专利名称:一种通过网络对防火墙设备进行安全管理的方法
技术领域:
本发明涉及计算机网络安全技术领域,特别是涉及一种通过网络对一台或多台防火墙设备进行集中管理的方法。
为达到上述目的,本发明的技术方案具体是这样实现的一种通过网络对防火墙设备进行安全管理的方法,其特征在于采用一个(或多个)管理工作站,并在防火墙设备中采用一个防火墙管理代理模块;所述的防火墙管理代理模块和该管理工作站进行通信,将防火墙设备的信息发送给管理工作站,管理工作站收集防火墙代理模块发来的信息并向防火墙代理模块发送操作命令,实现对被管防火墙设备的监视和管理。
管理工作站可以通过网络对多台防火墙设备进行管理。在网络较大,被管防火墙设备较多的情况下,可以采用分级管理的方法,设置一个中央级管理中心,对多台管理工作站进行集中管理。
防火墙管理代理模块可以采用多个系统守护进程,其在接收到管理工作站发送的操作命令后,根据该操作命令,对防火墙设备进行操作。
管理工作站可以通过对防火墙代理模块中的配置器对网络上的防火墙设备进行配置。
防火墙管理代理模块可以采用一个数据采集器采集信息,在接收到管理工作站发送的相应操作命令后,由防火墙管理代理模块将采集的信息发送给管理工作站。
防火墙管理代理模块可以采用一个事件监视/产生器时刻监视防火墙设备内部发生的事件,在系统故障、被入侵、流量阻塞或系统内存耗尽的紧急条件下,直接向管理工作站发送紧急事件信息。
防火墙管理代理模块可以采用一个日志生成器生成系统日志,由防火墙管理代理模块将系统日志发送给管理工作站,管理工作站进行系统日志收集和分析。
较佳地,防火墙管理代理模块和管理工作站的通信采用简单网络管理协议(SNMP协议,Simple Network Management Protocol)进行。
较佳地,防火墙管理代理模块和管理工作站的通信采用身份认证,密钥协商的加密方法进行。可以依照以下步骤1)防火墙管理代理模块和管理工作站利用预共享的对称密钥进行身份认证,或利用私钥进行签名,利用公钥进行验证的方法实现身份认证;2)防火墙管理代理模块和管理工作站之间进行密钥协商,形成本次安全通信的工作密钥;3)防火墙管理代理模块和管理工作站之间利用工作密钥和密码算法对管理信息进行加密和完整性验证保护。
为适应对网络上多台防火墙更方便的集中管理,管理工作站可以自动发现连接在网络上的防火墙设备,包括以下步骤1)管理工作站向网络中的所有防火墙设备发送设备查询命令;2)被管防火墙设备收到查询命令后,向管理工作站发送自己在网络拓扑中的位置信息;3)管理工作站收到被管防火墙设备的拓扑信息后,用图形或表格文字的方式表示出来;4)防火墙设备定时向管理工作站报告自己的存在;5)管理工作站接收并判断该报告的真实性,并根据实际情况确定是否对防火墙设备进行登记。
管理工作站进一步对以防火墙设备为边界的网络进行网络系统安全分区和全网及区域安全规则制定和集中分发,并对多台防火墙设备的工作情况和系统运行状态进行集中查询。管理工作站进一步进行防火墙设备资产维护。通过同时对网络中所有防火墙设备进行操作,对防火墙设备进行集中升级。
较佳地,管理工作站使用一个事件监视显示模块来监视被管防火墙设备的工作情况和系统运行状态,将收到的被管防火墙设备的信息显示、存储、日志审计或打印,并在系统故障、被入侵、流量阻塞或系统内存耗尽的紧急条件下报警。
由上述方案可以看出,本发明的关键在于采用一个管理工作站和在被管防火墙设备中采用一个防火墙管理代理模块;它们之间进行通信,将防火墙设备的工作情况和系统运行状态发送给管理工作站,管理工作站收集各防火墙代理模块发来的信息并向各防火墙代理模块发送操作命令,对防火墙设备进行监视和管理。
因此,本发明所提供的通过网络对多台防火墙设备进行安全管理的方法,可以将网络上的防火墙设备的管理集中起来,由专业的系统安全管理人员统一进行安全管理,这样即可以降低由一般安全管理员误操作带来的安全隐患,又可以减少由一台防火墙设备配一名安全管理员带来的人员浪费。
图1示出了本发明的一个较佳实施例。请参见图1,一个管理工作站110通过网络对多台防火墙设备100进行监视和管理,其中具体示出了对一台防火墙设备100的管理工作过程。即在被管防火墙设备100中使用一个防火墙管理代理模块102和使用一个管理工作站110,通过被管防火墙设备100中的加密/解密/认证处理107及网络通信协议处理108和管理工作站110中加密/解密/认证处理118及网络通信协议处理119进行通信,将防火墙设备100的工作情况和系统运行状态发送给管理工作站110,管理工作站110收集各防火墙代理模块102发来的信息并向各防火墙代理模块102发送操作命令,实现对被管防火墙设备100的监视和管理。
如图1所示,在防火墙设备100内设置了防火墙管理代理模块102,其包括配置器103、数据收集器104、事件监视/产生器105和日志生成器106;在管理工作站110中设置了集中管理应用系统111,其包括设备发现112、事件/故障管理113、监控114、日志管理115、配置管理116、和包括报警的事件监视显示模块117。如果面对的是较大的网络,管理工作站110端软件可以采取分布式的部署方式,即集中管理应用系统111可以按照物理位置或功能分布在不同的处理节点机上,而管理员可以通过一个管理中心集中的管理整个网络。
当防火墙代理模块102和集中管理应用系统111都设置完毕,就可以通过集中管理应用系统111对整个网络的防火墙及网络安全进行管理,具体的管理过程可以是首先,在防火墙设备100端,由防火墙代理模块102完成数据采集、事件监视、接收管理工作站110的命令、数据回送、或按照管理工作站110的命令,执行对被管防火墙100的操作,其中,防火墙管理代理模块102由一个主代理及若干子代理系统守护进程实现,系统守护进程负责监听管理工作站110发送的命令,守护进程可以根据管理工作站110的命令,对防火墙设备100进行操作,数据采集器104从防火墙内部软、硬件点单元101收集防火墙操作系统的工作状态、网络硬件情况、网络流量和入侵事件后,防火墙管理代理模块102将上述事件发送给管理工作站110。守护进程还可以根据管理工作站110的命令对防火墙设备100通过配置管理器103对防火墙内部软、硬件点单元101进行配置管理,如该防火墙内部软、硬件点单元101的安全策略等。
同时,防火墙管理代理模块102中的监视/产生器105采用Trap事件产生器时刻监视防火墙设备100内部软、硬件点单元101的重要事件。在故障,被入侵,流量阻塞,内存耗尽等紧急条件下,可以直接向管理工作站110发送紧急事件信息,由管理工作站110进行事件/故障管理,主要包括SNMP Trap报警,日志记录,或对被管防火墙设备100进行操作,这样,保证了管理工作站110能及时了解到防火墙的紧急事件,并做出相应管理处理。
然后,防火墙代理模块102和管理工作站110之间进行通信,本实施例中防火墙管理代理模块102的网络协议处理108和管理工作站110的网络协议处理119利用SNMP协议实现,防火墙管理代理模块102接受SNMPV1、V2、V3格式报文的请求,并以相应的协议发回响应。
同时,防火墙管理代理模块102和管理工作站110之间的通信还通过防火墙管理代理模块中的加密/解密/认证处理107和管理工作站中的加密/解密/认证处理118来进行加密处理,防火墙管理代理模块102和管理工作站110利用预共享的对称密钥进行身份认证,或利用私钥进行签名、利用公钥进行验证的方法实现身份认证,防火墙管理代理模块102和管理工作站110之间进行密钥协商,形成本次保密通信的工作密钥,防火墙管理代理模块102和管理工作站110之间利用工作密钥和密码算法对管理信息进行加密和完整性验证保护。
最后,在管理工作站110端,在管理工作站110的集中管理应用系统111初次运行时,搜集和生成设备的拓扑维护列表,或由管理工作站自动发现连接在网络上的被管防火墙设备,管理工作站110向网络中的所有防火墙设备100发送设备查询消息报文,管理工作站110接收到被管防火墙设备100向管理工作站110发送的其在网络拓扑中的位置信息,如IP地址,及设备的物理位置、类型、名称、设备统一标识的基本设备信息后,用图形或表格文字的方式表示出来。管理工作站110接收防火墙设备100定时(包括启动时)向管理工作站110报告自己的存在信息,并判断该报告的真实性,并根据实际情况确定。
同时,管理工作站110中的事件监视显示模块117随集中管理应用系统111的启动而启动,实时的监视来自防火墙设备100的事件,其在接收到事件后,按照事件发生时间、内容、来源、目的地、严重程度等条件格式化显示信息,并在界面上显示新的事件,并以显著形式(声音和闪烁等)来报警提醒管理员。这样,保证了系统安全管理员随时掌握防火墙100的工作状况和系统运行状态,并及时做出相应处理操作。集中管理应用系统111启动后,管理员可以根据事件监视显示模块117上监视到的防火墙设备100的工作状况和系统运行状态随时对其进行操作,该操作过程包括对多台防火墙设备100自身的运行参数和安全规则等分别进行配置和维护;对以这些防火墙设备100为边界的网络进行网络系统安全分区和全网及区域安全规则制定和集中分发;对多台防火墙设备100工作情况和系统运行状态集中查询;系统日志收集和分析;对防火墙设备100资产维护;对防火墙设备100集中升级等,并按上述顺序执行。
由上述过程可见,本发明所提供的通过网络对多台防火墙设备进行安全管理的方法,实现了对网络上多台防火墙设备进行集中的安全管理,给系统安全管理员提供了一个高效有力的安全管理工具,提高了安全管理的效率。
以上举较佳实施例,对本发明的目的、技术方案和优点进行了进一步详细说明,所应理解的是,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种通过网络对防火墙设备进行安全管理的方法,其特征在于采用一个管理工作站,并在防火墙设备中采用一个防火墙管理代理模块;该防火墙管理代理模块和该管理工作站之间可进行通信,将防火墙设备的信息发送给管理工作站;管理工作站收集防火墙代理模块发来的信息并向防火墙代理模块发送操作命令,实现对被管防火墙设备的监视和管理。
2.如权利要求1所述的通过网络对防火墙设备进行安全管理的方法,其特征在于所述的防火墙管理代理模块采用多个系统守护进程,其在接收到管理工作站发送的操作命令后,根据该操作命令,对防火墙设备进行操作。
3.如权利要求1所述的通过网络对防火墙设备进行安全管理的方法,其特征在于所述的管理工作站通过对防火墙代理模块中的配置器对网络上的防火墙设备进行配置。
4.如权利要求1所述的通过网络对防火墙设备进行安全管理的方法,其特征在于所述的防火墙管理代理模块采用一个数据采集器采集信息,在接收到管理工作站发送的相应操作命令后,由防火墙管理代理模块将采集的信息发送给管理工作站。
5.如权利要求1所述的通过网络对防火墙设备进行安全管理的方法,其特征在于所述的防火墙管理代理模块采用一个事件监视/产生器时刻监视防火墙设备内部发生的事件,在系统故障、被入侵、流量阻塞或系统内存耗尽的紧急条件下,直接向管理工作站发送紧急事件信息。
6.如权利要求1所述的通过网络对防火墙设备进行安全管理的方法,其特征在于所述的防火墙管理代理模块采用一个日志生成器生成系统日志,由防火墙管理代理模块将系统日志发送给管理工作站,管理工作站进行系统日志收集和分析。
7.如权利要求1所述的通过网络对防火墙设备进行安全管理的方法,其特征在于所述的防火墙管理代理模块和管理工作站的通信采用简单网络管理协议进行。
8.如权利要求1所述的通过网络对防火墙设备进行安全管理的方法,其特征在于所述的防火墙管理代理模块和管理工作站的通信采用身份认证、密钥协商的加密方法进行。
9.如权利要求8所述的通过网络对防火墙设备进行安全管理的方法,其特征在于所述的身份认证、密钥协商的加密方法包括1)防火墙管理代理模块和管理工作站利用预共享的对称密钥进行身份认证,或利用私钥进行签名,利用公钥进行验证的方法实现身份认证;2)防火墙管理代理模块和管理工作站之间进行密钥协商,形成本次安全通信的工作密钥;3)防火墙管理代理模块和管理工作站之间利用工作密钥和密码算法对管理信息进行加密和完整性验证保护。
10.如权利要求1所述的通过网络对防火墙设备进行安全管理的方法,其特征在于所述的管理工作站自动发现连接在网络上的防火墙设备,包括以下步骤1)管理工作站向网络中的所有防火墙设备发送设备查询命令;2)被管防火墙设备收到查询命令后,向管理工作站发送自己在网络拓扑中的位置信息;3)管理工作站收到被管防火墙设备的拓扑信息后,用图形或表格文字的方式表示出来;4)防火墙设备定时向管理工作站报告自己的存在;5)管理工作站接收并判断该报告的真实性,并根据实际情况确定是否对防火墙设备进行登记。
11.如权利要求1所述的通过网络对防火墙设备进行安全管理的方法,其特征在于所述的管理工作站进一步对以防火墙设备为边界的网络进行网络系统安全分区和全网及区域安全规则制定和集中分发。
12.如权利要求1所述的通过网络对防火墙设备进行安全管理的方法,其特征在于所述的管理工作站进一步对多台防火墙设备的工作情况和系统运行状态进行集中查询。
13.如权利要求1所述的通过网络对防火墙设备进行安全管理的方法,其特征在于所述的管理工作站进一步进行防火墙设备维护。
14.如权利要求1所述的通过网络对防火墙设备进行安全管理的方法,其特征在于所述的管理工作站通过同时对网络中所有防火墙设备进行操作,对防火墙设备进行集中升级。
15.如权利要求1所述的通过网络对防火墙设备进行安全管理的方法,其特征在于所述的管理工作站使用一个事件监视显示模块来监视被管防火墙设备的工作情况和系统运行状态,将收到的被管防火墙设备的信息显示、存储、日志审计或打印,并在系统故障、被入侵、流量阻塞或系统内存耗尽的紧急条件下报警。
16.如权利要求1所述的通过网络对防火墙设备进行安全管理的方法,其特征在于所述的管理工作站通过网络对多台防火墙设备进行管理。
17.如权利要求1所述的通过网络对防火墙设备进行安全管理的方法,其特征在于进一步采用一个管理中心,对多台管理工作站进行集中管理。
全文摘要
公开了一种通过网络对防火墙设备进行安全管理的方法,采用一个管理工作站,和在被管防火墙设备中采用一个防火墙管理代理模块;所述的防火墙管理代理模块和该管理工作站进行通信,将防火墙设备信息发送给管理工作站,管理工作站收集防火墙代理模块发来的信息并向防火墙代理模块发送操作命令,对被管防火墙设备进行监视和管理。管理工作站通过网络对多台防火墙设备进行管理,在网络较大的情况下,可以进一步采用一个管理中心,对多台管理工作站进行集中管理。
文档编号H04L12/24GK1453700SQ0211693
公开日2003年11月5日 申请日期2002年4月26日 优先权日2002年4月26日
发明者韦卫, 许春生, 黄琛, 吕晓东, 肖为剑, 杨义 申请人:联想(北京)有限公司