一種防火墻策略處理的方法及裝置制造方法
【專利摘要】本發(fā)明公開(kāi)了一種防火墻策略處理的方法及裝置,其中該方法包括:采集防火墻策略,將所述防火墻策略進(jìn)行標(biāo)準(zhǔn)化生成防火墻策略訪問(wèn)控制列表;采集防火墻內(nèi)部網(wǎng)絡(luò)和內(nèi)外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)流量,獲得網(wǎng)絡(luò)流量配比統(tǒng)計(jì)數(shù)據(jù);根據(jù)所述網(wǎng)絡(luò)流量配比統(tǒng)計(jì)數(shù)據(jù)對(duì)所述防火墻策略訪問(wèn)控制列表進(jìn)行量化處理;根據(jù)預(yù)設(shè)的策略優(yōu)化規(guī)則對(duì)所述量化處理后的防火墻策略訪問(wèn)控制列表進(jìn)行策略優(yōu)化處理。本發(fā)明能夠彌補(bǔ)人工審核防火墻策略費(fèi)時(shí)費(fèi)力的缺陷,加強(qiáng)了防火墻變更策略的管理,避免了具有安全風(fēng)險(xiǎn)策略的建立,提高防火墻的安全性。
【專利說(shuō)明】一種防火墻策略處理的方法及裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】,尤其涉及一種防火墻策略處理的方法及裝置。
【背景技術(shù)】
[0002]防火墻作為內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的保護(hù)屏障,對(duì)于防止外部入侵具有重要的作用。防火墻策略是指防火墻所要參照的規(guī)定、規(guī)則、要求和過(guò)濾條款。防火墻根據(jù)防火墻策略放開(kāi)或阻斷經(jīng)過(guò)防火墻的數(shù)據(jù)流,防火墻策略在內(nèi)外網(wǎng)訪問(wèn)控制中起著十分關(guān)鍵的作用。隨著網(wǎng)絡(luò)規(guī)模的增長(zhǎng)和業(yè)務(wù)的不斷調(diào)整,防火墻上配置了大量的安全策略。這些策略中,可能包含了已經(jīng)不再使用的、冗余的、沖突的,甚至是違反安全規(guī)則的策略,這不僅增加了管理和維護(hù)成本,而且還可能成為安全隱患,因此對(duì)防火墻策略的審計(jì)非常有必要。
[0003]防火墻策略審計(jì)包含兩個(gè)方面:優(yōu)化審計(jì)和安全審計(jì)。優(yōu)化審計(jì)的目的是找出已經(jīng)發(fā)生的或潛在的重復(fù)或沖突策略,提供策略優(yōu)化的解決方案,以便防火墻管理員對(duì)策略進(jìn)行管理,減少冗余策略,提高防火墻策略的匹配效率。安全審計(jì)的目的是找出過(guò)度授權(quán)或違反安全規(guī)則的策略,降低由此帶來(lái)的高風(fēng)險(xiǎn)事件發(fā)生的概率。
[0004]策略審計(jì)可以采用人工方式或者自動(dòng)方式。對(duì)于策略數(shù)量很小的情形,人工方式尚可應(yīng)付,一旦策略數(shù)量達(dá)到一定規(guī)模,人工審計(jì)的效率就非常低。同時(shí),在防火墻日常維護(hù)中,經(jīng)常有在未經(jīng)授權(quán)情況下被添加違反規(guī)范性及安全規(guī)定策略的情形發(fā)生,對(duì)防火墻策略變更缺乏及時(shí)有效的監(jiān)管及控制手段。防火墻策略的變更缺乏記錄和審計(jì),給防火墻管理帶來(lái)較大困難和安全隱患。目前市場(chǎng)上多見(jiàn)對(duì)防火墻策略的分發(fā)、執(zhí)行和防火墻策略配置的方法與系統(tǒng)裝置,對(duì)防火墻策略本身內(nèi)容的自動(dòng)審計(jì)方法還未見(jiàn)成熟信息。
[0005]采用人工審計(jì)防火墻策略,主要問(wèn)題在于:第一,防火墻策略數(shù)量龐大,人工審計(jì)十分耗費(fèi)人力。隨著網(wǎng)絡(luò)擴(kuò)容及業(yè)務(wù)調(diào)整,防火墻上日積月累積累了大量安全策略,單臺(tái)防火墻上存在成百上千條策略的情形已很常見(jiàn)。采用人工方式對(duì)防火墻策略進(jìn)行分析審計(jì),將耗費(fèi)大量的人力。第二,人工審計(jì)時(shí)效性差,不能及時(shí)發(fā)現(xiàn)異常、錯(cuò)誤策略。防火墻上經(jīng)常有違反安全規(guī)則包含安全風(fēng)險(xiǎn)的的策略建立。由于防火墻規(guī)則量大而繁瑣,對(duì)新增防火墻策略很難做到及時(shí)有效的審核。
【發(fā)明內(nèi)容】
[0006]為了解決現(xiàn)有技術(shù)中的技術(shù)問(wèn)題,本發(fā)明提出一種防火墻策略處理的方法及裝置,通過(guò)遵循策略審計(jì)規(guī)則進(jìn)行策略審計(jì),能夠及時(shí)高效發(fā)現(xiàn)防火墻中的冗余、沖突及違反安全規(guī)則的策略,并進(jìn)行防火墻策略變更,同時(shí)派發(fā)工單給相關(guān)人員審核。本發(fā)明能夠彌補(bǔ)人工審核防火墻策略費(fèi)時(shí)費(fèi)力的缺陷,加強(qiáng)了防火墻變更策略的管理,避免了具有安全風(fēng)險(xiǎn)策略的建立,提高防火墻的安全性。
[0007]本發(fā)明的一個(gè)方面,提出了一種防火墻策略處理的方法,包括:采集防火墻策略,將所述防火墻策略進(jìn)行標(biāo)準(zhǔn)化生成防火墻策略訪問(wèn)控制列表;采集防火墻內(nèi)部網(wǎng)絡(luò)和內(nèi)外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)流量,獲得網(wǎng)絡(luò)流量配比統(tǒng)計(jì)數(shù)據(jù);根據(jù)所述網(wǎng)絡(luò)流量配比統(tǒng)計(jì)數(shù)據(jù)對(duì)所述防火墻策略訪問(wèn)控制列表進(jìn)行量化處理;根據(jù)預(yù)設(shè)的策略優(yōu)化規(guī)則對(duì)所述量化處理后的防火墻策略訪問(wèn)控制列表進(jìn)行策略優(yōu)化處理。
[0008]優(yōu)選的,所述根據(jù)預(yù)設(shè)的策略優(yōu)化規(guī)則對(duì)所述量化處理后的防火墻策略訪問(wèn)控制列表進(jìn)行策略優(yōu)化處理的步驟之后還包括:根據(jù)預(yù)設(shè)的安全審計(jì)規(guī)則對(duì)所述量化后的防火墻策略訪問(wèn)控制列表進(jìn)行安全審計(jì)處理。
[0009]優(yōu)選的,所述采集防火墻策略,將所述防火墻策略進(jìn)行標(biāo)準(zhǔn)化生成防火墻策略訪問(wèn)控制列表的步驟進(jìn)一步包括:向Probe采集機(jī)下發(fā)防火墻策略采集命令;獲取防火墻策略原始結(jié)果并使用解析類語(yǔ)句對(duì)所述原始結(jié)果進(jìn)行標(biāo)準(zhǔn)化;將所述標(biāo)準(zhǔn)化的防火墻策略作為Probe采集機(jī)的策略基線。
[0010]優(yōu)選的,所述將所述標(biāo)準(zhǔn)化的防火墻策略作為Probe采集機(jī)的策略基線的步驟之后還包括:按預(yù)設(shè)時(shí)間間隔重復(fù)上述步驟,更新所述策略基線。
[0011]優(yōu)選的,所述采集防火墻內(nèi)部網(wǎng)絡(luò)和內(nèi)外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)流量,獲得網(wǎng)絡(luò)流量配比統(tǒng)計(jì)數(shù)據(jù)的步驟進(jìn)一步包括:根據(jù)預(yù)設(shè)周期采集防火墻內(nèi)部網(wǎng)絡(luò)和內(nèi)外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)流量;對(duì)所述網(wǎng)絡(luò)流量的配比進(jìn)行統(tǒng)計(jì),獲得網(wǎng)絡(luò)流量配比統(tǒng)計(jì)數(shù)據(jù)。
[0012]本發(fā)明的另一個(gè)方面,提出了一種防火墻策略處理的裝置,包括采集模塊、統(tǒng)計(jì)模塊、量化模塊和優(yōu)化模塊,其中:所述采集模塊,用于采集防火墻策略,將所述防火墻策略進(jìn)行標(biāo)準(zhǔn)化生成防火墻策略訪問(wèn)控制列表;所述統(tǒng)計(jì)模塊,用于采集防火墻內(nèi)部網(wǎng)絡(luò)和內(nèi)外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)流量,獲得網(wǎng)絡(luò)流量配比統(tǒng)計(jì)數(shù)據(jù);所述量化模塊,用于根據(jù)所述網(wǎng)絡(luò)流量配比統(tǒng)計(jì)數(shù)據(jù)對(duì)所述防火墻策略訪問(wèn)控制列表進(jìn)行量化處理;所述優(yōu)化模塊,用于根據(jù)預(yù)設(shè)的策略優(yōu)化規(guī)則對(duì)所述量化處理后的防火墻策略訪問(wèn)控制列表進(jìn)行策略優(yōu)化處理。
[0013]優(yōu)選的,還包括審計(jì)模塊,用于根據(jù)預(yù)設(shè)的安全審計(jì)規(guī)則對(duì)所述量化后的防火墻策略訪問(wèn)控制列表進(jìn)行安全審計(jì)處理。
[0014]優(yōu)選的,所述采集模塊進(jìn)一步包括命令下發(fā)單元、標(biāo)準(zhǔn)化單元和策略基線生成單元,其中:所述命令下發(fā)單元,用于向Probe采集機(jī)下發(fā)防火墻策略采集命令;所述標(biāo)準(zhǔn)化單元,用于獲取防火墻策略原始結(jié)果并使用解析類語(yǔ)句對(duì)所述原始結(jié)果進(jìn)行標(biāo)準(zhǔn)化;所述策略基線生成單元,用于將所述標(biāo)準(zhǔn)化的防火墻策略作為Probe采集機(jī)的策略基線。
[0015]優(yōu)選的,所述采集模塊還包括更新單元,用于按預(yù)設(shè)時(shí)間間隔通過(guò)所述命令下發(fā)單元、標(biāo)準(zhǔn)化單元和策略基線生成單元的執(zhí)行動(dòng)作更新所述策略基線。
[0016]優(yōu)選的,所述統(tǒng)計(jì)模塊進(jìn)一步用于:根據(jù)預(yù)設(shè)周期采集防火墻內(nèi)部網(wǎng)絡(luò)和內(nèi)外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)流量;對(duì)所述網(wǎng)絡(luò)流量的配比進(jìn)行統(tǒng)計(jì),獲得網(wǎng)絡(luò)流量配比統(tǒng)計(jì)數(shù)據(jù)。
[0017]本發(fā)明的防火墻策略處理的方法及裝置,遵循策略審計(jì)規(guī)則對(duì)防火墻策略進(jìn)行自動(dòng)審計(jì)可有效提高防火墻審計(jì)效率,同時(shí)通過(guò)建立防火墻策略及互聯(lián)關(guān)系基線,定期采集當(dāng)前防火墻策略及互聯(lián)關(guān)系與之比對(duì),發(fā)現(xiàn)策略及互聯(lián)關(guān)系變更時(shí)即生成告警并派單處理,提供了一種良好的防火墻策略管理方法,實(shí)現(xiàn)了對(duì)防火墻策略及防火墻內(nèi)外部互聯(lián)關(guān)系變更的有效管理,降低了因防火墻策略設(shè)置不當(dāng)而被攻擊的可能性,提高了防火墻的安全性。
【專利附圖】
【附圖說(shuō)明】
[0018]圖1是本發(fā)明實(shí)施例中一種防火墻策略處理的方法的流程圖;
[0019]圖2是本發(fā)明實(shí)施例中一種防火墻策略處理的裝置的結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0020]圖1為本發(fā)明實(shí)施例中一種防火墻策略處理的方法的流程圖。如圖1所示,包括以下步驟:
[0021]步驟100、采集防火墻策略,將所述防火墻策略進(jìn)行標(biāo)準(zhǔn)化生成防火墻策略訪問(wèn)控制列表;
[0022]步驟102、采集防火墻內(nèi)部網(wǎng)絡(luò)和內(nèi)外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)流量,獲得網(wǎng)絡(luò)流量配比統(tǒng)計(jì)數(shù)據(jù);
[0023]步驟104、根據(jù)所述網(wǎng)絡(luò)流量配比統(tǒng)計(jì)數(shù)據(jù)對(duì)所述防火墻策略訪問(wèn)控制列表進(jìn)行量化處理;
[0024]步驟106、根據(jù)預(yù)設(shè)的策略優(yōu)化規(guī)則對(duì)所述量化處理后的防火墻策略訪問(wèn)控制列表進(jìn)行策略優(yōu)化處理。
[0025]優(yōu)選的,步驟106之后還可以包括:根據(jù)預(yù)設(shè)的安全審計(jì)規(guī)則對(duì)所述量化后的防火墻策略訪問(wèn)控制列表進(jìn)行安全審計(jì)處理。
[0026]上述步驟100中,生成防火墻策略訪問(wèn)控制列表即策略基線的建立過(guò)程具體包括以下步驟:
[0027]策略采集命令下發(fā):WebServer調(diào)用Server的程序接口,由Server向Probe采集機(jī)發(fā)送策略采集消息
[0028]獲取原始結(jié)果并標(biāo)準(zhǔn)化=Probe采集機(jī)連接目標(biāo)設(shè)備并執(zhí)行策略采集命令,獲取策略原始結(jié)果并使用解析類語(yǔ)句進(jìn)行標(biāo)準(zhǔn)化
[0029]策略基線建立:Probe采集機(jī)得到策略標(biāo)準(zhǔn)化數(shù)據(jù)后,以標(biāo)準(zhǔn)化的防火墻策略作為策略基線。
[0030]發(fā)現(xiàn)策略變更:Probe采集機(jī)定期采集當(dāng)前防火墻策略并標(biāo)準(zhǔn)化;與策略基線進(jìn)行比對(duì),發(fā)現(xiàn)策略變更,即派發(fā)工單給相關(guān)人員審核。
[0031]更新策略基線:Probe采集機(jī)采集當(dāng)前防火墻策略標(biāo)準(zhǔn)化,更新策略基線。
[0032]Webserver:提供防火墻策略圖形化展示,管理搭建的web服務(wù)器;Server:提供策略采集消息生成,分發(fā)功能及防火墻策略數(shù)據(jù)存儲(chǔ)的服務(wù)器;Probe:執(zhí)行策略采集命令獲取策略原始結(jié)果并標(biāo)準(zhǔn)化的采集服務(wù)器;策略基線:策略比對(duì)的初始基準(zhǔn)值,用于發(fā)現(xiàn)當(dāng)前策略變更情況。
[0033]上述步驟102中,局域網(wǎng)內(nèi)外部設(shè)備互聯(lián)關(guān)系采集一建立互聯(lián)關(guān)系基線進(jìn)一步包括以下步驟:
[0034]根據(jù)預(yù)設(shè)周期采集防火墻內(nèi)部網(wǎng)絡(luò)和內(nèi)外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)流量;
[0035]對(duì)所述網(wǎng)絡(luò)流量的配比進(jìn)行統(tǒng)計(jì),獲得網(wǎng)絡(luò)流量配比統(tǒng)計(jì)數(shù)據(jù)。
[0036]在防火墻內(nèi)部的交換機(jī)部署網(wǎng)絡(luò)嗅探器,采集內(nèi)部之間、內(nèi)外部之間的網(wǎng)絡(luò)流量,進(jìn)行一段較長(zhǎng)周期的采集(如:一個(gè)月),對(duì)網(wǎng)絡(luò)流量出現(xiàn)的配對(duì)進(jìn)行統(tǒng)計(jì)(源端口、源IP、目的端口、目的IP、出流量、入流量、開(kāi)始時(shí)間、終止時(shí)間)。以上配對(duì)統(tǒng)計(jì)信息代表了該時(shí)段的業(yè)務(wù)系統(tǒng)互聯(lián)關(guān)系,根據(jù)流量的大小、連接頻次等確定互聯(lián)關(guān)系的重要性,交人工進(jìn)行確認(rèn),得出合法互聯(lián)關(guān)系基線。
[0037]上述步驟104中,防火墻策略量化處理具體包括:
[0038]防火墻策略被采集并標(biāo)準(zhǔn)化生成策略ACL后,對(duì)ACL涉及的目標(biāo)端口內(nèi)容、目標(biāo)端口個(gè)數(shù)、目標(biāo)IP內(nèi)容、目標(biāo)IP個(gè)數(shù)進(jìn)行量化,并以ACL為單位進(jìn)行排列組合比較,判斷防火墻策略ACL中是否存在策略覆蓋、攔截等策略冗余問(wèn)題及開(kāi)放目的IP范圍過(guò)大,目標(biāo)端口過(guò)大等安全性問(wèn)題。
[0039]策略審計(jì)應(yīng)遵循以下規(guī)則進(jìn)行策略優(yōu)化和安全審計(jì):
[0040](I)發(fā)現(xiàn)冗余及無(wú)用策略實(shí)現(xiàn)防火墻策略優(yōu)化,應(yīng)遵循以下規(guī)則:
[0041]I):策略重復(fù)
[0042]策略重復(fù)判定:配置文件中兩條或多條策略五元組完全相同且動(dòng)作一致,判定為策略重復(fù)。
[0043]2)策略整體覆蓋
[0044]策略整體覆蓋判定:配置文件中當(dāng)前策略五元組被優(yōu)先級(jí)更高的策略完全包含且動(dòng)作一致,判定當(dāng)前策略被整體覆蓋。該條策略整體失效。
[0045]3)策略部分覆蓋
[0046]策略部分覆蓋判定:配置文件中當(dāng)前策略五元組被優(yōu)先級(jí)更高的策略部分包含且動(dòng)作一致,判定當(dāng)前策略被部分覆蓋。該條策略部分失效。
[0047]4)策略整體攔截
[0048]策略整體攔截判定:配置文件中當(dāng)前策略五元組被優(yōu)先級(jí)更高的策略完全包含且動(dòng)作相反,判定當(dāng)前策略被整體攔截。該條策略整體失效。
[0049]5)策略部分?jǐn)r截
[0050]策略部分?jǐn)r截判定:配置文件中當(dāng)前策略五元組被優(yōu)先級(jí)更高的策略部分包含且動(dòng)作相反,判定當(dāng)前策略被部分?jǐn)r截。該條策略部分失效。
[0051]6)無(wú)效策略組
[0052]無(wú)效策略組判定:不包含任何策略的策略組判定為無(wú)效策略組。
[0053]例如定義了策略組acl number2100,而策略組2100中不包含任何策略。
[0054]7)策略正常
[0055]策略正常判定:未發(fā)現(xiàn)上述防火墻策略配置問(wèn)題判定為策略正常。
[0056]策略安全審計(jì)應(yīng)遵循以下規(guī)則:
[0057]I)目的 IP 為 any
[0058]判定:配置文件存在目的IP為any的策略。
[0059]2)目的IP范圍過(guò)大
[0060]判定:配置文件中存在目的IP范圍超出策略審計(jì)的最大允許值的策略。目的IP最大允許值可根據(jù)網(wǎng)絡(luò)實(shí)際情況進(jìn)行設(shè)置。
[0061]3)目的端口為any
[0062]判定:配置文件中存在目的端口為any的策略。
[0063]4)目的端口范圍過(guò)大
[0064]判定:配置文件中存在目的端口范圍超出策略審計(jì)的最大允許值的策略。
[0065]目的端口最大允許值可根據(jù)網(wǎng)絡(luò)實(shí)際情況進(jìn)行設(shè)置。
[0066]5)開(kāi)放了管理端口
[0067]判定:目的端口中涉及22、23、80、443、3389等常用管理維護(hù)端口的策略。
[0068]遵循以上策略優(yōu)化及策略安全審計(jì)規(guī)則,通過(guò)系統(tǒng)程序自動(dòng)發(fā)現(xiàn)防火墻上冗余、無(wú)用、失效策略及違反安全規(guī)則的策略;實(shí)現(xiàn)防火墻策略優(yōu)化及策略安全審計(jì)。其中,五元組是防火墻策略的屬性集,用于表示防火墻定義的訪問(wèn)要求。五元組包含了防火墻策略的5要素。分別是網(wǎng)絡(luò)源IP地址、源端口、網(wǎng)絡(luò)目的IP地址、目的端口、通信協(xié)議(如TCP協(xié)議等)。動(dòng)作:防火墻策略的流量策略動(dòng)作,可以為permit或deny。策略ACL:策略訪問(wèn)控制列表。
[0069]上述步驟106中,通過(guò)實(shí)施以下流程監(jiān)控防火墻策略及互聯(lián)關(guān)系的變更,并進(jìn)行優(yōu)化處理:
[0070]選取需定期核查策略及互聯(lián)關(guān)系變更狀況的防火墻設(shè)備,建立定期核查計(jì)劃;
[0071]Webserver通過(guò)probe采集機(jī)及嗅探機(jī)獲取所選設(shè)備中的當(dāng)前策略及互聯(lián)關(guān)系;
[0072]當(dāng)前策略及互聯(lián)關(guān)系與策略基線及互聯(lián)關(guān)系基線比對(duì),發(fā)現(xiàn)策略及互聯(lián)關(guān)系變更,生成相應(yīng)告警;啟動(dòng)工單處理流程,派發(fā)工單給相關(guān)人員審核;
[0073]采集變更后的防火墻策略及互聯(lián)關(guān)系,更新策略基線及互聯(lián)關(guān)系基線。
[0074]圖2是本發(fā)明實(shí)施例中一種防火墻策略處理的裝置的結(jié)構(gòu)示意圖。如圖2所示,包括采集模塊200、統(tǒng)計(jì)模塊202、量化模塊204和優(yōu)化模塊206,其中:所述采集模塊,用于采集防火墻策略,將所述防火墻策略進(jìn)行標(biāo)準(zhǔn)化生成防火墻策略訪問(wèn)控制列表;所述統(tǒng)計(jì)模塊,用于采集防火墻內(nèi)部網(wǎng)絡(luò)和內(nèi)外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)流量,獲得網(wǎng)絡(luò)流量配比統(tǒng)計(jì)數(shù)據(jù);所述量化模塊,用于根據(jù)所述網(wǎng)絡(luò)流量配比統(tǒng)計(jì)數(shù)據(jù)對(duì)所述防火墻策略訪問(wèn)控制列表進(jìn)行量化處理;所述優(yōu)化模塊,用于根據(jù)預(yù)設(shè)的策略優(yōu)化規(guī)則對(duì)所述量化處理后的防火墻策略訪問(wèn)控制列表進(jìn)行策略優(yōu)化處理。
[0075]優(yōu)選的,還包括審計(jì)模塊,用于根據(jù)預(yù)設(shè)的安全審計(jì)規(guī)則對(duì)所述量化后的防火墻策略訪問(wèn)控制列表進(jìn)行安全審計(jì)處理。
[0076]所述采集模塊進(jìn)一步包括命令下發(fā)單元、標(biāo)準(zhǔn)化單元和策略基線生成單元,其中:所述命令下發(fā)單元,用于向Probe采集機(jī)下發(fā)防火墻策略采集命令;所述標(biāo)準(zhǔn)化單元,用于獲取防火墻策略原始結(jié)果并使用解析類語(yǔ)句對(duì)所述原始結(jié)果進(jìn)行標(biāo)準(zhǔn)化;所述策略基線生成單元,用于將所述標(biāo)準(zhǔn)化的防火墻策略作為Probe采集機(jī)的策略基線。
[0077]所述采集模塊還包括更新單元,用于按預(yù)設(shè)時(shí)間間隔通過(guò)所述命令下發(fā)單元、標(biāo)準(zhǔn)化單元和策略基線生成單元的執(zhí)行動(dòng)作更新所述策略基線。
[0078]所述統(tǒng)計(jì)模塊進(jìn)一步用于:根據(jù)預(yù)設(shè)周期采集防火墻內(nèi)部網(wǎng)絡(luò)和內(nèi)外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)流量;對(duì)所述網(wǎng)絡(luò)流量的配比進(jìn)行統(tǒng)計(jì),獲得網(wǎng)絡(luò)流量配比統(tǒng)計(jì)數(shù)據(jù)。
[0079]防火墻策略審計(jì)方法結(jié)合策略變更管理方法可組成防火墻策略綜合管理系統(tǒng),提供防火墻策略審計(jì)、策略變更及互聯(lián)關(guān)系變更監(jiān)控管理功能。
[0080]本發(fā)明各實(shí)施例遵循策略審計(jì)規(guī)則對(duì)防火墻策略進(jìn)行自動(dòng)審計(jì)可有效提高防火墻審計(jì)效率,同時(shí)通過(guò)建立防火墻策略及互聯(lián)關(guān)系基線,定期采集當(dāng)前防火墻策略及互聯(lián)關(guān)系與之比對(duì),發(fā)現(xiàn)策略及互聯(lián)關(guān)系變更時(shí)即生成告警并派單處理,提供了一種良好的防火墻策略管理方法。實(shí)現(xiàn)了對(duì)防火墻策略及防火墻內(nèi)外部互聯(lián)關(guān)系變更的有效管理,降低了因防火墻策略設(shè)置不當(dāng)而被攻擊的可能性,提高了防火墻的安全性。
[0081]應(yīng)說(shuō)明的是:以上實(shí)施例僅用以說(shuō)明本發(fā)明而非限制,本發(fā)明也并不僅限于上述舉例,一切不脫離本發(fā)明的精神和范圍的技術(shù)方案及其改進(jìn),其均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍中。
【權(quán)利要求】
1.一種防火墻策略處理的方法,其特征在于,包括: 采集防火墻策略,將所述防火墻策略進(jìn)行標(biāo)準(zhǔn)化生成防火墻策略訪問(wèn)控制列表; 采集防火墻內(nèi)部網(wǎng)絡(luò)和內(nèi)外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)流量,獲得網(wǎng)絡(luò)流量配比統(tǒng)計(jì)數(shù)據(jù); 根據(jù)所述網(wǎng)絡(luò)流量配比統(tǒng)計(jì)數(shù)據(jù)對(duì)所述防火墻策略訪問(wèn)控制列表進(jìn)行量化處理; 根據(jù)預(yù)設(shè)的策略優(yōu)化規(guī)則對(duì)所述量化處理后的防火墻策略訪問(wèn)控制列表進(jìn)行策略優(yōu)化處理。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述根據(jù)預(yù)設(shè)的策略優(yōu)化規(guī)則對(duì)所述量化處理后的防火墻策略訪問(wèn)控制列表進(jìn)行策略優(yōu)化處理的步驟之后還包括: 根據(jù)預(yù)設(shè)的安全審計(jì)規(guī)則對(duì)所述量化后的防火墻策略訪問(wèn)控制列表進(jìn)行安全審計(jì)處理。
3.根據(jù)權(quán)利要求1或2所述的方法,其特征在于,所述采集防火墻策略,將所述防火墻策略進(jìn)行標(biāo)準(zhǔn)化生成防火墻策略訪問(wèn)控制列表的步驟進(jìn)一步包括: 向Probe采集機(jī)下發(fā)防火墻策略采集命令; 獲取防火墻策略原始結(jié)果并使用解析類語(yǔ)句對(duì)所述原始結(jié)果進(jìn)行標(biāo)準(zhǔn)化; 將所述標(biāo)準(zhǔn)化的防火墻策略作為Probe采集機(jī)的策略基線。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于,所述將所述標(biāo)準(zhǔn)化的防火墻策略作為Probe采集機(jī)的策略基線的步驟之后還包括: 按預(yù)設(shè)時(shí)間間隔重復(fù)上述步驟,更新所述策略基線。
5.根據(jù)權(quán)利要求1或2所述的方法,其特征在于,所述采集防火墻內(nèi)部網(wǎng)絡(luò)和內(nèi)外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)流量,獲得網(wǎng)絡(luò)流量配比統(tǒng)計(jì)數(shù)據(jù)的步驟進(jìn)一步包括: 根據(jù)預(yù)設(shè)周期采集防火墻內(nèi)部網(wǎng)絡(luò)和內(nèi)外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)流量; 對(duì)所述網(wǎng)絡(luò)流量的配比進(jìn)行統(tǒng)計(jì),獲得網(wǎng)絡(luò)流量配比統(tǒng)計(jì)數(shù)據(jù)。
6.一種防火墻策略處理的裝置,其特征在于,包括采集模塊、統(tǒng)計(jì)模塊、量化模塊和優(yōu)化模塊,其中: 所述采集模塊,用于采集防火墻策略,將所述防火墻策略進(jìn)行標(biāo)準(zhǔn)化生成防火墻策略訪問(wèn)控制列表; 所述統(tǒng)計(jì)模塊,用于采集防火墻內(nèi)部網(wǎng)絡(luò)和內(nèi)外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)流量,獲得網(wǎng)絡(luò)流量配比統(tǒng)計(jì)數(shù)據(jù); 所述量化模塊,用于根據(jù)所述網(wǎng)絡(luò)流量配比統(tǒng)計(jì)數(shù)據(jù)對(duì)所述防火墻策略訪問(wèn)控制列表進(jìn)行量化處理; 所述優(yōu)化模塊,用于根據(jù)預(yù)設(shè)的策略優(yōu)化規(guī)則對(duì)所述量化處理后的防火墻策略訪問(wèn)控制列表進(jìn)行策略優(yōu)化處理。
7.根據(jù)權(quán)利要求6所述的裝置,其特征在于,還包括審計(jì)模塊,用于根據(jù)預(yù)設(shè)的安全審計(jì)規(guī)則對(duì)所述量化后的防火墻策略訪問(wèn)控制列表進(jìn)行安全審計(jì)處理。
8.根據(jù)權(quán)利要求6或7所述的裝置,其特征在于,所述采集模塊進(jìn)一步包括命令下發(fā)單元、標(biāo)準(zhǔn)化單元和策略基線生成單元,其中: 所述命令下發(fā)單元,用于向Probe采集機(jī)下發(fā)防火墻策略采集命令; 所述標(biāo)準(zhǔn)化單元,用于獲取防火墻策略原始結(jié)果并使用解析類語(yǔ)句對(duì)所述原始結(jié)果進(jìn)行標(biāo)準(zhǔn)化;所述策略基線生成單元,用于將所述標(biāo)準(zhǔn)化的防火墻策略作為Probe采集機(jī)的策略基線。
9.根據(jù)權(quán)利要求8所述的裝置,其特征在于,所述采集模塊還包括更新單元,用于按預(yù)設(shè)時(shí)間間隔通過(guò)所述命令下發(fā)單元、標(biāo)準(zhǔn)化單元和策略基線生成單元的執(zhí)行動(dòng)作更新所述策略基線。
10.根據(jù)權(quán)利要求6或7所述的裝置,其特征在于,所述統(tǒng)計(jì)模塊進(jìn)一步用于: 根據(jù)預(yù)設(shè)周期采集防火墻內(nèi)部網(wǎng)絡(luò)和內(nèi)外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)流量; 對(duì)所述網(wǎng)絡(luò)流量的配比進(jìn)行統(tǒng)計(jì),獲得網(wǎng)絡(luò)流量配比統(tǒng)計(jì)數(shù)據(jù)。
【文檔編號(hào)】H04L29/06GK104135461SQ201310163682
【公開(kāi)日】2014年11月5日 申請(qǐng)日期:2013年5月2日 優(yōu)先權(quán)日:2013年5月2日
【發(fā)明者】王立川 申請(qǐng)人:中國(guó)移動(dòng)通信集團(tuán)河北有限公司