本发明涉及计算机
技术领域:
:,特别涉及一种基于防火墙策略联动的管理主机策略的方法及系统。
背景技术:
::服务器及其上存储的数据作为企业的重要资产,如何确保服务器不会受到非法访问和恶意攻击,是企业网络管理员所面临的一项重要工作。为了防止服务器不会受到非法访问和恶意攻击,企业用户通常会购买防火墙来保护内网服务器数据。防火墙(firewall)网络安全的基础设备,用来确保网络信息安全,防火墙通过其定义的策略来决定允许或是限制传输的数据通过。为了防止因某些流量不经过防火墙而直接访问服务器,而导致服务器有遭受非法访问和攻击的问题的出现,网络管理员也会在被管理的服务器侧配置相应的访问控制策略,以确保服务器在任何情况下都不会受到非法访问和恶意攻击。目前的主机策略管理的方案,大都采用c/s模型,即在网络中部署一套主机策略管理中心软件,然后在各个被管理的主机上安装配套的用户端软件。所有的策略配置及调整都在策略管理中心上进行,然后由策略管理中心下发给各个主机的用户端,再由用户端在各主机上进行最终的策略配置现有技术拓扑如图1所示。主机策略和防火墙策略都是用来保护服务器主机不受非法访问的,但采用现有主机策略管理的方案,需要网络管理员配置两份访问控制策略,一份配置在防火墙上,一份配置在相应的被管理的服务器上,在策略有变更时,难免会存在主机和被管理的服务器上的策略不一致的问题。技术实现要素:本发明的发明目的在于提供一种基于防火墙策略联动的管理主机策略的方法及系统,以解现有技术示出的主机策略管理的方案存在的技术问题。本申请实施例第一方面示出一种基于防火墙策略联动的管理主机策略的方法,所述方法包括:分析防火墙安全策略;确定目标被管理的服务器,所述目标被管理的服务器为与所述防火墙安全策略相关联的被管理的服务器;发送所述防火墙安全策略至所述目标被管理的服务器。可选择的,所述方法还包括:访问所述被管理的服务器的控制策略;判断所述控制策略与所述防火墙安全策略是否一致;若不一致,发出告警或重新同步策略。可选择的,所述发送防火墙安全策略至所述目标被管理的服务器的步骤包括:将所述防火墙安全策略转化为目标被管理的服务器可识别的控制策略;发送所述控制策略至所述目标被管理的服务器。可选择的,所述确定目标被管理的服务器的步骤包括:解析所述防火墙安全策略的预置关联规则;遍历被管理的服务器数组,确定满足所述预置关联规则的被管理的服务器为目标被管理的服务器;建立与所述目标被管理的服务器的联系。可选择的,所述预置关联规则基于源地址,源端口,目的地址,目的端口设置。本申请实施例第二方面示出一种基于防火墙策略联动的管理主机策略联动控制装置策略的系统,所述系统包括:集成在防火墙上的主机策略联动控制装置,以及,与防火墙网络相连接的被管理的服务器;所述被管理的服务器用于接收控制策略;所述主机策略联动控制装置包括:关联模块,用于分析防火墙安全策略与目标被管理的服务器之间的关联关系;策略转换模块,用于把和目标被管理的服务器相关联的防火墙安全策略转换为目标被管理的服务器能识别的控制策略;策略下发模块,用于向管理的目标被管理的服务器下发与其对应的控制策略。可选择的,所述主机策略联动控制装置还包括:策略状态监测模块,用于定期去查看被管理的服务器的控制策略,若发现与防火墙安全策略不一致,则会发出告警或重新同步策略。可选择的,所述主机策略联动控制装置还包括:策略转换模块,用于将防火墙安全策略,转换为被管理的服务器能识别的访问控制策略。可选择的,所述主机策略联动控制装置还包括:策略分析模块,用于对安全策略的预置关联规则内容进行分析,解析出安全策略的预置关联规则涉及的源、目的以及访问端。由以上技术方案可知,本申请实施例示出一种基于防火墙策略联动的管理主机策略的方法及系统,所述方法包括:分析防火墙安全策略;确定目标被管理的服务器,所述目标被管理的服务器为与所述防火墙安全策略相关联的被管理的服务器;发送所述防火墙安全策略至所述目标被管理的服务器,本申请实施例示出的技术方案主机的策略管理功能集成在防火墙模块中,不需要单独购买和部署一套主机策略管理中心软件,减少了财务支出和相应的维护工作,同时,被管理的服务器访问控制策略由防火墙安全策略推导而出,管理员无需再单独为各被管理的服务器配置访问控制策略,减少了配置和维护工作量,同时也确保了网络端和被管理的服务器的策略一致性。附图说明为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为现有技术示出的防火墙安全策略拓扑图;图2为根据一优选实施例示出的一种基于防火墙策略联动的管理主机策略的方法的流程图;图3为根据一优选实施例示出步骤s103的详细流程图;图4为根据一优选实施例示出步骤s102的详细流程图;图5为根据一优选实施例示出的主机策略联动控制装置的结构框图。具体实施方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。为了便于描述,下面对本发明实施例中出现的部分名词或术语进行详细说明。防火墙:是一项协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过,防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。防火墙最基本的功能就是控制在计算机网络中,不同信任程度区域间传送的数据流。例如互联网是不可信任的区域,而内部网络是高度信任的区域。以避免安全策略中禁止的一些通信,与建筑中的防火墙功能相似。它有控制信息基本的任务在不同信任的区域。典型信任的区域包括互联网(一个没有信任的区域)和一个内部网络(一个高信任的区域)。最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之间根据最少特权原则。端口:是计算机与外界通讯交流的出口。值得注意的是,在本申请实施例示出的技术方案中,用户端即被管理服务器端。主机策略联动控制装置,其实和服务器,有时候是互用。有时候又称为服务器主机策略联动控制装置。实施例1:技术示出的防火墙主机策略管理的方案存在的技术问题,本申请实施例第一方面示出一种基于防火墙策略联动的管理主机策略的方法,具体的,请参阅图2,所述方法包括:s101分析防火墙安全策略;本申请实施例示出的安全策略包括:域间安全策略和/或域内安全策略:用于控制域间流量和/或域内的流量,此时的安全策略既有传统包过滤功能,也有对流量进行ips、av、web过滤、应用控制等进一步的应用层检测的作用。域间和/或域内安全策略是包过滤、utm应用层检测等多种安全检查同时实施的一体化策略。应用在接口上的过滤规则:用于控制接口的流量,即基于ip、mac地址等二、三层报文属性直接允许或拒绝报文通过。域间安全策略需要设置转发出入口方向即inbound和outbound:转发策略:控制设备转发的流量,包括传统的包过滤和应用层的utm检测。本地策略:控制外界与设备的互访,只根据五元组进行控制。域内安全策略:基本策略同上,唯一区别是不需要设置转发出入口,且不能对local域内流量控制。utm策略(应用层检测):通过设置policy对匹配条件进行判断(action{permit|deny}ips、av等utm策略,默认action为permit)。在所述防火墙安全策略建立的过程中,预置关联规则也相应的生成,所述预置关联规则记载着过滤规则与被管理的服务器之间的对应关系。s102确定目标被管理的服务器,所述目标被管理的服务器为与所述防火墙安全策略相关联的被管理的服务器;具体的,可以根据所述被管理的服务器所处的局域网建立关联;主机配置多个防火墙安全策略,在所述防火墙安全策略生成的过程中,与所述防火墙安全策略关联的被管理的服务器便已经确定。防火墙安全策略可以与一组被管理的服务器建立联系,管理员可以将防火墙安全策略发送给一组被管理的服务器,有助于这一组被管理的服务器的统一管理;火墙安全策略可以与单独的被管理的服务器建立联系,相应的防火墙安全策略分别给每个目标被管理的服务器,提高了防火墙安全策略管理的灵活性。如果主防火墙管理员要给一个被管理的服务器发送多个防火墙安全策略的话,需要注意它们之间的顺序,因为多个防火墙安全策略是按照管理员指定的顺序匹配的。防火墙安全策略可以与一组被管理的服务器建立联系为例,具体的防火墙安全策略与被管理的服务器之间的关联如下:(1)防火墙安全策略可以为基于各用户端的身份信息配置的安全策略。例如:可以将被管理的服务器的身份信息(例如用户端的名称、ip地址等)作为关联的依据;例如防火墙安全策略对应的过滤规则为:只允许接收流量,拒绝向外传输流量,该过滤规则对应的是公司内部的财政部门的被管理的服务器;可以将财政部身份信息(例如用户端的名称、ip地址等)与上述安全策略建立联系;财政部门的所有的被管理的服务器即为上述安全策略目标被管理的服务器。在实际应用的过程中,也可根据某一区域的ip地址与某一安全策略建立联系;主机在防火墙安全策略生成的过程中,在对被管理的服务器进行认证时,可以获取到用户端的身份信息,即被管理的服务器名称或者ip地址。为了便于查找目标被管理的服务器,可以在主机上配置基于各用户端的身份信息的安全策略。如上述防火墙安全策略完成构建后,当用户端服务上线时,主机会对被管理的服务器进行认证,判断由该被管理的服务器的身份信息是否与该防火墙安全策略相匹配,即是否为财务部门的被管理的服务器,若匹配则确定,发送所述防火墙安全策略至所述目标被管理的服务器;如不匹配,拒绝发送所述防火墙安全策略至所述被管理的服务器。(2)防火墙安全策略可以为基于各数据源配置的安全策略。防火墙安全策略为分组策略,设置为某一防火墙安全策略的目标被管理的服务器,数据源即为分组依据。例如:数据源为192.168.10.0/24的外接设备,允许向业务部门服务器传输流量;则在防火墙安全策略的构建过程中,业务部门服务器身份信息(例如用户端的名称、ip地址等)与上述安全策略建立联系(即预置关联规则);主机接收上述防火墙安全策略,根据预置关联规则确定业务部门的所有的被管理的服务器即为上述安全策略目标被管理的服务器。s103发送所述防火墙安全策略至所述目标被管理的服务器。本申请实施例示出的技术方案主机的策略管理功能集成在防火墙中,不需要单独购买和部署一套主机策略管理中心软件,减少了财务支出,同时,被管理的服务器访问控制策略由主机发送相应的防火墙安全策略,管理员无需再单独为各被管理的服务器配置访问控制策略,减少了维护工作量,同时也确保了管理器服务器和被管理的服务器的策略一致性。值得注意的是,本申请时实施例中的控制策略,及控制端(被管理的服务器)的安全策略。实施例2:在实际应用中常常伴随着防火墙安全策略更新,或控制策略被更改的问题的出现,导致防火墙失效,给企业带来一系列的损失,为了解决上述技术问题,本申请实施例示出的技术方案示出一种防火墙监控方案,具体的,请继续参阅图2;实施例2示出的技术方案与实施例1示出的技术方案具有相似的步骤,唯一的区别在于,实施例1示出的技术方案所述方法还包括:s104访问所述被管理的服务器的控制策略;s105判断所述控制策略与所述防火墙安全策略是否一致;本申请实施例示出的技术方案判断控制策略与防火墙安全策略是否一致的方案主要通过控制策略与安全策略达到的效果来确定控制策略与防火墙安全策略是否一致;具体的,例如,原本第一安全策略为允许第一用户端接收源为192.168.10.0/24传输的流量;拒绝接收源为192.168.10.0/22传输的流量;在访问第一用户端的过程中发现,第一用户端接收了源为192.168.10.0/22传输的流量,显然,第一被管理的服务器的控制策略与主机的安全策略达到的效果是不一致的,此时断定控制策略与防火墙安全策略不一致。再例如,原本第二安全策略为允许用户端访问网络资源的时间段为9:00至11:00,第二被管理的服务器接收的控制策略允许用户端访问网络资源的时间段为9:00至11:00;随着系统的更新,以及,公司内部需求,主机将安全策略更新为允许用户端访问网络资源的时间段更新为9:00至10:00;在访问所述被管理的服务器的控制策略的过程中,会发现在10:00之后仍存在用户端端访问网络资源现象的出现,由此,断定户端服务器的控制策略与主机的安全策略达到的效果是不一致的时断定控制策略与防火墙安全策略不一致。若不一致,s106发出告警或重新同步策略。同步策略的过程中,确定是被管理的服务器的控制策略被更改还是管理端服务器发生了更新,升级,或变更。如果被管理的服务器的控制策略被更改,例如:原本第一安全策略为允许第一用户端接收源为192.168.10.0/24传输的流量;拒绝接收源为192.168.10.0/22传输的流量;在访问第一被管理的服务器的过程中发现,第一用户控制策略修改为允许接收192.168.10.0/22传输的流量,此时确定第一用户端的控制策略被更改,相应的主机将再次发送第一安全策略至第一被管理的服务器。而不是将第一安全策略发送至与第一安全策略对应的一组目标被管理的服务器。再例如,原本第二安全策略为允许用户端访问网络资源的时间段为9:00至11:00,第二被管理的服务器接收的控制策略允许用户端访问网络资源的时间段为9:00至11:00;显然是第二安全策略发生的更新,此时将更新后的第二安全策略发送至所有第二安全策略对应的目标被管理的服务器。若不一致,s107不作为。可见,本申请实施例示出的技术方案会定期去查看被管理的被管理的服务器上的访问控制策略,若发现与防火墙上的安全策略不一致,则会根据设置进行告警或重新同步策略,以使两者的策略始终保持一致。实施例3:在实际应用中常常伴随着主机的防火墙安全策略与被管理的服务器的控制策略所基于的程序语言不一致的现象出现,此时直接将防火墙安全策略发送至被管理的服务器显然防火墙安全策略不能直接被识别,为了解决上述技术问题,本申请实施例示出一种安全策略与控制策略的转换方法,具体的,请参阅图3:实施例3示出的技术方案与实施例1示出的技术方案具有相似的步骤,唯一的区别在于实施例1示出技术方案中所述发送防火墙安全策略至所述目标被管理的服务器的步骤包括以下的步骤:s1031将所述防火墙安全策略转化为目标被管理的服务器可识别的控制策略;本申请实施例示出的技术方案涉及防火墙安全策略与被管理的服务器侧访问控制策略的语句规则之间的转换。具体的转换过程:例如:防火墙上配置的一条安全策略,允许源网段为192.168.10.0/24,可以访问目的ip为192.168.0.250,目的端口为445的服务。其在防火墙上的配置规则为:policyanyanysource192.168.10.0/24destinition192.168.0.250tcpdst-port445actionpermit假如目的ip192.168.0.250是个centos服务器,那么在该服务器主机上配置同样的规则,其语句为:iptables-iinput-s192.168.10.0/24-ptcp--dport445-jaccept转换的本质就是提取出防火墙安全策略中与访问控制规则相关的元素,然后以服务器主机的语法填充为服务器可识别和应用的访问控制规则。s1032发送所述控制策略至所述目标被管理的服务器。可见本申请实施例示出的技术方将防火墙安全策略转化为目标被管理的服务器可识别的控制策略,保证主机发送的防火墙安全策略能够成功的被管理的服务器所识别,提高了本申请实施例示出的技术方案的适用性,被管理的服务器访问控制策略由防火墙安全策略推导而出,管理员无需再单独为各被管理的服务器配置访问控制策略,减少了维护工作量,同时也确保了主机和被管理的服务器的策略一致性。实施例4:实施例4示出的技术方案与实施例1示出的技术方案具有相似的步骤,唯一的区别在于实施例1示出的技术方案中,所述确定目标被管理的服务器的步骤以下步骤,具体的请参阅图4:s1021解析所述防火墙安全策略的预置关联规则;所述预置关联规则基于源地址,源端口,目的地址,目的端口设置。预置关联规则记载着防火墙安全策略与被管理的服务器的关联关系;具体的通过,源端口,目的地址,目的端口记载防火墙安全策略与被管理的服务器的关联关系。在所述防火墙安全策略生成的过程中便生成预置关联规则,所述预置关联规则记载着源地址,源端口,目的地址,目的端口;网络管理员根据业务情况在防火墙上配置相应的安全访问策略。比如,市场部网络为192.168.10.0/24,市场部的文件共享服务器为192.168.250.3。设置默认策略动作为拒绝,然后增加一条允许访问策略:源为192.168.10.0/24,目的为192.168.250.3,目的端口为445,动作为允许。预置关联规则的源端口为:源端口192.168.250.3;源为192.168.10.0/24,目的为192.168.250.3,目的端口为445;s1022遍历被管理的服务器数组,确定满足所述预置关联规则的被管理的服务器为目标被管理的服务器;遍历被管理的服务器数组,ip地址为192.168.250.3即为目标被管理的服务器;s1023建立与所述目标被管理的服务器的联系。具体的实现过程如下:步骤s100:网络管理员根据业务情况在防火墙上配置相应的安全访问策略。比如,市场部网络为192.168.10.0/24,市场部的文件共享服务器为192.168.250.3。设置默认策略动作为拒绝,然后增加一条允许访问策略:源为192.168.10.0/24,目的为192.168.250.3,目的端口为445,动作为允许。步骤s200:添加ip地址192.168.250.3为被管理的被管理的服务器,并提供用户名、密码,以便于后续能ssh登录到该被管理的服务器上。步骤s300:策略分析模块开始分析防火墙上的安全访问策略,找出与192.168.250.3相关的策略,并调用策略关联模块,使这些策略关联到192.168.250.3上。步骤s400:策略转换模块把192.168.250.3上关联的防火墙安全策略,转换为192.168.250.3上能识别的访问控制策略,并传递给策略下发模块。步骤s500:策略下发模块利用主机管理模块提供的信息,ssh登录到192.168.250.3上,并配置关联的访问控制策略到192.168.250.3上。步骤s600:策略状态监测模块定期去192.168.250.3上查看访问控制策略,若发现与防火墙上的安全策略不一致,则重新下发关联的访问控制策略到192.168.250.3上。本申请实施例第二方面示出一种基于防火墙策略联动的管理主机策略联动控制装置策略的服务器,所述主机策略联动控制装置包括:关联模块,用于分析防火墙安全策略与目标被管理的服务器之间的关联关系;策略转换模块,用于把和目标被管理的服务器相关联的防火墙安全策略转换为目标被管理的服务器能识别的控制策略;策略下发模块,用于向管理的目标被管理的服务器下发与其对应的控制策略。可选择的,所述主机策略联动控制装置还包括:策略状态监测模块,用于定期去查看被管理的服务器的控制策略,若发现与防火墙安全策略不一致,则会发出告警或重新同步策略。可选择的,所述主机策略联动控制装置还包括:策略转换模块,用于将防火墙安全策略,转换为被管理的服务器能识别的访问控制策略。可选择的,所述主机策略联动控制装置还包括:策略分析模块,用于对安全策略的预置关联规则内容进行分析,解析出安全策略的预置关联规则涉及的源、目的以及访问端。本发明提出了本申请实施例第二方面示出一种基于防火墙策略联动的管理主机策略联动控制装置策略的系统,所述系统包括:集成在防火墙上的主机策略联动控制装置策略联动控制软件,以及,与防火墙网络相连接的被管理的服务器;所述被管理的服务器用于接收控制策略;所述主机策略联动控制装置模块之间的关系如图5所示:所述主机策略联动控制装置包括:关联模块,用于分析防火墙安全策略与目标被管理的服务器之间的关联关系;策略转换模块,用于把和目标被管理的服务器相关联的防火墙安全策略转换为目标被管理的服务器能识别的控制策略;策略下发模块,用于向管理的目标被管理的服务器下发与其对应的控制策略。可选择的,所述主机策略联动控制装置还包括:策略状态监测模块,用于定期去查看被管理的服务器的控制策略,若发现与防火墙安全策略不一致,则会发出告警或重新同步策略。可选择的,所述主机策略联动控制装置还包括:策略转换模块,用于将防火墙安全策略,转换为被管理的服务器能识别的访问控制策略。可选择的,所述主机策略联动控制装置还包括:策略分析模块,用于对安全策略的预置关联规则内容进行分析,解析出安全策略的预置关联规则涉及的源、目的以及访问端。该发明的工作原理如下:策略分析模块以当前配置的防火墙安全策略为输入,对每条安全策略的规则内容进行分析,解析出该规则涉及的源、目的以及访问端口等,然后调用策略关联模块,确定出该规则与哪个被管理的服务器有关联,并把该规则关联到该被管理的服务器。建立起被管理的服务器与安全策略的关联关系后,调用策略转换模块,把关联的防火墙安全策略,转换为被管理的服务器能识别的访问控制策略,并把转换后的访问控制策略传递给策略下发模块。策略下发模块结合主机策略联动控制装置管理模块,把访问控制策略下发到被管理的服务器上。策略状态监测模块,会定期去查看被管理的被管理的服务器上的访问控制策略,若发现与防火墙上的安全策略不一致,则会根据设置进行告警或重新同步策略,以使两者的策略始终保持一致。由以上技术方案可知,本申请实施例示出一种基于防火墙策略联动的管理主机策略联动控制装置策略的方法及系统,所述方法包括:分析防火墙安全策略;确定目标被管理的服务器,所述目标被管理的服务器为与所述防火墙安全策略相关联的被管理的服务器;发送所述防火墙安全策略至所述目标被管理的服务器,本申请实施例示出的技术方案主机策略联动控制装置的策略管理功能集成在防火墙模块中,不需要单独购买和部署一套主机策略联动控制装置策略管理中心软件,减少了财务支出和相应的维护工作,同时,被管理的服务器访问控制策略由防火墙安全策略推导而出,管理员无需再单独为各被管理的服务器配置访问控制策略,减少了配置和维护工作量,同时也确保了网络端和被管理的服务器的策略一致性。本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本发明的其它实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本
技术领域:
:中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明的真正范围和精神由下面的权利要求指出。应当理解的是,本发明并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。值得注意的是,具体实现中,本申请还提供一种计算机存储介质,其中,该计算机存储介质可存储有程序,该程序执行时可包括本申请提供的用户身份的服务提供方法或用户注册方法的各实施例中的部分或全部步骤。所述的存储介质可为磁碟、光盘、只读存储记忆体(英文:read-onlymemory,简称:rom)或随机存储记忆体(英文:randomaccessmemory,简称:ram)等。本领域的技术人员可以清楚地了解到本申请实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本申请实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如rom/ram、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例或者实施例的某些部分所述的方法。本说明书中各个实施例之间相同相似的部分互相参见即可。尤其,对于用户身份的服务提供装置或用户注册装置的实施例而言,由于其基本相似于方法实施例,所以描述的比对简单,相关之处参见方法实施例中的说明即可。本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性更新,这些变型、用途或者适应性更新遵循本申请的一般性原理并包括本申请未公开的本
技术领域:
:中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求指出。当前第1页12当前第1页12