一種網絡安全規則自動化部署系統的制作方法
【技術領域】
[0001]本實用新型涉及網絡安全領域，尤其涉及一種網絡安全規則自動化部署系統。
【背景技術】
[0002]隨著網絡在日常生產及生活中的大量應用，網絡安全問題日益凸顯并對網絡用戶造成很大的困擾。尤其是在例如工業控制領域這樣的特殊應用領域中，隨著工業控制自動化進程的深入，工業控制網絡與外部互聯網或企業辦公網絡的信息交互日趨頻繁，使得工業控制網絡不斷面臨著來自外部互聯網的惡意攻擊和內部人員的誤操作等威脅。因為早期工控設備使用環境相對封閉，所以工業控制系統在開發時往往更重視功能的實現，而缺少對工控網絡自身安全的關注，這也導致工業控制系統中存在不可避免的安全缺陷。
[0003]分布式的網絡安全保護構架能夠滿足不同形態和規模的工控網絡，同時也能夠適應工控網絡結構和規模的變化，系統的靈活性可以得到充分的體現。分布式網絡安全保護系統在關鍵位置上設置安全保護設備，從而實現整個工控網絡的安全。
[0004]在復雜的網絡環境下，常常需要多個安全保護設備。傳統的安全解決方案常常需要對每個安全設備分別設置安全規則。由于沒有考慮到設備之間的聯系，人工部署非常復雜，并容易產生人為引起的錯誤。當用戶需要改變規則時，由于系統的復雜性，很難為每個保護設備及時的更新準確的新規則。
【實用新型內容】
[0005]為解決上述現有技術中存在的問題，本實用新型提出了一種網絡安全規則自動化部署的系統:
[0006]一種網絡安全規則自動化部署系統，包括中央管理系統、保護設備、用戶設備以及通訊網絡，所述中央管理系統與每個保護設備連通，所述每個保護設備與用戶設備連通。
[0007]進一步地，中央管理系統收集用戶整體安全規則以及為每個保護設備生成定制的安全規則，并自動化部署。
[0008]進一步地，保護設備從所述中央管理系統接收定制化安全規則作為配置文件，并按照定制化安全規則的規則項實現用戶設備的數據通訊監測和/或保護。
[0009]進一步地，用戶設備可以為交換機、工作站、服務器以及可編程邏輯控制器中的一種或幾種。
[0010]進一步地，保護設備可以為網關、IDS、IPS中的一種或幾種。
[0011]本實用新型所產生的有益效果在于:
[0012]提供了一種為網絡中的每個保護設備自動生成定制化的安全規則的系統，在部署時自動修改規則的源地址和目標地址以確保生成的定制化安全規則符合用戶整體規則并滿足用戶對整體網絡安全的需要，提高了分布式網絡安全系統的易用性和可擴展性；同時可以對每個安全設備定制的安全規則進行自動部署，極大地提高了安全規則部署的效率及準確性。
【附圖說明】
[0013]圖1為使用本實用新型的網絡安全規則自動部署系統的通信網絡拓撲圖；
[0014]圖2為通信網絡中保護設備A所監測和保護區域的網絡拓撲圖；
[0015]圖3為通信網絡中保護設備B所監測和保護區域的網絡拓撲圖；
[0016]圖4為通信網絡中保護設備C所監測和保護區域的網絡拓撲圖；
[0017]圖5為通信網絡中保護設備D所監測和保護區域的網絡拓撲圖；
[0018]圖6為生成定制化安全規則并部署的流程圖。
[0019]附圖標記:1-8用戶設備
【具體實施方式】
[0020]以下以工業控制網絡安全規則自動部署系統為例對本實用新型進行詳細闡述，應當注意的是，下列實施例僅用于對本實用新型進行說明而非作為對本實用新型的限制。本實用新型的網絡安全規則自動部署系統除了可以應用在工業控制網絡中，還可以用于任何其他的系統中。
[0021]如圖1所示的通信網絡拓撲圖，中央管理系統與保護設備A-D連通，保護設備A與用戶設備3、5連通，其中用戶設備3與用戶設備I連通，保護設備B與用戶設備2、7、8連通，其中用戶設備7與用戶設備6連通，保護設備C與用戶設備4、7連通，保護設備D與用戶設備5、7連通。用戶設備可以為交換機、工作站、服務器以及可編程邏輯控制器等，保護設備可以為網關、IDS、IPS等。
[0022]按照圖3所示的步驟，基于圖1的網絡拓撲結構，利用智能圖論法分析系統的連通性，確定如圖2-5所示的保護設備A-D所監測和保護的區域，即保護設備A-D的負責區域。其中，保護設備A的負責區域包括用戶設備1、3、5，保護設備B的負責區域包括用戶設備2、
6、7、8，保護設備C的負責區域包括用戶設備4、6、7，保護設備D的負責區域包括用戶設備5、6、70
[0023]在確定了安全設備A-D的負責區域之后，由中央管理系統自動分析用戶整體安全規則中的各個規則項與安全設備A-D之間的匹配關系。用戶的整體安全規則由一系列有序的規則項組成，每個規則項包括源地址、目標地址、規則細節以及處理措施。中央管理系統將安全設備A-D各自負責的區域規則項的源地址以及目標地址進行比較，確定該規則項是否與某個安全設備相關，即確定該規則項是否與某個安全設備的負責區域有交集，如果無關，則不適用該規則項，可以刪除。例如有以下規則項:
[0024]規則項:【8】，【4】，TCP，允許
[0025]該規則項的內容為:從用戶設備8到用戶設備4的TCP數據包允許通過，由于用戶設備8和用戶設備4不屬于保護設備A的負責區域，則保護設備A可以忽略此規則項。
[0026]在規則項的源地址和目標地址與某個保護設備的負責區域有交集時，該規則項可以與該保護設備相關。此時由中央管理系統依照其相關性自動修改規則項并為保護設備A-D生成定制化的安全規則，例如:
[0027]用戶整體安全規則為:
[0028]規則項一:【1】，【4】，TCP，允許；
[0029]規則項二:【1，5】，【4，6，7】，1^卩，阻斷;
[0030]即用戶的實際要求為:
[0031]a:【1】，【4】，TCP，允許；
[0032]b:【1】，【6】，TCP，阻斷；
[0033]c:【1】，【7】，TCP，阻斷；
[0034]d:【5】，【4】，TCP，阻斷;
[0035]e:【5】，【6】，TCP，阻斷;
[0036]f:【5】，【7】，TCP，阻斷;
[0037]對于保護設備D，規則項一與其無關，會被忽略，規則項二與其相關會被保留。但是對于【I】，【4】之間的數據包，即使保護設備A和保護設備C允許其通過，保護設備D依據規則項二也會將其阻斷。用戶需求a將無法實現。因而規則項二對于保護設備D不完全適用，因此對于保護設備D規則項二將改寫為:
[0038]【5】，【4，6，7】，TCP,阻斷；
[0039]【1】，【6，7】，TCP,阻斷；
[0040]整體上所生成的針對保護設備A-D的定制化安全規則為:
[0041]保護設備A:
[0042]【1】，【4】，TCP，允許；
[0043]【I】，【4，6，7】，TCP，阻斷;
[0044]保護設備B:
[0045]無規則；
[0046]保護設備C:
[0047]【1】，【4】，TCP，允許；
[0048]【1，5】，【4】，TCP，阻斷;
[0049]保護設備D:
[0050]【5】，【4，6，7】，TCP,阻斷；
[0051]【1】，【6，7】，TCP，阻斷;
[0052]通過中央管理系統將生成的針對安全設備A-D的定制化安全規則以配置文件的形式自動部署到保護設備A-D中，保護設備A-D按照定制化安全規則的規則項對用戶設備的數據通訊進行監測和/或保護。
[0053]以上所述實施例僅表達了本實用新型的實施方式，其描述較為具體和詳細，但并不能因此而理解為對本實用新型專利范圍的限制。應當指出的是，對于本領域的普通技術人員來說，在不脫離本實用新型構思的前提下，還可以做出若干變形和改進，這些都屬于本實用新型的保護范圍。因此，本實用新型專利的保護范圍應以所附權利要求為準。
【主權項】
1.一種網絡安全規則自動化部署系統，其特征在于，包括中央管理系統、保護設備、用戶設備以及通訊網絡，所述中央管理系統與每個保護設備連通，所述每個保護設備與在其監控和保護區域內的用戶設備連通； 所述中央管理系統收集用戶整體安全規則以及為每個保護設備生成定制的安全規則，并自動化部署。
2.如權利要求1所述的網絡安全規則自動化部署系統，其特征在于，所述保護設備從所述中央管理系統接收定制化安全規則作為配置文件，并按照定制化安全規則的規則項實現用戶設備的數據通訊監測和/或保護。
3.如權利要求1所述的網絡安全規則自動化部署系統，其特征在于，用戶設備為交換機、工作站、服務器以及可編程邏輯控制器中的一種或幾種。
4.如權利要求1所述的網絡安全規則自動化部署系統，其特征在于，保護設備為網關、IDS、IPS中的一種或幾種。
【專利摘要】本實用新型公開了一種網絡安全規則自動化部署系統，包括中央管理系統、保護設備、用戶設備以及通訊網絡，所述中央管理系統與每個保護設備連通，所述每個保護設備與在其監控和保護區域內的用戶設備連通。所述中央管理系統收集用戶整體安全規則并通過確定的每個保護設備所負責的區域完成對每個保護設備生成定制化安全規則，并自動化部署。
【IPC分類】H04L29-06
【公開號】CN204334620
【申請號】CN201420564993
【發明人】孫一桉, 徐林
【申請人】寧波匡恩網絡科技有限公司
【公開日】2015年5月13日
【申請日】2014年9月28日