防火墙策略查询、弹性伸缩方法及系统、设备、存储介质技术方案

本发明专利技术涉及一种防火墙策略查询、弹性伸缩方法及系统、设备、存储介质，防火墙策略查询方法，包括：S1.获取防火墙策略配置信息，将所述防火墙配置信息解析为标准化格式数据，构建防火墙策略信息库；S2.根据查询信息，自动判断所述防火墙配置信息中的源IP地址、目的IP地址所属安全区域，以及自动判所述断源IP地址、所述目的IP地址流量途径防火墙设备；S3.自动计算所述查询信息与防火墙策略的策略相关性；并根据所述策略相关性反馈查询结果。

Firewall strategy query, elastic scaling method and system, equipment and storage medium

【技术实现步骤摘要】
防火墙策略查询、弹性伸缩方法及系统、设备、存储介质
本专利技术涉及网络安全
，尤其涉及一种防火墙策略查询、弹性伸缩方法及系统、设备、存储介质。
技术介绍
防火墙是一种保护计算机网络安全的技术性措施，它通过在网络边界上建立相应的网络通信监控系统来隔离内部和外部网络，以阻挡来自外部的网络入侵。防火墙策略是指防火墙所要参照的规定、规则、要求或者过滤条款，策略信息一般包括源IP地址、目的IP地址、协议、目的端口等信息。防火墙需要根据防火墙策略放行或者阻断经过防火墙的数据流，因此防火墙对于区域间访问控制、安全隔离具有着重要的作用。随着网络规模的增长和业务的不断调整，安全区域划分越来越多，防火墙上的安全策略也越来越复杂，一个主机可能涉及很多安全策略，比如哪些IP地址能访问这台主机，这台主机又能访问哪些目的IP地址，并且这些安全策略会分布在不同防火墙上。另一方面，一般地防火墙上会开通很多区域间或IP地址段间的默认放行或阻断策略，如果这台主机在上述区域内或IP地址段内，上述默认策略也是这台主机的相关策略，因此和这台主机相关的防火墙策略会有很多。如果需要查询某一台主机所涉及的防火墙策略，需要人工或自动遍历所有防火墙的策略，并判断这台主机是否会命中这条策略。随着业务的增长或业务量的激增，应用服务器的弹性伸缩需求越发强烈，对应服务器的安全策略也需要弹性伸缩，在防火墙策略扩容、回收时，需要首先查询对应服务器的相关策略，筛选与应用扩容相关的安全策略，并手动或自动地修改原有防火墙策略，可见现有的方法存在如下问题：1.策略查询效率低：如果只提供一个IP地址，需要查询这个IP所有相关防火墙策略时，通常需要遍历所有防火墙的所有策略，每台防火墙至少有成百上千条策略，并且需要判断相关性，策略查询效率较低。2.策略查询结果不精确，存在大量非强相关的策略：在判断一个IP是否命中一条策略时，一般仅会判断上述IP是否在这条策略的源IP地址范围内，或目的IP地址范围内，这样往往会匹配到较多区域间或地址段间默认策略，导致查询结果较多，存在大量查询者并不关心的策略，查询结果意义不大。3.防火墙策略弹性伸缩效率低：当一个IP地址对应的应用需要扩容，那么这个IP地址相关的防火墙策略也需要弹性扩容，增加新扩容的节点IP地址，该过程包括查询原有IP地址强相关防火墙策略，并基于查询结果修改防火墙策略，人工方式毋庸置疑效率很低，已有的自动方式受限于策略查询结果的精确性。因此当前防火墙策略弹性伸缩效率较低。
技术实现思路
本专利技术的目的在于提供一种防火墙策略查询、弹性伸缩方法及系统、设备、存储介质，实现防火墙策略快速查询。本专利技术的另一个目的在于提供一种防火墙策略查询、弹性伸缩方法及系统、设备、存储介质，提高防火墙策略调整效率。本专利技术的一个方案是一种防火墙策略查询方法，包括：S1.获取防火墙策略配置信息，将所述防火墙配置信息解析为标准化格式数据，构建防火墙策略信息库；S2.根据查询信息，自动判断所述防火墙配置信息中的源IP地址、目的IP地址所属安全区域，以及自动判所述断源IP地址、所述目的IP地址流量途径防火墙设备；S3.自动计算所述查询信息与防火墙策略的策略相关性；并根据所述策略相关性反馈查询结果。根据本专利技术的方案，步骤S1中，获取防火墙策略配置信息的步骤中包括：通过自动化程序向防火墙发送查看防火墙配置指令，并保存配置到本地；或通过FTP方式，向防火墙发送FTP备份指令，并保存防火墙配置信息到FTP服务器；将所述防火墙配置信息解析为标准化格式数据的步骤中包括：将不同型号防火墙的配置信息，转换为标准化格式的数据，其中，所述配置信息包括：防火墙的访问控制策略，地址转换策略，定义的地址、地址组、服务，所述标准化格式的数据包括：源IP地址、目的IP地址、服务、动作，所述源IP地址和所述目的IP地址支持的类型格式包括主机、范围、子网；构建防火墙策略信息库的步骤中包括：定期获取各个区域防火墙配置信息，并将各个区域防火墙配置信息均解析为标准化格式数据，形成各个区域防火墙策略信息数据库。根据本专利技术的方案，步骤S2中，所述查询信息为查询防火墙策略时提供的IP地址信息；自动判断所述防火墙配置信息中的源IP地址、目的IP地址所属安全区域的步骤中包括：预先配置各个安全区域地址段，判断所述源IP地址、所述目的IP地址是否在安全区域地址段内，并反馈所述源IP地址、所述目的IP地址所属安全区域。自动判所述断源IP地址、所述目的IP地址流量途径防火墙设备的步骤中包括：预先配置各个安全区域间互访时途径防火墙清单，根据所述源IP地址、所述目的IP地址所属安全区域的判断结果，自动反馈所述源IP地址、所述目的IP地址流量途径防火墙设备。根据本专利技术的方案，步骤S3中，自动计算所述查询信息与防火墙策略的策略相关性；并根据所述策略相关性反馈查询结果的步骤中包括：S31.自动计算所述查询信息在所述防火墙策略的源IP地址或目的IP地址中的占比；S32.将所述占比作为策略相关性，并根据所述策略相关性反馈查询结果。根据本专利技术的方案，步骤S31中包括：计算所述防火墙策略中所述源IP地址或所述目的IP地址中成员的IP个数，并计算所述查询信息在所述源IP地址或所述目的IP地址个数中的占比；步骤S32中包括：当所述查询信息在防火墙策略源IP地址或者目的IP地址范围内时，将所述防火墙策略判断为相关策略；预先配置相关性阈值；当策略相关性大于阈值时，将所述防火墙策略判断为强相关策略；反馈查询到的所有所述强相关策略及所述相关策略。本专利技术的另一个方案是一种基于所述的防火墙策略查询方法的防火墙策略弹性伸缩方法，包括：S01.获取现有服务器的防火墙策略的弹性伸缩需求；S02.根据所述弹性伸缩需求，基于所述防火墙策略查询方法自动查询所述服务器中的所有强相关策略；S03.自动进行防火墙策略变更，对所述防火墙策略进行弹性伸缩。根据本专利技术的方案，步骤S01中，所述弹性伸缩需求为对所述服务器的防火墙策略进行扩容或回收所述服务器的IP地址；步骤S02中，查询所述服务器的所有强相关防火墙策略，反馈查询结果，其中包括防火墙设备信息、防火墙策略ID、源IP地址或目的IP地址属性、详细策略信息；步骤S03中，根据所述查询结果中的防火墙设备信息、防火墙策略ID，查找要修改的防火墙策略；根据所述源IP地址或目的IP地址属性，自动修改所述防火墙策略的源IP地址或目的IP地址成员。本专利技术的再一个方案是一种用于防火墙策略查询、弹性伸缩的系统，包括策略扩容模块、策略查询模块、策略数据更新模块、防火墙执行模块，其中：所述策略扩容模块，用于提供扩容接口，自动查询被扩容IP地址相关防火墙策略，根据查询结果请求修改防火墙策略，反馈执行结果，并更新防火墙策略信息库；所述策略查询模块，用于提供防火墙策略查询接口，自动判断查询IP所属安全区域、流量途径的防火墙设备，自动本文档来自技高网...

【技术保护点】
1.一种防火墙策略查询方法，包括：/nS1.获取防火墙策略配置信息，将所述防火墙配置信息解析为标准化格式数据，构建防火墙策略信息库；/nS2.根据查询信息，自动判断所述防火墙配置信息中的源IP地址、目的IP地址所属安全区域，以及自动判所述断源IP地址、所述目的IP地址流量途径防火墙设备；/nS3.自动计算所述查询信息与防火墙策略的策略相关性；并根据所述策略相关性反馈查询结果。/n

【技术特征摘要】
1.一种防火墙策略查询方法，包括：
S1.获取防火墙策略配置信息，将所述防火墙配置信息解析为标准化格式数据，构建防火墙策略信息库；
S2.根据查询信息，自动判断所述防火墙配置信息中的源IP地址、目的IP地址所属安全区域，以及自动判所述断源IP地址、所述目的IP地址流量途径防火墙设备；
S3.自动计算所述查询信息与防火墙策略的策略相关性；并根据所述策略相关性反馈查询结果。


2.根据权利要求1所述的防火墙策略查询方法，其特征在于，步骤S1中，获取防火墙策略配置信息的步骤中包括：通过自动化程序向防火墙发送查看防火墙配置指令，并保存配置到本地；或通过FTP方式，向防火墙发送FTP备份指令，并保存防火墙配置信息到FTP服务器；
将所述防火墙配置信息解析为标准化格式数据的步骤中包括：将不同型号防火墙的配置信息，转换为标准化格式的数据，其中，所述配置信息包括：防火墙的访问控制策略，地址转换策略，定义的地址、地址组、服务，所述标准化格式的数据包括：源IP地址、目的IP地址、服务、动作，所述源IP地址和所述目的IP地址支持的类型格式包括主机、范围、子网；
构建防火墙策略信息库的步骤中包括：定期获取各个区域防火墙配置信息，并将各个区域防火墙配置信息均解析为标准化格式数据，形成各个区域防火墙策略信息数据库。


3.根据权利要求2所述的防火墙策略查询方法，其特征在于，步骤S2中，所述查询信息为查询防火墙策略时提供的IP地址信息；
自动判断所述防火墙配置信息中的源IP地址、目的IP地址所属安全区域的步骤中包括：预先配置各个安全区域地址段，判断所述源IP地址、所述目的IP地址是否在安全区域地址段内，并反馈所述源IP地址、所述目的IP地址所属安全区域。
自动判所述断源IP地址、所述目的IP地址流量途径防火墙设备的步骤中包括：预先配置各个安全区域间互访时途径防火墙清单，根据所述源IP地址、所述目的IP地址所属安全区域的判断结果，自动反馈所述源IP地址、所述目的IP地址流量途径防火墙设备。


4.根据权利要求3所述的防火墙策略查询方法，其特征在于，步骤S3中，自动计算所述查询信息与防火墙策略的策略相关性；并根据所述策略相关性反馈查询结果的步骤中包括：
S31.自动计算所述查询信息在所述防火墙策略的源IP地址或目的IP地址中的占比；
S32.将所述占比作为策略相关性，并根据所述策略相关性反馈查询结果。


5.根据权利要求4所述的防火墙策略查询方法，其特征在于，步骤S31中包括：计算所述防火墙策略中所述源IP地址或所述目的IP地址中成员的IP个数，并计算所述查询信息在所述源IP地址或所述目的IP地址个数中的占比；
步骤S32中包括：当所述查询信息在防火墙策略...

【专利技术属性】
技术研发人员：林路，
申请(专利权)人：中信百信银行股份有限公司，
类型：发明
国别省市：北京;11