【技术实现步骤摘要】
一种防火墙策略集中优化管理方法及其系统
本专利技术涉及防火墙策略
,具体是一种防火墙策略集中优化管理方法及其系统。
技术介绍
防火墙作为电力公司内外网重要的安全防护设备一直以来都是信息安全管理的基本工具之一,防火墙按照工作层级分类主要分为包过滤防火墙和应用级防火墙,包过滤防火墙作为安全管理人员最熟悉的防火墙,其安装部署方便,策略设置简单,因此得到大面积应用。随着公司信息安全管理的日益严格,各类网络边界安全防护越来越严格,加之信息系统不断上马,防火墙的ACL策略也变得日益复杂。防火墙策略管理一直以来都是安全运维工作的重要组成部分,随着电力公司信息网规模的不断扩大,网络边界的不断增加,使用的防火墙设备也不断增多,但防火墙设备品牌众多,同时每个防火墙策略数以万计,若每条策略都在防火墙内人工配置,安全运维人员不仅要熟悉每个厂家、每个品牌的配置规则,同时还难以发现策略之间可能存在的冲突,客观上增加了防火墙策略维护难度。现有技术CN105959331A提供了一种防火墙策略的优化方法及装置,其中所述优化方法包括:构建防火墙策略信息库和应用信息库,所述防火墙策略信息库包括至...
【技术保护点】
1.一种防火墙策略集中优化管理方法,其特征在于,该方法包括以下步骤:S1、定制策略转化规则进行规则转换,定义防火墙策略模型;S2、初始化现有设备;S3、集中管理和分发策略;S4、定期检测策略并更新策略集合,策略检测完成后继续分发策略。
【技术特征摘要】
1.一种防火墙策略集中优化管理方法,其特征在于,该方法包括以下步骤:S1、定制策略转化规则进行规则转换,定义防火墙策略模型;S2、初始化现有设备;S3、集中管理和分发策略;S4、定期检测策略并更新策略集合,策略检测完成后继续分发策略。2.根据权利要求1所述的一种防火墙策略集中优化管理方法,其特征在于,所述S1中定制策略转化规则进行规则转换包括通过各厂家防火墙访问策略定义格式中对基础防火墙策略的聚合处理确定标准模型以适配各个厂家、各个型号的防火墙策略,所述S1中定义防火墙策略模型包括定义该模型由协议类型、源IP地址集合、源端口集合、目的IP地址集合、目的端口集合和动作六个域组成,其中,源IP地址、源端口、目的IP地址与目的端口均为集合,以满足地址段、端口段的批量处理。3.根据权利要求1所述的一种防火墙策略集中优化管理方法,其特征在于,所述S2初始化现有设备包括以下步骤:S21、定期通过ssh连接防火墙设备获取防火墙配置文件并将策略根据所述S1定义的策略模型转化为防火墙策略模型进行存储;S22、定期通过ssh连接防火墙设备获取防火墙配置文件并针对不同类型的防火墙设备根据所述S1定制策略转化规则进行规则转换,形成标准模型策略;S23、针对新上线的设备,防火墙配置在系统中进行统一维护完成初始化。4.根据权利要求1所述的一种防火墙策略集中优化管理方法,其特征在于,所述S3中集中管理和分发策略包括以下步骤:S31、策略间无效配置检测,其检测规则包括:S311、协议类型一致,源地址集合、源端口集合同时存在交集,目的地址集合、目的端口集合同时存在交集,但动作域不一致;S312、序号小的策略中的协议类型为IP,序号大的策略中的协议类型为TCP或UDP,源地址集合、源端口集合同时存在交集,目的地址集合、目的端口集合同时存在交集,但动作域不一致;根据S311和S312检测出的有冲突的策略,则冲突的策略间存在无效策略;S32、策略不合理配置检测,其检测规则包括:S321、协议类型一致或第一策略协议为IP、第二策略协议类型为TCP/UDP,第一策略的源地址集合、源端口集合包含第二策略的源地址集合、源端口集合,第一策略的目的地址集合、目的端口集合包含第二策略的目的地址集合、目的端口集合,则标记第二策略为待合并策略;S322、协议类型一致或第一策略协议为IP、第二策略协议类型为TCP/UDP,第一策...
【专利技术属性】
技术研发人员:蔡梦臣,王萍,胡聪,吴斌,张亮,方圆,蒋明,徐敏,管建超,
申请(专利权)人:蔡梦臣,
类型:发明
国别省市:天津,12
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。