本发明专利技术公开了一种服务器的网络安全检测方法、装置及存储介质。该方法包括:应用于分布式防火墙系统,确定每个目标服务器对应的安全策略,得到至少一个初始安全策略,其中,至少一个初始安全策略用于对经过每个目标服务器的防火墙的网络流量进行安全检测的策略;基于每个目标服务器的标志信息对与该目标服务器对应的初始安全策略进行整合处理,得到每个目标服务器所对应的第一安全策略;对每个目标服务器所对应的第一安全策略进行解耦合处理,得到每个目标服务器所对应的目标安全策略;基于每个目标服务器所对应的目标安全策略对每个目标服务器的网络安全进行检测。本发明专利技术解决了现有技术中存在的服务器的网络安全检测效率低的技术问题。的技术问题。的技术问题。
【技术实现步骤摘要】
服务器的网络安全检测方法、装置及存储介质
[0001]本专利技术涉及计算机
,具体而言,涉及一种服务器的网络安全检测方法、装置及存储介质。
技术介绍
[0002]随着云计算云服务的发展,在事业企业单位搭建的私有云平台中,会部署有大量的服务器/虚拟机设备。随着远程办公、云办公、SaaS等办公形式的兴起,安全边界的模糊导致传统的边界防火墙难以满足用户对网络安全的需求,单个主机设备(服务器/终端)上部署带有防火墙功能的安全软件(CWPP/EPP)开始成为主流。
[0003]现有技术中,通常是通过结合高可用框架中的策略关联关系,以及策略命中和策略的重要性级别,然后通过策略的命中率和重要性加权来得到最终优先级,并通过优先级来实现防火墙的策略排序优化,最后基于优化后的策略对目标服务器的网络安全进行检测。但是,上述方案中策略重要性概念模糊,取值对策略的匹配行为影响极大,重要性的不同取值会影响排序后策略的匹配结果。无法量化策略重要性导致最终策略的匹配效果具有不可控性,使用者基于策略的重要性来优化策略的难度较大,不合理的配置参数容易篡改策略原始语义。并且上述方案中关联策略只对特定的几种场景有效,依旧会发生策略误删除的场景。在策略优化的配置难度大,且实际作用有限,因此存在策略配置效率低导致对目标服务器的网络安全进行检测效率低的问题。
[0004]此外,现有技术中分布式防火墙大多的防护节点只能针对单类系统如Linux或是Windows,将中心端的策略推理和解释成针对网络中不同节点和服务的防护规则,通过下发配置防护规则到防火墙实现对网络节点的防护,存在无法将linux防火墙的配置策略套用在windows防火墙上的问题。
[0005]针对上述的问题,目前尚未提出有效的解决方案。
技术实现思路
[0006]本专利技术实施例提供了一种服务器的网络安全检测方法、装置及存储介质,以至少解决现有技术中存在的服务器的网络安全检测效率低的技术问题。
[0007]根据本专利技术实施例的一个方面,提供了一种服务器的网络安全检测方法,包括:确定每个目标服务器对应的安全策略,得到至少一个初始安全策略,其中,所述至少一个初始安全策略用于对经过所述每个目标服务器的防火墙的网络流量进行安全检测的策略;基于所述每个目标服务器的标志信息对与该目标服务器对应的初始安全策略进行整合处理,得到所述每个目标服务器所对应的第一安全策略;对所述每个目标服务器所对应的第一安全策略进行解耦合处理,得到所述每个目标服务器所对应的目标安全策略;基于所述每个目标服务器所对应的目标安全策略对所述每个目标服务器的网络安全进行检测。
[0008]进一步的,服务器的网络安全检测方法还包括:在确定每个目标服务器对应的安全策略,得到至少一个初始安全策略之后,对所述至少一个初始安全策略进行格式转换,得
到至少一个第二安全策略,其中,所述至少一个第二安全策略至少包括IP子网信息、端口信息、策略匹配优先级信息以及策略执行动作,所述策略执行动作至少包含所述网络流量的放通动作以及阻断动作。
[0009]进一步的,基于所述每个目标服务器的标志信息对与该目标服务器对应的初始安全策略进行整合处理,得到所述每个目标服务器所对应的第一安全策略,包括:基于所述至少一个第二安全策略确定至少一个目标IP子网信息,其中,所述至少一个目标IP子网信息至少包括每个目标IP子网与每个目标端口信息、每个目标策略匹配优先级信息以及每个目标策略执行动作的映射关系;从所述每个目标IP子网信息中获取网络地址相同,并且掩码长度相同的子网,得到至少一个第一子网;对所述至少一个第一子网进行聚合处理,得到至少一个聚合后的目标IP子网信息;基于所述至少一个聚合后的目标IP子网信息确定所述每个目标服务器所对应的第一安全策略。
[0010]进一步的,基于所述至少一个第二安全策略确定至少一个目标IP子网信息,包括:检测所述至少一个第二安全策略中是否包含所述每个目标服务器的标志信息;在所述至少一个第二安全策略中包含所述每个目标服务器的标志信息时,基于所述每个目标服务器的标志信息对所述至少一个第二安全策略进行筛选,得到所述至少一个目标IP子网信息。
[0011]进一步的,基于所述至少一个聚合后的目标IP子网信息确定所述每个目标服务器所对应的第一安全策略,包括:基于所述至少一个聚合后的目标IP子网信息确定至少一个目标IP子网的包含关系,其中,所述包含关系为所述至少一个目标IP子网与所述至少一个目标IP子网所包含的IP子网的关系;基于所述至少一个目标IP子网的包含关系生成所述每个目标服务器所对应的网络结构树;基于所述每个目标服务器所对应的网络结构树获取每个节点所对应的端口信息;对多个节点对应的端口信息进行聚合处理,得到多个聚合后的端口信息;基于所述多个聚合后的端口信息、所述至少一个聚合后的目标IP子网信息以及所述映射关系确定所述每个目标服务器所对应的第一安全策略。
[0012]进一步的,对多个节点对应的端口信息进行聚合处理,得到多个聚合后的端口信息,包括:基于所述多个节点对应的端口信息确定与所述端口信息对应的策略执行动作;基于多个策略执行动作对所述端口信息进行筛选,得到所述多个聚合后的端口信息。
[0013]进一步的,对所述每个目标服务器所对应的第一安全策略进行解耦合处理,得到所述每个目标服务器所对应的目标安全策略,包括:基于所述每个目标服务器所对应的第一安全策略确定所述每个目标服务器所对应的网络结构树中所述目标IP子网之间的包含关系;基于每个目标IP子网之间的包含关系对所述每个目标IP子网中包含的目标子网进行剔除,得到与所述每个目标服务器所对应的剔除后的目标IP子网信息,其中,所述目标子网中为包含冗余信息的子网;基于所述与所述每个目标服务器所对应的剔除后的目标IP子网信息以及与所述剔除后的目标IP子网信息对应的目标端口信息、目标策略匹配优先级信息以及目标策略执行动作的映射关系,得到所述每个目标服务器所对应的目标安全策略。
[0014]进一步的,服务器的网络安全检测方法还包括:在基于所述每个目标服务器所对应的目标安全策略对所述每个目标服务器的网络安全进行检测之后,确定所述目标安全策略中包含的每个规则的执行频率;基于所述目标安全策略中包含的每个规则的执行频率对每个规则的执行顺序进行调节,得到调整后的目标安全策略。
[0015]根据本专利技术实施例的另一方面,还提供了一种服务器的网络安全检测装置,包括:
确定模块,用于确定每个目标服务器对应的安全策略,得到至少一个初始安全策略,其中,所述至少一个初始安全策略用于对经过所述每个目标服务器的防火墙的网络流量进行安全检测的策略;整合处理模块,用于基于所述每个目标服务器的标志信息对与该目标服务器对应的初始安全策略进行整合处理,得到所述每个目标服务器所对应的第一安全策略;解耦合处理模块,用于对所述每个目标服务器所对应的第一安全策略进行解耦合处理,得到所述每个目标服务器所对应的目标安全策略;检测模块,用于基于所述每个目标服务器所对应的目标安全策略对所述每个本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种服务器的网络安全检测方法,其特征在于,应用于分布式防火墙系统,包括:确定每个目标服务器对应的安全策略,得到至少一个初始安全策略,其中,所述至少一个初始安全策略用于对经过所述每个目标服务器的防火墙的网络流量进行安全检测的策略;基于所述每个目标服务器的标志信息对与该目标服务器对应的初始安全策略进行整合处理,得到所述每个目标服务器所对应的第一安全策略;对所述每个目标服务器所对应的第一安全策略进行解耦合处理,得到所述每个目标服务器所对应的目标安全策略;基于所述每个目标服务器所对应的目标安全策略对所述每个目标服务器的网络安全进行检测。2.根据权利要求1所述的方法,其特征在于,在确定每个目标服务器对应的安全策略,得到至少一个初始安全策略之后,所述方法还包括:对所述至少一个初始安全策略进行格式转换,得到至少一个第二安全策略,其中,所述至少一个第二安全策略至少包括IP子网信息、端口信息、策略匹配优先级信息以及策略执行动作,所述策略执行动作至少包含所述网络流量的放通动作以及阻断动作。3.根据权利要求2所述的方法,其特征在于,基于所述每个目标服务器的标志信息对与该目标服务器对应的初始安全策略进行整合处理,得到所述每个目标服务器所对应的第一安全策略,包括:基于所述至少一个第二安全策略确定至少一个目标IP子网信息,其中,所述至少一个目标IP子网信息至少包括每个目标IP子网与每个目标端口信息、每个目标策略匹配优先级信息以及每个目标策略执行动作的映射关系;从所述每个目标IP子网信息中获取网络地址相同,并且掩码长度相同的子网,得到至少一个第一子网;对所述至少一个第一子网进行聚合处理,得到至少一个聚合后的目标IP子网信息;基于所述至少一个聚合后的目标IP子网信息确定所述每个目标服务器所对应的第一安全策略。4.根据权利要求3所述的方法,其特征在于,基于所述至少一个第二安全策略确定至少一个目标IP子网信息,包括:检测所述至少一个第二安全策略中是否包含所述每个目标服务器的标志信息;在所述至少一个第二安全策略中包含所述每个目标服务器的标志信息时,基于所述每个目标服务器的标志信息对所述至少一个第二安全策略进行筛选,得到所述至少一个目标IP子网信息。5.根据权利要求3所述的方法,其特征在于,基于所述至少一个聚合后的目标IP子网信息确定所述每个目标服务器所对应的第一安全策略,包括:基于所述至少一个聚合后的目标IP子网信息确定至少一个目标IP子网的包含关系,其中,所述包含关系为所述至少一个目标IP子网与所述至少一个目标IP子网所包含的IP子网的关系;基于所述至少一个目标IP子网的包含关系生成所述每个目标服务器所对应的网络结构树;
...
【专利技术属性】
技术研发人员:王宗鑫,叶文军,王真,
申请(专利权)人:山石网科通信技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。