【技术实现步骤摘要】
基于态势感知的防火墙ACL自动生成方法和存储介质
[0001]本专利技术涉及信息
,更具体地说,涉及一种基于态势感知的防火墙访问控制列表(Access Control Lists,ACL)自动生成方法和存储介质。
技术介绍
[0002]现有的防火墙访问控制列表是由网络安全专员编写,这需要网络安全专员对业务流程和网络拓扑结构有详细的了解,对于大型的企业和机构业务流程和网络拓扑结构都是十分庞杂的,做全面的了解和统计需要耗费大量的人力和物力。另一方面,人为的编写难免会出现疏漏,而这样的疏漏往往就会成为黑客进行网络攻击的跳板。
[0003]并且随着信息技术的发展,网络攻击行为越发频繁,同时网络拓扑结构也变得越来越复杂。在网络拓扑结构发生变化,或新增防火墙时,想要人为的掌握网络节点所有的数据流动变得十分困难,这更增加了防火墙访问控制列表的编写的阻碍。
技术实现思路
[0004]本专利技术要解决的技术问题在于,针对现有技术的上述缺陷,提供一种基于态势感知的防火墙ACL自动生成方法和存储介质,通过利用态势感知...
【技术保护点】
【技术特征摘要】
1.一种基于态势感知的防火墙ACL自动生成方法,其特征在于,包括以下步骤:S1、基于基本访问控制需求,构建初始访问控制列表;S2、利用态势感知系统对需要搭建防火墙的网络节点进行流量监控和安全检测以获得数据包统计表单和端口访问控制列表;S3、对所述数据包统计表单进行统计分析以形成访问控制permit语句集;S4、基于所述初始访问控制列表、所述数据包统计表单、所述端口访问控制列表和所述访问控制permit语句集生成防火墙访问控制列表。2.根据权利要求1所述的基于态势感知的防火墙ACL自动生成方法,其特征在于,所述步骤S2包括以下步骤:S21、在一个或者多个完整的工作周期内,利用所述态势感知系统统计通过所述网络节点的数据包信息以生成初始数据包统计表单,所述初始数据包统计表单包括初始进入数据包统计表单和初始离开数据包统计表单;S22、根据现有的网络攻击库信息对端口进行访问限制并利用所述态势感知系统进行安全检测,以构建端口访问控制表;S23、删除所述初始数据包统计表单中无法通过所述态势感知系统的安全检测的数据包条目和所述初始访问控制列表中已存在的数据包条目,然后对所述初始数据包统计表单重新进行排序以生成数据包统计表单。3.根据权利要求2所述的基于态势感知的防火墙ACL自动生成方法,其特征在于,所述步骤S23包括以下步骤:S231、删除所述初始数据包统计表单中无法通过所述态势感知系统的安全检测的数据包条目和所述初始访问控制列表中已存在的数据包条目;S232、记录所述初始访问控制列表中每条语句的命中数目,得到包含所述命中数目的初始访问控制列表;S233、对所述初始数据包统计表单按照源IP地址、目的IP地址、源端口、目的端口、通信协议依次进行升序排列,得到所述数据包统计表单,所述数据包统计表单包括进入数据包统计表单和离开数据包统计表单。4.根据权利要求2所述的基于态势感知的防火墙ACL自动生成方法,其特征在于,在所述步骤S21中,分别对进出网络节点的数据包进行统计,将源IP地址、目的IP地址、源端口、目的端口、通信协议完全相同的数据包视为同一类型,并累计所有类型数据包的数量,得到所述初始进入数据包统计表单和所述初始离开数据包统计表单:其中,表示某一种进入网络节点的数据包类型,表示进入网络节点的i类型数据包数量,K表示进入网络节点的数据包类型数量;表示某一种离开网络节点的数据包类型,表示离开网络节点的i类型数据包数量,L表示离开网络节点的数据包类型数量。
5.根据权利要求1所述的基于态势感知的防火墙ACL自动生成方法,其特征在于,所述步骤S3包括以下步骤:S31、按照设定的IP地...
【专利技术属性】
技术研发人员:戚建淮,刁润,周杰,宋晶,刘建辉,唐娟,
申请(专利权)人:深圳市永达电子信息股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。