一種基于防火墻的網(wǎng)絡(luò)安全的管理方法和系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,具體涉及一種基于防火墻的網(wǎng)絡(luò)安全的管理方法 和系統(tǒng)�����。
【背景技術(shù)】
[0002] 防火墻是因特網(wǎng)協(xié)議安全性(Internet Protocol Security, IPSEC)這一安全框 架下的一種網(wǎng)絡(luò)設(shè)備��,用于各種網(wǎng)絡(luò)間,管制網(wǎng)絡(luò)上各種資源的進出����。進行流量統(tǒng)計并對其 訪問進行有效的控制。
[0003] 當(dāng)前的防火墻網(wǎng)絡(luò)安全的管理中�����,安全策略都是預(yù)先設(shè)定好的�����,且不能根據(jù)流量 的改變而進行修改��,簡單死板����,對網(wǎng)絡(luò)環(huán)境的變化不敏感�����,不具備智能化�,沒有合理地利用 防火墻性能資源,不能適應(yīng)網(wǎng)絡(luò)高速發(fā)展的需求�。
【發(fā)明內(nèi)容】
[0004] 本發(fā)明的目的是提供一種基于防火墻的安全的管理的方法和系統(tǒng)�,充分運用防火 墻的流量統(tǒng)計性能��,實現(xiàn)安全策略的動態(tài)下發(fā)和取消��,對網(wǎng)絡(luò)安全進行靈活的智能化管理����。
[0005] 根據(jù)本發(fā)明的一個方面,提供了一種基于防火墻的網(wǎng)絡(luò)安全的管理方法�����,所述方 法包括:
[0006] 對所述防火墻的流量進行周期性統(tǒng)計并保存每個周期的統(tǒng)計結(jié)果�;
[0007] 獲取所述統(tǒng)計結(jié)果的變化幅度;
[0008] 將所述變化幅度與預(yù)設(shè)閾值進行比較�;
[0009] 根據(jù)比較結(jié)果,確定是否配置安全防護策略�。
[0010] 上述方案中,所述獲取所述統(tǒng)計結(jié)果的變化幅度��,包括:
[0011] 以所述周期的若干倍數(shù)為基本時間單位計算統(tǒng)計結(jié)果的平均值���;
[0012] 計算當(dāng)前單位時間內(nèi)的統(tǒng)計結(jié)果平均值與前一單位時間內(nèi)的統(tǒng)計結(jié)果平均值的 差值��。
[0013] 上述方案中����,所述預(yù)設(shè)閾值包括第一預(yù)設(shè)閾值和第二預(yù)設(shè)閾值;
[0014] 所述根據(jù)比較結(jié)果�����,確定是否配置安全防護策略�����,包括:當(dāng)所述差值大于或等于所 述第一預(yù)設(shè)閾值時�,配置安全防護策略,當(dāng)所述差值小于或等于所述第二預(yù)設(shè)閾值時��,取消 安全防護策略的配置�;
[0015] 其中,第一預(yù)設(shè)閾值大于第二預(yù)設(shè)閾值;所述安全防護策略為能由用戶根據(jù)所述 統(tǒng)計結(jié)果的平均值動態(tài)修改的策略����。
[0016] 上述方案中���,所述對所述防火墻的流量進行周期性統(tǒng)計��,包括以下的一項或多項: 基于設(shè)備接口對所述防火墻的流量進行周期性的統(tǒng)計����、基于用戶對所述防火墻的流量進行 周期性的統(tǒng)計、基于策略對所述防火墻的流量進行周期性的統(tǒng)計��、基于應(yīng)用對所述防火墻 的流量進行周期性的統(tǒng)計�����;
[0017] 所述當(dāng)所述差值大于或等于所述第一預(yù)設(shè)閾值時,配置安全防護策略�����,具體為:當(dāng) 基于設(shè)備接口的流量統(tǒng)計結(jié)果涉及的差值大于或等于基于設(shè)備接口統(tǒng)計的第一預(yù)設(shè)閾值 時���,下發(fā)對所述設(shè)備接口的相關(guān)限速配置;
[0018] 當(dāng)基于用戶的流量統(tǒng)計結(jié)果涉及的差值大于或等于基于用戶統(tǒng)計的第一預(yù)設(shè)閾 值時���,下發(fā)對所述用戶的相關(guān)限速配置�;
[0019] 當(dāng)基于策略的流量統(tǒng)計結(jié)果涉及的差值大于或等于基于策略統(tǒng)計的第一預(yù)設(shè)閾 值時����,下發(fā)基于所述策略的限速配置;
[0020] 當(dāng)基于應(yīng)用的流量統(tǒng)計結(jié)果涉及的差值大于或等于基于應(yīng)用統(tǒng)計的第一預(yù)設(shè)閾 值時���,下發(fā)基于所述應(yīng)用的相關(guān)配置����。
[0021] 上述方案中��,所述應(yīng)用包括:DNS應(yīng)用�����、http應(yīng)用、下載應(yīng)用中的一項或多項��;當(dāng)所 述應(yīng)用為DNS應(yīng)用時�����,所述下發(fā)基于所述應(yīng)用的相關(guān)配置�,包括:下發(fā)有關(guān)DNS-flood的相關(guān) 配置。
[0022]根據(jù)本發(fā)明的別一個方面�,還提供了一種基于防火墻的網(wǎng)絡(luò)安全的管理系統(tǒng)�,所 述系統(tǒng)包括:
[0023]流量統(tǒng)計單元,用于對所述防火墻的流量進行周期性統(tǒng)計并保存每個周期的統(tǒng)計 結(jié)果�;
[0024] 變化幅度獲取單元�����,與所述流量統(tǒng)計單元相連����,用于獲取所述統(tǒng)計結(jié)果的變化幅 度;
[0025] 比較單元��,與所述變化幅度獲取單元相連�����,用于將所述變化幅度與預(yù)設(shè)閾值進行 比較���;
[0026] 配置單元���,與所述比較單元相連�,用于根據(jù)比較結(jié)果�����,確定是否配置安全防護策 略。
[0027] 上述方案中�,所述變化幅度獲取單元包括:
[0028] 平均值計算單元,與所述流量統(tǒng)計單元相連�����,用于以所述周期的若干倍數(shù)為基本 時間單位計算統(tǒng)計結(jié)果的平均值�;
[0029] 差值計算單元,與所述平均值計算單元相連�����,用于計算當(dāng)前單位時間內(nèi)的統(tǒng)計結(jié) 果平均值與前一單位時間內(nèi)的統(tǒng)計結(jié)果平均值的差值�。
[0030] 上述方案中,所述系統(tǒng)還包括閾值預(yù)設(shè)單元�����,與所述比較單元相連�,用于預(yù)設(shè)所述 預(yù)設(shè)閾值,包括預(yù)設(shè)第一預(yù)設(shè)閾值和預(yù)設(shè)第二預(yù)設(shè)閾值;其中�����,第一預(yù)設(shè)閾值大于第二預(yù)設(shè) 閾值;
[0031] 所述配置單元進一步用于:當(dāng)所述差值大于或等于所述第一預(yù)設(shè)閾值時�����,配置安 全防護策略�����;當(dāng)所述差值小于或等于所述第二預(yù)設(shè)閾值時�����,取消安全防護策略的配置;其 中�����,所述安全防護策略為能由用戶根據(jù)所述統(tǒng)計結(jié)果的平均值動態(tài)修改的策略�����。
[0032] 上述方案中��,所述流量統(tǒng)計單元進一步用于進行以下一項或多項的統(tǒng)計:基于設(shè) 備接口對所述防火墻的流量進行周期性的統(tǒng)計��、基于用戶對所述防火墻的流量進行周期性 的統(tǒng)計、基于策略對所述防火墻的流量進行周期性的統(tǒng)計����、基于應(yīng)用對所述防火墻的流量 進行周期性的統(tǒng)計;
[0033] 當(dāng)所述差值大于或等于所述第一預(yù)設(shè)閾值時�����,所述配置單元進一步用于:
[0034] 當(dāng)基于設(shè)備接口的流量統(tǒng)計結(jié)果涉及的差值大于或等于基于設(shè)備接口統(tǒng)計的第 一預(yù)設(shè)閾值時��,下發(fā)對所述設(shè)備接口的相關(guān)限速配置�����;
[0035] 當(dāng)基于用戶的流量統(tǒng)計結(jié)果涉及的差值大于或等于基于用戶統(tǒng)計的第一預(yù)設(shè)閾 值時���,下發(fā)對所述用戶的相關(guān)限速配置;
[0036] 當(dāng)基于策略的流量統(tǒng)計結(jié)果涉及的差值大于或等于基于策略統(tǒng)計的第一預(yù)設(shè)閾 值時��,下發(fā)基于所述策略的限速配置���;
[0037] 當(dāng)基于應(yīng)用的流量統(tǒng)計結(jié)果涉及的差值大于或等于基于應(yīng)用統(tǒng)計的第一預(yù)設(shè)閾 值時���,下發(fā)基于所述應(yīng)用的相關(guān)配置。
[0038] 上述方案中�,所述應(yīng)用包括:DNS應(yīng)用����、http應(yīng)用、下載應(yīng)用中的一項或多項��;當(dāng)所 述應(yīng)用為DNS應(yīng)用時���,所述配置單元進一步用于下發(fā)有關(guān)DNS-flood的相關(guān)配置。
[0039] 本發(fā)明所提供了一種基于防火墻的網(wǎng)絡(luò)安全的管理方法��,包括:對所述防火墻的 流量進行周期性統(tǒng)計并保存每個周期的統(tǒng)計結(jié)果;獲取所述統(tǒng)計結(jié)果的變化幅度;將所述 變化幅度與預(yù)設(shè)閾值進行比較;根據(jù)比較結(jié)果��,確定是否配置安全防護策略���。通過本發(fā)明��, 使得防火墻能夠根據(jù)流量的變化�,動態(tài)的下發(fā)或修改或取消相關(guān)安全策略配置��,從而使防 火墻的網(wǎng)絡(luò)安全的管理更加靈活�����,某些安全配置只有在需要的時候才進行配置��,有效的優(yōu) 化了防火墻的性能��。
【附圖說明】
[0040] 圖1是本發(fā)明優(yōu)選實施例的基于防火墻的網(wǎng)絡(luò)安全的管理方法流程圖��;
[0041] 圖2是本發(fā)明另一優(yōu)選實施例的基于防火墻的網(wǎng)絡(luò)安全的管理方法流程圖����;
[0042]圖3是本發(fā)明優(yōu)選實施例的基于防火墻的網(wǎng)絡(luò)安全的管理系統(tǒng)結(jié)構(gòu)示意圖����;
[0043]圖4是本發(fā)明另一優(yōu)選實施例的基于防火墻的網(wǎng)絡(luò)安全的管理系統(tǒng)結(jié)構(gòu)示意圖。
【具體實施方式】
[0044]為使本發(fā)明的目的�、技術(shù)方案和優(yōu)點更加清楚明了���,下面結(jié)合【