CN113904858A - Ip处理方法、装置、设备和存储介质 - Google Patents
Ip处理方法、装置、设备和存储介质 Download PDFInfo
- Publication number
- CN113904858A CN113904858A CN202111216401.7A CN202111216401A CN113904858A CN 113904858 A CN113904858 A CN 113904858A CN 202111216401 A CN202111216401 A CN 202111216401A CN 113904858 A CN113904858 A CN 113904858A
- Authority
- CN
- China
- Prior art keywords
- ips
- decapsulated
- deblocked
- rule information
- blocked
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 30
- 238000000034 method Methods 0.000 claims abstract description 50
- 238000012545 processing Methods 0.000 claims abstract description 22
- 230000000903 blocking effect Effects 0.000 claims description 53
- 238000010586 diagram Methods 0.000 description 17
- 230000008569 process Effects 0.000 description 17
- 230000006870 function Effects 0.000 description 11
- 238000012423 maintenance Methods 0.000 description 8
- 230000006854 communication Effects 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- 230000009286 beneficial effect Effects 0.000 description 5
- 238000004590 computer program Methods 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000003252 repetitive effect Effects 0.000 description 2
- 101000928335 Homo sapiens Ankyrin repeat and KH domain-containing protein 1 Proteins 0.000 description 1
- 101000701393 Homo sapiens Serine/threonine-protein kinase 26 Proteins 0.000 description 1
- 102100030617 Serine/threonine-protein kinase 26 Human genes 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000010267 cellular communication Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种IP处理方法、装置、设备和存储介质。在该方法中,通过从第一文件夹中获取多个待解封IP,多个待解封IP是采用文本格式进行编辑后预先存储到第一文件夹中的,然后从数据库中查询与多个待解封IP中每个待解封IP对应的安全规则信息,最后向防火墙模块发送每个待解封IP以及与每个待解封IP对应的安全规则信息,以控制防火墙模块根据安全规则信息对对应的待解封IP执行解封堵操作。本申请提供的IP处理方法、装置、设备和存储介质,可以提高对待解封IP实现解封堵操作的效率和准确性。
Description
技术领域
本申请涉及通信技术,尤其涉及一种IP处理方法、装置、设备和存储介质。
背景技术
随着互联网技术飞速发展以及网络互连的范围越来越广泛,网络安全防护工作形势日益严峻,防护场景不断增多,防护工作量和难度日益增强,尤其是大型企业网站因频繁受到大量恶意的网络之间互连协议(Internet Protocol,IP)访问,影响网站的正常运行。在日常网络安全防护工作中,运维工程师为确保企业网络信息安全,会在企业内网的互联网出口防火墙进行外网异常IP封堵或解封堵操作。
在现有技术中,对于IP解封堵操作采用人工操作方式。即在对大量已经封堵的IP实现解封堵操作时,首先需要人工逐一输入需要解封堵的IP,然后电子设备会在防火墙中按照用户输入的IP逐一的查找该IP对应的安全规则信息,最后在安全规则信息中删除该IP以实现解封堵操作。
然而上述方法中的解封堵操作,不仅费时费力,造成IP解封堵操作不及时,解封堵效率较低,而且上述方式容易出错,影响了IP解封堵操作的准确性。
发明内容
为解决现有技术中存在的问题,本申请提供一种IP处理方法、装置、设备和存储介质,可以提高IP的解封堵效率和准确性。
第一方面,本申请提供一种IP处理方法,包括:
从预设文件夹中获取多个待解封IP,多个待解封IP是采用文本格式进行编辑后预先存储到预设文件夹中的;
从数据库中查询与多个待解封IP中每个待解封IP对应的安全规则信息;
向防火墙模块发送每个待解封IP以及与每个待解封IP对应的安全规则信息,以控制防火墙模块根据安全规则信息对对应的待解封IP执行解封堵操作。
在一种可能的实现方式中,从数据库中查询与多个待解封IP中每个待解封IP对应的安全规则信息,包括:
针对每个待解封IP,判断待解封IP的标识信息是否为第一标识,第一标识用于表示待解封IP处于封堵状态;
若待解封IP的标识信息为第一标识,则从数据库中查询与待解封IP对应的安全规则信息。
在一种可能的实现方式中,方法还包括:
在确定出防火墙模块对待解封IP执行解封堵操作后,在数据库中将待解封IP的标识信息由第一标识更新为第二标识,第二标识用于表示待解封IP处于解封堵状态。
在一种可能的实现方式中,判断待解封IP的标识信息是否为第一标识之前,方法还包括:
判断待解封IP是否在第一黑名单内,第一黑名单用于存储不允许执行解封堵操作的IP;
若待解封IP不在第一黑名单内,则执行判断待解封IP的标识信息是否为第一标识的步骤。
在一种可能的实现方式中,从数据库中查询与多个待解封IP中每个待解封IP对应的安全规则信息之前,方法还包括:
从第二文件夹中获取多个待封堵IP,多个待封堵IP是采用文本格式进行编辑后预先存储到第二文件夹中的;
获取与多个待封堵IP各自对应的安全规则信息;
向防火墙模块发送多个待封堵IP以及与各待封堵IP对应的安全规则信息,以控制防火墙模块根据安全规则信息对对应的待封堵IP执行封堵操作,并将多个待封堵IP以及与各待封堵IP对应的安全规则信息存储到数据库中。
在一种可能的实现方式中,方法还包括:
在确定出防火墙模块对待封堵IP执行封堵操作后,在数据库中将待封堵IP的标识信息设置为第一标识。
在一种可能的实现方式中,获取与多个待封堵IP各自对应的安全规则信息,包括:
针对每个待封堵IP,判断待封堵IP是否在第二黑名单内,第二黑名单用于存储不允许执行封堵操作的IP;
若待封堵IP不在第二黑名单内,则获取与多个待封堵IP各自对应的安全规则信息。
第二方面,本申请提供一种IP处理装置,包括:
获取模块,用于从第一文件夹中获取多个待解封IP,多个待解封IP是采用文本格式进行编辑后预先存储到第一文件夹中的。
查询模块,用于从数据库中查询与多个待解封IP中每个待解封IP对应的安全规则信息;
处理模块,用于向防火墙模块发送每个待解封IP以及与每个待解封IP对应的安全规则信息,以控制防火墙模块根据安全规则信息对对应的待解封IP执行解封堵操作。
在一种可能的实现方式中,处理模块,具体用于:
针对每个待解封IP,判断待解封IP的标识信息是否为第一标识,第一标识用于表示待解封IP处于封堵状态;
若待解封IP的标识信息为第一标识,则从数据库中查询与待解封IP对应的安全规则信息。
在一种可能的实现方式中,该装置还包括:更新模块;
更新模块,用于在确定出防火墙模块对待解封IP执行解封堵操作后,在数据库中将待解封IP的标识信息由第一标识更新为第二标识,第二标识用于表示待解封IP处于解封堵状态。
在一种可能的实现方式中,处理模块,具体用于:
判断待解封IP是否在第一黑名单内,第一黑名单用于存储不允许执行解封堵操作的IP;
若待解封IP不在第一黑名单内,则执行判断待解封IP的标识信息是否为第一标识的步骤。
在一种可能的实现方式中,该装置还包括:存储模块;
获取模块,还用于从第二文件夹中获取多个待封堵IP,多个待封堵IP是采用文本格式进行编辑后预先存储到第二文件夹中的。
获取模块,还用于获取与多个待封堵IP各自对应的安全规则信息。
处理模块,还用于向防火墙模块发送多个待封堵IP以及与各待封堵IP对应的安全规则信息,以控制防火墙模块根据安全规则信息对对应的待封堵IP执行封堵操作。
存储模块,用于将多个待封堵IP以及与各待封堵IP对应的安全规则信息存储到数据库中。
在一种可能的实现方式中,该处理模块,还用于在确定出防火墙模块对待封堵IP执行封堵操作后,在数据库中将待封堵IP的标识信息设置为第一标识。
在一种可能的实现方式中,获取模块,具体用于:
针对每个待封堵IP,判断待封堵IP是否在第二黑名单内,第二黑名单用于存储不允许执行封堵操作的IP;
若待封堵IP不在第二黑名单内,则获取与多个待封堵IP各自对应的安全规则信息。
第三方面,本申请还提供了一种服务器,该服务器可以包括处理器,以及与处理器通信连接的存储器;其中,
存储器,用于存储计算机程序。
处理器,用于执行存储器存储的计算机执行指令,以实现上述第一方面任一种可能的实现方式中的IP处理方法。
第四方面,本申请还提供了一种计算机可读存储介质,计算机可读存储介质中存储有计算机执行指令,计算机执行指令被处理器执行时用于实现上述第一方面任一种可能的实现方式中的IP处理方法。
本申请提供的IP处理方法、装置、设备和存储介质,通过从第一文件夹中获取多个待解封IP,多个待解封IP是采用文本格式进行编辑后预先存储到第一文件夹中的,然后从数据库中查询与多个待解封IP中每个待解封IP对应的安全规则信息,最后向防火墙模块发送每个待解封IP以及与每个待解封IP对应的安全规则信息,以控制防火墙模块根据安全规则信息对对应的待解封IP执行解封堵操作。通过这种方法,可以在执行解封堵操作时,批量上传待解封IP,然后在数据库中查询待解封IP。一方面,可以减少现有技术中需要人工逐一输入待解封IP,并在防火墙的多个安全规则信息中查询待解封IP的时间,降低人力成本,而且可以避免现有技术中每查到一个待解封IP,就对该待解封IP执行解封堵操作的现象,而是将查询到的多个待解封IP以及每个待解封IP对应的安全规则信息发送给防火墙模块,以实现批量的解封堵操作,从而可以提高执行解封堵操作的效率;另一方面,本申请中可以自动化的执行解封堵操作,减少了人工解封堵的流程,从而提高了IP解封堵的准确性。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1为本申请实施例提供的IP处理方法的系统架构图;
图2为本申请实施例提供的一种IP处理方法的流程示意图;
图3为本申请实施例提供的对待封堵IP执行封堵操作的流程示意图;
图4为本申请实施例提供的一种执行封堵与解封堵操作的操作示意图;
图5a为本申请实施例提供的一种实现封堵的一个过程示意图;
图5b为本申请实施例提供的一种实现封堵的一种过程示意图;
图5c为本申请实施例提供的一种实现封堵其他的过程示意图;
图5d为本申请实施例提供的一种实现封堵其余的过程示意图;
图5e为本申请实施例提供的一种实现封堵的另一种过程示意图;
图6a为本申请实施例提供的一种实现解封堵的一个过程示意图;
图6b为本申请实施例提供的一种实现解封堵的另一个过程示意图;
图6c为本申请实施例提供的一种实现解封堵的其他过程示意图;
图7为本申请实施例提供的一种IP处理装置的结构示意图;
图8为本申请实施例提供的一种服务器的结构示意图。
通过上述附图,已示出本申请明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围,而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”及“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
首先对本申请所涉及的名词进行解释:
封堵:指将某个IP封禁,禁止其对该网站进行访问。
解封堵:指解除对某个IP的禁止,允许其访问该网站。
本申请实施例提供的IP处理方法,可应用于对企业网站实现网络安全防护的应用场景中。例如:在日常的网络安全防护工作中,当企业网站突然遭受到某个或多个异常IP实施的大流量攻击时,运维人员为了保障该企业网站运行的稳定性,可以在企业内网的互联网出口防火墙进行外网IP封堵操作,以禁止这些IP的使用者对该网站进行内容访问。当被封堵的IP恢复正常的访问频率时,需要对该IP进行解封堵,以允许该IP的使用者对该网站进行内容访问。
现有技术中,对IP进行解封堵操作采用人工输入方式,不仅使运维人员的工作量较大,而且解封堵操作较为复杂,若操作错误会造成网络中断。同时对于庞大的待封堵IP数量,需在防火墙安全策略中创建多条安全规则信息对IP进行阻断以完成封堵操作。因此在地址解封堵操作时,首先需在防火墙已创建的多条安全规则信息中查找待解封IP。目前,查找待解封IP方法是人工逐一输入IP,然后在防火墙中查找与该IP对应的安全规则信息,最后在安全规则信息中删除该IP实现解封堵操作。在上述现有技术中,一方面,解封堵操作较为复杂,容易出错,影响了IP解封堵工作的准确性;另一方面逐一在防火墙中查找待解封IP,每查到一个待解封IP,就对该待解封IP执行解封堵操作的现象,而无法实现多个待解封IP同时进行解封堵操作,使得运维人员的工作重复性高且时间消耗多,费时费力,易造成IP解封堵操作不及时,解封堵效率较低。
本申请实施例中考虑到上述问题,提出一种IP处理方法。该方法可以实现针对IP地址的自动化封堵和解封堵功能,当需要对大量的IP地址执行解封堵操作时,无需人工逐一输入待解封IP并在防火墙的多个不同安全规则中查找待解封IP,而是将所有待解封IP通过文件夹传输到程序中,通过执行程序,在数据库中自动查询待解封IP及对应的安全规则信息后批量返回查询结果,然后自动登录防火墙并在对应的安全规则信息中批量删除待解封IP,以实现批量解封堵操作。上述方式一方面可以实现解封堵自动化操作,减少了人工操作造成准确性较低的问题;另一方面减少了逐一在防火墙中查找待解封IP并执行解封堵操作的时间,而是通过数据库返回的多个待解封IP的查询结果,对处于封堵状态的待解封IP执行批量解封堵操作,从而减少了运维工程师的重复性工作,节省了人力物力,有助于提高解封堵操作的效率。
图1为本申请实施例提供的IP处理方法的系统架构图,如图1所示,该系统中包括客户端101、交换机102、服务器103和防火墙104。其中,客户端101、交换机102和服务器103为内部网络中的设备,防火墙104位于内部网络与外部网络之间,同时防火墙104中配置了防火墙安全策略105。服务器103是提供对外服务的服务器,交换机102使服务器103与内网的客户端101实现隔离。外部网络向内部网络发送的所有数据包均会经过防火墙104,防火墙104可以根据防火墙安全策略105对外部网络发送的所有数据包进行安全检查。若数据包满足防火墙安全策略105设置的条件,则允许外部网络的数据包通过;若不满足防火墙安全策略105设置的条件,则拦截该数据包,并对该数据包中发送方的IP执行封堵操作,禁止其访问内部网络。当该IP再次满足防火墙安全策略105设置的条件时,可以对其执行解封堵操作,使其再次拥有访问内部网络的权限。
应该理解,在图1所示的系统架构中,客户端101、交换机102、服务器103及防火墙104的数目仅仅是示例性的,更多或更少的数量都属于本申请的保护范畴。并且,在上述示例运行场景中,客户端例如可以是个人计算机、服务器、掌上电脑(Personal DigitalAssistant,PDA)、笔记本或其它任何具有联网功能的计算设备。客户端101、交换机102、服务器103和防火墙104之间通信的网络可以包括各种类型的有线和无线网络,例如但不局限于:互联网、局域网、无线保真(Wireless Fidelity,WIFI)、无线局域网(Wireless LocalArea Networks,WLAN)、蜂窝通信网络(通用分组无线服务技术(General Packet RadioService,GPRS)、码分多址(Code Division Multiple Access,CDMA)、2G/3G/4G/5G蜂窝网络)、卫星通信网络等等。
下面以具体地实施例对本申请的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图,对本申请的实施例进行描述。
图2为本申请实施例提供的一种IP处理方法的流程示意图,该方法可以由任意执行IP处理方法的装置来执行,该装置可以通过软件和/或硬件实现。本实施例中,该装置可以集成在如图1所示的服务器103中。如图2所示,本申请实施例提供的IP处理方法包括如下步骤:
步骤201:从第一文件夹中获取多个待解封IP,多个待解封IP是采用文本格式进行编辑后预先存储到第一文件夹中的。
其中,第一文件夹为存储待解封IP的文件夹,待解封IP为之前已经被执行封堵操作的IP,这些IP在后续的通信过程中,在检测出其符合防火墙中设置的访问条件时,则会进行解封堵,也即需要在防火墙的安全规则信息中移除。
在本步骤中,运维人员在获取到大量待解封IP后,需要将待解封IP整理为文本格式,然后通过文件传输协议(File Transfer Protocol,ftp)上传至执行程序的跳板机第一文件夹中,并登陆跳板机执行脚本程序。例如,创建一个记事本文件,将待解封IP以文本格式上传至跳板机的undo文件夹。
步骤202:从数据库中查询与多个待解封IP中每个待解封IP对应的安全规则信息。
其中,数据库中包括五个字段,分别为:安全规则信息(RULENAME)、待解封IP(IP)、掩码(MASK)、标识(FLAG)以及写入数据库时间(STORAGE_TIME),五个字段组成了一个待解封IP的全部信息,且数据库中包含多个待解封IP的全部信息。其中,RULENAME中可以存储有限个待解封IP,不同的待解封IP可以在一个RULENAME中,例如,192.168.100.10与192.168.100.11两个不同的IP可以同在一个RULENAME中,且一个RULENAME中可以包含3000个待解封IP,如果超过3000个,会将超出数量的待解封IP存储在不同的RULENAME中。MASK用来标识多个待解封IP是否属于同一个子网。FLAG用来指示待解封IP的状态,例如:FLAG为0表示该IP处于封堵状态,FLAG为1则表示该IP处于解封堵状态。
在本步骤中,将待解封IP上传至undo文件夹后,运行脚本程序,并在接收到解封堵指令后,程序会自动抽取undo文件夹中的待解封IP并在数据库中查询每一个待解封IP所对应的安全规则信息。
示例性的,在从数据库中查询与多个待解封IP中每个待解封IP对应的安全规则信息之前,可以针对每个待解封IP,先判断该待解封IP的标识信息是否为第一标识,若待解封IP的标识信息为第一标识,则从数据库中查询与待解封IP对应的安全规则信息,其中,第一标识用于表示待解封IP处于封堵状态。
具体的,当提取到undo文件夹中的待解封IP,会在数据库中查询每一个待解封IP,以及获取该待解封IP的标识信息,即待解封IP的FLAG。判断待解封IP的FLAG是否为第一标识。其中,第一标识可以为0,也可以为1,当然,该第一标识也可以为其他值。例如:当第一标识为0时,会判断待解封IP的FLAG的字段是否为0,若待解封IP的FLAG字段为0,说明该待解封IP处于封堵状态,此时会从数据库中查询与该待解封IP对应的安全规则信息。若待解封IP的FLAG字段不为0,即FLAG字段为1时,说明该待解封IP处于非封堵状态,此时不对该待解封IP做处理。
进一步的,为了提高对待封堵IP执行解封的准确性,防止对一些非法的IP执行解封操作,可以在判断待解封IP的标识信息是否为第一标识之前,先判断待解封IP是否在第一黑名单内,其中,第一黑名单用于存储不允许执行解封堵操作的IP;若待解封IP不在第一黑名单内,再执行判断待解封IP的标识信息是否为第一标识的步骤。
具体的,在判断待解封IP的标识信息是否为第一标识之前,可以先判断待解封IP是否为不允许执行解封堵操作的IP。例如:在数据库中未查询到该待解封IP,说明该待解封IP从未访问内部网络,因此不允许执行解封堵操作;或者在数据库中可以查询到该待解封IP,但是其FLAG的字段为1,此时已经是解封堵状态;又或者在数据库中可以查询到该待解封IP,其FLAG的字段为0,但是该待解封IP是一个非法待解封IP,例如:非法爬虫、非法网站等,也不允许执行解封堵操作。在本方式中,可以在判断待解封IP的标识信息是否为第一标识之前,先判断待解封IP是否在第一黑名单内的方法,使得在接收到大量待解封IP后快速确认,每个待解封IP是否为需要执行解封堵操作的待解封IP,以及是否处于封堵状态或者是一个非法的待解封IP,从而进一步提高了执行解封堵的效率和准确性。
步骤203:向防火墙模块发送每个待解封IP以及与每个待解封IP对应的安全规则信息,以控制防火墙模块根据安全规则信息对对应的待解封IP执行解封堵操作。
具体的,在数据库中获取到每个待解封IP地址及每个待解封IP对应的安全规则信息查询结果后,便可自动登录防火墙模块。然后在防火墙模块中根据安全规则信息定位所有的待解封IP。最后执行删除操作,从而将所有的待解封IP从防火墙的安全规则信息中批量移除以完成解封堵操作。
进一步的,在确定出防火墙模块对待解封IP执行解封堵操作后,在数据库中将待解封IP的标识信息由第一标识更新为第二标识,第二标识用于表示待解封IP处于解封堵状态。
具体的,防火墙模块对待解封IP执行解封堵操作后,同时需要将数据库中的待解封IP的FLAG字段由0更新为1,表示该待解封IP由封堵状态更新为解封堵状态。当该待解封IP再次出现在待解封IP的列表中时,将不再执行解封堵操作。
在本方式中,对待解封IP执行解封堵操作后及时更新待解封IP的标识信息,可以在下一次接收到该待解封IP时无需再次进入防火墙中执行解封堵状态,从而提高了执行解封堵操作的效率。
本申请实施例提供的IP处理方法,通过从第一文件夹中获取多个待解封IP,多个待解封IP是采用文本格式进行编辑后预先存储到第一文件夹中的,然后从数据库中查询与多个待解封IP中每个待解封IP对应的安全规则信息,最后向防火墙模块发送每个待解封IP以及与每个待解封IP对应的安全规则信息,以控制防火墙模块根据安全规则信息对对应的待解封IP执行解封堵操作。通过这种方法,可以在执行解封堵操作时,批量上传待解封IP,然后在数据库中查询待解封IP。一方面,可以减少现有技术中需要人工逐一输入待解封IP,并在防火墙的多个安全规则信息中查询待解封IP的时间,降低人力成本。而且可以避免现有技术中每查到一个待解封IP,就对该待解封IP执行解封堵操作的现象,而是将查询到的多个待解封IP以及每个待解封IP对应的安全规则信息发送给防火墙模块,以实现批量的解封堵操作,从而可以提高执行解封堵操作的效率;另一方面,本申请中可以自动化的执行解封堵操作,减少了人工解封堵的流程,从而提高了IP解封堵的准确性。
进一步的,通过上述实施例可知,只有处于封堵状态的待解封IP,才可以在防火墙的安全规则信息中查询到该待解封IP及与之对应的安全规则信息,而使待解封IP处于封堵状态则需要对IP执行封堵操作。
接下来,将结合图3对IP执行封堵操作的过程进行详细说明。
图3为本申请实施例提供的对待封堵IP执行封堵操作的流程示意图。请参见图3,该方法可以包括:
步骤301:从第二文件夹中获取多个待封堵IP,多个待封堵IP是采用文本格式进行编辑后预先存储到第二文件夹中的。
其中,第二文件夹是存储待解封IP的列表,待封堵IP为需要在防火墙的安全规则信息中添加,以执行封堵操作的IP。
在本步骤中,运维人员获取到大量待封堵IP后,需要将待封堵IP整理为文本格式,然后通过ftp上传至执行程序的跳板机第二文件夹中,并登陆跳板机执行脚本程序。例如,创建一个记事本文件,将待封堵IP以文本格式上传至跳板机的block文件夹。
步骤302:获取与多个待封堵IP各自对应的安全规则信息。
示例性的,可以针对每个待封堵IP,判断待封堵IP是否在第二黑名单内,其中第二黑名单用于存储不允许执行封堵操作的IP。若待封堵IP不在第二黑名单内,则获取与多个待封堵IP各自对应的安全规则信息。
具体的,在接收到多个待封堵IP后,可以判断每个待封堵IP是否为不允许执行封堵操作的IP,例如:在数据库中查询到该待解封IP且对应的FLAG为0,说明该待封堵IP已为封堵状态,因此不允许执行封堵操作,若待封堵IP不在数据库中,则输入或创建安全规则信息执行封堵操作,并更新数据库。或者数据库中待封堵IP对应的FLAG为1,则获取与多个待封堵IP各自对应的安全规则信息,然后执行封堵操作并更新数据库;又或者待封堵IP不在数据库中,但是,该待封堵IP满足防火墙的安全规则信息,即始终允许该待封堵IP访问内部网络,也不允许执行封堵操作。
在本方式中,通过判断待封堵IP是否在第二黑名单内的方法,使得在接收到大量待封堵IP后能够快速确认,每个待封堵IP是否为需要执行封堵操作的待封堵IP,以及是否处于封堵状态或者是一个始终被允许访问内部网络的待封堵IP,从而提高了执行封堵操作的效率和准确性。
步骤303:向防火墙模块发送多个待封堵IP以及与各待封堵IP对应的安全规则信息,以控制防火墙模块根据安全规则信息对对应的待封堵IP执行封堵操作,并将多个待封堵IP以及与各待封堵IP各自对应的安全规则信息存储到数据库中。
具体的,获取到多个待封堵IP及各待封堵IP各自对应的安全规则信息后,便可将多个待封堵IP分别添加到防火墙模块的对应安全规则信息中,以执行封堵操作。同时将各待封堵IP以及与之对应的安全规则信息(RULENAME)、掩码(MASK)、标识(FLAG)、写入数据库时间(STORAGE_TIME)字段组合,并写入到数据库中。
在图3所示的实施例中,通过将获取到的多个待封堵IP及各待封堵IP各自对应的安全规则信息存放在数据库中,并控制防火墙模块对对应的待封堵IP执行封堵操作,不仅可以自动化的实现批量封堵操作;同时也为解封堵操作提供了强大的数据支撑,进而提高了执行解封堵操作的效率。
示例性的,在确定出防火墙模块对待封堵IP执行封堵操作后,在数据库中将待封堵IP的标识信息设置为第一标识。
这样可以在执行封堵操作后,待封堵IP的状态可同步更新在数据库中,从而为解封堵操作提供数据支持,从而提高执行解封堵操作的效率。
在上述任意一个实施例的基础上,下面,将结合图4,通过具体示例,对本申请实施例中提供的实现封堵与解封堵操作的过程进行详细介绍。
图4为本申请实施例提供的一种执行封堵与解封堵操作的界面示意图。请参见图4,图4示出了登陆跳板机,并在运行脚本程序后的GUI。图4中包括四部分,分别为401、402、403及404,其中,401为GUI的名称以及版本信息;402为当前时刻,防火墙以及数据库中所有的安全规则信息以及每个安全规则信息内部包含的IP数目;403为当前时刻,防火墙以及数据库中的包含的IP总数,以及处于封堵状态、解封堵状态的IP总数;404为功能选择部分,例如:按下1键,对应执行封堵操作;按下2键,对应执行解封堵操作;按下3键,设置安全规则信息;按下6键,对应执行统计功能,即统计防火墙各安全规则信息中的IP数量;统计防火墙所有安全规则信息处于封堵状态的IP总数以及统计防火墙中处于解封堵状态的IP总数。
具体的,选择功能[6],服务器中的程序会自动统计数据库中所有的数据信息,并按照402、403中的列表进行显示。
在图4所示的实施例中,通过GUI界面选择相应的功能便可批量的自动化实现封堵与解封堵的功能,并实时查看数据库中的数据信息,有助于实现人机交互的自动化操作。
图5a、图5b、图5c、图5d和图5e为本申请实施例提供的实现封堵的过程示意图。请参见图5a、图5b、图5c、图5d和图5e。
首先,按照图5a,将获取到的待封堵IP整理为文本格式,然后根据图5a的文本格式上传至跳板机中的block文件夹中,并登陆跳板机,然后执行脚本程序,出现GUI界面。其中,文本格式具体为:待封堵IP Mask,例如:27.202.35.122 32。
其次,按照图5b,选择GUI界面中的功能[1],以及输入安全规则信息,其中,可选择当前已创建的安全规则信息或新建安全规则信息,执行之后程序会自动按行读取block文件夹中的多个待封堵IP,并将对应的待封堵IP、MASK、RULENAME、FLAG、STORAGE_TIME组合成命令,发送到FW,然后自动登录防火墙完成封堵操作。
具体的,当输入安全规则信息为已存在安全规则时,此时防火墙自动执行如下命令:
rule name huwanggongji11
source-address 27.202.35.122 32
source-address 161.35.158.176 32
source-address 183.82.101.232 32
source-address 193.112.47.20 32
当输入安全规则信息为新建的安全规则信息时,可依据当前所有安全规则信息的顺序,确定执行本次封堵操作使用的安全规则信息,并自动将新建的安全规则信息移动到最后一条安全规则信息后。例如:当前安全规则信息按照顺序排列有huwanggongji 1、huwanggongji2,此时新建一个安全规则信息,可确定为执行本次封堵操作使用的安全规则信息为huwanggongji3,并自动移动到huwanggongji2后,则当前的安全规则信息顺序为huwanggongji 1、huwanggongji2、huwanggongji3。此时防火墙自动执行如下命令:
rule name huwanggongji11
souce-zone outside
source-address 27.202.35.122 32
source-address 161.35.158.176 32
source-address 183.82.101.232 32
source-address 193.112.47.20 32
action deny
rule move huwanggongji11 after huwanggongji10
最后,封堵完成后,按照图5d,数据库中的数据会更新。同时,脚本程序会按照图5c自动执行display this命令显示当前安全规则信息中已完成封堵操作的待封堵IP。或者,也可以按照图5e,通过登陆数据库查看,此时完成封堵操作的待封堵IP已被写入数据路,FLAG字段被置0,表示已完成封堵操作。
在图5a、图5b、图5c、图5d和图5e所示的实施例中,在跳板机的block文件夹中上传多个待封堵IP后,可以通过选择GUI界面的功能[1]自动化完成封堵操作,并将处于封堵状态的IP信息同步到数据库中,为之后实现解封堵操作提供了数据支撑。
图6a、图6b和图6c为本申请实施例提供的实现解封堵的过程。请参见图6a、图6b和图6c,其中,首先,按照图6a,将获取的待解封IP整理为文本格式,按照图6a所示的文本格式上传至跳板机中的undo文件夹中,并登陆跳板机,然后执行脚本程序,出现GUI界面。其中,文本格式具体为:待解封IP Mask,例如:27.202.35.122 32。也可在执行封堵操作后继续完成解封堵的操作,无需再次登陆跳板机,然后执行脚本程序,出现GUI界面。
其次,按照图6b,选择GUI界面中的功能[2],执行之后程序会自动按行读取undo文件夹中的待封堵IP和掩码,并在数据库中查询,最终返回查询结果。运维人员可根据查询结果以及程序提示选择是否继续完成解封堵操作。若选择是(Yes,Y),则自动登录防火墙完成解封堵操作;若选择否(No,N),则取消解封堵操作。
具体的,此时防火墙自动执行命令如下,其中huwangongji8是根据查询结果自动生成的,多条待解封IP便生成多条下方执行的代码:
rule name huwangongji8
undo souce-address 175.24.152.252 32
最后,解封堵完成后,数据库中的数据会随之更新。同时,执行解封堵操作的结果,可以登陆防火墙的对应安全规则信息中查看,若不存在此待解封IP,则成功执行解封堵操作。或者按照图6c,登陆数据库查询此待解封IP的FLAG字段是否置1,若置1则表示解封堵操作成功。当然,对于大量的待解封IP,使用图6c的方法可较为快速的查看解封堵操作的结果。
在图6a、图6b和图6c所示的实施例中,在跳板机的undo文件夹中上传多个待解封IP后,可以通过选择GUI界面的功能[2]在数据库中查询每个待解封IP的信息,运维人员可以根据查询结果决定是否继续完成解封堵操作,从而节省了人工逐一到防火墙安全规则信息中查询待解封IP的时间和重复性工作,实现了批量的完成解封堵操作,进而提高了执行解封堵操作的效率和准确性。
图7为本发明实施例提供的一种IP处理装置70的结构示意图,示例的,请参见图7所示,该IP处理装置70可以包括:
获取模块701,用于从第一文件夹中获取多个待解封IP,多个待解封IP是采用文本格式进行编辑后预先存储到第一文件夹中的。
查询模块702,用于从数据库中查询与多个待解封IP中每个待解封IP对应的安全规则信息;
处理模块703,用于向防火墙模块发送每个待解封IP以及与每个待解封IP对应的安全规则信息,以控制防火墙模块根据安全规则信息对对应的待解封IP执行解封堵操作。
在一种可能的实现方式中,处理模块703,具体用于:
针对每个待解封IP,判断待解封IP的标识信息是否为第一标识,第一标识用于表示待解封IP处于封堵状态;
若待解封IP的标识信息为第一标识,则从数据库中查询与待解封IP对应的安全规则信息。
在一种可能的实现方式中,该装置还包括:更新模块704;
更新模块704,用于在确定出防火墙模块对待解封IP执行解封堵操作后,在数据库中将待解封IP的标识信息由第一标识更新为第二标识,第二标识用于表示待解封IP处于解封堵状态。
在一种可能的实现方式中,处理模块703,具体用于:
判断待解封IP是否在第一黑名单内,第一黑名单用于存储不允许执行解封堵操作的IP;
若待解封IP不在第一黑名单内,则执行判断待解封IP的标识信息是否为第一标识的步骤。
在一种可能的实现方式中,该装置还包括:存储模块705;
获取模块701,还用于从第二文件夹中获取多个待封堵IP,多个待封堵IP是采用文本格式进行编辑后预先存储到第二文件夹中的。
获取模块701,还用于获取与多个待封堵IP各自对应的安全规则信息。
处理模块703,还用于向防火墙模块发送多个待封堵IP以及与各待封堵IP对应的安全规则信息,以控制防火墙模块根据安全规则信息对对应的待封堵IP执行封堵操作。
存储模块705,用于将多个待封堵IP以及与各待封堵IP对应的安全规则信息存储到数据库中。
在一种可能的实现方式中,该处理模块703,还用于在确定出防火墙模块对待封堵IP执行封堵操作后,在数据库中将待封堵IP的标识信息设置为第一标识。
在一种可能的实现方式中,获取模块701,具体用于:
针对每个待封堵IP,判断待封堵IP是否在第二黑名单内,第二黑名单用于存储不允许执行封堵操作的IP;
若待封堵IP不在第二黑名单内,则获取与多个待封堵IP各自对应的安全规则信息。
图8为本申请实施例提供的一种服务器80的结构示意图,
示例的,请参见图8所示,该服务器可以包括处理器801和存储器802;其中,
存储器802,用于存储计算机程序。
处理器801,用于读取存储器802存储的计算机程序,并根据存储器802中的计算机程序执行上述任一实施例中的IP处理方法的技术方案。
可选地,存储器802既可以是独立的,也可以跟处理器801集成在一起。当存储器802是独立于处理器801之外的器件时,服务器还可以包括:总线,用于连接存储器802和处理器801。
可选地,本实施例还包括:通信接口,该通信接口可以通过总线与处理器801连接。处理器801可以控制通信接口来实现上述服务器的获取和发送的功能。
本申请实施例所示的服务器,可以执行上述任一实施例中的IP处理方法的技术方案,其实现原理以及有益效果与IP处理方法的实现原理及有益效果类似,可参见IP处理方法的实现原理及有益效果,此处不再进行赘述。
本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质中存储有计算机执行指令,当处理器执行计算机执行指令时,实现上述任一实施例中的IP处理方法的技术方案,其实现原理以及有益效果与IP处理方法的实现原理及有益效果类似,可参见IP处理方法的实现原理及有益效果,此处不再进行赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所展示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元展示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能模块的形式实现的集成的模块,可以存储在一个计算机可读取存储介质中。上述软件功能模块存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(英文:processor)执行本申请各个实施例方法的部分步骤。
应理解的是,上述处理器可以是中央处理单元(英文:Central Processing Unit,简称:CPU),还可以是其他通用处理器、数字信号处理器(英文:Digital SignalProcessor,简称:DSP)、专用集成电路(英文:Application Specific IntegratedCircuit,简称:ASIC)等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合发明所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
存储器可能包含高速RAM存储器,也可能还包括非易失性存储NVM,例如至少一个磁盘存储器,还可以为U盘、移动硬盘、只读存储器、磁盘或光盘等。
总线可以是工业标准体系结构(Industry Standard Architecture,ISA)总线、外部设备互连(Peripheral Component,PCI)总线或扩展工业标准体系结构(ExtendedIndustry Standard Architecture,EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,本申请附图中的总线并不限定仅有一根总线或一种类型的总线。
上述计算机可读存储介质可以是由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。存储介质可以是通用或专用计算机能够存取的任何可用介质。
最后应说明的是:以上各实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述各实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。
Claims (10)
1.一种网络协议IP处理方法,其特征在于,包括:
从第一文件夹中获取多个待解封IP,所述多个待解封IP是采用文本格式进行编辑后预先存储到所述第一文件夹中的;
从数据库中查询与所述多个待解封IP中每个待解封IP对应的安全规则信息;
向防火墙模块发送每个待解封IP以及与所述每个待解封IP对应的安全规则信息,以控制所述防火墙模块根据所述安全规则信息对对应的待解封IP执行解封堵操作。
2.根据权利要求1所述的方法,其特征在于,所述从数据库中查询与所述多个待解封IP中每个待解封IP对应的安全规则信息,包括:
针对每个待解封IP,判断所述待解封IP的标识信息是否为第一标识,所述第一标识用于表示所述待解封IP处于封堵状态;
若所述待解封IP的标识信息为所述第一标识,则从所述数据库中查询与所述待解封IP对应的安全规则信息。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
在确定出所述防火墙模块对所述待解封IP执行解封堵操作后,在所述数据库中将所述待解封IP的标识信息由第一标识更新为第二标识,所述第二标识用于表示所述待解封IP处于解封堵状态。
4.根据权利要求2或3所述的方法,其特征在于,所述判断所述待解封IP的标识信息是否为第一标识之前,所述方法还包括:
判断所述待解封IP是否在第一黑名单内,所述第一黑名单用于存储不允许执行解封堵操作的IP;
若所述待解封IP不在所述第一黑名单内,则执行判断所述待解封IP的标识信息是否为所述第一标识的步骤。
5.根据权利要求1-3任一项所述的方法,其特征在于,所述从数据库中查询与所述多个待解封IP中每个待解封IP对应的安全规则信息之前,所述方法还包括:
从第二文件夹中获取多个待封堵IP,所述多个待封堵IP是采用文本格式进行编辑后预先存储到所述第二文件夹中的;
获取与所述多个待封堵IP各自对应的安全规则信息;
向所述防火墙模块发送所述多个待封堵IP以及与各待封堵IP对应的安全规则信息,以控制所述防火墙模块根据所述安全规则信息对对应的待封堵IP执行封堵操作,并将所述多个待封堵IP以及与各待封堵IP对应的安全规则信息存储到所述数据库中。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
在确定出所述防火墙模块对所述待封堵IP执行封堵操作后,在所述数据库中将所述待封堵IP的标识信息设置为第一标识。
7.根据权利要求5所述的方法,其特征在于,所述获取与所述多个待封堵IP各自对应的安全规则信息,包括:
针对每个待封堵IP,判断所述待封堵IP是否在第二黑名单内,所述第二黑名单用于存储不允许执行封堵操作的IP;
若所述待封堵IP不在所述第二黑名单内,则获取与所述多个待封堵IP各自对应的安全规则信息。
8.一种IP处理装置,包括:
获取模块,用于从第一文件夹中获取多个待解封IP,所述多个待解封IP是采用文本格式进行编辑后预先存储到所述第一文件夹中的;
查询模块,用于从数据库中查询与所述多个待解封IP中每个待解封IP对应的安全规则信息;
处理模块,用于向防火墙模块发送每个待解封IP以及与所述每个待解封IP对应的安全规则信息,以控制所述防火墙模块根据所述安全规则信息对对应的待解封IP执行解封堵操作。
9.一种服务器,包括:处理器,以及与所述处理器通信连接的存储器;
所述存储器,存储计算机执行指令;
所述处理器,执行所述存储器存储的计算机执行指令,以实现如权利要求1-7中任一项所述的IP处理方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如权利要求1至7任一项所述的IP处理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111216401.7A CN113904858A (zh) | 2021-10-19 | 2021-10-19 | Ip处理方法、装置、设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111216401.7A CN113904858A (zh) | 2021-10-19 | 2021-10-19 | Ip处理方法、装置、设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113904858A true CN113904858A (zh) | 2022-01-07 |
Family
ID=79193041
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111216401.7A Pending CN113904858A (zh) | 2021-10-19 | 2021-10-19 | Ip处理方法、装置、设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113904858A (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107800671A (zh) * | 2016-09-05 | 2018-03-13 | 北京金山云网络技术有限公司 | 一种防火墙规则的生成方法及装置 |
| CN109413043A (zh) * | 2018-09-25 | 2019-03-01 | 聚好看科技股份有限公司 | 实现数据库动态配置的方法及装置、电子设备、存储介质 |
| CN110326268A (zh) * | 2017-02-22 | 2019-10-11 | 霍尼韦尔国际公司 | 用于保护现场设备的透明防火墙 |
| CN110868402A (zh) * | 2019-10-29 | 2020-03-06 | 中盈优创资讯科技有限公司 | Ip地址封堵、解封堵方法及装置 |
| CN111095862A (zh) * | 2017-09-12 | 2020-05-01 | 新纳聚克斯集团 | 基于动态ip地址修改防火墙的方法、系统和介质 |
| CN111355740A (zh) * | 2020-03-09 | 2020-06-30 | 云南电网有限责任公司昆明供电局 | 一种快速便捷检测防火墙配置的方法 |
| CN111600895A (zh) * | 2020-05-20 | 2020-08-28 | 北京北斗弘鹏科技有限公司 | 一种网络安全防护方法、装置、储存介质及电子设备 |
| CN112351014A (zh) * | 2020-10-28 | 2021-02-09 | 武汉思普崚技术有限公司 | 一种安全域间防火墙安全策略合规基线管理方法及装置 |
-
2021
- 2021-10-19 CN CN202111216401.7A patent/CN113904858A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107800671A (zh) * | 2016-09-05 | 2018-03-13 | 北京金山云网络技术有限公司 | 一种防火墙规则的生成方法及装置 |
| CN110326268A (zh) * | 2017-02-22 | 2019-10-11 | 霍尼韦尔国际公司 | 用于保护现场设备的透明防火墙 |
| CN111095862A (zh) * | 2017-09-12 | 2020-05-01 | 新纳聚克斯集团 | 基于动态ip地址修改防火墙的方法、系统和介质 |
| CN109413043A (zh) * | 2018-09-25 | 2019-03-01 | 聚好看科技股份有限公司 | 实现数据库动态配置的方法及装置、电子设备、存储介质 |
| CN110868402A (zh) * | 2019-10-29 | 2020-03-06 | 中盈优创资讯科技有限公司 | Ip地址封堵、解封堵方法及装置 |
| CN111355740A (zh) * | 2020-03-09 | 2020-06-30 | 云南电网有限责任公司昆明供电局 | 一种快速便捷检测防火墙配置的方法 |
| CN111600895A (zh) * | 2020-05-20 | 2020-08-28 | 北京北斗弘鹏科技有限公司 | 一种网络安全防护方法、装置、储存介质及电子设备 |
| CN112351014A (zh) * | 2020-10-28 | 2021-02-09 | 武汉思普崚技术有限公司 | 一种安全域间防火墙安全策略合规基线管理方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10929538B2 (en) | Network security protection method and apparatus | |
| EP3100192B1 (en) | Automated penetration testing device, method and system | |
| CN103607385B (zh) | 基于浏览器进行安全检测的方法和装置 | |
| US9608973B2 (en) | Security management system including multiple relay servers and security management method | |
| CN106899604A (zh) | 数据包过滤规则的处理方法及装置 | |
| CN114363036A (zh) | 一种网络攻击路径获取方法、装置及电子设备 | |
| CN114139178A (zh) | 基于数据链路的数据安全监测方法、装置和计算机设备 | |
| CN111147425A (zh) | 数据访问处理方法、装置、设备以及存储介质 | |
| CN105718171A (zh) | 一种数据处理方法及终端 | |
| RU2739864C1 (ru) | Система и способ корреляции событий для выявления инцидента информационной безопасности | |
| CN110569987B (zh) | 自动化运维方法、运维设备、存储介质及装置 | |
| CN113965401A (zh) | 一种报文转发方法、装置及电子设备 | |
| CN113904858A (zh) | Ip处理方法、装置、设备和存储介质 | |
| CN109740328B (zh) | 一种权限鉴定方法、装置、计算机设备和存储介质 | |
| CN112613075A (zh) | 权限的确定方法及装置、存储介质及电子装置 | |
| CN114244555B (zh) | 一种安全策略的调整方法 | |
| CN105516093A (zh) | 一种防蹭网的方法及路由器 | |
| CN103428029B (zh) | 搜索鉴权处理方法及装置 | |
| CN111585951A (zh) | 一种sdn网络主机位置攻击检测方法、装置及控制器 | |
| CN114095261B (zh) | 一种攻击资产标记方法、装置、介质和设备 | |
| CN111865693B (zh) | 网络终端联网参数自动校正方法、装置、设备及存储介质 | |
| CN103338117A (zh) | 一种虚拟交换机的管理方法、设备及系统 | |
| CN118233217B (zh) | 针对内外网络的多级特征防火墙系统及介质 | |
| CN115225297B (zh) | 一种阻断网络入侵的方法及装置 | |
| CN110022538B (zh) | 一种识别流量类型的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20220107 |