存在至少一個(gè)元素內(nèi)容與對(duì)應(yīng)的高優(yōu)先級(jí) 防火墻策略的元素內(nèi)容之間的包含關(guān)系,與其他元素內(nèi)容之間的包含關(guān)系相反,則當(dāng)前防 火墻策略與所述高優(yōu)先級(jí)防火墻策略之間為策略交叉沖突,
[0048] 其中,所述五元組元素內(nèi)容為協(xié)議、目的地址、目的端口、源地址和源端口。
[0049] 可選的,所述的防火墻策略核查系統(tǒng),還包括命中數(shù)核查單元,所述命中數(shù)核查單 元包括:
[0050] 命中數(shù)采集子單元,用于采集防火墻策略在第一時(shí)間點(diǎn)和第二時(shí)間點(diǎn)的命中數(shù);
[0051] 差值計(jì)算子單元,計(jì)算第一時(shí)間點(diǎn)的命中數(shù)和第二時(shí)間點(diǎn)的命中數(shù)的差值;
[0052] 活躍度判定子單元,用于根據(jù)所述差值判斷所述防火墻策略的活躍度。
[0053] 可選的,所述的防火墻策略核查系統(tǒng),還包括白名單核查單元,所述白名單核查單 元包括:
[0054] 白名單獲取子單元,用于獲取防火墻的白名單;
[0055] 匹配度判定子單元,用于比較防火墻的防火墻策略與所述白名單,判斷防火墻策 略與所述白名單的匹配度。
[0056] 本申請(qǐng)實(shí)施例提供的技術(shù)方案可以包括以下有益效果:采集防火墻的防火墻策略 后,解析防火墻策略將防火墻策略標(biāo)準(zhǔn)化,針對(duì)標(biāo)準(zhǔn)化的防火墻策略制訂核查規(guī)則進(jìn)行核 查,從而實(shí)現(xiàn)防火墻策略的自動(dòng)化核查,提高防火墻策略核查的效率并且能夠覆蓋所有防 火墻策略,通過(guò)核查規(guī)則的制訂可以提高防火墻策略核查的正確性。
[0057] 應(yīng)當(dāng)理解的是,以上的一般描述和后文的細(xì)節(jié)描述僅是示例性和解釋性的,并不 能限制本申請(qǐng)。
【附圖說(shuō)明】
[0058] 為了更清楚地說(shuō)明本申請(qǐng)實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例或現(xiàn) 有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹,顯而易見地,對(duì)于本領(lǐng)域普通技術(shù)人員而 言,在不付出創(chuàng)造性勞動(dòng)性的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
[0059] 圖1為本申請(qǐng)一示例性實(shí)施例示出的一種防火墻策略核查方法的流程示意圖;
[0060] 圖2為圖1中步驟S103的一示例性流程示意圖;
[0061] 圖3本申請(qǐng)另一示例性實(shí)施例示出的一種防火墻策略核查方法的流程示意圖;
[0062] 圖4為本申請(qǐng)一示例性實(shí)施例示出的一種防火墻策略核查系統(tǒng)的框圖;
[0063] 圖5為本申請(qǐng)另一示例性實(shí)施例示出的一種防火墻策略核查系統(tǒng)的框圖。
【具體實(shí)施方式】
[0064] 這里將詳細(xì)地對(duì)示例性實(shí)施例進(jìn)行說(shuō)明,其示例表示在附圖中。下面的描述涉及 附圖時(shí),除非另有表示,不同附圖中的相同數(shù)字表示相同或相似的要素。以下示例性實(shí)施例 中所描述的實(shí)施方式并不代表與本申請(qǐng)相一致的所有實(shí)施方式。相反,它們僅是與如所附 權(quán)利要求書中所詳述的、本申請(qǐng)的一些方面相一致的系統(tǒng)和方法的例子。
[0065] 為了全面理解本申請(qǐng),在以下詳細(xì)描述中提到了眾多具體的細(xì)節(jié),但是本領(lǐng)域技 術(shù)人員應(yīng)該理解,本申請(qǐng)可以無(wú)需這些具體細(xì)節(jié)而實(shí)現(xiàn)。在其他實(shí)施例中,不詳細(xì)描述公知 的方法、過(guò)程、組件和電路,以免不必要地導(dǎo)致實(shí)施例模糊。
[0066] 根據(jù)本申請(qǐng)實(shí)施例的第一方面,提供一種防火墻策略核查方法。圖1為本申請(qǐng)一 示例性實(shí)施例示出的一種防火墻策略核查方法的流程示意圖,如圖1所示,所述方法包括:
[0067] 步驟S101,采集防火墻中的防火墻策略。
[0068] 其中,需要對(duì)某個(gè)業(yè)務(wù)系統(tǒng)的防火墻進(jìn)行檢查,核查防火墻的防火墻策略時(shí),得到 所述業(yè)務(wù)系統(tǒng)內(nèi)所有防火墻信息,根據(jù)所述防火墻信息能夠得知防火墻與外部設(shè)備的所有 網(wǎng)絡(luò)連接方式和使用的網(wǎng)絡(luò)協(xié)議,將探測(cè)程序(Probe)作為外部設(shè)備使用相同的網(wǎng)絡(luò)連接 方式和網(wǎng)絡(luò)協(xié)議建立與防火墻的連接,例如Teln et、SSH(SeCure Shell,安全外殼協(xié)議)和 RDP(Remote Desktop Protocol,遠(yuǎn)程桌面協(xié)議)連接等,通過(guò)所述網(wǎng)絡(luò)連接,探測(cè)程序能夠 采集到防火墻的防火墻策略。其中,探測(cè)程序可以使用常規(guī)的防火墻探測(cè)程序。在一種優(yōu) 選的實(shí)施方式中,探測(cè)程序分布式的并發(fā)建立與防火墻的網(wǎng)絡(luò)連接,從而可以快速全面地 采集到防火墻策略,提高采集的效率。由于防火墻有多種不同的類型,不同類型的防火墻, 防火墻策略包含的信息和信息的格式大多數(shù)是相同的,但也存在不同的部分,因此,采集防 火墻策略時(shí),根據(jù)被檢查防火墻的類型,使用對(duì)應(yīng)地讀取格式采集防火墻策略。所采集的防 火墻策略的信息包括:組號(hào)、編號(hào)、動(dòng)作類型、協(xié)議類型、源地址、源端口、目的地址、目的端 口等。
[0069] 使用探測(cè)程序采集完畢后,斷開探測(cè)程序和防火墻的網(wǎng)絡(luò)連接,即結(jié)束采集。所采 集的防火墻策略保存于數(shù)據(jù)庫(kù)中。
[0070] 步驟S102,解析并標(biāo)準(zhǔn)化所述防火墻策略。
[0071] 其中,為了便于后續(xù)的核查,需將防火墻策略進(jìn)行解析,并根據(jù)解析的結(jié)果將防火 墻策略標(biāo)準(zhǔn)化。所述解析為得到防火墻策略的元素內(nèi)容,包括組號(hào)、組描述、編號(hào)、動(dòng)作類 型、協(xié)議類型、源地址、源端口、目的地址、目的端口、服務(wù)等基本字段,并且將防火墻策略缺 省的字段補(bǔ)全。解析防火墻策略包括:
[0072] (al)讀取防火墻策略的配置文件;
[0073] (a2)將預(yù)先定義的正則表達(dá)式和所述配置文件的內(nèi)容進(jìn)行匹配,得到與所述正則 表達(dá)式匹配成功的防火墻策略的元素內(nèi)容。
[0074] 所述正則表達(dá)式根據(jù)防火墻策略所包含的元素內(nèi)容和元素內(nèi)容的格式預(yù)先定義, 例如對(duì)于組號(hào),定義對(duì)應(yīng)的組號(hào)正則表達(dá)式,對(duì)于目的地址,定義對(duì)應(yīng)的目的地址正則表達(dá) 式。在讀取防火墻策略的配置文件的過(guò)程中,將預(yù)先定義的各個(gè)正則表達(dá)式與讀取的配置 文件的內(nèi)容進(jìn)行匹配,與某個(gè)正則表達(dá)式匹配的,即是與該正則表達(dá)式對(duì)應(yīng)的元素內(nèi)容,并 將所述對(duì)應(yīng)的元素內(nèi)容截取保存,例如,與組號(hào)正則表達(dá)式匹配的為組號(hào),從而得到當(dāng)前讀 取的防火墻策略的組號(hào),將解析到的組號(hào)進(jìn)行保存。
[0075] 除了解析防火墻策略的元素內(nèi)容,還可以根據(jù)核查的需要進(jìn)行地址組解析、端口 組解析和服務(wù)組解析。地址組解析為將地址組內(nèi)所有的IP地址逐個(gè)解析出來(lái);端口組解析 為將端口組內(nèi)所有的端口逐個(gè)解析出來(lái),主要針對(duì)華為、思科類型的防火墻的防火墻策略; 服務(wù)解析為將服務(wù)名中包含的信息解析出來(lái),主要針對(duì)Juniper防火墻。地址組解析、端口 組解析和服務(wù)組解析的結(jié)果可以供防火墻管理員在配置防火墻策略時(shí)作為參考。
[0076] 由于采集得到的不同的防火墻策略的原始信息可能各不相同,解析得到的防火墻 策略的同一類元素內(nèi)容的格式也不一致,為便于進(jìn)行統(tǒng)一的自動(dòng)核查,需要將解析得到的 防火墻策略的元素內(nèi)容標(biāo)準(zhǔn)化。所述標(biāo)準(zhǔn)化可以使用正則表達(dá)式或者其他規(guī)則將解析得到 的防火墻策略的元素內(nèi)容標(biāo)準(zhǔn)化。例如,對(duì)于不同廠商提供的防火墻策略,其中的元素內(nèi)容 格式、排列順序等不一致,采集防火墻中的防火墻策略后,將防火墻策略的元素內(nèi)容按統(tǒng)一 的訪問(wèn)控制列表(Access Control List,ACL)標(biāo)示,例如ACL(組名、組號(hào)、動(dòng)作、協(xié)議、源地 址、源端口、目的地址、目的端口)。
[0077] 步驟S103,根據(jù)預(yù)先制定的核查規(guī)則核查標(biāo)準(zhǔn)化后的防火墻策略,所述核查規(guī)則 根據(jù)防火墻策略異常的性質(zhì)和核查的目的預(yù)先制定。
[0078] 其中,防火墻策略的異常通常包括目的地址異常、目的端口異常、策略重復(fù)、策略 沖突、策略交叉重復(fù)、策略交叉沖突等,根據(jù)異常的性質(zhì)能夠相應(yīng)地制定核查規(guī)則,來(lái)核查 出對(duì)應(yīng)的異常,例如表1所示:
[0079] 表1核查規(guī)則
[0080]
[0081] 對(duì)防火墻策略進(jìn)行核查,可以針對(duì)防火墻策略的部分異常情況進(jìn)行核查,也可以 針對(duì)防火墻策略的所有可能的異常情況進(jìn)行核查,可以根據(jù)核查的需要和目的選擇核查規(guī) 則的多少。圖2為步驟S103的一示例性流程示意圖,如圖2所示,所述根據(jù)預(yù)先制定的核 查規(guī)則核查標(biāo)準(zhǔn)化后的防火墻策略信息,可以包括:
[0082] 步驟S131,按組號(hào)對(duì)防火墻策略進(jìn)行分組。
[0083] 其中,通常對(duì)防火墻策略分組后,防火墻策略會(huì)按組號(hào)順序排列或者優(yōu)先級(jí)高低 順序排列。
[0084] 步驟S132,依次核查每組防火墻策略,對(duì)同一組內(nèi)的每一條防火墻策略,執(zhí)行如下 步驟:
[0085]