具体实施方式】并参 照附图,对本发明进一步详细说明。应该理解,这些描述只是示例性的,而并非要限制本发 明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本 发明的概念。
[0045] 图1是本发明优选实施例的基于防火墙的网络安全的管理方法流程图。
[0046] 如图1所示,本实施例基于防火墙的网络安全的管理方法包括如下步骤:
[0047] 步骤Sl,对所述防火墙的流量进行周期性统计并保存每个周期的统计结果。
[0048] 这里,对所述防火墙的流量进行周期性统计,包括以下的一项或多项:基于设备接 口对所述防火墙的流量进行周期性的统计、基于用户对所述防火墙的流量进行周期性的统 计、基于策略对所述防火墙的流量进行周期性的统计、基于应用对所述防火墙的流量进行 周期性的统计。
[0049] 所保存的统计结果,可以以报表的形式进行输出,报表中包括周期性的流量统计 结果,输出后可由管理员用户或其他需要此类数据的用户进行使用,所述使用包括利用输 出的数据对安全策略进行相应的修改。
[0050] 步骤S2,获取所述统计结果的变化幅度。
[0051] 统计结果的变化幅度包括预定周期内统计结果的平均值的变化幅度,也包括多个 统计结果之间的变化幅度,可根据需要选取。
[0052] 步骤S3,将所述变化幅度与预设阈值进行比较。
[0053] 这里,预设阈值是防火墙是否需要进行安全策略下发或修改或取消的限值,可以 根据网络安全的需要进行设定,也可以根据之前的平均值数据进行设定,也可以根据其他 因素进行设定。
[0054] 可结合变化趋势,将所述变化幅度与预设阈值进行比较,预设阈值可包括一个或 多个阈值。
[0055]步骤S4,根据比较结果,确定是否配置安全防护策略。
[0056]图2是本发明另一优选实施例的基于防火墙的网络安全的管理方法流程图。
[0057]如图2所示,本实施例基于防火墙的网络安全的管理方法,包括如下步骤:
[0058] 步骤S21,对所述防火墙的流量进行周期性统计并保存每个周期的统计结果。
[0059] 步骤S22,以所述周期的若干倍数为基本时间单位计算统计结果的平均值。
[0060] 步骤S23,计算当前单位时间内的统计结果平均值与前一单位时间内的统计结果 平均值的差值。
[0061] 步骤S24,将所述差值与预设阈值进行比较。
[0062] 步骤S25,当所述差值大于或等于所述第一预设阈值时,配置安全防护策略。
[0063] 步骤S26,当所述差值小于或等于所述第二预设阈值时,取消安全防护策略的配 置。
[0064] 其中,上述步骤25和步骤26没有必然的先后顺序,步骤25和步骤26是对应不同条 件执行的两个步骤。
[0065] 这里,所述安全防护策略为能由用户根据所述统计结果的平均值动态修改的策 略。
[0066] 表1为对防火墙的流量基于设备接口、基于用户、基于策略、基于应用等不同方面 进行周期性的流量统计。其中,上述项不同的流量统计,可以对其中的一项或多项进行统 计,也可以任意组合。此外,这里的应用可以包括:DNS应用、http应用、下载应用中的一项或 多项;当所述应用为DNS应用时,所述下发基于所述应用的相关配置,包括:下发有关DNS-flood的相关配置。这里的安全防护策略能由用户根据如表1所示的统计表进行动态修改。
[0069] 如表1所示,所述当所述差值大于或等于所述第一预设阈值时,配置安全防护策 略,具体可以包括:
[0070] 当基于设备接口的流量统计结果涉及的差值大于或等于基于设备接口统计的第 一预设阈值时,下发对所述设备接口的相关限速配置;
[0071] 当基于用户的流量统计结果涉及的差值大于或等于基于用户统计的第一预设阈 值时,下发对所述用户的相关限速配置;
[0072] 当基于策略的流量统计结果涉及的差值大于或等于基于策略统计的第一预设阈 值时,下发基于所述策略的限速配置;
[0073] 当基于应用的流量统计结果涉及的差值大于或等于基于应用统计的第一预设阈 值时,下发基于所述应用的相关配置。
[0074] 通过本实施例的基于防火墙的网络安全的管理方法,使得防火墙能够根据流量的 变化,动态的下发或修改或取消相关安全策略配置,从而使防火墙的网络安全的管理更加 灵活,某些安全配置只有在需要的时候才进行配置,有效的优化了防火墙的性能。
[0075] 图3是本发明优选实施例的基于防火墙的网络安全的管理系统结构示意图。
[0076]如图3所示,本实施例的基于防火墙的网络安全的管理的系统,包括:
[0077] 流量统计单元1,用于对所述防火墙的流量进行周期性统计。
[0078] 变化幅度获取单元2,与所述流量统计单元1相连,用于获取所述统计结果的变化 幅度。
[0079] 统计结果的变化幅度包括预定周期内统计结果的平均值的变化幅度,也包括多个 统计结果之间的变化幅度,可根据需要选取。
[0080] 比较单元3,与所述变化幅度获取单元2,相连,用于将所述变化幅度与预设阈值进 行比较。
[0081] 可结合变化趋势,将所述变化幅度与预设阈值进行比较,预设阈值可包括一个或 多个阈值。
[0082] 配置单元4,与所述比较单元3相连,用于根据比较结果,确定是否配置安全防护策 略。
[0083] 优选的,流量统计单元1进一步用于进行以下一项或多项的统计:基于设备接口对 所述防火墙的流量进行周期性的统计、基于用户对所述防火墙的流量进行周期性的统计、 基于策略对所述防火墙的流量进行周期性的统计、基于应用对所述防火墙的流量进行周期 性的统计。
[0084] 通过本实施例的基于防火墙的网络安全的管理系统,使得防火墙能够根据流量的 变化,动态的下发或修改或取消相关安全策略配置,从而使防火墙的网络安全的管理更加 灵活,某些安全配置只有在需要的时候才进行配置,有效的优化了防火墙的性能。
[0085] 图4是本发明另一优选择实施例的基于防火墙的网络安全的管理系统示意图。 [0086]如图4所示,本实施例的基于防火墙的网络安全的管理系统包括:
[0087] 流量统计单元1,用于对所述防火墙的流量进行周期性统计。
[0088] 平均值计算单元6,与所述流量统计单元1相连,用于保存每个周期的统计结果,并 以周期的若干倍数为基本时间单位计算统计结果的平均值。
[0089] 差值计算单元7,与所述平均值计算单元6相连,用于计算当前单位时间内的统计 结果平均值与前一单位时间内的统计结果平均值的差值。
[0090] 比较单元3,与所述差值计算单元7相连,用于将所述差值与预设阈值进行比较。
[0091] 配置单元4,与所述比较单元3相连,用于根据比较结果,确定是否配置安全防护策 略。
[0092] 所述系统还可以包括阈值预设单元5,与所述比较单元3相连,用于预设所述预设 阈值,包括预设第一预设阈值和预设第二预设阈值;其中,第一预设阈值大于第二预设阈 值。
[0093] 优选的,配置单元4进一步用于:当所述差值大于或等于所述第一预设阈值时,配 置安全防护策略;当所述