一种防火墙策略处理的方法及装置制造方法
【专利摘要】本发明公开了一种防火墙策略处理的方法及装置,其中该方法包括:采集防火墙策略,将所述防火墙策略进行标准化生成防火墙策略访问控制列表;采集防火墙内部网络和内外部网络之间的网络流量,获得网络流量配比统计数据;根据所述网络流量配比统计数据对所述防火墙策略访问控制列表进行量化处理;根据预设的策略优化规则对所述量化处理后的防火墙策略访问控制列表进行策略优化处理。本发明能够弥补人工审核防火墙策略费时费力的缺陷,加强了防火墙变更策略的管理,避免了具有安全风险策略的建立,提高防火墙的安全性。
【专利说明】一种防火墙策略处理的方法及装置
【技术领域】
[0001]本发明涉及网络安全【技术领域】,尤其涉及一种防火墙策略处理的方法及装置。
【背景技术】
[0002]防火墙作为内部网和外部网之间、专用网与公共网之间的保护屏障,对于防止外部入侵具有重要的作用。防火墙策略是指防火墙所要参照的规定、规则、要求和过滤条款。防火墙根据防火墙策略放开或阻断经过防火墙的数据流,防火墙策略在内外网访问控制中起着十分关键的作用。随着网络规模的增长和业务的不断调整,防火墙上配置了大量的安全策略。这些策略中,可能包含了已经不再使用的、冗余的、冲突的,甚至是违反安全规则的策略,这不仅增加了管理和维护成本,而且还可能成为安全隐患,因此对防火墙策略的审计非常有必要。
[0003]防火墙策略审计包含两个方面:优化审计和安全审计。优化审计的目的是找出已经发生的或潜在的重复或冲突策略,提供策略优化的解决方案,以便防火墙管理员对策略进行管理,减少冗余策略,提高防火墙策略的匹配效率。安全审计的目的是找出过度授权或违反安全规则的策略,降低由此带来的高风险事件发生的概率。
[0004]策略审计可以采用人工方式或者自动方式。对于策略数量很小的情形,人工方式尚可应付,一旦策略数量达到一定规模,人工审计的效率就非常低。同时,在防火墙日常维护中,经常有在未经授权情况下被添加违反规范性及安全规定策略的情形发生,对防火墙策略变更缺乏及时有效的监管及控制手段。防火墙策略的变更缺乏记录和审计,给防火墙管理带来较大困难和安全隐患。目前市场上多见对防火墙策略的分发、执行和防火墙策略配置的方法与系统装置,对防火墙策略本身内容的自动审计方法还未见成熟信息。
[0005]采用人工审计防火墙策略,主要问题在于:第一,防火墙策略数量庞大,人工审计十分耗费人力。随着网络扩容及业务调整,防火墙上日积月累积累了大量安全策略,单台防火墙上存在成百上千条策略的情形已很常见。采用人工方式对防火墙策略进行分析审计,将耗费大量的人力。第二,人工审计时效性差,不能及时发现异常、错误策略。防火墙上经常有违反安全规则包含安全风险的的策略建立。由于防火墙规则量大而繁琐,对新增防火墙策略很难做到及时有效的审核。
【发明内容】
[0006]为了解决现有技术中的技术问题,本发明提出一种防火墙策略处理的方法及装置,通过遵循策略审计规则进行策略审计,能够及时高效发现防火墙中的冗余、冲突及违反安全规则的策略,并进行防火墙策略变更,同时派发工单给相关人员审核。本发明能够弥补人工审核防火墙策略费时费力的缺陷,加强了防火墙变更策略的管理,避免了具有安全风险策略的建立,提高防火墙的安全性。
[0007]本发明的一个方面,提出了一种防火墙策略处理的方法,包括:采集防火墙策略,将所述防火墙策略进行标准化生成防火墙策略访问控制列表;采集防火墙内部网络和内外部网络之间的网络流量,获得网络流量配比统计数据;根据所述网络流量配比统计数据对所述防火墙策略访问控制列表进行量化处理;根据预设的策略优化规则对所述量化处理后的防火墙策略访问控制列表进行策略优化处理。
[0008]优选的,所述根据预设的策略优化规则对所述量化处理后的防火墙策略访问控制列表进行策略优化处理的步骤之后还包括:根据预设的安全审计规则对所述量化后的防火墙策略访问控制列表进行安全审计处理。
[0009]优选的,所述采集防火墙策略,将所述防火墙策略进行标准化生成防火墙策略访问控制列表的步骤进一步包括:向Probe采集机下发防火墙策略采集命令;获取防火墙策略原始结果并使用解析类语句对所述原始结果进行标准化;将所述标准化的防火墙策略作为Probe采集机的策略基线。
[0010]优选的,所述将所述标准化的防火墙策略作为Probe采集机的策略基线的步骤之后还包括:按预设时间间隔重复上述步骤,更新所述策略基线。
[0011]优选的,所述采集防火墙内部网络和内外部网络之间的网络流量,获得网络流量配比统计数据的步骤进一步包括:根据预设周期采集防火墙内部网络和内外部网络之间的网络流量;对所述网络流量的配比进行统计,获得网络流量配比统计数据。
[0012]本发明的另一个方面,提出了一种防火墙策略处理的装置,包括采集模块、统计模块、量化模块和优化模块,其中:所述采集模块,用于采集防火墙策略,将所述防火墙策略进行标准化生成防火墙策略访问控制列表;所述统计模块,用于采集防火墙内部网络和内外部网络之间的网络流量,获得网络流量配比统计数据;所述量化模块,用于根据所述网络流量配比统计数据对所述防火墙策略访问控制列表进行量化处理;所述优化模块,用于根据预设的策略优化规则对所述量化处理后的防火墙策略访问控制列表进行策略优化处理。
[0013]优选的,还包括审计模块,用于根据预设的安全审计规则对所述量化后的防火墙策略访问控制列表进行安全审计处理。
[0014]优选的,所述采集模块进一步包括命令下发单元、标准化单元和策略基线生成单元,其中:所述命令下发单元,用于向Probe采集机下发防火墙策略采集命令;所述标准化单元,用于获取防火墙策略原始结果并使用解析类语句对所述原始结果进行标准化;所述策略基线生成单元,用于将所述标准化的防火墙策略作为Probe采集机的策略基线。
[0015]优选的,所述采集模块还包括更新单元,用于按预设时间间隔通过所述命令下发单元、标准化单元和策略基线生成单元的执行动作更新所述策略基线。
[0016]优选的,所述统计模块进一步用于:根据预设周期采集防火墙内部网络和内外部网络之间的网络流量;对所述网络流量的配比进行统计,获得网络流量配比统计数据。
[0017]本发明的防火墙策略处理的方法及装置,遵循策略审计规则对防火墙策略进行自动审计可有效提高防火墙审计效率,同时通过建立防火墙策略及互联关系基线,定期采集当前防火墙策略及互联关系与之比对,发现策略及互联关系变更时即生成告警并派单处理,提供了一种良好的防火墙策略管理方法,实现了对防火墙策略及防火墙内外部互联关系变更的有效管理,降低了因防火墙策略设置不当而被攻击的可能性,提高了防火墙的安全性。
【专利附图】
【附图说明】
[0018]图1是本发明实施例中一种防火墙策略处理的方法的流程图;
[0019]图2是本发明实施例中一种防火墙策略处理的装置的结构示意图。
【具体实施方式】
[0020]图1为本发明实施例中一种防火墙策略处理的方法的流程图。如图1所示,包括以下步骤:
[0021]步骤100、采集防火墙策略,将所述防火墙策略进行标准化生成防火墙策略访问控制列表;
[0022]步骤102、采集防火墙内部网络和内外部网络之间的网络流量,获得网络流量配比统计数据;
[0023]步骤104、根据所述网络流量配比统计数据对所述防火墙策略访问控制列表进行量化处理;
[0024]步骤106、根据预设的策略优化规则对所述量化处理后的防火墙策略访问控制列表进行策略优化处理。
[0025]优选的,步骤106之后还可以包括:根据预设的安全审计规则对所述量化后的防火墙策略访问控制列表进行安全审计处理。
[0026]上述步骤100中,生成防火墙策略访问控制列表即策略基线的建立过程具体包括以下步骤:
[0027]策略采集命令下发:WebServer调用Server的程序接口,由Server向Probe采集机发送策略采集消息
[0028]获取原始结果并标准化=Probe采集机连接目标设备并执行策略采集命令,获取策略原始结果并使用解析类语句进行标准化
[0029]策略基线建立:Probe采集机得到策略标准化数据后,以标准化的防火墙策略作为策略基线。
[0030]发现策略变更:Probe采集机定期采集当前防火墙策略并标准化;与策略基线进行比对,发现策略变更,即派发工单给相关人员审核。
[0031]更新策略基线:Probe采集机采集当前防火墙策略标准化,更新策略基线。
[0032]Webserver:提供防火墙策略图形化展示,管理搭建的web服务器;Server:提供策略采集消息生成,分发功能及防火墙策略数据存储的服务器;Probe:执行策略采集命令获取策略原始结果并标准化的采集服务器;策略基线:策略比对的初始基准值,用于发现当前策略变更情况。
[0033]上述步骤102中,局域网内外部设备互联关系采集一建立互联关系基线进一步包括以下步骤:
[0034]根据预设周期采集防火墙内部网络和内外部网络之间的网络流量;
[0035]对所述网络流量的配比进行统计,获得网络流量配比统计数据。
[0036]在防火墙内部的交换机部署网络嗅探器,采集内部之间、内外部之间的网络流量,进行一段较长周期的采集(如:一个月),对网络流量出现的配对进行统计(源端口、源IP、目的端口、目的IP、出流量、入流量、开始时间、终止时间)。以上配对统计信息代表了该时段的业务系统互联关系,根据流量的大小、连接频次等确定互联关系的重要性,交人工进行确认,得出合法互联关系基线。
[0037]上述步骤104中,防火墙策略量化处理具体包括:
[0038]防火墙策略被采集并标准化生成策略ACL后,对ACL涉及的目标端口内容、目标端口个数、目标IP内容、目标IP个数进行量化,并以ACL为单位进行排列组合比较,判断防火墙策略ACL中是否存在策略覆盖、拦截等策略冗余问题及开放目的IP范围过大,目标端口过大等安全性问题。
[0039]策略审计应遵循以下规则进行策略优化和安全审计:
[0040](I)发现冗余及无用策略实现防火墙策略优化,应遵循以下规则:
[0041]I):策略重复
[0042]策略重复判定:配置文件中两条或多条策略五元组完全相同且动作一致,判定为策略重复。
[0043]2)策略整体覆盖
[0044]策略整体覆盖判定:配置文件中当前策略五元组被优先级更高的策略完全包含且动作一致,判定当前策略被整体覆盖。该条策略整体失效。
[0045]3)策略部分覆盖
[0046]策略部分覆盖判定:配置文件中当前策略五元组被优先级更高的策略部分包含且动作一致,判定当前策略被部分覆盖。该条策略部分失效。
[0047]4)策略整体拦截
[0048]策略整体拦截判定:配置文件中当前策略五元组被优先级更高的策略完全包含且动作相反,判定当前策略被整体拦截。该条策略整体失效。
[0049]5)策略部分拦截
[0050]策略部分拦截判定:配置文件中当前策略五元组被优先级更高的策略部分包含且动作相反,判定当前策略被部分拦截。该条策略部分失效。
[0051]6)无效策略组
[0052]无效策略组判定:不包含任何策略的策略组判定为无效策略组。
[0053]例如定义了策略组acl number2100,而策略组2100中不包含任何策略。
[0054]7)策略正常
[0055]策略正常判定:未发现上述防火墙策略配置问题判定为策略正常。
[0056]策略安全审计应遵循以下规则:
[0057]I)目的 IP 为 any
[0058]判定:配置文件存在目的IP为any的策略。
[0059]2)目的IP范围过大
[0060]判定:配置文件中存在目的IP范围超出策略审计的最大允许值的策略。目的IP最大允许值可根据网络实际情况进行设置。
[0061]3)目的端口为any
[0062]判定:配置文件中存在目的端口为any的策略。
[0063]4)目的端口范围过大
[0064]判定:配置文件中存在目的端口范围超出策略审计的最大允许值的策略。
[0065]目的端口最大允许值可根据网络实际情况进行设置。
[0066]5)开放了管理端口
[0067]判定:目的端口中涉及22、23、80、443、3389等常用管理维护端口的策略。
[0068]遵循以上策略优化及策略安全审计规则,通过系统程序自动发现防火墙上冗余、无用、失效策略及违反安全规则的策略;实现防火墙策略优化及策略安全审计。其中,五元组是防火墙策略的属性集,用于表示防火墙定义的访问要求。五元组包含了防火墙策略的5要素。分别是网络源IP地址、源端口、网络目的IP地址、目的端口、通信协议(如TCP协议等)。动作:防火墙策略的流量策略动作,可以为permit或deny。策略ACL:策略访问控制列表。
[0069]上述步骤106中,通过实施以下流程监控防火墙策略及互联关系的变更,并进行优化处理:
[0070]选取需定期核查策略及互联关系变更状况的防火墙设备,建立定期核查计划;
[0071]Webserver通过probe采集机及嗅探机获取所选设备中的当前策略及互联关系;
[0072]当前策略及互联关系与策略基线及互联关系基线比对,发现策略及互联关系变更,生成相应告警;启动工单处理流程,派发工单给相关人员审核;
[0073]采集变更后的防火墙策略及互联关系,更新策略基线及互联关系基线。
[0074]图2是本发明实施例中一种防火墙策略处理的装置的结构示意图。如图2所示,包括采集模块200、统计模块202、量化模块204和优化模块206,其中:所述采集模块,用于采集防火墙策略,将所述防火墙策略进行标准化生成防火墙策略访问控制列表;所述统计模块,用于采集防火墙内部网络和内外部网络之间的网络流量,获得网络流量配比统计数据;所述量化模块,用于根据所述网络流量配比统计数据对所述防火墙策略访问控制列表进行量化处理;所述优化模块,用于根据预设的策略优化规则对所述量化处理后的防火墙策略访问控制列表进行策略优化处理。
[0075]优选的,还包括审计模块,用于根据预设的安全审计规则对所述量化后的防火墙策略访问控制列表进行安全审计处理。
[0076]所述采集模块进一步包括命令下发单元、标准化单元和策略基线生成单元,其中:所述命令下发单元,用于向Probe采集机下发防火墙策略采集命令;所述标准化单元,用于获取防火墙策略原始结果并使用解析类语句对所述原始结果进行标准化;所述策略基线生成单元,用于将所述标准化的防火墙策略作为Probe采集机的策略基线。
[0077]所述采集模块还包括更新单元,用于按预设时间间隔通过所述命令下发单元、标准化单元和策略基线生成单元的执行动作更新所述策略基线。
[0078]所述统计模块进一步用于:根据预设周期采集防火墙内部网络和内外部网络之间的网络流量;对所述网络流量的配比进行统计,获得网络流量配比统计数据。
[0079]防火墙策略审计方法结合策略变更管理方法可组成防火墙策略综合管理系统,提供防火墙策略审计、策略变更及互联关系变更监控管理功能。
[0080]本发明各实施例遵循策略审计规则对防火墙策略进行自动审计可有效提高防火墙审计效率,同时通过建立防火墙策略及互联关系基线,定期采集当前防火墙策略及互联关系与之比对,发现策略及互联关系变更时即生成告警并派单处理,提供了一种良好的防火墙策略管理方法。实现了对防火墙策略及防火墙内外部互联关系变更的有效管理,降低了因防火墙策略设置不当而被攻击的可能性,提高了防火墙的安全性。
[0081]应说明的是:以上实施例仅用以说明本发明而非限制,本发明也并不仅限于上述举例,一切不脱离本发明的精神和范围的技术方案及其改进,其均应涵盖在本发明的权利要求范围中。
【权利要求】
1.一种防火墙策略处理的方法,其特征在于,包括: 采集防火墙策略,将所述防火墙策略进行标准化生成防火墙策略访问控制列表; 采集防火墙内部网络和内外部网络之间的网络流量,获得网络流量配比统计数据; 根据所述网络流量配比统计数据对所述防火墙策略访问控制列表进行量化处理; 根据预设的策略优化规则对所述量化处理后的防火墙策略访问控制列表进行策略优化处理。
2.根据权利要求1所述的方法,其特征在于,所述根据预设的策略优化规则对所述量化处理后的防火墙策略访问控制列表进行策略优化处理的步骤之后还包括: 根据预设的安全审计规则对所述量化后的防火墙策略访问控制列表进行安全审计处理。
3.根据权利要求1或2所述的方法,其特征在于,所述采集防火墙策略,将所述防火墙策略进行标准化生成防火墙策略访问控制列表的步骤进一步包括: 向Probe采集机下发防火墙策略采集命令; 获取防火墙策略原始结果并使用解析类语句对所述原始结果进行标准化; 将所述标准化的防火墙策略作为Probe采集机的策略基线。
4.根据权利要求3所述的方法,其特征在于,所述将所述标准化的防火墙策略作为Probe采集机的策略基线的步骤之后还包括: 按预设时间间隔重复上述步骤,更新所述策略基线。
5.根据权利要求1或2所述的方法,其特征在于,所述采集防火墙内部网络和内外部网络之间的网络流量,获得网络流量配比统计数据的步骤进一步包括: 根据预设周期采集防火墙内部网络和内外部网络之间的网络流量; 对所述网络流量的配比进行统计,获得网络流量配比统计数据。
6.一种防火墙策略处理的装置,其特征在于,包括采集模块、统计模块、量化模块和优化模块,其中: 所述采集模块,用于采集防火墙策略,将所述防火墙策略进行标准化生成防火墙策略访问控制列表; 所述统计模块,用于采集防火墙内部网络和内外部网络之间的网络流量,获得网络流量配比统计数据; 所述量化模块,用于根据所述网络流量配比统计数据对所述防火墙策略访问控制列表进行量化处理; 所述优化模块,用于根据预设的策略优化规则对所述量化处理后的防火墙策略访问控制列表进行策略优化处理。
7.根据权利要求6所述的装置,其特征在于,还包括审计模块,用于根据预设的安全审计规则对所述量化后的防火墙策略访问控制列表进行安全审计处理。
8.根据权利要求6或7所述的装置,其特征在于,所述采集模块进一步包括命令下发单元、标准化单元和策略基线生成单元,其中: 所述命令下发单元,用于向Probe采集机下发防火墙策略采集命令; 所述标准化单元,用于获取防火墙策略原始结果并使用解析类语句对所述原始结果进行标准化;所述策略基线生成单元,用于将所述标准化的防火墙策略作为Probe采集机的策略基线。
9.根据权利要求8所述的装置,其特征在于,所述采集模块还包括更新单元,用于按预设时间间隔通过所述命令下发单元、标准化单元和策略基线生成单元的执行动作更新所述策略基线。
10.根据权利要求6或7所述的装置,其特征在于,所述统计模块进一步用于: 根据预设周期采集防火墙内部网络和内外部网络之间的网络流量; 对所述网络流量的配比进行统计,获得网络流量配比统计数据。
【文档编号】H04L29/06GK104135461SQ201310163682
【公开日】2014年11月5日 申请日期:2013年5月2日 优先权日:2013年5月2日
【发明者】王立川 申请人:中国移动通信集团河北有限公司