CN115037513A - 一种安全策略的配置方法及装置 - Google Patents
一种安全策略的配置方法及装置 Download PDFInfo
- Publication number
- CN115037513A CN115037513A CN202210459530.7A CN202210459530A CN115037513A CN 115037513 A CN115037513 A CN 115037513A CN 202210459530 A CN202210459530 A CN 202210459530A CN 115037513 A CN115037513 A CN 115037513A
- Authority
- CN
- China
- Prior art keywords
- security policy
- log
- policy set
- security
- new
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 83
- 230000001360 synchronised effect Effects 0.000 claims abstract description 10
- 238000012545 processing Methods 0.000 claims description 68
- 230000008569 process Effects 0.000 claims description 40
- 238000004891 communication Methods 0.000 claims description 32
- 238000004590 computer program Methods 0.000 claims description 9
- 230000004044 response Effects 0.000 claims description 9
- 238000010586 diagram Methods 0.000 description 19
- 238000004519 manufacturing process Methods 0.000 description 13
- 230000006870 function Effects 0.000 description 11
- 230000000875 corresponding effect Effects 0.000 description 10
- 230000004048 modification Effects 0.000 description 7
- 238000012986 modification Methods 0.000 description 7
- 238000004458 analytical method Methods 0.000 description 5
- 238000012795 verification Methods 0.000 description 4
- 230000006399 behavior Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000003062 neural network model Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 230000003190 augmentative effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000000052 comparative effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000001356 surgical procedure Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
Abstract
本申请公开了一种安全策略的配置方法及装置,用以实现高效、准确地配置安全策略。该方法包括:获取待配置的新安全策略集,新安全策略集中包括增加或更新的安全策略;向安全设备发送携带新安全策略集的同步指令;同步指令用于指示同步采用新安全策略集和原安全策略集解析接收到的报文,以及指示采用原安全策略集处理接收到的报文;接收来自安全设备的第一日志和第二日志;第一日志为采用新安全策略集解析接收到的报文时生成的日志,第二日志为采用原安全策略集解析接收到的报文时生成的日志;基于第一日志和第二日志的对比结果,为安全设备配置安全策略。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种安全策略的配置方法及装置。
背景技术
配置安全策略是防火墙、交换机和路由器等设备的最常用的功能之一。通过设备中内置的安全策略可以控制网络的访问行为,从而抵御网络上的各种攻击。但是随着网络业务复杂度的升高,以及考虑企业内部资产安全和国家对网络安全等级的要求,导致配置或者调整安全策略的复杂度大大增加。例如,以防火墙设备中配置的安全策略为例,随着网络业务复杂度的提升,防火墙中配置的安全策略越来越精细化,相应的条目越来越多。在这种情况下,当需要进行调整安全策略时,网络管理人员可能由于不了解企业内部业务的全貌而调整出错,从而导致生产环境的异常。为了避免这种问题,网络管理人员还会在网络空闲时间(比如下班时间)来进行安全策略的调整。但是在空闲时间对安全策略进行调整,又会因为缺少数据流访问而导致无法判断调整是否准确。
因此,如何保证高效、准确地配置安全策略是目前亟待解决的问题。
发明内容
本申请示例性的实施方式中提供一种安全策略的配置方法及装置,用以提升安全策略配置的准确性和效率。
第一方面,本申请实施例提供了一种安全策略的配置方法,包括:
获取待配置的新安全策略集,所述新安全策略集中包括增加或更新的安全策略;
向安全设备发送携带所述新安全策略集的同步指令;所述同步指令用于指示所述安全设备同步采用所述新安全策略集和原安全策略集解析接收到的报文,以及指示所述安全设备采用所述原安全策略集处理接收到的报文;所述原安全策略集为所述安全设备在接收到所述同步指令之前所采用的安全策略集;
接收来自所述安全设备的第一日志和第二日志;所述第一日志为所述安全设备采用所述新安全策略集解析接收到的报文时生成的日志,所述第二日志为所述安全设备采用所述原安全策略集解析接收到的报文时生成的日志;
基于所述第一日志和所述第二日志的对比结果,为所述安全设备配置安全策略。
本申请提出的安全策略的配置方法中,在未完成对新配置的安全策略的验证之前,仍采用原安全策略集进行处理接收到的报文,从而实现实时对安全策略进行调整而不影响实际的生产环境。并且,本申请的方案提出了采用新旧安全策略集共同进行解析报文的方式来验证新安全策略集是否准确,用实际生产环境下的报文流进行验证,提升了新安全策略的准确性。
在一些实施例中,所述基于所述第一日志和所述第二日志的对比结果,为所述安全设备配置安全策略,包括:
判断所述第一日志和所述第二日志的对比结果是否符合预先设定的规则;所述规则是根据所述新安全策略集中包括的增加或更新的安全策略设定的;
若所述对比结果符合所述规则,则向所述安全设备发送替换指令;所述替换指令用于指示采用所述新安全策略集代替所述原安全策略集解析和处理后续接收的报文;
若所述对比结果不符合所述规则,则向管理人员指示修改所述新安全策略集,并返回获取待配置的新安全策略集的步骤,直至确定所述对比结果符合所述规则。
基于上述方案,根据预先设置的规则来对新安全策略集中的安全策略进行验证,无需人工干预就可以保证新安全策略的准确性。
在一些实施例中,所述基于所述第一日志和所述第二日志的对比结果,为所述安全设备配置安全策略,包括:
在显示屏中显示所述第一日志和所述第二日志的对比结果;
响应于管理人员的第一操作,向所述安全设备发送替换指令;所述替换指令用于指示采用所述新安全策略集代替所述原安全策略集解析和处理后续接收的报文;
响应于所述管理人员的第二操作,修改所述新安全策略集,向所述安全设备发送携带修改后的新安全策略集的同步指令;返回接收所述第一日志和所述第二日志的步骤,直至接收到所述第一操作。
在一些实施例中,所述第一日志包括所述接收到的报文的源IP地址、目的IP地址、协议端口以及所述新安全策略集中与所述接收到的报文匹配的安全策略;所述第二日志包括所述接收到的报文的源IP地址、目的IP地址、协议端口以及所述原安全策略集中与所述接收到的报文匹配的安全策略。
第二方面,本申请实施例提供了另一种安全策略的配置方法,包括:
根据来自控制设备的携带新安全策略集的同步指令,采用所述新安全策略集解析接收到的报文生成第一日志,以及采用原安全策略集解析并处理所述接收到的报文,生成第二日志和处理指令;所述处理指令用于指示转发或者删除所述接收到的报文;
根据所述处理指令对所述接收到的报文进行处理,并将所述第一日志和所述第二日志发送至所述控制设备;
接收所述控制设备返回的替换指令,根据所述替换指令采用新安全策略集代替所述原安全策略集解析和处理后续接收的报文;其中,所述替换指令是基于所述第一日志和所述第二日志的对比结果确定的。
第三方面,本申请实施例提供了一种安全策略的配置装置,包括:
处理单元,用于获取待配置的新安全策略集,所述新安全策略集中包括增加或更新的安全策略;
通信单元,用于向安全设备发送携带所述新安全策略集的同步指令;所述同步指令用于指示所述安全设备同步采用所述新安全策略集和原安全策略集解析接收到的报文,以及指示所述安全设备采用所述原安全策略集处理接收到的报文;所述原安全策略集为所述安全设备在接收到所述同步指令之前所采用的安全策略集;
所述通信单元,还用于接收来自所述安全设备的第一日志和第二日志;所述第一日志为所述安全设备采用所述新安全策略集解析接收到的报文时生成的日志,所述第二日志为所述安全设备采用所述原安全策略集解析接收到的报文时生成的日志;
所述处理单元,还用于基于所述第一日志和所述第二日志的对比结果,为所述安全设备配置安全策略。
在一些实施例中,所述处理单元,具体用于:
判断所述第一日志和所述第二日志的对比结果是否符合预先设定的规则;所述规则是根据所述新安全策略集中包括的增加或更新的安全策略设定的;
若所述对比结果符合所述规则,则指示所述通信单元向所述安全设备发送替换指令;所述替换指令用于指示采用所述新安全策略集代替所述原安全策略集解析和处理后续接收的报文;
若所述对比结果不符合所述规则,则向管理人员指示修改所述新安全策略集,并返回获取待配置的新安全策略集的步骤,直至确定所述对比结果符合所述规则。
在一些实施例中,所述装置还包括显示单元,所述显示单元,用于显示所述第一日志和所述第二日志的对比结果;
所述处理单元,具体用于:
响应于管理人员的第一操作,指示所述通信单元向所述安全设备发送替换指令;所述替换指令用于指示采用所述新安全策略集代替所述原安全策略集解析和处理后续接收的报文;
响应于所述管理人员的第二操作,修改所述新安全策略集,指示所述通信单元向所述安全设备发送携带修改后的新安全策略集的同步指令;返回通过所述通信单元接收所述第一日志和所述第二日志的步骤,直至接收到所述第一操作。
在一些实施例中,所述第一日志包括所述接收到的报文的源IP地址、目的IP地址、协议端口以及所述新安全策略集中与所述接收到的报文匹配的安全策略;所述第二日志包括所述接收到的报文的源IP地址、目的IP地址、协议端口以及所述原安全策略集中与所述接收到的报文匹配的安全策略。
第四方面,本申请实施例提供了另一种安全策略的配置装置,包括:
处理单元,用于根据来自控制设备的携带新安全策略集的同步指令,采用所述新安全策略集解析接收到的报文生成第一日志,以及采用原安全策略集解析并处理所述接收到的报文,生成第二日志和处理指令;所述处理指令用于指示转发或者删除所述接收到的报文;
所述处理单元,还用于根据所述处理指令对所述接收到的报文进行处理;
通信单元,用于将所述第一日志和所述第二日志发送至所述控制设备,接收所述控制设备返回的替换指令;
所述处理单元,还用于根据所述替换指令采用新安全策略集代替所述原安全策略集解析和处理后续接收的报文;其中,所述替换指令是基于所述第一日志和所述第二日志的对比结果确定的。
第五方面,本申请实施例提供了一种电子设备,所述电子设备包括控制器和存储器。存储器用于存储计算机执行指令,控制器执行存储器中的计算机执行指令以利用控制器中的硬件资源执行第一方面和第二方面任一种可能实现的方法的操作步骤。
第六方面,本申请提供一种计算机可读存储介质,计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述各方面的方法。
另外,第二方面至第六方面的有益效果可以参见如第一方面所述的有益效果,此处不再赘述。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例。
图1为本申请实施例提供的一种通信系统的架构图;
图2为本申请实施例提供的一种网络架构图;
图3为本申请实施例提供的一种安全策略的配置方法流程图;
图4为本申请实施例提供的一种发送替换指令的方法流程图;
图5为本申请实施例提供的另一种网络架构图;
图6为本申请实施例提供的另一种安全策略的配置方法流程图;
图7为本申请实施例提供的一种安全策略的配置装置的结构示意图;
图8为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请技术方案的一部分实施例,而不是全部的实施例。基于本申请文件中记载的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请技术方案保护的范围。
本申请的说明书和权利要求书及上述附图中的术语“第一”和“第二”是用于区别不同对象,而非用于描述特定顺序。此外,术语“包括”以及它们任何变形,意图在于覆盖不排他的保护。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请中的“多个”可以表示至少两个,例如可以是两个、三个或者更多个,本申请实施例不做限制。
另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,在不做特别说明的情况下,一般表示前后关联对象是一种“或”的关系。
为了保证企业内部资产的安全性,一般会在防火墙、路由器以及交换机等设备中配置一些安全策略,通过安全策略限制网路访问行为,从而抵御攻击,保证内部资产的安全。作为一种示例,可以参见图1所示的通信系统的架构图。图1以企业所包括的各设备为例,展示了各设备之间进行通信时的网络互通。可以看出,图1所示的部门A的资产如需访问部门A的服务器,需要经过内部交换机和防火墙。同理,部门A的资产如需访问外网,需要经过交换机、防火墙和路由器。因此,为了保证内部资产的安全性,一般会在防火墙、路由器和交换机中配置相应的安全策略。下面,以防火墙中部署的安全策略为例进行介绍,参见下方表1,为本申请针对图1所示的通信系统示例性地提供的一种防火墙中的安全策略集。
表1
表1示例性地展示了防火墙中配置的四条安全策略。但是在目前的网络环境中,由于网络业务复杂,因此防火墙中配置的安全策略的条目非常多,安全策略条目多会导致出现一些安全策略冲突、冗余或者长时间未匹配等问题。例如,两条安全策略分别为:允许IP1访问IP11,和禁止IP1-IP10访问IP11。可以看出,这两条安全策略就是冲突的。再例如,两条安全策略分别为:允许IP1访问IP11,和允许IP1-IP10访问IP11。这两条安全策略在针对IP1允许访问IP11上就是冗余的。以上是由于安全策略条目多导致出现的一些问题,除此之外,安全策略条目多还会导致在防火墙中调整或者增加安全策略的复杂度变大,容易出现调整或者增加安全策略出错的情况。因此,配置包含安全策略条目多的防火墙的成功率较低,配置不准确还会影响后续的生产。
基于此,本申请提出了一种安全策略的配置方法,为了便于理解本申请提供的方案,首先对本申请方案所适用的网络架构进行介绍。参见图2,为本申请实施例提供的一种网络架构图。应理解,本申请实施例并不限于图2所示的系统中,此外,图2中的装置可以是硬件,也可以是从功能上划分的软件或者以上二者结合后的结构。应理解,图2中示出的安全设备和控制设备可以是两个独立的设备,也可以同一个设备中的两个从功能上划分的模块,比如可以为防火墙中的两个引擎,或者两个处理不同功能的处理模块。此处为了便于理解,在图2中将安全设备和控制设备作为两个独立的设备为例进行介绍。图2中示出的网络架构中还包括管理人员设备。可选地,管理人员设备与控制设备可以为同一个设备,也就是说,管理人员使用控制设备实现相应的各项功能。因此,安全设备、控制设备和管理人员设备可以为三个独立的设备,或者也可以为同一个设备,即管理人员使用包含控制和安全两个功能模块的设备。为了便于理解,在图2中,以安全设备、控制设备和管理人员设备为三个独立的设备为例进行介绍。
其中,图2示出的管理人员设备,即为管理人员所使用的终端(User Equipment,UE),或者终端设备、移动台(Mobile Station,MS)、移动终端(Mobile Terminal,MT)等,是一种向管理人员提供语音和/或数据连通性的设备,例如,具有无线连接功能的手持式设备、车载设备等。目前,一些设备的举例为:手机(mobile phone)、平板电脑、笔记本电脑、掌上电脑、移动互联网设备(Mobile Internet Device,MID)、可穿戴设备,虚拟现实(VirtualReality,VR)设备、增强现实(Augmented Reality,AR)设备、工业控制(IndustrialControl)中的无线终端、无人驾驶(self driving)中的无线终端、远程手术(remotemedical surgery)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等。一些实施例中,本申请涉及的管理人员设备可以包括显示屏(触控或者非触控),用于实现人机交互。
图2示出的安全设备,用于实现报文流的转发。具体为:接收报文流,根据内置的安全策略集对报文流进行解析生成对应的日志信息。例如,针对报文流中的任意一个报文,其对应的日志信息中包括该报文的源IP地址、目的IP地址、协议端口等等,以及安全策略集中与之匹配的安全策略。可选地,安全设备还可以将生成的日志信息进行存储。
进一步地,安全设备还可以用于根据与报文匹配的安全策略对报文进行处理。举例来说,参见上方表1,若某一个报文的源IP地址为192.168.1.20,目的IP地址为10.10.10.1,则与之对应的安全策略为表1中的条目1,其对应的动作为允许访问。因此,安全设备可以将该报文转发至对应的目的IP地址。图2所示的控制设备用于接收来自管理人员设备的安全策略,并将安全策略配置到安全设备中。
在相关技术中,在进行安全策略的配置时,是由管理人员设备向控制设备发送待配置的安全策略集(其中包括更新或者增加的安全策略),控制设备在接收到安全策略集之后,会将安全策略集发送至安全设备,指示安全设备用该安全策略集代替原来的安全策略集来处理和解析接收到的报文流。这种安全策略的配置方式存在一些弊端,首先若在生产环境中进行配置,由于无法保证配置的安全策略的准确性,因此可能会造成生产环境异常。其次,若是在非生产环境或者网络空闲时间(比如下班时间)进行配置,虽然可以避免影响生产环境,但是由于空闲时间并没有报文流,因此无法验证配置的安全策略的准确性。
有鉴于此,本申请实施例提出了一种安全策略的配置方法,提出在进行安全策略的更新或者增加新的安全策略时,安全设备中采用更新后的安全策略和原来的安全策略同步对接收到的报文进行解析,根据两个解析日志的对比确定更新后的安全策略是否准确。确定更新后的安全策略准确后,再为安全设备配置安全策略。而在此之前均采用原有的安全策略对报文进行处理。本申请提出的安全策略配置方法不仅实现对安全策略的实时配置,还能在不影响正常的生产环境的基础上对更新的安全策略进行验证。实现了高效、准确地配置安全策略。
下面,结合图2所示的网络架构图,对本申请提出的安全策略配置方法进行介绍。参见图3,为本申请实施例提供的一种安全策略的配置方法流程图,具体包括:
301,控制设备获取待配置的新安全策略集。
其中,新安全策略集中包括增加或者更新的一个或者多个安全策略。
可选地,所述新安全策略集可以是从管理人员设备获取的,例如可以是管理人员根据实际需求确定的新安全策略集,并将其发送给控制设备。
302,控制设备向安全设备发送携带新安全策略集的同步指令。
其中,同步指令用于指示安全设备采用新安全策略集和接收到同步指令之前所使用的原安全策略集共同解析接收到的报文,以及还用于指示采用原安全策略集处理接收到的报文。也就是采用原安全策略集确定接收到的报文是进行继续转发还是丢弃。
303,安全设备根据接收到的同步指令生成第一日志、第二日志和处理指令,并根据处理指令对接收到的报文进行处理。
其中,第一日志为安全设备采用新安全策略集解析接收到的报文所得到的日志。可选地,第一日志中可以包括接收到的报文的源IP地址、目的IP地址、端口协议以及新安全策略集中与之匹配的安全策略。第二日志为安全设备采用原安全策略集解析接收到的报文所得到的日志,可选地,第二日志中可以包括接收到的报文的源IP地址、目的IP地址、端口协议以及原安全策略集中与之匹配的安全策略。
可选地,处理指令用于指示转发或者删除接收到的报文。具体地,安全设备在解析接收到的报文之后,根据得到的与之匹配的安全策略来生成该报文的处理指令。处理指令可以为删除该报文或者向目的IP地址转发该报文,安全设备可以根据生成的处理指令对报文进行处理。
304,安全设备将第一日志和第二日志发送至控制设备。
305,控制设备基于第一日志和第二日志的对比结果,为安全设备配置安全策略。
一些可能的情况下,若第一日志和第二日志的对比结果表明新安全策略集的配置符合预期要求,则控制设备可以为安全设备配置新安全策略集,以使安全设备采用新安全策略集解析和处理后续接收的报文。
另一些可能的情况下,若对比结果表明新安全策略集的配置无法达到预期要求,则控制设备可以指示管理人员进行修改新安全策略集,将修改后的新安全策略集发送给安全设备,并返回执行获取第一日志和第二日志的步骤,直至对比结果表明新安全策略集达到预期要求。
可选地,控制设备在对第一日志和第二日志进行对比时,可以从多个维度进行对比,例如基于原IP地址或者目的IP地址来对比第一日志和第二日志中的匹配安全策略的差异。
本申请提出的安全策略的配置方法中,在未完成对新配置的安全策略的验证之前,仍采用原安全策略集进行处理接收到的报文,从而实现实时对安全策略进行调整而不影响实际的生产环境。并且,本申请的方案提出了采用新旧安全策略集共同进行解析报文的方式来验证新安全策略集是否准确,用实际生产环境下的报文流进行验证,提升了新安全策略的准确性。
在一些场景下,控制设备在接收到来自安全设备的第一日志和第二日志之后,可以从不同的维度将第一日志和第二日志进行对比,并判断对比结果是否符合预先设定的规则。其中,预先设定的规则是根据新安全策略集中包括的增加或者更新的安全策略设定的。作为一种举例,控制设备可以基于第一日志和第二日志中相同的源IP地址或者相同的目的IP地址,对比两者匹配的安全策略是否存在差异,然后判断该对比结果是否符合预先设定的规则。若符合,则可以向安全设备发送替换指令。其中,替换指令可以用于指示安全设备采用新安全策略集代理原安全策略集对后续接收到的报文进行处理。也就是说,安全设备在接收到代替指令之后,无论是解析后续的报文生成日志,还是处理后续的报文,均是采用新安全策略集。若不符合,可以提示管理人员对新安全策略集进行修改,直至对比结果符合预先设定的规则,例如可以向管理人员设备发送用于指示进行修改新安全策略集的指示信息,或者在显示屏中显示用于指示对比结果不符合规则的指示信息。
在一种可能实现的方式中,安全设备在接收到替换指令之后,还可以将原安全策略集删除,仅保留新安全策略集,避免存储的信息冗余。在接收到替换指令之后,针对后续接收到的报文,安全设备可以首先对报文进行解析,生成并存储日志。进一步地,可根据日志中的与报文匹配的安全策略对报文进行处理,例如,继续转发或者丢弃报文。
举例来说,若新安全策略集相较于原安全策略集更新了一个条目:原安全策略为禁止IP1访问IP2,新安全策略为允许IP1访问IP2。那么控制设备中预先设置的规则可以为:当源IP地址为IP1、目的IP地址为IP2时,匹配的安全策略的动作由禁止变为允许。一种情况下,后续控制设备对比第一日志和第二日志的结果为:两个日志的源IP地址均为IP1、目的IP地址均为IP2,匹配的安全策略存在的差异为,从禁止变为允许。那么,控制设备可以确定对比结果符合预先设定的规则,可以向安全设备发送替换指令。另一种情况下,后续控制设备对比第一日志和第二日志的结果为:两个日志的源IP地址均为IP1、目的IP地址均为IP2,匹配的安全策略完全相同,均为禁止。那么,控制设备可以确定对比结果不符合预先设定的规则,则可以向管理人员设备发送用于指示修改新安全策略集的指示信息。或者,控制设备还可以将用于表征对比结果不合规的信息显示在显示屏中,提示管理人员新安全策略集中的安全策略有误,需要进行修改。
为了便于理解本场景下基于对比结果发送替换指令的方法,参见图4,为本申请实施例提供的一种发送替换指令的方法流程图,具体包括:
401,控制设备获取第一日志和第二日志。
具体地,控制设备是从安全设备获取的第一日志和第二日志。第一日志是安全设备采用新安全策略集解析接收到的报文所产生的日志,第二日志为安全设备采用原安全策略集解析接收到的报文所产生的日志。
可选地,第一日志和第二日志中包含的内容可以参见上述实施例中的介绍,在此不再进行赘述。
402,控制设备对比第一日志和第二日志,生成对比结果。
可选地,控制设备可以基于第一日志和第二日志中相同的源IP地址和目的IP,对比两个日志中匹配的安全策略是否存在差异,以及差异的内容,并据此生成对比结果。
403,控制设备判断对比结果是否符合预先设定的规则。
若符合,则继续步骤404。
若不符合,则继续步骤405。
404,控制设备向安全设备发送替换指令。
405,控制设备向管理人员设备发送用于指示修改新安全策略集的指示信息。
控制设备向管理人员设备发送指示信息之后,可以返回步骤401,继续从安全设备获取第一日志和第二日志并进行对比。直至对比结果符合预先设定的规则。
在另一些场景下,控制设备在将第一日志和第二日志进行对比之后,还可以在显示屏中显示对比结果,或者向管理人员设备发送对比结果。以显示对比结果为例进行介绍。控制设备在显示对比结果之后,可以响应于管理人员的操作,执行相应的步骤。一种可能的情况下,控制设备可以响应于管理人员的第一操作,向安全设备发送替换指令。其中,第一操作用于指示向安全设备发送替换指令。另一种可能的情况下,控制设备可以响应于管理人员的第二操作,修改新安全策略集,并向安全设备发送携带修改后的新安全策略集的同步指令。可选地,控制设备在向安全设备发送携带修改后的新安全策略集的同步指令之后,可以继续从安全设备获取第一日志和第二日志进行对比,并将对比结果进行显示,直至管理人员的操作为第二操作。
下面,为了更进一步理解本申请替换出的方案,将方案中的各个步骤分为安全设备和控制设备中的不同的引擎(也可以称为功能模块)来执行。作为一种示例,参见图5,为本申请实施例提供的另一种网络架构图,展示了安全设备和控制设备中用于执行不同操作的各个引擎。需要说明的是,图5仅作为一种示例,本申请对于引擎的划分与命名不作具体限定。
图5中示出的安全设备中包括报文调度引擎、实际安全策略匹配引擎、模拟安全策略匹配引擎和报文转发引擎。其中,报文调度引擎用于接收外来的报文流,并将报文流同步转发到实际安全策略匹配引擎和模拟安全策略匹配引擎。模拟安全策略匹配引擎用于解析报文流,生成第一日志。实际安全策略匹配引擎用于解析报文流生成第二日志,并根据与报文匹配的安全策略生成用于处理报文的处理指令,并将处理指令发送至报文转发引擎。报文转发引擎用于根据处理指令对报文进行处理(即继续转发或者丢弃)。
图5示出的控制设备包括安全策略分析引擎、实际安全策略集和模拟安全策略集,以及日志存储区。其中,模拟安全策略集即为上述实施例中介绍的新安全策略集,为管理人员配置的安全策略集。模拟安全策略集中的安全策略是用于同步到安全设备的模拟安全策略匹配引擎中。实际安全策略集中的安全策略是用于同步到安全设备的实际安全策略匹配引擎中。日志存储区用于存储模拟安全策略匹配引擎发送的第一日志和实际安全策略匹配引擎发送的第二日志。安全策略分析引擎用于执行对比第一日志和第二日志、生成对比结果,并基于对比结果向安全设备发送替换指令的步骤。
下面,结合图5示出的网络架构图,对本申请提出的安全策略的配置方法进行介绍。参见图6,为本申请实施例提供的一种安全策略的配置方法流程图,具体包括:
601,模拟安全策略匹配引擎获取模拟安全策略集。
可选地,模拟安全策略集可以是管理人员根据生产需求配置的。可选地,管理人员可以直接在模拟安全策略集中进行配置相关的安全策略,也可以配置在实际安全策略集中,然后同步到模拟安全策略集。
在一种可能实现的方式中,模拟安全策略匹配引擎获取的模拟安全策略集,可以是由控制设备中任意一个处理模块在管理人员配置完成后向其发送的。
602,报文调度引擎获取报文流,将报文流同步发送至模拟安全策略匹配引擎和实际安全策略匹配引擎。
603,模拟安全策略匹配引擎采用模拟安全策略集解析报文流,生成第一日志。
可选地,模拟安全策略匹配引擎可以将生成的第一日志存储到控制设备的日志存储区中。
604,实际安全策略匹配引擎采用实际安全策略集解析报文流,生成第二日志和处理指令,并将处理指令发送至报文转发引擎。
可选地,此处实际安全策略匹配引擎采用的实际安全策略集即为上述实施例中介绍的原安全策略集。实际安全策略匹配引擎可以将生成的第二日志存储到控制设备的日志存储区中。
605,报文转发引擎根据处理指令对报文流进行处理。
606,安全策略分析引擎获取第一日志和第二日志,生成第一日志和第二日志的对比结果,并基于对比结果为实际安全策略引擎配置安全策略。
可选地,安全策略分析引擎生成对比结果以及如何为实际安全策略引擎配置安全策略的过程可以参见上述图4,在此不再进行赘述。
607,实际安全策略匹配引擎获取实际安全策略集。
可选地,实际安全策略匹配引擎获取的实际安全策略集,可以是由控制设备中任意一个处理模块向其发送的。
基于与上述方法的同一构思,参见图7,为本申请实施例提供的一种安全策略的配置装置700。装置700用于执行上述方法中的各个步骤,为了避免重复,此处不再进行赘述。装置700包括:处理单元701和通信单元702。
在一种可能的场景下:
处理单元701,用于获取待配置的新安全策略集,所述新安全策略集中包括增加或更新的安全策略;
通信单元702,用于向安全设备发送携带所述新安全策略集的同步指令;所述同步指令用于指示所述安全设备同步采用所述新安全策略集和原安全策略集解析接收到的报文,以及指示所述安全设备采用所述原安全策略集处理接收到的报文;所述原安全策略集为所述安全设备在接收到所述同步指令之前所采用的安全策略集;
所述通信单元702,还用于接收来自所述安全设备的第一日志和第二日志;所述第一日志为所述安全设备采用所述新安全策略集解析接收到的报文时生成的日志,所述第二日志为所述安全设备采用所述原安全策略集解析接收到的报文时生成的日志;
所述处理单元701,还用于基于所述第一日志和所述第二日志的对比结果,为所述安全设备配置安全策略。
在一些实施例中,所述处理单元701,具体用于:
判断所述第一日志和所述第二日志的对比结果是否符合预先设定的规则;所述规则是根据所述新安全策略集中包括的增加或更新的安全策略设定的;
若所述对比结果符合所述规则,则指示所述通信单元702向所述安全设备发送替换指令;所述替换指令用于指示采用所述新安全策略集代替所述原安全策略集解析和处理后续接收的报文;
若所述对比结果不符合所述规则,则向管理人员指示修改所述新安全策略集,并返回获取待配置的新安全策略集的步骤,直至确定所述对比结果符合所述规则。
在一些实施例中,所述装置还包括显示单元,所述显示单元,用于显示所述第一日志和所述第二日志的对比结果;
所述处理单元701,具体用于:
响应于管理人员的第一操作,指示所述通信单元702向所述安全设备发送替换指令;所述替换指令用于指示采用所述新安全策略集代替所述原安全策略集解析和处理后续接收的报文;
响应于所述管理人员的第二操作,修改所述新安全策略集,指示所述通信单元702向所述安全设备发送携带修改后的新安全策略集的同步指令;返回通过所述通信单元702接收所述第一日志和所述第二日志的步骤,直至接收到所述第一操作。
在一些实施例中,所述第一日志包括所述接收到的报文的源IP地址、目的IP地址、协议端口以及所述新安全策略集中与所述接收到的报文匹配的安全策略;所述第二日志包括所述接收到的报文的源IP地址、目的IP地址、协议端口以及所述原安全策略集中与所述接收到的报文匹配的安全策略。
在另一种可能的场景下:
处理单元701,用于根据来自控制设备的携带新安全策略集的同步指令,采用所述新安全策略集解析接收到的报文生成第一日志,以及采用原安全策略集解析并处理所述接收到的报文,生成第二日志和处理指令;所述处理指令用于指示转发或者删除所述接收到的报文;
所述处理单元701,还用于根据所述处理指令对所述接收到的报文进行处理;
通信单元702,用于将所述第一日志和所述第二日志发送至所述控制设备,接收所述控制设备返回的替换指令;
所述处理单元701,还用于根据所述替换指令采用新安全策略集代替所述原安全策略集解析和处理后续接收的报文;其中,所述替换指令是基于所述第一日志和所述第二日志的对比结果确定的。
图8示出了本申请实施例提供的电子设备800结构示意图。本申请实施例中的电子设备800还可以包括通信接口803,该通信接口803例如是网口,电子设备可以通过该通信接口803传输数据,例如通信接口803可以实现上述图7中的通信单元702的功能。
在本申请实施例中,存储器802存储有可被至少一个控制器801执行的指令,至少一个控制器801通过执行存储器802存储的指令,可以用于执行上述方法中的各个步骤,例如,控制器801可以实现上述图7中的处理单元701功能。
其中,控制器801是电子设备的控制中心,可以利用各种接口和线路连接整个电子设备的各个部分,通过运行或执行存储在存储器802内的指令以及调用存储在存储器802内的数据。可选的,控制器801可包括一个或多个处理单元,控制器801可集成应用控制器和调制解调控制器,其中,应用控制器主要处理操作系统和应用程序等,调制解调控制器主要处理无线通信。可以理解的是,上述调制解调控制器也可以不集成到控制器801中。在一些实施例中,控制器801和存储器802可以在同一芯片上实现,在一些实施例中,它们也可以在独立的芯片上分别实现。
控制器801可以是通用控制器,例如中央控制器(CPU)、数字信号控制器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中公开的各方法、步骤及逻辑框图。通用控制器可以是微控制器或者任何常规的控制器等。结合本申请实施例所公开的数据统计平台所执行的步骤可以直接由硬件控制器执行完成,或者用控制器中的硬件及软件模块组合执行完成。
存储器802作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器802可以包括至少一种类型的存储介质,例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(Random AccessMemory,RAM)、静态随机访问存储器(Static Random Access Memory,SRAM)、可编程只读存储器(Programmable Read Only Memory,PROM)、只读存储器(Read Only Memory,ROM)、带电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、磁性存储器、磁盘、光盘等等。存储器802是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。本申请实施例中的存储器802还可以是电路或者其它任意能够实现存储功能的装置,用于存储程序指令和/或数据。
通过对控制器801进行设计编程,例如,可以将前述实施例中介绍的神经网络模型的训练方法所对应的代码固化到芯片内,从而使芯片在运行时能够执行前述的神经网络模型训练方法的步骤,如何对控制器801进行设计编程为本领域技术人员所公知的技术,这里不再赘述。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的控制器以产生一个机器,使得通过计算机或其它可编程数据处理设备的控制器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上,使得在计算机或其它可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (12)
1.一种安全策略的配置方法,其特征在于,包括:
获取待配置的新安全策略集,所述新安全策略集中包括增加或更新的安全策略;
向安全设备发送携带所述新安全策略集的同步指令;所述同步指令用于指示所述安全设备同步采用所述新安全策略集和原安全策略集解析接收到的报文,以及指示所述安全设备采用所述原安全策略集处理接收到的报文;所述原安全策略集为所述安全设备在接收到所述同步指令之前所采用的安全策略集;
接收来自所述安全设备的第一日志和第二日志;所述第一日志为所述安全设备采用所述新安全策略集解析接收到的报文时生成的日志,所述第二日志为所述安全设备采用所述原安全策略集解析接收到的报文时生成的日志;
基于所述第一日志和所述第二日志的对比结果,为所述安全设备配置安全策略。
2.如权利要求1所述的方法,其特征在于,所述基于所述第一日志和所述第二日志的对比结果,为所述安全设备配置安全策略,包括:
判断所述第一日志和所述第二日志的对比结果是否符合预先设定的规则;所述规则是根据所述新安全策略集中包括的增加或更新的安全策略设定的;
若所述对比结果符合所述规则,则向所述安全设备发送替换指令;所述替换指令用于指示采用所述新安全策略集代替所述原安全策略集解析和处理后续接收的报文;
若所述对比结果不符合所述规则,则向管理人员指示修改所述新安全策略集,并返回获取待配置的新安全策略集的步骤,直至确定所述对比结果符合所述规则。
3.如权利要求1所述的方法,其特征在于,所述基于所述第一日志和所述第二日志的对比结果,为所述安全设备配置安全策略,包括:
在显示屏中显示所述第一日志和所述第二日志的对比结果;
响应于管理人员的第一操作,向所述安全设备发送替换指令;所述替换指令用于指示采用所述新安全策略集代替所述原安全策略集解析和处理后续接收的报文;
响应于所述管理人员的第二操作,修改所述新安全策略集,向所述安全设备发送携带修改后的新安全策略集的同步指令;返回接收所述第一日志和所述第二日志的步骤,直至接收到所述第一操作。
4.如权利要求1-3任一项所述的方法,其特征在于,所述第一日志包括所述接收到的报文的源IP地址、目的IP地址、协议端口以及所述新安全策略集中与所述接收到的报文匹配的安全策略;所述第二日志包括所述接收到的报文的源IP地址、目的IP地址、协议端口以及所述原安全策略集中与所述接收到的报文匹配的安全策略。
5.一种安全策略的配置方法,其特征在于,包括:
根据来自控制设备的携带新安全策略集的同步指令,采用所述新安全策略集解析接收到的报文生成第一日志,以及采用原安全策略集解析并处理所述接收到的报文,生成第二日志和处理指令;所述处理指令用于指示转发或者删除所述接收到的报文;
根据所述处理指令对所述接收到的报文进行处理,并将所述第一日志和所述第二日志发送至所述控制设备;
接收所述控制设备返回的替换指令,根据所述替换指令采用新安全策略集代替所述原安全策略集解析和处理后续接收的报文;其中,所述替换指令是基于所述第一日志和所述第二日志的对比结果确定的。
6.一种安全策略的配置装置,其特征在于,包括:
处理单元,用于获取待配置的新安全策略集,所述新安全策略集中包括增加或更新的安全策略;
通信单元,用于向安全设备发送携带所述新安全策略集的同步指令;所述同步指令用于指示所述安全设备同步采用所述新安全策略集和原安全策略集解析接收到的报文,以及指示所述安全设备采用所述原安全策略集处理接收到的报文;所述原安全策略集为所述安全设备在接收到所述同步指令之前所采用的安全策略集;
所述通信单元,还用于接收来自所述安全设备的第一日志和第二日志;所述第一日志为所述安全设备采用所述新安全策略集解析接收到的报文时生成的日志,所述第二日志为所述安全设备采用所述原安全策略集解析接收到的报文时生成的日志;
所述处理单元,还用于基于所述第一日志和所述第二日志的对比结果,为所述安全设备配置安全策略。
7.如权利要求6所述的装置,其特征在于,所述处理单元,具体用于:
判断所述第一日志和所述第二日志的对比结果是否符合预先设定的规则;所述规则是根据所述新安全策略集中包括的增加或更新的安全策略设定的;
若所述对比结果符合所述规则,则指示所述通信单元向所述安全设备发送替换指令;所述替换指令用于指示采用所述新安全策略集代替所述原安全策略集解析和处理后续接收的报文;
若所述对比结果不符合所述规则,则向管理人员指示修改所述新安全策略集,并返回获取待配置的新安全策略集的步骤,直至确定所述对比结果符合所述规则。
8.如权利要求6所述的装置,其特征在于,所述装置还包括显示单元,所述显示单元,用于显示所述第一日志和所述第二日志的对比结果;
所述处理单元,具体用于:
响应于管理人员的第一操作,指示所述通信单元向所述安全设备发送替换指令;所述替换指令用于指示采用所述新安全策略集代替所述原安全策略集解析和处理后续接收的报文;
响应于所述管理人员的第二操作,修改所述新安全策略集,指示所述通信单元向所述安全设备发送携带修改后的新安全策略集的同步指令;返回通过所述通信单元接收所述第一日志和所述第二日志的步骤,直至接收到所述第一操作。
9.如权利要求6-8任一项所述的装置,其特征在于,所述第一日志包括所述接收到的报文的源IP地址、目的IP地址、协议端口以及所述新安全策略集中与所述接收到的报文匹配的安全策略;所述第二日志包括所述接收到的报文的源IP地址、目的IP地址、协议端口以及所述原安全策略集中与所述接收到的报文匹配的安全策略。
10.一种安全策略的配置装置,其特征在于,包括:
处理单元,用于根据来自控制设备的携带新安全策略集的同步指令,采用所述新安全策略集解析接收到的报文生成第一日志,以及采用原安全策略集解析并处理所述接收到的报文,生成第二日志和处理指令;所述处理指令用于指示转发或者删除所述接收到的报文;
所述处理单元,还用于根据所述处理指令对所述接收到的报文进行处理;
通信单元,用于将所述第一日志和所述第二日志发送至所述控制设备,接收所述控制设备返回的替换指令;
所述处理单元,还用于根据所述替换指令采用新安全策略集代替所述原安全策略集解析和处理后续接收的报文;其中,所述替换指令是基于所述第一日志和所述第二日志的对比结果确定的。
11.一种电子设备,其特征在于,所述电子设备包括控制器和存储器,
所述存储器,用于存储计算机程序或指令;
所述控制器,用于执行存储器中的计算机程序或指令,使得权利要求1-4和权利要求5中任一项所述的方法被执行。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令在被计算机调用时,使所述计算机执行如权利要求1-4和权利要求5中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210459530.7A CN115037513A (zh) | 2022-04-27 | 2022-04-27 | 一种安全策略的配置方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210459530.7A CN115037513A (zh) | 2022-04-27 | 2022-04-27 | 一种安全策略的配置方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115037513A true CN115037513A (zh) | 2022-09-09 |
Family
ID=83118809
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210459530.7A Pending CN115037513A (zh) | 2022-04-27 | 2022-04-27 | 一种安全策略的配置方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115037513A (zh) |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030223421A1 (en) * | 2002-06-04 | 2003-12-04 | Scott Rich | Atomic lookup rule set transition |
US20160366182A1 (en) * | 2015-06-10 | 2016-12-15 | Hitachi, Ltd. | Evaluation system |
US20180063195A1 (en) * | 2016-08-30 | 2018-03-01 | Nicira, Inc. | Adaptable network event monitoring configuration in datacenters |
CN108183887A (zh) * | 2017-12-12 | 2018-06-19 | 杭州安恒信息技术有限公司 | 一种基于自主授权的云端漏洞扫描策略配置方法及装置 |
CN108462717A (zh) * | 2018-03-21 | 2018-08-28 | 北京理工大学 | 基于规则匹配命中率和分布方差的防火墙规则集优化方法 |
CN111416818A (zh) * | 2020-03-17 | 2020-07-14 | 北京金山云网络技术有限公司 | 网站的安全防护方法、装置和服务器 |
CN112118249A (zh) * | 2020-09-11 | 2020-12-22 | 江苏云柜网络技术有限公司 | 基于日志和防火墙的安全防护方法及装置 |
CN112468472A (zh) * | 2020-11-18 | 2021-03-09 | 中通服咨询设计研究院有限公司 | 一种基于安全日志关联分析的安全策略自反馈方法 |
US10986131B1 (en) * | 2014-12-17 | 2021-04-20 | Amazon Technologies, Inc. | Access control policy warnings and suggestions |
CN113516244A (zh) * | 2021-07-27 | 2021-10-19 | 盛景智能科技(嘉兴)有限公司 | 一种智能运维方法、装置、电子设备及存储介质 |
CN113994359A (zh) * | 2019-06-14 | 2022-01-28 | 微软技术许可有限责任公司 | 用于数据的有效使用以用于个性化的系统 |
-
2022
- 2022-04-27 CN CN202210459530.7A patent/CN115037513A/zh active Pending
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030223421A1 (en) * | 2002-06-04 | 2003-12-04 | Scott Rich | Atomic lookup rule set transition |
US10986131B1 (en) * | 2014-12-17 | 2021-04-20 | Amazon Technologies, Inc. | Access control policy warnings and suggestions |
US20160366182A1 (en) * | 2015-06-10 | 2016-12-15 | Hitachi, Ltd. | Evaluation system |
US20180063195A1 (en) * | 2016-08-30 | 2018-03-01 | Nicira, Inc. | Adaptable network event monitoring configuration in datacenters |
CN108183887A (zh) * | 2017-12-12 | 2018-06-19 | 杭州安恒信息技术有限公司 | 一种基于自主授权的云端漏洞扫描策略配置方法及装置 |
CN108462717A (zh) * | 2018-03-21 | 2018-08-28 | 北京理工大学 | 基于规则匹配命中率和分布方差的防火墙规则集优化方法 |
CN113994359A (zh) * | 2019-06-14 | 2022-01-28 | 微软技术许可有限责任公司 | 用于数据的有效使用以用于个性化的系统 |
CN111416818A (zh) * | 2020-03-17 | 2020-07-14 | 北京金山云网络技术有限公司 | 网站的安全防护方法、装置和服务器 |
CN112118249A (zh) * | 2020-09-11 | 2020-12-22 | 江苏云柜网络技术有限公司 | 基于日志和防火墙的安全防护方法及装置 |
CN112468472A (zh) * | 2020-11-18 | 2021-03-09 | 中通服咨询设计研究院有限公司 | 一种基于安全日志关联分析的安全策略自反馈方法 |
CN113516244A (zh) * | 2021-07-27 | 2021-10-19 | 盛景智能科技(嘉兴)有限公司 | 一种智能运维方法、装置、电子设备及存储介质 |
Non-Patent Citations (1)
Title |
---|
商铮;张斌;: "面向业务流程访问控制策略及决策优化方法", 计算机工程与应用, no. 19 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111726399B (zh) | Docker容器安全访问方法及装置 | |
US10742685B2 (en) | Flow control method and device | |
US10979512B2 (en) | Method and system of data packet transmission | |
EP3396905B1 (en) | Method and device for securely sending a message | |
US10715426B2 (en) | Processing rule modification method, apparatus and device | |
CN110650037B (zh) | 异构网络设备配置方法及装置 | |
CN112714138A (zh) | 基于攻击流量的测试方法、装置、设备及存储介质 | |
CN112491789B (zh) | 一种基于OpenStack框架的虚拟防火墙构建方法及存储介质 | |
CN113098852B (zh) | 一种日志处理方法及装置 | |
CN106878052B (zh) | 一种用户迁移方法和装置 | |
CN112235124B (zh) | 一种皮基站配置方法、装置、存储介质和电子装置 | |
US20170034005A1 (en) | Flow Entry Management Method and Device | |
CN115037513A (zh) | 一种安全策略的配置方法及装置 | |
CN115174474B (zh) | 一种私有云内基于SRv6的SFC实现方法及装置 | |
CN114244555B (zh) | 一种安全策略的调整方法 | |
CN106533882B (zh) | 报文的处理方法及装置 | |
CN115208671A (zh) | 防火墙配置方法、装置、电子设备和存储介质 | |
CN112350856B (zh) | 分布式服务签退方法及设备 | |
CN114567678A (zh) | 一种云安全服务的资源调用方法、装置及电子设备 | |
US11422845B2 (en) | Native cloud live traffic migration to counter suspected harmful traffic | |
US20090158386A1 (en) | Method and apparatus for checking firewall policy | |
US11604877B1 (en) | Nested courses of action to support incident response in an information technology environment | |
US20190253913A1 (en) | System and method for managing filtering rules from a remote server | |
CN115086219B (zh) | 一种虚拟路由器确定方法、设备及计算机可读存储介质 | |
CN111478794B (zh) | 一种信令报文交互方法、装置、终端设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |