本发明专利技术涉及防火墙领域,且公开了一种防火墙策略监控分析系统,包括核心管理模块,用于总控全局,可对防火墙进行分组管理,作为发送运行指令的中心控制端;信息采集模块,用于采集网络中的镜像数据及防火墙的配置,对厂商防火墙设备策略信息进行抓取,用作策略分析的基础数据;分析模块,用于进行针对防火墙策略文件的静态与动态研究,对网络中已有的防火墙策略进行梳理,对采集所得的流量数据和防火墙配置数据进行分析,提供策略如何优化的合理化和可操作性建议。通过采用旁路分布式部署方式采集流量,支持自动梳理防火墙策略,若防火墙策略配置不合理、包含any或者有冲突与有过变更,及时进行告警,可对分析数据、告警数据和处理数据核验。数据核验。数据核验。
【技术实现步骤摘要】
一种防火墙策略监控分析系统
[0001]本专利技术涉及防火墙
,具体为一种防火墙策略监控分析系统。
技术介绍
[0002]防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术,防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验;自从网络建设以来防火墙是网络边界安全成为网络安全必备产品,它依照特定的规则,允许或是限制传输的数据通过,通过对协议、地址和服务端口的识别和控制达到防范入侵的目的,发生网络攻击时,防火墙作为边界的守卫者显得尤为重要,策略的合理性更是核心所在;而现在,据第三方的统计来看,其中绝对多数的防火墙安全事件均是由防火墙的配置错误而引起,主要体现在人为的配置及策略变更管理两方面,防火墙策略配置是否合理,是否包含any,是否有冲突,是否有过变更,是亟待解决的难题。
技术实现思路
[0003](一)解决的技术问题针对现有技术所存在的上述缺点,本专利技术提供了一种防火墙策略监控分析系统,能够有效地解决现有技术防火墙配置容易因为人为的配置和策略变更的管理,而出现错误,容易引起防火墙安全事件,造成损失的问题。
[0004](二)技术方案为实现以上目的,本专利技术通过以下技术方案予以实现:本专利技术公开了一种防火墙策略监控分析系统,包括:核心管理模块,用于总控全局,可对防火墙进行分组管理,作为发送运行指令的中心控制端;信息采集模块,用于采集网络中的镜像数据及防火墙的配置,对厂商防火墙设备策略信息进行抓取,用作策略分析的基础数据;分析模块,用于进行针对防火墙策略文件的静态与动态研究,对网络中已有的防火墙策略进行梳理,对采集所得的流量数据和防火墙配置数据进行分析,提供策略如何优化的合理化和可操作性建议;存储模块,用于存储解析而得的数据信息,建立数据库,支持后台信息读取与撰写;处理模块,用于运行处理指令,针对分析结果,依据策略优化的建议,进行合理方
案的运行;展示模块,用于展示各项数据处理结果,进行数值的呈现;导入模块,用于编辑导入防火墙的配置方式;对比模块,用于比对防火墙策略配置方式,进行方案比较,标识变化部分;警示模块,用于为管理端上传警报信息,触发警报机制后,即使进行指令的发送。
[0005]更进一步地,所述分析模块通过无线网络交互连接有分离模块:用于对过期策略进行剔除,从数据库中予以删除。
[0006]更进一步地,所述分析模块中梳理而得的防火墙策略包括:冲突策略、交叉策略、冗余策略、命中策略、宽松策略、可删除策略、可合并策略、可拆分策略、不活跃策略、过期策略、被覆盖策略;其中,冲突策略包括一条策略的源地址对象、目的地址对象、服务对象、时间对象完全包含或等于另外一条策略的地址对象、服务对象、时间对象,并且动作相反;交叉策略包括动作相反的两条策略的源地址对象、目的地址对象、服务对象、时间对象有一项或多项产生了交集;冗余策略包括一条低优先级策略完全包含高优先级另外一条策略并且动作相同,高优先级被包含的策略属于冗余策略;命中策略包括已命中采集到的流量的防火墙策略;宽松策略包括一条策略大于镜像流量命中的范围且超过一定的阈值。
[0007]更进一步地,所述分析模块中针对防火墙策略文件的动态分析技术,基于流量分析,以分析结果为NAT环境下的策略与流量关联分析提供依据。
[0008]更进一步地,所述展示模块中数据的展示内容包括:防火墙策略梳理结果、报表呈报、配置对比呈现,告警结果呈现。
[0009]更进一步地,所述导入模块中的编辑导入防火墙的配置方式的实施形式包括:人工手动导入与程序自动导入。
[0010]更进一步地,所述警示模块中的警报触发因素包括:策略连通性、策略变更、Deny策略、策略到期、重要端口;其中,策略连通性的分析,将策略设置为连通性基线策略,当基线策略出现删除、改变和冲突的情况时,系统产生策略连通性告警;策略变更的监控,当同一防火墙策略发生变更时,系统产生策略变更告警;Deny策略的监控,当系统分析到防火墙的Deny策略被命中时,上报Deny策略告警;策略到期的分析,针对快过期的策略进行告警,当到期时间小于配置的告警天数时,就会产生告警,起到提醒管理员的目的;重要端口的监控,对于网络中的重点端口进行监控,并设置此重要端口为禁用端口,当某条策略开启了用户指定的端口时,系统会上报禁用端口告警。
[0011]更进一步地,所述警示模块通过无线网络交互连接有实时更新模块:对分析数据、处理数据、告警数据进行即时刷新,显示更新时间。
[0012]更进一步地,所述警示模块通过无线网络交互连接有记录模块:将策略分析结果、处理方案和警示结果生成报表,并支持压缩包的格式进行下载保存。
[0013]更进一步地,所述记录模块通过无线网络交互连接有审查模块:对记录所得的报
表数据进行后台核验,方式为人工和机检相结合。
[0014](三)有益效果采用本专利技术提供的技术方案,与已知的公有技术相比,具有如下有益效果:1、本专利技术通过无干扰式部署,系统采用旁路分布式部署方式采集流量,对用户网络无任何影响,系统具有海量的数据存储能力,数据丰富,配置导入后,支持自动梳理防火墙策略,若防火墙策略配置不合理、包含any或者有冲突与有过变更,可及时进行告警,便于用户及时处理,可对分析数据、告警数据和处理数据进行人工与机器相结合的核验,为后续同类安全事件的解决提供参考。
[0015]2、本专利技术通过可视化展现,系统通过饼状图、列表等多种方式实现数据展现,使得展现的数据更加直观易懂,并且操作配置简单,易读易懂,便于使用,提升用户在操作过程中的舒适性。
附图说明
[0016]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0017]图1为一种防火墙策略监控分析系统的结构示意图;图2为一种防火墙策略监控分析系统的产品架构图;图3为一种防火墙策略监控分析系统的防火墙策略分析呈现图;图4为一种防火墙策略监控分析系统的防火墙策略梳理分析结果详情呈现图;图5为一种防火墙策略监控分析系统的产品演示图;图中的标号分别代表:1、核心管理模块;2、信息采集模块;3、分析模块;4、存储模块;5、处理模块;6、展示模块;7、导入模块;8、对比模块;9、警示模块;10、记录模块;11、审查模块;12、分离模块;13、实时更新模块。
具体实施方式
[0018]为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种防火墙策略监控分析系统,其特征在于,包括:核心管理模块(1),用于总控全局,可对防火墙进行分组管理,作为发送运行指令的中心控制端;信息采集模块(2),用于采集网络中的镜像数据及防火墙的配置,对厂商防火墙设备策略信息进行抓取,用作策略分析的基础数据;分析模块(3),用于进行针对防火墙策略文件的静态与动态研究,对网络中已有的防火墙策略进行梳理,对采集所得的流量数据和防火墙配置数据进行分析,提供策略如何优化的合理化和可操作性建议;存储模块(4),用于存储解析而得的数据信息,建立数据库,支持后台信息读取与撰写;处理模块(5),用于运行处理指令,针对分析结果,依据策略优化的建议,进行合理方案的运行;展示模块(6),用于展示各项数据处理结果,进行数值的呈现;导入模块(7),用于编辑导入防火墙的配置方式;对比模块(8),用于比对防火墙策略配置方式,进行方案比较,标识变化部分;警示模块(9),用于为管理端上传警报信息,触发警报机制后,即使进行指令的发送。2.根据权利要求1所述的一种防火墙策略监控分析系统,其特征在于:所述分析模块(3)通过无线网络交互连接有分离模块(12):用于对过期策略进行剔除,从数据库中予以删除。3.根据权利要求1所述的一种防火墙策略监控分析系统,其特征在于:所述分析模块(3)中梳理而得的防火墙策略包括:冲突策略、交叉策略、冗余策略、命中策略、宽松策略、可删除策略、可合并策略、可拆分策略、不活跃策略、过期策略、被覆盖策略;其中,冲突策略包括一条策略的源地址对象、目的地址对象、服务对象、时间对象完全包含或等于另外一条策略的地址对象、服务对象、时间对象,并且动作相反;交叉策略包括动作相反的两条策略的源地址对象、目的地址对象、服务对象、时间对象有一项或多项产生了交集;冗余策略包括一条低优先级策略完全包含高优先级另外一条策略并且动作相同,高优先级被包含的策略属于冗余策略;命中策略包括已命中采集到的流量的防火墙策略;宽松策略包括一条策略大于镜像流量命中的范围且超过一定的阈值。4.根据权利要求1所述的一种...
【专利技术属性】
技术研发人员:王磊,
申请(专利权)人:南京乔天自动化科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。