基於漏洞掃描的安全策略自動生成的方法及裝置的製作方法
2023-05-07 10:20:31
專利名稱:基於漏洞掃描的安全策略自動生成的方法及裝置的製作方法
技術領域:
本發明涉及到漏洞掃描以及安全策略生成技術,特別涉及到一種基於漏洞掃描的安全策略自動生成的方法及裝置。
背景技術:
目前許多防火牆產品雖然都包含漏洞掃描以及安全防護功能,但兩個功能都是相互獨立的單純進行漏洞掃描或者只允許手動添加安全策略,例如手動添加IPS (IntrusionPrevention System,入侵防禦系統)策略等來進行安全防護。上述技術的缺點表現如下1、單純的漏洞掃描,無法做到自動封堵漏洞而達到實時防護的目的;2、僅手動配置安全策略,容易造成誤操作,例如屏蔽了不該屏蔽的埠。因此,現有技術的防火牆中,設置相互獨立的兩個功能模塊,使得防火牆整體不夠智能化,無法做到「一鍵防護」的效果。
發明內容
本發明的主要目的為提供一種基於漏洞掃描的安全策略自動生成的方法,提升了安全策略添加的效率。本發明提出一種基於漏洞掃描的安全策略自動生成的方法,包括步驟根據已配置的參數進行漏洞掃描;根據掃描的漏洞配置安全策略;根據防護指令啟動防護。優選地,所述安全策略包括IPS、WAF和/或應用控制。優選地,所述根據掃描的漏洞配置安全策略的步驟之後還包括配置安全策略完成後,生成相應級別的風險記錄。優選地,所述根據防護指令啟動防護的步驟具體包括根據防護指令,將生成的風險記錄添加至安全策略庫。本發明還提出一種基於漏洞掃描的安全策略自動生成的裝置,包括漏洞掃描單元,用於根據已配置的參數進行漏洞掃描;策略配置單元,用於根據掃描的漏洞配置安全策略;防護啟動單元,用於根據防護指令啟動防護。優選地,所述安全策略包括IPS、WAF和/或應用控制。優選地,所述裝置還包括記錄生成單元,用於配置安全策略完成後,生成相應級別的風險記錄。優選地,所述防護啟動單元具體用於根據防護指令,將生成的風險記錄添加至安全策略庫。
本發明不再是由用戶手動添加各安全策略來進行防護,僅需通過漏洞掃描來自動發現並生成安全策略,有效的減少了管理員的負擔和手動添加策略帶來的誤操作。
圖1是本發明基於漏洞掃描的安全策略自動生成的方法一實施例中步驟流程示意圖;圖2是本發明基於漏洞掃描的安全策略自動生成的裝置一實施例中結構示意圖;圖3是本發明基於漏洞掃描的安全策略自動生成的裝置另ー實施例中結構示意圖。本發明目的的實現、功能特點及優點將結合實施例,參照附圖做進ー步說明。
具體實施例方式應當理解,此處所描述的具體實施例僅僅用以解釋本發明,並不用於限定本發明。參照圖1,提出本發明ー種基於漏洞掃描的安全策略自動生成的方法ー實施例。該方法可包括步驟S10、根據已配置的參數進行漏洞掃描;步驟S11、根據掃描的漏洞配置安全策略;步驟S12、根據防護指令啟動防護。本實施例中,通過漏洞掃描來自動添加安全策略的過程具體可為首先,由管理人員配置好參數,進行漏洞掃描,該漏洞掃描可為掃描目標主機端ロ的應用及漏洞。再根據漏洞掃描的結果匹配各種安全策略,該安全策略可包括但不限於IPS、WAF (Web ApplicationFirewall, WEB應用防火牆)、應用控制策略等。上述匹配可具體為首先,保存漏洞掃描結果,比如IP、端ロ以及應用類型等;讀取應用控制配置文件,並加載各種安全策略;然後,從第一條安全策略開始,對每條安全策略進行如下操作如果該條安全策略保護的伺服器IP是漏洞掃描的IP,且該條安全策略防護的端ロ也是掃描出的端ロ,則表示匹配上該條安全策略。再看該條安全策略允許的動作,如果動作是「拒絕」,則表明用戶已經防護了 IP和端ロ,目標伺服器是安全的,停止後續匹配;如果動作是「放行」,繼續後續安全策略的匹配,當匹配完各種安全策略後,仍沒有安全策略是用來阻斷到達該伺服器IP和端ロ的數據包,表明該伺服器有漏洞,同時生成一條風險記錄,該條風險記錄也就是漏洞掃描出的結果。生成的風險記錄可由管理員點擊防護,便可自動將該條風險記錄添加進安全策略庫,啟動防護。此時,漏洞已被防護,保障了伺服器安全。以下以HTTP伺服器為例,闡述漏洞掃描以及安全策略自動生成的處理過程1、通過管理員配置好參數,例如目標伺服器地址設為67. 220. 59. 43,掃描端ロ設為8080等;2、管理員點擊開始掃描,啟動掃描程序。3、掃描程序識別出8080端ロ的服務名稱,比如MicrosoFT IIS 4. O等。4、匹配漏洞特徵庫以及現有的IPS策略,生成一條新的IPS策略,用於防護HS (Internet Information Services,網際網路信息服務)Web 風險。
新生成的安全策略可有效的防禦該埠上的風險,例如弱密碼風險、SQL (Structured Query Language,結構化查詢語言)注入風險以及存在IIS漏洞等,管理員發現有級別較高的風險後,通過一鍵防護,即可生效新生成的安全策略,從而有效的保護了伺服器安全。上述基於漏洞掃描的安全策略自動生成的方法,針對傳統漏洞掃描以及手動添加安全策略的不足,實現了一種將漏洞掃描與添加安全策略相結合的技術,即通過漏洞掃描,自動生成安全策略。如此可將漏洞掃描與生成並添加安全策略智能結合,改變了手動配置各種安全策略的複雜性和錯誤率,有效的保證了內網伺服器的安全性。
應用上述基於漏洞掃描的安全策略自動生成的方法的防火牆,與傳統的防火牆相t匕,不再是由用戶手動添加各安全策略來進行防護,僅需通過漏洞掃描來自動發現並生成安全策略,有效的減少了管理員的負擔和手動添加策略帶來的誤操作;將漏洞掃描與添加安全策略智能結合,能夠實時發現安全漏洞並更新安全策略庫,提升防火牆的安全性能。參照圖2,提出本發明一種基於漏洞掃描的安全策略自動生成的裝置20—實施例。該裝置20可包括漏洞掃描單元21、策略配置單元22以及防護啟動單元23 ;該漏洞掃描單元21,用於根據已配置的參數進行漏洞掃描;該策略配置單元22,用於根據掃描的漏洞配置安全策略;該防護啟動單元23,用於根據防護指令啟動防護。參照圖3,在本發明另一實施例中,上述裝置20還包括記錄生成單元24,用於配置安全策略完成後,生成相應級別的風險記錄。上述防護啟動單元23具體用於根據防護指令,將生成的風險記錄添加至安全策略庫。本實施例中,通過漏洞掃描來自動添加安全策略的過程具體可為首先,由管理人員配置好參數,進行漏洞掃描,該漏洞掃描可為掃描目標主機埠的應用及漏洞。再根據漏洞掃描的結果匹配各種安全策略,具體匹配過程在上面已闡述。該安全策略可包括但不限於IPS、WAF(Web Application Firewall,WEB應用防火牆)、應用控制策略等。上述匹配可具體為首先,保存漏洞掃描結果,比如IP、埠以及應用類型等;讀取應用控制配置文件,並加載各種安全策略;然後,從第一條安全策略開始,對每條安全策略進行如下操作如果該條安全策略保護的伺服器IP是漏洞掃描的IP,且該條安全策略防護的埠也是掃描出的埠,則表示匹配上該條安全策略。再看該條安全策略允許的動作,如果動作是「拒絕」,則表明用戶已經防護了 IP和埠,目標伺服器是安全的,停止後續匹配;如果動作是「放行」,繼續後續安全策略的匹配,當匹配完各種安全策略後,仍沒有安全策略是用來阻斷到達該伺服器IP和埠的數據包,表明該伺服器有漏洞,同時生成一條風險記錄,該條風險記錄也就是漏洞掃描出的結果。生成的風險記錄可由管理員點擊防護,便可自動將該條風險記錄添加進安全策略庫,啟動防護。此時,漏洞已被防護,保障了伺服器安全。以下以HTTP伺服器為例,闡述漏洞掃描以及安全策略自動生成的處理過程I、通過管理員配置好參數,例如目標伺服器地址設為67. 220. 59. 43,掃描埠設為8080等;2、管理員點擊開始掃描,啟動掃描程序。3、掃描程序識別出8080埠的服務名稱,比如Microsoft IIS 4. O等。4、匹配漏洞特徵庫以及現有的IPS策略,生成一條新的IPS策略,用於防護HS (Internet Information Services,網際網路信息服務)Web 風險。新生成的安全策略可有效的防禦該埠上的風險,例如弱密碼風險、SQL (Structured Query Language,結構化查詢語言)注入風險以及存在IIS漏洞等,管理員發現有級別較高的風險後,通過一鍵防護,即可生效新生成的安全策略,從而有效的保護了伺服器安全。上述基於漏洞掃描的安全策略自動生成的裝置20,針對傳統漏洞掃描以及手動添加安全策略的不足,實現了一種將漏洞掃描與添加安全策略相結合的技術,即通過漏洞掃描,自動生成安全策略。如此可將漏洞掃描與生成並添加安全策略智能結合,改變了手動配 置各種安全策略的複雜性和錯誤率,有效的保證了內網伺服器的安全性。應用上述基於漏洞掃描的安全策略自動生成的裝置20的防火牆,與傳統的防火牆相比,不再是由用戶手動添加各安全策略來進行防護,僅需通過漏洞掃描來自動發現並生成安全策略,有效的減少了管理員的負擔和手動添加策略帶來的誤操作;將漏洞掃描與添加安全策略智能結合,能夠實時發現安全漏洞並更新安全策略庫,提升防火牆的安全性倉泛。以上所述僅為本發明的優選實施例,並非因此限制本發明的專利範圍,凡是利用本發明說明書及附圖內容所作的等效結構或等效流程變換,或直接或間接運用在其他相關的技術領域,均同理包括在本發明的專利保護範圍內。
權利要求
1.一種基於漏洞掃描的安全策略自動生成的方法,其特徵在於,包括步驟 根據已配置的參數進行漏洞掃描; 根據掃描的漏洞配置安全策略; 根據防護指令啟動防護。
2.根據權利要求I所述的基於漏洞掃描的安全策略自動生成的方法,其特徵在於,所述安全策略包括 IPS、WAF和/或應用控制。
3.根據權利要求I所述的基於漏洞掃描的安全策略自動生成的方法,其特徵在於,所述根據掃描的漏洞配置安全策略的步驟之後還包括 配置安全策略完成後,生成相應級別的風險記錄。
4.根據權利要求I至3中任一項所述的基於漏洞掃描的安全策略自動生成的方法,其特徵在於,所述根據防護指令啟動防護的步驟具體包括 根據防護指令,將生成的風險記錄添加至安全策略庫。
5.一種基於漏洞掃描的安全策略自動生成的裝置,其特徵在於,包括 漏洞掃描單元,用於根據已配置的參數進行漏洞掃描; 策略配置單元,用於根據掃描的漏洞配置安全策略; 防護啟動單元,用於根據防護指令啟動防護。
6.根據權利要求5所述的基於漏洞掃描的安全策略自動生成的裝置,其特徵在於,所述安全策略包括 IPS、WAF和/或應用控制。
7.根據權利要求5所述的基於漏洞掃描的安全策略自動生成的裝置,其特徵在於,所述裝置還包括 記錄生成單元,用於配置安全策略完成後,生成相應級別的風險記錄。
8.根據權利要求5至7中任一項所述的基於漏洞掃描的安全策略自動生成的裝置,其特徵在於,所述防護啟動單元具體用於 根據防護指令,將生成的風險記錄添加至安全策略庫。
全文摘要
本發明揭示了一種基於漏洞掃描的安全策略自動生成的方法及裝置。該方法可包括步驟根據已配置的參數進行漏洞掃描;根據掃描的漏洞配置安全策略;根據防護指令啟動防護。本發明不再是由用戶手動添加各安全策略來進行防護,僅需通過漏洞掃描來自動發現並生成安全策略,有效的減少了管理員的負擔和手動添加策略帶來的誤操作。
文檔編號H04L29/06GK102624717SQ20121005273
公開日2012年8月1日 申請日期2012年3月2日 優先權日2012年3月2日
發明者劉餘 申請人:深信服網絡科技(深圳)有限公司