一種基于防火墻的網(wǎng)絡(luò)安全的管理方法和系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,具體涉及一種基于防火墻的網(wǎng)絡(luò)安全的管理方法 和系統(tǒng)�。
【背景技術(shù)】
[0002] 防火墻是因特網(wǎng)協(xié)議安全性(Internet Protocol Security, IPSEC)這一安全框 架下的一種網(wǎng)絡(luò)設(shè)備,用于各種網(wǎng)絡(luò)間�����,管制網(wǎng)絡(luò)上各種資源的進(jìn)出����。進(jìn)行流量統(tǒng)計(jì)并對其 訪問進(jìn)行有效的控制。
[0003] 當(dāng)前的防火墻網(wǎng)絡(luò)安全的管理中����,安全策略都是預(yù)先設(shè)定好的,且不能根據(jù)流量 的改變而進(jìn)行修改����,簡單死板����,對網(wǎng)絡(luò)環(huán)境的變化不敏感�����,不具備智能化�����,沒有合理地利用 防火墻性能資源��,不能適應(yīng)網(wǎng)絡(luò)高速發(fā)展的需求�。
【發(fā)明內(nèi)容】
[0004] 本發(fā)明的目的是提供一種基于防火墻的安全的管理的方法和系統(tǒng),充分運(yùn)用防火 墻的流量統(tǒng)計(jì)性能�,實(shí)現(xiàn)安全策略的動(dòng)態(tài)下發(fā)和取消,對網(wǎng)絡(luò)安全進(jìn)行靈活的智能化管理���。
[0005] 根據(jù)本發(fā)明的一個(gè)方面�����,提供了一種基于防火墻的網(wǎng)絡(luò)安全的管理方法�����,所述方 法包括:
[0006] 對所述防火墻的流量進(jìn)行周期性統(tǒng)計(jì)并保存每個(gè)周期的統(tǒng)計(jì)結(jié)果��;
[0007] 獲取所述統(tǒng)計(jì)結(jié)果的變化幅度�;
[0008] 將所述變化幅度與預(yù)設(shè)閾值進(jìn)行比較��;
[0009] 根據(jù)比較結(jié)果����,確定是否配置安全防護(hù)策略。
[0010] 上述方案中�����,所述獲取所述統(tǒng)計(jì)結(jié)果的變化幅度�,包括:
[0011] 以所述周期的若干倍數(shù)為基本時(shí)間單位計(jì)算統(tǒng)計(jì)結(jié)果的平均值;
[0012] 計(jì)算當(dāng)前單位時(shí)間內(nèi)的統(tǒng)計(jì)結(jié)果平均值與前一單位時(shí)間內(nèi)的統(tǒng)計(jì)結(jié)果平均值的 差值���。
[0013] 上述方案中�,所述預(yù)設(shè)閾值包括第一預(yù)設(shè)閾值和第二預(yù)設(shè)閾值���;
[0014] 所述根據(jù)比較結(jié)果��,確定是否配置安全防護(hù)策略��,包括:當(dāng)所述差值大于或等于所 述第一預(yù)設(shè)閾值時(shí)�����,配置安全防護(hù)策略����,當(dāng)所述差值小于或等于所述第二預(yù)設(shè)閾值時(shí),取消 安全防護(hù)策略的配置�����;
[0015] 其中��,第一預(yù)設(shè)閾值大于第二預(yù)設(shè)閾值;所述安全防護(hù)策略為能由用戶根據(jù)所述 統(tǒng)計(jì)結(jié)果的平均值動(dòng)態(tài)修改的策略����。
[0016] 上述方案中,所述對所述防火墻的流量進(jìn)行周期性統(tǒng)計(jì)���,包括以下的一項(xiàng)或多項(xiàng): 基于設(shè)備接口對所述防火墻的流量進(jìn)行周期性的統(tǒng)計(jì)�����、基于用戶對所述防火墻的流量進(jìn)行 周期性的統(tǒng)計(jì)����、基于策略對所述防火墻的流量進(jìn)行周期性的統(tǒng)計(jì)、基于應(yīng)用對所述防火墻 的流量進(jìn)行周期性的統(tǒng)計(jì)�����;
[0017] 所述當(dāng)所述差值大于或等于所述第一預(yù)設(shè)閾值時(shí)��,配置安全防護(hù)策略���,具體為:當(dāng) 基于設(shè)備接口的流量統(tǒng)計(jì)結(jié)果涉及的差值大于或等于基于設(shè)備接口統(tǒng)計(jì)的第一預(yù)設(shè)閾值 時(shí),下發(fā)對所述設(shè)備接口的相關(guān)限速配置���;
[0018] 當(dāng)基于用戶的流量統(tǒng)計(jì)結(jié)果涉及的差值大于或等于基于用戶統(tǒng)計(jì)的第一預(yù)設(shè)閾 值時(shí)�,下發(fā)對所述用戶的相關(guān)限速配置�;
[0019] 當(dāng)基于策略的流量統(tǒng)計(jì)結(jié)果涉及的差值大于或等于基于策略統(tǒng)計(jì)的第一預(yù)設(shè)閾 值時(shí),下發(fā)基于所述策略的限速配置����;
[0020] 當(dāng)基于應(yīng)用的流量統(tǒng)計(jì)結(jié)果涉及的差值大于或等于基于應(yīng)用統(tǒng)計(jì)的第一預(yù)設(shè)閾 值時(shí),下發(fā)基于所述應(yīng)用的相關(guān)配置。
[0021] 上述方案中�,所述應(yīng)用包括:DNS應(yīng)用、http應(yīng)用��、下載應(yīng)用中的一項(xiàng)或多項(xiàng)��;當(dāng)所 述應(yīng)用為DNS應(yīng)用時(shí)�,所述下發(fā)基于所述應(yīng)用的相關(guān)配置,包括:下發(fā)有關(guān)DNS-flood的相關(guān) 配置�。
[0022]根據(jù)本發(fā)明的別一個(gè)方面,還提供了一種基于防火墻的網(wǎng)絡(luò)安全的管理系統(tǒng)����,所 述系統(tǒng)包括:
[0023]流量統(tǒng)計(jì)單元,用于對所述防火墻的流量進(jìn)行周期性統(tǒng)計(jì)并保存每個(gè)周期的統(tǒng)計(jì) 結(jié)果�����;
[0024] 變化幅度獲取單元��,與所述流量統(tǒng)計(jì)單元相連�,用于獲取所述統(tǒng)計(jì)結(jié)果的變化幅 度;
[0025] 比較單元���,與所述變化幅度獲取單元相連��,用于將所述變化幅度與預(yù)設(shè)閾值進(jìn)行 比較��;
[0026] 配置單元�,與所述比較單元相連,用于根據(jù)比較結(jié)果���,確定是否配置安全防護(hù)策 略���。
[0027] 上述方案中,所述變化幅度獲取單元包括:
[0028] 平均值計(jì)算單元�����,與所述流量統(tǒng)計(jì)單元相連�,用于以所述周期的若干倍數(shù)為基本 時(shí)間單位計(jì)算統(tǒng)計(jì)結(jié)果的平均值�����;
[0029] 差值計(jì)算單元����,與所述平均值計(jì)算單元相連,用于計(jì)算當(dāng)前單位時(shí)間內(nèi)的統(tǒng)計(jì)結(jié) 果平均值與前一單位時(shí)間內(nèi)的統(tǒng)計(jì)結(jié)果平均值的差值��。
[0030] 上述方案中,所述系統(tǒng)還包括閾值預(yù)設(shè)單元�����,與所述比較單元相連���,用于預(yù)設(shè)所述 預(yù)設(shè)閾值�,包括預(yù)設(shè)第一預(yù)設(shè)閾值和預(yù)設(shè)第二預(yù)設(shè)閾值;其中�����,第一預(yù)設(shè)閾值大于第二預(yù)設(shè) 閾值���;
[0031] 所述配置單元進(jìn)一步用于:當(dāng)所述差值大于或等于所述第一預(yù)設(shè)閾值時(shí)��,配置安 全防護(hù)策略�;當(dāng)所述差值小于或等于所述第二預(yù)設(shè)閾值時(shí)����,取消安全防護(hù)策略的配置;其 中,所述安全防護(hù)策略為能由用戶根據(jù)所述統(tǒng)計(jì)結(jié)果的平均值動(dòng)態(tài)修改的策略����。
[0032] 上述方案中����,所述流量統(tǒng)計(jì)單元進(jìn)一步用于進(jìn)行以下一項(xiàng)或多項(xiàng)的統(tǒng)計(jì):基于設(shè) 備接口對所述防火墻的流量進(jìn)行周期性的統(tǒng)計(jì)���、基于用戶對所述防火墻的流量進(jìn)行周期性 的統(tǒng)計(jì)����、基于策略對所述防火墻的流量進(jìn)行周期性的統(tǒng)計(jì)����、基于應(yīng)用對所述防火墻的流量 進(jìn)行周期性的統(tǒng)計(jì);
[0033] 當(dāng)所述差值大于或等于所述第一預(yù)設(shè)閾值時(shí)���,所述配置單元進(jìn)一步用于:
[0034] 當(dāng)基于設(shè)備接口的流量統(tǒng)計(jì)結(jié)果涉及的差值大于或等于基于設(shè)備接口統(tǒng)計(jì)的第 一預(yù)設(shè)閾值時(shí)���,下發(fā)對所述設(shè)備接口的相關(guān)限速配置;
[0035] 當(dāng)基于用戶的流量統(tǒng)計(jì)結(jié)果涉及的差值大于或等于基于用戶統(tǒng)計(jì)的第一預(yù)設(shè)閾 值時(shí)���,下發(fā)對所述用戶的相關(guān)限速配置;
[0036] 當(dāng)基于策略的流量統(tǒng)計(jì)結(jié)果涉及的差值大于或等于基于策略統(tǒng)計(jì)的第一預(yù)設(shè)閾 值時(shí)��,下發(fā)基于所述策略的限速配置�����;
[0037] 當(dāng)基于應(yīng)用的流量統(tǒng)計(jì)結(jié)果涉及的差值大于或等于基于應(yīng)用統(tǒng)計(jì)的第一預(yù)設(shè)閾 值時(shí),下發(fā)基于所述應(yīng)用的相關(guān)配置��。
[0038] 上述方案中�,所述應(yīng)用包括:DNS應(yīng)用、http應(yīng)用�����、下載應(yīng)用中的一項(xiàng)或多項(xiàng)��;當(dāng)所 述應(yīng)用為DNS應(yīng)用時(shí)�,所述配置單元進(jìn)一步用于下發(fā)有關(guān)DNS-flood的相關(guān)配置。
[0039] 本發(fā)明所提供了一種基于防火墻的網(wǎng)絡(luò)安全的管理方法��,包括:對所述防火墻的 流量進(jìn)行周期性統(tǒng)計(jì)并保存每個(gè)周期的統(tǒng)計(jì)結(jié)果;獲取所述統(tǒng)計(jì)結(jié)果的變化幅度;將所述 變化幅度與預(yù)設(shè)閾值進(jìn)行比較;根據(jù)比較結(jié)果�,確定是否配置安全防護(hù)策略。通過本發(fā)明�����, 使得防火墻能夠根據(jù)流量的變化���,動(dòng)態(tài)的下發(fā)或修改或取消相關(guān)安全策略配置�����,從而使防 火墻的網(wǎng)絡(luò)安全的管理更加靈活�,某些安全配置只有在需要的時(shí)候才進(jìn)行配置,有效的優(yōu) 化了防火墻的性能�����。
【附圖說明】
[0040] 圖1是本發(fā)明優(yōu)選實(shí)施例的基于防火墻的網(wǎng)絡(luò)安全的管理方法流程圖�;
[0041] 圖2是本發(fā)明另一優(yōu)選實(shí)施例的基于防火墻的網(wǎng)絡(luò)安全的管理方法流程圖;
[0042]圖3是本發(fā)明優(yōu)選實(shí)施例的基于防火墻的網(wǎng)絡(luò)安全的管理系統(tǒng)結(jié)構(gòu)示意圖�;
[0043]圖4是本發(fā)明另一優(yōu)選實(shí)施例的基于防火墻的網(wǎng)絡(luò)安全的管理系統(tǒng)結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0044]為使本發(fā)明的目的���、技術(shù)方案和優(yōu)點(diǎn)更加清楚明了����,下面結(jié)合【