基于防火墻acl的企業(yè)內部資源開放范圍分析方法
【專利摘要】本發(fā)明公開了一種基于防火墻ACL的企業(yè)內部資源開放范圍分析方法�,其特征是分為如下步驟:1對防火墻設備的策略進行解析形成策略列表�����;2根據給的內部地址資源段確定每個內部IP地址的匹配策略��;3根據匹配結果形成單個IP資源開放記錄�;4對每條IP資源開放記錄進行合并��。本發(fā)明能便于運維人員快速掌握防火墻策略的設置情況�,準確把握企業(yè)信息網內部可被外界訪問的資源清單,做好防火墻的策略優(yōu)化����,從而提升信息網絡的安全性。
【專利說明】
基于防火墻ACL的企業(yè)內部資源開放范圍分析方法
技術領域
[0001] 本發(fā)明設及信息安全和信息運維領域����,具體的說是一種基于防火墻A化的企業(yè)內 部資源開放范圍分析方法。
【背景技術】
[0002] 隨著信息安全要求的不斷提升�,企業(yè)信息內網的邊界安全越來越為重要,其中防 火墻作為承載邊界安全的重要設施���,其安全訪問策略的合理配置是保障信息內網安全的重 要基礎。
[0003] 但是在日常運維過程中�����,運維人員根據業(yè)務需求對防火墻策略進行調整,其中主 要W開通為主�,導致在一段時間后防火墻策略數目較大,策略的合理性難W保證�,不僅影響 防火墻的效率,更給內網信息安全帶來了安全隱患�����。
[0004] 為此傳統(tǒng)的運維工作中�����,信息運維人員定期對防火墻策略進行清空�����,再梳理所有 業(yè)務系統(tǒng)需要開通的訪問策略���,不僅費時而且費力���,且常常因無法及時發(fā)現防火墻的安全 漏桐而導致數據安全隱患。
【發(fā)明內容】
[0005] 本發(fā)明為解決上述現有技術存在的不足之處�,提供一種基于防火墻A化的企業(yè)內 部資源開放范圍分析方法�����,W期能便于運維人員快速掌握防火墻策略的設置情況����,準確把 握企業(yè)信息網內部可被外界訪問的資源清單�����,做好防火墻的策略優(yōu)化���,從而提升信息網絡 的安全性��。
[0006] 本發(fā)明為解決技術問題采用如下技術方案:
[0007] 本發(fā)明一種基于防火墻A化的企業(yè)內部資源開放范圍分析方法��,是應用于對防火 墻設備中所有策略的解析過程中���,其特點是按如下步驟進行:
[000引步驟1����、按照行的方式對所述防火墻設備的配置文件解析出每條策略,形成策略列 表,所述策略列表中的每條策略包含:策略序號�����、源地址��、目的地址�、服務和動作;所述策略 序號表示每條策略的優(yōu)先級;每條策略按優(yōu)先級降序排序����;
[0009] 步驟2����、設定所述防火墻設備所要保護的內部地址段集合;所述內部地址段集合包 括:單個IP地址W及連續(xù)IP地址段;
[0010] 步驟3����、根據所述策略列表中的目的地址����,對所述內部地址段集合中的每個IP地址 進行匹配,判斷每個IP地址是否屬于所述策略列表中的目的地址����;當屬于目的地址時���,執(zhí)行 步驟4;
[0011] 步驟4��、判斷已匹配的IP地址與所述策略列表中目的地址所對應的動作是否為"允 許"����,當為"允許"時�����,則記錄已匹配的IP地址W及所述策略列表中目的地址所對應的且不屬 于內部地址段的源地址和服務;從而形成內部資源開放訪問記錄表�����;
[0012] 步驟5�、根據所述內部資源開放訪問記錄表中具有相同的目的地址和服務的記錄, 將所述內部資源開放訪問記錄表中相應的源地址進行合并�,從而形成簡化的內部資源開放 訪問記錄表;
[0013] 步驟6��、根據所述簡化的內部資源開放訪問記錄表中具有相同的源地址的記錄��,將 所述內部資源開放訪問記錄表中相應的目的地址和服務進行合并�,從而形成再次簡化的內 部資源開放訪問記錄表�;W所述再次簡化的內部資源開放訪問記錄表作為企業(yè)內部資源開 放范圍的分析結果。
[0014] 與已有技術相比���,本發(fā)明的有益效果體現在:
[0015] 本發(fā)明根據防火墻的配置文件解析獲取到所有的策略列表�,再給出防火墻保護的 內部地址列表��,根據內部地址列表與策略列表進行匹配����,判斷出能被外部地址訪問的內部 地址及能被訪問的端口及協議���,使得運維人員能快速掌握防火墻策略的設置情況��,針對不 合理的資源開放及時進行處理�,從而消除了網絡安全隱患,保證了資源開放的合理性和有 效性。
【具體實施方式】
[0016] 本實施例中���,一種基于防火墻A化的企業(yè)內部資源開放范圍分析方法�,是應用于對 防火墻設備中所有策略的解析過程中�����,一般而言,防火墻的每條策略包括四個部分:源地 址�����、目的地址、訪問協議及動作����,分別定義為:
[0017] 源地址:單次訪問的數據包的來源地址,包括來源的IP地址集合及端口,其中IP地 址集合可W為連續(xù)IP地址段��、單個地址W及連續(xù)IP地址段����、單個地址或any(任何地址)的組 合;端口為該次訪問的源網絡端口�����,可W為單個端口�����、一段連續(xù)端口或單個端口��、一段連續(xù) 端口的組合。
[001引目的地址:某次訪問數據包的目標地址�����,包括目標的IP地址集合及端口����,其中IP地 址集合可W為連續(xù)IP地址段、單個地址W及續(xù)IP地址段���、單個地址段或any(任何地址)的組 合;端口為該次訪問的源網絡端口����,可W為單個端口�����、一段連續(xù)端口或單個端口����、一段連續(xù) 端口的組合。
[0019]訪問協議:單次訪問的網絡協議��,包括ICMP���,IP����、TCP及UDP或any (代表任何網絡協 議)
[0020] 動作:指防火墻對滿足該條規(guī)則的訪問的處理動作,包括拒絕和允許����。
[0021] 具體實施中,企業(yè)內部資源開放范圍分析方法是按如下步驟進行:
[0022] 步驟1��、按照行的方式對防火墻設備的配置文件解析出每條策略�,形成策略列表如 表一所示,策略列表中的每條策略包含:策略序號�、源地址、目的地址���、服務和動作;服務包 含訪問協議和開放端口;策略序號表示每條策略的優(yōu)先級;每條策略按優(yōu)先級降序排序�����;
[0023] 表一
[0024]
[0025] 例如���; 「nn*?"
[0027] 步驟2��、根據給的內部地址資源段����,設定防火墻設備所要保護的內部地址段集合; 內部地址段集合包括:單個IP地址W及連續(xù)IP地址段;并將內部地址段集合解析為單個IP 地址集合��,形成內部IP地址集合�����。
[002引其中地址IP段的解析如下:
[0029] 192.168.1.1-192.168.1.100解析為 192.168.1.1����、192.168.1.2... 192.168.1.99、 192.168.1.100.
[0030] 步驟3����、根據策略列表中的目的地址,對內部地址段集合中的每個IP地址記為dip 進行匹配�,判斷每個IP地址是否屬于策略列表中的目的地址;當屬于目的地址時��,執(zhí)行步驟 4;具體的說���,就是:
[0031] 步驟3.1���、按照策略序號順序依次從策略列表中取出一條待判斷的策略�����,記為sP�����。
[0032] 步驟3.2��、取出sP中的目的地址����,根據判斷規(guī)則�����,判斷dip是否屬于sP��,如果不屬于�����, 則判斷下一條策略�����,否則�����,執(zhí)行步驟3.3;
[0033] 判斷規(guī)則如下: 「nnoyi 1
[0036] 步驟4�����、判斷已匹配的IP地址與策略列表中目的地址所對應的動作是否為"允許"����, 當為"允許"時,則記錄已匹配的IP地址W及策略列表中目的地址所對應的且不屬于內部地 址段的源地址和服務;從而形成內部資源開放訪問記錄表;具體的說�����,
[0037] 步驟4.1���、對于步驟3.2中SP中的源地址���,剔除在內部IP地址集合中的IP地址��,形成 能訪問dip的外部地址集合��,記為sIP;
[0038] 步驟4.2���、如果3口中的動作為"允許",則^(11口�、31口、3口中訪問服務為^個元素形成 一條內部資源開放訪問記錄����,并保存;dIP、sIP���、sP分別代表可被外部訪問的內部IP地址��,被 運行的外部源IP及可訪問的服務�����;
[0039] 步驟4.3���、若內部IP地址集合中存在未處理的IP,從內部IP地址集合中取出下一個 IP地址作為dip�,跳轉步驟3.1;否則結束;
[0040] 步驟5�、為便于運維人員快速掌握內部資源開放情況,針對具有相同的dip和訪問 服務的記錄��,對SlP合并形成行的訪問記錄�,即根據內部資源開放訪問記錄表中具有相同的 目的地址和服務的記錄,將內部資源開放訪問記錄表中相應的源地址進行合并�����,從而形成 簡化的內部資源開放訪問記錄表�����;
[004���。 例如���;
[0042] 記錄1: {dip: 192.168.1.1,sip: 192.168.0.1 ,service:tcp}
[0043] 記錄2: {dip: 192.168.1.1���,sip: 192.168.2.1 ,service:udp}
[0044] 記錄3: {dip:192.168.1.1,sip:192.168.3.1-192.168.3.100,service:tcp}
[0045] 可W合并為記錄:
[0046] {dip:192.168.1.1,sip:192.168.0.1,192.168.3.1-192.168.3.100, 192.168.2.1-192.168.2.10,service:tcp}
[0047] {dip :192.168.1.1,192.168.2.1,service:udp}
[0048] 步驟6�����、再針對具有相同的sip和服務的記錄合并dip,最終形成簡潔明了的內部資 源開放記錄表��,即根據簡化的內部資源開放訪問記錄表中具有相同的源地址的記錄���,將內 部資源開放訪問記錄表中相應的目的地址和服務進行合并�,從而形成再次簡化的內部資源 開放訪問記錄表�����;W再次簡化的內部資源開放訪問記錄表作為企業(yè)內部資源開放范圍的分 析結果��。
【主權項】
1. 一種基于防火墻ACL的企業(yè)內部資源開放范圍分析方法�����,是應用于對防火墻設備中 所有策略的解析過程中�,其特征是按如下步驟進行: 步驟1、按照行的方式對所述防火墻設備的配置文件解析出每條策略���,形成策略列表�, 所述策略列表中的每條策略包含:策略序號��、源地址、目的地址����、服務和動作;所述策略序號 表示每條策略的優(yōu)先級;每條策略按優(yōu)先級降序排序�; 步驟2、設定所述防火墻設備所要保護的內部地址段集合;所述內部地址段集合包括: 單個IP地址以及連續(xù)IP地址段����; 步驟3、根據所述策略列表中的目的地址��,對所述內部地址段集合中的每個IP地址進行 匹配����,判斷每個IP地址是否屬于所述策略列表中的目的地址;當屬于目的地址時��,執(zhí)行步驟 4��; 步驟4��、判斷已匹配的IP地址與所述策略列表中目的地址所對應的動作是否為"允許"����, 當為"允許"時�,則記錄已匹配的IP地址以及所述策略列表中目的地址所對應的且不屬于內 部地址段的源地址和服務;從而形成內部資源開放訪問記錄表�����; 步驟5�����、根據所述內部資源開放訪問記錄表中具有相同的目的地址和服務的記錄�����,將所 述內部資源開放訪問記錄表中相應的源地址進行合并��,從而形成簡化的內部資源開放訪問 記錄表���; 步驟6����、根據所述簡化的內部資源開放訪問記錄表中具有相同的源地址的記錄��,將所述 內部資源開放訪問記錄表中相應的目的地址和服務進行合并����,從而形成再次簡化的內部資 源開放訪問記錄表�����;以所述再次簡化的內部資源開放訪問記錄表作為企業(yè)內部資源開放范 圍的分析結果����。
【文檔編號】H04L29/06GK105847258SQ201610179971
【公開日】2016年8月10日
【申請日】2016年3月25日
【發(fā)明人】宋敏, 李正兵, 陳浩, 王孝友, 牛景平
【申請人】國家電網公司, 國網安徽省電力公司池州供電公司