[发明专利]一种封堵指令下发系统及方法

说明书

本申请提供了一种封堵指令下发系统及方法。所述封堵指令下发系统包括控制模块、场景管理模块、模板管理模块、执行下发模块；控制模块用于获取待封堵地址；场景管理模块用于根据待封堵地址确定封堵类型和待封堵的设备；模板管理模块根据待封堵地址和封堵类型为待封堵的设备生成封堵指令脚本，通过执行下发模块下发至待封堵的设备。所述封堵指令下发系统及方法可以针对多个不同品牌型号的待封堵的设备批量生成目标封堵指令脚本并下发，能够满足安全防护的即时响应需求，封堵执行效率高。

技术领域

本申请涉及计算机网络安全应用技术领域，特别涉及一种封堵指令下发系统及方法。

背景技术

边界封堵设备一般设置在企业内网与互联网之间，用于保护企业内网不受互联网中恶意地址的攻击，参见图1。当发现有恶意地址正在或可能入侵企业内部网络时，企业IT人员在边界封堵设备上添加拒绝(Deny)的安全策略，以阻止恶意地址进入企业内网。在企业内网的不同区域之间也会存在类似的封堵需求。

当企业出现应急封堵需求时，需要能在分钟级的时间内在多台边界封堵设备上执行封堵指令。目前，当出现应急封堵需求时，企业IT人员根据待封堵地址进行分析，获得封堵目标和范围，然后编写封堵指令脚本下发至待封堵设备上。

但是因为企业内网中一般存在多种不同类型的边界封堵设备，例如防火墙、封堵器、网闸等，不同类型的边界设备对应不同的封堵指令脚本和下发方式；而且同一种封堵设备也会因为厂商不同、型号不同，对应不同的封堵指令脚本。因此上述人工分析、编写和导入封堵指令脚本的方式不能满足安全防护即时响应的需求，封堵的执行效率低。

发明内容

为了解决现有技术中人工分析、编写和导入封堵指令脚本的方式不能满足安全防护即时响应的需求，封堵的执行效率低的问题，本申请通过以下方面提供了一种封堵指令下发系统及方法。

本申请第一方面公开了一种封堵指令下发系统，所述系统包括控制模块、场景管理模块、模板管理模块、执行下发模块；控制模块用于接收封堵任务，根据封堵任务获取待封堵地址，将待封堵地址发送到场景管理模块和模板管理模块；场景管理模块用于管理所有边界封堵设备的设备信息，根据边界封堵设备的设备信息划分封堵场景，建立场景地址关系表；其中，每个封堵场景对应一种封堵类型和至少一个边界封堵设备，场景地址关系表包括每个封堵场景和封堵地址范围之间的关系；场景管理模块用于根据待封堵地址从场景地址关系表中确定待封堵场景，根据待封堵场景确定待封堵类型和待封堵的设备信息，并将待封堵类型和待封堵的设备信息发送至控制模块；控制模块用于将待封堵类型和待封堵的设备信息发送至模板管理模块；模板管理模块用于预先为边界封堵设备按照封堵类型设置封堵指令模板，根据待封堵类型和待封堵的设备信息获取封堵指令模板，根据待封堵地址和封堵指令模板生成目标封堵指令脚本，将目标封堵指令脚本发送至执行下发模块；执行下发模块用于将目标封堵指令脚本下发至待封堵的设备。

可选的，执行下发模块包括接口管理单元和执行下发单元；接口管理单元用于根据待封堵的设备信息确定到封堵的设备对应的脚本下发方式；执行下发单元根据脚本下发方式将目标封堵指令脚本下发至待封堵的设备。

可选的，所述封堵指令下发系统包括内网地址校验模块；内网地址校验模块用于判断待封堵地址是否为内网地址；若待封堵地址是内网地址，则终止执行当前封堵指令下发系统中执行的封堵任务，并生成提示信息；若待封堵地址不是内网地址，则继续执行当前封堵指令下发系统中执行的封堵任务。

可选的，所述封堵下发指令系统包括历史封堵地址记录模块；历史封堵地址记录模块用于存储已经执行过的封堵指令脚本对应的封堵地址，根据待封堵的设备信息获取当前设备的历史封堵地址记录，判断待封堵地址是否在历史封堵地址记录内；若待封堵地址在历史封堵地址内，则针对当前设备终止执行封堵任务，并生成提示信息；待封堵地址不在历史封堵地址内，则针对当前设备继续执行封堵任务。