防火墻策略核查方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,尤其涉及一種防火墻策略核查方法及系統(tǒng)。
【背景技術(shù)】
[0002] 防火墻作為網(wǎng)絡(luò)的第一道關(guān)卡,哪些訪問允許通過,哪些訪問需要阻擋,這些都需 要通過防火墻策略來設(shè)置,防火墻策略很大程度上決定了防火墻的功能及安全性。網(wǎng)絡(luò)規(guī) 模的大幅增長,使得防火墻中的防火墻策略數(shù)也急劇增長,單臺防火墻通常存在成千上萬 條防火墻策略。業(yè)務(wù)系統(tǒng)長期運行中訪問需求的變更以及管理員人員的變化,會使得業(yè)務(wù) 系統(tǒng)防火墻的大量防火墻策略變得無效、冗余、沖突、錯誤甚至是違反安全規(guī)定,使防火墻 策略出現(xiàn)混亂,導(dǎo)致防火墻的安全性和性能受到重大影響,嚴(yán)重威脅業(yè)務(wù)系統(tǒng)的安全。為了 防止防火墻策略的混亂,需要對防火墻策略進行核查。
[0003] 現(xiàn)有的防火墻策略核查主要采用人工方式。人工方式的防火墻策略核查雖然可以 查出一些明顯的漏洞,例如源地址和目的地址同時為任意(Any)的Any to Any策略、源端 口和目的端口沒有限制、內(nèi)網(wǎng)地址無任何限制地直接訪問公網(wǎng)的x.x.x.x to Any以及策略 之間的包含和交叉等,但在缺乏準(zhǔn)確合理的真實網(wǎng)絡(luò)設(shè)備互連信息的情況下,無法進一步 發(fā)現(xiàn)看似嚴(yán)謹(jǐn)實則寬松的防火墻策略,導(dǎo)致核查無法覆蓋所有存在缺陷的防火墻策略。另 外,人工方式存在主觀性,容易出現(xiàn)判斷錯誤,尤其在防火墻策略數(shù)量繁多、防火墻品牌眾 多的情況下,無法對防火墻策略做到定期核查和及時修改,人工方式已經(jīng)難以勝任防火墻 策略核查的需求。
【發(fā)明內(nèi)容】
[0004] 為實現(xiàn)防火墻策略的自動化核查,本申請?zhí)峁┮环N防火墻策略核查方法及系統(tǒng)。
[0005] 根據(jù)本申請實施例的第一方面,提供一種防火墻策略核查方法,包括:
[0006] 采集防火墻中的防火墻策略;
[0007] 解析并標(biāo)準(zhǔn)化所述防火墻策略;
[0008] 根據(jù)預(yù)先制定的核查規(guī)則核查標(biāo)準(zhǔn)化后的防火墻策略,所述核查規(guī)則根據(jù)防火墻 策略異常的性質(zhì)和核查的目的預(yù)先制定。
[0009] 可選的,所述根據(jù)預(yù)先制定的核查規(guī)則核查標(biāo)準(zhǔn)化后的防火墻策略信息,包括:
[0010] 按組號對防火墻策略進行分組;
[0011] 依次核查每組防火墻策略,對同一組內(nèi)的每一條防火墻策略:
[0012] 判斷當(dāng)前防火墻策略的目的地址是否為Any或超過預(yù)設(shè)的地址范圍;
[0013] 判斷當(dāng)前防火墻策略的目的端口是否為Any或超過預(yù)設(shè)的端口范圍;
[0014] 判斷當(dāng)前防火墻策略的目的端口是否包含管理端口;
[0015] 依次比較當(dāng)前防火墻策略與高優(yōu)先級防火墻策略,判斷所述當(dāng)前防火墻策略與所 述高優(yōu)先級防火墻策略之間是否為策略沖突、策略重復(fù)、策略交叉沖突或者策略交叉重復(fù), 所述高優(yōu)先級防火墻策略為優(yōu)先級高于所述當(dāng)前防火墻策略的其他防火墻策略。
[0016] 可選的,所述判斷所述當(dāng)前防火墻策略與所述高優(yōu)先級防火墻策略之間是否為策 略沖突、策略重復(fù)、策略交叉沖突或者策略交叉重復(fù),包括:
[0017] 判斷所述當(dāng)前防火墻策略與所述高優(yōu)先級防火墻策略的動作類型是否一致;
[0018] 當(dāng)所述當(dāng)前防火墻策略與所述高優(yōu)先級防火墻策略的動作類型一致時,判斷所述 當(dāng)前防火墻策略的五元組元素內(nèi)容與對應(yīng)的所述高優(yōu)先級防火墻策略的五元組元素內(nèi)容 之間的包含關(guān)系,
[0019] 如果所述當(dāng)前防火墻策略的五元組元素內(nèi)容全部為所述高優(yōu)先級防火墻策略的 五元組元素內(nèi)容的子集,則所述當(dāng)前防火墻策略與所述高優(yōu)先級防火墻策略之間為策略重 復(fù),如果所述當(dāng)前防火墻策略的五元組元素內(nèi)容中存在至少一個元素內(nèi)容與對應(yīng)的高優(yōu)先 級防火墻策略的元素內(nèi)容之間的包含關(guān)系,與其他元素內(nèi)容之間的包含關(guān)系相反,則當(dāng)前 防火墻策略與所述高優(yōu)先級防火墻策略之間為策略交叉重復(fù);
[0020] 當(dāng)所述當(dāng)前防火墻策略與所述高優(yōu)先級防火墻策略的動作類型相反時,判斷所述 當(dāng)前防火墻策略的五元組元素內(nèi)容與對應(yīng)的所述高優(yōu)先級防火墻策略的五元組元素內(nèi)容 之間的包含關(guān)系,
[0021] 如果所述當(dāng)前防火墻策略的五元組元素內(nèi)容全部為所述高優(yōu)先級防火墻策略的 五元組元素內(nèi)容的子集,則當(dāng)前防火墻策略與所述高優(yōu)先級防火墻策略之間為策略沖突, 如果所述當(dāng)前防火墻策略的五元組元素內(nèi)容中存在至少一個元素內(nèi)容與對應(yīng)的高優(yōu)先級 防火墻策略的元素內(nèi)容之間的包含關(guān)系,與其他元素內(nèi)容之間的包含關(guān)系相反,則當(dāng)前防 火墻策略與所述高優(yōu)先級防火墻策略之間為策略交叉沖突,
[0022] 其中,所述五元組元素內(nèi)容為協(xié)議、目的地址、目的端口、源地址和源端口。
[0023] 可選的,所述的防火墻策略核查方法,還包括命中數(shù)核查,所述命中數(shù)核查包括:
[0024] 采集防火墻策略在第一時間點和第二時間點的命中數(shù);
[0025] 計算第一時間點的命中數(shù)和第二時間點的命中數(shù)的差值;
[0026] 根據(jù)所述差值判斷所述防火墻策略的活躍度。
[0027] 可選的,所述的防火墻策略核查方法,還包括白名單核查,所述白名單核查包括:
[0028] 獲取防火墻的白名單;
[0029] 比較防火墻的防火墻策略與所述白名單,判斷防火墻策略與所述白名單的匹配 度。
[0030] 與本申請實施例的第一方面相應(yīng),根據(jù)本申請實施例的第二方面,提供一種防火 墻策略核查系統(tǒng),包括:
[0031] 防火墻策略采集單元,用于采集防火墻中的防火墻策略;
[0032] 防火墻策略標(biāo)準(zhǔn)化單元,用于解析并標(biāo)準(zhǔn)化所述防火墻策略;
[0033] 防火墻策略異常核查單元,用于根據(jù)預(yù)先制定的核查規(guī)則核查標(biāo)準(zhǔn)化后的防火墻 策略,所述核查規(guī)則根據(jù)防火墻策略異常的性質(zhì)和核查的目的預(yù)先制定。
[0034] 可選的,所述的防火墻策略核查系統(tǒng)中,所述防火墻策略核查單元,包括:
[0035] 分組子單元,用于按組號對防火墻策略進行分組;
[0036] 核查子單元,用于依次核查每組防火墻策略,所述核查子單元包括:
[0037] 第一判斷模塊,用于判斷當(dāng)前防火墻策略的目的地址是否為Any或超過預(yù)設(shè)的地 址范圍;
[0038] 第二判斷模塊,用于判斷當(dāng)前防火墻策略的目的端口是否為Any或超過預(yù)設(shè)的端 口范圍;
[0039] 第三判斷模塊,用于判斷當(dāng)前防火墻策略的目的端口是否包含管理端口;
[0040] 比較模塊,用于依次比較當(dāng)前防火墻策略與優(yōu)先級高于所述當(dāng)前防火墻策略的其 他防火墻策略;
[0041] 第四判斷模塊,用于判斷所述當(dāng)前防火墻策略與所述當(dāng)前高優(yōu)先級防火墻策略之 間是否為策略沖突、策略重復(fù)、策略交叉沖突或者策略交叉重復(fù)。
[0042] 可選的,所述的防火墻策略核查系統(tǒng),所述第四判斷模塊,包括:
[0043] 動作類型判斷子模塊,用于判斷所述當(dāng)前防火墻策略與所述高優(yōu)先級防火墻策略 的動作類型是否一致;
[0044] 第一包含關(guān)系判斷子模塊,用于當(dāng)所述當(dāng)前防火墻策略與所述高優(yōu)先級防火墻策 略的動作類型一致時,判斷所述當(dāng)前防火墻策略的五元組元素內(nèi)容與對應(yīng)的所述高優(yōu)先級 防火墻策略的五元組元素內(nèi)容之間的包含關(guān)系,
[0045] 如果所述當(dāng)前防火墻策略的五元組元素內(nèi)容全部為所述高優(yōu)先級防火墻策略的 五元組元素內(nèi)容的子集,則所述當(dāng)前防火墻策略與所述高優(yōu)先級防火墻策略之間為策略重 復(fù),如果所述當(dāng)前防火墻策略的五元組元素內(nèi)容中存在至少一個元素內(nèi)容與對應(yīng)的高優(yōu)先 級防火墻策略的元素內(nèi)容之間的包含關(guān)系,與其他元素內(nèi)容之間的包含關(guān)系相反,則當(dāng)前 防火墻策略與所述高優(yōu)先級防火墻策略之間為策略交叉重復(fù);
[0046] 第二包含關(guān)系判斷子模塊,用于當(dāng)所述當(dāng)前防火墻策略與所述高優(yōu)先級防火墻策 略的動作類型相反時,判斷所述當(dāng)前防火墻策略的五元組元素內(nèi)容與對應(yīng)的所述高優(yōu)先級 防火墻策略的五元組元素內(nèi)容之間的包含關(guān)系,
[0047] 如果所述當(dāng)前防火墻策略的五元組元素內(nèi)容全部為所述高優(yōu)先級防火墻策略的 五元組元素內(nèi)容的子集,則當(dāng)前防火墻策略與所述高優(yōu)先級防火墻策略之間為策略沖突, 如果所述當(dāng)前防火墻策略的五元組元素內(nèi)容中