CN116866091B - 一种防火墙防护系统、方法、电子设备及存储介质 - Google Patents

一种防火墙防护系统、方法、电子设备及存储介质 Download PDF

Info

Publication number
CN116866091B
CN116866091B CN202311133638.8A CN202311133638A CN116866091B CN 116866091 B CN116866091 B CN 116866091B CN 202311133638 A CN202311133638 A CN 202311133638A CN 116866091 B CN116866091 B CN 116866091B
Authority
CN
China
Prior art keywords
parameter configuration
configuration command
firewall
policy
digitally signed
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202311133638.8A
Other languages
English (en)
Other versions
CN116866091A (zh
Inventor
于运涛
王力
张大松
杨晖
姜洪朝
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
6th Research Institute of China Electronics Corp
Original Assignee
6th Research Institute of China Electronics Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 6th Research Institute of China Electronics Corp filed Critical 6th Research Institute of China Electronics Corp
Priority to CN202311133638.8A priority Critical patent/CN116866091B/zh
Publication of CN116866091A publication Critical patent/CN116866091A/zh
Application granted granted Critical
Publication of CN116866091B publication Critical patent/CN116866091B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请提供了一种防火墙防护系统、方法、电子设备及存储介质,防火墙策略管理模块,用于在接收到管理员对防火墙的策略参数进行更改请求之后,允许管理员对防火墙的策略参数进行更改,得到策略参数配置命令,并对策略参数配置命令进行数字签名;私有链数据存储模块,用于在接收到数字签名后的策略参数配置命令之后,智能合约根据数字签名后的策略参数配置命令的执行方式,对数字签名后的策略参数配置命令进行存储处理,在存储处理之后将数字签名后的策略参数配置命令发送至防火墙;防火墙模块,用于对数字签名后的策略参数配置命令进行数字验签,对验签成功的策略参数配置命令进行参数配置。提高了对防火墙进行参数配置的安全性。

Description

一种防火墙防护系统、方法、电子设备及存储介质
技术领域
本申请涉及信息安全技术领域,尤其是涉及一种防火墙防护系统、方法、电子设备及存储介质。
背景技术
防火墙作为企业内部网络与外部网络的主要安全屏障,其重要性不言而喻,防火墙的配置管理工作直接关系到防火墙的工作状态,进而影响企业的出口网络状态,因此,防火墙的配置管理工作本身的安全性和操作规范性也需要得到重视和监管。然而大型企业一般采用集中式管理平台对防火墙进行防管理,这种管理平台对防火墙的参数配置过程中的安全性低。所以,如何对防火墙进行防护,提高防火墙的参数配置过程中的安全性成为了不容小觑的技术问题。
发明内容
有鉴于此,本申请的目的在于提供一种防火墙防护系统、方法、电子设备及存储介质,通过数字签名和验签解决了防火墙的参数配置命令在传输过程中被篡改的问题,利用私有链数据存储模块实现了可以查找出历史配置参数,并提高了对防火墙进行参数配置的安全性。
本申请实施例提供了一种防火墙防护系统,所述防火墙防护系统包括防火墙策略管理模块、私有链数据存储模块以及防火墙模块,所述私有链数据存储模块通信分别与所述防火墙策略管理模块以及所述防火墙模块通信连接;其中,
所述防火墙策略管理模块,用于在接收到管理员对防火墙的策略参数进行更改请求之后,允许所述管理员在该防火墙策略管理模块之上对所述防火墙的策略参数进行更改,得到策略参数配置命令,并对所述策略参数配置命令进行数字签名,得到数字签名后的所述策略参数配置命令;
所述私有链数据存储模块,用于在接收到数字签名后的所述策略参数配置命令之后,智能合约根据数字签名后的所述策略参数配置命令的执行方式,对数字签名后的所述策略参数配置命令进行存储处理,在存储处理之后将数字签名后的所述策略参数配置命令发送至所述防火墙;
所述防火墙模块,用于对接收到的数字签名后的所述策略参数配置命令进行数字验签,对验签成功的所述策略参数配置命令进行参数配置。
在一种可能的实施方式之中,通过以下步骤对所述策略参数配置命令进行数字签名,得到数字签名后的所述策略参数配置命令:
确定出所述策略参数配置命令的配置时间信息,将所述配置时间信息与所述策略参数配置命令进行关联,确定出关联后的所述策略参数配置命令;
关联后的所述策略参数配置命令经过所述管理员以及所述防火墙策略管理模块的数字签名,确定出数字签名后的所述策略参数配置命令。
在一种可能的实施方式之中,所述关联后的所述策略参数配置命令经过所述管理员以及所述防火墙策略管理模块的数字签名,确定出数字签名后的所述策略参数配置命令,包括:
所述防火墙策略管理模块对所述关联后的所述策略参数配置命令进行数字签名,生成一级签名后的所述策略参数配置命令;
所述管理员对一级签名后的所述策略参数配置命令进行数字签名,生成数字签名后的所述策略参数配置命令。
在一种可能的实施方式之中,所述私有链数据存储模块在用于所述智能合约根据数字签名后的所述策略参数配置命令的执行方式,对数字签名后的所述策略参数配置命令进行存储处理时,所述私有链数据存储模块具体用于:
确定出数字签名后的所述策略参数配置命令的执行方式;其中,所述执行方式包括立即执行方式以及延后执行方式;
将所述立即执行方式相对应的数字签名后的所述策略参数配置命令存储至所述私有链数据存储模块的区块链之后,将数字签名后的所述策略参数配置命令立即发送至所述防火墙模块;
将所述延后执行方式相对应的数字签名后的所述策略参数配置命令存储至所述区块链之后,所述智能合约基于数字签名后的所述策略参数配置命令的延后时间将数字签名后的所述策略参数配置命令延迟发送至所述防火墙模块。
在一种可能的实施方式之中,所述防火墙模块在用于对接收到的数字签名后的所述策略参数配置命令进行验签,对验签成功的所述策略参数配置命令进行参数配置时,所述防火墙模块具体用于:
基于一级签名公钥以及管理员数字签名对数字签名后的所述策略参数配置命令进行一级验签,若一级验签成功,则确定出一级签名后的所述策略参数配置命令;
基于二级签名公钥以及防火墙策略管理模块数字签名对一级签名后的所述策略参数配置命令进行二级验签,若二级验签成功,则确定出所述策略参数配置命令;
基于所述策略参数配置命令进行参数配置。
在一种可能的实施方式之中,所述私有链数据存储模块还用于:
基于数字签名后的所述策略参数配置命令之中的数字签名,确定出所述管理员的信息以及所述防火墙策略管理模块之中的策略参数配置单元的信息。
在一种可能的实施方式之中,所述私有链数据存储模块还用于:
向用户提供查看所述防火墙模块的历史策略参数配置命令。
本申请实施例还提供了一种防火墙防护方法,所述防火墙防护方法包括:
防火墙策略管理模块在接收到管理员对防火墙的策略参数进行更改请求之后,允许所述管理员在该防火墙策略管理模块之上对所述防火墙的策略参数进行更改,得到策略参数配置命令,并对所述策略参数配置命令进行数字签名,得到数字签名后的所述策略参数配置命令;
私有链数据存储模块在接收到数字签名后的所述策略参数配置命令之后,智能合约根据数字签名后的所述策略参数配置命令的执行方式,对数字签名后的所述策略参数配置命令进行存储处理,在存储处理之后将数字签名后的所述策略参数配置命令发送至防火墙模块;
所述防火墙模块对接收到的数字签名后的所述策略参数配置命令进行数字验签,对验签成功的所述策略参数配置命令进行参数配置。
本申请实施例还提供一种电子设备,包括:处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时执行如上述的防火墙防护方法的步骤。
本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行如上述的防火墙防护方法的步骤。
本申请实施例提供的一种防火墙防护系统、方法、电子设备及存储介质,所述防火墙防护系统包括防火墙策略管理模块、私有链数据存储模块以及防火墙模块,所述私有链数据存储模块通信分别与所述防火墙策略管理模块以及所述防火墙模块通信连接;其中,所述防火墙策略管理模块,用于在接收到管理员对防火墙的策略参数进行更改请求之后,允许所述管理员在该防火墙策略管理模块之上对所述防火墙的策略参数进行更改,得到策略参数配置命令,并对所述策略参数配置命令进行数字签名,得到数字签名后的所述策略参数配置命令;所述私有链数据存储模块,用于在接收到数字签名后的所述策略参数配置命令之后,智能合约根据数字签名后的所述策略参数配置命令的执行方式,对数字签名后的所述策略参数配置命令进行存储处理,在存储处理之后将数字签名后的所述策略参数配置命令发送至所述防火墙模块;所述防火墙模块,用于对接收到的数字签名后的所述策略参数配置命令进行数字验签,对验签成功的所述策略参数配置命令进行参数配置。通过数字签名和验签解决了防火墙的参数配置命令在传输过程中被篡改的问题,利用私有链数据存储模块实现了可以查找出历史配置参数,并提高了对防火墙模块进行参数配置的安全性。
为使本申请的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例所提供的一种防火墙防护系统的结构示意图;
图2为本申请实施例所提供的数字签名的示意图;
图3为本申请实施例所提供的数字验签的示意图;
图4为本申请实施例所提供的一种防火墙防护系统的交互示意图;
图5为本申请实施例所提供的一种防火墙防护方法的流程示意图;
图6为本申请实施例所提供的一种电子设备的结构示意图。
图标:100-防火墙防护系统;110-防火墙策略管理模块;120-私有链数据存储模块;130-防火墙模块; 600-电子设备;610-处理器;620-存储器;630-总线。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,应当理解,本申请中的附图仅起到说明和描述的目的,并不用于限定本申请的保护范围。另外,应当理解,示意性的附图并未按实物比例绘制。本申请中使用的流程图示出了根据本申请的一些实施例实现的操作。应当理解,流程图的操作可以不按顺序实现,没有逻辑的上下文关系的步骤可以反转顺序或者同时实施。此外,本领域技术人员在本申请内容的指引下,可以向流程图添加一个或多个其他操作,也可以从流程图中移除一个或多个操作。
另外,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的全部其他实施例,都属于本申请保护的范围。
为了使得本领域技术人员能够使用本申请内容,结合特定应用场景“对防火墙进行防护”,给出以下实施方式,对于本领域技术人员来说,在不脱离本申请的精神和范围的情况下,可以将这里定义的一般原理应用于其他实施例和应用场景。
首先,对本申请可适用的应用场景进行介绍。本申请可应用于信息安全技术领域。
现阶段,防火墙作为企业内部网络与外部网络的主要安全屏障,其重要性不言而喻,防火墙的配置管理工作直接关系到防火墙的工作状态,进而影响企业的出口网络状态,因此,防火墙的配置管理工作本身的安全性和操作规范性也需要得到重视和监管。然而大型企业一般采用集中式管理平台对防火墙进行防管理,这种管理平台对防火墙的参数配置过程中的安全性低。所以如何对防火墙进行防护,提高防火墙的参数配置过程中的安全性成为了不容小觑的技术问题。
基于此,本申请实施例提供了一种防火墙防护系统,通过数字签名和验签解决了防火墙的参数配置命令在传输过程中被篡改的问题,利用私有链数据存储模块实现了可以查找出历史配置参数,并提高了对防火墙进行参数配置的安全性。
请参阅图1,图1为本申请实施例所提供的一种防火墙防护系统100的结构示意图。如图1中所示,本申请实施例提供的防火墙防护系统100包括防火墙策略管理模块110、私有链数据存储模块120以及防火墙模块130,所述私有链数据存储模块120通信分别与所述防火墙策略管理模块110以及所述防火墙模块130通信连接。
具体的,所述防火墙策略管理模块110,用于在接收到管理员对防火墙的策略参数进行更改请求之后,允许所述管理员在该防火墙策略管理模块110之上对所述防火墙的策略参数进行更改,得到策略参数配置命令,并对所述策略参数配置命令进行数字签名,得到数字签名后的所述策略参数配置命令;所述私有链数据存储模块120,用于在接收到数字签名后的所述策略参数配置命令之后,智能合约根据数字签名后的所述策略参数配置命令的执行方式,对数字签名后的所述策略参数配置命令进行存储处理,在存储处理之后将数字签名后的所述策略参数配置命令发送至所述防火墙;所述防火墙模块130,用于对接收到的数字签名后的所述策略参数配置命令进行数字验签,对验签成功的所述策略参数配置命令进行参数配置。
其中,管理员可以是一种带有数字签名能力的设备,包含唯一的签名私钥和签名公钥,由企业里面具有防火墙系统管理权限的工作人员持有,工作人员工号与管理员设备编号一一对应。工作人员在操作管理平台前需要将自己的管理员设备接入管理平台,并被管理平台识别。
其中,在防火墙策略管理模块110之中包括多个策略参数配置单元,策略参数配置单元包括网络暴露风险管理单元、访问控制基线管理单元、流程变更管理单元、策略优化管理单元、安全域与安全拓扑管理单元等,这些模块所实现的功能与现有的防火墙管理平台所实现的功能相一致,此部分不再进行赘述。
这里,本方案中的防火墙策略管理模块110与传统的防火墙管理平台不同的在本方案中的防火墙策略管理模块110中的每个策略参数配置单元都加入了数字签名能力。每次利用防火墙策略管理模块110中的策略参数配置单元进行防火墙的策略参数更改时,更改成功的策略参数配置命令都会自动加入策略参数配置单元的数字签名和管理员的数字签名。
其中,私有链数据存储模块120将防火墙策略管理模块110下发的数字签名后的策略参数配置命令存入区块链之后转发给防火墙,考虑到存储的快速性以及企业的管理特点,本文的区块链系统采用私有链,私有链入链速度快且便于企业集中管理。
在一种可能的实施方式之中,通过以下步骤对所述策略参数配置命令进行数字签名,得到数字签名后的所述策略参数配置命令:
A:确定出所述策略参数配置命令的配置时间信息,将所述配置时间信息与所述策略参数配置命令进行关联,确定出关联后的所述策略参数配置命令。
这里,确定出策略参数配置命令的配置时间信息,将配置时间信息与策略参数配置命令进行关联,确定出关联后的策略参数配置命令。
B:关联后的所述策略参数配置命令经过所述管理员以及所述防火墙策略管理模块的数字签名,确定出数字签名后的所述策略参数配置命令。
这里,关联后的策略参数配置命令经过管理员以及防火墙策略管理模块110的数字签名,确定出数字签名后的策略参数配置命令。
其中,数字签名和验签发生在防火墙策略管理模块110及管理员与防火墙之间的策略参数配置命令的发送和接收过程之中,存入私有链数据存储模块120的数字签名后的策略参数配置命令已经包含防火墙策略管理模块110及管理员的共计2级签名。数字签名一起存入私有链有利于通过管理员设备追溯参数配置命令的实际操作人员以及操作的策略参数配置单元。
进一步的,请参阅图2,图2为本申请实施例所提供的数字签名的示意图。如图2所示,防火墙策略管理模块对关联后的策略参数配置命令进行数字签名,生成一级签名后的所述策略参数配置命令;管理员对一级签名后的策略参数配置命令进行数字签名,生成数字签名后的策略参数配置命令。
在一种可能的实施方式之中,所述关联后的所述策略参数配置命令经过所述管理员以及所述防火墙策略管理模块110的数字签名,确定出数字签名后的所述策略参数配置命令,包括:
所述防火墙策略管理模块对所述关联后的所述策略参数配置命令进行数字签名,生成一级签名后的所述策略参数配置命令;所述管理员对一级签名后的所述策略参数配置命令进行数字签名,生成数字签名后的所述策略参数配置命令。
这里,防火墙策略管理模块110对关联后的策略参数配置命令进行数字签名,生成一级签名后的策略参数配置命令,管理员对一级签名后的策略参数配置命令进行数字签名,生成数字签名后的策略参数配置命令。
在一种可能的实施方式之中,所述私有链数据存储模块120在用于所述智能合约根据数字签名后的所述策略参数配置命令的执行方式,对数字签名后的所述策略参数配置命令进行存储处理时,所述私有链数据存储模块120具体用于:
a:确定出数字签名后的所述策略参数配置命令的执行方式;其中,所述执行方式包括立即执行方式以及延后执行方式。
这里,确定出数字签名后的所述策略参数配置命令的执行方式,执行方式是管理员在对防火墙模块130的策略参数进行更改时设置的。
b:将所述立即执行方式相对应的数字签名后的所述策略参数配置命令存储至所述私有链数据存储模块的区块链之后,将数字签名后的所述策略参数配置命令立即发送至所述防火墙模块。
这里,将立即执行方式相对应的数字签名后的策略参数配置命令存储至私有链数据存储模块120的区块链之后,将数字签名后的策略参数配置命令立即发送至防火墙模块130。
c:将所述延后执行方式相对应的数字签名后的所述策略参数配置命令存储至所述区块链之后,所述智能合约基于数字签名后的所述策略参数配置命令的延后时间将数字签名后的所述策略参数配置命令延迟发送至所述防火墙模块。
这里,将延后执行方式相对应的数字签名后的策略参数配置命令存储至私有链数据存储模块120的区块链之后,智能合约根据数字签名后的策略参数配置命令的延后时间将数字签名后的策略参数配置命令延迟发送至防火墙模块130。
其中,对于立即执行的数字签名后的策略参数配置命令,存入区块链之后,立即转发给防火墙执行。对于延后执行的数字签名后的策略参数配置命令,存入区块链并加入智能合约,由智能合约根据延后时间控制防火墙执行数字签名后的策略参数配置命令。
在一种可能的实施方式之中,所述防火墙模块130在用于对接收到的数字签名后的所述策略参数配置命令进行验签,对验签成功的所述策略参数配置命令进行参数配置时,所述防火墙模块130具体用于:
I:基于一级签名公钥以及管理员数字签名对数字签名后的所述策略参数配置命令进行一级验签,若一级验签成功,则确定出一级签名后的所述策略参数配置命令。
这里,根据一级签名公钥以及管理员数字签名对数字签名后的策略参数配置命令进行一级验签,若一级验签成功,则确定出一级签名后的策略参数配置命令。
其中,一级签名公钥为管理员公钥。
II:基于二级签名公钥以及防火墙策略管理模块110数字签名对一级签名后的所述策略参数配置命令进行二级验签,若二级验签成功,则确定出所述策略参数配置命令。
这里,根据二级签名公钥以及防火墙策略管理模块110数字签名对一级签名后的策略参数配置命令进行二级验签,若二级验签成功,则确定出策略参数配置命令。
其中,二级签名公钥为防火墙策略管理模块110的签名公钥。
进一步的,如图3所示,图3为本申请实施例所提供的数字验签的示意图。如图3所示,根据一级签名公钥以及管理员数字签名对数字签名后的所策略参数配置命令进行一级验签,若一级验签成功,则确定出一级签名后的所述策略参数配置命令,根据二级签名公钥以及防火墙策略管理模块数字签名对一级签名后的策略参数配置命令进行二级验签,若二级验签成功,则确定出策略参数配置命令。
III:基于所述策略参数配置命令进行参数配置。
这里,防火墙模块130根据策略参数配置命令进行参数配置。
在具体实施例之中,按照标准的验签原理,将接收的数字签名后的所述策略参数配置命令用一级签名公钥和管理员签名对数字签名后的策略参数配置命令进行验签。验签失败,则认为策略参数配置命令在传输过程中受到攻击被篡改,直接丢弃。验签成功,则继续执行第2级验签。然后,将验签成功的一级签名后的策略参数配置命令用二级签名公钥以及防火墙策略管理模块110数字签名进行第2级验签。验签失败,则认为策略参数配置命令在传输过程中受到攻击被篡改,直接丢弃。验签成功,则执行策略参数配置命令对防火墙模块130进行参数配置。
在一种可能的实施方式之中,所述私有链数据存储模块120还用于:
基于数字签名后的所述策略参数配置命令之中的数字签名,确定出所述管理员的信息以及所述防火墙策略管理模块110之中的策略参数配置单元的信息。
这里,根据数字签名后的策略参数配置命令之中的数字签名,确定出管理员的信息以及防火墙策略管理模块110之中的策略参数配置单元的信息。从而实现了数字签名一起存入私有链数据存储模块120有利于通过管理员设备追溯策略参数配置命令的实际操作人员以及操作的策略参数配置单元。
在一种可能的实施方式之中,所述私有链数据存储模块120还用于:
向用户提供查看所述防火墙模块130的历史策略参数配置命令。
其中,在私有链中的查阅终端供企业监管人员查看防火墙模块130的管理配置历史。私有链的存在保证了防火墙策略管理模块110对防火墙的参数配置过程公开透明,区块链的特性保证了配置历史记录不会被篡改,可以随时被企业监管人员及获得权限的相关人员查看。
进一步的,请参阅图4,图4为本申请实施例所提供的一种防火墙防护系统100的交互示意图。如图4所示,防火墙策略管理模块110接收到管理员对防火墙的策略参数进行更改请求之后,根据网络暴露风险管理单元、访问控制基线管理单元、流程变更管理单元、策略优化管理单元、安全域与安全拓扑管理单元中的任意单元对防火墙的策略参数进行更改,得到策略参数配置命令,并对策略参数配置命令进行数字签名,得到数字签名后的策略参数配置命令,私有链数据存储模块120根据数字签名后的所述策略参数配置命令的立即执行方式或者延后执行方式,将立即执行方式相对应的数字签名后的策略参数配置命令存储至私有链数据存储模块120的区块链之后,将数字签名后的策略参数配置命令立即发送至防火墙模块130;将延后执行方式相对应的数字签名后的策略参数配置命令存储至区块链之后,智能合约基于数字签名后的策略参数配置命令的延后时间将数字签名后的策略参数配置命令延迟发送至防火墙模块130,防火墙模块130对接收到的数字签名后的策略参数配置命令进行数字验签,对验签成功的策略参数配置命令进行参数配置。实现了大型企业的具有配置参数和操作能够进行安全透明监管的防火墙系统及具体监管工作流程,从而实现对大型防火墙系统的配置操作过程进行安全可信的记录、监管和审计。
本申请实施例提供的一种防火墙防护系统,所述防火墙防护系统包括防火墙策略管理模块、私有链数据存储模块以及防火墙模块,所述私有链数据存储模块通信分别与所述防火墙策略管理模块以及所述防火墙模块通信连接;其中,所述防火墙策略管理模块,用于在接收到管理员对防火墙的策略参数进行更改请求之后,允许所述管理员在该防火墙策略管理模块之上对所述防火墙的策略参数进行更改,得到策略参数配置命令,并对所述策略参数配置命令进行数字签名,得到数字签名后的所述策略参数配置命令;所述私有链数据存储模块,用于在接收到数字签名后的所述策略参数配置命令之后,智能合约根据数字签名后的所述策略参数配置命令的执行方式,对数字签名后的所述策略参数配置命令进行存储处理,在存储处理之后将数字签名后的所述策略参数配置命令发送至所述防火墙模块;所述防火墙模块,用于对接收到的数字签名后的所述策略参数配置命令进行数字验签,对验签成功的所述策略参数配置命令进行参数配置。通过数字签名和验签解决了防火墙的参数配置命令在传输过程中被篡改的问题,利用私有链数据存储模块实现了可以查找出历史配置参数,并提高了对防火墙进行参数配置的安全性。
请参阅图5,图5为本申请实施例所提供的一种防火墙防护方法的流程示意图。如图5中所示,本申请实施例提供的防火墙防护方法,包括:
S501:防火墙策略管理模块在接收到管理员对防火墙的策略参数进行更改请求之后,允许所述管理员在该防火墙策略管理模块之上对所述防火墙的策略参数进行更改,得到策略参数配置命令,并对所述策略参数配置命令进行数字签名,得到数字签名后的所述策略参数配置命令。
该步骤中,防火墙策略管理模块在接收到管理员对防火墙的策略参数进行更改请求之后,允许管理员在该防火墙策略管理模块之上对防火墙的策略参数进行更改,得到策略参数配置命令,并对策略参数配置命令进行数字签名,得到数字签名后的策略参数配置命令。
S502:私有链数据存储模块在接收到数字签名后的所述策略参数配置命令之后,智能合约根据数字签名后的所述策略参数配置命令的执行方式,对数字签名后的所述策略参数配置命令进行存储处理,在存储处理之后将数字签名后的所述策略参数配置命令发送至防火墙模块。
该步骤中,私有链数据存储模块在接收到数字签名后的策略参数配置命令之后,智能合约根据数字签名后的策略参数配置命令的执行方式,对数字签名后的策略参数配置命令进行存储处理,在存储处理之后将数字签名后的策略参数配置命令发送至防火墙模块。
S503:所述防火墙模块对接收到的数字签名后的所述策略参数配置命令进行数字验签,对验签成功的所述策略参数配置命令进行参数配置。
该步骤中,防火墙模块对接收到的数字签名后的策略参数配置命令进行数字验签,对验签成功的策略参数配置命令进行参数配置。
在一种可能的实施方式之中,通过以下步骤对所述策略参数配置命令进行数字签名,得到数字签名后的所述策略参数配置命令:
确定出所述策略参数配置命令的配置时间信息,将所述配置时间信息与所述策略参数配置命令进行关联,确定出关联后的所述策略参数配置命令;
关联后的所述策略参数配置命令经过所述管理员以及所述防火墙策略管理模块的数字签名,确定出数字签名后的所述策略参数配置命令。
在一种可能的实施方式之中,所述关联后的所述策略参数配置命令经过所述管理员以及所述防火墙策略管理模块的数字签名,确定出数字签名后的所述策略参数配置命令,包括:
所述防火墙策略管理模块对所述关联后的所述策略参数配置命令进行数字签名,生成一级签名后的所述策略参数配置命令;
所述管理员对一级签名后的所述策略参数配置命令进行数字签名,生成数字签名后的所述策略参数配置命令。
在一种可能的实施方式之中,所述智能合约根据数字签名后的所述策略参数配置命令的执行方式,对数字签名后的所述策略参数配置命令进行存储处理,包括:
确定出数字签名后的所述策略参数配置命令的执行方式;其中,所述执行方式包括立即执行方式以及延后执行方式;
将所述立即执行方式相对应的数字签名后的所述策略参数配置命令存储至所述私有链数据存储模块的区块链之后,将数字签名后的所述策略参数配置命令立即发送至所述防火墙模块;
将所述延后执行方式相对应的数字签名后的所述策略参数配置命令存储至所述区块链之后,所述智能合约基于数字签名后的所述策略参数配置命令的延后时间将数字签名后的所述策略参数配置命令延迟发送至所述防火墙模块。
在一种可能的实施方式中,所述对接收到的数字签名后的所述策略参数配置命令进行验签,对验签成功的所述策略参数配置命令进行参数配置,包括:
基于一级签名公钥以及管理员数字签名对数字签名后的所述策略参数配置命令进行一级验签,若一级验签成功,则确定出一级签名后的所述策略参数配置命令;
基于二级签名公钥以及防火墙策略管理模块数字签名对一级签名后的所述策略参数配置命令进行二级验签,若二级验签成功,则确定出所述策略参数配置命令;
基于所述策略参数配置命令进行参数配置。
在一种可能的实施方式之中,所述防火墙防护方法还包括:
基于数字签名后的所述策略参数配置命令之中的数字签名,确定出所述管理员的信息以及所述防火墙策略管理模块之中的策略参数配置单元的信息。
在一种可能的实施方式之中,所述防火墙防护方法还包括:
向用户提供查看所述防火墙模块的历史策略参数配置命令。
本申请实施例提供的一种防火墙防护方法,所述防火墙防护方法包括:
防火墙策略管理模块在接收到管理员对防火墙的策略参数进行更改请求之后,允许所述管理员在该防火墙策略管理模块之上对所述防火墙的策略参数进行更改,得到策略参数配置命令,并对所述策略参数配置命令进行数字签名,得到数字签名后的所述策略参数配置命令;私有链数据存储模块在接收到数字签名后的所述策略参数配置命令之后,智能合约根据数字签名后的所述策略参数配置命令的执行方式,对数字签名后的所述策略参数配置命令进行存储处理,在存储处理之后将数字签名后的所述策略参数配置命令发送至防火墙模块;所述防火墙模块对接收到的数字签名后的所述策略参数配置命令进行数字验签,对验签成功的所述策略参数配置命令进行参数配置。通过数字签名和验签解决了防火墙的参数配置命令在传输过程中被篡改的问题,利用私有链数据存储模块实现了可以查找出历史配置参数,并提高了对防火墙进行参数配置的安全性。
请参阅图6,图6为本申请实施例所提供的一种电子设备的结构示意图。如图6中所示,所述电子设备600包括处理器610、存储器620和总线630。
所述存储器620存储有所述处理器610可执行的机器可读指令,当电子设备600运行时,所述处理器610与所述存储器620之间通过总线630通信,所述机器可读指令被所述处理器610执行时,可以执行如上述图5示方法实施例中的防火墙防护方法的步骤,具体实现方式可参见方法实施例,在此不再赘述。
本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时可以执行如上述图5所示方法实施例中的防火墙防护方法的步骤,具体实现方式可参见方法实施例,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上所述实施例,仅为本申请的具体实施方式,用以说明本申请的技术方案,而非对其限制,本申请的保护范围并不局限于此,尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本申请实施例技术方案的精神和范围,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。

Claims (10)

1.一种防火墙防护系统,其特征在于,所述防火墙防护系统包括防火墙策略管理模块、私有链数据存储模块以及防火墙模块,所述私有链数据存储模块通信分别与所述防火墙策略管理模块以及所述防火墙模块通信连接;其中,
所述防火墙策略管理模块,用于在接收到管理员对防火墙的策略参数进行更改请求之后,允许所述管理员在该防火墙策略管理模块之上对所述防火墙的策略参数进行更改,得到策略参数配置命令,并对所述策略参数配置命令进行数字签名,得到数字签名后的所述策略参数配置命令;
所述私有链数据存储模块,用于在接收到数字签名后的所述策略参数配置命令之后,智能合约根据数字签名后的所述策略参数配置命令的执行方式,对数字签名后的所述策略参数配置命令进行存储处理,在存储处理之后将数字签名后的所述策略参数配置命令发送至所述防火墙模块;
所述防火墙模块,用于对接收到的数字签名后的所述策略参数配置命令进行数字验签,对验签成功的所述策略参数配置命令进行参数配置。
2.根据权利要求1所述的防火墙防护系统,其特征在于,通过以下步骤对所述策略参数配置命令进行数字签名,得到数字签名后的所述策略参数配置命令:
确定出所述策略参数配置命令的配置时间信息,将所述配置时间信息与所述策略参数配置命令进行关联,确定出关联后的所述策略参数配置命令;
关联后的所述策略参数配置命令经过所述管理员以及所述防火墙策略管理模块的数字签名,确定出数字签名后的所述策略参数配置命令。
3.根据权利要求2所述的防火墙防护系统,其特征在于,所述关联后的所述策略参数配置命令经过所述管理员以及所述防火墙策略管理模块的数字签名,确定出数字签名后的所述策略参数配置命令,包括:
所述防火墙策略管理模块对所述关联后的所述策略参数配置命令进行数字签名,生成一级签名后的所述策略参数配置命令;
所述管理员对一级签名后的所述策略参数配置命令进行数字签名,生成数字签名后的所述策略参数配置命令。
4.根据权利要求1所述的防火墙防护系统,其特征在于,所述私有链数据存储模块在用于所述智能合约根据数字签名后的所述策略参数配置命令的执行方式,对数字签名后的所述策略参数配置命令进行存储处理时,所述私有链数据存储模块具体用于:
确定出数字签名后的所述策略参数配置命令的执行方式;其中,所述执行方式包括立即执行方式以及延后执行方式;
将所述立即执行方式相对应的数字签名后的所述策略参数配置命令存储至所述私有链数据存储模块的区块链之后,将数字签名后的所述策略参数配置命令立即发送至所述防火墙模块;
将所述延后执行方式相对应的数字签名后的所述策略参数配置命令存储至所述区块链之后,所述智能合约基于数字签名后的所述策略参数配置命令的延后时间将数字签名后的所述策略参数配置命令延迟发送至所述防火墙模块。
5.根据权利要求3所述的防火墙防护系统,其特征在于,所述防火墙模块在用于对接收到的数字签名后的所述策略参数配置命令进行验签,对验签成功的所述策略参数配置命令进行参数配置时,所述防火墙模块具体用于:
基于一级签名公钥以及管理员数字签名对数字签名后的所述策略参数配置命令进行一级验签,若一级验签成功,则确定出一级签名后的所述策略参数配置命令;
基于二级签名公钥以及防火墙策略管理模块数字签名对一级签名后的所述策略参数配置命令进行二级验签,若二级验签成功,则确定出所述策略参数配置命令;
基于所述策略参数配置命令进行参数配置。
6.根据权利要求1所述的防火墙防护系统,其特征在于,所述私有链数据存储模块还用于:
基于数字签名后的所述策略参数配置命令之中的数字签名,确定出所述管理员的信息以及所述防火墙策略管理模块之中的策略参数配置单元的信息。
7.根据权利要求1所述的防火墙防护系统,其特征在于,所述私有链数据存储模块还用于:
向用户提供查看所述防火墙模块的历史策略参数配置命令。
8.一种防火墙防护方法,其特征在于,所述防火墙防护方法应用于权利要求1-7任一所述的防火墙防护系统,所述防火墙防护方法包括:
防火墙策略管理模块在接收到管理员对防火墙的策略参数进行更改请求之后,允许所述管理员在该防火墙策略管理模块之上对所述防火墙的策略参数进行更改,得到策略参数配置命令,并对所述策略参数配置命令进行数字签名,得到数字签名后的所述策略参数配置命令;
私有链数据存储模块在接收到数字签名后的所述策略参数配置命令之后,智能合约根据数字签名后的所述策略参数配置命令的执行方式,对数字签名后的所述策略参数配置命令进行存储处理,在存储处理之后将数字签名后的所述策略参数配置命令发送至防火墙模块;
所述防火墙模块对接收到的数字签名后的所述策略参数配置命令进行数字验签,对验签成功的所述策略参数配置命令进行参数配置。
9.一种电子设备,其特征在于,包括:处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述处理器与所述存储器之间通过所述总线进行通信,所述机器可读指令被所述处理器运行时执行如权利要求8所述的防火墙防护方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行如权利要求8所述的防火墙防护方法的步骤。
CN202311133638.8A 2023-09-05 2023-09-05 一种防火墙防护系统、方法、电子设备及存储介质 Active CN116866091B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311133638.8A CN116866091B (zh) 2023-09-05 2023-09-05 一种防火墙防护系统、方法、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311133638.8A CN116866091B (zh) 2023-09-05 2023-09-05 一种防火墙防护系统、方法、电子设备及存储介质

Publications (2)

Publication Number Publication Date
CN116866091A CN116866091A (zh) 2023-10-10
CN116866091B true CN116866091B (zh) 2023-11-07

Family

ID=88234523

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311133638.8A Active CN116866091B (zh) 2023-09-05 2023-09-05 一种防火墙防护系统、方法、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN116866091B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111404693A (zh) * 2020-03-06 2020-07-10 电子科技大学 一种适用于数字签名的密码逆向防火墙方法
CN114362983A (zh) * 2020-10-12 2022-04-15 中国移动通信集团江西有限公司 一种防火墙策略管理方法、装置、计算机设备和存储介质
CN115022066A (zh) * 2022-06-16 2022-09-06 浙江中烟工业有限责任公司 基于防火墙的关键数据保护方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1747655B1 (en) * 2004-05-20 2017-12-06 QinetiQ Limited Firewall system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111404693A (zh) * 2020-03-06 2020-07-10 电子科技大学 一种适用于数字签名的密码逆向防火墙方法
CN114362983A (zh) * 2020-10-12 2022-04-15 中国移动通信集团江西有限公司 一种防火墙策略管理方法、装置、计算机设备和存储介质
CN115022066A (zh) * 2022-06-16 2022-09-06 浙江中烟工业有限责任公司 基于防火墙的关键数据保护方法

Also Published As

Publication number Publication date
CN116866091A (zh) 2023-10-10

Similar Documents

Publication Publication Date Title
US11418532B1 (en) Automated threat modeling using machine-readable threat models
US9940466B2 (en) Computer-implemented command control in information technology service environment
CN112134956A (zh) 一种基于区块链的分布式物联网指令管理方法和系统
CN105162756A (zh) 一种政府虚拟化办公平台的实现方法
US20180034780A1 (en) Generation of asset data used in creating testing events
US20230208882A1 (en) Policy - aware vulnerability mapping and attack planning
US20170270602A1 (en) Object manager
CN106406980B (zh) 一种虚拟机的部署方法和装置
CN104169939A (zh) 一种实现虚拟化安全的方法和系统
CN111680900A (zh) 一种工单发布方法、装置、电子设备及存储介质
US11170080B2 (en) Enforcing primary and secondary authorization controls using change control record identifier and information
US20170024187A1 (en) Automated approval
WO2021028060A1 (en) Security automation system
US20220159028A1 (en) Generating Alerts Based on Continuous Monitoring of Third Party Systems
CN111124591A (zh) 一种镜像传输方法、装置、电子设备及存储介质
CN116866091B (zh) 一种防火墙防护系统、方法、电子设备及存储介质
US9043793B1 (en) Verification of controls in information technology infrastructure via obligation assertion
CN116996408A (zh) 一种数据传输监控方法、装置、电子设备和存储介质
US20130311385A1 (en) Third Party Security Monitoring & Audit
CN109299053A (zh) 文件的操作方法、设备和计算机存储介质
US11308243B2 (en) Maintenance of access for security enablement in a storage device
CN113360575A (zh) 联盟链中交易数据的监管方法、装置、设备及存储介质
KR20210027038A (ko) 프록시 장치 및 프록시 장치에서 수행되는 정보 처리 방법
CN109246125A (zh) 一种主机安全状况评估系统
CN112464286B (zh) 一种云管理平台的资源保护方法及相关装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant