(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111480404.1 (22)申请日 2021.12.07 (71)申请人 国网福建省电力有限公司 地址 350003 福建省福州市 鼓楼区五四路 257号 申请人 国网福建省电力有限公司信息通信 分公司 (72)发明人 张昊　陈端云　陈新星　林洁　 李舒婷　陈其泽　张良嵩　 (74)专利代理 机构 福州元创专利商标代理有限 公司 35100 代理人 郭东亮　蔡学俊 (51)Int.Cl. H04L 9/40(2022.01) H04L 69/22(2022.01) (54)发明名称 一种基于AAA认证、 授权信息的智能防火墙 及方法 (57)摘要 本发明提出一种基于AAA认证、 授权信息的 智能防火墙及方法， 用于被监控网络设备的安全 访问， 所述防火墙包括认证服务器， 根据黑名单 数据控制外部设备对被监控网络设备的访问； 被 监控网络设备在收到认证请求后， 把请求内容以 认证请求报文形式转发给认证服务器， 并在处理 认证请求后把处理结果 以授权结果报文形式发 送给认证服务器； 所述认证服务器对收到的报文 进行解析， 并根据解析结果进行数据统计以评估 是否存在网络攻击行为， 同时根据评估结果， 自 动对黑名单数据进行配置； 本发 明能自动地对网 络访问进行统计， 并自动地 修改防火墙 配置。 权利要求书2页 说明书4页 附图1页 CN 114244589 A 2022.03.25 CN 114244589 A 1.一种基于AAA认证、 授权信息的智能防火墙， 用于被监控网络设备的安全访 问， 其特 征在于： 所述防火墙包括认证服务器， 根据黑名单数据控制 外部设备对被监控网络设备 的 访问； 被监控网络设备在收到认证请求后， 把请求内容以认证请求报文形式转发给认证服 务器， 并在处理认证请求后把处理结果以授权结果报文形式发送给认证服务器； 所述认证 服务器对收到的报文进行解析， 并根据解析结果进行数据统计以评估是否存在网络攻击行 为， 同时根据评估结果， 自动对黑名单 数据进行配置 。 2.根据权利要求1所述的一种基于AAA认证、 授权信 息的智能防火墙， 其特征在于： 当认 证服务器对被监控网络 设备进行认证并授权后， 被监控网络设备才具备接收远端登陆认证 请求的功能， 当被监控网络设备在收到其它设备通过加密协议发来的登陆请求报文时， 解 析报文中的账号、 请求源端地址、 请求目的地址， 并把解析结果以syslog的报文 形式发送给 认证服务器。 3.根据权利要求2所述的一种基于AAA认证、 授权信 息的智能防火墙， 其特征在于： 所述 加密协议 为ssh协议。 4.根据权利要求2所述的一种基于AAA认证、 授权信 息的智能防火墙， 其特征在于： 所述 认证服务器为部署linux操作系统的AAA认证服务器， 所述认证服务器在收到外部设备的 syslog报文后， 以l og形式记录在/var/l og/message文件中。 5.基于AAA认证、 授权信息的智能防火墙方法， 其特 征在于： 包括以下步骤； 步骤S1、 对所有需要监控的网络设备进行网络安全配置， 设定认证服务器中用于判定 网络攻击行为的解析规则； 步骤S2、 被监控网络设备收到 的ssh/telnet登陆请求后， 对请求报文中的认证信息进 行解析； 步骤S3、 被监控网络设备把解析结果以认证请求报文形式转发给认证服务器， 同时对 登陆请求进行处 理， 并把处 理结果以授权结果报文形式发送给认证服 务器； 步骤S4、 认证服务器对收到的认证请求报文、 授权结果报文进行解析， 以识别认证请求 报文信息中的登录账号、 访问源IP地址、 目的IP地址， 判定授权结果报文中是否存在 有关登 录异常的内容； 步骤S5、 当步骤S4中判定授权结果报文中存在有关登录异常的内容时， 记录第一次登 录异常的时间， 账号， 源IP地址， 目的IP地址， 按解析规则设定， 记录第一次登录异常的时 间， 账号， 源IP地址， 目的IP地址； 步骤S6、 从第一次解析为登录异常开始算起并统计， 如统计结果满足解析规则要求则 执行网络攻击告警作业； 步骤S7、 根据用户设置的解析规则， 解析满足解析规则的认证信息， 将该信息中的访问 源IP地址设置为 黑名单， 防止该地址访问。 6.根据权利要求5所述的基于AAA认证、 授权信 息的智能防火墙方法， 其特征在于： 还包 括步骤S8， 认证服务器对收到的报文信息进行统计并生成报表， 同时参照账户的权限对报 表进行分析， 检索出不 规范使用账户的个人。 7.根据权利要求5所述的基于AAA认证、 授权信 息的智能防火墙方法， 其特征在于： 步骤 S1中， 认证服务器中用于判定网络攻击行为的解析规则， 是监控网络攻击的监控时长和攻 击次数；权　利　要　求　书 1/2 页 2 CN 114244589 A 2步骤S4中， 授权结果报文有关登录异常的内容， 是指报文中存在账号密码错误问题或 者提示no such user的内容。 8.根据权利要求5所述的基于AAA认证、 授权信 息的智能防火墙方法， 其特征在于： 步骤 S7中可预设黑名单有效时长， 当把访问源IP地址设置为黑名单且在达到黑名单有效时长 后， 认证服 务器自动把该IP地址从黑名单中删除， 以使该IP地址恢复访问能力。 9.根据权利要求5所述的基于AAA认证、 授权信 息的智能防火墙方法， 其特征在于： 所述 步骤S6中， 认证服务器在执行网络攻击告警作业时， 把告警信息通过邮件或者短信发送至 指定的账户， 其中邮件或短信内容包含登录错误源IP， 登录错误目的IP、 登录错误时间、 登 录错误原因。权　利　要　求　书 2/2 页 3 CN 114244589 A 3