墙安全策略自动适配系统及方法 |
| CN111988273A (zh) * | 2020-07-07 | 2020-11-24 | 国网思极网安科技(北京)有限公司 | 一种防火墙策略管理方法及装置 |
| CN112615811A (zh) * | 2020-11-19 | 2021-04-06 | 贵州电网有限责任公司 | 一种电力信息内网络边界策略健壮性自动化分析方法 |
| CN112651137A (zh) * | 2020-12-31 | 2021-04-13 | 武汉思普崚技术有限公司 | 一种策略模拟仿真给出策略开通建议的方法及装置 |
| CN112788059A (zh) * | 2021-01-28 | 2021-05-11 | 新华三信息安全技术有限公司 | 一种策略识别方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 探析网络安全管理防火墙存在的问题及改善策略;张晓东等;《网络安全技术与应用》;20191130;第1-3章 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113301040A (zh) | 2021-08-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9742794B2 (en) | Method and apparatus for automating threat model generation and pattern identification | |
| Kotenko et al. | Security analysis of information systems taking into account social engineering attacks | |
| US20080148398A1 (en) | System and Method for Definition and Automated Analysis of Computer Security Threat Models | |
| US11481478B2 (en) | Anomalous user session detector | |
| CN110764871A (zh) | 一种基于云平台的拟态化应用封装与控制系统和方法 | |
| Schlegel et al. | Structured system threat modeling and mitigation analysis for industrial automation systems | |
| CN109905492B (zh) | 基于分布式模块化数据中心的安全运营管理系统及方法 | |
| WO2016018382A1 (en) | Creating a security report for a customer network | |
| Mutemwa et al. | Integrating a security operations centre with an organization’s existing procedures, policies and information technology systems | |
| CN110971464A (zh) | 一种适合灾备中心的运维自动化系统 | |
| Speicher et al. | Towards automated network mitigation analysis | |
| CN114553471A (zh) | 一种租户安全管理系统 | |
| CN113301040B (zh) | 一种防火墙策略优化方法、装置、设备及存储介质 | |
| CN113965497B (zh) | 服务器异常识别方法、装置、计算机设备及可读存储介质 | |
| US11962623B2 (en) | Static analysis techniques for determining reachability properties of network and computing objects | |
| CN112291264B (zh) | 一种安全控制的方法、装置、服务器和存储介质 | |
| CN117118857A (zh) | 基于知识图谱的网络安全威胁管理系统及方法 | |
| Cheng et al. | Integrated situational awareness for cyber attack detection, analysis, and mitigation | |
| CN112839029B (zh) | 一种僵尸网络活跃度的分析方法与系统 | |
| CN115514519A (zh) | 一种基于横向微隔离的主动防御方法及插件 | |
| Niu et al. | Security analysis model, system architecture and relational model of enterprise cloud services | |
| Raychev et al. | Platform for computer modeling of information-analytical security management | |
| CN117236645B (zh) | 一种基于设备信息分类的数据中心用it资产管理系统 | |
| KR102586870B1 (ko) | 클라우드 환경에서 보호대상에 대한 ai 기반 보안위험 예측 시스템 및 방법 | |
| WO2023073952A1 (ja) | セキュリティ分析装置、セキュリティ分析方法、及びコンピュータ読み取り可能な記録媒体 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |