国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種通過網(wǎng)絡(luò)對防火墻設(shè)備進行安全管理的方法

      文檔序號:7686636閱讀:325來源:國知局
      專利名稱:一種通過網(wǎng)絡(luò)對防火墻設(shè)備進行安全管理的方法
      技術(shù)領(lǐng)域
      本發(fā)明涉及計算機網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,特別是涉及一種通過網(wǎng)絡(luò)對一臺或多臺防火墻設(shè)備進行集中管理的方法。
      為達到上述目的,本發(fā)明的技術(shù)方案具體是這樣實現(xiàn)的一種通過網(wǎng)絡(luò)對防火墻設(shè)備進行安全管理的方法,其特征在于采用一個(或多個)管理工作站,并在防火墻設(shè)備中采用一個防火墻管理代理模塊;所述的防火墻管理代理模塊和該管理工作站進行通信,將防火墻設(shè)備的信息發(fā)送給管理工作站,管理工作站收集防火墻代理模塊發(fā)來的信息并向防火墻代理模塊發(fā)送操作命令,實現(xiàn)對被管防火墻設(shè)備的監(jiān)視和管理。
      管理工作站可以通過網(wǎng)絡(luò)對多臺防火墻設(shè)備進行管理。在網(wǎng)絡(luò)較大,被管防火墻設(shè)備較多的情況下,可以采用分級管理的方法,設(shè)置一個中央級管理中心,對多臺管理工作站進行集中管理。
      防火墻管理代理模塊可以采用多個系統(tǒng)守護進程,其在接收到管理工作站發(fā)送的操作命令后,根據(jù)該操作命令,對防火墻設(shè)備進行操作。
      管理工作站可以通過對防火墻代理模塊中的配置器對網(wǎng)絡(luò)上的防火墻設(shè)備進行配置。
      防火墻管理代理模塊可以采用一個數(shù)據(jù)采集器采集信息,在接收到管理工作站發(fā)送的相應(yīng)操作命令后,由防火墻管理代理模塊將采集的信息發(fā)送給管理工作站。
      防火墻管理代理模塊可以采用一個事件監(jiān)視/產(chǎn)生器時刻監(jiān)視防火墻設(shè)備內(nèi)部發(fā)生的事件,在系統(tǒng)故障、被入侵、流量阻塞或系統(tǒng)內(nèi)存耗盡的緊急條件下,直接向管理工作站發(fā)送緊急事件信息。
      防火墻管理代理模塊可以采用一個日志生成器生成系統(tǒng)日志,由防火墻管理代理模塊將系統(tǒng)日志發(fā)送給管理工作站,管理工作站進行系統(tǒng)日志收集和分析。
      較佳地,防火墻管理代理模塊和管理工作站的通信采用簡單網(wǎng)絡(luò)管理協(xié)議(SNMP協(xié)議,Simple Network Management Protocol)進行。
      較佳地,防火墻管理代理模塊和管理工作站的通信采用身份認證,密鑰協(xié)商的加密方法進行??梢砸勒找韵虏襟E1)防火墻管理代理模塊和管理工作站利用預(yù)共享的對稱密鑰進行身份認證,或利用私鑰進行簽名,利用公鑰進行驗證的方法實現(xiàn)身份認證;2)防火墻管理代理模塊和管理工作站之間進行密鑰協(xié)商,形成本次安全通信的工作密鑰;3)防火墻管理代理模塊和管理工作站之間利用工作密鑰和密碼算法對管理信息進行加密和完整性驗證保護。
      為適應(yīng)對網(wǎng)絡(luò)上多臺防火墻更方便的集中管理,管理工作站可以自動發(fā)現(xiàn)連接在網(wǎng)絡(luò)上的防火墻設(shè)備,包括以下步驟1)管理工作站向網(wǎng)絡(luò)中的所有防火墻設(shè)備發(fā)送設(shè)備查詢命令;2)被管防火墻設(shè)備收到查詢命令后,向管理工作站發(fā)送自己在網(wǎng)絡(luò)拓撲中的位置信息;3)管理工作站收到被管防火墻設(shè)備的拓撲信息后,用圖形或表格文字的方式表示出來;4)防火墻設(shè)備定時向管理工作站報告自己的存在;5)管理工作站接收并判斷該報告的真實性,并根據(jù)實際情況確定是否對防火墻設(shè)備進行登記。
      管理工作站進一步對以防火墻設(shè)備為邊界的網(wǎng)絡(luò)進行網(wǎng)絡(luò)系統(tǒng)安全分區(qū)和全網(wǎng)及區(qū)域安全規(guī)則制定和集中分發(fā),并對多臺防火墻設(shè)備的工作情況和系統(tǒng)運行狀態(tài)進行集中查詢。管理工作站進一步進行防火墻設(shè)備資產(chǎn)維護。通過同時對網(wǎng)絡(luò)中所有防火墻設(shè)備進行操作,對防火墻設(shè)備進行集中升級。
      較佳地,管理工作站使用一個事件監(jiān)視顯示模塊來監(jiān)視被管防火墻設(shè)備的工作情況和系統(tǒng)運行狀態(tài),將收到的被管防火墻設(shè)備的信息顯示、存儲、日志審計或打印,并在系統(tǒng)故障、被入侵、流量阻塞或系統(tǒng)內(nèi)存耗盡的緊急條件下報警。
      由上述方案可以看出,本發(fā)明的關(guān)鍵在于采用一個管理工作站和在被管防火墻設(shè)備中采用一個防火墻管理代理模塊;它們之間進行通信,將防火墻設(shè)備的工作情況和系統(tǒng)運行狀態(tài)發(fā)送給管理工作站,管理工作站收集各防火墻代理模塊發(fā)來的信息并向各防火墻代理模塊發(fā)送操作命令,對防火墻設(shè)備進行監(jiān)視和管理。
      因此,本發(fā)明所提供的通過網(wǎng)絡(luò)對多臺防火墻設(shè)備進行安全管理的方法,可以將網(wǎng)絡(luò)上的防火墻設(shè)備的管理集中起來,由專業(yè)的系統(tǒng)安全管理人員統(tǒng)一進行安全管理,這樣即可以降低由一般安全管理員誤操作帶來的安全隱患,又可以減少由一臺防火墻設(shè)備配一名安全管理員帶來的人員浪費。


      圖1示出了本發(fā)明的一個較佳實施例。請參見圖1,一個管理工作站110通過網(wǎng)絡(luò)對多臺防火墻設(shè)備100進行監(jiān)視和管理,其中具體示出了對一臺防火墻設(shè)備100的管理工作過程。即在被管防火墻設(shè)備100中使用一個防火墻管理代理模塊102和使用一個管理工作站110,通過被管防火墻設(shè)備100中的加密/解密/認證處理107及網(wǎng)絡(luò)通信協(xié)議處理108和管理工作站110中加密/解密/認證處理118及網(wǎng)絡(luò)通信協(xié)議處理119進行通信,將防火墻設(shè)備100的工作情況和系統(tǒng)運行狀態(tài)發(fā)送給管理工作站110,管理工作站110收集各防火墻代理模塊102發(fā)來的信息并向各防火墻代理模塊102發(fā)送操作命令,實現(xiàn)對被管防火墻設(shè)備100的監(jiān)視和管理。
      如圖1所示,在防火墻設(shè)備100內(nèi)設(shè)置了防火墻管理代理模塊102,其包括配置器103、數(shù)據(jù)收集器104、事件監(jiān)視/產(chǎn)生器105和日志生成器106;在管理工作站110中設(shè)置了集中管理應(yīng)用系統(tǒng)111,其包括設(shè)備發(fā)現(xiàn)112、事件/故障管理113、監(jiān)控114、日志管理115、配置管理116、和包括報警的事件監(jiān)視顯示模塊117。如果面對的是較大的網(wǎng)絡(luò),管理工作站110端軟件可以采取分布式的部署方式,即集中管理應(yīng)用系統(tǒng)111可以按照物理位置或功能分布在不同的處理節(jié)點機上,而管理員可以通過一個管理中心集中的管理整個網(wǎng)絡(luò)。
      當防火墻代理模塊102和集中管理應(yīng)用系統(tǒng)111都設(shè)置完畢,就可以通過集中管理應(yīng)用系統(tǒng)111對整個網(wǎng)絡(luò)的防火墻及網(wǎng)絡(luò)安全進行管理,具體的管理過程可以是首先,在防火墻設(shè)備100端,由防火墻代理模塊102完成數(shù)據(jù)采集、事件監(jiān)視、接收管理工作站110的命令、數(shù)據(jù)回送、或按照管理工作站110的命令,執(zhí)行對被管防火墻100的操作,其中,防火墻管理代理模塊102由一個主代理及若干子代理系統(tǒng)守護進程實現(xiàn),系統(tǒng)守護進程負責監(jiān)聽管理工作站110發(fā)送的命令,守護進程可以根據(jù)管理工作站110的命令,對防火墻設(shè)備100進行操作,數(shù)據(jù)采集器104從防火墻內(nèi)部軟、硬件點單元101收集防火墻操作系統(tǒng)的工作狀態(tài)、網(wǎng)絡(luò)硬件情況、網(wǎng)絡(luò)流量和入侵事件后,防火墻管理代理模塊102將上述事件發(fā)送給管理工作站110。守護進程還可以根據(jù)管理工作站110的命令對防火墻設(shè)備100通過配置管理器103對防火墻內(nèi)部軟、硬件點單元101進行配置管理,如該防火墻內(nèi)部軟、硬件點單元101的安全策略等。
      同時,防火墻管理代理模塊102中的監(jiān)視/產(chǎn)生器105采用Trap事件產(chǎn)生器時刻監(jiān)視防火墻設(shè)備100內(nèi)部軟、硬件點單元101的重要事件。在故障,被入侵,流量阻塞,內(nèi)存耗盡等緊急條件下,可以直接向管理工作站110發(fā)送緊急事件信息,由管理工作站110進行事件/故障管理,主要包括SNMP Trap報警,日志記錄,或?qū)Ρ还芊阑饓υO(shè)備100進行操作,這樣,保證了管理工作站110能及時了解到防火墻的緊急事件,并做出相應(yīng)管理處理。
      然后,防火墻代理模塊102和管理工作站110之間進行通信,本實施例中防火墻管理代理模塊102的網(wǎng)絡(luò)協(xié)議處理108和管理工作站110的網(wǎng)絡(luò)協(xié)議處理119利用SNMP協(xié)議實現(xiàn),防火墻管理代理模塊102接受SNMPV1、V2、V3格式報文的請求,并以相應(yīng)的協(xié)議發(fā)回響應(yīng)。
      同時,防火墻管理代理模塊102和管理工作站110之間的通信還通過防火墻管理代理模塊中的加密/解密/認證處理107和管理工作站中的加密/解密/認證處理118來進行加密處理,防火墻管理代理模塊102和管理工作站110利用預(yù)共享的對稱密鑰進行身份認證,或利用私鑰進行簽名、利用公鑰進行驗證的方法實現(xiàn)身份認證,防火墻管理代理模塊102和管理工作站110之間進行密鑰協(xié)商,形成本次保密通信的工作密鑰,防火墻管理代理模塊102和管理工作站110之間利用工作密鑰和密碼算法對管理信息進行加密和完整性驗證保護。
      最后,在管理工作站110端,在管理工作站110的集中管理應(yīng)用系統(tǒng)111初次運行時,搜集和生成設(shè)備的拓撲維護列表,或由管理工作站自動發(fā)現(xiàn)連接在網(wǎng)絡(luò)上的被管防火墻設(shè)備,管理工作站110向網(wǎng)絡(luò)中的所有防火墻設(shè)備100發(fā)送設(shè)備查詢消息報文,管理工作站110接收到被管防火墻設(shè)備100向管理工作站110發(fā)送的其在網(wǎng)絡(luò)拓撲中的位置信息,如IP地址,及設(shè)備的物理位置、類型、名稱、設(shè)備統(tǒng)一標識的基本設(shè)備信息后,用圖形或表格文字的方式表示出來。管理工作站110接收防火墻設(shè)備100定時(包括啟動時)向管理工作站110報告自己的存在信息,并判斷該報告的真實性,并根據(jù)實際情況確定。
      同時,管理工作站110中的事件監(jiān)視顯示模塊117隨集中管理應(yīng)用系統(tǒng)111的啟動而啟動,實時的監(jiān)視來自防火墻設(shè)備100的事件,其在接收到事件后,按照事件發(fā)生時間、內(nèi)容、來源、目的地、嚴重程度等條件格式化顯示信息,并在界面上顯示新的事件,并以顯著形式(聲音和閃爍等)來報警提醒管理員。這樣,保證了系統(tǒng)安全管理員隨時掌握防火墻100的工作狀況和系統(tǒng)運行狀態(tài),并及時做出相應(yīng)處理操作。集中管理應(yīng)用系統(tǒng)111啟動后,管理員可以根據(jù)事件監(jiān)視顯示模塊117上監(jiān)視到的防火墻設(shè)備100的工作狀況和系統(tǒng)運行狀態(tài)隨時對其進行操作,該操作過程包括對多臺防火墻設(shè)備100自身的運行參數(shù)和安全規(guī)則等分別進行配置和維護;對以這些防火墻設(shè)備100為邊界的網(wǎng)絡(luò)進行網(wǎng)絡(luò)系統(tǒng)安全分區(qū)和全網(wǎng)及區(qū)域安全規(guī)則制定和集中分發(fā);對多臺防火墻設(shè)備100工作情況和系統(tǒng)運行狀態(tài)集中查詢;系統(tǒng)日志收集和分析;對防火墻設(shè)備100資產(chǎn)維護;對防火墻設(shè)備100集中升級等,并按上述順序執(zhí)行。
      由上述過程可見,本發(fā)明所提供的通過網(wǎng)絡(luò)對多臺防火墻設(shè)備進行安全管理的方法,實現(xiàn)了對網(wǎng)絡(luò)上多臺防火墻設(shè)備進行集中的安全管理,給系統(tǒng)安全管理員提供了一個高效有力的安全管理工具,提高了安全管理的效率。
      以上舉較佳實施例,對本發(fā)明的目的、技術(shù)方案和優(yōu)點進行了進一步詳細說明,所應(yīng)理解的是,以上所述僅為本發(fā)明的較佳實施例而已,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改、等同替換、改進等,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)。
      權(quán)利要求
      1.一種通過網(wǎng)絡(luò)對防火墻設(shè)備進行安全管理的方法,其特征在于采用一個管理工作站,并在防火墻設(shè)備中采用一個防火墻管理代理模塊;該防火墻管理代理模塊和該管理工作站之間可進行通信,將防火墻設(shè)備的信息發(fā)送給管理工作站;管理工作站收集防火墻代理模塊發(fā)來的信息并向防火墻代理模塊發(fā)送操作命令,實現(xiàn)對被管防火墻設(shè)備的監(jiān)視和管理。
      2.如權(quán)利要求1所述的通過網(wǎng)絡(luò)對防火墻設(shè)備進行安全管理的方法,其特征在于所述的防火墻管理代理模塊采用多個系統(tǒng)守護進程,其在接收到管理工作站發(fā)送的操作命令后,根據(jù)該操作命令,對防火墻設(shè)備進行操作。
      3.如權(quán)利要求1所述的通過網(wǎng)絡(luò)對防火墻設(shè)備進行安全管理的方法,其特征在于所述的管理工作站通過對防火墻代理模塊中的配置器對網(wǎng)絡(luò)上的防火墻設(shè)備進行配置。
      4.如權(quán)利要求1所述的通過網(wǎng)絡(luò)對防火墻設(shè)備進行安全管理的方法,其特征在于所述的防火墻管理代理模塊采用一個數(shù)據(jù)采集器采集信息,在接收到管理工作站發(fā)送的相應(yīng)操作命令后,由防火墻管理代理模塊將采集的信息發(fā)送給管理工作站。
      5.如權(quán)利要求1所述的通過網(wǎng)絡(luò)對防火墻設(shè)備進行安全管理的方法,其特征在于所述的防火墻管理代理模塊采用一個事件監(jiān)視/產(chǎn)生器時刻監(jiān)視防火墻設(shè)備內(nèi)部發(fā)生的事件,在系統(tǒng)故障、被入侵、流量阻塞或系統(tǒng)內(nèi)存耗盡的緊急條件下,直接向管理工作站發(fā)送緊急事件信息。
      6.如權(quán)利要求1所述的通過網(wǎng)絡(luò)對防火墻設(shè)備進行安全管理的方法,其特征在于所述的防火墻管理代理模塊采用一個日志生成器生成系統(tǒng)日志,由防火墻管理代理模塊將系統(tǒng)日志發(fā)送給管理工作站,管理工作站進行系統(tǒng)日志收集和分析。
      7.如權(quán)利要求1所述的通過網(wǎng)絡(luò)對防火墻設(shè)備進行安全管理的方法,其特征在于所述的防火墻管理代理模塊和管理工作站的通信采用簡單網(wǎng)絡(luò)管理協(xié)議進行。
      8.如權(quán)利要求1所述的通過網(wǎng)絡(luò)對防火墻設(shè)備進行安全管理的方法,其特征在于所述的防火墻管理代理模塊和管理工作站的通信采用身份認證、密鑰協(xié)商的加密方法進行。
      9.如權(quán)利要求8所述的通過網(wǎng)絡(luò)對防火墻設(shè)備進行安全管理的方法,其特征在于所述的身份認證、密鑰協(xié)商的加密方法包括1)防火墻管理代理模塊和管理工作站利用預(yù)共享的對稱密鑰進行身份認證,或利用私鑰進行簽名,利用公鑰進行驗證的方法實現(xiàn)身份認證;2)防火墻管理代理模塊和管理工作站之間進行密鑰協(xié)商,形成本次安全通信的工作密鑰;3)防火墻管理代理模塊和管理工作站之間利用工作密鑰和密碼算法對管理信息進行加密和完整性驗證保護。
      10.如權(quán)利要求1所述的通過網(wǎng)絡(luò)對防火墻設(shè)備進行安全管理的方法,其特征在于所述的管理工作站自動發(fā)現(xiàn)連接在網(wǎng)絡(luò)上的防火墻設(shè)備,包括以下步驟1)管理工作站向網(wǎng)絡(luò)中的所有防火墻設(shè)備發(fā)送設(shè)備查詢命令;2)被管防火墻設(shè)備收到查詢命令后,向管理工作站發(fā)送自己在網(wǎng)絡(luò)拓撲中的位置信息;3)管理工作站收到被管防火墻設(shè)備的拓撲信息后,用圖形或表格文字的方式表示出來;4)防火墻設(shè)備定時向管理工作站報告自己的存在;5)管理工作站接收并判斷該報告的真實性,并根據(jù)實際情況確定是否對防火墻設(shè)備進行登記。
      11.如權(quán)利要求1所述的通過網(wǎng)絡(luò)對防火墻設(shè)備進行安全管理的方法,其特征在于所述的管理工作站進一步對以防火墻設(shè)備為邊界的網(wǎng)絡(luò)進行網(wǎng)絡(luò)系統(tǒng)安全分區(qū)和全網(wǎng)及區(qū)域安全規(guī)則制定和集中分發(fā)。
      12.如權(quán)利要求1所述的通過網(wǎng)絡(luò)對防火墻設(shè)備進行安全管理的方法,其特征在于所述的管理工作站進一步對多臺防火墻設(shè)備的工作情況和系統(tǒng)運行狀態(tài)進行集中查詢。
      13.如權(quán)利要求1所述的通過網(wǎng)絡(luò)對防火墻設(shè)備進行安全管理的方法,其特征在于所述的管理工作站進一步進行防火墻設(shè)備維護。
      14.如權(quán)利要求1所述的通過網(wǎng)絡(luò)對防火墻設(shè)備進行安全管理的方法,其特征在于所述的管理工作站通過同時對網(wǎng)絡(luò)中所有防火墻設(shè)備進行操作,對防火墻設(shè)備進行集中升級。
      15.如權(quán)利要求1所述的通過網(wǎng)絡(luò)對防火墻設(shè)備進行安全管理的方法,其特征在于所述的管理工作站使用一個事件監(jiān)視顯示模塊來監(jiān)視被管防火墻設(shè)備的工作情況和系統(tǒng)運行狀態(tài),將收到的被管防火墻設(shè)備的信息顯示、存儲、日志審計或打印,并在系統(tǒng)故障、被入侵、流量阻塞或系統(tǒng)內(nèi)存耗盡的緊急條件下報警。
      16.如權(quán)利要求1所述的通過網(wǎng)絡(luò)對防火墻設(shè)備進行安全管理的方法,其特征在于所述的管理工作站通過網(wǎng)絡(luò)對多臺防火墻設(shè)備進行管理。
      17.如權(quán)利要求1所述的通過網(wǎng)絡(luò)對防火墻設(shè)備進行安全管理的方法,其特征在于進一步采用一個管理中心,對多臺管理工作站進行集中管理。
      全文摘要
      公開了一種通過網(wǎng)絡(luò)對防火墻設(shè)備進行安全管理的方法,采用一個管理工作站,和在被管防火墻設(shè)備中采用一個防火墻管理代理模塊;所述的防火墻管理代理模塊和該管理工作站進行通信,將防火墻設(shè)備信息發(fā)送給管理工作站,管理工作站收集防火墻代理模塊發(fā)來的信息并向防火墻代理模塊發(fā)送操作命令,對被管防火墻設(shè)備進行監(jiān)視和管理。管理工作站通過網(wǎng)絡(luò)對多臺防火墻設(shè)備進行管理,在網(wǎng)絡(luò)較大的情況下,可以進一步采用一個管理中心,對多臺管理工作站進行集中管理。
      文檔編號H04L12/24GK1453700SQ0211693
      公開日2003年11月5日 申請日期2002年4月26日 優(yōu)先權(quán)日2002年4月26日
      發(fā)明者韋衛(wèi), 許春生, 黃琛, 呂曉東, 肖為劍, 楊義 申請人:聯(lián)想(北京)有限公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1