有明確列出的其他要素,或者是還包括為這種過程、方法、系統(tǒng)或者 設(shè)備所固有的要素。在沒有更多限制的情況下,由語句"包括一個(gè)……"限定的要素,并不 排除在包括所述要素的過程、方法、系統(tǒng)或者設(shè)備中還存在另外的相同要素。
[0157] 以上所述僅是本申請的【具體實(shí)施方式】,使本領(lǐng)域技術(shù)人員能夠理解或?qū)崿F(xiàn)本申 請。對這些實(shí)施例的多種修改對本領(lǐng)域的技術(shù)人員來說將是顯而易見的,本文中所定義的 一般原理可以在不脫離本申請的精神或范圍的情況下,在其它實(shí)施例中實(shí)現(xiàn)。因此,本申請 將不會被限制于本文所示的這些實(shí)施例,而是要符合與本文所公開的原理和新穎特點(diǎn)相一 致的最寬的范圍。
【主權(quán)項(xiàng)】
1. 一種防火墻策略核查方法,其特征在于,包括: 采集防火墻中的防火墻策略; 解析并標(biāo)準(zhǔn)化所述防火墻策略; 根據(jù)預(yù)先制定的核查規(guī)則核查標(biāo)準(zhǔn)化后的防火墻策略,所述核查規(guī)則根據(jù)防火墻策略 異常的性質(zhì)和核查的目的預(yù)先制定。2. 如權(quán)利要求1所述的防火墻策略核查方法,其特征在于,所述根據(jù)預(yù)先制定的核查 規(guī)則核查標(biāo)準(zhǔn)化后的防火墻策略信息,包括: 按組號對防火墻策略進(jìn)行分組; 依次核查每組防火墻策略,對同一組內(nèi)的每一條防火墻策略: 判斷當(dāng)前防火墻策略的目的地址是否為Any或超過預(yù)設(shè)的地址范圍; 判斷當(dāng)前防火墻策略的目的端口是否為Any或超過預(yù)設(shè)的端口范圍; 判斷當(dāng)前防火墻策略的目的端口是否包含管理端口; 依次比較當(dāng)前防火墻策略與高優(yōu)先級防火墻策略,判斷所述當(dāng)前防火墻策略與所述高 優(yōu)先級防火墻策略之間是否為策略沖突、策略重復(fù)、策略交叉沖突或者策略交叉重復(fù),所述 高優(yōu)先級防火墻策略為優(yōu)先級高于所述當(dāng)前防火墻策略的其他防火墻策略。3. 如權(quán)利要求2所述的防火墻策略核查方法,其特征在于,所述判斷所述當(dāng)前防火墻 策略與所述高優(yōu)先級防火墻策略之間是否為策略沖突、策略重復(fù)、策略交叉沖突或者策略 交叉重復(fù),包括: 判斷所述當(dāng)前防火墻策略與所述高優(yōu)先級防火墻策略的動(dòng)作類型是否一致; 當(dāng)所述當(dāng)前防火墻策略與所述高優(yōu)先級防火墻策略的動(dòng)作類型一致時(shí),判斷所述當(dāng)前 防火墻策略的五元組元素內(nèi)容與對應(yīng)的所述高優(yōu)先級防火墻策略的五元組元素內(nèi)容之間 的包含關(guān)系, 如果所述當(dāng)前防火墻策略的五元組元素內(nèi)容全部為所述高優(yōu)先級防火墻策略的五元 組元素內(nèi)容的子集,則所述當(dāng)前防火墻策略與所述高優(yōu)先級防火墻策略之間為策略重復(fù), 如果所述當(dāng)前防火墻策略的五元組元素內(nèi)容中存在至少一個(gè)元素內(nèi)容與對應(yīng)的高優(yōu)先級 防火墻策略的元素內(nèi)容之間的包含關(guān)系,與其他元素內(nèi)容之間的包含關(guān)系相反,則當(dāng)前防 火墻策略與所述高優(yōu)先級防火墻策略之間為策略交叉重復(fù); 當(dāng)所述當(dāng)前防火墻策略與所述高優(yōu)先級防火墻策略的動(dòng)作類型相反時(shí),判斷所述當(dāng)前 防火墻策略的五元組元素內(nèi)容與對應(yīng)的所述高優(yōu)先級防火墻策略的五元組元素內(nèi)容之間 的包含關(guān)系, 如果所述當(dāng)前防火墻策略的五元組元素內(nèi)容全部為所述高優(yōu)先級防火墻策略的五元 組元素內(nèi)容的子集,則當(dāng)前防火墻策略與所述高優(yōu)先級防火墻策略之間為策略沖突,如果 所述當(dāng)前防火墻策略的五元組元素內(nèi)容中存在至少一個(gè)元素內(nèi)容與對應(yīng)的高優(yōu)先級防火 墻策略的元素內(nèi)容之間的包含關(guān)系,與其他元素內(nèi)容之間的包含關(guān)系相反,則當(dāng)前防火墻 策略與所述高優(yōu)先級防火墻策略之間為策略交叉沖突, 其中,所述五元組元素內(nèi)容為協(xié)議、目的地址、目的端口、源地址和源端口。4. 如權(quán)利要求1所述的防火墻策略核查方法,其特征在于,還包括命中數(shù)核查,所述命 中數(shù)核查包括: 米集防火墻策略在第一時(shí)間點(diǎn)和第二時(shí)間點(diǎn)的命中數(shù); 計(jì)算第一時(shí)間點(diǎn)的命中數(shù)和第二時(shí)間點(diǎn)的命中數(shù)的差值; 根據(jù)所述差值判斷所述防火墻策略的活躍度。5. 如權(quán)利要求1所述的防火墻策略核查方法,其特征在于,還包括白名單核查,所述白 名單核查包括: 獲取防火墻的白名單; 比較防火墻的防火墻策略與所述白名單,判斷防火墻策略與所述白名單的匹配度。6. -種防火墻策略核查系統(tǒng),其特征在于,包括: 防火墻策略米集單兀,用于米集防火墻中的防火墻策略; 防火墻策略標(biāo)準(zhǔn)化單元,用于解析并標(biāo)準(zhǔn)化所述防火墻策略; 防火墻策略異常核查單元,用于根據(jù)預(yù)先制定的核查規(guī)則核查標(biāo)準(zhǔn)化后的防火墻策 略,所述核查規(guī)則根據(jù)防火墻策略異常的性質(zhì)和核查的目的預(yù)先制定。7. 如權(quán)利要求6所述的防火墻策略核查系統(tǒng),其特征在于,所述防火墻策略核查單元, 包括: 分組子單元,用于按組號對防火墻策略進(jìn)行分組; 核查子單元,用于依次核查每組防火墻策略,所述核查子單元包括: 第一判斷模塊,用于判斷當(dāng)前防火墻策略的目的地址是否為Any或超過預(yù)設(shè)的地址范 圍; 第二判斷模塊,用于判斷當(dāng)前防火墻策略的目的端口是否為Any或超過預(yù)設(shè)的端口范 圍; 第三判斷模塊,用于判斷當(dāng)前防火墻策略的目的端口是否包含管理端口; 比較模塊,用于依次比較當(dāng)前防火墻策略與優(yōu)先級高于所述當(dāng)前防火墻策略的其他防 火墻策略; 第四判斷模塊,用于判斷所述當(dāng)前防火墻策略與所述當(dāng)前高優(yōu)先級防火墻策略之間是 否為策略沖突、策略重復(fù)、策略交叉沖突或者策略交叉重復(fù)。8. 如權(quán)利要求7所述的防火墻策略核查系統(tǒng),其特征在于,所述第四判斷模塊,包括: 動(dòng)作類型判斷子模塊,用于判斷所述當(dāng)前防火墻策略與所述高優(yōu)先級防火墻策略的動(dòng) 作類型是否一致; 第一包含關(guān)系判斷子模塊,用于當(dāng)所述當(dāng)前防火墻策略與所述高優(yōu)先級防火墻策略的 動(dòng)作類型一致時(shí),判斷所述當(dāng)前防火墻策略的五元組元素內(nèi)容與對應(yīng)的所述高優(yōu)先級防火 墻策略的五元組元素內(nèi)容之間的包含關(guān)系, 如果所述當(dāng)前防火墻策略的五元組元素內(nèi)容全部為所述高優(yōu)先級防火墻策略的五元 組元素內(nèi)容的子集,則所述當(dāng)前防火墻策略與所述高優(yōu)先級防火墻策略之間為策略重復(fù), 如果所述當(dāng)前防火墻策略的五元組元素內(nèi)容中存在至少一個(gè)元素內(nèi)容與對應(yīng)的高優(yōu)先級 防火墻策略的元素內(nèi)容之間的包含關(guān)系,與其他元素內(nèi)容之間的包含關(guān)系相反,則當(dāng)前防 火墻策略與所述高優(yōu)先級防火墻策略之間為策略交叉重復(fù); 第二包含關(guān)系判斷子模塊,用于當(dāng)所述當(dāng)前防火墻策略與所述高優(yōu)先級防火墻策略的 動(dòng)作類型相反時(shí),判斷所述當(dāng)前防火墻策略的五元組元素內(nèi)容與對應(yīng)的所述高優(yōu)先級防火 墻策略的五元組元素內(nèi)容之間的包含關(guān)系, 如果所述當(dāng)前防火墻策略的五元組元素內(nèi)容全部為所述高優(yōu)先級防火墻策略的五元 組元素內(nèi)容的子集,則當(dāng)前防火墻策略與所述高優(yōu)先級防火墻策略之間為策略沖突,如果 所述當(dāng)前防火墻策略的五元組元素內(nèi)容中存在至少一個(gè)元素內(nèi)容與對應(yīng)的高優(yōu)先級防火 墻策略的元素內(nèi)容之間的包含關(guān)系,與其他元素內(nèi)容之間的包含關(guān)系相反,則當(dāng)前防火墻 策略與所述高優(yōu)先級防火墻策略之間為策略交叉沖突, 其中,所述五元組元素內(nèi)容為協(xié)議、目的地址、目的端口、源地址和源端口。9. 如權(quán)利要求6所述的防火墻策略核查系統(tǒng),其特征在于,還包括命中數(shù)核查單元,所 述命中數(shù)核查單元包括: 命中數(shù)采集子單元,用于采集防火墻策略在第一時(shí)間點(diǎn)和第二時(shí)間點(diǎn)的命中數(shù); 差值計(jì)算子單元,計(jì)算第一時(shí)間點(diǎn)的命中數(shù)和第二時(shí)間點(diǎn)的命中數(shù)的差值; 活躍度判定子單元,用于根據(jù)所述差值判斷所述防火墻策略的活躍度。10. 如權(quán)利要求6所述的防火墻策略核查系統(tǒng),其特征在于,還包括白名單核查單元, 所述白名單核查單元包括: 白名單獲取子單元,用于獲取防火墻的白名單; 匹配度判定子單元,用于比較防火墻的防火墻策略與所述白名單,判斷防火墻策略與 所述白名單的匹配度。
【專利摘要】本申請實(shí)施例公開了一種防火墻策略核查方法和系統(tǒng)。所述方法包括:采集防火墻中的防火墻策略;解析并標(biāo)準(zhǔn)化所述防火墻策略;根據(jù)預(yù)先制定的核查規(guī)則核查標(biāo)準(zhǔn)化后的防火墻策略,所述核查規(guī)則根據(jù)防火墻策略異常的性質(zhì)和核查的目的預(yù)先制定。通過采集防火墻的防火墻策略后,解析防火墻策略將防火墻策略標(biāo)準(zhǔn)化,針對標(biāo)準(zhǔn)化的防火墻策略制訂核查規(guī)則進(jìn)行核查,從而實(shí)現(xiàn)防火墻策略的自動(dòng)化核查,提高防火墻策略核查的效率并且能夠覆蓋所有防火墻策略,通過核查規(guī)則的制訂可以提高防火墻策略核查的正確性。
【IPC分類】H04L29/06, H04L12/26, H04L12/24
【公開號】CN105721188
【申請?zhí)枴緾N201410730406
【發(fā)明人】肖勇軍, 劉甲旺, 陳浩, 李金偉, 高峰, 張建軍, 蘇砫, 鮑自敏
【申請人】北京神州泰岳信息安全技術(shù)有限公司
【公開日】2016年6月29日
【申請日】2014年12月4日