CN109067779A - 基于安全防护的优化防火墙的方法、装置及计算机设备 - Google Patents
基于安全防护的优化防火墙的方法、装置及计算机设备 Download PDFInfo
- Publication number
- CN109067779A CN109067779A CN201811083931.7A CN201811083931A CN109067779A CN 109067779 A CN109067779 A CN 109067779A CN 201811083931 A CN201811083931 A CN 201811083931A CN 109067779 A CN109067779 A CN 109067779A
- Authority
- CN
- China
- Prior art keywords
- firewall
- test data
- rule
- operation system
- test
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0823—Configuration setting characterised by the purposes of a change of settings, e.g. optimising configuration for enhancing reliability
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出的基于安全防护的优化防火墙的方法、装置、计算机设备和存储介质,其中方法包括:获取用于测试防火墙的测试数据,其中,不同的所述测试数据中带有不同的配置文件,所述配置文件用于表征入侵所述防火墙保护的业务***的入侵策略;将所述测试数据访问所述防火墙保护的业务***,得到访问成功的第一测试数据;依据所述第一测试数据对应的配置文件优化所述防火墙,该方法使用程序实现,无需人工干预,节省人力资源,且通过使用带有各种不同的配置文件的测试数据测试防火墙,并依据成功绕过防火墙的测试数据的配置文件去调整防火墙的配置,使该防火墙可以拦截各种不同的数据的入侵,从而达到优化防火墙的目的。
Description
技术领域
本发明涉及到安全防护的技术领域,特别是涉及到一种基于安全防护的优化防火墙方法、装置、计算机设备和存储介质。
背景技术
防火墙是指隔离在本地网络与外界网络之间的一道防御***,它用于监测并过滤所有内部网和外部网之间的信息交换,防火墙设备上可以配置拦截规则,遇到符合拦截规则的访问数据均可被拦截,从而保护着内部网络的数据不被偷窃和破坏,并识别及屏蔽非法的请求。
在计算机网络日益扩展和普及的今天,计算机安全的要求更高,涉及面更广,不但要求防治病毒,还要提高***抵抗外来非法黑客入侵的能力,还要提高对远程数据传输的保密性,避免在传输途中遭受非法窃取。此时,对防火墙性能进行优化显得尤为重要,但是,随着互联网的发展,来自网络的攻击持续不断的增长,入侵规则的多样化,使得防火墙并不能完全拦截更多的访问数据,而目前业内一般是从防火墙的处理速度、减轻负载以及提高错误率等方面对防火墙进行优化,但是由于入侵规则的多样性以及未知性,让防火墙难以适应更多的入侵规则。
发明内容
本发明的主要目的为提供一种可以拦截多样化数据入侵的基于安全防护的优化防火墙的方法、装置、计算机设备和存储介质。
本发明提出一种基于安全防护的优化防火墙的方法,包括:获取用于测试防火墙的测试数据,其中,不同的所述测试数据中带有不同的配置文件,所述配置文件用于表征入侵所述防火墙保护的业务***的入侵策略;
将所述测试数据访问所述防火墙保护的业务***,得到访问成功的第一测试数据;
依据所述第一测试数据对应的配置文件优化所述防火墙。
进一步地,所述获取用于测试防火墙的测试数据的步骤,包括:
从预设的数据库中获取入侵规则,所述入侵规则为针对可绕过防火墙而设置的一种规则;
将所述入侵规则配置到用于测试防火墙的数据的配置文件中,以使所述数据形成所述测试数据。
进一步地,所述将所述入侵规则配置到用于测试防火墙的数据的配置文件中,以使所述数据形成所述测试数据的步骤之前,包括:
根据所述防火墙保护的业务***的类型,对所述入侵规则进行分类;
根据所述防火墙保护的业务***的类型调用对应的所述入侵规则。
进一步地,所述将所述测试数据访问所述防火墙保护的业务***的步骤,包括:
将多个不同的所述测试数据同时访问所述防火墙保护的业务***。
进一步地,所述将所述测试数据访问所述防火墙保护的业务***,得到访问成功的第一测试数据的步骤,包括:
判断所述测试数据中的入侵规则与所述防火墙中的拦截规则是否匹配;
若所述测试数据的入侵规则与所述防火墙的拦截规则匹配,则访问失败;若所述入侵规则与所述拦截规则不匹配,则访问成功,并得到访问成功的第一测试数据。
进一步地,所述将所述测试数据访问所述防火墙保护的业务***,得到访问成功的第一测试数据的步骤之后,包括:
在预设数据库中将已配置到所述数据并已进行测试的入侵规则标记。
进一步地,所述依据所述第一测试数据对应的配置文件优化所述防火墙的步骤之后,包括:
利用所述第一测试数据对优化后的所述防火墙的业务***进行访问;
若所述第一测试数据被优化后的所述防火墙拦截,则优化成功,若所述第一测试数据不被优化后的所述防火墙拦截,则根据所述第一测试数据对应的配置文件再次对所述防火墙进行优化。
本发明还提供一种基于安全防护的优化防火墙的装置,包括:
获取模块,用于获取用于测试防火墙的测试数据,其中,不同的所述测试数据中带有不同的配置文件,所述配置文件用于表征入侵所述防火墙保护的业务***的入侵策略;
测试模块,用于将所述测试数据访问所述防火墙保护的业务***,得到访问成功的第一测试数据;
优化模块,用于依据所述第一测试数据对应的配置文件优化所述防火墙。
本发明还提供一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述方法的步骤。
本发明还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述方法的步骤。
本发明的有益效果为:该方法使用程序实现,无需人工干预,节省人力资源,工作效率更高;该方法通过使用带有各种不同的配置文件的测试数据测试防火墙,并依据成功绕过防火墙的测试数据的配置文件去调整防火墙的配置,使该防火墙可以拦截各种不同的数据的入侵,从而达到优化防火墙的目的;且对已测试的入侵规则进行标记,使得断点后可根据已标记的入侵规则对未标记的入侵规则继续测试,不会因为断电而丢失工作进度。
附图说明
图1为本发明一实施例中基于安全防护的优化防火墙的方法的步骤示意图;
图2为本发明一实施例中基于安全防护的优化防火墙的装置的结构示意框图;
图3为本发明一实施例中获取模块的结构示意框图;
图4为本发明另一实施例中获取模块的结构示意框图;
图5为本发明一实施例中测试模块的结构示意框图;
图6为本发明另一实施例中测试模块的结构示意框图;
图7为本发明另一实施例中基于安全防护的优化防火墙的装置的结构示意框图;
图8为本发明一实施例的计算机设备的结构示意框图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
参照图1,本实施例中的基于安全防护的优化防火墙的方法,包括:
步骤S1:获取用于测试防火墙的测试数据,其中,不同的所述测试数据中带有不同的配置文件,所述配置文件用于表征入侵所述防火墙保护的业务***的入侵策略;
步骤S2:将所述测试数据访问所述防火墙保护的业务***,得到访问成功的第一测试数据;
步骤S3:依据所述第一测试数据对应的配置文件优化所述防火墙。
本实施例中,因为需要使用测试数据来对防火墙进行测试,故在测试防火墙之前,需要获取用于测试防火墙的测试数据,上述测试数据为带有配置文件的数据,而不同的测试数据带有不同的配置文件,该配置文件为用于表征入侵防火墙保护的业务***的入侵策略,该文件中包括入侵规则,该入侵规则为针对可绕过防火墙而设置的一种规则,如各种字符字段排列组合。具体的说,上述测试防火墙的方法为将上述测试数据访问防火墙保护的业务***,其中能够访问该业务***的测试数据配置有攻破该业务***的防火墙的配置文件,故而将带有配置文件的测试数据用来测试防火墙。
可以理解的是,防火墙均设置有拦截规则,但是并不是所有的测试数据均可以被拦截,如果上述测试数据配置文件中的入侵规则与防火墙的拦截规则不匹配,则测试数据可以绕过防火墙,从而入侵防火墙保护的业务***。在步骤S2中,将上述测试数据对待测的防火墙进行测试,如,使用测试数据对防火墙保护的业务***进行访问,测试上述测试数据是否能够访问上述防火墙的业务***,若测试数据被防火墙拦截,说明防火墙对该测试数据有效,则无需依据测试数据配置文件去优化防火墙,若测试数据没有被防火墙拦截,则说明该防火墙对测试数据无效,这时得到成功访问的第一测试数据,依据该第一测试数据的配置文件将防火墙优化成能够拦截上述第一测试数据的防火墙,具体而言,上述优化过程为根据配置文件中的入侵规则,对应去修改当前被测试的防火墙的配置文件(包括有拦截规则),使得两者匹配,将当前防火墙修改成可以拦截上述测试数据的防火墙,从而达到优化防火墙的目的,以上方法全程使用程序实现,无需人工干预,节省人力资源。
具体地,上述步骤S1包括:
步骤S10:从预设的数据库中获取入侵规则,所述入侵规则为针对可绕过防火墙而设置的一种规则;
步骤S11:将所述入侵规则配置到用于测试防火墙的数据的配置文件中,以使所述数据形成所述测试数据。
本实施例中,为了节省测试资源和次数,可以通过以下途径获取入侵规则:从sqlmap获取上述入侵规则、从网上搜集他人使用的能够绕过防火墙的入侵规则以及测试其它防火墙时未被拦截的入侵规则,通过上述途径获取各种能够绕过其他防火墙的入侵规则,若这些入侵规则可以绕过其他防火墙,即说明这些入侵规则亦可能绕过当前用于测试的防火墙,即表明这些入侵规则可用于测试,通过上述三种获取用于测试的入侵规则途径可避免获取到没有价值的规则,从而节省测试资源。通过上述途径获取到入侵规则均存储于预设数据库中,当需要使用时,直接从上述预设的数据库中获取即可。上述sqlmap是一个攻击web***的开源软件,具有大量的绕过防火墙的入侵规则,在步骤S11中,在测试之前,将上述入侵规则配置到用于测试防火墙的数据的配置文件中,上述用于测试防火墙的数据即为可正常访问业务***的数据,这些数据可从多种途径获得,如从访问业务***的历史数据中获取,或者通过采用预设的数据尝试访问然后访问成功而得到的预设的数据。
在一个实施例中,在步骤S11之前,包括:
步骤S01:根据所述防火墙保护的业务***的类型,对所述入侵规则进行分类;
步骤S02:根据所述防火墙保护的业务***的类型调用对应的所述入侵规则。
本实施例中,由于不同业务***之间的差异,不同业务***之间的防火墙的配置文件也有可能设置不一样,即对应的防火墙拦截规则不一样。具体可以根据业务***的需求来设置应用于不同业务***的防火墙的拦截规则,所以访问不同的防火墙保护的业务***之前,可以根据其业务***的类型将上述获取到的入侵规则进行分类,使得带有同类型入侵规则的测试数据访问对应的业务***。这样避免出现测试数据访问不对应的业务***而造成无效的测试,浪费资源的情况。
具体的说,访问之前,将入侵规则对应防火墙保护的业务***的类型进行分类,然后根据业务***的类型,调用对应该类型的入侵规则,将这些入侵规则配置到用于测试防火墙的数据的配置文件中,形成对应业务***的类型的测试数据,然后将上述测试数据对该防火墙保护的业务***进行访问,举例地,根据业务***的类型识别出该业务***为mysql数据库,那么访问该mysql数据库时,使用的是带有对应mysql数据库的入侵规则的测试数据,而不会将带有对应mysql数据库的入侵规则的测试数据对oracle、sqlserver等***进行访问。上述访问过程中,将不同的测试数据一一对上述防火墙保护的业务***进行访问,从而得到不同的不被上述防火墙拦截的测试数据,以及不同的被上述防火墙拦截的测试数据。
优选地,上述将所述测试数据访问所述防火墙保护的业务***的步骤,包括:
步骤S20’:将多个不同所述测试数据同时对所述防火墙进行测试。
本步骤中,为了节省测试时间,可以将多个上述测试数据同时对防火墙进行测试,具体的说,先调用多个不同的上述入侵规则,将这些入侵规则分别配置到用于测试防火墙的数据的配置文件中以形成多个不同的测试数据,然后将这些测试数据对防火墙保护的业务***进行访问,举例地,同时开启多条线程对防火墙进行测试,每条线程均连通业务***,且每条线程均采用一个测试数据对上述业务***进行访问,这样多个测试数据同时进行访问防火墙保护的业务***,可以节省访问时间,提高工作效率,如有一万个测试数据需要访问,若是逐个进行访问则需要访问一万次,会耗费较长时间,但是若开启一百条线程,那么一百次访问后即可完成,大大地提高了工作效率。
进一步地,上述将所述测试数据访问所述防火墙保护的业务***的步骤,包括:
步骤S20:判断所述测试数据中的入侵规则与所述防火墙中的拦截规则是否匹配;
步骤S21:若所述测试数据的入侵规则与所述防火墙的拦截规则匹配,则访问成功;若所述入侵规则与所述拦截规则不匹配,则访问成功,并得到访问成功的第一测试数据。
本实施例中,将测试数据对所述防火墙进行测试时,首先将测试数据对防火墙的业务***进行访问,访问结果有两种,一种为可以正常访问到业务***,这时证明测试数据可以成功绕过防火墙,一种是访问不到业务***,证明该测试数据被防火墙拦截。具体的说,将上述测试数据的入侵规则与防火墙的拦截规则进行匹配,若两者匹配,这时测试数据会被防火墙拦截,即访问成功,若两者不匹配,则测试数据可以绕过防火墙,从而成功访问该防火墙保护的业务***。如,拦截规则中设置可以拦截关键字符,若入侵规则中带有对应的关键字符,则入侵规则与拦截规则适配;拦截规则中设置可以区分大小写字母,则入侵规则中字符不管是大写字母还是小写字母均与拦截规则适配。
进一步地,根据访问结果将可以成功绕过防火墙的测试数据的入侵规则记录下来,然后根据这些入侵规则调整防火墙的拦截规则,从而优化防火墙,具体的说,上述访问结果中,若测试数据可以成功绕过防火墙,从而正常访问到业务***,说明这个测试数据对防火墙来说是一个漏洞,故而可以根据这个测试数据的入侵规则去调整防火墙的拦截规则,使得防火墙再次遇到带有这样入侵规则的数据时可以将其拦截住。举例地,不同的入侵规则调整防火墙的拦截规则也不一样,如入侵规则中包含有关键字符,调整拦截规则,使得拦截规则包括可以拦截该关键字符,这时如果该入侵规则再次对防火墙进行攻击,则会被拦截。
在一个实施例中,上述步骤S2之后,包括:
步骤S3’:在预设数据库中将已配置到所述数据并已进行测试的入侵规则标记。
本步骤中,在得到访问成功的第一测试数据之后,可对预设数据库中的入侵规则进行标记,具体地说,由上述步骤可知访问结果有两种,一种是测试数据可以成功绕过防火墙,则该测试数据可记为第一测试数据,对应的,第一测试数据对应的入侵规则标记为A,并记录下来,以便用于调整拦截规则;一种是测试数据被防火墙拦截,则该测试数据可记为第二测试数据,对应的,该第二测试数据对应的入侵规则可标记为B。由于入侵规则的多样性和未知性,若想防火墙能够拦截更多的带有入侵规则的数据,所以需要大量入侵规则进行测试,在测试过程中获取有效的、可用于调整防火墙拦截规则的入侵规则,而由于入侵规则的数量庞大,如果断点再重测时,容易造成重复测试或漏测试,所以在预设数据库中把已经测试过的入侵规则进行标记,这样同一个入侵规则在测试断点后重启任务时不再进行测试,当再次测试时直接从断点前的最后一个待测入侵规则开始,这样也不会因为断点而丢失的工作进度。
进一步地,在步骤S3之后,包括:
步骤S4:利用所述第一测试数据对优化后的所述防火墙的业务***进行访问;
步骤S5:若所述第一测试数据优化后的被所述防火墙拦截,则优化成功,若所述第一测试数据不被优化后的所述防火墙拦截,则根据所述第一测试数据对应的配置文件再次对所述防火墙进行优化。
本实施例中,在优化防火墙之后,要确保该防火墙可以拦截上述第一测试数据,则需要验证该防火墙是否优化成功,具体验证过程为:将第一测试数据对优化后的防火墙保护的业务***进行访问,若第一测试数据被优化后的防火墙拦截,即说明该防火墙优化成功,若第一测试数据不被优化后的防火墙拦截,即说明优化防火墙不成功,需要再次对防火墙进行优化,则根据上述第一测试数据配置文件中的入侵规则再次调整防火墙的拦截规则,从而优化上述防火墙,然后再次对该防火墙进行验证,如此直至验证时,上述防火墙可以拦截上述第一测试数据,则说明上述防火墙优化成功。
参照图2,本实施例中基于安全防护的优化防火墙的装置,包括:
获取模块100,用于获取用于测试防火墙的测试数据,其中,不同的所述测试数据中带有不同的配置文件,所述配置文件用于表征入侵所述防火墙保护的业务***的入侵策略;
测试模块200,用于将所述测试数据访问所述防火墙保护的业务***,得到访问成功的第一测试数据;
优化模块300,用于依据所述第一测试数据对应的配置文件优化所述防火墙。
本实施例中,因为需要使用测试数据来对防火墙进行测试,故在测试防火墙之前,需要获取模块100获取用于测试防火墙的测试数据,上述测试数据为带有配置文件的数据,而不同的测试数据带有不同的配置文件,该配置文件为用于表征入侵防火墙保护的业务***的入侵策略,该文件中包括入侵规则,该入侵规则为针对可绕过防火墙而设置的一种规则,如各种字符字段排列组合。具体的说,上述测试防火墙的方法为将上述测试数据访问防火墙保护的业务***,其中能够访问该业务***的测试数据均配置有攻破该业务***的防火墙的配置文件,故而将带有配置文件的测试数据用来测试防火墙。
可以理解的是,防火墙均设置有拦截规则,但是并不是所有的测试数据均可以被拦截,如果上述测试数据配置文件中的入侵规则与防火墙的拦截规则不匹配,则测试数据可以绕过防火墙,从而入侵防火墙保护的业务***。将上述测试数据对待测的防火墙进行测试,如,测试模块200将测试数据对防火墙保护的业务***进行访问,测试上述测试数据是否能够访问上述防火墙的业务***,若测试数据被防火墙拦截,说明防火墙对该测试数据有效,则无需依据测试数据配置文件去优化防火墙,若测试数据没有被防火墙拦截,则说明该防火墙对测试数据无效,这时得到成功访问的第一测试数据,优化模块300依据该第一测试数据的配置文件将防火墙优化成能够拦截上述第一测试数据的防火墙,具体而言,上述优化过程为根据配置文件中的入侵规则,对应去修改当前被测试的防火墙的配置文件(包括有拦截规则),使得两者匹配,将当前防火墙修改成可以拦截上述测试数据的防火墙,从而达到优化防火墙的目的。
具体地,参照图3,上述获取模块100包括:
获取子模块110,用于从预设的数据库中获取入侵规则,所述入侵规则为针对可绕过防火墙而设置的一种规则;
加入子模块120,用于将所述入侵规则配置到用于测试防火墙的数据的配置文件中,以使所述数据形成所述测试数据。
本实施例中,为了节省测试资源和次数,可以通过以下途径获取入侵规则:从sqlmap获取上述入侵规则、从网上搜集他人使用的能够绕过防火墙的入侵规则以及测试其它防火墙时未被拦截的入侵规则,通过上述途径获取各种能够绕过其他防火墙的入侵规则,若这些入侵规则可以绕过其他防火墙,即说明这些入侵规则亦可能绕过当前用于测试的防火墙,即表明这些入侵规则可用于测试,通过上述三种获取用于测试的入侵规则途径可避免获取到没有价值的规则,从而节省测试资源。通过上述途径获取到入侵规则均存储于预设数据库中,当需要使用时,直接从上述预设的数据库中获取即可。上述sqlmap是一个攻击web***的开源软件,具有绕过防火墙大量的入侵规则。在测试之前,加入子模块120将上述入侵规则配置到用于测试防火墙的数据的配置文件中,上述用于测试防火墙的数据即为可正常访问业务***的数据,这些数据可从多种途径获得,如从访问业务***的历史数据中获取,或者通过采用预设的数据尝试访问然后访问成功而得到的预设的数据。
在一个实施例中,参照图4,上述获取模块100,还包括:
分类子模块130,用于根据所述防火墙保护的业务***的类型,对所述入侵规则进行分类;
调用子模块140,用于根据所述防火墙保护的业务***的类型调用对应的所述入侵规则。
本实施例中,由于不同业务***之间的差异,不同业务***之间的防火墙的配置文件也有可能设置不一样,即对应的防火墙拦截规则不一样。具体可以根据业务***的需求来设置应用于不同业务***的防火墙的拦截规则,所以访问不同的防火墙保护的业务***之前,分类子模块130可以根据其业务***的类型将上述获取到的入侵规则进行分类,使得带有同类型入侵规则的测试数据访问对应的业务***。这样避免出现测试数据访问不对应的业务***而造成无效的测试,浪费资源的情况。
具体的说,访问之前,分类子模块130将入侵规则对应防火墙保护的业务***的类型进行分类,然后调用子模块140根据业务***的类型,调用对应该类型的入侵规则,将这些入侵规则配置到用于测试防火墙的数据的配置文件中,形成对应业务***的类型的测试数据,然后将上述测试数据对该防火墙保护的业务***进行访问,举例地,根据业务***的类型识别出该业务***为mysql数据库,那么访问该mysql数据库时,使用的是带有对应mysql数据库的入侵规则的测试数据,而不会将带有对应mysql数据库的入侵规则的测试数据对oracle、sqlserver等***进行访问。上述访问过程中,将不同的测试数据一一对上述防火墙保护的业务***进行访问,从而得到不同的不被上述防火墙拦截的测试数据,以及不同的被上述防火墙拦截的测试数据。
在一个实施例中,参照图5,上述测试模块200,包括:
测试子模块210,用于将多个不同所述测试数据同时对所述防火墙进行测试。
本实施例中,为了节省测试时间,测试子模块210可以将多个上述测试数据同时对防火墙进行测试,具体的说,先调用多个不同的上述入侵规则,将这些入侵规则分别配置到用于测试防火墙的数据的配置文件中以形成多个不同的测试数据,然后将这些测试数据对防火墙保护的业务***进行访问,举例地,同时开启多条线程对防火墙进行测试,每条线程均连通业务***,且每条线程均采用一个测试数据对上述业务***进行访问,这样多个测试数据同时进行访问防火墙保护的业务***,可以节省访问时间,提高工作效率,如有一万个测试数据需要访问,若是逐个进行访问则需要访问一万次,会耗费较长时间,但是若开启一百条线程,那么一百次访问后即可完成,大大地提高了工作效率。
在另一实施例中,参照图6,上述测试模块200,包括:
判断子模块220,用于判断所述测试数据中的入侵规则与所述防火墙中的拦截规则是否匹配;
访问子模块230,用于所述测试数据的入侵规则与所述防火墙的拦截规则匹配时,则访问成功;若所述入侵规则与所述拦截规则不匹配,则访问成功,并得到访问成功的第一测试数据。
本实施例中,将测试数据对所述防火墙进行测试时,首先将测试数据对防火墙的业务***进行访问,访问结果有两种,一种为可以正常访问到业务***,这时证明测试数据可以成功绕过防火墙,一种是访问不到业务***,证明该测试数据被防火墙拦截。具体的说,将上述测试数据的入侵规则与防火墙的拦截规则进行匹配,若两者匹配,这时测试数据会被防火墙拦截,即访问成功,若两者不匹配,则测试数据可以绕过防火墙,从而成功访问该防火墙保护的业务***。如,拦截规则中设置可以拦截关键字符,若入侵规则中带有对应的关键字符,则入侵规则与拦截规则适配;拦截规则中设置可以区分大小写字母,则入侵规则中字符不管是大写字母还是小写字母均与拦截规则适配。
进一步地,根据访问结果将可以成功绕过防火墙的测试数据的入侵规则记录下来,然后根据这些入侵规则调整防火墙的拦截规则,从而优化防火墙,具体的说,上述访问结果中,若测试数据可以成功绕过防火墙,从而正常访问到业务***,说明这个测试数据对防火墙来说是一个漏洞,故而可以根据这个测试数据的入侵规则去调整防火墙的拦截规则,使得防火墙再次遇到带有这样入侵规则的数据时可以将其拦截住。举例地,不同的入侵规则调整防火墙的拦截规则也不一样,如入侵规则中包含有关键字符,调整拦截规则,使得拦截规则包括可以拦截该关键字符,这时如果该入侵规则再次对防火墙进行攻击,则会被拦截。
在一个实施例中,上述基于安全防护的优化防火墙的装置,包括:
标记模块,用于在预设数据库中将已配置到所述数据并已进行测试的入侵规则标记。
本实施例中,在得到访问成功的第一测试数据之后,标记模块可对预设数据库中的入侵规则进行标记,具体地说,由上述步骤可知访问结果有两种,一种是测试数据可以成功绕过防火墙,则该测试数据可记为第一测试数据,对应的,第一测试数据对应的入侵规则标记为A,并记录下来,以便用于调整拦截规则;一种是测试数据被防火墙拦截,则该测试数据可记为第二测试数据,对应的,该第二测试数据对应的入侵规则可标记为B。由于入侵规则的多样性和未知性,若想防火墙能够拦截更多的带有入侵规则的数据,所以需要大量入侵规则进行测试,在测试过程中获取有效的、可用于调整防火墙拦截规则的入侵规则,而由于入侵规则的数量庞大,如果断点再重测时,容易造成重复测试或漏测试,所以在预设数据库中把已经测试过的入侵规则进行标记,这样同一个入侵规则在测试断点后重启任务时不再进行测试,当再次测试时直接从断点前的最后一个待测入侵规则开始,这样也不会因为断点而丢失的工作进度。
进一步地,参照图7,上述基于安全防护的优化防火墙的装置,还包括:
验证模块500,用于利用所述第一测试数据对优化后的所述防火墙的业务***进行访问;
再测模块600,若所述第一测试数据优化后的被所述防火墙拦截,则优化成功,若所述第一测试数据不被优化后的所述防火墙拦截,则根据所述第一测试数据对应的配置文件再次对所述防火墙进行优化。
本实施例中,在优化防火墙之后,要确保该防火墙可以拦截上述第一测试数据,则需要验证该防火墙是否优化成功,具体验证过程为:验证模块500将第一测试数据对优化后的防火墙保护的业务***进行访问,若第一测试数据被优化后的防火墙拦截,即说明该防火墙优化成功,若第一测试数据不被优化后的防火墙拦截,即说明优化防火墙不成功,需要再次对防火墙进行优化,则根据上述第一测试数据配置文件中的入侵规则再次调整防火墙的拦截规则,从而优化上述防火墙,然后再次对该防火墙进行验证,如此直至验证时,上述防火墙可以拦截上述第一测试数据,则说明上述防火墙优化成功。
参照图8,本发明实施例中还提供一种计算机设备,该计算机设备可以是服务器,其内部结构可以如图8所示。该计算机设备包括通过***总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设计的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作***、计算机程序和数据库。该内存器为非易失性存储介质中的操作***和计算机程序的运行提供环境。该计算机设备的数据库用于存储基于安全防护的优化防火墙的方法等数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种基于安全防护的优化防火墙的方法。
上述处理器执行上述基于安全防护的优化防火墙的方法的步骤:获取用于测试防火墙的测试数据,其中,不同的所述测试数据中带有不同的配置文件,所述配置文件用于表征入侵所述防火墙保护的业务***的入侵策略;将所述测试数据访问所述防火墙保护的业务***,得到访问成功的第一测试数据;依据所述第一测试数据对应的配置文件优化所述防火墙。
上述计算机设备,所述获取用于测试防火墙的测试数据的步骤,包括:从预设的数据库中获取入侵规则,所述入侵规则为针对可绕过防火墙而设置的一种规则;将所述入侵规则配置到用于测试防火墙的数据的配置文件中,以使所述数据形成所述测试数据。
在一个实施例中,上述将所述入侵规则配置到用于测试防火墙的数据的配置文件中,以使所述数据形成所述测试数据的步骤之前,包括:根据所述防火墙保护的业务***的类型,对所述入侵规则进行分类;根据所述防火墙保护的业务***的类型调用对应的所述入侵规则,这样可以避免出现测试数据访问不对应的业务***而造成无效的测试,浪费资源的情况。
在一个实施例中,上述将所述测试数据访问所述防火墙保护的业务***的步骤,包括:将多个不同的所述测试数据同时访问所述防火墙保护的业务***,这样可以节省访问时间,提高工作效率。
在一个实施例中,上述所述将所述测试数据访问所述防火墙保护的业务***,得到访问成功的第一测试数据的步骤,包括:判断所述测试数据中的入侵规则与所述防火墙中的拦截规则是否匹配;若所述测试数据的入侵规则与所述防火墙的拦截规则匹配,则访问失败;若所述入侵规则与所述拦截规则不匹配,则访问成功,并得到访问成功的第一测试数据。
在另一个实施例中,上述将所述测试数据访问所述防火墙保护的业务***,得到访问成功的第一测试数据的步骤之后,包括:在预设数据库中将已配置到所述数据并已进行测试的入侵规则标记。
在一个实施例中,所述依据所述第一测试数据对应的配置文件优化所述防火墙的步骤之后,包括:利用所述第一测试数据对优化后的所述防火墙的业务***进行访问;若所述第一测试数据被优化后的所述防火墙拦截,则优化成功,若所述第一测试数据不被优化后的所述防火墙拦截,则根据所述第一测试数据对应的配置文件再次对所述防火墙进行优化。
本领域技术人员可以理解,图8中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定。
本发明一实施例还提供一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现一种的基于安全防护的优化防火墙方法,具体为:获取用于测试防火墙的测试数据,其中,不同的所述测试数据中带有不同的配置文件,所述配置文件用于表征入侵所述防火墙保护的业务***的入侵策略;将所述测试数据访问所述防火墙保护的业务***,得到访问成功的第一测试数据;依据所述第一测试数据对应的配置文件优化所述防火墙。
上述计算机可读存储介质,所述获取用于测试防火墙的测试数据的步骤,包括:从预设的数据库中获取入侵规则,所述入侵规则为针对可绕过防火墙而设置的一种规则;将所述入侵规则配置到用于测试防火墙的数据的配置文件中,以使所述数据形成所述测试数据。
在一个实施例中,上述将所述入侵规则配置到用于测试防火墙的数据的配置文件中,以使所述数据形成所述测试数据的步骤之前,包括:根据所述防火墙保护的业务***的类型,对所述入侵规则进行分类;根据所述防火墙保护的业务***的类型调用对应的所述入侵规则,这样可以避免出现测试数据访问不对应的业务***而造成无效的测试,浪费资源的情况。
在一个实施例中,上述将所述测试数据访问所述防火墙保护的业务***的步骤,包括:将多个不同的所述测试数据同时访问所述防火墙保护的业务***,这样可以节省访问时间,提高工作效率。
在一个实施例中,上述将所述测试数据访问所述防火墙保护的业务***,得到访问成功的第一测试数据的步骤,包括:判断所述测试数据中的入侵规则与所述防火墙中的拦截规则是否匹配;若所述测试数据的入侵规则与所述防火墙的拦截规则匹配,则访问失败;若所述入侵规则与所述拦截规则不匹配,则访问成功,并得到访问成功的第一测试数据。
在另一个实施例中,上述将所述测试数据访问所述防火墙保护的业务***,得到访问成功的第一测试数据的步骤之后,包括:在预设数据库中将已配置到所述数据并已进行测试的入侵规则标记。
在一个实施例中,所述依据所述第一测试数据对应的配置文件优化所述防火墙的步骤之后,包括:利用所述第一测试数据对优化后的所述防火墙的业务***进行访问;若所述第一测试数据被优化后的所述防火墙拦截,则优化成功,若所述第一测试数据不被优化后的所述防火墙拦截,则根据所述第一测试数据对应的配置文件再次对所述防火墙进行优化。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储与一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的和实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可以包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM一多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双速据率SDRAM(SSRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、装置、物品或者方法不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、装置、物品或者方法所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、装置、物品或者方法中还存在另外的相同要素。
以上所述仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种基于安全防护的优化防火墙的方法,其特征在于,包括:
获取用于测试防火墙的测试数据,其中,不同的所述测试数据中带有不同的配置文件,所述配置文件用于表征入侵所述防火墙保护的业务***的入侵策略;
将所述测试数据访问所述防火墙保护的业务***,得到访问成功的第一测试数据;
依据所述第一测试数据对应的配置文件优化所述防火墙。
2.根据权利要求1所述的基于安全防护的优化防火墙的方法,其特征在于,所述获取用于测试防火墙的测试数据的步骤,包括:
从预设的数据库中获取入侵规则,所述入侵规则为针对可绕过防火墙而设置的一种规则;
将所述入侵规则配置到用于测试防火墙的数据的配置文件中,以使所述数据形成所述测试数据。
3.根据权利要求2所述的基于安全防护的优化防火墙的方法,其特征在于,所述将所述入侵规则配置到用于测试防火墙的数据的配置文件中,以使所述数据形成所述测试数据的步骤之前,包括:
根据所述防火墙保护的业务***的类型,对所述入侵规则进行分类;
根据所述防火墙保护的业务***的类型调用对应的所述入侵规则。
4.根据权利要求1所述的基于安全防护的优化防火墙的方法,其特征在于,所述将所述测试数据访问所述防火墙保护的业务***的步骤,包括:
将多个不同的所述测试数据同时访问所述防火墙保护的业务***。
5.根据权利要求2所述的基于安全防护的优化防火墙的方法,其特征在于,所述将所述测试数据访问所述防火墙保护的业务***,得到访问成功的第一测试数据的步骤,包括:
判断所述测试数据中的入侵规则与所述防火墙中的拦截规则是否匹配;
若所述测试数据的入侵规则与所述防火墙的拦截规则匹配,则访问失败;若所述入侵规则与所述拦截规则不匹配,则访问成功,并得到访问成功的第一测试数据。
6.根据权利要求2所述的优化防火墙的方法,其特征在于,所述将所述测试数据访问所述防火墙保护的业务***,得到访问成功的第一测试数据的步骤之后,包括:
在预设数据库中将已配置到所述数据并已进行测试的入侵规则标记。
7.根据权利要求1所述的基于安全防护的优化防火墙的方法,其特征在于,所述依据所述第一测试数据对应的配置文件优化所述防火墙的步骤之后,包括:
利用所述第一测试数据对优化后的所述防火墙的业务***进行访问;
若所述第一测试数据被优化后的所述防火墙拦截,则优化成功,若所述第一测试数据不被优化后的所述防火墙拦截,则根据所述第一测试数据对应的配置文件再次对所述防火墙进行优化。
8.一种基于安全防护的优化防火墙的装置,其特征在于,包括:
获取模块,用于获取用于测试防火墙的测试数据,其中,不同的所述测试数据中带有不同的配置文件,所述配置文件用于表征入侵所述防火墙保护的业务***的入侵策略;
测试模块,用于将所述测试数据访问所述防火墙保护的业务***,得到访问成功的第一测试数据;
优化模块,用于依据所述第一测试数据对应的配置文件优化所述防火墙。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811083931.7A CN109067779A (zh) | 2018-09-17 | 2018-09-17 | 基于安全防护的优化防火墙的方法、装置及计算机设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811083931.7A CN109067779A (zh) | 2018-09-17 | 2018-09-17 | 基于安全防护的优化防火墙的方法、装置及计算机设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109067779A true CN109067779A (zh) | 2018-12-21 |
Family
ID=64762979
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811083931.7A Pending CN109067779A (zh) | 2018-09-17 | 2018-09-17 | 基于安全防护的优化防火墙的方法、装置及计算机设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109067779A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110247933A (zh) * | 2019-07-08 | 2019-09-17 | 中国工商银行股份有限公司 | 实现防火墙策略的方法和装置 |
| CN112398857A (zh) * | 2020-11-17 | 2021-02-23 | 腾讯科技(深圳)有限公司 | 防火墙测试方法、装置、计算机设备和存储介质 |
| CN114301638A (zh) * | 2021-12-13 | 2022-04-08 | 山石网科通信技术股份有限公司 | 防火墙规则复现的方法和装置、存储介质及处理器 |
| CN114338145A (zh) * | 2021-12-27 | 2022-04-12 | 绿盟科技集团股份有限公司 | 一种安全防护方法、装置及电子设备 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101060521A (zh) * | 2006-04-18 | 2007-10-24 | 华为技术有限公司 | 信息包过滤方法及网络防火墙 |
| US20150143502A1 (en) * | 2013-09-25 | 2015-05-21 | Veracode, Inc. | System and method for automated configuration of application firewalls |
| US20150358282A1 (en) * | 2014-06-04 | 2015-12-10 | Bank Of America Corporation | Firewall Policy Browser |
| CN105187435A (zh) * | 2015-09-24 | 2015-12-23 | 浪潮电子信息产业股份有限公司 | 一种防火墙规则过滤优化方法 |
| US20160277357A1 (en) * | 2013-03-18 | 2016-09-22 | British Telecommunications Public Limited Company | Firewall testing |
| CN107395593A (zh) * | 2017-07-19 | 2017-11-24 | 深信服科技股份有限公司 | 一种漏洞自动化防护方法、防火墙及存储介质 |
| CN108429774A (zh) * | 2018-06-21 | 2018-08-21 | 蔡梦臣 | 一种防火墙策略集中优化管理方法及其*** |
-
2018
- 2018-09-17 CN CN201811083931.7A patent/CN109067779A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101060521A (zh) * | 2006-04-18 | 2007-10-24 | 华为技术有限公司 | 信息包过滤方法及网络防火墙 |
| US20160277357A1 (en) * | 2013-03-18 | 2016-09-22 | British Telecommunications Public Limited Company | Firewall testing |
| US20150143502A1 (en) * | 2013-09-25 | 2015-05-21 | Veracode, Inc. | System and method for automated configuration of application firewalls |
| US20150358282A1 (en) * | 2014-06-04 | 2015-12-10 | Bank Of America Corporation | Firewall Policy Browser |
| CN105187435A (zh) * | 2015-09-24 | 2015-12-23 | 浪潮电子信息产业股份有限公司 | 一种防火墙规则过滤优化方法 |
| CN107395593A (zh) * | 2017-07-19 | 2017-11-24 | 深信服科技股份有限公司 | 一种漏洞自动化防护方法、防火墙及存储介质 |
| CN108429774A (zh) * | 2018-06-21 | 2018-08-21 | 蔡梦臣 | 一种防火墙策略集中优化管理方法及其*** |
Non-Patent Citations (2)
| Title |
|---|
| EHAB AL-SHAER: "Automated pseudo-live testing of firewall configuration enforcement", 《 IEEE JOURNAL ON SELECTED AREAS IN COMMUNICATIONS》 * |
| 傅慧: "动态包过滤防火墙规则优化研究", 《信息网络安全》 * |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110247933A (zh) * | 2019-07-08 | 2019-09-17 | 中国工商银行股份有限公司 | 实现防火墙策略的方法和装置 |
| CN112398857A (zh) * | 2020-11-17 | 2021-02-23 | 腾讯科技(深圳)有限公司 | 防火墙测试方法、装置、计算机设备和存储介质 |
| CN112398857B (zh) * | 2020-11-17 | 2023-07-25 | 腾讯科技(深圳)有限公司 | 防火墙测试方法、装置、计算机设备和存储介质 |
| CN114301638A (zh) * | 2021-12-13 | 2022-04-08 | 山石网科通信技术股份有限公司 | 防火墙规则复现的方法和装置、存储介质及处理器 |
| CN114301638B (zh) * | 2021-12-13 | 2024-02-06 | 山石网科通信技术股份有限公司 | 防火墙规则复现的方法和装置、存储介质及处理器 |
| CN114338145A (zh) * | 2021-12-27 | 2022-04-12 | 绿盟科技集团股份有限公司 | 一种安全防护方法、装置及电子设备 |
| CN114338145B (zh) * | 2021-12-27 | 2023-09-26 | 绿盟科技集团股份有限公司 | 一种安全防护方法、装置及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10038711B1 (en) | Penetration testing of a networked system | |
| CN109067779A (zh) | 基于安全防护的优化防火墙的方法、装置及计算机设备 | |
| US10367846B2 (en) | Selectively choosing between actual-attack and simulation/evaluation for validating a vulnerability of a network node during execution of a penetration testing campaign | |
| US10257220B2 (en) | Verifying success of compromising a network node during penetration testing of a networked system | |
| CN104301302B (zh) | 越权攻击检测方法及装置 | |
| US11206281B2 (en) | Validating the use of user credentials in a penetration testing campaign | |
| CN107634967B (zh) | 一种CSRF攻击的CSRFToken防御***和方法 | |
| CN104468632A (zh) | 防御漏洞攻击的方法、设备及*** | |
| US20140157366A1 (en) | Network access control system and method | |
| Anand et al. | Vulnerability-based security pattern categorization in search of missing patterns | |
| CN109376530B (zh) | 基于标记的进程强制行为控制方法和*** | |
| CN117081818A (zh) | 基于智能合约防火墙的攻击交易识别与拦截方法及*** | |
| CN107682346B (zh) | 一种csrf攻击的快速定位与识别***和方法 | |
| AU2018273171B2 (en) | Verifying success of compromising a network node during penetration testing of a networked system | |
| KR102470683B1 (ko) | 단위 테스트 케이스 기반의 보안 설계 결함 탐지 방법, 이를 수행하기 위한 기록 매체 및 장치 | |
| CN106790169B (zh) | 扫描设备扫描的防护方法及装置 | |
| CN112383536B (zh) | 防火墙验证方法、装置、计算机设备及存储介质 | |
| Khamdamov et al. | Method of developing a web-application firewall | |
| JP6950304B2 (ja) | セキュアエレメント、コンピュータプログラム、デバイス、サーバ及びファイル情報の照合方法 | |
| Agrawal et al. | Offensive Web Application Security Framework. | |
| Williams | Protection from the Inside: Application Security Methodologies Compared | |
| Akram et al. | Defense Mechanism Using Multilayered Approach and SQL Injection Methods for Web Based Attacks | |
| Hajar et al. | A Review of Penetration Testing Process For Sql Injection Attack | |
| Liu et al. | INTRUSION CONFINEMENT BY ISOLATION IN | |
| Ilić et al. | One approach to the testing of security of proposed database application software |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20181221 |
|
| RJ01 | Rejection of invention patent application after publication |