專利名稱：基于漏洞掃描的安全策略自動生成的方法及裝置的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及到漏洞掃描以及安全策略生成技術(shù)，特別涉及到一種基于漏洞掃描的安全策略自動生成的方法及裝置。
背景技術(shù)：
目前許多防火墻產(chǎn)品雖然都包含漏洞掃描以及安全防護功能，但兩個功能都是相互獨立的單純進行漏洞掃描或者只允許手動添加安全策略，例如手動添加IPS (IntrusionPrevention System,入侵防御系統(tǒng))策略等來進行安全防護。上述技術(shù)的缺點表現(xiàn)如下1、單純的漏洞掃描，無法做到自動封堵漏洞而達到實時防護的目的；2、僅手動配置安全策略，容易造成誤操作，例如屏蔽了不該屏蔽的端口。因此，現(xiàn)有技術(shù)的防火墻中，設(shè)置相互獨立的兩個功能模塊，使得防火墻整體不夠智能化，無法做到“一鍵防護”的效果。

發(fā)明內(nèi)容
本發(fā)明的主要目的為提供一種基于漏洞掃描的安全策略自動生成的方法，提升了安全策略添加的效率。本發(fā)明提出一種基于漏洞掃描的安全策略自動生成的方法，包括步驟根據(jù)已配置的參數(shù)進行漏洞掃描；根據(jù)掃描的漏洞配置安全策略；根據(jù)防護指令啟動防護。優(yōu)選地,所述安全策略包括IPS、WAF和/或應(yīng)用控制。優(yōu)選地，所述根據(jù)掃描的漏洞配置安全策略的步驟之后還包括配置安全策略完成后，生成相應(yīng)級別的風(fēng)險記錄。優(yōu)選地，所述根據(jù)防護指令啟動防護的步驟具體包括根據(jù)防護指令，將生成的風(fēng)險記錄添加至安全策略庫。本發(fā)明還提出一種基于漏洞掃描的安全策略自動生成的裝置，包括漏洞掃描單元，用于根據(jù)已配置的參數(shù)進行漏洞掃描；策略配置單元，用于根據(jù)掃描的漏洞配置安全策略；防護啟動單元，用于根據(jù)防護指令啟動防護。優(yōu)選地,所述安全策略包括IPS、WAF和/或應(yīng)用控制。優(yōu)選地，所述裝置還包括記錄生成單元，用于配置安全策略完成后，生成相應(yīng)級別的風(fēng)險記錄。優(yōu)選地,所述防護啟動單元具體用于根據(jù)防護指令，將生成的風(fēng)險記錄添加至安全策略庫。
本發(fā)明不再是由用戶手動添加各安全策略來進行防護，僅需通過漏洞掃描來自動發(fā)現(xiàn)并生成安全策略，有效的減少了管理員的負擔(dān)和手動添加策略帶來的誤操作。


圖1是本發(fā)明基于漏洞掃描的安全策略自動生成的方法一實施例中步驟流程示意圖；圖2是本發(fā)明基于漏洞掃描的安全策略自動生成的裝置一實施例中結(jié)構(gòu)示意圖；圖3是本發(fā)明基于漏洞掃描的安全策略自動生成的裝置另ー實施例中結(jié)構(gòu)示意圖。本發(fā)明目的的實現(xiàn)、功能特點及優(yōu)點將結(jié)合實施例，參照附圖做進ー步說明。
具體實施例方式應(yīng)當(dāng)理解，此處所描述的具體實施例僅僅用以解釋本發(fā)明，并不用于限定本發(fā)明。參照圖1，提出本發(fā)明ー種基于漏洞掃描的安全策略自動生成的方法ー實施例。該方法可包括步驟S10、根據(jù)已配置的參數(shù)進行漏洞掃描；步驟S11、根據(jù)掃描的漏洞配置安全策略；步驟S12、根據(jù)防護指令啟動防護。本實施例中，通過漏洞掃描來自動添加安全策略的過程具體可為首先，由管理人員配置好參數(shù)，進行漏洞掃描，該漏洞掃描可為掃描目標主機端ロ的應(yīng)用及漏洞。再根據(jù)漏洞掃描的結(jié)果匹配各種安全策略，該安全策略可包括但不限于IPS、WAF (Web ApplicationFirewall, WEB應(yīng)用防火墻)、應(yīng)用控制策略等。上述匹配可具體為首先，保存漏洞掃描結(jié)果，比如IP、端ロ以及應(yīng)用類型等；讀取應(yīng)用控制配置文件，并加載各種安全策略；然后，從第一條安全策略開始，對每條安全策略進行如下操作如果該條安全策略保護的服務(wù)器IP是漏洞掃描的IP，且該條安全策略防護的端ロ也是掃描出的端ロ，則表示匹配上該條安全策略。再看該條安全策略允許的動作，如果動作是“拒絕”，則表明用戶已經(jīng)防護了 IP和端ロ，目標服務(wù)器是安全的，停止后續(xù)匹配；如果動作是“放行”，繼續(xù)后續(xù)安全策略的匹配，當(dāng)匹配完各種安全策略后，仍沒有安全策略是用來阻斷到達該服務(wù)器IP和端ロ的數(shù)據(jù)包，表明該服務(wù)器有漏洞，同時生成一條風(fēng)險記錄，該條風(fēng)險記錄也就是漏洞掃描出的結(jié)果。生成的風(fēng)險記錄可由管理員點擊防護，便可自動將該條風(fēng)險記錄添加進安全策略庫，啟動防護。此時，漏洞已被防護，保障了服務(wù)器安全。以下以HTTP服務(wù)器為例，闡述漏洞掃描以及安全策略自動生成的處理過程1、通過管理員配置好參數(shù)，例如目標服務(wù)器地址設(shè)為67. 220. 59. 43，掃描端ロ設(shè)為8080等；2、管理員點擊開始掃描，啟動掃描程序。3、掃描程序識別出8080端ロ的服務(wù)名稱，比如MicrosoFT IIS 4. O等。4、匹配漏洞特征庫以及現(xiàn)有的IPS策略，生成一條新的IPS策略，用于防護HS (Internet Information Services,互聯(lián)網(wǎng)信息服務(wù))Web 風(fēng)險。
新生成的安全策略可有效的防御該端口上的風(fēng)險，例如弱密碼風(fēng)險、SQL (Structured Query Language,結(jié)構(gòu)化查詢語言)注入風(fēng)險以及存在IIS漏洞等,管理員發(fā)現(xiàn)有級別較高的風(fēng)險后，通過一鍵防護，即可生效新生成的安全策略，從而有效的保護了服務(wù)器安全。上述基于漏洞掃描的安全策略自動生成的方法，針對傳統(tǒng)漏洞掃描以及手動添加安全策略的不足，實現(xiàn)了一種將漏洞掃描與添加安全策略相結(jié)合的技術(shù)，即通過漏洞掃描，自動生成安全策略。如此可將漏洞掃描與生成并添加安全策略智能結(jié)合，改變了手動配置各種安全策略的復(fù)雜性和錯誤率，有效的保證了內(nèi)網(wǎng)服務(wù)器的安全性。
應(yīng)用上述基于漏洞掃描的安全策略自動生成的方法的防火墻，與傳統(tǒng)的防火墻相t匕，不再是由用戶手動添加各安全策略來進行防護，僅需通過漏洞掃描來自動發(fā)現(xiàn)并生成安全策略，有效的減少了管理員的負擔(dān)和手動添加策略帶來的誤操作；將漏洞掃描與添加安全策略智能結(jié)合，能夠?qū)崟r發(fā)現(xiàn)安全漏洞并更新安全策略庫，提升防火墻的安全性能。參照圖2，提出本發(fā)明一種基于漏洞掃描的安全策略自動生成的裝置20—實施例。該裝置20可包括漏洞掃描單元21、策略配置單元22以及防護啟動單元23 ;該漏洞掃描單元21，用于根據(jù)已配置的參數(shù)進行漏洞掃描；該策略配置單元22，用于根據(jù)掃描的漏洞配置安全策略；該防護啟動單元23，用于根據(jù)防護指令啟動防護。參照圖3，在本發(fā)明另一實施例中，上述裝置20還包括記錄生成單元24，用于配置安全策略完成后，生成相應(yīng)級別的風(fēng)險記錄。上述防護啟動單元23具體用于根據(jù)防護指令，將生成的風(fēng)險記錄添加至安全策略庫。本實施例中，通過漏洞掃描來自動添加安全策略的過程具體可為首先，由管理人員配置好參數(shù)，進行漏洞掃描，該漏洞掃描可為掃描目標主機端口的應(yīng)用及漏洞。再根據(jù)漏洞掃描的結(jié)果匹配各種安全策略，具體匹配過程在上面已闡述。該安全策略可包括但不限于IPS、WAF(Web Application Firewall，WEB應(yīng)用防火墻)、應(yīng)用控制策略等。上述匹配可具體為首先，保存漏洞掃描結(jié)果，比如IP、端口以及應(yīng)用類型等；讀取應(yīng)用控制配置文件，并加載各種安全策略；然后，從第一條安全策略開始，對每條安全策略進行如下操作如果該條安全策略保護的服務(wù)器IP是漏洞掃描的IP，且該條安全策略防護的端口也是掃描出的端口，則表示匹配上該條安全策略。再看該條安全策略允許的動作，如果動作是“拒絕”，則表明用戶已經(jīng)防護了 IP和端口，目標服務(wù)器是安全的，停止后續(xù)匹配；如果動作是“放行”，繼續(xù)后續(xù)安全策略的匹配，當(dāng)匹配完各種安全策略后，仍沒有安全策略是用來阻斷到達該服務(wù)器IP和端口的數(shù)據(jù)包，表明該服務(wù)器有漏洞，同時生成一條風(fēng)險記錄，該條風(fēng)險記錄也就是漏洞掃描出的結(jié)果。生成的風(fēng)險記錄可由管理員點擊防護，便可自動將該條風(fēng)險記錄添加進安全策略庫，啟動防護。此時，漏洞已被防護，保障了服務(wù)器安全。以下以HTTP服務(wù)器為例，闡述漏洞掃描以及安全策略自動生成的處理過程I、通過管理員配置好參數(shù)，例如目標服務(wù)器地址設(shè)為67. 220. 59. 43，掃描端口設(shè)為8080等；2、管理員點擊開始掃描，啟動掃描程序。3、掃描程序識別出8080端口的服務(wù)名稱，比如Microsoft IIS 4. O等。4、匹配漏洞特征庫以及現(xiàn)有的IPS策略，生成一條新的IPS策略，用于防護HS (Internet Information Services,互聯(lián)網(wǎng)信息服務(wù))Web 風(fēng)險。新生成的安全策略可有效的防御該端口上的風(fēng)險，例如弱密碼風(fēng)險、SQL (Structured Query Language,結(jié)構(gòu)化查詢語言)注入風(fēng)險以及存在IIS漏洞等,管理員發(fā)現(xiàn)有級別較高的風(fēng)險后，通過一鍵防護，即可生效新生成的安全策略，從而有效的保護了服務(wù)器安全。上述基于漏洞掃描的安全策略自動生成的裝置20，針對傳統(tǒng)漏洞掃描以及手動添加安全策略的不足，實現(xiàn)了一種將漏洞掃描與添加安全策略相結(jié)合的技術(shù)，即通過漏洞掃描，自動生成安全策略。如此可將漏洞掃描與生成并添加安全策略智能結(jié)合，改變了手動配 置各種安全策略的復(fù)雜性和錯誤率，有效的保證了內(nèi)網(wǎng)服務(wù)器的安全性。應(yīng)用上述基于漏洞掃描的安全策略自動生成的裝置20的防火墻，與傳統(tǒng)的防火墻相比，不再是由用戶手動添加各安全策略來進行防護，僅需通過漏洞掃描來自動發(fā)現(xiàn)并生成安全策略，有效的減少了管理員的負擔(dān)和手動添加策略帶來的誤操作；將漏洞掃描與添加安全策略智能結(jié)合，能夠?qū)崟r發(fā)現(xiàn)安全漏洞并更新安全策略庫，提升防火墻的安全性倉泛。以上所述僅為本發(fā)明的優(yōu)選實施例，并非因此限制本發(fā)明的專利范圍，凡是利用本發(fā)明說明書及附圖內(nèi)容所作的等效結(jié)構(gòu)或等效流程變換，或直接或間接運用在其他相關(guān)的技術(shù)領(lǐng)域，均同理包括在本發(fā)明的專利保護范圍內(nèi)。
權(quán)利要求
1.一種基于漏洞掃描的安全策略自動生成的方法，其特征在于，包括步驟 根據(jù)已配置的參數(shù)進行漏洞掃描； 根據(jù)掃描的漏洞配置安全策略； 根據(jù)防護指令啟動防護。
2.根據(jù)權(quán)利要求I所述的基于漏洞掃描的安全策略自動生成的方法，其特征在于，所述安全策略包括 IPS、WAF和/或應(yīng)用控制。
3.根據(jù)權(quán)利要求I所述的基于漏洞掃描的安全策略自動生成的方法，其特征在于，所述根據(jù)掃描的漏洞配置安全策略的步驟之后還包括 配置安全策略完成后，生成相應(yīng)級別的風(fēng)險記錄。
4.根據(jù)權(quán)利要求I至3中任一項所述的基于漏洞掃描的安全策略自動生成的方法，其特征在于，所述根據(jù)防護指令啟動防護的步驟具體包括 根據(jù)防護指令，將生成的風(fēng)險記錄添加至安全策略庫。
5.一種基于漏洞掃描的安全策略自動生成的裝置，其特征在于，包括 漏洞掃描單元，用于根據(jù)已配置的參數(shù)進行漏洞掃描； 策略配置單元，用于根據(jù)掃描的漏洞配置安全策略； 防護啟動單元，用于根據(jù)防護指令啟動防護。
6.根據(jù)權(quán)利要求5所述的基于漏洞掃描的安全策略自動生成的裝置，其特征在于，所述安全策略包括 IPS、WAF和/或應(yīng)用控制。
7.根據(jù)權(quán)利要求5所述的基于漏洞掃描的安全策略自動生成的裝置，其特征在于，所述裝置還包括 記錄生成單元，用于配置安全策略完成后，生成相應(yīng)級別的風(fēng)險記錄。
8.根據(jù)權(quán)利要求5至7中任一項所述的基于漏洞掃描的安全策略自動生成的裝置，其特征在于，所述防護啟動單元具體用于 根據(jù)防護指令，將生成的風(fēng)險記錄添加至安全策略庫。
全文摘要
本發(fā)明揭示了一種基于漏洞掃描的安全策略自動生成的方法及裝置。該方法可包括步驟根據(jù)已配置的參數(shù)進行漏洞掃描；根據(jù)掃描的漏洞配置安全策略；根據(jù)防護指令啟動防護。本發(fā)明不再是由用戶手動添加各安全策略來進行防護，僅需通過漏洞掃描來自動發(fā)現(xiàn)并生成安全策略，有效的減少了管理員的負擔(dān)和手動添加策略帶來的誤操作。
文檔編號H04L29/06GK102624717SQ20121005273
公開日2012年8月1日 申請日期2012年3月2日 優(yōu)先權(quán)日2012年3月2日
發(fā)明者劉余 申請人:深信服網(wǎng)絡(luò)科技(深圳)有限公司