本发明专利技术公开了一种防火墙策略集中优化管理方法及其系统,该方法包括以下步骤:S1、定制策略转化规则进行规则转换,定义防火墙策略模型;S2、初始化现有设备;S3、集中管理和分发策略;S4、定期检测策略并更新策略集合,策略检测完成后继续分发策略。本发明专利技术还公开了一种防火墙策略集中优化管理系统,包括模型定义模块、初始化模块、集中管理模块、分发模块、一致性检测模块和处理器。本发明专利技术的防火墙集中优化管理方法和系统,能兼容解析多种品牌防火墙设备,且通过设定的合理策略模型对防火墙设备智能监测。
【技术实现步骤摘要】
一种防火墙策略集中优化管理方法及其系统
本专利技术涉及防火墙策略
,具体是一种防火墙策略集中优化管理方法及其系统。
技术介绍
防火墙作为电力公司内外网重要的安全防护设备一直以来都是信息安全管理的基本工具之一,防火墙按照工作层级分类主要分为包过滤防火墙和应用级防火墙,包过滤防火墙作为安全管理人员最熟悉的防火墙,其安装部署方便,策略设置简单,因此得到大面积应用。随着公司信息安全管理的日益严格,各类网络边界安全防护越来越严格,加之信息系统不断上马,防火墙的ACL策略也变得日益复杂。防火墙策略管理一直以来都是安全运维工作的重要组成部分,随着电力公司信息网规模的不断扩大,网络边界的不断增加,使用的防火墙设备也不断增多,但防火墙设备品牌众多,同时每个防火墙策略数以万计,若每条策略都在防火墙内人工配置,安全运维人员不仅要熟悉每个厂家、每个品牌的配置规则,同时还难以发现策略之间可能存在的冲突,客观上增加了防火墙策略维护难度。现有技术CN105959331A提供了一种防火墙策略的优化方法及装置,其中所述优化方法包括:构建防火墙策略信息库和应用信息库,所述防火墙策略信息库包括至少一防火墙策略信息,所述应用信息库包括至少一应用信息;从所述应用信息库中查询所述防火墙策略信息对应的应用信息,并将所述防火墙策略信息及所述防火墙策略信息对应的应用信息添加至应用策略信息库。该技术在于采用数据库形式构建策略信息库,通过策略比对匹配完成策略管理等,降低了防火墙策略维护的工作量。但是针对市场上各厂家个品牌的防火墙设备均采用不同的策略且其建立于防火墙基础策略的聚合处理,存在一定的相似性,采用数据库构建的策略信息需要足够大的数量和范围才能完成策略优化和管理,降低了防火墙策略管理的可读性且不适合多种设备的集中管理。针对此情况,本方法给出一种防火墙策略集中管理方法,实现策略的统一采集、集中管理、策略优化与自动分配,极大提升安全运维人员防火墙管理效率。
技术实现思路
本专利技术的目的在于提供一种防火墙策略集中优化管理方法及其系统,以解决上述
技术介绍
中提出的防火墙策略复杂、维护难度高,现有的策略管理中策略可读性低、不适用于多种设备的集中管理的问题。为实现上述目的,本专利技术提供如下技术方案:一种防火墙策略集中优化管理方法,该方法包括以下步骤:S1、定制策略转化规则进行规则转换,定义防火墙策略模型;S2、初始化现有设备;S3、集中管理和分发策略;S4、定期检测策略并更新策略集合,策略检测完成后继续分发策略。优选的,所述S1中定制策略转化规则进行规则转换包括通过各厂家防火墙访问策略定义格式中对基础防火墙策略的聚合处理确定标准模型以适配各个厂家、各个型号的防火墙策略,所述S1中定义防火墙策略模型包括定义该模型由协议类型、源IP地址集合、源端口集合、目的IP地址集合、目的端口集合和动作六个域组成,其中,源IP地址、源端口、目的IP地址与目的端口均为集合,以满足地址段、端口段的批量处理。优选的,所述S2初始化现有设备包括以下步骤:S21、定期通过ssh连接防火墙设备获取防火墙配置文件并将策略根据所述S1定义的策略模型转化为防火墙策略模型进行存储;S22、定期通过ssh连接防火墙设备获取防火墙配置文件并针对不同类型的防火墙设备根据所述S1定制策略转化规则进行规则转换,形成标准模型策略;S23、针对新上线的设备,防火墙配置在系统中进行统一维护完成初始化。优选的,所述S3中集中管理和分发策略包括以下步骤:S31、策略间无效配置检测,其检测规则包括:S311、协议类型一致,源地址集合、源端口集合同时存在交集,目的地址集合、目的端口集合同时存在交集,但动作域不一致;S312、序号小的策略中的协议类型为IP,序号大的策略中的协议类型为TCP或UDP,源地址集合、源端口集合同时存在交集,目的地址集合、目的端口集合同时存在交集,但动作域不一致;根据S311和S312检测出的有冲突的策略,则冲突的策略间存在无效策略;S32、策略不合理配置检测,其检测规则包括:S321、协议类型一致或第一策略协议为IP、第二策略协议类型为TCP/UDP,第一策略的源地址集合、源端口集合包含第二策略的源地址集合、源端口集合,第一策略的目的地址集合、目的端口集合包含第二策略的目的地址集合、目的端口集合,则标记第二策略为待合并策略;S322、协议类型一致或第一策略协议为IP、第二策略协议类型为TCP/UDP,第一策略的源地址集合、源端口集合被包含在第二策略的源地址集合、源端口集合,第一策略的目的地址集合、目的端口集合被包含第二策略的目的地址集合、目的端口集合,则标记第一和第二策略为待拆分策对;S33、分发策略,通过S31和S32对策略集合进行合理性检测后,将策略结合根据防火墙设备类型转换为特定格式的配置文件并通过SSH连接防火墙设备推送配置文件。优选的,所述S4中定期检测策略并更新策略集合包括以下步骤:S41、定期通过SSH连接防火墙设备获取防火墙配置文件,并解析为策略集合;S42、将解析到的策略集合与集中管理的策略集合逐条逐项进行一致性比对,发现差异时给出提示;S43、管理员接收提示后,对差异策略进行选择,如保留设备内的策略,则更新集中管理的策略集合;S44、通过S41、S42和S43完成一致性比对后再继续进行所述S3中策略集中管理的合理性检测与策略分发。本专利技术还公开了一种防火墙策略集中优化管理系统,包括:模型定义模块,用于定义防火墙策略模型;初始化模块,用于获取现有设备配置文件并进行初始化;集中管理模块,用于策略的集中管理,其包括检测策略建无效配置的无效配置检测单元和检测策略合理性的不合理配置检测单元;分发模块,用于分发策略;一致性检测模块,用于检测策略的一致性;以及处理器,用于处理各功能模块和存储数据;其中,模型定义模块和初始化模块分别电性连接处理器,无效配置检测单元和不合理配置检测单元分别逐一与初始化模块和处理器电性连接,分发模块电性连接处理器,一致性检测模块分别与初始化模块、分发模块和处理器电性连接。优选的,所述初始化模块包括获取设备配置文件的配置获取单元和初始化设备的初始化单元,配置获取单元电性连接初始化单元和一致性检测模块用于对获取的配置文件初始化和检测防火墙设备的策略一致性,初始化单元电性连接无效配置检测单元、不合理配置检测单元和处理器用于检测策略合理性和无效性。优选的,所述一致性检测模块包括策略解析单元和策略比对单元,策略解析单元电性连接配置获取单元用于将配置文件解析为策略集合,策略比对单元电性连接策略解析单元和处理器用于将设备配置文件解析的策略集合与集中管理的策略集合进行逐一逐项比对与现有技术相比,本专利技术的有益效果是:1)本专利技术通过模型定义模块根据防火墙基础策略定义策略模型,并通过获取防火墙设备的配置信息根据策略模型进行集中优化管理,实现对不同品牌的防火墙设备,包括天融信、迪普、启明星辰、山石网科、天津汉柏、杭州华三、思科等配置进行精准解析以达到集中优化的目的,解决因防火墙策略复杂导致的集中优化管理困难的问题;2)本专利技术通过人工制定策略合规性准则,包括源地址范围、目的地址范围及目的端口颗粒度等,在防火墙策略集中优化管理中利用该准则自动对防火墙策略配置进行检测,对不合规策略提示管本文档来自技高网...
【技术保护点】
1.一种防火墙策略集中优化管理方法,其特征在于,该方法包括以下步骤:S1、定制策略转化规则进行规则转换,定义防火墙策略模型;S2、初始化现有设备;S3、集中管理和分发策略;S4、定期检测策略并更新策略集合,策略检测完成后继续分发策略。
【技术特征摘要】
1.一种防火墙策略集中优化管理方法,其特征在于,该方法包括以下步骤:S1、定制策略转化规则进行规则转换,定义防火墙策略模型;S2、初始化现有设备;S3、集中管理和分发策略;S4、定期检测策略并更新策略集合,策略检测完成后继续分发策略。2.根据权利要求1所述的一种防火墙策略集中优化管理方法,其特征在于,所述S1中定制策略转化规则进行规则转换包括通过各厂家防火墙访问策略定义格式中对基础防火墙策略的聚合处理确定标准模型以适配各个厂家、各个型号的防火墙策略,所述S1中定义防火墙策略模型包括定义该模型由协议类型、源IP地址集合、源端口集合、目的IP地址集合、目的端口集合和动作六个域组成,其中,源IP地址、源端口、目的IP地址与目的端口均为集合,以满足地址段、端口段的批量处理。3.根据权利要求1所述的一种防火墙策略集中优化管理方法,其特征在于,所述S2初始化现有设备包括以下步骤:S21、定期通过ssh连接防火墙设备获取防火墙配置文件并将策略根据所述S1定义的策略模型转化为防火墙策略模型进行存储;S22、定期通过ssh连接防火墙设备获取防火墙配置文件并针对不同类型的防火墙设备根据所述S1定制策略转化规则进行规则转换,形成标准模型策略;S23、针对新上线的设备,防火墙配置在系统中进行统一维护完成初始化。4.根据权利要求1所述的一种防火墙策略集中优化管理方法,其特征在于,所述S3中集中管理和分发策略包括以下步骤:S31、策略间无效配置检测,其检测规则包括:S311、协议类型一致,源地址集合、源端口集合同时存在交集,目的地址集合、目的端口集合同时存在交集,但动作域不一致;S312、序号小的策略中的协议类型为IP,序号大的策略中的协议类型为TCP或UDP,源地址集合、源端口集合同时存在交集,目的地址集合、目的端口集合同时存在交集,但动作域不一致;根据S311和S312检测出的有冲突的策略,则冲突的策略间存在无效策略;S32、策略不合理配置检测,其检测规则包括:S321、协议类型一致或第一策略协议为IP、第二策略协议类型为TCP/UDP,第一策略的源地址集合、源端口集合包含第二策略的源地址集合、源端口集合,第一策略的目的地址集合、目的端口集合包含第二策略的目的地址集合、目的端口集合,则标记第二策略为待合并策略;S322、协议类型一致或第一策略协议为IP、第二策略协议类型为TCP/UDP,第一策...
【专利技术属性】
技术研发人员:蔡梦臣,王萍,胡聪,吴斌,张亮,方圆,蒋明,徐敏,管建超,
申请(专利权)人:蔡梦臣,
类型:发明
国别省市:天津,12
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。