一种基于防火墙的网络安全的管理方法和系统的制作方法
【技术领域】
[0001] 本发明属于网络安全技术领域,具体涉及一种基于防火墙的网络安全的管理方法 和系统。
【背景技术】
[0002] 防火墙是因特网协议安全性(Internet Protocol Security, IPSEC)这一安全框 架下的一种网络设备,用于各种网络间,管制网络上各种资源的进出。进行流量统计并对其 访问进行有效的控制。
[0003] 当前的防火墙网络安全的管理中,安全策略都是预先设定好的,且不能根据流量 的改变而进行修改,简单死板,对网络环境的变化不敏感,不具备智能化,没有合理地利用 防火墙性能资源,不能适应网络高速发展的需求。
【发明内容】
[0004] 本发明的目的是提供一种基于防火墙的安全的管理的方法和系统,充分运用防火 墙的流量统计性能,实现安全策略的动态下发和取消,对网络安全进行灵活的智能化管理。
[0005] 根据本发明的一个方面,提供了一种基于防火墙的网络安全的管理方法,所述方 法包括:
[0006] 对所述防火墙的流量进行周期性统计并保存每个周期的统计结果;
[0007] 获取所述统计结果的变化幅度;
[0008] 将所述变化幅度与预设阈值进行比较;
[0009] 根据比较结果,确定是否配置安全防护策略。
[0010] 上述方案中,所述获取所述统计结果的变化幅度,包括:
[0011] 以所述周期的若干倍数为基本时间单位计算统计结果的平均值;
[0012] 计算当前单位时间内的统计结果平均值与前一单位时间内的统计结果平均值的 差值。
[0013] 上述方案中,所述预设阈值包括第一预设阈值和第二预设阈值;
[0014] 所述根据比较结果,确定是否配置安全防护策略,包括:当所述差值大于或等于所 述第一预设阈值时,配置安全防护策略,当所述差值小于或等于所述第二预设阈值时,取消 安全防护策略的配置;
[0015] 其中,第一预设阈值大于第二预设阈值;所述安全防护策略为能由用户根据所述 统计结果的平均值动态修改的策略。
[0016] 上述方案中,所述对所述防火墙的流量进行周期性统计,包括以下的一项或多项: 基于设备接口对所述防火墙的流量进行周期性的统计、基于用户对所述防火墙的流量进行 周期性的统计、基于策略对所述防火墙的流量进行周期性的统计、基于应用对所述防火墙 的流量进行周期性的统计;
[0017] 所述当所述差值大于或等于所述第一预设阈值时,配置安全防护策略,具体为:当 基于设备接口的流量统计结果涉及的差值大于或等于基于设备接口统计的第一预设阈值 时,下发对所述设备接口的相关限速配置;
[0018] 当基于用户的流量统计结果涉及的差值大于或等于基于用户统计的第一预设阈 值时,下发对所述用户的相关限速配置;
[0019] 当基于策略的流量统计结果涉及的差值大于或等于基于策略统计的第一预设阈 值时,下发基于所述策略的限速配置;
[0020] 当基于应用的流量统计结果涉及的差值大于或等于基于应用统计的第一预设阈 值时,下发基于所述应用的相关配置。
[0021] 上述方案中,所述应用包括:DNS应用、http应用、下载应用中的一项或多项;当所 述应用为DNS应用时,所述下发基于所述应用的相关配置,包括:下发有关DNS-flood的相关 配置。
[0022]根据本发明的别一个方面,还提供了一种基于防火墙的网络安全的管理系统,所 述系统包括:
[0023]流量统计单元,用于对所述防火墙的流量进行周期性统计并保存每个周期的统计 结果;
[0024] 变化幅度获取单元,与所述流量统计单元相连,用于获取所述统计结果的变化幅 度;
[0025] 比较单元,与所述变化幅度获取单元相连,用于将所述变化幅度与预设阈值进行 比较;
[0026] 配置单元,与所述比较单元相连,用于根据比较结果,确定是否配置安全防护策 略。
[0027] 上述方案中,所述变化幅度获取单元包括:
[0028] 平均值计算单元,与所述流量统计单元相连,用于以所述周期的若干倍数为基本 时间单位计算统计结果的平均值;
[0029] 差值计算单元,与所述平均值计算单元相连,用于计算当前单位时间内的统计结 果平均值与前一单位时间内的统计结果平均值的差值。
[0030] 上述方案中,所述系统还包括阈值预设单元,与所述比较单元相连,用于预设所述 预设阈值,包括预设第一预设阈值和预设第二预设阈值;其中,第一预设阈值大于第二预设 阈值;
[0031] 所述配置单元进一步用于:当所述差值大于或等于所述第一预设阈值时,配置安 全防护策略;当所述差值小于或等于所述第二预设阈值时,取消安全防护策略的配置;其 中,所述安全防护策略为能由用户根据所述统计结果的平均值动态修改的策略。
[0032] 上述方案中,所述流量统计单元进一步用于进行以下一项或多项的统计:基于设 备接口对所述防火墙的流量进行周期性的统计、基于用户对所述防火墙的流量进行周期性 的统计、基于策略对所述防火墙的流量进行周期性的统计、基于应用对所述防火墙的流量 进行周期性的统计;
[0033] 当所述差值大于或等于所述第一预设阈值时,所述配置单元进一步用于:
[0034] 当基于设备接口的流量统计结果涉及的差值大于或等于基于设备接口统计的第 一预设阈值时,下发对所述设备接口的相关限速配置;
[0035] 当基于用户的流量统计结果涉及的差值大于或等于基于用户统计的第一预设阈 值时,下发对所述用户的相关限速配置;
[0036] 当基于策略的流量统计结果涉及的差值大于或等于基于策略统计的第一预设阈 值时,下发基于所述策略的限速配置;
[0037] 当基于应用的流量统计结果涉及的差值大于或等于基于应用统计的第一预设阈 值时,下发基于所述应用的相关配置。
[0038] 上述方案中,所述应用包括:DNS应用、http应用、下载应用中的一项或多项;当所 述应用为DNS应用时,所述配置单元进一步用于下发有关DNS-flood的相关配置。
[0039] 本发明所提供了一种基于防火墙的网络安全的管理方法,包括:对所述防火墙的 流量进行周期性统计并保存每个周期的统计结果;获取所述统计结果的变化幅度;将所述 变化幅度与预设阈值进行比较;根据比较结果,确定是否配置安全防护策略。通过本发明, 使得防火墙能够根据流量的变化,动态的下发或修改或取消相关安全策略配置,从而使防 火墙的网络安全的管理更加灵活,某些安全配置只有在需要的时候才进行配置,有效的优 化了防火墙的性能。
【附图说明】
[0040] 图1是本发明优选实施例的基于防火墙的网络安全的管理方法流程图;
[0041] 图2是本发明另一优选实施例的基于防火墙的网络安全的管理方法流程图;
[0042]图3是本发明优选实施例的基于防火墙的网络安全的管理系统结构示意图;
[0043]图4是本发明另一优选实施例的基于防火墙的网络安全的管理系统结构示意图。
【具体实施方式】
[0044]为使本发明的目的、技术方案和优点更加清楚明了,下面结合【