CN105959331B - 防火墙策略的优化方法及装置 - Google Patents

防火墙策略的优化方法及装置 Download PDF

Info

Publication number
CN105959331B
CN105959331B CN201610571681.6A CN201610571681A CN105959331B CN 105959331 B CN105959331 B CN 105959331B CN 201610571681 A CN201610571681 A CN 201610571681A CN 105959331 B CN105959331 B CN 105959331B
Authority
CN
China
Prior art keywords
application message
firewall policy
information
application
library
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610571681.6A
Other languages
English (en)
Other versions
CN105959331A (zh
Inventor
吴善鹏
雷兵
朱志博
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Ctrip Business Co Ltd
Original Assignee
Shanghai Ctrip Business Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Ctrip Business Co Ltd filed Critical Shanghai Ctrip Business Co Ltd
Priority to CN201610571681.6A priority Critical patent/CN105959331B/zh
Publication of CN105959331A publication Critical patent/CN105959331A/zh
Application granted granted Critical
Publication of CN105959331B publication Critical patent/CN105959331B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种防火墙策略的优化方法及装置,其中所述优化方法包括:构建防火墙策略信息库和应用信息库,所述防火墙策略信息库包括至少一防火墙策略信息,所述应用信息库包括至少一应用信息;从所述应用信息库中查询所述防火墙策略信息对应的应用信息,并将所述防火墙策略信息及所述防火墙策略信息对应的应用信息添加至应用策略信息库。本发明能够弥补现有技术中防火墙策略维护的工作量大、容易出现重复策略、增加防火墙负载甚至降低防火墙性能的缺陷,对防火墙策略进行集中式统一化的管理,基于应用将多条策略进行合并,减少了策略条目,避免了重复策略降低防火墙性能的可能性,提高了防火墙策略的可读性。

Description

防火墙策略的优化方法及装置
技术领域
本发明属于网络安全领域,尤其涉及一种防火墙策略的优化方法及装置。
背景技术
随着互联网技术的不断发展,在线网站的规模越来越大,防火墙作为网站的安全屏障,被大量的使用。防火墙数量的增加以及防火墙中安全策略条目的增加,安全工程师的工作量成倍的增长。由于大量策略是基于当时的需求通过人工添加的,这样使得防火墙策略可读性越来越差,同一个应用可能会涉及多个策略,同一个策略可能会涉及多个应用。由于防火墙策略的杂乱,使得防火墙策略维护的工作量成倍增加,不可避免的会出现重复策略,增加了防火墙的负载,甚至会降低防火墙的性能。
发明内容
本发明要解决的技术问题是如何克服现有技术中防火墙策略维护的工作量大、容易出现重复策略、增加防火墙负载甚至降低防火墙性能的缺陷,提供一种防火墙策略的优化方法及装置。
本发明是通过以下技术方案解决上述技术问题的:
一种防火墙策略的优化方法,所述优化方法包括:
S1、构建防火墙策略信息库和应用信息库,所述防火墙策略信息库包括至少一防火墙策略信息,所述应用信息库包括至少一应用信息;
S2、从所述应用信息库中查询所述防火墙策略信息对应的应用信息,并将所述防火墙策略信息及所述防火墙策略信息对应的应用信息添加至应用策略信息库。
本技术方案能够将分别存储于防火墙策略信息库中的防火墙策略信息和存储于应用信息库中的应用信息整合至应用策略信息库,在整合的同时合并多余策略,减少策略数量,增强防火墙策略的可读性和有序性,减少防火墙的负载,进一步提高防火墙的性能,为防火墙策略审计提供基础数据,使安全工程师从繁琐的策略维护工作中解放出来,减少工作量,提供工作效率。
较佳地,所述防火墙策略信息包括所述防火墙策略的源地址和目的地址;
S2包括:
S21、从所述防火墙策略信息库中取出一条防火墙策略信息中的源地址和目的地址;
S22、从所述应用信息库中查询被取出的源地址对应的应用信息及被取出的目的地址对应的应用信息;
S23、在应用策略信息库中生成一条应用策略信息,所述应用策略信息包括:被取出的源地址对应的应用信息、被取出的目的地址对应的应用信息和被取出的防火墙策略信息。
较佳地,所述应用信息包括应用对应的网段;
S22通过以下步骤实现从应用信息库中查询被取出的源地址对应的应用信息:
遍历所述应用信息库的一个应用信息,判断被取出的源地址是否为所述网段的子网,若是,则被遍历的应用信息为被取出的源地址对应的应用信息,若否,则被遍历的应用信息非被取出的源地址对应的应用信息;
S22还通过以下步骤实现从应用信息库中查询被取出的目的地址对应的应用信息:
遍历所述应用信息库的一个应用信息,判断被取出的目的地址是否为所述网段的子网,若是,则被遍历的应用信息为被取出的目的地址对应的应用信息,若否,则被遍历的应用信息非被取出的目的地址对应的应用信息;
S22还包括:在查询到被取出的源地址对应的应用信息及被取出的目的地址对应的应用信息时,执行S23
较佳地,S2还包括:将查询到的被取出的源地址对应的应用信息保存在源地址应用信息,将查询到的被取出的目的地址对应的应用信息保存在目的地址应用信息。
较佳地,所述优化方法还包括:
在未查询到被取出的源地址对应的应用信息时,或在未查询被取出的目的地址对应的应用信息时,或在执行完S23之后,执行以下步骤:
判断所述防火墙策略信息库中的全部防火墙策略信息是否均为取出过,若是,优化过程结束,若否,返回S21从所述防火墙策略信息库中重新取出一条防火墙策略信息中的源地址和目的地址。
较佳地,S23包括:
判断所述应用策略信息库中是否存在第一应用策略信息,所述第一应用策略信息包括被取出的源地址对应的应用信息和被取出的目的地址对应的应用信息的应用策略信息,若是,则将被取出的防火墙策略信息添加到所述第一应用策略信息中,若否,则在应用策略信息库中生成一条新的应用策略信息,所述应用策略信息包括:被取出的源地址对应的应用信息、被取出的目的地址对应的应用信息和被取出的防火墙策略信息。
较佳地,所述优化方法还包括:
S3、读取所述应用策略信息库,展示策略优化结果。
一种防火墙策略的优化装置,所述优化装置包括:
防火墙策略信息库所述防火墙策略信息库包括至少一防火墙策略信息;
应用信息库,所述应用信息库包括至少一应用信息;
查询单元,用于从所述应用信息库中查询所述防火墙策略信息对应的应用信息,并将所述防火墙策略信息及所述防火墙策略信息对应的应用信息添加至应用策略信息库。
较佳地,所述防火墙策略信息包括所述防火墙策略的源地址和目的地址;
所述查询单元包括:
策略取出模块,用于从所述防火墙策略信息库中取出一条防火墙策略信息中的源地址和目的地址;
应用信息查询模块,用于从所述应用信息库中查询被取出的源地址对应的应用信息及被取出的目的地址对应的应用信息;
生成模块,用于在应用策略信息库中生成一条应用策略信息,所述应用策略信息包括:被取出的源地址对应的应用信息、被取出的目的地址对应的应用信息和被取出的防火墙策略信息。
较佳地,所述应用信息包括应用对应的网段;
所述应用信息查询模块通过以下模块实现从应用信息库中查询被取出的源地址对应的应用信息:
第一遍历模块,用于遍历所述应用信息库的一个应用信息,判断被取出的源地址是否为所述网段的子网,若是,则被遍历的应用信息为被取出的源地址对应的应用信息,若否,则被遍历的应用信息非被取出的源地址对应的应用信息;
所述应用信息查询模块还通过以下模块实现从应用信息库中查询被取出的目的地址对应的应用信息:
第二遍历模块,用于遍历所述应用信息库的一个应用信息,判断被取出的目的地址是否为所述网段的子网,若是,则被遍历的应用信息为被取出的目的地址对应的应用信息,若否,则被遍历的应用信息非被取出的目的地址对应的应用信息;
所述应用信息查询模块还包括:
调用模块,用于在查询到被取出的源地址对应的应用信息及被取出的目的地址对应的应用信息时,调用所述生成模块。
较佳地,所述查询单元还包括:
保存模块,用于将查询到的被取出的源地址对应的应用信息保存在源地址应用信息,将查询到的被取出的目的地址对应的应用信息保存在目的地址应用信息。
较佳地,所述查询单元还包括:
判断模块,用于在未查询到被取出的源地址对应的应用信息时,或在未查询被取出的目的地址对应的应用信息时,或在调用完所述生成模块之后,判断所述防火墙策略信息库中的全部防火墙策略信息是否均为取出过,若是,优化过程结束,若否,调用所述策略取出模块,从所述防火墙策略信息库中重新取出一条防火墙策略信息中的源地址和目的地址。
较佳地,所述生成模块用于判断所述应用策略信息库中是否存在第一应用策略信息,所述第一应用策略信息包括被取出的源地址对应的应用信息和被取出的目的地址对应的应用信息的应用策略信息,若是,则将被取出的防火墙策略信息添加到所述第一应用策略信息中,若否,则在应用策略信息库中生成一条新的应用策略信息,所述应用策略信息包括:被取出的源地址对应的应用信息、被取出的目的地址对应的应用信息和被取出的防火墙策略信息。
较佳地,所述优化装置还包括:
展示单元,用于读取所述应用策略信息库,展示策略优化结果。
在符合本领域常识的基础上,上述各优选条件,可任意组合,即得本发明各较佳实例。
本发明的积极进步效果在于:在大型网络环境中,防火墙的数量达到十几台,甚者几十台,策略条目庞大且杂乱,本发明对防火墙策略进行集中式统一化的管理,基于应用将多条策略进行合并,减少了策略条目,避免了重复策略降低防火墙性能的可能性;基于应用的策略表示形式,提高了防火墙策略的可读性,可以清晰展现每个应用的哪些网段存在防火墙策略以及策略涉及的服务,使得策略维护更加方便,只需要考虑应用需要使用的策略,提高了防火墙管理的效率,降低了策略维护的工作量。
附图说明
图1为本发明一较佳实施例的防火墙策略的优化方法的流程图。
图2为本发明一较佳实施例的防火墙策略的优化装置的示意框图。
图3为本发明一较佳实施例的防火墙策略的优化装置的查询模块的示意框图。
具体实施方式
下面通过实施例的方式进一步说明本发明,但并不因此将本发明限制在所述的实施例范围之中。
实施例
一种防火墙策略的优化方法,如图1所示,所述优化方法包括:
步骤101、构建防火墙策略信息库(policy)和应用信息库(application)。其中,所述防火墙策略信息库包括至少一防火墙策略信息,所述防火墙策略信息包括所述防火墙策略的源地址(src)、目的地址(dst)及服务信息(service);所述应用信息库包括至少一应用信息,所述应用信息包括应用对应的网段,其中每一个应用对应的网段可以为一个或多个。
步骤102、从所述防火墙策略信息库中取出一条防火墙策略信息(policy_i)中的源地址(src_i)和目的地址(dst_i)。其中,被取出的防火墙策略信息即为当前处理的防火墙策略信息。
然后,分别执行步骤103-104和步骤105-106:
步骤103、从所述应用信息库中查询被取出的源地址(src_i)对应的应用信息。
步骤104、将查询到的被取出的源地址(src_i)对应的应用信息保存在源地址应用信息(src_pool)。
步骤105、从所述应用信息库中查询被取出的目的地址(dst_i)对应的应用信息。
步骤106、将查询到的被取出的目的地址(dst_i)对应的应用信息保存在目的地址应用信息(dst_pool)。
其中,步骤103具体可以通过以下步骤实现从应用信息库中查询被取出的源地址(src_i)对应的应用信息:
遍历所述应用信息库的一个应用信息,判断被取出的源地址(src_i)是否为所述网段的子网,若是,则被遍历的应用信息为被取出的源地址(src i)对应的应用信息,若否,则被遍历的应用信息非被取出的源地址(src_i)对应的应用信息。若被遍历的应用信息非被取出的源地址(src_i)对应的应用信息,则遍历所述应用信息库的下一个应用信息进行上述的判断,直至所述应用信息库的全部应用信息均被遍历。
步骤105具体可以通过以下步骤实现从应用信息库中查询被取出的目的地址(dst_i)对应的应用信息:
遍历所述应用信息库的一个应用信息,判断被取出的目的地址(dst_i)是否为所述网段的子网,若是,则被遍历的应用信息为被取出的目的地址(dst_i)对应的应用信息,若否,则被遍历的应用信息非被取出的目的地址(dst_i)对应的应用信息。若被遍历的应用信息非被取出的目的地址(dst_i)对应的应用信息,则遍历所述应用信息库的下一个应用信息进行上述的判断,直至所述应用信息库的全部应用信息均被遍历。
在执行完步骤103-106之后执行步骤107:
步骤107、判断是否查询到被取出的源地址(src_i)对应的应用信息及被取出的目的地址(dst_i)对应的应用信息,若是,执行步骤108,若否,执行步骤111。对于查询到被取出的源地址(src_i)对应的应用信息及被取出的目的地址(dst_i)对应的应用信息的防火墙策略信息(policy_i),可以转化为应用策略({“src_pool=>dst_pool”:[src,dst,service]})。
由于在未查询到被取出的源地址对应的应用信息时,或在未查询被取出的目的地址对应的应用信息时,均会执行步骤111,所以,为了达到简化流程,提高工作效率的效果,在本发明的另一较佳实施例中,步骤103还包括:若所述应用信息库中全部应用信息均已被遍历仍然没有查询到被取出的源地址对应的应用信息,则跳过后续对被取出的防火墙策略信息的处理步骤,直接执行步骤111;步骤105还包括:若所述应用信息库中全部应用信息均已被遍历仍然没有查询到被取出的目的地址对应的应用信息,则跳过后续对被取出的防火墙策略信息的处理步骤,直接执行步骤111。
步骤108、判断应用策略信息库(app_policy)中是否存在第一应用策略信息,所述第一应用策略信息包括被取出的源地址对应的应用信息和被取出的目的地址对应的应用信息的应用策略信息,若是,则执行步骤109,若否,则执行步骤110。具体可以以“src_pool=>dst_pool”为条件查询应用策略信息库,判断是否存在“src_pool=>dst_pool”的应用策略信息。
步骤109、将被取出的防火墙策略信息添加到所述第一应用策略信息中,然后执行步骤111。也就是将被取出的防火墙策略信息(policy_i)的源地址(src_i)、目的地址(dst_i)和服务信息(service_i)增加到src_pool=>dst_pool对应的值域中。
步骤110、在应用策略信息库(app_policy)中生成一条新的应用策略信息,所述应用策略信息包括:被取出的源地址对应的应用信息、被取出的目的地址对应的应用信息和被取出的防火墙策略信息。
其中,所述应用策略信息库中的应用策略信息都是基于应用信息存储的,通过读取应用策略信息可以得到一条应用信息对应的全部防火墙策略信息。
步骤111、判断所述防火墙策略信息库(policy)中的全部防火墙策略信息是否均为取出过,若是,优化过程结束,然后执行步骤112,若否,返回步骤102从所述防火墙策略信息库(policy)中重新取出一条防火墙策略信息中的源地址和目的地址。
步骤112、读取所述应用策略信息库(app_policy),展示策略优化结果。
本实施例的一种防火墙策略的优化装置,如图2所示,所述优化装置包括:
防火墙策略信息库201,所述防火墙策略信息库201包括至少一防火墙策略信息,所述防火墙策略信息包括所述防火墙策略的源地址、目的地址及服务信息。
应用信息库202,所述应用信息库202包括至少一应用信息,所述应用信息包括应用对应的网段,其中每一个应用对应的网段可以为一个或多个。
查询单元203,用于从所述应用信息库202中查询所述防火墙策略信息对应的应用信息,并将所述防火墙策略信息及所述防火墙策略信息对应的应用信息添加至应用策略信息库204。
展示单元205,用于读取所述应用策略信息库,展示策略优化结果。
其中,如图3所示,所述查询单元203具体包括:
策略取出模块2031,用于从所述防火墙策略信息库201中取出一条防火墙策略信息中的源地址和目的地址;
应用信息查询模块2032,用于从所述应用信息库202中查询被取出的源地址对应的应用信息及被取出的目的地址对应的应用信息;
保存模块2033,用于将查询到的被取出的源地址对应的应用信息保存在源地址应用信息,将查询到的被取出的目的地址对应的应用信息保存在目的地址应用信息;
生成模块2034,用于判断所述应用策略信息库中是否存在第一应用策略信息,所述第一应用策略信息包括被取出的源地址对应的应用信息和被取出的目的地址对应的应用信息的应用策略信息,若是,则将被取出的防火墙策略信息添加到所述第一应用策略信息中,若否,则在应用策略信息库中生成一条新的应用策略信息,所述应用策略信息包括:被取出的源地址对应的应用信息、被取出的目的地址对应的应用信息和被取出的防火墙策略信息;
判断模块2035,用于在未查询到被取出的源地址对应的应用信息时,或在未查询被取出的目的地址对应的应用信息时,或在调用完所述生成模块之后,判断所述防火墙策略信息库201中的全部防火墙策略信息是否均为取出过,若是,优化过程结束,若否,调用所述策略取出模块,从所述防火墙策略信息库201中重新取出一条防火墙策略信息中的源地址和目的地址。
其中,所述应用信息查询模块2032具体通过以下模块实现从应用信息库202中查询被取出的源地址对应的应用信息:
第一遍历模块,用于遍历所述应用信息库202的一个应用信息,判断被取出的源地址是否为所述网段的子网,若是,则被遍历的应用信息为被取出的源地址对应的应用信息,若否,则被遍历的应用信息非被取出的源地址对应的应用信息。若被遍历的应用信息非被取出的源地址对应的应用信息,则遍历所述应用信息库202的下一个应用信息进行上述的判断,直至所述应用信息库202的全部应用信息均被遍历。
所述应用信息查询模块2032还具体通过以下模块实现从应用信息库202中查询被取出的目的地址对应的应用信息:
第二遍历模块,用于遍历所述应用信息库202的一个应用信息,判断被取出的目的地址是否为所述网段的子网,若是,则被遍历的应用信息为被取出的目的地址对应的应用信息,若否,则被遍历的应用信息非被取出的目的地址对应的应用信息。若被遍历的应用信息非被取出的目的地址对应的应用信息,则遍历所述应用信息库202的下一个应用信息进行上述的判断,直至所述应用信息库202的全部应用信息均被遍历。
所述应用信息查询模块2032还包括:
调用模块,用于在查询到被取出的源地址对应的应用信息及被取出的目的地址对应的应用信息时,调用所述生成模块。
本实施例的优化方法及装置通过逐条处理防火墙策略信息库中的防火墙策略信息,将防火墙策略信息库中的防火墙策略信息与所述应用信息库中的应用信息对应起来,并存储于应用策略信息库中,实现对全部防火墙策略信息的优化。
虽然以上描述了本发明的具体实施方式,但是本领域的技术人员应当理解,这些仅是举例说明,本发明的保护范围是由所附权利要求书限定的。本领域的技术人员在不背离本发明的原理和实质的前提下,可以对这些实施方式做出多种变更或修改,但这些变更和修改均落入本发明的保护范围。

Claims (10)

1.一种防火墙策略的优化方法,其特征在于,所述优化方法包括:
S1、构建防火墙策略信息库和应用信息库,所述防火墙策略信息库包括至少一防火墙策略信息,所述应用信息库包括至少一应用信息;
S2、从所述应用信息库中查询所述防火墙策略信息对应的应用信息,并将所述防火墙策略信息及所述防火墙策略信息对应的应用信息添加至应用策略信息库;
所述防火墙策略信息包括所述防火墙策略的源地址和目的地址;
S2包括:
S21、从所述防火墙策略信息库中取出一条防火墙策略信息中的源地址和目的地址;
S22、从所述应用信息库中查询被取出的源地址对应的应用信息及被取出的目的地址对应的应用信息;
S23、在应用策略信息库中生成一条应用策略信息,所述应用策略信息包括:被取出的源地址对应的应用信息、被取出的目的地址对应的应用信息和被取出的防火墙策略信息;
所述应用信息包括应用对应的网段;
S22通过以下步骤实现从应用信息库中查询被取出的源地址对应的应用信息:
遍历所述应用信息库的一个应用信息,判断被取出的源地址是否为所述网段的子网,若是,则被遍历的应用信息为被取出的源地址对应的应用信息,若否,则被遍历的应用信息非被取出的源地址对应的应用信息;
S22还通过以下步骤实现从应用信息库中查询被取出的目的地址对应的应用信息:
遍历所述应用信息库的一个应用信息,判断被取出的目的地址是否为所述网段的子网,若是,则被遍历的应用信息为被取出的目的地址对应的应用信息,若否,则被遍历的应用信息非被取出的目的地址对应的应用信息;
S22还包括:在查询到被取出的源地址对应的应用信息及被取出的目的地址对应的应用信息时,执行S23
2.如权利要求1所述的防火墙策略的优化方法,其特征在于,S2还包括:将查询到的被取出的源地址对应的应用信息保存在源地址应用信息,将查询到的被取出的目的地址对应的应用信息保存在目的地址应用信息。
3.如权利要求1所述的防火墙策略的优化方法,其特征在于,所述优化方法还包括:
在未查询到被取出的源地址对应的应用信息时,或在未查询被取出的目的地址对应的应用信息时,或在执行完S23之后,执行以下步骤:
判断所述防火墙策略信息库中的全部防火墙策略信息是否均为取出过,若是,优化过程结束,若否,返回S21从所述防火墙策略信息库中重新取出一条防火墙策略信息中的源地址和目的地址。
4.如权利要求1所述的防火墙策略的优化方法,其特征在于,S23包括:
判断所述应用策略信息库中是否存在第一应用策略信息,所述第一应用策略信息包括被取出的源地址对应的应用信息和被取出的目的地址对应的应用信息的应用策略信息,若是,则将被取出的防火墙策略信息添加到所述第一应用策略信息中,若否,则在应用策略信息库中生成一条新的应用策略信息,所述应用策略信息包括:被取出的源地址对应的应用信息、被取出的目的地址对应的应用信息和被取出的防火墙策略信息。
5.如权利要求1-4中任意一项所述的防火墙策略的优化方法,其特征在于,所述优化方法还包括:
S3、读取所述应用策略信息库,展示策略优化结果。
6.一种防火墙策略的优化装置,其特征在于,所述优化装置包括:
防火墙策略信息库所述防火墙策略信息库包括至少一防火墙策略信息;
应用信息库,所述应用信息库包括至少一应用信息;
查询单元,用于从所述应用信息库中查询所述防火墙策略信息对应的应用信息,并将所述防火墙策略信息及所述防火墙策略信息对应的应用信息添加至应用策略信息库;
所述防火墙策略信息包括所述防火墙策略的源地址和目的地址;
所述查询单元包括:
策略取出模块,用于从所述防火墙策略信息库中取出一条防火墙策略信息中的源地址和目的地址;
应用信息查询模块,用于从所述应用信息库中查询被取出的源地址对应的应用信息及被取出的目的地址对应的应用信息;
生成模块,用于在应用策略信息库中生成一条应用策略信息,所述应用策略信息包括:被取出的源地址对应的应用信息、被取出的目的地址对应的应用信息和被取出的防火墙策略信息;
所述应用信息包括应用对应的网段;
所述应用信息查询模块通过以下模块实现从应用信息库中查询被取出的源地址对应的应用信息:
第一遍历模块,用于遍历所述应用信息库的一个应用信息,判断被取出的源地址是否为所述网段的子网,若是,则被遍历的应用信息为被取出的源地址对应的应用信息,若否,则被遍历的应用信息非被取出的源地址对应的应用信息;
所述应用信息查询模块还通过以下模块实现从应用信息库中查询被取出的目的地址对应的应用信息:
第二遍历模块,用于遍历所述应用信息库的一个应用信息,判断被取出的目的地址是否为所述网段的子网,若是,则被遍历的应用信息为被取出的目的地址对应的应用信息,若否,则被遍历的应用信息非被取出的目的地址对应的应用信息;
所述应用信息查询模块还包括:
调用模块,用于在查询到被取出的源地址对应的应用信息及被取出的目的地址对应的应用信息时,调用所述生成模块。
7.如权利要求6所述的防火墙策略的优化装置,其特征在于,所述查询单元还包括:
保存模块,用于将查询到的被取出的源地址对应的应用信息保存在源地址应用信息,将查询到的被取出的目的地址对应的应用信息保存在目的地址应用信息。
8.如权利要求6所述的防火墙策略的优化装置,其特征在于,所述查询单元还包括:
判断模块,用于在未查询到被取出的源地址对应的应用信息时,或在未查询被取出的目的地址对应的应用信息时,或在调用完所述生成模块之后,判断所述防火墙策略信息库中的全部防火墙策略信息是否均为取出过,若是,优化过程结束,若否,调用所述策略取出模块,从所述防火墙策略信息库中重新取出一条防火墙策略信息中的源地址和目的地址。
9.如权利要求6所述的防火墙策略的优化装置,其特征在于,所述生成模块用于判断所述应用策略信息库中是否存在第一应用策略信息,所述第一应用策略信息包括被取出的源地址对应的应用信息和被取出的目的地址对应的应用信息的应用策略信息,若是,则将被取出的防火墙策略信息添加到所述第一应用策略信息中,若否,则在应用策略信息库中生成一条新的应用策略信息,所述应用策略信息包括:被取出的源地址对应的应用信息、被取出的目的地址对应的应用信息和被取出的防火墙策略信息。
10.如权利要求6-9中任意一项所述的防火墙策略的优化装置,其特征在于,所述优化装置还包括:
展示单元,用于读取所述应用策略信息库,展示策略优化结果。
CN201610571681.6A 2016-07-19 2016-07-19 防火墙策略的优化方法及装置 Active CN105959331B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610571681.6A CN105959331B (zh) 2016-07-19 2016-07-19 防火墙策略的优化方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610571681.6A CN105959331B (zh) 2016-07-19 2016-07-19 防火墙策略的优化方法及装置

Publications (2)

Publication Number Publication Date
CN105959331A CN105959331A (zh) 2016-09-21
CN105959331B true CN105959331B (zh) 2019-03-12

Family

ID=56901450

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610571681.6A Active CN105959331B (zh) 2016-07-19 2016-07-19 防火墙策略的优化方法及装置

Country Status (1)

Country Link
CN (1) CN105959331B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108418801A (zh) * 2018-02-01 2018-08-17 杭州安恒信息技术股份有限公司 一种基于大数据分析的防火墙策略优化方法及系统
CN110944005A (zh) * 2019-12-10 2020-03-31 杭州安恒信息技术股份有限公司 一种基于应用层防火墙的防御方法、装置、设备、介质
CN111193744B (zh) * 2019-12-31 2022-03-15 中信百信银行股份有限公司 防火墙策略查询、弹性伸缩方法及系统、设备、存储介质
CN111147528B (zh) * 2020-04-03 2020-08-21 四川新网银行股份有限公司 管理网络安全策略的方法
CN111935182B (zh) * 2020-09-25 2021-01-15 武汉思普崚技术有限公司 一种网络设备的防火墙策略检查方法、装置及存储介质
CN115065613B (zh) * 2022-06-08 2024-01-12 北京启明星辰信息安全技术有限公司 一种基于防火墙配置的网络连通性分析系统及分析方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102025735A (zh) * 2010-12-08 2011-04-20 北京航空航天大学 基于防御策略的Linux分布式网络防火墙系统
CN101714997B (zh) * 2010-01-15 2012-11-28 中国工商银行股份有限公司 防火墙策略生成方法、装置及系统
CN102891855A (zh) * 2012-10-16 2013-01-23 北京神州绿盟信息安全科技股份有限公司 网络数据流安全处理方法及设备
CN105306481A (zh) * 2015-11-12 2016-02-03 北京锐安科技有限公司 一种访问控制策略规则的操作方法
CN105681327A (zh) * 2016-02-26 2016-06-15 上海携程商务有限公司 防火墙策略的自动查询方法及系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101714997B (zh) * 2010-01-15 2012-11-28 中国工商银行股份有限公司 防火墙策略生成方法、装置及系统
CN102025735A (zh) * 2010-12-08 2011-04-20 北京航空航天大学 基于防御策略的Linux分布式网络防火墙系统
CN102891855A (zh) * 2012-10-16 2013-01-23 北京神州绿盟信息安全科技股份有限公司 网络数据流安全处理方法及设备
CN105306481A (zh) * 2015-11-12 2016-02-03 北京锐安科技有限公司 一种访问控制策略规则的操作方法
CN105681327A (zh) * 2016-02-26 2016-06-15 上海携程商务有限公司 防火墙策略的自动查询方法及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"基于改进策略树的防火墙策略审计方案设计与实现";卢云龙等;《技术与研究》;20141010(第10期);第64-69页

Also Published As

Publication number Publication date
CN105959331A (zh) 2016-09-21

Similar Documents

Publication Publication Date Title
CN105959331B (zh) 防火墙策略的优化方法及装置
Balsalobre‐Lorente et al. Influence of growth and urbanization on CO2 emissions: The moderating effect of foreign direct investment on energy use in BRICS
Lichtenthaler Shared value innovation: Linking competitiveness and societal goals in the context of digital transformation
US8819131B2 (en) Tracing of collaborative workflows
CN107908690A (zh) 一种基于大数据运营分析的数据处理方法
CN105871930A (zh) 基于应用的防火墙安全策略的自适应配置方法及系统
CN103581336B (zh) 基于云计算平台的业务流程调度方法及系统
CN103118003A (zh) 一种基于资产的风险扫描方法、装置及系统
Skorobogatova Sustainable development of an enterprise under industry 4.0 conditions
CN110324334A (zh) 安全组策略管理方法、装置、设备及计算机可读存储介质
CN115834654B (zh) 一种基于多重映射的数据高效传输方法
Yikun et al. Green growth, governance, and green technology innovation. How effective towards SDGs in G7 countries?
CN102624691A (zh) 可共用广告拦截配置信息的多代理上网方法
CN105554181B (zh) 一种dns日志压缩方法和装置
CN110543783A (zh) 一种投票系统及其实现方法、设备及存储介质
CN105577810A (zh) 一种开放接口的柔性服务方法、装置和系统
CN105681327B (zh) 防火墙策略的自动查询方法及系统
CN111930483A (zh) 基于问题场景的策略调度方法、装置及拟态构造架构
Mühlan et al. A review and implementation framework of industrial augmented reality
Roytman et al. The complexity of prioritising patching
WO2020084700A1 (ja) 企業環境活動評価システム、企業環境活動評価方法、及びプログラム
Alrazi et al. Institutional governance framework for determining carbon-related accounting practices: An exploratory study of electricity generating companies in Malaysia
CN112732539A (zh) 一种基于人员组织、岗位信息异动的数据责任调整预警方法及系统
Li et al. Research on the Influence of Economic Globalization on International Relations in the Background of Big Data and Internet of Things
CN111104613A (zh) 一种空间数据的分析方法、存储介质及终端设备

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant