TWI840244B - 防火牆規則正規化解析與通報追蹤系統及其方法 - Google Patents
防火牆規則正規化解析與通報追蹤系統及其方法 Download PDFInfo
- Publication number
- TWI840244B TWI840244B TW112120718A TW112120718A TWI840244B TW I840244 B TWI840244 B TW I840244B TW 112120718 A TW112120718 A TW 112120718A TW 112120718 A TW112120718 A TW 112120718A TW I840244 B TWI840244 B TW I840244B
- Authority
- TW
- Taiwan
- Prior art keywords
- firewall
- information
- firewall rule
- sub
- security
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 17
- 238000010606 normalization Methods 0.000 title claims abstract description 17
- 230000005540 biological transmission Effects 0.000 claims abstract description 20
- 238000007726 management method Methods 0.000 claims description 88
- 238000012550 audit Methods 0.000 claims description 36
- 238000012954 risk control Methods 0.000 claims description 23
- 238000012552 review Methods 0.000 claims description 21
- 238000004458 analytical method Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 7
- 238000007689 inspection Methods 0.000 description 4
- 238000012795 verification Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
一種防火牆規則正規化解析與通報追蹤系統及其方法,防火牆管理伺服器對防火牆規則中來源IP地址欄位或是目的地IP地址欄位進行正規化解析出至少一子防火牆規則,再依據子防火牆規則是否正確設定以及子防火牆規則中來源IP地址或目的地IP地址是否有對應的管理者資訊,以對子防火牆規則管理資訊進行設定,在子防火牆規則具有高風險傳輸埠或是數據流量為0時提供風險冗餘警示以及安全與需求說明資訊,在接收到與安全與需求說明資訊對應的安全與需求回應資訊以進行審核,藉此可以達成提供防火牆規則正規化解析與通報追蹤的技術功效。
Description
一種防火牆規則正規化解析與通報追蹤系統及其方法,尤其是指一種防火牆管理伺服器對防火牆規則中來源IP地址欄位或是目的地IP地址欄位進行正規化解析出至少一子防火牆規則對應設定管理者資訊,在子防火牆規則具有高風險傳輸埠或是數據流量為0時提供風險冗餘警示以及安全與需求說明資訊的防火牆規則正規化解析與通報追蹤系統及其方法。
防火牆規則關係到企業的資訊安全,針對每筆防火牆規則的異動,包含對防火牆規則異動的內容、誰對防火牆規則進行異動、何時對防火牆規則進行異動以及為何對防火牆規則進行異動皆必須進行稽核及檢核作業。
對規模較大的企業而言,由於防火牆規則的異動次數可能相當多,要如何對被異動的防火牆規則進行風險性以及冗餘性的稽核及檢核則是十分浩大的工程,目前對於防火牆規則的異動稽核及檢核作業一般是由人工逐一檢查異動表單,由於表單內的資料龐大導致人工稽核及檢核不易,並且對於不同的防火牆設備所產出的異動表單格式與內容具有一定程度的差異,故而現有
防火牆規則的風險性以及冗餘性稽核及檢核作業過於的耗時且容易產生人為疏失,造成資訊安全疑慮以及無法提供有效且正確的稽核。
綜上所述,可知先前技術中長期以來一直存在無法提供有效且正確對防火牆規則的風險性以及冗餘性稽核及檢核造成資訊安全疑慮的問題,因此有必要提出改進的技術手段,來解決此一問題。
有鑒於先前技術存在無法提供有效且正確對防火牆規則的風險性以及冗餘性稽核及檢核造成資訊安全疑慮的問題,本發明遂揭露一種防火牆規則正規化解析與通報追蹤系統及其方法,其中:
本發明所揭露的防火牆規則正規化解析與通報追蹤系統,其包含:申請者裝置、防火牆管理者裝置以及防火牆管理伺服器,防火牆管理伺服器更包含:防火牆規則資料庫、內部資產組態資料庫、防火牆規則解析模組、管理者設定模組、風險控管模組以及審核資訊生成模組。
申請者裝置接收風險冗餘警示以執行對應的警示作業,接收安全與需求說明資訊並加以顯示,發送與安全與需求說明資訊對應的安全與需求回應資訊。
防火牆管理者裝置接收風險冗餘警以執行對應的警示作業,接收審核資訊並加以顯示以對審核資訊進行審核。
防火牆規則資料庫儲存有多筆防火牆規則與防火牆規則申請資訊;內部資產組態資料庫對應儲存IP地址以及管理者資訊;防火牆規則解析模組依據防火牆規則申請資訊中申請者資訊將對應的防火牆規則中來源IP地址
欄位或是目的地IP地址欄位解析出至少一子防火牆規則;管理者設定模組對至少一子防火牆規則是否依據對應的防火牆規則申請資訊中防火牆規則設定,且至少一子防火牆規則中來源IP地址或目的地IP地址是否能自內部資產組態資料庫查詢出對應的管理者資訊,以對至少一子防火牆規則的管理資訊進行設定;風險控管模組是當至少一子防火牆規則中支援服務欄位中傳輸埠其中之一為高風險傳輸埠或是至少一子防火牆規則的數據流量於統計期間統計為0時,將對應的防火牆規則生成風險冗餘警示以及安全與需求說明資訊,將風險冗餘警示發送至防火牆管理者裝置,將風險冗餘警示以及安全與需求說明資訊發送至申請者裝置;及審核資訊生成模組自申請者裝置接收與安全與需求說明資訊對應的安全與需求回應資訊,將安全與需求回應資訊與對應的防火牆規則生成審核資訊並發送至防火牆管理者裝置。
本發明所揭露的防火牆規則正規化解析與通報追蹤方法,其包含下列步驟:
首先,防火牆管理伺服器建立防火牆規則資料庫以及內部資產組態資料庫;接著,防火牆規則資料庫儲存有多筆防火牆規則與防火牆規則申請資訊;接著,內部資產組態資料庫對應儲存IP地址以及管理者資訊;接著,防火牆管理伺服器依據防火牆規則申請資訊中申請者資訊將對應的防火牆規則中來源IP地址欄位或是目的地IP地址欄位解析出至少一子防火牆規則;接著,防火牆管理伺服器對至少一子防火牆規則是否依據對應的防火牆規則申請資訊中防火牆規則設定,且至少一子防火牆規則中來源IP地址或目的地IP地址是否能自內部資產組態資料庫查詢出對應的管理者資訊,以對至少一子防火牆規則的管理資訊進行設定;接著,當至少一子防火牆規則中支援服務欄位中傳輸
埠其中之一為高風險傳輸埠或是至少一子防火牆規則的數據流量於統計期間統計為0時,防火牆管理伺服器將對應的防火牆規則生成風險冗餘警示以及安全與需求說明資訊;接著,防火牆管理伺服器將風險冗餘警示發送至防火牆管理者裝置以執行對應的警示作業;接著,防火牆管理伺服器將風險冗餘警示送至申請者裝置以執行對應的警示作業,以及將安全與需求說明資訊發送至申請者裝置並加以顯示;接著,申請者裝置發送與安全與需求說明資訊對應的安全與需求回應資訊至防火牆管理伺服器;接著,防火牆管理伺服器將安全與需求回應資訊與對應的防火牆規則生成審核資訊並發送至防火牆管理者裝置;最後,防火牆管理伺服器對審核資訊進行審核。
本發明所揭露的系統及方法如上,防火牆管理伺服器對防火牆規則中來源IP地址欄位或是目的地IP地址欄位進行正規化解析出至少一子防火牆規則,再依據子防火牆規則是否正確設定以及子防火牆規則中來源IP地址或目的地IP地址是否有對應的管理者資訊,以對子防火牆規則管理資訊進行設定,在子防火牆規則具有高風險傳輸埠或是數據流量為0時提供風險冗餘警示以及安全與需求說明資訊,在接收到與安全與需求說明資訊對應的安全與需求回應資訊以進行審核。
透過上述的技術手段,本發明可以達成提供防火牆規則正規化解析與通報追蹤的技術功效。
10:申請者裝置
20:防火牆管理者裝置
30:防火牆管理伺服器
31:防火牆規則資料庫
32:內部資產組態資料庫
33:防火牆規則解析模組
34:管理者設定模組
35:風險控管模組
36:審核資訊生成模組
41:防火牆規則狀態
42:來源IP地址
43:目的地IP地址
44:支援服務
45:子IP地址
50:稽核裝置
步驟601:防火牆管理伺服器建立防火牆規則資料庫以及內部資產組態資料庫
步驟602:防火牆規則資料庫儲存有多筆防火牆規則與防火牆規則申請資訊
步驟603:內部資產組態資料庫對應儲存IP地址以及管理者資訊
步驟604:防火牆管理伺服器依據防火牆規則申請資訊中申請者資訊將對應的防火牆規則中來源IP地址欄位或是目的地IP地址欄位解析出至少一子防火牆規則
步驟605:防火牆管理伺服器對至少一子防火牆規則是否依據對應的防火牆規則申請資訊中防火牆規則設定,且至少一子防火牆規則中來源IP地址或目的地IP地址是否能自內部資產組態資料庫查詢出對應的管理者資訊,以對至少一子防火牆規則的管理資訊進行設定
步驟606:當至少一子防火牆規則中支援服務欄位中傳輸埠其中之一為高風險傳輸埠或是至少一子防火牆規則的數據流量於統計期間統計為0時,防火牆管理伺服器將對應的防火牆規則生成風險冗餘警示以及安全與需求說明資訊
步驟607:防火牆管理伺服器將風險冗餘警示發送至防火牆管理者裝置以執行對應的警示作業
步驟608:防火牆管理伺服器將風險冗餘警示送至申請者裝置以執行對應的警示作業,以及將安全與需求說明資訊發送至申請者裝置並加以顯示
步驟609:申請者裝置發送與安全與需求說明資訊對應的安全與需求回應資訊至防火牆管理伺服器
步驟610:防火牆管理伺服器將安全與需求回應資訊與對應的防火牆規則生成審核資訊並發送至防火牆管理者裝置
步驟611:防火牆管理伺服器對審核資訊進行審核
第1圖繪示為本發明防火牆規則正規化解析與通報追蹤系統的系統方塊圖。
第2A圖繪示為本發明防火牆規則正規化解析與通報追蹤的防火牆規則示意圖。
第2B圖繪示為本發明防火牆規則正規化解析與通報追蹤的子防火牆規則示意圖。
第3A圖以及第3B圖繪示為本發明防火牆規則正規化解析與通報追蹤方法的方法流程圖。
以下將配合圖式及實施例來詳細說明本發明的實施方式,藉此對本發明如何應用技術手段來解決技術問題並達成技術功效的實現過程能充分理解並據以實施。
以下首先要說明本發明所揭露的防火牆規則正規化解析與通報追蹤系統,並請參考「第1圖」所示,「第1圖」繪示為本發明防火牆規則正規化解析與通報追蹤系統的系統方塊圖。
本發明所揭露的防火牆規則正規化解析與通報追蹤系統,其包含:申請者裝置10、防火牆管理者裝置20以及防火牆管理伺服器30,防火牆管理伺服器30更包含:防火牆規則資料庫31、內部資產組態資料庫32、防火牆規則解析模組33、管理者設定模組34、風險控管模組35以及審核資訊生成模組36。
申請者裝置10與防火牆管理伺服器30以及防火牆管理者裝置20與防火牆管理伺服器30是透過內部網路建立連線,藉此提供裝置與伺服器之間的資料傳輸以及訊息通報。
防火牆管理伺服器30預先建立防火牆規則資料庫31,防火牆規則資料庫31儲存有多筆防火牆規則與防火牆規則申請資訊,每一個生效的防火牆規則是需要經過申請與核准後,才會在防火牆規則資料庫31中建立防火牆規則並且對應記錄申請且被核准的防火牆規則申請資訊,即申請且被核准的防火牆規則申請資訊中的防火牆規則與防火牆規則資料庫31中建立防火牆規則應為相同。
防火牆管理伺服器30預先建立內部資產組態資料庫32,內部資產組態資料庫32對應儲存IP地址以及管理者資訊,表示該IP地址的裝置或是伺服器是由管理者資訊進行管理。
防火牆規則解析模組33會依據防火牆規則申請資訊中申請者資訊將對應的防火牆規則中來源IP地址欄位或是目的地IP地址欄位解析出至少一子防火牆規則,亦即當防火牆規則申請資訊中申請者資訊為來源(Source)申請者時,防火牆規則解析模組33將防火牆規則中來源IP地址欄位的每一個來源IP地址解析出至少一子防火牆規則,相對來說,當防火牆規則申請資訊中申請者資訊為目的地(Destination)申請者時,將防火牆規則中目的地IP地址欄位的每一個目的地IP地址解析出至少一子防火牆規則。
請參考「第2A圖」所示,「第2A圖」繪示為本發明防火牆規則正規化解析與通報追蹤的防火牆規則示意圖。
防火牆規則分別是防火牆規則狀態41、來源IP地址42、目的地IP地址43以及支援服務44,其中,防火牆規則狀態41為“enable”,來源IP地址42分別為“Server-10.100.7.172”、“Server-131.222.35.21”以及“Server-10.100.61.17”,目的地IP地址43分別為“PC-10.200.45.89”以及
“SERVER-10.200.45.88”,支援服務44分別為“FTP”、“TCP-86”以及“TCP-7700”,在此僅為舉例說明之,並不以此侷限本發明的應用範疇。
請參考「第2B圖」所示,「第2B圖」繪示為本發明防火牆規則正規化解析與通報追蹤的子防火牆規則示意圖。
在實施例中,防火牆規則對應的防火牆規則申請資訊中申請者資訊為來源申請者,藉此防火牆規則解析模組33將防火牆規則中來源IP地址42欄位的來源IP地址解析出二個子防火牆規則,子防火牆規則如下所述:
第一子防火牆規則的子IP地址45為“Server-10.100.61.17”,來源IP地址42分別為“空”,目的地IP地址43為“PC-10.200.45.86”,支援服務44分別為“TCP/7700”、“TCP/21”以及“TCP/83”,在此僅為舉例說明之,並不以此侷限本發明的應用範疇。
第二子防火牆規則的子IP地址45為“Server-10.100.7.172”,來源IP地址42分別為“空”,目的地IP地址43為“空”,支援服務44為“空”,在此僅為舉例說明之,並不以此侷限本發明的應用範疇。
接著,管理者設定模組34對至少一子防火牆規則是否依據對應的防火牆規則申請資訊中防火牆規則設定,且至少一子防火牆規則中來源IP地址或目的地IP地址是否能自內部資產組態資料庫32查詢出對應的管理者資訊,以對至少一子防火牆規則的管理資訊進行設定。
值得注意的是,當至少一子防火牆規則依據對應的防火牆規則申請資訊中防火牆規則設定,管理者設定模組34將該防火牆規則申請資訊中申請者資訊設定為至少一子防火牆規則的管理資訊。
具體而言,子防火牆規則A是依據對應的防火牆規則申請資訊中防火牆規則設定,且防火牆規則申請資訊中申請者資訊為“管理者A”,管理者設定模組34即可將申請者資訊為“管理者A”設定為子防火牆規則A的管理資訊,在此僅為舉例說明之,並不以此侷限本發明的應用範疇。
值得注意的是,當所述至少一子防火牆規則不具備對應的防火牆規則申請資訊,且至少一子防火牆規則中來源IP地址或是目的地IP地址自內部資產組態資料庫32查詢出對應的管理者資訊時,管理者設定模組34將管理者資訊設定為至少一子防火牆規則的管理資訊。
具體而言,子防火牆規則B中來源IP地址為“10.100.88.166”,內部資產組態資料庫32中對應儲存有IP地址為“10.100.88.166”以及管理者資訊為“管理者B”,子防火牆規則B不具備對應的防火牆規則申請資訊,並且可自內部資產組態資料庫32查詢出對應的管理者資訊為“管理者B”,管理者設定模組34即可將管理者資訊為“管理者B”設定為子防火牆規則B的管理資訊,在此僅為舉例說明之,並不以此侷限本發明的應用範疇。
值得注意的是,當至少一子防火牆規則不具備對應的防火牆規則申請資訊,且至少一子防火牆規則中來源IP地址或是目的地IP地址無法自內部資產組態資料庫32查詢出對應的管理者資訊時,自防火牆管理者裝置20接收的管理者資訊設定為至少一子防火牆規則的管理資訊。
具體而言,子防火牆規則C中來源IP地址為“10.100.77.155”,內部資產組態資料庫32中並未儲存有IP地址為“10.100.77.155”,子防火牆規則C不具備對應的防火牆規則申請資訊,且無法自內部資產組態資料庫32查詢出對應的管理者資訊,管理者設定模組34會將自防火牆管理者裝置20接收到的
管理者資訊為“管理者C”設定為子防火牆規則C的管理資訊,在此僅為舉例說明之,並不以此侷限本發明的應用範疇。
當至少一子防火牆規則中支援服務欄位中傳輸埠其中之一為高風險傳輸埠或是至少一子防火牆規則的數據流量於統計期間統計為0時,風險控管模組35即可將對應的防火牆規則生成風險冗餘警示以及安全與需求說明資訊,風險控管模組35即可將風險冗餘警示發送至防火牆管理者裝置20,風險控管模組35再將風險冗餘警示以及安全與需求說明資訊發送至申請者裝置10,值得注意的是,前述的高風險傳輸埠例如是:TCP-80、TCP/80、TCP-8080、TCP/8080、HTTP、FTP、SMB…等,前述的統計期間例如是:3日、一周、半個月、一個月…等,在此僅為舉例說明之,並不以此侷限本發明的應用範疇。
防火牆管理者裝置20自防火牆管理伺服器30接收風險冗餘警示時,防火牆管理者裝置20即可依據風險冗餘警示以執行對應的警示作業,藉此即可提示防火牆管理者防火牆規則存在高風險性或是防火牆規則不具備數據流量應為冗餘的規則。
申請者裝置10自防火牆管理伺服器30接收風險冗餘警示時,申請者裝置10即可依據風險冗餘警示以執行對應的警示作業,並且申請者裝置10自防火牆管理伺服器30接收安全與需求說明資訊並加以顯示,藉此即可提示使用申請者裝置10的使用者先前提出的防火牆規則存在高風險性或是防火牆規則不具備數據流量應為冗餘的規則,應提出與安全與需求說明資訊對應的安全與需求回應資訊。
在申請者裝置10反饋與安全與需求說明資訊對應的安全與需求回應資訊回防火牆管理伺服器30,審核資訊生成模組36即可將安全與需求回應
資訊與對應的防火牆規則生成審核資訊並發送至防火牆管理者裝置20,防火牆管理者裝置20自防火牆管理伺服器30接收審核資訊並加以顯示以對審核資訊進行審核。
在風險控管模組35將風險冗餘警示以及安全與需求說明資訊發送至申請者裝置10,並且審核資訊生成模組36尚未自申請者裝置10接收與安全與需求說明資訊對應的安全與需求回應資訊時,風險控管模組35持續累計追蹤日期(以日為單位),當追蹤日期等於追蹤期限(例如:3日、7日…等,在此僅為舉例說明之,並不以此侷限本發明的應用範疇)時,風險控管模組35即可生成N次安全與需求說明警示資訊且追蹤日期歸零重新累計,其中N為大於等於2的正整數,並發送N次安全與需求說明警示資訊至申請者裝置10以及至少一稽核裝置50,稽核裝置50即是使用申請者裝置10的使用者的直屬上司所使用的裝置、使用50的網路管理主管…等,藉此以對使用申請者裝置10的使用者進行稽核。
當至少一子防火牆規則的數據流量於統計期間統計為0的情況時,風險控管模組35生成與發送風險冗餘警示以及安全與需求說明資訊至申請者裝置10且審核資訊生成模組36尚未自申請者裝置10接收與安全與需求說明資訊對應的安全與需求回應資訊,風險控管模組35持續累計警示異動期限(例如:3日、7日…等,在此僅為舉例說明之,並不以此侷限本發明的應用範疇)。
當警示異動期限等於期限日期(例如:5日、10日、15日…等,在此僅為舉例說明之,並不以此侷限本發明的應用範疇)時,風險控管模組35生成防火牆規則異動警示資訊並發送防火牆規則異動警示資訊至申請者裝置10以及至少一稽核裝置50,並且審核資訊生成模組36依然尚未自申請者裝置10
接收與安全與需求說明資訊對應的安全與需求回應資訊,當間隔固定時間(例如:5日、7日…等,在此僅為舉例說明之,並不以此侷限本發明的應用範疇)風險控管模組35再發送至少二次防火牆規則異動警示資訊至申請者裝置10以及至少一稽核裝置50,審核資訊生成模組36依然尚未自申請者裝置10接收與安全與需求說明資訊對應的安全與需求回應資訊,風險控管模組35將對應的所述防火牆規則中防火牆規則狀態由致能(enable)異動為禁能(disable)。
接著,以下將說明本發明的運作方法,並請同時參考「第3A圖」以及「第3B圖」所示,「第3A圖」以及「第3B圖」繪示為本發明防火牆規則正規化解析與通報追蹤方法的方法流程圖。
本發明所揭露的防火牆規則正規化解析與通報追蹤方法,其包含下列步驟:
首先,防火牆管理伺服器建立防火牆規則資料庫以及內部資產組態資料庫(步驟601);接著,防火牆規則資料庫儲存有多筆防火牆規則與防火牆規則申請資訊(步驟602);接著,內部資產組態資料庫對應儲存IP地址以及管理者資訊(步驟603);接著,防火牆管理伺服器依據防火牆規則申請資訊中申請者資訊將對應的防火牆規則中來源IP地址欄位或是目的地IP地址欄位解析出至少一子防火牆規則(步驟604);接著,防火牆管理伺服器對至少一子防火牆規則是否依據對應的防火牆規則申請資訊中防火牆規則設定,且至少一子防火牆規則中來源IP地址或目的地IP地址是否能自內部資產組態資料庫查詢出對應的管理者資訊,以對至少一子防火牆規則的管理資訊進行設定(步驟605);接著,當至少一子防火牆規則中支援服務欄位中傳輸埠其中之一為高風險傳輸埠或是至少一子防火牆規則的數據流量於統計期間統計為0時,防
火牆管理伺服器將對應的防火牆規則生成風險冗餘警示以及安全與需求說明資訊(步驟606);接著,防火牆管理伺服器將風險冗餘警示發送至防火牆管理者裝置以執行對應的警示作業(步驟607);接著,防火牆管理伺服器將風險冗餘警示送至申請者裝置以執行對應的警示作業,以及將安全與需求說明資訊發送至申請者裝置並加以顯示(步驟608);接著,申請者裝置發送與安全與需求說明資訊對應的安全與需求回應資訊至防火牆管理伺服器(步驟609);接著,防火牆管理伺服器將安全與需求回應資訊與對應的防火牆規則生成審核資訊並發送至防火牆管理者裝置(步驟610);最後,防火牆管理伺服器對審核資訊進行審核(步驟611)。
綜上所述,本發明的防火牆管理伺服器對防火牆規則中來源IP地址欄位或是目的地IP地址欄位進行正規化解析出至少一子防火牆規則,再依據子防火牆規則是否正確設定以及子防火牆規則中來源IP地址或目的地IP地址是否有對應的管理者資訊,以對子防火牆規則管理資訊進行設定,在子防火牆規則具有高風險傳輸埠或是數據流量為0時提供風險冗餘警示以及安全與需求說明資訊,在接收到與安全與需求說明資訊對應的安全與需求回應資訊以進行審核。
藉由此一技術手段可以來解決先前技術所存在無法提供有效且正確對防火牆規則的風險性以及冗餘性稽核及檢核造成資訊安全疑慮的問題,進而達成提供防火牆規則正規化解析與通報追蹤的技術功效。
雖然本發明所揭露的實施方式如上,惟所述的內容並非用以直接限定本發明的專利保護範圍。任何本發明所屬技術領域中具有通常知識者,在不脫離本發明所揭露的精神和範圍的前提下,可以在實施的形式上及細節上作
些許的更動。本發明的專利保護範圍,仍須以所附的申請專利範圍所界定者為準。
10:申請者裝置
20:防火牆管理者裝置
30:防火牆管理伺服器
31:防火牆規則資料庫
32:內部資產組態資料庫
33:防火牆規則解析模組
34:管理者設定模組
35:風險控管模組
36:審核資訊生成模組
50:稽核裝置
Claims (10)
- 一種防火牆規則正規化解析與通報追蹤系統,其包含: 一申請者裝置,接收一風險冗餘警示以執行對應的警示作業,接收一安全與需求說明資訊並加以顯示,發送與所述安全與需求說明資訊對應的一安全與需求回應資訊; 一防火牆管理者裝置,接收所述風險冗餘警示以執行對應的警示作業,接收一審核資訊並加以顯示以對所述審核資訊進行審核;及 一防火牆管理伺服器,所述防火牆管理伺服器更包含: 一防火牆規則資料庫,儲存有多筆防火牆規則與一防火牆規則申請資訊; 一內部資產組態資料庫,對應儲存一IP地址以及一管理者資訊; 一防火牆規則解析模組,依據所述防火牆規則申請資訊中申請者資訊將對應的所述防火牆規則中來源IP地址欄位或是目的地IP地址欄位解析出至少一子防火牆規則; 一管理者設定模組,對所述至少一子防火牆規則是否依據對應的所述防火牆規則申請資訊中防火牆規則設定,且所述至少一子防火牆規則中來源IP地址或目的地IP地址是否能自所述內部資產組態資料庫查詢出對應的所述管理者資訊,以對所述至少一子防火牆規則的一管理資訊進行設定; 一風險控管模組,當所述至少一子防火牆規則中支援服務欄位中傳輸埠其中之一為高風險傳輸埠或是所述至少一子防火牆規則的數據流量於一統計期間統計為0時,將對應的所述防火牆規則生成一風險冗餘警示以及一安全與需求說明資訊,將所述風險冗餘警示發送至所述防火牆管理者裝置,將所述風險冗餘警示以及所述安全與需求說明資訊發送至所述申請者裝置;及 一審核資訊生成模組,自所述申請者裝置接收與所述安全與需求說明資訊對應的所述安全與需求回應資訊,將所述安全與需求回應資訊與對應的所述防火牆規則生成所述審核資訊並發送至所述防火牆管理者裝置。
- 如請求項1所述的防火牆規則正規化解析與通報追蹤系統,其中所述防火牆規則解析模組是當所述防火牆規則申請資訊中申請者資訊為來源(Source)申請者時,將該防火牆規則中來源IP地址欄位的每一個來源IP地址解析出所述至少一子防火牆規則,或是當所述防火牆規則申請資訊中申請者資訊為目的地(Destination)申請者時,將該防火牆規則中目的地IP地址欄位的每一個目的地IP地址解析出所述至少一子防火牆規則。
- 如請求項1所述的防火牆規則正規化解析與通報追蹤系統,其中所述管理者設定模組是當所述至少一子防火牆規則依據對應的所述防火牆規則申請資訊中防火牆規則設定,將該防火牆規則申請資訊中申請者資訊設定為所述至少一子防火牆規則的一管理資訊;當所述至少一子防火牆規則不具備對應的所述防火牆規則申請資訊,且所述至少一子防火牆規則中來源IP地址或是目的地IP地址自所述內部資產組態資料庫查詢出對應的所述管理者資訊時,將所述管理者資訊設定為所述至少一子防火牆規則的所述管理資訊;及當所述至少一子防火牆規則不具備對應的所述防火牆規則申請資訊,且所述至少一子防火牆規則中來源IP地址或是目的地IP地址無法自所述內部資產組態資料庫查詢出對應的所述管理者資訊時,自所述防火牆管理者裝置接收的所述管理者資訊設定為所述至少一子防火牆規則的所述管理資訊。
- 如請求項1所述的防火牆規則正規化解析與通報追蹤系統,其中所述風險控管模組更包含當將所述安全與需求說明資訊發送至所述申請者裝置,且所述審核資訊生成模組尚未自所述申請者裝置接收與所述安全與需求說明資訊對應的所述安全與需求回應資訊時,所述風險控管模組持續累計一追蹤日期,當所述追蹤日期等於一追蹤期限時,生成一N次安全與需求說明警示資訊且所述追蹤日期歸零重新累計,其中N為大於等於2的正整數,並發送所述N次安全與需求說明警示資訊至所述申請者裝置以及至少一稽核裝置。
- 如請求項1所述的防火牆規則正規化解析與通報追蹤系統,其中所述風險控管模組當所述至少一子防火牆規則的數據流量於所述統計期間統計為0的情況時,生成與發送所述風險冗餘警示以及所述安全與需求說明資訊至所述申請者裝置,且所述審核資訊生成模組尚未自所述申請者裝置接收與所述安全與需求說明資訊對應的所述安全與需求回應資訊時,所述風險控管模組持續累計一警示異動期限,當所述警示異動期限等於一期限日期時,所述風險控管模組生成一防火牆規則異動警示資訊以發送所述防火牆規則異動警示資訊至所述申請者裝置以及至少一稽核裝置,當間隔固定時間再發送至少二次所述防火牆規則異動警示資訊至所述申請者裝置以及至少一稽核裝置,且所述審核資訊生成模組依然尚未自所述申請者裝置接收與所述安全與需求說明資訊對應的所述安全與需求回應資訊時,所述風險控管模組將對應的所述防火牆規則中防火牆規則狀態由致能(enable)異動為禁能(disable)。
- 一種防火牆規則正規化解析與通報追蹤方法,其包含下列步驟: 一防火牆管理伺服器建立一防火牆規則資料庫以及一內部資產組態資料庫; 所述防火牆規則資料庫儲存有多筆防火牆規則與一防火牆規則申請資訊; 所述內部資產組態資料庫對應儲存一IP地址以及一管理者資訊; 所述防火牆管理伺服器依據所述防火牆規則申請資訊中申請者資訊將對應的所述防火牆規則中來源IP地址欄位或是目的地IP地址欄位解析出至少一子防火牆規則; 所述防火牆管理伺服器對所述至少一子防火牆規則是否依據對應的所述防火牆規則申請資訊中防火牆規則設定,且所述至少一子防火牆規則中來源IP地址或目的地IP地址是否能自所述內部資產組態資料庫查詢出對應的所述管理者資訊,以對所述至少一子防火牆規則的一管理資訊進行設定; 當所述至少一子防火牆規則中支援服務欄位中傳輸埠其中之一為高風險傳輸埠或是所述至少一子防火牆規則的數據流量於一統計期間統計為0時,所述防火牆管理伺服器將對應的所述防火牆規則生成一風險冗餘警示以及一安全與需求說明資訊; 所述防火牆管理伺服器將所述風險冗餘警示發送至一防火牆管理者裝置以執行對應的警示作業; 所述防火牆管理伺服器將所述風險冗餘警示送至一申請者裝置以執行對應的警示作業,以及將所述安全與需求說明資訊發送至所述申請者裝置並加以顯示; 所述申請者裝置發送與所述安全與需求說明資訊對應的一安全與需求回應資訊至所述防火牆管理伺服器; 所述防火牆管理伺服器將所述安全與需求回應資訊與對應的所述防火牆規則生成所述審核資訊並發送至所述防火牆管理者裝置;及 所述防火牆管理伺服器對所述審核資訊進行審核。
- 如請求項6所述的防火牆規則正規化解析與通報追蹤方法,其中所述防火牆管理伺服器是當所述防火牆規則申請資訊中申請者資訊為來源申請者時,將該防火牆規則中來源IP地址欄位的每一個來源IP地址解析出所述至少一子防火牆規則,或是當所述防火牆規則申請資訊中申請者資訊為目的地申請者時,將該防火牆規則中目的地IP地址欄位的每一個目的地IP地址解析出所述至少一子防火牆規則。
- 如請求項6所述的防火牆規則正規化解析與通報追蹤方法,其中所述防火牆管理伺服器是當所述至少一子防火牆規則依據對應的所述防火牆規則申請資訊中防火牆規則設定,將該防火牆規則申請資訊中申請者資訊設定為所述至少一子防火牆規則的一管理資訊;當所述至少一子防火牆規則不具備對應的所述防火牆規則申請資訊,且所述至少一子防火牆規則中來源IP地址或是目的地IP地址自所述內部資產組態資料庫查詢出對應的所述管理者資訊時,將所述管理者資訊設定為所述至少一子防火牆規則的所述管理資訊;及當所述至少一子防火牆規則不具備對應的所述防火牆規則申請資訊,且所述至少一子防火牆規則中來源IP地址或是目的地IP地址無法自所述內部資產組態資料庫查詢出對應的所述管理者資訊時,自所述防火牆管理者裝置接收的所述管理者資訊設定為所述至少一子防火牆規則的所述管理資訊。
- 如請求項6所述的防火牆規則正規化解析與通報追蹤方法,其中所述防火牆管理伺服器更包含當將所述安全與需求說明資訊發送至所述申請者裝置,且所述防火牆管理伺服器尚未自所述申請者裝置接收與所述安全與需求說明資訊對應的所述安全與需求回應資訊時,所述防火牆管理伺服器持續累計一追蹤日期,當所述追蹤日期等於一追蹤期限時,生成一N次安全與需求說明警示資訊且所述追蹤日期歸零重新累計,其中N為大於等於2的正整數,並發送所述N次安全與需求說明警示資訊至所述申請者裝置以及至少一稽核裝置。
- 如請求項6所述的防火牆規則正規化解析與通報追蹤方法,其中所述防火牆管理伺服器當所述至少一子防火牆規則的數據流量於所述統計期間統計為0的情況時,生成與發送所述風險冗餘警示以及所述安全與需求說明資訊至所述申請者裝置,且所述防火牆管理伺服器尚未自所述申請者裝置接收與所述安全與需求說明資訊對應的所述安全與需求回應資訊時,所述防火牆管理伺服器持續累計一警示異動期限,當所述警示異動期限等於一期限日期時,所述防火牆管理伺服器生成一防火牆規則異動警示資訊以發送所述防火牆規則異動警示資訊至所述申請者裝置以及至少一稽核裝置,當間隔固定時間再發送至少二次所述防火牆規則異動警示資訊至所述申請者裝置以及至少一稽核裝置,且所述防火牆管理伺服器依然尚未自所述申請者裝置接收與所述安全與需求說明資訊對應的所述安全與需求回應資訊時,所述防火牆管理伺服器將對應的所述防火牆規則中防火牆規則狀態由致能異動為禁能。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW112120718A TWI840244B (zh) | 2023-06-02 | 2023-06-02 | 防火牆規則正規化解析與通報追蹤系統及其方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW112120718A TWI840244B (zh) | 2023-06-02 | 2023-06-02 | 防火牆規則正規化解析與通報追蹤系統及其方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| TWI840244B true TWI840244B (zh) | 2024-04-21 |
Family
ID=91618834
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW112120718A TWI840244B (zh) | 2023-06-02 | 2023-06-02 | 防火牆規則正規化解析與通報追蹤系統及其方法 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI840244B (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107332802A (zh) * | 2016-04-28 | 2017-11-07 | 中国移动通信集团江西有限公司 | 一种防火墙策略监控方法及装置 |
| CN107948205A (zh) * | 2017-12-31 | 2018-04-20 | 中国移动通信集团江苏有限公司 | 防火墙策略生成方法、装置、设备及介质 |
| TWI666567B (zh) * | 2017-08-07 | 2019-07-21 | 中華電信股份有限公司 | 伺服器及其防火牆規則管理方法 |
| TW202020707A (zh) * | 2018-11-27 | 2020-06-01 | 廣達電腦股份有限公司 | 軟體連線之管理系統及方法 |
| CN111786949A (zh) * | 2020-05-22 | 2020-10-16 | 山东鲁能软件技术有限公司 | 防火墙安全策略自动适配系统及方法 |
| US20210250330A1 (en) * | 2018-02-09 | 2021-08-12 | Comcast Cable Communications, Llc | Dynamic firewall configuration |
| TW202321958A (zh) * | 2021-11-16 | 2023-06-01 | 中華電信股份有限公司 | 應用於虛實防火牆的一站式設定系統及其方法 |
| TWM647479U (zh) * | 2023-06-02 | 2023-10-21 | 彰化商業銀行股份有限公司 | 防火牆規則正規化解析與通報追蹤系統 |
-
2023
- 2023-06-02 TW TW112120718A patent/TWI840244B/zh active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107332802A (zh) * | 2016-04-28 | 2017-11-07 | 中国移动通信集团江西有限公司 | 一种防火墙策略监控方法及装置 |
| TWI666567B (zh) * | 2017-08-07 | 2019-07-21 | 中華電信股份有限公司 | 伺服器及其防火牆規則管理方法 |
| CN107948205A (zh) * | 2017-12-31 | 2018-04-20 | 中国移动通信集团江苏有限公司 | 防火墙策略生成方法、装置、设备及介质 |
| US20210250330A1 (en) * | 2018-02-09 | 2021-08-12 | Comcast Cable Communications, Llc | Dynamic firewall configuration |
| TW202020707A (zh) * | 2018-11-27 | 2020-06-01 | 廣達電腦股份有限公司 | 軟體連線之管理系統及方法 |
| CN111786949A (zh) * | 2020-05-22 | 2020-10-16 | 山东鲁能软件技术有限公司 | 防火墙安全策略自动适配系统及方法 |
| TW202321958A (zh) * | 2021-11-16 | 2023-06-01 | 中華電信股份有限公司 | 應用於虛實防火牆的一站式設定系統及其方法 |
| TWM647479U (zh) * | 2023-06-02 | 2023-10-21 | 彰化商業銀行股份有限公司 | 防火牆規則正規化解析與通報追蹤系統 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11188619B2 (en) | Single click delta analysis | |
| US11892924B2 (en) | Generation of an issue detection evaluation regarding a system aspect of a system | |
| US11949706B2 (en) | System and method for assigning threat valuations to network events and security events | |
| US8819807B2 (en) | Apparatus and method for analyzing and monitoring sap application traffic, and information protection system using the same | |
| CN104301136B (zh) | 故障信息上报及处理的方法及设备 | |
| US8595789B2 (en) | Anomalous activity detection | |
| US7653633B2 (en) | Log collection, structuring and processing | |
| US20070288633A1 (en) | Method and system for visualizing network performance characteristics | |
| WO2017161745A1 (zh) | 广告展示的监测方法、装置和系统 | |
| WO2020228276A1 (zh) | 网络告警的方法及装置 | |
| CN102064969A (zh) | 一种日志的处理方法和设备 | |
| CN111667368B (zh) | 反洗钱监测系统及方法 | |
| JP2002108824A (ja) | 電子商取引監査システム、電子商取引監査方法及び電子商取引監査プログラムを記録した記録媒体 | |
| WO2021086523A1 (en) | Support ticket platform for improving network infrastructures | |
| CN112787890A (zh) | 区块链监测系统 | |
| EP3792861A1 (en) | Fair credit screened market data distribution | |
| US8307219B2 (en) | Enterprise black box system and method for data centers | |
| TWI840244B (zh) | 防火牆規則正規化解析與通報追蹤系統及其方法 | |
| CN113794719B (zh) | 一种基于Elasticsearch技术网络异常流量分析方法、装置和电子设备 | |
| CN111082998A (zh) | 一种运维监控校园汇聚层的架构系统 | |
| CN106936648A (zh) | 一种it系统的故障监控方法及系统 | |
| CN109254893B (zh) | 一种业务数据稽核方法、装置、服务器和存储介质 | |
| TWM647479U (zh) | 防火牆規則正規化解析與通報追蹤系統 | |
| CN117453320A (zh) | 一种企业api接口数据调用方法、系统及存储介质 | |
| TWM564751U (zh) | Hacker attack detection system |