一种基于仿真路径分析的防火墙安全策略开通方法及装置制造方法及图纸

本申请实施例公开了一种基于仿真路径分析的防火墙安全策略开通方法及装置，该方法中，通过获取策略开通申请信息，得到五元组信息，然后根据五元组信息，在网络仿真环境中进行路径分析，并获取路径分析结果，其中，网络仿真环境依据现网环境中各网络设备的连接与互访关系所构建。根据路径分析结果，将在路径分析过程中阻止访问的防火墙定位为目标防火墙，根据目标防火墙，生成与目标防火墙的类型相对应的目标安全策略，将目标安全策略下发至目标防火墙，以完成策略开通。通过上述方法，能够快速定位到阻止访问的防火墙，进而生成目标防火墙对应的目标安全策略，提高了策略开通的效率。

A method and device of opening firewall security policy based on simulation path analysis

【技术实现步骤摘要】
一种基于仿真路径分析的防火墙安全策略开通方法及装置
本申请涉及网络安全
，尤其涉及一种基于仿真路径分析的防火墙安全策略开通方法及装置。
技术介绍
防火墙是设置在不同网络或网络安全域之间的安全屏障，防火墙主要使用相关的安全策略来检验进出网络的访问行为，以达到限制某些访问行为的目的。目前，使用安全策略检验访问行为时，主要是通过判断经过防火墙的数据流中的五元组是否符合安全策略的规定，若符合规定，则可对该数据流进行放行，允许该种访问行为。其中，五元组包括源地址、目的地址、源端口号、目的端口号以及协议类型。当某种访问行为被限制时，若要允许访问，则需针对相应的防火墙进行策略开通，在相应防火墙上增加允许数据流通过的安全策略。目前，在策略开通的过程中，通常由网络运维人员根据策略开通请求，找到阻止访问的防火墙设备，然后在防火墙上编写相对应的安全策略命令行，便可将原本被限制的访问改为允许访问。但是，上述策略开通过程中，需利用人工找到阻止访问的防火墙设备，这将花费大量的时间，尤其是在防火墙设备较多的情况下，上述策略开通方法的效率较低。
技术实现思路
为了解决利用人工找到阻止访问的防火墙设备，将花费大量时间，尤其是在防火墙设备较多的情况下，现有策略开通方法效率较低的问题，本申请通过以下实施例公开了一种基于仿真路径分析的防火墙安全策略开通方法及装置。本申请第一方面公开了一种基于仿真路径分析的防火墙安全策略开通方法，包括：获取策略开通申请信息，所述策略开通申请信息中包括五元组信息，所述五元组信息包括源地址、目的地址、源端口号、目的端口号以及协议类型；根据所述五元组信息，在网络仿真环境中进行路径分析，并获取路径分析结果，所述网络仿真环境依据现网环境中各网络设备的连接与互访关系所构建；根据所述路径分析结果，定位目标防火墙，所述目标防火墙为在路径分析过程中阻止访问的防火墙；根据所述目标防火墙，生成与所述目标防火墙的类型相对应的目标安全策略；将所述目标安全策略下发至所述目标防火墙，以完成策略开通。可选的，所述根据所述目标防火墙，生成与所述目标防火墙的类型相对应的目标安全策略，包括：获取需开通的安全策略的命令行脚本；根据所述目标防火墙的类型，获取预设的命令行模板；根据所述预设的命令行模板，翻译所述命令行脚本，生成与所述目标防火墙的类型相对应的所述目标安全策略。可选的，在将所述目标安全策略下发至所述目标防火墙之后，所述方法还包括：更新所述网络仿真环境中的防火墙配置；根据所述五元组信息，在完成更新的网络仿真环境中再次进行路径分析，检测更新后的网络仿真环境中是否还存在阻止访问的防火墙。可选的，若更新后的网络仿真环境中还存在阻止访问的防火墙，所述方法还包括：生成与第二目标防火墙的类型相对应的第二目标安全策略，所述第二目标防火墙为阻止访问的防火墙；将所述第二目标安全策略下发至所述第二目标防火墙，以再次完成策略开通。可选的，所述生成与所述第二目标防火墙的类型相对应的第二目标安全策略，包括：获取需开通的安全策略的命令行脚本；根据所述第二目标防火墙的类型，获取预设的第二命令行模板；根据所述预设的第二命令行模板，翻译所述命令行脚本，生成与所述第二目标防火墙的类型相对应的所述第二目标安全策略。本申请第二方面公开了一种基于仿真路径分析的防火墙安全策略开通装置，所述基于仿真路径分析的防火墙安全策略开通装置应用于本申请第一方面所述的一种基于仿真路径分析的防火墙安全策略开通方法，所述基于仿真路径分析的防火墙安全策略开通装置包括：申请信息获取模块，用于获取策略开通申请信息，所述策略开通申请信息中包括五元组信息，所述五元组信息包括源地址、目的地址、源端口号、目的端口号以及协议类型；路径分析模块，用于根据所述五元组信息，在网络仿真环境中进行路径分析，并获取路径分析结果，所述网络仿真环境依据现网环境中各网络设备的连接与互访关系所构建；目标定位模块，用于根据所述路径分析结果，定位目标防火墙，所述目标防火墙为在路径分析过程中阻止访问的防火墙；策略生成模块，用于根据所述目标防火墙，生成与所述目标防火墙的类型相对应的目标安全策略；策略开通模块，用于将所述目标安全策略下发至所述目标防火墙，以完成策略开通。可选的，所述策略生成模块包括：脚本获取单元，用于获取需开通的安全策略的命令行脚本；模板获取单元，用于根据所述目标防火墙的类型，获取预设的命令行模板；翻译单元，用于根据所述预设的命令行模板，翻译所述命令行脚本，生成与所述目标防火墙的类型相对应的所述目标安全策略。可选的，所述装置还包括：更新模块，用于在将所述目标安全策略下发至所述目标防火墙之后，更新所述网络仿真环境中的防火墙配置；检测验证模块，用于根据所述五元组信息，在完成更新的网络仿真环境中再次进行路径分析，检测更新后的网络仿真环境中是否还存在阻止访问的防火墙。可选的，所述检测验证模块包括：第二策略生成单元，用于在更新后的网络仿真环境中还存在阻止访问的防火墙时，生成与第二目标防火墙的类型相对应的第二目标安全策略，所述第二目标防火墙为阻止访问的防火墙；策略再次开通单元，用于将所述第二目标安全策略下发至所述第二目标防火墙，以再次完成策略开通。可选的，所述第二策略生成单元包括：脚本获取子单元，用于获取需开通的安全策略的命令行脚本；第二模板获取子单元，用于根据所述第二目标防火墙的类型，获取预设的第二命令行模板；第二翻译子单元，用于根据所述预设的第二命令行模板，翻译所述命令行脚本，生成与所述第二目标防火墙的类型相对应的所述第二目标安全策略。本申请实施例公开了一种基于仿真路径分析的防火墙安全策略开通方法及装置，该方法中，通过获取策略开通申请信息，得到五元组信息，然后根据五元组信息，在网络仿真环境中进行路径分析，并获取路径分析结果，其中，网络仿真环境依据现网环境中各网络设备的连接与互访关系所构建。根据路径分析结果，将在路径分析过程中阻止访问的防火墙定位为目标防火墙，根据目标防火墙，生成与目标防火墙的类型相对应的目标安全策略，将目标安全策略下发至目标防火墙，以完成策略开通。通过上述方法，能够快速定位到阻止访问的防火墙，进而生成目标防火墙对应的目标安全策略，提高了策略开通的效率。附图说明为了更清楚地说明本申请的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本申请实施例公开的一种基于仿真路径分析的防火墙安全策略开通方法的工作流程示意图；图2为本申请实施例公开的一种基于仿真路径分析的防火墙安全策略开通方法中，生成目标安全策略的工作流程示意图；图3为本申请实施例公开的又一种基于仿真路径分析的防火墙安全策本文档来自技高网...

【技术保护点】
1.一种基于仿真路径分析的防火墙安全策略开通方法，其特征在于，包括：/n获取策略开通申请信息，所述策略开通申请信息中包括五元组信息，所述五元组信息包括源地址、目的地址、源端口号、目的端口号以及协议类型；/n根据所述五元组信息，在网络仿真环境中进行路径分析，并获取路径分析结果，所述网络仿真环境依据现网环境中各网络设备的连接与互访关系所构建；/n根据所述路径分析结果，定位目标防火墙，所述目标防火墙为在路径分析过程中阻止访问的防火墙；/n根据所述目标防火墙，生成与所述目标防火墙的类型相对应的目标安全策略；/n将所述目标安全策略下发至所述目标防火墙，以完成策略开通。/n

【技术特征摘要】
1.一种基于仿真路径分析的防火墙安全策略开通方法，其特征在于，包括：
获取策略开通申请信息，所述策略开通申请信息中包括五元组信息，所述五元组信息包括源地址、目的地址、源端口号、目的端口号以及协议类型；
根据所述五元组信息，在网络仿真环境中进行路径分析，并获取路径分析结果，所述网络仿真环境依据现网环境中各网络设备的连接与互访关系所构建；
根据所述路径分析结果，定位目标防火墙，所述目标防火墙为在路径分析过程中阻止访问的防火墙；
根据所述目标防火墙，生成与所述目标防火墙的类型相对应的目标安全策略；
将所述目标安全策略下发至所述目标防火墙，以完成策略开通。


2.根据权利要求1所述的基于仿真路径分析的防火墙安全策略开通方法，其特征在于，所述根据所述目标防火墙，生成与所述目标防火墙的类型相对应的目标安全策略，包括：
获取需开通的安全策略的命令行脚本；
根据所述目标防火墙的类型，获取预设的命令行模板；
根据所述预设的命令行模板，翻译所述命令行脚本，生成与所述目标防火墙的类型相对应的所述目标安全策略。


3.根据权利要求1所述的基于仿真路径分析的防火墙安全策略开通方法，其特征在于，在将所述目标安全策略下发至所述目标防火墙之后，所述方法还包括：
更新所述网络仿真环境中的防火墙配置；
根据所述五元组信息，在完成更新的网络仿真环境中再次进行路径分析，检测更新后的网络仿真环境中是否还存在阻止访问的防火墙。


4.根据权利要求3所述的基于仿真路径分析的防火墙安全策略开通方法，其特征在于，若更新后的网络仿真环境中还存在阻止访问的防火墙，所述方法还包括：
生成与第二目标防火墙的类型相对应的第二目标安全策略，所述第二目标防火墙为阻止访问的防火墙；
将所述第二目标安全策略下发至所述第二目标防火墙，以再次完成策略开通。


5.根据权利要求4所述的基于仿真路径分析的防火墙安全策略开通方法，其特征在于，所述生成与所述第二目标防火墙的类型相对应的第二目标安全策略，包括：
获取需开通的安全策略的命令行脚本；
根据所述第二目标防火墙的类型，获取预设的第二命令行模板；
根据所述预设的第二命令行模板，翻译所述命令行脚本，生成与所述第二目标防火墙的类型相对应的所述第二目标安全策略。


6.一种基于仿真路径分析的防火墙安全策略开通装置，其特征在于，所述基于仿真路径分析的防火墙安全策略开通装置应用于权利要求1-5任一项所述的一种基于仿真路径分析的防火墙安全...

【专利技术属性】
技术研发人员：孙祥明，
申请(专利权)人：武汉思普崚技术有限公司，
类型：发明
国别省市：湖北;42