CN101714997A - 防火墙策略生成方法、装置及系统 - Google Patents
防火墙策略生成方法、装置及系统 Download PDFInfo
- Publication number
- CN101714997A CN101714997A CN201010000688A CN201010000688A CN101714997A CN 101714997 A CN101714997 A CN 101714997A CN 201010000688 A CN201010000688 A CN 201010000688A CN 201010000688 A CN201010000688 A CN 201010000688A CN 101714997 A CN101714997 A CN 101714997A
- Authority
- CN
- China
- Prior art keywords
- address
- demand
- policy
- source
- destination address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种防火墙策略生成方法、装置及系统,其中,防火墙策略生成方法包括:接收包含需求源地址、需求目的地址和需求服务类型的策略需求信息;根据需求源地址和需求目的地址从预存的地址区域关系表中获取源服务器和目的服务器所在的区域;根据源服务器和目的服务器所在的区域从预存的区域与策略关系表中获取源服务器和目的服务器所在区域对应的包含策略源地址、策略目的地址和策略服务类型的区域策略信息;将需求源地址与策略源地址进行逻辑运算生成源地址逻辑结果,将需求目的地址与策略目的地址进行逻辑运算生成目的地址逻辑结果,将需求服务类型与策略服务类型进行逻辑运算生成服务类型逻辑结果;根据源地址逻辑结果、目的地址逻辑结果和服务类型逻辑结果以及需求状态和策略状态的关系生成防火墙策略。
Description
技术领域
本发明涉及计算机网络安全技术领域,特别地,涉及一种防火墙策略生成方法、装置及系统。
背景技术
目前,银行数据中心部署防火墙、实施防火墙策略的工作越来越多。据初步统计,一个银行数据中心的防火墙策略变更数量占该银行数据中心总变更数量的40%以上。由于目前防火墙策略变更步骤的编写、实施是工作人员依据防火墙策略申请表手动操作完成的,因此,编写、实施大量防火墙策略变更步骤不仅工作量巨大,而且容易出错。一旦出错就会影响银行网络的正常运行,影响银行业务的正常运行。为此,相关行业一直在研究防火墙策略的自动化维护技术,但是都没有取得实质性进展,主要原因在于:由于防火墙策略表现为源IP地址、目的IP地址和策略端口(即服务)三重纬度,每个纬度的元素都有多种表现形式,因此这三重纬度综合表现形式就是一个天文数字,同时防火墙策略生成步骤编写又需要依赖人工的运维经验,依赖人工的参与和判断,因此,目前的防火墙策略生成技术存在操作复杂、准确度较低的问题。
发明内容
本发明实施例的主要目的在于提供一种防火墙策略生成方法、装置及系统,以解决现有技术中的防火墙策略生成技术存在的操作复杂、准确度较低的问题。
为了实现上述目的,本发明实施例提供一种防火墙策略生成方法,该方法包括:接收包含需求源地址、需求目的地址、需求服务类型和需求状态的策略需求信息;根据所述的需求源地址和需求目的地址从预存的地址区域关系表中获取源服务器和目的服务器所在的区域;根据所述的源服务器和目的服务器所在的区域从预存的区域与策略关系表中获取所述源服务器和目的服务器所在区域对应的包含策略源地址、策略目的地址、策略服务类型和策略状态的区域策略信息;将所述的需求源地址与策略源地址进行逻辑运算生成源地址逻辑结果,将所述的需求目的地址与策略目的地址进行逻辑运算生成目的地址逻辑结果,将所述的需求服务类型与策略服务类型进行逻辑运算生成服务类型逻辑结果,将所述的需求状态与策略状态进行比较生成状态比较结果;根据所述的源地址逻辑结果、目的地址逻辑结果、服务类型逻辑结果以及状态比较结果生成防火墙策略。
具体地,根据所述的源地址逻辑结果、目的地址逻辑结果、服务类型逻辑结果以及状态比较结果生成防火墙策略包括:如果所述的源地址逻辑结果为策略源地址与需求源地址有交集,所述的目的地址逻辑结果为策略目的地址与需求目的地址有交集,所述的服务类型逻辑结果为策略服务类型与需求服务类型有交集,所述的状态比较结果为需求状态与策略状态不同,则所述生成的防火墙策略为根据所述的策略需求信息在所述的区域策略信息之前增加新的策略;如果所述的源地址逻辑结果为策略源地址与需求源地址相同,所述的目的地址逻辑结果为策略目的地址与需求目的地址相同,所述的服务类型逻辑结果为需求服务类型包含策略服务类型,所述的状态比较结果为需求状态与策略状态相同,则所述生成的防火墙策略为根据所述的策略需求信息在所述的区域策略信息中增加新的服务类型;如果所述的源地址逻辑结果为策略源地址与需求源地址相同,所述的目的地址逻辑结果为需求目的地址包含策略目的地址,所述的服务类型逻辑结果为策略服务类型与需求服务类型相同,所述的状态比较结果为需求状态与策略状态相同,则所述生成的防火墙策略为根据所述的策略需求信息在所述的区域策略信息中增加新的目的地址;如果所述的源地址逻辑结果为需求源地址包含策略源地址,所述的目的地址逻辑结果为策略目的地址与需求目的地址相同,所述的服务类型逻辑结果为策略服务类型与需求服务类型相同,所述的状态比较结果为需求状态与策略状态相同,则所述生成的防火墙策略为根据所述的策略需求信息在所述的区域策略信息中增加新的源地址。
根据所述的源地址逻辑结果、目的地址逻辑结果、服务类型逻辑结果以及状态比较结果生成防火墙策略之后,上述方法还包括:将防火墙策略更新到区域与策略关系表中。
具体地,根据所述的源地址逻辑结果、目的地址逻辑结果、服务类型逻辑结果以及状态比较结果生成防火墙策略还包括:如果所述的源地址逻辑结果为策略源地址包含需求源地址,所述的目的地址逻辑结果为策略目的地址包含需求目的地址,所述的服务类型逻辑结果为策略服务类型包含需求服务类型,所述的状态比较结果为需求状态与策略状态相同,则所述生成的防火墙策略为所述的区域策略信息。
本发明实施例还提供一种防火墙策略生成装置,该装置包括:需求信息接收单元,用于接收包含需求源地址、需求目的地址、需求服务类型和需求状态的策略需求信息;区域获取单元,用于根据所述的需求源地址和需求目的地址从预存的地址区域关系表中获取源服务器和目的服务器所在的区域;区域策略获取单元,用于根据所述的源服务器和目的服务器所在的区域从预存的区域与策略关系表中获取所述源服务器和目的服务器所在区域对应的包含策略源地址、策略目的地址、策略服务类型和策略状态的区域策略信息;逻辑运算单元,用于将所述的需求源地址与策略源地址进行逻辑运算生成源地址逻辑结果,将所述的需求目的地址与策略目的地址进行逻辑运算生成目的地址逻辑结果,将所述的需求服务类型与策略服务类型进行逻辑运算生成服务类型逻辑结果,将所述的需求状态与策略状态进行比较生成状态比较结果;防火墙策略生成单元,用于根据所述的源地址逻辑结果、目的地址逻辑结果、服务类型逻辑结果和状态比较结果生成防火墙策略。
具体地,上述防火墙策略生成单元包括:
第一防火墙策略生成模块,用于在所述的源地址逻辑结果为策略源地址与需求源地址有交集、所述的目的地址逻辑结果为策略目的地址与需求目的地址有交集、所述的服务类型逻辑结果为策略服务类型与需求服务类型有交集、所述的状态比较结果为需求状态与策略状态不同时,根据所述的策略需求信息在所述的区域策略信息之前增加新的策略;
第二防火墙策略生成模块,用于在所述的源地址逻辑结果为策略源地址与需求源地址相同、所述的目的地址逻辑结果为策略目的地址与需求目的地址相同、所述的服务类型逻辑结果为需求服务类型包含策略服务类型、所述的状态比较结果为需求状态与策略状态相同时,根据所述的策略需求信息在所述的区域策略信息中增加新的服务类型;
第三防火墙策略生成模块,用于在所述的源地址逻辑结果为策略源地址与需求源地址相同、所述的目的地址逻辑结果为需求目的地址包含策略目的地址、所述的服务类型逻辑结果为策略服务类型与需求服务类型相同、所述的状态比较结果为需求状态与策略状态相同时,根据所述的策略需求信息在所述的区域策略信息中增加新的目的地址;
第四防火墙策略生成模块,用于在所述的源地址逻辑结果为需求源地址包含策略源地址、所述的目的地址逻辑结果为策略目的地址与需求目的地址相同、所述的服务类型逻辑结果为策略服务类型与需求服务类型相同、所述的状态比较结果为需求状态与策略状态相同时,根据所述的策略需求信息在所述的区域策略信息中增加新的源地址。
具体地,上述防火墙策略生成单元还包括:第五防火墙策略生成模块,用于在所述的源地址逻辑结果为策略源地址包含需求源地址、所述的目的地址逻辑结果为策略目的地址包含需求目的地址、所述的服务类型逻辑结果为策略服务类型包含需求服务类型、所述的状态比较结果为需求状态与策略状态相同时,将所述区域策略获取单元获取的区域策略信息作为所述生成的防火墙策略。
上述装置还包括:策略更新单元,用于将生成的防火墙策略更新到区域与策略关系表中。
本发明实施例还提供一种防火墙策略生成系统,该系统包括上述的防火墙策略生成装置。
借助于上述技术方案至少之一,通过根据需求源地址和需求目的地址从地址区域关系表中确定源服务器和目的服务器所在的区域,然后根据源服务器和目的服务器所在的区域从区域与策略关系表中确定区域策略信息,进而将需求源地址与策略源地址、需求目的地址与策略目的地址、需求服务类型与策略服务类型分别进行逻辑运算以及将需求状态与策略状态进行比较,之后根据逻辑运算和比较结果生成防火墙策略,该生成防火墙策略的方案实现较简单并且准确度较高。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例的防火墙策略生成方法的流程图;
图2是根据本发明实施例的数字化处理过程中multiple-communication的一个示意图;
图3是现有技术中的一种网络结构的示意图;
图4是根据本发明实施例的防火墙策略生成方法的详细流程图;
图5是根据本发明实施例生成的防火墙策略清单;
图6是根据本发明实施例的防火墙策略生成装置的结构框图;
图7是根据本发明实施例的防火墙策略生成装置中防火墙策略生成单元605的结构框图;
图8是根据本发明实施例的防火墙策略生成装置的具体结构框图;
图9是根据本发明实施例的防火墙策略生成系统的结构示意图;
图10是根据本发明实施例的防火墙虚拟机策略匹配和现有技术中的防火墙引擎策略匹配的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供一种防火墙策略生成方法、装置及系统。以下结合附图对本发明进行详细说明。
首先,定义以下实施例中出现的术语:
防火墙(firewall):一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的边界上构造的保护屏障;
防火墙策略(policy):控制流量访问的一些规则;
变更:对网络设备或者应用系统做的调整;
地址(address):一个host地址或者子网地址;
地址组(group address):多个address的集合;
服务(service):某种协议某种端口的访问,例如:tcp 4100端口;
服务组(group service):多个服务的集合;
日程(scheduler):防火墙策略有效的时间范围;
区域(zone):防火墙隔离的不同网络,例如内网和外网分别可以作为一个区域;
需求状态(action):需求信息中的访问控制状态,包括开通状态(permit)或者拒绝状态(deny);
策略状态(action):区域与策略关系表中的策略状态,包括开通状态(permit)或者拒绝状态(deny)。
实施例一
本发明实施例提供一种防火墙策略生成方法,如图1所示,该方法包括:
步骤101,接收包含需求源地址、需求目的地址、需求服务类型和需求状态的策略需求信息;
步骤102,根据需求源地址和需求目的地址从预存的地址区域关系表中获取源服务器和目的服务器所在的区域;
步骤103,根据源服务器和目的服务器所在的区域从预存的区域与策略关系表中获取源服务器和目的服务器所在区域对应的包含策略源地址、策略目的地址、策略服务类型和策略状态的区域策略信息;
步骤104,将需求源地址与策略源地址进行逻辑运算生成源地址逻辑结果,将需求目的地址与策略目的地址进行逻辑运算生成目的地址逻辑结果,将需求服务类型与策略服务类型进行逻辑运算生成服务类型逻辑结果,将需求状态与策略状态进行比较生成状态比较结果;
步骤105,根据源地址逻辑结果、目的地址逻辑结果、服务类型逻辑结果以及状态比较结果生成防火墙策略。
由以上描述可以看出,通过根据需求源地址和需求目的地址从地址区域关系表中确定源服务器和目的服务器所在的区域,然后根据源服务器和目的服务器所在的区域从区域与策略关系表中确定区域策略信息,进而将需求源地址与策略源地址、需求目的地址与策略目的地址、需求服务类型与策略服务类型分别进行逻辑运算、以及将需求状态与策略状态进行比较,之后根据逻辑运算和比较结果生成防火墙策略,相比于现有技术,通过本发明实施例生成的防火墙策略实现较简单并且准确度较高。
在执行完步骤105之后,还需要将生成的防火墙策略更新到区域与策略关系表中,以及时更新区域与策略关系表,以便后续网络的正常工作。
以下分别详细描述上述步骤102-105。
(一)步骤102
根据接收的策略需求信息中的需求源地址和需求目的地址分别从预存的地址区域关系表中查找与源地址对应的源区域(即,源服务器所在的区域)、和与目的地址对应的目的区域(即,目的服务器所在的区域)。
其中,地址区域关系表用于表示区域与地址之间的映射关系,该地址区域关系表由网络中的路由信息、接口信息和区域信息构成。例如,区域A中包含地址为192.168.3.1和192.168.4.1的服务器,区域B中包含地址为172.16.3.1的服务器,则地址区域关系表可以用如下表1表示:
表1
如果从策略需求信息获取的源地址和目的地址分别为192.168.3.1和172.16.3.1,则通过表1可知,源区域为A区域,目的区域为B区域。
(二)步骤103
根据源区域和目的区域在预存的区域与策略关系表获取区域策略信息,该区域策略信息包括策略源地址、策略目的地址、策略服务类型和策略状态。
其中,区域与策略关系表用于表示区域访问方向与策略之间的映射关系,即,表示区域之间访问的策略。该区域与策略关系表按照区域的访问方向将策略分组,如将访问方向相同(即源目区域相同)的策略归为一组。例如,访问方向与策略关系表可以用如下表2表示:
表2
访问方向 | 区域策略 |
A→B | 策略1策略2 |
访问方向 | 区域策略 |
B→A | 策略3 |
一般情况下,防火墙是一种作为不同区域网络进行互联的设备,同一个区域之间的相互访问不经过防火墙,因此防火墙上一般不存在控制相同区域设备之间相互访问的策略;而不同区域之间的访问会经过防火墙,根据需求的不同,相同访问方向也会有多条不同的策略。如果是从区域A访问区域B,根据访问的源地址、目的地址、服务类型以及策略状态的不同,可能会被策略1或者策略2所决定是否能被允许通过。同一个访问方向的多条策略之间是有优先级区分的,优先级由策略在配置中的顺序决定,出现在前面的策略比出现在后面的策略的优先级高,也就是说,如果A→B访问方向的两条策略1和2的源地址、目的地址、服务类型完全相同(例如,都是192.168.1.1访问172.16.1.1的http服务),但是只有策略状态(Action)不同,如,策略1的Action是deny,策略2的Action是permit,策略1出现在策略2前面,那么192.168.1.1访问172.16.1.1的http服务优先被策略1匹配,策略1的状态为deny,则192.168.1.1访问172.16.1.1的http服务被拒绝。
(三)步骤104
根据策略需求信息、以及区域策略信息确定策略匹配关系,即,分别将需求源地址与策略源地址、需求目的地址与策略目的地址、需求服务类型与策略服务类型进行逻辑运算、以及将需求状态与策略状态进行比较。
具体地,将策略需求信息中的源地址、目的地址、服务类型、分别与区域策略信息中的源地址、目的地址、服务类型以集合论算法进行数字化处理,分别得到源地址逻辑结果、目的地址逻辑结果以及服务类型逻辑结果,以及将策略需求信息中的需求状态与区域策略信息中的策略状态进行比较生成状态比较结果;然后根据源地址逻辑结果、目的地址逻辑结果、服务类型逻辑结果以及状态比较结果确定策略匹配关系。
上述源地址逻辑结果、目的地址逻辑结果以及服务类型逻辑结果为以下之一:相离、相交、包含、相等、被包含。其中,相离是指两个集合没有任何交集;相交是指两个集合存在交集,但不包括包含、相等和被包含三种情况;包含和被包含是指其中一个集合包含另一个,但不包括相等这种情况,包含和被包含关系的区别仅限于描述的主体不同;相等是指两个集合包含的元素完全相同。
状态比较结果为相同或者不同,即,比较需求状态与策略状态这两者是否相同。
以下分别描述源地址、目的地址和服务类型以集合论算法进行数字化处理的过程。具体实施时,由于源地址与目的地址格式相同,因此,源地址和目的地址可以使用相同的比较算法来获取逻辑结果,以下将以源地址为例说明数字化处理过程。
1源地址数字化处理
源地址数字化处理的主要思想是将源地址进行数字化处理,使用离散数学关于集合论的算法对数字化处理后的地址集合进行逻辑比较。这样做既可以保证逻辑比较结果的准确性,也可以提高比较速度。具体的算法过程分为以下三步:
(1)数字化有序合并处理
具体的:利用下述公式1先将源地址(即源IP地址)用对应的十进制数值表示,每段地址使用该段地址的起始地址的数值和结束地址的数值表示,然后将多段地址进行合并,合并的时候需要把重叠的地址段做去重处理,并且使合并后的所有数值按照从小到大的顺序排列,使合并后的结果对应于不同的实际地址集合是唯一的。
例如,IP地址为:P3.P2.P1.P0,则IP数值为:
以表3所示的防火墙配置清单中的策略10002、以及图2所示的multiple-communication为例来详细描述源地址数字化处理过程。
表3
如表3所示,配置清单中策略10002的源地址将组地址解析成地址之后,变为四段地址的集合{192.168.2.1/32,192.168.2.2/32,192.168.3.0/24,192.168.4.1/32};根据上述公式1的数字化处理之后变为{[3232236033,3232236033],[3232236034,3232236034],[3232236288,3232236543],[3232236545,3232236545]};由于3232236033和3232236034为连续整数,因此,可以将[3232236033,3232236033]和[3232236034,3232236034]合并为[3232236033,3232236034],从而有序合并之后pS={[3232236033,3232236034],[3232236288,3232236543],[3232236545,3232236545]}。按照同样的算法,对图2中mc的需求源地址集合{192.168.1.1/32,192.168.2.1/32}进行数字化有序合并处理之后变为S={[3232235777,3232235777],[3232236033,3232236033]}。
(2)进行求交集运算
对数字化有序合并处理后得到的集合S和pS进行求交集运算,其过程是对S和pS中的每段地址分别求交集,然后将每段交集合并在一起,这样得到的结果就是S和pS的交集:S∩pS={[3232236033,3232236033]}。
(3)根据交集判断集合关系
在得到S和pS的交集之后,根据交集结果判断S和pS的集合关系:由于S∩pS={[3232236033,3232236033]},因此S∩pS与S不相等,与pS也不相等,并且不为空,由此可以推断出S与pS的关系是相交关系,即,源地址逻辑结果为相交关系。
2服务类型数字化处理
防火墙配置中的服务分为预定义和用户定义两种。预定义服务是指ftp、http、https、telnet等常用服务,这些服务用户使用的时候不需要定义,可以直接引用。用户定义服务是指那些不经常使用的服务,用户使用时需要先定义,这样的服务通常通过tcp、udp端口来定义。
服务类型数字化处理是:将预定义服务的信息进行转换,转换后的格式和用户定义的服务格式一致,即,协议加端口的格式。然后,采用与上述源地址数字化处理相同的方式,对转换格式后的服务类型进行数字化有序合并处理,不同之处在于服务需要注意端口对应的协议有可能不同,数字化有序合并处理后结果需要和协议对应。如图2所示,mc的需求服务集合为{ftp,http},该ftp服务对应tcp协议21号端口,http服务对应tcp协议80号端口,数字化有序合并处理之后得到tcp协议的集合Sv={[21,21],[80,80]}。类似地,如表3所示,配置清单中的策略10002的服务开通的是1352号端口,因此,策略10002的服务经过数字化有序合并处理后也得到tcp协议的集合pSv={[1352,1352]}。通过对Sv和pSv求交集运算之后,得到Sv∩pSv为空集,因此Sv和pSv的集合关系为相离关系,即,服务类型逻辑结果为相离关系。
由以上描述可知,通过将multiple-communication的源地址S和区域策略的源地址pS进行比较,目的地址D和区域策略的目的地址pD进行比较,服务类型Sv和区域策略的服务类型pSv进行比较,分别得到了S和pS、D和pD、Sv和pSv之间的逻辑结果,从而可以得到multiple-communication和区域策略之间的策略匹配关系。具体的策略匹配关系如表4所示:
表4
(四)步骤105
根据上述源地址逻辑结果、目的地址逻辑结果、服务类型逻辑结果以及状态比较结果,依据策略生成表生成防火墙策略。
策略生成表用于表示上述策略匹配关系与防火墙策略之间的映射关系,该策略生成表可以由系统或者工作人员根据网络实际情况预先生成。例如,根据网络实际情况可以预先生成如表5所示的策略生成信息。也就是说,在执行步骤104之后,可以得出源地址逻辑结果、目的地址逻辑结果、服务逻辑以及状态比较结果,利用这四个条件查询表5,不同的情况给出当前策略p的权重以及生成策略的方法。如表5所示:
其中,策略需求信息的源地址集合为S、目的地址集合为D、服务集合为Sv;p为当前区域策略(以下用策略p表示),p的源地址为pS、目的地址为pD、服务为pSv;Action是指该策略的状态是开通/拒绝(permit/deny)。
需要说明的是,策略p是遍历当前访问方向的所有策略依据表5比较之后找到权重最小的策略,权重值越小优先级越高。表5中的权重表示当前区域策略与需求策略之间的关联程度,权重值越小,表示关联程度越高,权重值小的策略将替代权重值大的策略成为新的策略p。该策略p是将要生成策略的参考策略,因为将要生成的策略可能是在策略p的基础上追加需求信息,例如,在策略p之前或之后新增策略以满足需求,当然还可能是策略p已经满足了需求而无需再生成新的策略。
表5
根据表5可知:
如果源地址逻辑结果为策略源地址包含需求源地址,目的地址逻辑结果为策略目的地址包含需求目的地址,服务类型逻辑结果为策略服务类型包含需求服务类型,且需求状态与策略状态为相同,则表示区域策略已完全满足需求,无需生成策略;例如,对于“允许192.168.1.2访问172.168.1.1的http服务”这样的需求,执行步骤104之后,依据表5找到策略p,例如,该策略p为:192.168.1.1和192.168.1.2允许访问172.168.1.1的http服务,则此时可以知道“策略p已满足需求,无需生成策略”;
如果源地址逻辑结果为策略源地址与需求源地址有交集,目的地址逻辑结果为策略目的地址与需求目的地址有交集,服务类型逻辑结果为策略服务类型与需求服务类型有交集,且需求状态与策略状态不同,则生成的防火墙策略为根据策略需求信息在区域策略信息之前增加新的策略,这条新增策略的源地址、目的地址、服务类型和策略状态分别对应需求信息中的源地址、目的地址、服务类型和需求状态,这条新增策略的Action与策略p的Action刚好相反,这样才能满足需求;例如,对于“允许192.168.1.2访问172.16.1.1的http服务”这样的需求,执行步骤104之后,依据表5找到策略p,例如,该策略p为:192.168.1.1和192.168.1.2拒绝访问172.16.1.1的http服务,则此时可以知道需要“在策略p之前新增策略”,即,生成的策略为“允许192.168.1.2访问172.16.1.1的http服务”;
如果源地址逻辑结果为策略源地址与需求源地址相同,目的地址逻辑结果为策略目的地址与需求目的地址相同,服务类型逻辑结果为需求服务类型包含策略服务类型,且需求状态与策略状态相同,则生成的防火墙策略为根据策略需求信息在区域策略信息中增加新的服务类型,即,生成策略为“追加策略p的服务”,表示需要对区域策略p的服务进行扩大;例如,对于“允许192.168.1.2访问172.16.1.1的http服务”这样的需求,执行步骤104之后,依据表5找到策略p,例如,该策略p为:192.168.1.2允许访问172.16.1.1的ftp服务,此时可以知道将策略p的服务扩大为http和ftp,就可以满足需求,即,生成的策略为“允许192.168.1.2访问172.16.1.1的http和ftp服务”;
如果源地址逻辑结果为策略源地址与需求源地址相同,目的地址逻辑结果为需求目的地址包含策略目的地址,服务类型逻辑结果为策略服务类型与需求服务类型相同,且需求状态与策略状态相同,则生成的防火墙策略为根据策略需求信息在区域策略信息中增加新的目的地址,即,生成策略为“追加策略p的目的地址”。例如,对于“允许192.168.1.2访问172.16.1.1和172.16.1.2的http服务”这样的需求,执行步骤104之后,依据表5找到策略p,例如,该策略p为:192.168.1.2允许访问172.16.1.1的http服务,此时可以知道将策略p的目的地址扩大为172.16.1.1和172.16.1.2,就可以满足需求,即,生成的策略为“允许192.168.1.2访问172.16.1.1和172.16.1.2的http服务”;
如果源地址逻辑结果为需求源地址包含策略源地址,目的地址逻辑结果为策略目的地址与需求目的地址相同,服务类型逻辑结果为策略服务类型与需求服务类型相同,且需求状态与策略状态相同,则生成的防火墙策略为根据策略需求信息在区域策略信息中增加新的源地址,即,生成策略为“追加策略p的源地址”。例如,对于“允许192.168.1.1和192.168.1.2访问172.16.1.1的http服务”这样的需求,执行步骤104之后,依据表5找到策略p,例如,该策略p为:192.168.1.2允许访问172.16.1.1的http服务,此时可以知道将策略p的源地址扩大为192.168.1.1和192.168.1.2,就可以满足需求,即,生成的策略为“允许192.168.1.1和192.168.1.2访问172.16.1.1的http服务”;
对于策略匹配关系为“其他情况”时,表示策略需求信息与区域策略不相关,此时生成的策略为“在当前访问方向的所有策略之后新增策略”,以满足策略需求信息。此处的“在当前访问方向的所有策略之后新增策略”与上述生成策略为“在策略p之前新增策略”是不同的,因为“在策略p之前新增策略”对应的策略匹配关系为“S∩pS≠Φ、D∩pD≠Φ、Sv∩pSv≠Φ、Action=不相同”,该策略匹配关系表示策略需求信息与当前区域策略是相关的,因此,“在策略p之前新增策略”也应在策略p的基础上进行修改,而此处的“新增策略”,与策略p是没有关系的。
在满足同样的策略需求时,如果不加任何限制条件的话,会有很多种防火墙策略能让变更后的配置满足需求,因此,如表5所示,在这张表中不同的动作有不同的权重,选择权重最小(即优先级最高)的策略去生成防火墙策略,在该表5,权重都是相等的,表示如果发现了一个权重为0的策略,那么这个策略就成为参考策略,后面如果存在其他权重为0的策略也无法替代成为当前的参考策略,这样的设置在实际使用过程中被证明是有效的,当然也可以适当调整追加参考策略的源地址、目的地址、服务这三种情况的权值,调整之后,可以在同时满足两种或三种情况的时候,能优先按某种追加方式来修改参考策略。
在根据生成的防火墙策略修改策略之前,还需要检查当前配置的状态,以确保不会发生和现有配置有冲突的情况,然后将生成的防火墙策略更新到区域与策略关系表中,以及时更新防火墙策略,这样就可以使下一需求能参考最新的防火墙策略去生成策略。
下面基于图3所示的网络结构、以及表6所示的防火墙策略申请(即上述的策略需求信息)为例,来说明防火墙策略的生成过程。
表6
如图3所示,区域A和区域B之间的访问需要经过防火墙FW,区域A服务器分配的网段为192.168.0.0/16,区域B服务器分配的网段为172.16.0.0/16。
防火墙FW的当前配置可以参考表7,如表7所示,从当前的配置可以看出,防火墙FW只开通了两条访问策略,允许区域A地址为192.168.3.1和192.168.4.1的服务器可以访问区域B地址为172.16.3.1的服务器,且仅开通了tcp的1352端口,策略10002完全被策略10006所包含,策略10002不会被任何session命中;除此之外,其他任何访问都被拒绝。
表7
如图4所示,防火墙策略生成方法包括:
步骤401,以“行”为单位分析策略需求信息,根据预存的地址区域表确定需求源区域和需求目的区域,即,根据源地址“192.168.1.1和192.168.2.1”以及图3所示的网络结构确定源区域为区域A,根据目的地址“172.16.1.1和172.16.2.1”以及图3所示的网络结构确定目的区域为区域B;
步骤402,根据源、目的区域以及预存的区域与策略关系表确定区域策略,即,根据源区域为区域A、目的区域为区域B以及表7所示的配置确定当前区域策略,为策略10002和策略10006;
步骤403,根据上述的步骤104中所述的匹配方法,确定第一行策略需求信息与当前区域策略之间的策略匹配关系,并根据策略匹配关系、以及如表5所示的策略生成表生成防火墙策略,在本例中,将会生成的防火墙策略是策略10001,该访问是被拒绝的;
步骤404,根据步骤403生成的防火墙策略更新区域与策略关系表,即更新表7所示的配置清单。在本示例中,生成的防火墙策略为表5中的第二条策略,即,为满足需求需要在策略10001之前新增条策略。在增加新策略之前,还需要查看新策略要引用的地址、服务是否都已经存在,并将新策略的相关配置更新到区域与策略关系表中;
步骤405,判断是否还有策略需求信息,如果有,则执行步骤401;否则,执行步骤406;在本例中,还需要执行第二行需求;
步骤406,将针对于每行需求信息生成的防火墙策略进行收集整合,以便于呈现给用户。
在执行相应于第二行需求的防火墙策略时,由于区域策略表中新增了一条策略,这条策略为满足第一行需求添加的。此时,根据防火墙策略生成表(表5所示)会匹配到新增的这条策略,为满足需求需要在新增的这条策略上追加http服务,在追加http服务之前,需要查看http服务是否需要定义,如果没有,则在新增的这条策略上追加http服务,并更新到区域与策略关系表中。
最后,用户会得到如图5所示的防火墙策略,不难看出来生成的防火墙策略能够较好理解用户的需求,成功的模拟了人工逻辑,生成了在当前配置中用于满足需求的防火墙策略。
实施例二
本发明实施例还提供一种防火墙策略生成装置,该装置优选地用于实现上述实施例一中的方法,如图6所示,该装置包括:
需求信息接收单元601,用于接收包含需求源地址、需求目的地址、需求服务类型和需求状态的策略需求信息;
区域获取单元602,用于根据需求源地址和需求目的地址从预存的地址区域关系表中获取源服务器和目的服务器所在的区域,其中,地地址区域关系表用于表示区域与地址之间的对应关系;
区域策略获取单元603,用于根据源服务器和目的服务器所在的区域从预存的区域与策略关系表中获取源服务器和目的服务器所在区域对应的包含策略源地址、策略目的地址、策略服务类型和策略状态的区域策略信息;
逻辑运算单元604,用于将需求源地址与策略源地址进行逻辑运算生成源地址逻辑结果,将需求目的地址与策略目的地址进行逻辑运算生成目的地址逻辑结果,将需求服务类型与策略服务类型进行逻辑运算生成服务类型逻辑结果,将需求状态与策略状态进行比较生成状态比较结果;
防火墙策略生成单元605,用于根据源地址逻辑结果、目的地址逻辑结果、服务类型逻辑结果以及状态比较结果生成防火墙策略。
由以上描述可以看出,通过区域获取单元根据需求源地址和需求目的地址从地址区域关系表中确定源服务器和目的服务器所在的区域,然后区域策略获取单元根据源服务器和目的服务器所在的区域从区域与策略关系表中确定区域策略信息,进而逻辑运算单元将需求源地址与策略源地址、需求目的地址与策略目的地址、需求服务类型与策略服务类型分别进行逻辑运算、以及将需求状态与策略状态进行比较,之后防火墙策略生成单元根据逻辑运算和比较结果生成防火墙策略,相比于现有技术,通过本发明实施例生成的防火墙策略实现较简单并且准确度较高。
具体地,如图7所示,上述防火墙策略生成单元605包括:
第一防火墙策略生成模块6051,用于在源地址逻辑结果为策略源地址与需求源地址有交集、目的地址逻辑结果为策略目的地址与需求目的地址有交集、服务类型逻辑结果为策略服务类型与需求服务类型有交集、且状态比较结果为需求状态与策略状态不同时,根据策略需求信息在区域策略信息之前增加新的策略;
第二防火墙策略生成模块6052,用于在源地址逻辑结果为策略源地址与需求源地址相同、目的地址逻辑结果为策略目的地址与需求目的地址相同、服务类型逻辑结果为需求服务类型包含策略服务类型、且状态比较结果为需求状态与策略状态相同时,根据策略需求信息在区域策略信息中增加新的服务类型;
第三防火墙策略生成模块6053,用于在源地址逻辑结果为策略源地址与需求源地址相同、目的地址逻辑结果为需求目的地址包含策略目的地址、服务类型逻辑结果为策略服务类型与需求服务类型相同、且状态比较结果为需求状态与策略状态相同时,根据策略需求信息在区域策略信息中增加新的目的地址;
第四防火墙策略生成模块6054,用于在源地址逻辑结果为需求源地址包含策略源地址、目的地址逻辑结果为策略目的地址与需求目的地址相同、服务类型逻辑结果为策略服务类型与需求服务类型相同、且状态比较结果为需求状态与策略状态相同时,根据策略需求信息在区域策略信息中增加新的源地址。
在具体实施时,防火墙策略生成单元605还包括:第五防火墙策略生成模块(图中未示出),用于在源地址逻辑结果为策略源地址包含需求源地址、目的地址逻辑结果为策略目的地址包含需求目的地址、服务类型逻辑结果为策略服务类型包含需求服务类型、状态比较结果为需求状态与策略状态相同时,将区域策略获取单元获取的区域策略信息作为生成的防火墙策略。
如图8所示,该防火墙策略生成装置还包括:
策略更新单元606,用于将生成的防火墙策略更新到区域与策略关系表中。
上述各单元、各模块的具体执行过程可以参考上述实施例一中的相关描述,本发明不再赘述。
实施例三
本发明实施例还提供一种防火墙策略生成系统,包括如实施例二所述的防火墙策略生成装置,如图9所示,该系统采用三层结构,自上而下依次为展现层1、功能逻辑层2、和数据层3,以下以从下至上的顺序分别描述这三层结构。
数据层3负责向功能逻辑层2提供防火墙的配置信息,分为配置文件31和配置信息数据库30两种方式,配置信息数据库中的数据是通过提前解析配置文件获取的。
功能逻辑层2用于根据防火墙配置信息模拟防火墙设备,向展现层1提供不同的功能。功能逻辑层2按照封装的理念又分为两层,上层为功能接口层21,下层为防火墙虚拟机22。功能接口层具有高可扩展性,便于以后扩展其他功能。目前功能接口层包括防火墙策略校验功能接口210、防火墙策略生成功能接口211、垃圾配置清除功能接口212以及扩展功能接口213。其中,防火墙策略校验功能接口用于向展现层提供防火墙策略校验功能;防火墙策略生成功能接口用于向展现层提供防火墙策略生成功能,该防火墙策略生成功能接口具有上述防火墙策略生成装置的功能;垃圾配置清除功能接口用于向展现层提供垃圾配置清除功能。防火墙虚拟机用于维护和管理防火墙的各种配置信息,向功能接口层提供配置查询、配置更新以及策略匹配的服务。
展现层1用于提供与用户交互的界面,用户可以通过web浏览器10使用防火墙策略生成系统提供的各种功能。
以下结合图9所示的结构,详细描述防火墙虚拟机22。
防火墙虚拟机是防火墙策略生成系统的主要组成部分,分为中央处理单元220和配置信息管理单元221。其中,中央处理单元220包括配置查询模块2200、配置更新模块2201和策略匹配模块2202,这些模块可以高效的获取或者更新配置信息。配置信息管理单元221包含各个子配置管理器,这些子配置管理器用于有条不紊的管理各自的信息,保持各自信息的完整性。其中:
配置信息管理单元是以防火墙配置中各种子元素为类别,分别建立对应的管理器来管理这些子元素。这些管理器按照信息来源分为原始元素管理器和扩展元素管理器(图中未示出)。原始元素管理器是指管理的元素是防火墙配置信息中有直接定义的管理器,这些元素包括策略、地址、地址组、服务、服务组、日程、区域、路由以及接口等等;扩展元素管理器管理的元素在防火墙的配置中找不到直接信息,但是为了满足一些查询功能的需求,需要进行扩展定义。如图9所示,元原始元素管理器包括地址-区域管理器2210和区域-策略管理器2211。其中,地址-区域管理器用于存储地址-区域表,该地址-区域表描述了区域及其地址范围的对应关系,该地址-区域表对应于上述的地址区域表。该地址-区域表可以根据路由表管理器22100中的路有表、接口表管理器22101中的接口表和区域表管理器22102中的区域表这三个原始元素表建立起来,用于快速查询用户提交的防火墙策略需求信息中每行需求的源目区域。区域-策略管理器2211用于存储区域-策略表,该区域-策略表对应于上述的区域与策略关系表,该区域-策略表按照区域的访问方向把策略进行分组,访问方向相同(即源目区域相同)的策略归为一组。该区域-策略表是根据区域表管理器22102中区域表和策略管理器22110中的策略表建立起来的,策略表又是由区域表管理器22102中区域表、地址管理器221100中的地址表、地址组管理器221101中的地址组表、服务组管理器221102中的服务组表、服务管理器221103中的服务表以及日程表管理器221104中的日程表建立而成。策略管理器22110中的策略表和地址-区域管理器2210中的地址-区域表一起使用来加快定位与用户提交的防火墙策略需求匹配的策略,这样可以避免每次策略匹配都和整个策略表进行匹配,缩小了需要匹配的策略的范围,从而可以进一步提高需求与策略匹配过程的性能。
中央处理单元是防火墙虚拟机的核心逻辑单元,该单元通过调用各个元素管理器,对虚拟机中的各个表进行查询和更新操作,对整个虚拟机进行完整性维护。如图9所示,中央处理单元包含了配置查询模块2200、配置更新模块2201以及策略匹配模块2202,其中:
配置查询模块,具有上述区域获取单元和区域策略获取单元的功能,可以对配置中的所有信息进行查询,比如:根据策略ID查询策略信息、根据特定IP地址可以查询那些地址、地址组、策略跟这个IP地址有关、查询某个IP地址是否已经定义过等等。
配置更新模块,具有上述策略更新单元的功能,可以向配置中添加、删除以及更新任何元素的信息,比如:向配置中增加一个地址、从配置中删除一个策略、向配置中某个策略追加服务等等,所有这些更新操作都会检查当前配置的状态,确保不会发生和现有配置有冲突的情况,以确保虚拟机中配置信息的完整。
策略匹配模块,具有逻辑运算单元和防火墙策略生成单元的功能,该策略匹配模块可以根据提供的源地址、目的地址和服务类型和需求状态去匹配策略。
本实施例中的防火墙虚拟机与现有技术中的防火墙处理引擎的最大不同是:防火墙处理引擎中策略匹配算法处理的单位是single-communication(单通信),而在防火墙虚拟机中与策略匹配的单位既可能是single-communication,又可能是multiple-communication(多通信,可以简称为mc)。其中,single-communication是指一次网络通信,通信报文的源地址、目的地址和服务(可以对应一个像ping、traceroute这样的三层服务,也可以对应一个tcp/udp端口)各只有一个。而multiple-communication是多个single-communication的集合,multiple-communication的表示方式为源地址集合S,目的地址集合D和服务集合Sv的笛卡尔积(S×D×Sv)。
在multiple-communication和当前区域策略进行匹配的时候,如果把multiple-communication分解为若干个single-communication的集合,然后按照防火墙引擎的算法和策略进行匹配理论上是可行的,但是在实际操作中,这种方法是不可取的,理由如下:
以图10所示为例:mc源地址有两个地址{192.168.1.1,192.168.2.1},目的地址有两个地址{172.16.1.1,172.16.2.1},服务有两个{ftp,http},则mc会分解成包含S.size×D.size×Sv.size=2×2×2=8个single-communication的集合:
{(192.168.1.1,172.16.1.1,ftp),(192.168.1.1,172.16.1.1,http),
(192.168.1.1,172.16.1.2,ftp),(192.168.1.1,172.16.1.2,http),
(192.168.1.2,172.16.1.1,ftp),(192.168.1.2,172.16.1.1,http),
(192.168.1.2,172.16.1.2,ftp),(192.168.1.2,172.16.1.2,http)};
此时,一个multiple-communication将会被分解为8个single-communication去和当前区域策略匹配。由于图10中所示得S、D和Sv每个集合的元素个数都比较少,分解前后策略匹配的性能看不出明显的差异,但是当其中某个集合元素个数很多的时候,分解出来的single-communication数量会很大,比如说当源地址中增加一个A类地址,那么将会产生数量庞大的single-communication,这时性能上的差异将十分明显。
在本实施例中,防火墙虚拟机的策略匹配模块采用的是集合处理方法,即实施例一中步骤104所述的将源地址、目的地址和服务类型以集合论算法进行数字化处理,该数字化处理,由于不需要对multiple-communication进行分解,省去了数量庞大的策略比较带来的性能开销。具体地处理过程,可以参考上述的相关描述,这里不再赘述。
在具体实施时,防火墙策略生成系统以“行”为单位分析策略需求信息,根据策略需求信息中的源、目的地址调用虚拟机的配置查询模块,配置查询模块通过检索“地址-区域表”返回源、目的区域;然后,根据源、目的区域,配置查询模块再次通过检索“区域-策略表”确定当前区域策略;最后在返回的当前区域策略中调用虚拟机的策略匹配模块,得到最后的匹配结果,以生成防火墙策略。
通过本实施例,可以实现防火墙策略的自动化维护处理,提高了防火墙策略生成和变更的效率。
综上所述,通过本发明实施例生成的防火墙策略实现较简单、准确度较高,从而可以提高防火墙系统的安全性、稳定性。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读取存储介质中,比如ROM/RAM、磁碟、光盘等。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种防火墙策略生成方法,其特征在于,所述的方法包括:
接收包含需求源地址、需求目的地址、需求服务类型和需求状态的策略需求信息;
根据所述的需求源地址和需求目的地址从预存的地址区域关系表中获取源服务器和目的服务器所在的区域;
根据所述的源服务器和目的服务器所在的区域从预存的区域与策略关系表中获取所述源服务器和目的服务器所在区域对应的包含策略源地址、策略目的地址、策略服务类型和策略状态的区域策略信息;
将所述的需求源地址与策略源地址进行逻辑运算生成源地址逻辑结果,将所述的需求目的地址与策略目的地址进行逻辑运算生成目的地址逻辑结果,将所述的需求服务类型与策略服务类型进行逻辑运算生成服务类型逻辑结果,将所述的需求状态与策略状态进行比较生成状态比较结果;
根据所述的源地址逻辑结果、目的地址逻辑结果、服务类型逻辑结果以及状态比较结果生成防火墙策略。
2.根据权利要求1所述的方法,其特征在于,根据所述的源地址逻辑结果、目的地址逻辑结果、服务类型逻辑结果以及状态比较结果生成防火墙策略包括:
如果所述的源地址逻辑结果为策略源地址与需求源地址有交集,所述的目的地址逻辑结果为策略目的地址与需求目的地址有交集,所述的服务类型逻辑结果为策略服务类型与需求服务类型有交集,所述的状态比较结果为需求状态与策略状态不同,则所述生成的防火墙策略为根据所述的策略需求信息在所述的区域策略信息之前增加新的策略;
如果所述的源地址逻辑结果为策略源地址与需求源地址相同,所述的目的地址逻辑结果为策略目的地址与需求目的地址相同,所述的服务类型逻辑结果为需求服务类型包含策略服务类型,所述的状态比较结果为需求状态与策略状态相同,则所述生成的防火墙策略为根据所述的策略需求信息在所述的区域策略信息中增加新的服务类型;
如果所述的源地址逻辑结果为策略源地址与需求源地址相同,所述的目的地址逻辑结果为需求目的地址包含策略目的地址,所述的服务类型逻辑结果为策略服务类型与需求服务类型相同,所述的状态比较结果为需求状态与策略状态相同,则所述生成的防火墙策略为根据所述的策略需求信息在所述的区域策略信息中增加新的目的地址;
如果所述的源地址逻辑结果为需求源地址包含策略源地址,所述的目的地址逻辑结果为策略目的地址与需求目的地址相同,所述的服务类型逻辑结果为策略服务类型与需求服务类型相同,所述的状态比较结果为需求状态与策略状态相同,则所述生成的防火墙策略为根据所述的策略需求信息在所述的区域策略信息中增加新的源地址。
3.根据权利要求1或2所述的方法,其特征在于,根据所述的源地址逻辑结果、目的地址逻辑结果、服务类型逻辑结果以及状态比较结果生成防火墙策略之后,所述的方法还包括:
将所述的防火墙策略更新到所述的区域与策略关系表中。
4.根据权利要求1所述的方法,其特征在于,根据所述的源地址逻辑结果、目的地址逻辑结果、服务类型逻辑结果以及状态比较结果生成防火墙策略还包括:
如果所述的源地址逻辑结果为策略源地址包含需求源地址,所述的目的地址逻辑结果为策略目的地址包含需求目的地址,所述的服务类型逻辑结果为策略服务类型包含需求服务类型,所述的状态比较结果为需求状态与策略状态相同,则所述生成的防火墙策略为所述的区域策略信息。
5.一种防火墙策略生成装置,其特征在于,所述的装置包括:
需求信息接收单元,用于接收包含需求源地址、需求目的地址、需求服务类型和需求状态的策略需求信息;
区域获取单元,用于根据所述的需求源地址和需求目的地址从预存的地址区域关系表中获取源服务器和目的服务器所在的区域;
区域策略获取单元,用于根据所述的源服务器和目的服务器所在的区域从预存的区域与策略关系表中获取所述源服务器和目的服务器所在区域对应的包含策略源地址、策略目的地址、策略服务类型和策略状态的区域策略信息;
逻辑运算单元,用于将所述的需求源地址与策略源地址进行逻辑运算生成源地址逻辑结果,将所述的需求目的地址与策略目的地址进行逻辑运算生成目的地址逻辑结果,将所述的需求服务类型与策略服务类型进行逻辑运算生成服务类型逻辑结果,将所述的需求状态与策略状态进行比较生成状态比较结果;
防火墙策略生成单元,用于根据所述的源地址逻辑结果、目的地址逻辑结果、服务类型逻辑结果和状态比较结果生成防火墙策略。
6.根据权利要求5所述的装置,其特征在于,所述的防火墙策略生成单元包括:
第一防火墙策略生成模块,用于在所述的源地址逻辑结果为策略源地址与需求源地址有交集、所述的目的地址逻辑结果为策略目的地址与需求目的地址有交集、所述的服务类型逻辑结果为策略服务类型与需求服务类型有交集、所述的状态比较结果为需求状态与策略状态不同时,根据所述的策略需求信息在所述的区域策略信息之前增加新的策略;
第二防火墙策略生成模块,用于在所述的源地址逻辑结果为策略源地址与需求源地址相同、所述的目的地址逻辑结果为策略目的地址与需求目的地址相同、所述的服务类型逻辑结果为需求服务类型包含策略服务类型、所述的状态比较结果为需求状态与策略状态相同时,根据所述的策略需求信息在所述的区域策略信息中增加新的服务类型;
第三防火墙策略生成模块,用于在所述的源地址逻辑结果为策略源地址与需求源地址相同、所述的目的地址逻辑结果为需求目的地址包含策略目的地址、所述的服务类型逻辑结果为策略服务类型与需求服务类型相同、所述的状态比较结果为需求状态与策略状态相同时,根据所述的策略需求信息在所述的区域策略信息中增加新的目的地址;
第四防火墙策略生成模块,用于在所述的源地址逻辑结果为需求源地址包含策略源地址、所述的目的地址逻辑结果为策略目的地址与需求目的地址相同、所述的服务类型逻辑结果为策略服务类型与需求服务类型相同、所述的状态比较结果为需求状态与策略状态相同时,根据所述的策略需求信息在所述的区域策略信息中增加新的源地址。
7.根据权利要求5所述的装置,其特征在于,所述的防火墙策略生成单元还包括:
第五防火墙策略生成模块,用于在所述的源地址逻辑结果为策略源地址包含需求源地址、所述的目的地址逻辑结果为策略目的地址包含需求目的地址、所述的服务类型逻辑结果为策略服务类型包含需求服务类型、所述的状态比较结果为需求状态与策略状态相同时,将所述区域策略获取单元获取的区域策略信息作为所述生成的防火墙策略。
8.根据权利要求5所述的装置,其特征在于,所述的装置还包括:
策略更新单元,用于将所述生成的防火墙策略更新到所述的区域与策略关系表中。
9.一种防火墙策略生成系统,其特征在于,所述的系统包括如权利要求5至8中任一项所述的防火墙策略生成装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010100006885A CN101714997B (zh) | 2010-01-15 | 2010-01-15 | 防火墙策略生成方法、装置及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010100006885A CN101714997B (zh) | 2010-01-15 | 2010-01-15 | 防火墙策略生成方法、装置及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101714997A true CN101714997A (zh) | 2010-05-26 |
CN101714997B CN101714997B (zh) | 2012-11-28 |
Family
ID=42418273
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2010100006885A Active CN101714997B (zh) | 2010-01-15 | 2010-01-15 | 防火墙策略生成方法、装置及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101714997B (zh) |
Cited By (25)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103561002A (zh) * | 2013-10-22 | 2014-02-05 | 北京神州泰岳软件股份有限公司 | 基于防火墙策略的安全访问方法和系统 |
CN104270384A (zh) * | 2014-10-20 | 2015-01-07 | 山石网科通信技术有限公司 | 防火墙策略冗余检测方法及装置 |
CN104717182A (zh) * | 2013-12-12 | 2015-06-17 | 华为技术有限公司 | 网络防火墙的安全策略部署方法和装置 |
CN105681327A (zh) * | 2016-02-26 | 2016-06-15 | 上海携程商务有限公司 | 防火墙策略的自动查询方法及系统 |
CN105791213A (zh) * | 2014-12-18 | 2016-07-20 | 华为技术有限公司 | 一种策略优化装置及方法 |
CN105827649A (zh) * | 2016-05-19 | 2016-08-03 | 上海携程商务有限公司 | 防火墙策略的自动生成方法及系统 |
CN105871930A (zh) * | 2016-06-21 | 2016-08-17 | 上海携程商务有限公司 | 基于应用的防火墙安全策略的自适应配置方法及系统 |
US20170034128A1 (en) * | 2011-08-24 | 2017-02-02 | Mcafee, Inc. | System, method, and computer program for preventing infections from spreading in a network environment using dynamic application of a firewall policy |
CN107888584A (zh) * | 2017-11-07 | 2018-04-06 | 北京亿赛通网络安全技术有限公司 | 一种网络审计系统及其数据处理方法 |
CN108462676A (zh) * | 2017-02-20 | 2018-08-28 | 中兴通讯股份有限公司 | 网络安全设备的管理方法及装置 |
CN109413020A (zh) * | 2018-04-28 | 2019-03-01 | 武汉思普崚技术有限公司 | 一种防火墙的策略配置方法和装置 |
CN110324334A (zh) * | 2019-06-28 | 2019-10-11 | 深圳前海微众银行股份有限公司 | 安全组策略管理方法、装置、设备及计算机可读存储介质 |
CN110336834A (zh) * | 2019-07-31 | 2019-10-15 | 中国工商银行股份有限公司 | 用于防火墙策略的处理方法和装置 |
CN110430206A (zh) * | 2019-08-13 | 2019-11-08 | 上海新炬网络技术有限公司 | 基于脚本模板化生成配置防火墙安全策略的方法 |
CN111147528A (zh) * | 2020-04-03 | 2020-05-12 | 四川新网银行股份有限公司 | 管理网络安全策略的方法 |
CN111163061A (zh) * | 2019-12-11 | 2020-05-15 | 中盈优创资讯科技有限公司 | 网关设备的策略信息分析方法及装置 |
CN111600971A (zh) * | 2020-04-30 | 2020-08-28 | 新华三信息安全技术有限公司 | 一种设备管理的方法和设备管理的装置 |
CN111917743A (zh) * | 2020-07-15 | 2020-11-10 | 中国工商银行股份有限公司 | 节点间访问关系切换方法、系统、设备及介质 |
CN112351014A (zh) * | 2020-10-28 | 2021-02-09 | 武汉思普崚技术有限公司 | 一种安全域间防火墙安全策略合规基线管理方法及装置 |
CN112383536A (zh) * | 2020-11-10 | 2021-02-19 | 平安普惠企业管理有限公司 | 防火墙验证方法、装置、计算机设备及存储介质 |
CN112398867A (zh) * | 2020-11-23 | 2021-02-23 | 欧冶云商股份有限公司 | 黑白名单限制实现方法、平台、计算机设备及存储介质 |
WO2021139339A1 (zh) * | 2020-07-30 | 2021-07-15 | 平安科技(深圳)有限公司 | 防火墙策略的下发方法、装置、电子设备及存储介质 |
CN113452725A (zh) * | 2021-08-31 | 2021-09-28 | 腾讯科技(深圳)有限公司 | 报文过滤信息生成方法及装置 |
CN113923028A (zh) * | 2021-10-11 | 2022-01-11 | 厦门服云信息科技有限公司 | 一种网络微隔离策略自生成方法及系统 |
CN114640532A (zh) * | 2022-03-29 | 2022-06-17 | 联想(北京)有限公司 | 一种处理方法、装置及电子设备 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105959331B (zh) * | 2016-07-19 | 2019-03-12 | 上海携程商务有限公司 | 防火墙策略的优化方法及装置 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6857018B2 (en) * | 2000-07-31 | 2005-02-15 | Dongyi Jiang | System, method and computer software products for network firewall fast policy look-up |
CN1859384B (zh) * | 2005-12-29 | 2011-02-02 | 华为技术有限公司 | 控制用户报文通过网络隔离设备的方法 |
CN100583737C (zh) * | 2007-05-22 | 2010-01-20 | 网御神州科技(北京)有限公司 | 一种基于用户的安全访问控制的方法及装置 |
-
2010
- 2010-01-15 CN CN2010100006885A patent/CN101714997B/zh active Active
Cited By (38)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10701036B2 (en) * | 2011-08-24 | 2020-06-30 | Mcafee, Llc | System, method, and computer program for preventing infections from spreading in a network environment using dynamic application of a firewall policy |
US20170034128A1 (en) * | 2011-08-24 | 2017-02-02 | Mcafee, Inc. | System, method, and computer program for preventing infections from spreading in a network environment using dynamic application of a firewall policy |
CN103561002A (zh) * | 2013-10-22 | 2014-02-05 | 北京神州泰岳软件股份有限公司 | 基于防火墙策略的安全访问方法和系统 |
CN104717182B (zh) * | 2013-12-12 | 2018-03-09 | 华为技术有限公司 | 网络防火墙的安全策略部署方法和装置 |
CN104717182A (zh) * | 2013-12-12 | 2015-06-17 | 华为技术有限公司 | 网络防火墙的安全策略部署方法和装置 |
CN104270384A (zh) * | 2014-10-20 | 2015-01-07 | 山石网科通信技术有限公司 | 防火墙策略冗余检测方法及装置 |
CN104270384B (zh) * | 2014-10-20 | 2017-10-03 | 山石网科通信技术有限公司 | 防火墙策略冗余检测方法及装置 |
CN105791213B (zh) * | 2014-12-18 | 2020-01-10 | 华为技术有限公司 | 一种策略优化装置及方法 |
CN105791213A (zh) * | 2014-12-18 | 2016-07-20 | 华为技术有限公司 | 一种策略优化装置及方法 |
CN105681327A (zh) * | 2016-02-26 | 2016-06-15 | 上海携程商务有限公司 | 防火墙策略的自动查询方法及系统 |
CN105827649A (zh) * | 2016-05-19 | 2016-08-03 | 上海携程商务有限公司 | 防火墙策略的自动生成方法及系统 |
CN105871930A (zh) * | 2016-06-21 | 2016-08-17 | 上海携程商务有限公司 | 基于应用的防火墙安全策略的自适应配置方法及系统 |
CN108462676A (zh) * | 2017-02-20 | 2018-08-28 | 中兴通讯股份有限公司 | 网络安全设备的管理方法及装置 |
CN107888584A (zh) * | 2017-11-07 | 2018-04-06 | 北京亿赛通网络安全技术有限公司 | 一种网络审计系统及其数据处理方法 |
CN109413020A (zh) * | 2018-04-28 | 2019-03-01 | 武汉思普崚技术有限公司 | 一种防火墙的策略配置方法和装置 |
CN109413020B (zh) * | 2018-04-28 | 2020-07-31 | 武汉思普崚技术有限公司 | 一种防火墙的策略配置方法和装置 |
CN110324334A (zh) * | 2019-06-28 | 2019-10-11 | 深圳前海微众银行股份有限公司 | 安全组策略管理方法、装置、设备及计算机可读存储介质 |
CN110324334B (zh) * | 2019-06-28 | 2023-04-07 | 深圳前海微众银行股份有限公司 | 安全组策略管理方法、装置、设备及计算机可读存储介质 |
CN110336834A (zh) * | 2019-07-31 | 2019-10-15 | 中国工商银行股份有限公司 | 用于防火墙策略的处理方法和装置 |
CN110430206A (zh) * | 2019-08-13 | 2019-11-08 | 上海新炬网络技术有限公司 | 基于脚本模板化生成配置防火墙安全策略的方法 |
CN110430206B (zh) * | 2019-08-13 | 2022-03-01 | 上海新炬网络技术有限公司 | 基于脚本模板化生成配置防火墙安全策略的方法 |
CN111163061A (zh) * | 2019-12-11 | 2020-05-15 | 中盈优创资讯科技有限公司 | 网关设备的策略信息分析方法及装置 |
CN111147528B (zh) * | 2020-04-03 | 2020-08-21 | 四川新网银行股份有限公司 | 管理网络安全策略的方法 |
CN111147528A (zh) * | 2020-04-03 | 2020-05-12 | 四川新网银行股份有限公司 | 管理网络安全策略的方法 |
CN111600971A (zh) * | 2020-04-30 | 2020-08-28 | 新华三信息安全技术有限公司 | 一种设备管理的方法和设备管理的装置 |
CN111917743A (zh) * | 2020-07-15 | 2020-11-10 | 中国工商银行股份有限公司 | 节点间访问关系切换方法、系统、设备及介质 |
CN111917743B (zh) * | 2020-07-15 | 2022-07-19 | 中国工商银行股份有限公司 | 节点间访问关系切换方法、系统、设备及介质 |
WO2021139339A1 (zh) * | 2020-07-30 | 2021-07-15 | 平安科技(深圳)有限公司 | 防火墙策略的下发方法、装置、电子设备及存储介质 |
CN112351014A (zh) * | 2020-10-28 | 2021-02-09 | 武汉思普崚技术有限公司 | 一种安全域间防火墙安全策略合规基线管理方法及装置 |
CN112383536A (zh) * | 2020-11-10 | 2021-02-19 | 平安普惠企业管理有限公司 | 防火墙验证方法、装置、计算机设备及存储介质 |
CN112383536B (zh) * | 2020-11-10 | 2022-11-04 | 平安普惠企业管理有限公司 | 防火墙验证方法、装置、计算机设备及存储介质 |
CN112398867A (zh) * | 2020-11-23 | 2021-02-23 | 欧冶云商股份有限公司 | 黑白名单限制实现方法、平台、计算机设备及存储介质 |
CN113452725B (zh) * | 2021-08-31 | 2021-12-10 | 腾讯科技(深圳)有限公司 | 报文过滤信息生成方法及装置 |
CN113452725A (zh) * | 2021-08-31 | 2021-09-28 | 腾讯科技(深圳)有限公司 | 报文过滤信息生成方法及装置 |
CN113923028A (zh) * | 2021-10-11 | 2022-01-11 | 厦门服云信息科技有限公司 | 一种网络微隔离策略自生成方法及系统 |
CN113923028B (zh) * | 2021-10-11 | 2023-05-26 | 厦门服云信息科技有限公司 | 一种网络微隔离策略自生成方法及系统 |
CN114640532A (zh) * | 2022-03-29 | 2022-06-17 | 联想(北京)有限公司 | 一种处理方法、装置及电子设备 |
CN114640532B (zh) * | 2022-03-29 | 2023-03-24 | 联想(北京)有限公司 | 一种处理方法、装置及电子设备 |
Also Published As
Publication number | Publication date |
---|---|
CN101714997B (zh) | 2012-11-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101714997B (zh) | 防火墙策略生成方法、装置及系统 | |
WO2021032138A1 (zh) | 一种基于区块链系统的共识方法、装置及系统 | |
CN201577106U (zh) | 防火墙策略生成装置及系统 | |
CN103891209A (zh) | 用于转换通用流的机箱控制器 | |
US7710884B2 (en) | Methods and system for dynamic reallocation of data processing resources for efficient processing of sensor data in a distributed network | |
CN105074692A (zh) | 使用基于逻辑多维标签的策略模型的分布式网络管理系统 | |
CN107395501A (zh) | 一种网络服务功能链的跨域部署方法 | |
US20070113273A1 (en) | Enforcement of network device configuration policies within a computing environment | |
CN104521199A (zh) | 用于分布式虚拟交换机的适应性基础设施 | |
Lodhi et al. | Open peering by Internet transit providers: Peer preference or peer pressure? | |
CN101146027A (zh) | 基于访问控制列表分类的方法 | |
Li et al. | Blockchain dividing based on node community clustering in intelligent manufacturing cps | |
CN109213797A (zh) | 一种区块链的查询方法及装置 | |
Hoang et al. | New algorithms for continuous distributed constraint optimization problems | |
CN114979074B (zh) | 一种企业IPv6地址分级管理方法、系统及存储介质 | |
CN103473636A (zh) | 一种收集、分析和分发网络商业信息的系统数据组件 | |
CN107919973B (zh) | 用于配置网络设备参数的方法和装置 | |
Gadasin et al. | Routing Management System Formation for Machine-to-Machine Interaction in a Decentralized Environment | |
Maggi et al. | Domain clustering for inter‐domain path computation speed‐up | |
Gong et al. | VEGA infrastructure for resource discovery in grids | |
Sollins | Designing for scale and differentiation | |
Sun et al. | Minimizing network complexity through integrated top-down design | |
CN103957173A (zh) | 语义交换机 | |
Arcieri et al. | Coherence maintainance in cooperative information systems: the Access Key Warehouse approach | |
CN110071966A (zh) | 基于云平台的区块链组网及数据处理方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |