CN114172718A - 安全策略配置方法、装置、电子设备及存储介质 - Google Patents
安全策略配置方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN114172718A CN114172718A CN202111467457.XA CN202111467457A CN114172718A CN 114172718 A CN114172718 A CN 114172718A CN 202111467457 A CN202111467457 A CN 202111467457A CN 114172718 A CN114172718 A CN 114172718A
- Authority
- CN
- China
- Prior art keywords
- information
- virtual
- virtual machine
- flow
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 58
- 238000004891 communication Methods 0.000 claims abstract description 88
- 230000002159 abnormal effect Effects 0.000 claims description 15
- 238000004590 computer program Methods 0.000 claims description 8
- 230000002829 reductive effect Effects 0.000 description 20
- 230000000694 effects Effects 0.000 description 11
- 230000006870 function Effects 0.000 description 9
- 230000008569 process Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 6
- 230000009471 action Effects 0.000 description 5
- 238000007726 management method Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 230000002093 peripheral effect Effects 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000002411 adverse Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000032683 aging Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000000670 limiting effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供一种安全策略配置方法、装置、电子设备及存储介质,涉及网络安全技术领域。该方法包括:基于虚拟防火墙中的流量信息,确定虚拟防火墙对应的流量通信拓扑;基于流量通信拓扑,获取虚拟防火墙与虚拟机之间的流通信息表,流通信息表包括多个流量信息在虚拟防火墙与虚拟机之间流通时的流通信息;基于流通信息表,对多个安全策略进行配置,以将每个安全策略发送到对应的虚拟防火墙中。本申请通过对虚拟防火墙的流量通信拓扑进行绘制,在流量通信拓扑的基础上获取虚拟防火墙与虚拟机之间的流通信息表,从而能够根据流通信息表对多个安全策略进行配置,能够将每个安全策略发送到对应的虚拟防火墙中,有效提高安全策略的配置效率和执行效率。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种安全策略配置方法、装置、电子设备及存储介质。
背景技术
在虚拟化安全产品中,主流的实现方式分为两种:一种是通过在虚拟机中部署agent(能自主活动的软件或者硬件实体),agent和安全管理平台进行通信,获取安全策略、配置并上传虚拟机网络相关的信息;另一种是通过在被保护的虚拟机所在的硬件服务器中安装引流驱动,将当前host(物理服务器)上所有的流量引导至VFW(虚拟化安全防火墙)中,VFW通过与安全管理平台进行通信,获取安全策略、配置并上传虚拟机网络相关的信息。
现有技术中,在使用VFW对虚拟机进行管理时,集合了所有虚拟机相关的全部安全策略,而且是将所有的策略下发到所有VFW中,随着虚拟机的数量增多,VFW的数量也会相应增加,就会导致每个VFW会存储和自己所保护虚拟机无关的大量安全策略,占用VFW中大量的内存。由于策略较多,导致下发速度缓慢,在网络的影响下,下发失败的可能性增大,且策略是按照顺序进行匹配,会导致VFW配置策略时执行效率降低,降低流量的转发效率。
发明内容
有鉴于此,本申请实施例的目的在于提供一种安全策略配置方法、装置、电子设备及存储介质,以改善现有技术中存在的安全策略配置效率较低的问题。
为了解决上述问题,第一方面,本申请提供了一种安全策略配置方法,包括:
基于虚拟防火墙中的流量信息,确定所述虚拟防火墙对应的流量通信拓扑;
基于所述流量通信拓扑,获取所述虚拟防火墙与虚拟机之间的流通信息表,所述流通信息表包括多个所述流量信息在所述虚拟防火墙与所述虚拟机之间流通时的流通信息;
基于所述流通信息表,对多个安全策略进行配置,以将每个所述安全策略发送到对应的所述虚拟防火墙中。
在上述实现方式中,在对安全策略进行配置时,可以先根据虚拟防火墙中产生的流量信息确定虚拟防火墙对应的网络拓扑结构的流量通信拓扑。在流量通信拓扑的基础上,获取能够表示一个或多个虚拟防火墙与一个或多个虚拟机之间对应关系的流通信息表,流通信息表中包括多个流量信息在一个或多个虚拟防火墙与一个或多个虚拟机之间进行流通时的流通信息,能够对虚拟防火墙与虚拟机之间的对应的保护关系进行获取。通过流通信息表对多个安全策略进行对应地配置,以将每个安全策略配置到对应的虚拟防火墙中,不需要将所有安全策略都发送到所有虚拟防火墙中,提高了安全策略的配置效率和执行效率,还能够减少虚拟防火墙中保存的大量与保护的虚拟机无关的无效安全策略的数量,有效地减轻了虚拟防火墙的内存压力,从而提高虚拟防火墙中流量转发的效率和虚拟环境的安全性。
可选地,所述基于虚拟防火墙中的流量信息,确定所述虚拟防火墙对应的流量通信拓扑,包括:
获取所述虚拟防火墙中产生的流量信息;
对所述流量信息进行分析,得到报文数据,其中,所述报文数据中包括所述流量信息的源网络地址信息、目标网络地址信息、源端口信息、目标端口信息和流量大小信息中的至少一种;
基于所述报文数据,绘制对应的所述流量通信拓扑。
在上述实现方式中,在确定虚拟防火墙对应的网络拓扑结构的流量通信拓扑时,可以采集虚拟防火墙中产生的真实的流量信息,基于网络数据包交换技术对流量信息进行分析读取,得到包括流量信息的源网络地址信息、目标网络地址信息、源端口信息、目标端口信息和流量大小信息中的至少一种数据的报文数据,能够在报文数据的基础上绘制虚拟防火墙对应的流量通信拓扑,以对虚拟防火墙的网络结构的布局进行了解,能够在流量通信拓扑的基础上对虚拟防火墙中的流量信息的产生和接收的时间进行更新。根据虚拟防火墙中的网络通信结构生成具体的流量通信拓扑,可以对多个虚拟防火墙的流量通信拓扑同时进行获取,提高了流量通信拓扑的针对性和有效性。
可选地,所述基于所述流量通信拓扑,获取所述虚拟防火墙与虚拟机之间的流通信息表,包括:
基于所述流量通信拓扑,获取所述虚拟防火墙对应的多个所述虚拟机之间的多个通信关系;
基于所述通信关系,获取所述流量信息在对应的所述虚拟防火墙与虚拟机之间流通时的所述流通信息,多个所述流通信息形成所述流通信息表。
在上述实现方式中,在流通信息表的基础上,可以得到虚拟防火墙采集到的多个虚拟机之间的通信关系,通信关系可以为同一虚拟防火墙保护范围内的多个虚拟机之间的同区通信关系,或者不同虚拟防火墙保护的多个虚拟机之间的跨区通信关系等。根据多个通信关系,获取产生的多个流量信息在虚拟防火墙与虚拟机之间进行流通时的流通信息,由多个流通信息组成流通信息表,流通信息表中包括流量信息流通时的流向关系、虚拟防火墙与虚拟机之间的对应的保护关系,或虚拟机与虚拟防火墙之间的从属关系等多种对应关系,有效地对多个虚拟防火墙与多个虚拟机之间的对应关系进行获取和集合。
可选地,所述基于所述流通信息表,对多个安全策略进行配置,以将每个所述安全策略发送到对应的所述虚拟防火墙中,包括:
确定需要进行配置的多个所述安全策略;
基于所述流通信息表,对多个所述安全策略进行分类,得到策略分类信息;
基于所述策略分类信息将每个所述安全策略发送到对应的所述虚拟防火墙中。
在上述实现方式中,由于进行安全管理时,集合了所有虚拟机相关的全部安全策略,因此需要对多个安全策略进行对应地配置。在进行配置时,通过流通信息表,对多个需要进行配置的安全策略进行分类,以根据虚拟防火墙与虚拟机之间的多种对应关系,得到分类后的策略分类信息,策略分类信息可以包括每个安全策略的下发流程,通过策略分类信息对每个安全策略进行对应地下发,能够将作用于不同虚拟机的安全策略分别推送到保护该虚拟机的虚拟防火墙中,以根据安全策略对虚拟机进行对应地安全保护。对每个安全策略进行对应地配置,实现对安全策略的智能推送,提高了策略配置的效率、准确性和针对性,不需要将所有安全策略都发送到所有虚拟防火墙中对多个虚拟机进行保护,减少虚拟防火墙中保存的大量与保护的虚拟机无关的无效安全策略的数量,有效地减轻了虚拟防火墙的内存压力。
可选地,所述方法还包括:
在所述流通信息表中的任意一条流通信息的时间信息超过预设阈值时,基于所述流通信息匹配对应的所述虚拟机,得到匹配结果;
基于所述匹配结果对所述安全策略的策略状态进行调整。
在上述实现方式中,由于流通信息存在一定的时间限定,在网络环境变动与流通时间较长的情况下,虚拟机可能会处于异常状态。为了更好地针对虚拟机的活动状态进行策略配置,可以对流通信息表中的多条流通信息的时间信息进行获取,在任意一条流通信息的时间信息超过预设阈值时,通过对该流通信息进行匹配,能够得到流通信息与虚拟机之间的匹配结果,从而在匹配结果的基础上对虚拟机的活动状态进行确定,对安全策略的策略状态进行对应地调整,能够对安全策略的配置流程进行优化,提高了策略匹配的效率和精度。
可选地,所述基于所述匹配结果对所述安全策略的策略状态进行调整,包括:
当所述匹配结果为所述流通信息匹配到对应的所述虚拟机时,则判定所述虚拟机状态正常,保持所述虚拟机对应的所述安全策略的策略状态;
当所述匹配结果为所述流通信息未匹配到对应的所述虚拟机时,则判定所述虚拟机状态异常,将所述安全策略的所述策略状态设置为无法配置。
在上述实现方式中,可以根据不同的匹配结果对虚拟机的不同活动状态进行判定。在匹配结果为流通信息匹配到对应的虚拟机时,则虚拟机状态正常,继续保持虚拟机对应的安全策略的策略状态,在匹配结果为流通信息未匹配到对应的虚拟机时,则虚拟机状态异常,需要对该虚拟机对应的所有安全策略的策略状态进行调整,调整为无法配置,以使后续的流量信息不会继续匹配到该异常的虚拟机中,能够对安全策略进行准确、实时地配置,减少异常虚拟机对策略配置带来的不利影响。
第二方面,本申请实施例还提供了一种安全策略配置装置,所述装置包括:
确定模块,用于基于虚拟防火墙中的流量信息,确定所述虚拟防火墙对应的流量通信拓扑;
获取模块,用于基于所述流量通信拓扑,获取所述虚拟防火墙与虚拟机之间的流通信息表,所述流通信息表包括多个所述流量信息在所述虚拟防火墙与所述虚拟机之间流通时的流通信息;
配置模块,用于基于所述流通信息表,对多个安全策略进行配置,以将每个所述安全策略发送到对应的所述虚拟防火墙中。
在上述实现方式中,通过确定模块根据每个虚拟防火墙中产生的流量信息确定每个虚拟防火墙对应的网络拓扑结构的流量通信拓扑;通过获取模块获取能够表示一个或多个虚拟防火墙与一个或多个虚拟机之间对应关系的流通信息表;通过配置模块在流通信息表的基础上对多个安全策略进行对应地配置,以将每个安全策略配置到对应的虚拟防火墙中,不需要将所有安全策略都发送到所有虚拟防火墙中,提高了安全策略的配置效率和执行效率,还能够减少虚拟防火墙中保存的大量与保护的虚拟机无关的无效安全策略的数量,有效地减轻了虚拟防火墙的内存压力,从而提高虚拟防火墙中流量转发的效率和虚拟环境的安全性。
可选地,所述装置还包括:
匹配模块,用于在所述流通信息表中的任意一条流通信息的时间信息超过预设阈值时,基于所述流通信息匹配对应的所述虚拟机,得到匹配结果;
调整模块,用于基于所述匹配结果对所述安全策略的策略状态进行调整。
在上述实现方式中,通过匹配模块在流通信息的时间信息超过阈值时,对流通信息对应的虚拟机进行匹配,得到匹配结果,从而在匹配结果的基础上对虚拟机的活动状态进行确定;通过调整模块在匹配结果的基础上,根据虚拟机的活动状态对安全策略的策略状态进行对应地修改,能够对安全策略的配置流程进行优化,提高了策略匹配的效率和精度。
第三方面,本申请实还提供了一种电子设备,所述电子设备包括存储器和处理器,所述存储器中存储有程序指令,所述处理器读取并运行所述程序指令时,执行上述安全策略配置方法中任一实现方式中的步骤。
第四方面,本申请还提供了一种计算机可读取存储介质,所述可读取存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行上述安全策略配置方法中任一实现方式中的步骤。
综上所述,本申请提供了一种安全策略配置方法、装置、电子设备及存储介质,能够根据虚拟防火墙中的流量信息绘制对应的网络的流量通信拓扑,根据流量通信拓扑获取虚拟防火墙与虚拟机之间的对应关系的流通信息表,基于流通信息表对安全策略进行分类,以对安全策略进行对应地配置。实现对安全策略的针对性配置,减少虚拟防火墙中存储的无效安全策略的数量,从而减轻虚拟防火墙的内存压力,有效地提高了安全策略的配置效率和执行效率,提高了虚拟网络环境的安全性。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种安全策略配置方法的流程示意图;
图2为本申请实施例提供的一种步骤S1的详细流程示意图;
图3为本申请实施例提供的一种步骤S2的详细流程示意图;
图4为本申请实施例提供的一种步骤S3的详细流程示意图;
图5为本申请实施例提供的另一种安全策略配置方法的流程示意图;
图6为本申请实施例提供的一种安全策略配置装置的模块结构示意图。
图标:600-安全策略配置装置;610-确定模块;620-获取模块;630-配置模块。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅仅是本申请实施例的一部分实施例,而不是全部的实施例。基于本申请实施例的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请实施例保护的范围。
在使用VFW(虚拟化安全防火墙)进行虚拟安全化处理时,虚拟机通常会分配相对固定的地址或者在固定的地址段中进行动态分配,将虚拟机的静态IP(InternetProtocol,网络之间互连的协议)或者从虚拟化云平台同步过来的虚拟机IP配置为地址对象,并且在访问控制中添加该对象来描述两个虚拟机或者虚拟机与其他网络地址之间的通信规则。VFW部署在经过虚拟化的物理服务器上,通过对VFW进行监控、安全策略管理、对采集VFW得到的信息进行管理,能够将安全策略下发到VFW上,使其具有一定的安全检测防御能力,对其保护的虚拟机进行安全保护。
在安全策略的配置中,现有技术中是管理员在管理平台上根据要保护的虚拟机进行添加,主要是根据受保护的虚拟机的IP地址、端口、协议等参数进行配置,并且按照优先级顺序依次进行添加。在对安全策略进行配置时,会将所有安全策略下发到每一个VFW上,当流量经过VFW时,VFW会根据下发的安全策略按照优先级进行依次匹配,并执行匹配成功后的策略中的执行动作,通常为放行、拒绝和无动作。
随着虚拟机的数量增多,VFW的数量也会相应增加,就会导致每个VFW会存储和自己所保护虚拟机无关的大量安全策略,占用VFW中大量的内存。由于策略较多,导致下发速度缓慢,在网络的影响下,下发失败的可能性增大,且策略是按照顺序进行匹配,会导致VFW配置策略时执行效率降低,降低流量的转发效率。
因此,为了解决上述问题,本申请实施例提供了一种安全策略配置方法,应用于服务器,服务器可以为个人电脑(Personal Computer,PC)、平板电脑、智能手机、个人数字助理(Personal Digital Assistant,PDA)等具有逻辑计算功能的电子设备,能够对安全策略进行对应地配置。
可选地,电子设备中可以包括存储器、存储控制器、处理器、外设接口、输入输出单元等。电子设备的组件和结构可以根据实际情况进行设置。
上述的存储器、存储控制器、处理器、外设接口、输入输出单元各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。上述的处理器用于执行存储器中存储的可执行模块。
其中,存储器可以是,但不限于,随机存取存储器(Random Access Memory,简称RAM),只读存储器(Read Only Memory,简称ROM),可编程只读存储器(Programmable Read-Only Memory,简称PROM),可擦除只读存储器(Erasable Programmable Read-OnlyMemory,简称EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-OnlyMemory,简称EEPROM)等。其中,存储器用于存储程序,处理器在接收到执行指令后,执行所述程序,本申请实施例任一实施例揭示的过程定义的电子设备所执行的方法可以应用于处理器中,或者由处理器实现。
上述的处理器可能是一种集成电路芯片,具有信号的处理能力。上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(digital signal processor,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
上述的外设接口将各种输入/输出装置耦合至处理器以及存储器。在一些实施例中,外设接口,处理器以及存储控制器可以在单个芯片中实现。在其他一些实例中,他们可以分别由独立的芯片实现。
本实施例中的电子设备可以用于执行本申请实施例提供的各个安全策略配置方法中的各个步骤。下面通过几个实施例详细描述安全策略配置方法的实现过程。
请参阅图1,图1为本申请实施例提供的一种安全策略配置方法的流程示意图,该方法可以包括以下步骤:
步骤S1,基于虚拟防火墙中的流量信息,确定所述虚拟防火墙对应的流量通信拓扑。
其中,虚拟防火墙为VFW,为在虚拟机环境中部署的具有安全功能虚拟机,可以将当前主机环境下所有网络流量引流至VFW中进行安全检测;流量通信拓扑为虚拟防火墙中流量信息的网络拓扑结构,能够表示构成网络的成员间特定的物理的即真实的、或者逻辑的即虚拟的排列方式。在将安全策略配置到对应的虚拟防火墙时,可以先根据虚拟防火墙中产生的流量信息确定虚拟防火墙对应的网络拓扑结构的流量通信拓扑。可选地,流量通信拓扑中可以包括一个虚拟防火墙的网络拓扑结构,也可以包括多个虚拟防火墙的网络拓扑结构。
步骤S2,基于所述流量通信拓扑,获取所述虚拟防火墙与虚拟机之间的流通信息表。
其中,流通信息表包括多个流量信息在虚拟防火墙与虚拟机之间流通时的流通信息。虚拟机(VM,Virtual Machine)为通过虚拟化技术将物理服务器进行软件隔离,从而达到最大限度的利用服务器的计算资源,通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。虚拟防火墙与虚拟机可以部署在物理服务器(host)中,在确定的流量通信拓扑的基础上,获取能够表示一个或多个虚拟防火墙与一个或多个虚拟机之间对应关系的流通信息表,流通信息表中包括多个流量信息在一个或多个虚拟防火墙与一个或多个虚拟机之间进行流通时的流通信息,能够对虚拟防火墙与虚拟机之间的对应的保护关系进行获取。
步骤S3,基于所述流通信息表,对多个安全策略进行配置,以将每个所述安全策略发送到对应的所述虚拟防火墙中。
其中,通过流通信息表对多个安全策略进行对应地配置,以将每个安全策略配置到对应的虚拟防火墙中,由虚拟防火墙对配置得到的安全策略向对应的虚拟机进行下发,以对虚拟机进行安全保护。能够对每个安全策略进行对应配置,不需要将所有安全策略都发送到所有虚拟防火墙中,减少虚拟防火墙中保存的大量与保护的虚拟机无关的无效安全策略的数量,从而在虚拟防火墙在对安全策略进行下发和匹配时,提高了安全策略的配置效率和执行效率。
值得说明的是,多个安全策略是指在某个安全区域内(一个安全区域,通常是指属于某个组织的一系列处理和通信资源),用于所有与安全相关活动的一套规则,为针对虚拟机设置的安全策略,例如访问控制、病毒扫描、入侵检测等多种方面的安全策略。
在图1所示的实施例中,能够提高了安全策略的配置效率和执行效率,减轻了虚拟防火墙的内存压力,从而提高虚拟防火墙中流量转发的效率和虚拟环境下的安全水平。
可选地,请参阅图2,图2为本申请实施例提供的一种步骤S1的详细流程示意图,步骤S1还可以包括步骤S11-S13。
步骤S11,获取所述虚拟防火墙中产生的流量信息。
其中,在确定虚拟防火墙对应的网络拓扑结构的流量通信拓扑时,可以采集虚拟防火墙中产生的真实的流量信息,流量信息为访问或转发至虚拟机时的数据流。
步骤S12,对所述流量信息进行分析,得到报文数据。
其中,报文数据中可以包括流量信息的源网络地址信息、目标网络地址信息、源端口信息、目标端口信息和流量大小信息中的至少一种。通过对流量信息进行解析,能够得到对应的报文数据。示例地,源网络地址信息为产生流量信息的网络地址,目标网络地址为流量信息到达的目标网络的地址,源端口信息包括产生流量地址的源通信端口号,目标端口信息包括流量信息到达的目标网络的地址的通信端口号,流量大小信息表示流量的数据流大小。
可选地,可以使用NetFlow(一种网络监测功能)的网络数据包交换技术对流量信息进行分析,可以对多个虚拟防火墙的流量通信拓扑同时进行获取,提高了流量通信拓扑的针对性和有效性。
步骤S13,基于所述报文数据,绘制对应的所述流量通信拓扑。
其中,在报文数据的基础上进行解析,在源网络地址信息、目标网络地址信息、源端口信息、目标端口信息和流量大小信息等数据的基础上,能够结合虚拟防火墙中网络的第三层协议类型,报文数据的个数、大小、接收时间和发送报文数据的IP地址,网络中的TOS(terms of service,服务类型)字节,网络设备输入或输出的逻辑网络端口等多种参数,解析得到虚拟防火墙中对应的数据流量情况,在数据流量情况的基础上绘流量通信拓扑,得到虚拟防火墙的网络结构。
可选地,在确定虚拟防火墙对应的流量通信拓扑之后,还可以将流量通信拓扑作为索引,对后续同一条通路产生的流量信息进行存储,对存储的流量信息的接收时间进行更新,以对流量通信拓扑进行实时地更新。
在图2所示的实施例中,根据虚拟防火墙中的网络通信结构生成具体的流量通信拓扑,可以对多个虚拟防火墙的流量通信拓扑同时进行获取,提高了流量通信拓扑的针对性和有效性。
可选地,请参阅图3,图3为本申请实施例提供的一种步骤S2的详细流程示意图,步骤S2还可以包括步骤S21-S22。
步骤S21,基于所述流量通信拓扑,获取所述虚拟防火墙对应的多个所述虚拟机之间的多个通信关系。
其中,在流通信息表的基础上,可以得到虚拟防火墙采集到的多个虚拟机之间的通信关系。示例地,通信关系可以同一虚拟防火墙保护范围内的多个虚拟机之间的同区通信关系,例如第一虚拟防火墙能够保护第一虚拟机和第二虚拟机,则第一虚拟防火墙中第一虚拟机与第二虚拟机之间的引流驱动的数据传输为同区通信关系。通信关系还可以为不同虚拟防火墙保护的多个虚拟机之间跨区通信关系,例如设置在第一服务器的第一虚拟防火墙能够保护第一虚拟机,设置在第二服务器的第二虚拟防火墙能够保护第二虚拟机,则第一虚拟防火墙中的第一虚拟机与第二虚拟防火墙中的第二虚拟机之间的引流驱动的数据传输为跨区通信关系,通过两个服务器之间的通信连接完成数据交互。
步骤S22,基于所述通信关系,获取所述流量信息在对应的所述虚拟防火墙与虚拟机之间流通时的所述流通信息,多个所述流通信息形成所述流通信息表。
其中,根据多个通信关系,获取产生的多个流量信息在虚拟防火墙与虚拟机之间进行流通时的流通信息,由多个流通信息组成流通信息表,流通信息表中包括流量信息流通时的流向关系、虚拟防火墙与虚拟机之间的对应的保护关系,或虚拟机与虚拟防火墙之间的从属关系等多种对应关系。基于流通信息表能够对多个安全策略进行梳理,便于后期维护和更新。
示例地,流通信息表可以表示为:
VFW1:172.19.1.1
第一条流量信息:
192.168.1.1(VM1):2233->192.168.1.2(VM2):80proto:tcppacket:10recv_time:Date:Fri,08Nov200209:42:22+0800;
第二条流量信息:
192.168.1.20(VM3):2244->192.168.1.2(VM2):80proto:udppacket:20recv_time:Date:Fri,08Nov200210:40:40+0800;
VFW2:172.19.1.2
第一条流量信息:
192.168.1.20(VM3):2244->192.168.1.2(VM2):80proto:udppacket:20recv_time:Date:Fri,08Nov200210:40:40+0800。
其中,VFW1为设置在第一服务器的第一虚拟防火墙,VFW2为设置在第二服务器的第二虚拟防火墙,VM1、VM2、VM3分别为对应的第一虚拟机、第二虚拟机和第三虚拟机。
值得说明的是,在上述流通信息表中,针对VFW1中的第一条流量信息,VM1和VM2只出现VFW1的流通信息表中,虚拟防火墙与虚拟机之间的对应关系即为VM1和VM2都存在于VFW所保护的网络环境中;针对上述VFW1中的第二条流量信息和VFW2的第一条流量信息,流通信息表中都有关于VM3->VM2的同一条流通信息,虚拟防火墙与虚拟机之间的对应关系即为VM3和VM2是存在于VFW1和VFW2保护的网络中。
在图3所示的实施例中,能够基于流通通信拓扑获取虚拟防火墙与虚拟机的流通信息表,以对虚拟防火墙与虚拟机之间的对应关系进行获取。
可选地,请参阅图4,图4为本申请实施例提供的一种步骤S3的详细流程示意图,步骤S3还可以包括步骤S31-S33。
步骤S31,确定需要进行配置的多个所述安全策略。
其中,由于进行安全管理时,对所有虚拟机相关的全部安全策略进行获取,确定出需要进行配置的多个安全策略。
步骤S32,基于所述流通信息表,对多个所述安全策略进行分类,得到策略分类信息。
其中,在进行配置时,通过流通信息表,对多个需要进行配置的安全策略进行分类,以根据虚拟防火墙与虚拟机之间的多种对应关系,得到分类后的策略分类信息,策略分类信息可以包括每个安全策略的下发流程。
例如,在图3示出的流通信息表中,在VM1和VM2都存在于VFW所保护的网络环境中时,则策略分类信息中包括将关于VM1和VM2的安全策略分类至VFW1的下发流程;在VM3和VM2是存在于VFW1和VFW2保护的网络中时,则策略分类信息中包括当同时出现VM3和VM2间的相互访问时,把针对两个虚拟机的安全策略分类至VFW1和VFW2的下发流程等。
步骤S33,基于所述策略分类信息将每个所述安全策略发送到对应的所述虚拟防火墙中。
其中,通过策略分类信息对每个安全策略进行对应地下发,实现对每个安全策略的单独推送,减小安全策略推送时的时间的不稳定性,提高了策略配置的成功率,减小配置流程占用的网络带宽,便于对策略配置流程进行排查。能够将作用于不同虚拟机的安全策略分别推送到保护该虚拟机的虚拟防火墙中,以根据安全策略对虚拟机进行对应地安全保护。
示例地,策略分类信息中包括将关于VM1和VM2的安全策略分类至VFW1的下发流程时,则在策略配置时,将关于VM1和VM2的安全策略全部发送到VFW1中;策略分类信息中包括当同时出现VM3和VM2间的相互访问时,把针对两个虚拟机的安全策略分类至VFW1和VFW2的下发流程时,则在策略配置时,将关于VM3和VM2的安全策略全部发送到VFW1和VFW2中。
在图4所示的实施例中,对每个安全策略进行对应地配置,实现对安全策略的智能推送,减小策略配置的时间,提高了策略配置的效率和、成功率、准确性和针对性,不需要将所有安全策略都发送到所有虚拟防火墙中对多个虚拟机进行保护,减少虚拟防火墙中保存的大量与保护的虚拟机无关的无效安全策略的数量,有效地减轻了虚拟防火墙的内存压力。
可选地,请参阅图5,图5为本申请实施例提供的另一种安全策略配置方法的流程示意图,该方法还可以包括步骤S4-S5。
步骤S4,在所述流通信息表中的任意一条流通信息的时间信息超过预设阈值时,基于所述流通信息匹配对应的所述虚拟机,得到匹配结果。
其中,由于流通信息存在一定的时间限定,在网络环境变动与流通时间较长的情况下,虚拟机可能会处于异常状态,例如虚拟机被删除或者虚拟机IP地址发送变化等异常状态,因此可以基于NetFlow功能对流通信息表中的多条流通信息进行监测,在监测到流通信息表中的任意一条流通信息的时间信息超过预设阈值时,能够得到流通信息与虚拟机之间的匹配结果,从而在匹配结果的基础上对虚拟机的活动状态进行确定,能够对虚拟机的获得状态进行快速、及时地了解。
可选地,流通信息的时间信息为记录得到的流通信息的接收时间,预设阈值可以为根据安全策略和虚拟机的实际情况设置的安全策略的最长老化时间,例如24个小时等,当发现某一条流通信息的接收时间已经超过24小时,即可认为当前的这条流通信息对应的一台或多台虚拟机的活动状态可能已经改变,通过对虚拟防火墙中的流通信息与对应的虚拟机进行遍历匹配,能够得到对应的匹配结果。
步骤S5,基于所述匹配结果对所述安全策略的策略状态进行调整。
其中,在匹配结果的基础上对安全策略的策略状态进行对应地调整,可以减少无效安全策略长期存储在虚拟防火墙中的情况,提升虚拟防火墙的转发性能。还能够对安全策略的配置流程进行优化,提高了策略匹配的效率和精度。
值得说明的是,当匹配结果为流通信息匹配到对应的虚拟机时,则判定虚拟机状态正常,保持虚拟机对应的安全策略的策略状态;当匹配结果为流通信息未匹配到对应的虚拟机时,则判定虚拟机状态异常,将安全策略的策略状态设置为无法配置。
其中,在虚拟机状态异常时,可以对该虚拟机对应的所有安全策略的策略状态进行调整,将涉及状态异常的虚拟机的所有安全策略的状态修改为无法配置的状态,以使后续的流量信息不会继续匹配到该异常的虚拟机中。
值得说明的是,在检测到异常的虚拟机再次有流量信息出现在被保护的网络环境中时,或者管理员重新下发安全策略时,可以将安全策略的策略状态修改为正常配置状态,以进行正常地配置。
在图5所示的实施例中,能够对安全策略进行准确、实时地配置,减少异常虚拟机对策略配置带来的不利影响。
请参阅图6,图6为本申请实施例提供的一种安全策略配置装置的模块结构示意图,安全策略配置装置600包括:
确定模块610,用于基于虚拟防火墙中的流量信息,确定所述虚拟防火墙对应的流量通信拓扑;
获取模块620,用于基于所述流量通信拓扑,获取所述虚拟防火墙与虚拟机之间的流通信息表,所述流通信息表包括多个所述流量信息在所述虚拟防火墙与所述虚拟机之间流通时的流通信息;
配置模块630,用于基于所述流通信息表,对多个安全策略进行配置,以将每个所述安全策略发送到对应的所述虚拟防火墙中。
在一可选的实施方式中,确定模块610中还可以包括产生子模块,分析子模块和绘制子模块;
产生子模块,用于获取所述虚拟防火墙中产生的流量信息;
分析子模块,用于对所述流量信息进行分析,得到报文数据,其中,所述报文数据中包括所述流量信息的源网络地址信息、目标网络地址信息、源端口信息、目标端口信息和流量大小信息中的至少一种;
绘制子模块,用于基于所述报文数据,绘制对应的所述流量通信拓扑。
在一可选的实施方式中,获取模块620还可以包括通信子模块和流通子模块;
通信子模块,用于基于所述流量通信拓扑,获取所述虚拟防火墙对应的多个所述虚拟机之间的多个通信关系;
流通子模块,用于基于所述通信关系,获取所述流量信息在对应的所述虚拟防火墙与虚拟机之间流通时的所述流通信息,多个所述流通信息形成所述流通信息表。
在一可选的实施方式中,配置模块630中还可以包括策略确定子模块、分类子模块和发送子模块;
策略确定子模块,用于确定需要进行配置的多个所述安全策略;
分类子模块,用于基于所述流通信息表,对多个所述安全策略进行分类,得到策略分类信息;
发送子模块,用于基于所述策略分类信息将每个所述安全策略发送到对应的所述虚拟防火墙中。
在一可选的实施方式中,安全策略配置装置600中还可以包括匹配模块和调整模块;
匹配模块,用于在所述流通信息表中的任意一条流通信息的时间信息超过预设阈值时,基于所述流通信息匹配对应的所述虚拟机,得到匹配结果;
调整模块,用于基于所述匹配结果对所述安全策略的策略状态进行调整。
在一可选的实施方式中,调整模块中还可以包括正常子模块和异常子模块;
正常子模块,用于当所述匹配结果为所述流通信息匹配到对应的所述虚拟机时,则判定所述虚拟机状态正常,保持所述虚拟机对应的所述安全策略的策略状态;
异常子模块,用于当所述匹配结果为所述流通信息未匹配到对应的所述虚拟机时,则判定所述虚拟机状态异常,将所述安全策略的所述策略状态设置为无法配置。
由于本申请实施例中的装置解决问题的原理与前述的安全策略配置方法的实施例相似,因此本实施例中的安全策略配置装置600的实施可以参见上述安全策略配置方法的实施例中的描述,重复之处不再赘述。
本申请实施例还提供了一种电子设备,该电子设备包括存储器和处理器,所述存储器中存储有程序指令,所述处理器读取并运行所述程序指令时,执行本实施例提供的安全策略配置方法中任一项所述方法中的步骤。
应当理解是,该电子设备可以是个人电能、平板电脑、智能手机、个人数字助理等具有逻辑计算功能的电子设备。
本申请实施例还提供了一种计算机可读取存储介质,所述可读取存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行本实施例提供的安全策略配置方法中任一项所述方法中的步骤。
综上所述,本申请实施例提供了一种安全策略配置方法、装置、电子设备及存储介质,能够根据虚拟防火墙中的流量信息绘制对应的网络的流量通信拓扑,根据流量通信拓扑获取虚拟防火墙与虚拟机之间的对应关系的流通信息表,基于流通信息表对安全策略进行分类,以对安全策略进行对应地配置。实现对安全策略的针对性配置,减少虚拟防火墙中存储的无效安全策略的数量,从而减轻虚拟防火墙的内存压力,有效地提高了安全策略的配置效率和执行效率,提高了虚拟网络环境的安全性。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的框图显示了根据本申请的多个实施例的设备的可能实现的体系架构、功能和操作。在这点上,框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图中的每个方框、以及框图的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。因此本实施例还提供了一种可读取存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行区块数据存储方法中任一项所述方法中的步骤。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,RanDom Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种安全策略配置方法,其特征在于,包括:
基于虚拟防火墙中的流量信息,确定所述虚拟防火墙对应的流量通信拓扑;
基于所述流量通信拓扑,获取所述虚拟防火墙与虚拟机之间的流通信息表,所述流通信息表包括多个所述流量信息在所述虚拟防火墙与所述虚拟机之间流通时的流通信息;
基于所述流通信息表,对多个安全策略进行配置,以将每个所述安全策略发送到对应的所述虚拟防火墙中。
2.根据权利要求1所述的方法,其特征在于,所述基于虚拟防火墙中的流量信息,确定所述虚拟防火墙对应的流量通信拓扑,包括:
获取所述虚拟防火墙中产生的流量信息;
对所述流量信息进行分析,得到报文数据,其中,所述报文数据中包括所述流量信息的源网络地址信息、目标网络地址信息、源端口信息、目标端口信息和流量大小信息中的至少一种;
基于所述报文数据,绘制对应的所述流量通信拓扑。
3.根据权利要求1所述的方法,其特征在于,所述基于所述流量通信拓扑,获取所述虚拟防火墙与虚拟机之间的流通信息表,包括:
基于所述流量通信拓扑,获取所述虚拟防火墙对应的多个所述虚拟机之间的多个通信关系;
基于所述通信关系,获取所述流量信息在对应的所述虚拟防火墙与虚拟机之间流通时的所述流通信息,多个所述流通信息形成所述流通信息表。
4.根据权利要求1所述的方法,其特征在于,所述基于所述流通信息表,对多个安全策略进行配置,以将每个所述安全策略发送到对应的所述虚拟防火墙中,包括:
确定需要进行配置的多个所述安全策略;
基于所述流通信息表,对多个所述安全策略进行分类,得到策略分类信息;
基于所述策略分类信息将每个所述安全策略发送到对应的所述虚拟防火墙中。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在所述流通信息表中的任意一条流通信息的时间信息超过预设阈值时,基于所述流通信息匹配对应的所述虚拟机,得到匹配结果;
基于所述匹配结果对所述安全策略的策略状态进行调整。
6.根据权利要求5所述的方法,其特征在于,所述基于所述匹配结果对所述安全策略的策略状态进行调整,包括:
当所述匹配结果为所述流通信息匹配到对应的所述虚拟机时,则判定所述虚拟机状态正常,保持所述虚拟机对应的所述安全策略的策略状态;
当所述匹配结果为所述流通信息未匹配到对应的所述虚拟机时,则判定所述虚拟机状态异常,将所述安全策略的所述策略状态设置为无法配置。
7.一种安全策略配置装置,其特征在于,所述装置包括:
确定模块,用于基于虚拟防火墙中的流量信息,确定所述虚拟防火墙对应的流量通信拓扑;
获取模块,用于基于所述流量通信拓扑,获取所述虚拟防火墙与虚拟机之间的流通信息表,所述流通信息表包括多个所述流量信息在所述虚拟防火墙与所述虚拟机之间流通时的流通信息;
配置模块,用于基于所述流通信息表,对多个安全策略进行配置,以将每个所述安全策略发送到对应的所述虚拟防火墙中。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
匹配模块,用于在所述流通信息表中的任意一条流通信息的时间信息超过预设阈值时,基于所述流通信息匹配对应的所述虚拟机,得到匹配结果;
调整模块,用于基于所述匹配结果对所述安全策略的策略状态进行调整。
9.一种电子设备,其特征在于,所述电子设备包括存储器和处理器,所述存储器中存储有程序指令,所述处理器运行所述程序指令时,执行权利要求1-6中任一项所述方法中的步骤。
10.一种计算机可读取存储介质,其特征在于,所述可读取存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器运行时,执行权利要求1-6任一项所述方法中的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111467457.XA CN114172718B (zh) | 2021-12-03 | 2021-12-03 | 安全策略配置方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111467457.XA CN114172718B (zh) | 2021-12-03 | 2021-12-03 | 安全策略配置方法、装置、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114172718A true CN114172718A (zh) | 2022-03-11 |
CN114172718B CN114172718B (zh) | 2024-01-23 |
Family
ID=80482779
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111467457.XA Active CN114172718B (zh) | 2021-12-03 | 2021-12-03 | 安全策略配置方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114172718B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114629726A (zh) * | 2022-04-26 | 2022-06-14 | 深信服科技股份有限公司 | 一种云管理方法、装置、设备、系统及可读存储介质 |
CN116055228A (zh) * | 2023-04-03 | 2023-05-02 | 北京志凌海纳科技有限公司 | 一种数据平面构建方法、系统、电子设备及存储介质 |
CN117478438A (zh) * | 2023-12-28 | 2024-01-30 | 苏州元脑智能科技有限公司 | 网络微隔离方法、系统及虚拟化云主机 |
Citations (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090249470A1 (en) * | 2008-03-27 | 2009-10-01 | Moshe Litvin | Combined firewalls |
WO2009120377A2 (en) * | 2008-03-27 | 2009-10-01 | Altor Networks, Inc. | Network firewalls |
US20110072486A1 (en) * | 2009-09-23 | 2011-03-24 | Computer Associates Think, Inc. | System, Method, and Software for Enforcing Access Control Policy Rules on Utility Computing Virtualization in Cloud Computing Systems |
CN105100026A (zh) * | 2014-05-22 | 2015-11-25 | 杭州华三通信技术有限公司 | 一种报文安全转发方法及装置 |
CN106453333A (zh) * | 2016-10-19 | 2017-02-22 | 深圳市深信服电子科技有限公司 | 虚拟化平台的防火墙规则创建方法及装置 |
US20170317978A1 (en) * | 2016-04-28 | 2017-11-02 | Microsoft Technology Licensing, Llc | Secure interface isolation |
JP2017204890A (ja) * | 2017-08-08 | 2017-11-16 | Kddi株式会社 | ファイアウォール装置の制御装置及びプログラム |
US20170374106A1 (en) * | 2016-06-23 | 2017-12-28 | Vmware, Inc. | Micro-segmentation in virtualized computing environments |
US20180152417A1 (en) * | 2016-11-29 | 2018-05-31 | Nicira, Inc. | Security policy analysis based on detecting new network port connections |
US20180191682A1 (en) * | 2015-08-19 | 2018-07-05 | Huawei Technologies Co., Ltd. | Method and apparatus for deploying security access control policy |
CN109040037A (zh) * | 2018-07-20 | 2018-12-18 | 南京方恒信息技术有限公司 | 一种基于策略和规则的安全审计系统 |
CN109660548A (zh) * | 2018-12-28 | 2019-04-19 | 北京奇安信科技有限公司 | 基于全局网络拓扑结构的防火墙规则生成方法及服务器 |
CN109831390A (zh) * | 2019-01-21 | 2019-05-31 | 新华三云计算技术有限公司 | 报文转发控制方法及装置 |
CN110012033A (zh) * | 2019-05-05 | 2019-07-12 | 深信服科技股份有限公司 | 一种数据传输方法、系统及相关组件 |
EP3767910A1 (de) * | 2019-07-19 | 2021-01-20 | Siemens Aktiengesellschaft | Verfahren zur konfiguration von firewall-einrichtungen für ein kommunikationsnetz und kommunikationsnetz-management-system |
WO2021139339A1 (zh) * | 2020-07-30 | 2021-07-15 | 平安科技(深圳)有限公司 | 防火墙策略的下发方法、装置、电子设备及存储介质 |
CN113364801A (zh) * | 2021-06-24 | 2021-09-07 | 深圳前海微众银行股份有限公司 | 网络防火墙策略的管理方法、系统、终端设备及存储介质 |
KR102312019B1 (ko) * | 2020-10-20 | 2021-10-12 | 현대오토에버 주식회사 | 방화벽 제어 장치 및 이를 포함하는 방화벽 정책 관리 시스템 |
-
2021
- 2021-12-03 CN CN202111467457.XA patent/CN114172718B/zh active Active
Patent Citations (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090249470A1 (en) * | 2008-03-27 | 2009-10-01 | Moshe Litvin | Combined firewalls |
WO2009120377A2 (en) * | 2008-03-27 | 2009-10-01 | Altor Networks, Inc. | Network firewalls |
US20110072486A1 (en) * | 2009-09-23 | 2011-03-24 | Computer Associates Think, Inc. | System, Method, and Software for Enforcing Access Control Policy Rules on Utility Computing Virtualization in Cloud Computing Systems |
CN105100026A (zh) * | 2014-05-22 | 2015-11-25 | 杭州华三通信技术有限公司 | 一种报文安全转发方法及装置 |
US20180191682A1 (en) * | 2015-08-19 | 2018-07-05 | Huawei Technologies Co., Ltd. | Method and apparatus for deploying security access control policy |
US20170317978A1 (en) * | 2016-04-28 | 2017-11-02 | Microsoft Technology Licensing, Llc | Secure interface isolation |
US20170374106A1 (en) * | 2016-06-23 | 2017-12-28 | Vmware, Inc. | Micro-segmentation in virtualized computing environments |
CN106453333A (zh) * | 2016-10-19 | 2017-02-22 | 深圳市深信服电子科技有限公司 | 虚拟化平台的防火墙规则创建方法及装置 |
US20180152417A1 (en) * | 2016-11-29 | 2018-05-31 | Nicira, Inc. | Security policy analysis based on detecting new network port connections |
JP2017204890A (ja) * | 2017-08-08 | 2017-11-16 | Kddi株式会社 | ファイアウォール装置の制御装置及びプログラム |
CN109040037A (zh) * | 2018-07-20 | 2018-12-18 | 南京方恒信息技术有限公司 | 一种基于策略和规则的安全审计系统 |
CN109660548A (zh) * | 2018-12-28 | 2019-04-19 | 北京奇安信科技有限公司 | 基于全局网络拓扑结构的防火墙规则生成方法及服务器 |
CN109831390A (zh) * | 2019-01-21 | 2019-05-31 | 新华三云计算技术有限公司 | 报文转发控制方法及装置 |
CN110012033A (zh) * | 2019-05-05 | 2019-07-12 | 深信服科技股份有限公司 | 一种数据传输方法、系统及相关组件 |
EP3767910A1 (de) * | 2019-07-19 | 2021-01-20 | Siemens Aktiengesellschaft | Verfahren zur konfiguration von firewall-einrichtungen für ein kommunikationsnetz und kommunikationsnetz-management-system |
WO2021139339A1 (zh) * | 2020-07-30 | 2021-07-15 | 平安科技(深圳)有限公司 | 防火墙策略的下发方法、装置、电子设备及存储介质 |
KR102312019B1 (ko) * | 2020-10-20 | 2021-10-12 | 현대오토에버 주식회사 | 방화벽 제어 장치 및 이를 포함하는 방화벽 정책 관리 시스템 |
CN113364801A (zh) * | 2021-06-24 | 2021-09-07 | 深圳前海微众银行股份有限公司 | 网络防火墙策略的管理方法、系统、终端设备及存储介质 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114629726A (zh) * | 2022-04-26 | 2022-06-14 | 深信服科技股份有限公司 | 一种云管理方法、装置、设备、系统及可读存储介质 |
CN116055228A (zh) * | 2023-04-03 | 2023-05-02 | 北京志凌海纳科技有限公司 | 一种数据平面构建方法、系统、电子设备及存储介质 |
CN116055228B (zh) * | 2023-04-03 | 2023-06-27 | 北京志凌海纳科技有限公司 | 一种数据平面构建方法、系统、电子设备及存储介质 |
CN117478438A (zh) * | 2023-12-28 | 2024-01-30 | 苏州元脑智能科技有限公司 | 网络微隔离方法、系统及虚拟化云主机 |
CN117478438B (zh) * | 2023-12-28 | 2024-03-22 | 苏州元脑智能科技有限公司 | 网络微隔离方法、系统及虚拟化云主机 |
Also Published As
Publication number | Publication date |
---|---|
CN114172718B (zh) | 2024-01-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11102093B2 (en) | System and method of assigning reputation scores to hosts | |
CN114172718B (zh) | 安全策略配置方法、装置、电子设备及存储介质 | |
US10505953B2 (en) | Proactive prediction and mitigation of cyber-threats | |
US10355949B2 (en) | Behavioral network intelligence system and method thereof | |
US8997227B1 (en) | Attack traffic signature generation using statistical pattern recognition | |
US20170063917A1 (en) | Risk-chain generation of cyber-threats | |
US10826933B1 (en) | Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints | |
US11240204B2 (en) | Score-based dynamic firewall rule enforcement | |
EP3275140B1 (en) | Technique for achieving low latency in data center network environments | |
US11665192B2 (en) | Generating a segmentation policy based on vulnerabilities | |
EP3203378B1 (en) | Optimization device, optimization method, and optimization program | |
US11223643B2 (en) | Managing a segmentation policy based on attack pattern detection | |
US11991212B2 (en) | Creation and optimization of security applications for cyber threats detection, investigation and mitigation | |
US11425007B2 (en) | Label-based rules for squelching visible traffic in a segmented network environment | |
KR101916676B1 (ko) | 사이버 위협 인텔리전스 데이터를 수집하는 방법 및 그 시스템 | |
US20230013808A1 (en) | Method and system for implementing an intent-based intrusion detection and prevention system using contextual attributes | |
WO2018111567A1 (en) | Instance based management and control for vm platforms in virtual processing environments | |
Dao et al. | Adaptive suspicious prevention for defending DoS attacks in SDN-based convergent networks | |
US20230018434A1 (en) | Method and system for automatically curating intrusion detection signatures for workloads based on contextual attributes in an sddc | |
US20240291802A1 (en) | Enforcing a Segmentation Policy in Co-Existence with a System Firewall | |
Tang et al. | FTODefender: An efficient flow table overflow attacks defending system in SDN | |
US10243988B2 (en) | Configurable network security | |
US20200236122A1 (en) | Security protection for a host computer in a computer network using cross-domain security-relevant information | |
JP7424395B2 (ja) | 分析システム、方法およびプログラム | |
EP4145785A1 (en) | Device protection method, and devices |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |