CN108462676A - 网络安全设备的管理方法及装置 - Google Patents

Abstract

本发明公开了一种网络安全设备的管理方法，包括步骤：获取网络安全设备对应的安全策略变更请求；根据所述安全策略变更请求，生成所述网络安全设备对应的配置命令，所述配置命令中包含该配置至所述网络安全设备的安全策略；将所述配置命令下发至所述网络安全设备，以供所述网络安全设备根据所述配置命令配置所述安全策略。本发明还公开了一种网络安全设备的管理装置。本发明提高了对网络安全设备的安全策略进行更新处理的效率。

Description

网络安全设备的管理方法及装置

技术领域

本发明涉及网络安全技术领域，尤其涉及一种网络安全设备的管理方法及装置。

背景技术

随着互联网技术的不断发展，网络安全问题日益突出，由此出现了多种如防火墙、安全网关等网络安全设备，专门用于保护网络安全。网络安全设备一般都通过安全策略来控制网络中各种实际运行的业务，当业务需求发生变化，则网络安全设备中的安全策略也需要进行相应的更新。目前，对安全策略进行更新的工作通常是由网络管理员来负责，通过网络管理员手动对网络安全设备中的安全策略进行更新处理。由于是人工手动操作，对安全策略进行更新处理的效率并不高。

发明内容

本发明的主要目的在于提出一种网络安全设备的管理方法及装置，旨在解决现有技术中对网络安全设备的安全策略进行更新处理的效率不高的技术问题。

为实现上述目的，本发明提供的一种网络安全设备的管理方法，所述网络安全设备的管理方法包括以下步骤：

获取网络安全设备对应的安全策略变更请求；

根据所述安全策略变更请求，生成所述网络安全设备对应的配置命令，所述配置命令中包含待配置至所述网络安全设备的安全策略；

将所述配置命令下发至所述网络安全设备，以供所述网络安全设备根据所述配置命令配置所述安全策略。

优选地，所述获取网络安全设备对应的安全策略变更请求的步骤之后，还包括：

对所述安全策略变更请求进行策略预审；

所述根据所述安全策略变更请求，生成所述网络安全设备对应的配置命令的步骤包括：

若预审通过，则根据所述安全策略变更请求，生成所述网络安全设备对应的配置命令。

优选地，所述将所述配置命令下发至所述网络安全设备，以供所述网络安全设备根据所述配置命令配置所述安全策略的步骤之后，还包括：

获取所述网络安全设备当前的配置数据；

根据获取的所述配置数据，检测所述网络安全设备是否成功配置所述安全策略。

优选地，所述将所述配置命令下发至所述网络安全设备，以供所述网络安全设备根据所述配置命令配置所述安全策略的步骤之后，还包括：

当接收到策略恢复指令时，对所述网络安全设备执行安全策略恢复操作。

优选地，所述获取网络安全设备对应的安全策略变更请求的步骤包括：

接收用户基于预设的归一化映射模板输入的业务请求；

将所述业务请求转化为对应的安全策略变更请求。

此外，为实现上述目的，本发明还提出一种网络安全设备的管理装置，所述网络安全设备的管理装置包括：

获取模块，用于获取网络安全设备对应的安全策略变更请求；

生成模块，用于根据所述安全策略变更请求，生成所述网络安全设备对应的配置命令，所述配置命令中包含待配置至所述网络安全设备的安全策略；

处理模块，用于将所述配置命令下发至所述网络安全设备，以供所述网络安全设备根据所述配置命令配置所述安全策略。

优选地，所述网络安全设备的管理装置还包括：

预审模块，用于对所述安全策略变更请求进行策略预审；

所述生成模块，用于若预审通过，则根据所述安全策略变更请求，生成所述网络安全设备对应的配置命令。

优选地，所述获取模块还用于：

获取所述网络安全设备当前的配置数据；

所述网络安全设备的管理装置还包括：

检测模块，用于根据获取的所述配置数据，检测所述网络安全设备是否成功配置所述安全策略。

优选地，所述处理模块还用于：

当接收到策略恢复指令时，对所述网络安全设备执行安全策略恢复操作。

优选地，所述获取模块包括：

获取单元，用于接收用户基于预设的归一化映射模板输入的业务请求；

转化单元，用于将所述业务请求转化为对应的安全策略变更请求。

本发明提出的网络安全设备的管理方法及装置，在需要对网络安全设备的安全策略进行更新时，首先获取相应的安全策略变更请求，根据该安全策略变更请求生成网络安全设备对应的配置命令，其中包括了相应的安全策略，然后将生成的配置命令下发至网络安全设备，网络安全设备根据该配置命令，执行相应的配置安全策略操作，从而实现了网络安全设备的安全策略更新，省去了用户的人工手动操作，因此，提高了对网络安全设备的安全策略进行更新处理的效率。

附图说明

图1为本发明网络安全设备的管理方法第一实施例的流程示意图；

图2为本发明网络安全设备的管理方法第二实施例的流程示意图；

图3为本发明网络安全设备的管理方法第三实施例的流程示意图；

图4为本发明网络安全设备的管理装置第一实施例的功能模块示意图；

图5为本发明网络安全设备的管理装置第一实施例中获取模块的细化功能模块示意图；

图6为本发明网络安全设备的管理装置第二实施例的功能模块示意图；

图7为本发明网络安全设备的管理装置第三实施例的功能模块示意图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

本发明提供一种网络安全设备的管理方法。

参照图1，图1为本发明网络安全设备的管理方法第一实施例的流程示意图。在本实施例中，所述网络安全设备的管理方法包括：

步骤S10，获取网络安全设备对应的安全策略变更请求；

在本实施例中，为了提高对网络安全设备中的安全策略进行更新处理的效率，建立一网络安全设备的管理系统。可选地，该网络安全设备的管理系统应用于网络安全设备的相应管理服务器中。本领域技术人员可以理解的是，该网络安全设备的管理系统也可以应用于网络安全设备中，在此不做限制。本实施例中，由该网络安全设备的管理系统来对网络安全设备的安全策略进行更新处理，下面对安全策略更新处理的过程进行详细介绍，首先，网络安全设备的管理系统获取网络安全设备对应的安全策略变更请求。具体地，网络安全设备的管理系统获取安全策略变更请求的方式可以包括以下三种：

1)方式一、用户直接手动添加安全策略变更请求。

在方式一中，用户直接手动添加安全策略变更请求，本质上是配置安全策略变更请求的所有属性。该配置操作包括但不限于配置安全策略变更规则ID，选择需要进行安全策略更新处理的网络安全设备，配置源接口/区段，配置源地址对象，配置目的接口/区段，配置目的地址对象，配置服务对象，配置时间对象，配置处理动作，配置日志记录动作等。下面，具体介绍配置过程：

①配置安全策略变更规则ID：该操作是配置策略变更规则的唯一标识，配置的该安全策略变更规则ID与选择的需要进行安全策略更新处理的网络安全设备上的任意一条策略规则的ID均不重复。该安全策略变更规则ID可由用户自行定义，也可以由网络安全设备的管理系统自动生成。

②选择需要进行安全策略更新处理的网络安全设备：网络安全设备可以从用户管理的企业网络安全设备中选择一个或多个，支持选择多个不同厂商不同类型的网络安全设备。

③配置源接口/区段：用户配置流量数据进入网络安全设备的入口，用户可从网络安全设备的接口/区段列表中选择源接口/区段。

④配置源地址对象：用户配置流量数据的来源地址。用户可以选择网络安全设备中的已有地址对象，选择的该地址对象与配置的源接口/区段需要有关联关系，若无关联关系，则不能选择。并且，支持选择多个地址对象。或者，新建地址对象，具体地，通过配置地址对象名称、地址对象类型(包括但不限于子网或者地址段)，完成新建地址对象的过程。其中，新建的地址对象名称唯一不冗余。并且，支持多次新建，将新建的地址对象保存在地址对象列表中，在新建地址对象完成后，用户可以在地址对象列表中选择新建的地址对象。

⑤配置目的接口/区段：用户配置流量数据的流出网络安全设备的出口，用户可从网络安全设备的接口/区段列表中选择目的接口/区段。

⑥配置目的地址对象：用户配置流量数据的目的地址，与④的配置内容相似，故在此不再赘述。

⑦配置服务对象：用户配置流量数据的具体业务(基于网络服务层面)。用户可以选择网络安全设备中的已有的服务对象，支持选择多个服务对象。或者，新建服务对象，具体地，配置服务对象的名称、协议类型(包括但不限于TCP、UDP或者ICMP)、以及配置不同协议下的属性，TCP与UDP分别配置端口，而ICMP则配置ICMP特征值和ICMP码。新建的服务对象名称唯一不冗余。并且，支持多次新建，将新建的服务对象保存在服务对象列表中，在新建服务对象完成后，用户可以在服务对象列表中选择新建的服务对象。

⑧配置时间对象：用户配置该条安全策略生效的时间段。用户可以选择网络安全设备中的已有时间对象；或者，新建时间对象，具体地，配置时间对象名称，一个时间对象可以包含多个不同类型的时间段(包括但不限于绝对时间和周期时间)，其中，绝对时间段为定义一个起始和结束的两个时间点，而周期时间为定义一个周期频率，并为每个周期配置一个起始和结束的时间点。其中，新建的时间对象名称唯一不冗余。并且，可将新建的时间对象保存在时间对象列表中，在新建完成后，用户可以在时间对象列表中选择新建的时间对象。

⑨配置处理动作：用户配置安全策略对流量报文的处理方式，包括但不限于通过或者拒绝。

⑩配置日志记录动作：用户配置安全策略对匹配的流量报文进行日志处理方式，包括但不限于日志记录或者不记录。

2)方式二、用户输入自定义的业务应用需求，网络安全设备的管理系统将其转化为相应的安全策略变更请求。具体地，所述步骤S10包括：

步骤a，接收用户基于预设的归一化映射模板输入的业务请求；

步骤b，将所述业务请求转化为对应的安全策略变更请求。

具体地，在方式二中，预先设置有归一化映射模板，用户自定义业务按照该归一化映射模板填写业务请求作为输入，导入网络安全设备的管理系统中，网络安全设备的管理系统支持批量导入业务请求，若需要批量导入，则填写多份业务请求，并将其全部导入网络安全设备的管理系统中。然后，网络安全设备的管理系统将所有导入的业务请求进行转化，生成对应的归一化的安全策略变更请求。

其中，该归一化映射模板具体包含元素为业务来源安全区、业务来源地址、业务去向安全区、业务去向地址、具体业务内容、业务有效时间段、业务处理动作、业务审计开关以及业务相关的网络安全设备。上述各元素具体描述如下：

①业务来源安全区：企业网络环境通常会根据业务类型、分支机构等划分为不同的安全等级区段，网络安全设备会适配这些安全区段，控制业务流量的进出，因此，用户自定义业务需要配置业务来源的安全区段。

②业务来源地址：用户需要配置业务来源的网络地址，用户可以配置多个地址段或者多个子网地址的组合。

③业务去向安全区：表示业务请求去向安全区段，与来源安全区相似。

④业务去向地址：表示业务去向的网络地址，与业务来源地址相似。

⑤具体业务内容：表示业务请求中的具体内容，包含但不限于协议和端口号、IP协议码、典型服务名等(诸如FTP/SSH等)。

⑥业务有效时间段：表示业务有效期，由于企业中的业务通常不会一成不变，因此业务通常会设置生效的时间，用户可以设置不同类型的时间段组合，包含但不限于以年月日时分秒为精度的绝对时间段，配置周期频率以及每个周期以时分秒为精度的周期时间段。

⑦业务处理动作：表示需要对该业务请求处理的动作，包含但不限于允许该业务的生效、拒绝该业务的生效。

⑧业务审计开关：表示该业务请求的审计动作，包含但不限于记录所有该业务的日志、不记录该业务的日志。

⑨业务相关的网络安全设备：表示该业务请求涉及的网络安全设备，例如，用户可以事先手动分析出网络环境中涉及的相关网络安全设备，也可以通过可能的访问路径分析，使用业务诊断提取当前业务请求涉及到的所有网络安全设备。

由网络安全设备的管理系统将业务请求转化为对应的安全策略变更请求的具体转化方式如下：

业务来源安全区转化为安全策略变更请求中的源接口/区段；

业务来源地址则采用新建地址对象的方法，将来源地址封装入新建的地址对象中，并在地址对象列表中选择新建的地址对象；

业务去向安全区转化为安全策略变更请求中的目的接口/区段；

业务去向地址与业务来源地址处理方式类似；

具体业务内容则采用新建服务对象的方法，将业务内容根据协议类型封装入新建的服务对象中，其中，对于典型服务名，则查询服务对象列表，将其对应的协议和对应协议码或者端口号封装入新建的服务对象，然后在服务对象列表中选择新建的服务对象；

业务有效时间段则采用新建时间对象的方法，将有效时间段封装入新建的时间对象中，并在时间对象列表中选择新建的时间对象；

业务处理动作中允许业务生效则映射为通过，拒绝业务生效则映射为拒绝；

业务审计开关中，记录业务内容则映射为记录日志，不记录业务内容则映射为不记录日志；

业务相关的网络安全设备可由用户根据业务相关原则进行选择，也可以根据访问路径分析功能进行自动确定；

安全策略变更请求中的其他属性要素(诸如安全策略变更规则ID)则自动生成。

3)方式三、用户使用安全策略分析功能(规则分析、风险分析、合规基线分析等)所推荐的策略规则，由网络安全设备的管理系统将其转化为相应的安全策略变更请求。

在方式三中，用户可以调用安全策略分析功能，包括但不限于规则分析、风险分析、合规基线分析等，对网络安全设备的安全策略或者其他配置进行分析，给出推荐的策略规则，由网络安全设备的管理系统将其转化为相应的安全策略变更请求。方式三与方式一和方式二不同，方式一和方式二中都是由用户主动提出业务请求，而在方式三中，是通过对网络安全设备实施安全审计分析，包括但不限于规则分析、风险分析、合规基线分析等。根据分析结果以及分析建议，获得能够提升网络安全设备的安全性和有效性的安全策略推荐配置，其中包含了安全策略所有应该包含的属性，然后由网络安全设备的管理系统将其转化为相应的安全策略变更请求，具体转化如下：

安全策略中的属性包含源区段/接口、源地址、目的区段/接口、目的地址、服务、时间、动作、日志，分别转化为安全策略变更请求中的源接口/区段、源地址对象、目的接口/区段、目的地址对象、服务对象、时间对象、处理动作、日志处理动作。然后由网络安全设备的管理系统自动生成安全策略变更请求中的其他属性要素，诸如安全策略变更规则ID等，完成安全策略变更请求的生成。

步骤S20，根据所述安全策略变更请求，生成所述网络安全设备对应的配置命令，所述配置命令中包含待配置至所述网络安全设备的安全策略；

本实施例中，预先设置有配置命令模板，在生成了安全策略变更请求之后，网络安全设备的管理系统根据需要进行安全策略更新处理的网络安全设备，基于配置命令模板生成该网络安全设备对应的配置命令，其中，该配置命令中包含有相应安全策略对应的所有属性。例如，建立一种安全策略实施转化表，负责将安全策略变更请求转化为安全设备对应的配置命令。该安全策略实施转化表的内容包括网络安全设备的型号、新建的对象类型以及与该对象对应的配置命令模板等。其中，新建的对象类型包括地址对象、服务对象、时间对象、安全策略变更规则ID等。

具体地，网络安全设备的管理系统首先将安全策略变更请求中的所有属性提取出来，包括安全策略变更规则ID、源接口/区段、源地址、目的接口/区段、目的地址、服务、时间、日志处理动作、网络安全设备ID等。通过网络安全设备ID，在安全策略实施转化表中可查询到网络安全设备的具体型号。然后，统计该安全策略变更请求中的所有新建对象，包括地址对象、时间对象、服务对象以及安全策略变更规则ID等等。

之后，将网络安全设备的具体型号以及每个新建对象的类型作为查询条件，在安全策略实施转化表中查询对应的新建对象配置命令模板，并将安全策略变更请求中各属性的具体内容填入配置命令模板中，生成网络安全设备对应的配置命令。

步骤S30，将所述配置命令下发至所述网络安全设备，以供所述网络安全设备根据所述配置命令配置所述安全策略。

在生成网络安全设备对应的配置命令之后，可选地，将该配置命令进行展示。用户可以选择自行将该配置命令下发至网络安全设备中，也可以通过网络安全设备的管理系统自动下发至网络安全设备。具体地，可将网络安全设备的管理系统所应用的管理服务器通过SSH、TELNET等方式连接网络安全设备，在生成配置命令后，判断其中的新建对象是否已经存在于待配置安全策略的网络安全设备中。若存在，则发送相应的提示信息，提示该新建对象已经存在，建议用户修改安全策略变更请求，或者以该配置命令对应的安全策略覆盖网络安全设备上已有的配置。若不存在，则直接将配置命令下发至网络安全设备。网络安全设备在接收到该配置命令时，则可根据该配置命令，执行相应的配置安全策略的操作，从而完成网络安全设备的安全策略更新。

本实施例提出的方案，在需要对网络安全设备的安全策略进行更新时，首先获取相应的安全策略变更请求，根据该安全策略变更请求生成网络安全设备对应的配置命令，其中包括了相应的安全策略，然后将生成的配置命令下发至网络安全设备，网络安全设备根据该配置命令，执行相应的配置安全策略操作，从而实现了网络安全设备的安全策略更新，省去了用户的人工手动操作，因此，提高了对网络安全设备的安全策略进行更新处理的效率。

进一步地，如图2所示，基于第一实施例提出本发明网络安全设备的管理方法第二实施例，本实施例中，所述步骤S10之后，还包括：

步骤S40，对所述安全策略变更请求进行策略预审；

所述步骤S20包括：

步骤S21，若预审通过，则根据所述安全策略变更请求，生成所述网络安全设备对应的配置命令。

为了提高安全策略更新的安全性和可靠性，在本实施例中，在生成配置命令之前，先对安全策略变更请求进行策略预审，策略预审主要是对安全策略变更请求进行详细的安全审计，从而保障安全策略变更请求的有效性和安全性。例如，可以采用规则分析、风险分析、合规基线分析等策略分析功能。可以理解的是，用户可以根据实际情况，选择其中的一个或多个策略分析功能对安全策略变更请求进行预审。

对于规则分析，主要是将安全策略变更请求与网络安全设备已存在的安全策略进行综合分析，判断是否有属性覆盖了网络安全设备已存在的安全策略的属性，是否与网络安全设备已存在的安全策略的属性冲突、是否与网络安全设备已存在的安全策略的属性冗余等等。

对于风险分析，主要是选择预设的风险库或者用户自己构建的风险库，对安全策略变更请求进行风险分析，保障其不会有安全漏洞。

对于合规基线分析，则是依据预设的或者用户自己构建的合规规范知识库依据行业安全基线标准库，对安全策略变更请求进行合规基线分析，保障其符合安全规范。

其中，对安全策略变更请求进行策略预审的预审结果包括但不限于预审通过、预审不通过等等。若预审不通过，则给出相应的分析报告与修改建议，展示给用户。若预审通过，则执行如第一实施例中的操作，根据安全策略变更请求，生成网络安全设备对应的配置命令。

具体地，首先将安全策略变更请求中关于安全策略的所有属性提取出来，包括源接口/区段、源地址、目的接口/区段、目的地址、服务、时间、动作等属性，组成一条临时的安全策略，然后对该临时安全策略进行策略预审。下面以规则分析、风险分析、合规基线分析，对策略预审进行详细说明。

本实施例中，预先通过相应的配置采集装置获取网络安全设备当前所有的有效安全策略。规则分析中，将临时安全策略与网络安全设备中所有已经存在的有效安全策略逐个进行分析。主要分析临时安全策略与网络安全设备已有的安全策略的属性之间是否存在冲突、覆盖、冗余的关系。若存在，则给出相应的修改安全策略变更请求，并给出相应修改建议的提示信息。

风险分析中，参照预设的或者用户自己构建的风险库(诸如高危端口库、标准风险库等)中的风险条目，对临时安全策略进行逐条分析，若触发了某条风险，则记录下来，接着继续分析其他下一条目。分析完成所有条目之后，对所有触发的风险条目进行展示，并给出相应的修改建议。

合规基线分析中，参照预设的或者用户自己构建的信息安全标准规范和安全行业统一基线规范等规范库中的规范条目，对临时安全策略进行逐条分析，若不符合某条规范，则记录下来，接着继续分析其他下一条目。分析完成所有条目之后，对所有违反规范的条目进行展示，并给出相应的修改建议。

当执行完成上述三种安全审计之后，若临时安全策略存在安全问题，则需要用户根据展示的修改建议，对安全策略变更请求进行修改，之后对修改后的安全策略变更请求重新进行策略预审，直至预审通过，安全策略变更请求满足用户需求和安全要求。

本实施例提出的方案，在获取到安全策略变更请求之后，先对该安全策略变更请求进行策略预审，只有当预审通过时，才根据该安全策略变更请求，生成相应的配置命令，因此，保障了安全策略变更请求的有效性和安全性，从而提高了安全策略的安全性和可靠性。

进一步地，如图3所示，基于第一实施例或者第二实施例提出本发明网络安全设备的管理方法第三实施例，本实施例中，所述步骤S30之后，还包括：

步骤S50，获取所述网络安全设备当前的配置数据；

步骤S60，根据获取的所述配置数据，检测所述网络安全设备是否成功配置所述安全策略。

本实施例中，在将配置命令下发至网络安全设备进行安全策略配置之后，对该安全策略进行验证，主要是验证安全策略是否成功配置至网络安全设备中。

具体地，首先获取网络安全设备当前的配置数据，例如，可以通过调用配置采集装置对网络安全设备的配置数据进行采集，从而获取网络安全设备当前最新的配置数据。然后，将获取到的网络安全设备当前的配置数据与在配置该安全策略之前的历史配置数据进行比较，查看是否新增了相关对象等内容。若未得到预期结果，说明配置命令未正常下发，则可以给出相应的修改安全策略变更请求提示。若得到了预期结果，则说明安全策略成功配置至网络安全设备，此时，用户可以选择结束所有工作流程或者进行相关的模拟真实业务数据流量。

进一步地，本实施例中，所述步骤S30之后，还包括：

步骤c，当接收到策略恢复指令时，对所述网络安全设备执行安全策略恢复操作。

进一步地，若安全策略未正常下发，或者由于业务等其他原因需要撤销已经成功配置的安全策略时，用户可执行相应的策略恢复操作，触发相应的策略恢复指令。当接收到策略恢复指令时，网络安全设备的管理系统对网络安全设备执行相应的安全策略恢复操作，将网络安全设备回滚至之前的状态。

具体地，首先获取网络安全设备当前的配置数据，其中包括了新增的各类对象，将新增的对象进行标记。并且，将当前的配置数据与历史配置数据进行比较，若当前的配置数据中除标记外的内容以外都相同，则直接将历史配置数据导入网络安全数据中，完成恢复。若当前的配置数据中除标记外的内容以外还存在其他不相同内容，则说明除了通过安全策略变更请求修改了网络安全设备的配置数据以外，还有其他途径修改了网络安全设备的配置数据。此时，将网络安全设备当前的配置数据中被标记的对象数据删除，然后将经过对象数据删除处理后的当前的配置数据导入到网络安全设备中，完成恢复。

本实施例提出的方案，在将配置命令下发至网络安全设备进行安全策略配置之后，获取网络安全设备当前的配置数据，根据当前的配置数据，检测网络安全设备是否成功配置安全策略，若检测未成功配置，也即说明配置命令未正常下发，则可以给出相应的修改安全策略变更请求提示，根据修改的安全策略变更请求重新配置安全策略，从而进一步提高了安全策略的可靠性。

本发明进一步提供一种网络安全设备的管理装置。

参照图4，图4为本发明网络安全设备的管理装置第一实施例的功能模块示意图。

需要强调的是，对本领域的技术人员来说，图4所示功能模块图仅仅是一个较佳实施例的示例图，本领域的技术人员围绕图4所示的网络安全设备的管理装置的功能模块，可轻易进行新的功能模块的补充；各功能模块的名称是自定义名称，仅用于辅助理解该网络安全设备的管理装置的各个程序功能块，不用于限定本发明的技术方案，本发明技术方案的核心是，各自定义名称的功能模块所要达成的功能。

在本实施例中，所述网络安全设备的管理装置包括：

获取模块10，用于获取网络安全设备对应的安全策略变更请求；

在本实施例中，该网络安全设备的管理装置优选应用于网络安全设备的相应管理服务器中。本领域技术人员可以理解的是，该网络安全设备的管理装置也可以应用于网络安全设备中，在此不做限制。本实施例中，由该网络安全设备的管理装置来对网络安全设备的安全策略进行更新处理，下面对安全策略更新处理的过程进行详细介绍，首先，获取模块10获取网络安全设备对应的安全策略变更请求。具体地，获取模块10获取安全策略变更请求的方式可以包括以下三种：

1)方式一、用户直接手动添加安全策略变更请求。

在方式一中，用户直接手动添加安全策略变更请求，本质上是配置安全策略变更请求的所有属性。该配置操作包括但不限于配置安全策略变更规则ID，选择需要进行安全策略更新处理的网络安全设备，配置源接口/区段，配置源地址对象，配置目的接口/区段，配置目的地址对象，配置服务对象，配置时间对象，配置处理动作，配置日志记录动作等。下面，具体介绍配置过程：

①配置安全策略变更规则ID：该操作是配置策略变更规则的唯一标识，配置的该安全策略变更规则ID与选择的需要进行安全策略更新处理的网络安全设备上的任意一条策略规则的ID均不重复。该安全策略变更规则ID可由用户自行定义，也可以由网络安全设备的管理系统自动生成。

②选择需要进行安全策略更新处理的网络安全设备：网络安全设备可以从用户管理的企业网络安全设备中选择一个或多个，支持选择多个不同厂商不同类型的网络安全设备。

③配置源接口/区段：用户配置流量数据进入网络安全设备的入口，用户可从网络安全设备的接口/区段列表中选择源接口/区段。

④配置源地址对象：用户配置流量数据的来源地址。用户可以选择网络安全设备中的已有地址对象，选择的该地址对象与配置的源接口/区段需要有关联关系，若无关联关系，则不能选择。并且，支持选择多个地址对象。或者，新建地址对象，具体地，通过配置地址对象名称、地址对象类型(包括但不限于子网或者地址段)，完成新建地址对象的过程。其中，新建的地址对象名称唯一不冗余。并且，支持多次新建，将新建的地址对象保存在地址对象列表中，在新建地址对象完成后，用户可以在地址对象列表中选择新建的地址对象。

⑤配置目的接口/区段：用户配置流量数据的流出网络安全设备的出口，用户可从网络安全设备的接口/区段列表中选择目的接口/区段。

⑥配置目的地址对象：用户配置流量数据的目的地址，与④的配置内容相似，故在此不再赘述。

⑦配置服务对象：用户配置流量数据的具体业务(基于网络服务层面)。用户可以选择网络安全设备中的已有的服务对象，支持选择多个服务对象。或者，新建服务对象，具体地，配置服务对象的名称、协议类型(包括但不限于TCP、UDP或者ICMP)、以及配置不同协议下的属性，TCP与UDP分别配置端口，而ICMP则配置ICMP特征值和ICMP码。新建的服务对象名称唯一不冗余。并且，支持多次新建，将新建的服务对象保存在服务对象列表中，在新建服务对象完成后，用户可以在服务对象列表中选择新建的服务对象。

⑧配置时间对象：用户配置该条安全策略生效的时间段。用户可以选择网络安全设备中的已有时间对象；或者，新建时间对象，具体地，配置时间对象名称，一个时间对象可以包含多个不同类型的时间段(包括但不限于绝对时间和周期时间)，其中，绝对时间段为定义一个起始和结束的两个时间点，而周期时间为定义一个周期频率，并为每个周期配置一个起始和结束的时间点。其中，新建的时间对象名称唯一不冗余。并且，可将新建的时间对象保存在时间对象列表中，在新建完成后，用户可以在时间对象列表中选择新建的时间对象。

⑨配置处理动作：用户配置安全策略对流量报文的处理方式，包括但不限于通过或者拒绝。

⑩配置日志记录动作：用户配置安全策略对匹配的流量报文进行日志处理方式，包括但不限于日志记录或者不记录。

2)方式二、用户输入自定义的业务应用需求，获取模块10将其转化为相应的安全策略变更请求。具体地，如图5所示，所述获取模块10包括：

获取单元11，用于接收用户基于预设的归一化映射模板输入的业务请求；

转化单元12，用于将所述业务请求转化为对应的安全策略变更请求。

具体地，在方式二中，预先设置有归一化映射模板，用户自定义业务按照该归一化映射模板填写业务请求作为输入，获取单元11接收并导入用户基于预设的归一化映射模板输入的业务请求，优选地，支持批量导入业务请求。然后，转化单元12将所有导入的业务请求进行转化，生成对应的归一化的安全策略变更请求。

其中，该归一化映射模板具体包含元素为业务来源安全区、业务来源地址、业务去向安全区、业务去向地址、具体业务内容、业务有效时间段、业务处理动作、业务审计开关以及业务相关的网络安全设备。上述各元素具体描述如下：

①业务来源安全区：企业网络环境通常会根据业务类型、分支机构等划分为不同的安全等级区段，网络安全设备会适配这些安全区段，控制业务流量的进出，因此，用户自定义业务需要配置业务来源的安全区段。

②业务来源地址：用户需要配置业务来源的网络地址，用户可以配置多个地址段或者多个子网地址的组合。

③业务去向安全区：表示业务请求去向安全区段，与来源安全区相似。

④业务去向地址：表示业务去向的网络地址，与业务来源地址相似。

⑤具体业务内容：表示业务请求中的具体内容，包含但不限于协议和端口号、IP协议码、典型服务名等(诸如FTP/SSH等)。

⑥业务有效时间段：表示业务有效期，由于企业中的业务通常不会一成不变，因此业务通常会设置生效的时间，用户可以设置不同类型的时间段组合，包含但不限于以年月日时分秒为精度的绝对时间段，配置周期频率以及每个周期以时分秒为精度的周期时间段。

⑦业务处理动作：表示需要对该业务请求处理的动作，包含但不限于允许该业务的生效、拒绝该业务的生效。

⑧业务审计开关：表示该业务请求的审计动作，包含但不限于记录所有该业务的日志、不记录该业务的日志。

⑨业务相关的网络安全设备：表示该业务请求涉及的网络安全设备，例如，用户可以事先手动分析出网络环境中涉及的相关网络安全设备，也可以通过可能的访问路径分析，使用业务诊断提取当前业务请求涉及到的所有网络安全设备。

由转化单元12将业务请求转化为对应的安全策略变更请求的具体转化方式如下：

业务来源安全区转化为安全策略变更请求中的源接口/区段；

业务来源地址则采用新建地址对象的方法，将来源地址封装入新建的地址对象中，并在地址对象列表中选择新建的地址对象；

业务去向安全区转化为安全策略变更请求中的目的接口/区段；

业务去向地址与业务来源地址处理方式类似；

具体业务内容则采用新建服务对象的方法，将业务内容根据协议类型封装入新建的服务对象中，其中，对于典型服务名，则查询服务对象列表，将其对应的协议和对应协议码或者端口号封装入新建的服务对象，然后在服务对象列表中选择新建的服务对象；

业务有效时间段则采用新建时间对象的方法，将有效时间段封装入新建的时间对象中，并在时间对象列表中选择新建的时间对象；

业务处理动作中允许业务生效则映射为通过，拒绝业务生效则映射为拒绝；

业务审计开关中，记录业务内容则映射为记录日志，不记录业务内容则映射为不记录日志；

业务相关的网络安全设备可由用户根据业务相关原则进行选择，也可以根据访问路径分析功能进行自动确定；

安全策略变更请求中的其他属性要素(诸如安全策略变更规则ID)则自动生成。

3)方式三、用户使用安全策略分析功能(规则分析、风险分析、合规基线分析等)所推荐的策略规则，由获取模块10将其转化为相应的安全策略变更请求。

在方式三中，用户可以调用安全策略分析功能，包括但不限于规则分析、风险分析、合规基线分析等，对网络安全设备的安全策略或者其他配置进行分析，给出推荐的策略规则，由获取模块10将其转化为相应的安全策略变更请求。方式三与方式一和方式二不同，方式一和方式二中都是由用户主动提出业务请求，而在方式三中，是通过对网络安全设备实施安全审计分析，包括但不限于规则分析、风险分析、合规基线分析等。根据分析结果以及分析建议，获得能够提升网络安全设备的安全性和有效性的安全策略推荐配置，其中包含了安全策略所有应该包含的属性，然后由获取模块10将其转化为相应的安全策略变更请求，具体转化如下：

安全策略中的属性包含源区段/接口、源地址、目的区段/接口、目的地址、服务、时间、动作、日志，分别转化为安全策略变更请求中的源接口/区段、源地址对象、目的接口/区段、目的地址对象、服务对象、时间对象、处理动作、日志处理动作。然后由网络安全设备的管理装置自动生成安全策略变更请求中的其他属性要素，诸如安全策略变更规则ID等，完成安全策略变更请求的生成。

生成模块20，用于根据所述安全策略变更请求，生成所述网络安全设备对应的配置命令，所述配置命令中包含待配置至所述网络安全设备的安全策略；

本实施例中，预先设置有配置命令模板，在生成了安全策略变更请求之后，生成模块20根据需要进行安全策略更新处理的网络安全设备，基于配置命令模板生成该网络安全设备对应的配置命令，其中，该配置命令中包含有相应安全策略对应的所有属性。例如，建立一种安全策略实施转化表，负责将安全策略变更请求转化为安全设备对应的配置命令。该安全策略实施转化表的内容包括网络安全设备的型号、新建的对象类型以及与该对象对应的配置命令模板等。其中，新建的对象类型包括地址对象、服务对象、时间对象、安全策略变更规则ID等。

具体地，生成模块20首先将安全策略变更请求中的所有属性提取出来，包括安全策略变更规则ID、源接口/区段、源地址、目的接口/区段、目的地址、服务、时间、日志处理动作、网络安全设备ID等。通过网络安全设备ID，在安全策略实施转化表中可查询到网络安全设备的具体型号。然后，统计该安全策略变更请求中的所有新建对象，包括地址对象、时间对象、服务对象以及安全策略变更规则ID等等。

之后，将网络安全设备的具体型号以及每个新建对象的类型作为查询条件，在安全策略实施转化表中查询对应的新建对象配置命令模板，并将安全策略变更请求中各属性的具体内容填入配置命令模板中，生成网络安全设备对应的配置命令。

处理模块30，用于将所述配置命令下发至所述网络安全设备，以供所述网络安全设备根据所述配置命令配置所述安全策略。

在生成网络安全设备对应的配置命令之后，可选地，将该配置命令进行展示。用户可以选择自行将该配置命令下发至网络安全设备中，也可以通过处理模块30下发至网络安全设备。具体地，可将网络安全设备的管理装置所应用的管理服务器通过SSH、TELNET等方式连接网络安全设备，在生成模块20生成配置命令后，处理模块30判断其中的新建对象是否已经存在于待配置安全策略的网络安全设备中。若存在，则发送相应的提示信息，提示该新建对象已经存在，建议用户修改安全策略变更请求，或者以该配置命令对应的安全策略覆盖网络安全设备上已有的配置。若不存在，则直接将配置命令下发至网络安全设备。网络安全设备在接收到该配置命令时，则可根据该配置命令，执行相应的配置安全策略的操作，从而完成网络安全设备的安全策略更新。

本实施例提出的方案，在需要对网络安全设备的安全策略进行更新时，首先获取模块10获取相应的安全策略变更请求，生成模块20根据该安全策略变更请求生成网络安全设备对应的配置命令，其中包括了相应的安全策略，然后处理模块30将生成的配置命令下发至网络安全设备，网络安全设备根据该配置命令，执行相应的配置安全策略操作，从而实现了网络安全设备的安全策略更新，省去了用户的人工手动操作，因此，提高了对网络安全设备的安全策略进行更新处理的效率。

进一步地，如图6所示，基于第一实施例提出本发明网络安全设备的管理装置第二实施例，在本实施例中，所述网络安全设备的管理装置还包括：

预审模块40，用于对所述安全策略变更请求进行策略预审；

所述生成模块20，用于若预审通过，则根据所述安全策略变更请求，生成所述网络安全设备对应的配置命令。

为了提高安全策略更新的安全性和可靠性，在本实施例中，在生成配置命令之前，预审模块40先对安全策略变更请求进行策略预审，策略预审主要是对安全策略变更请求进行详细的安全审计，从而保障安全策略变更请求的有效性和安全性。例如，预审模块40可以采用规则分析、风险分析、合规基线分析等策略分析功能。可以理解的是，用户可以根据实际情况，选择其中的一个或多个策略分析功能对安全策略变更请求进行预审。

对于规则分析，主要是将安全策略变更请求与网络安全设备已存在的安全策略进行综合分析，判断是否有属性覆盖了网络安全设备已存在的安全策略的属性，是否与网络安全设备已存在的安全策略的属性冲突、是否与网络安全设备已存在的安全策略的属性冗余等等。

对于风险分析，主要是选择预设的风险库或者用户自己构建的风险库，对安全策略变更请求进行风险分析，保障其不会有安全漏洞。

对于合规基线分析，则是依据预设的或者用户自己构建的合规规范知识库依据行业安全基线标准库，对安全策略变更请求进行合规基线分析，保障其符合安全规范。

其中，对安全策略变更请求进行策略预审的预审结果包括但不限于预审通过、预审不通过等等。若预审不通过，则处理模块30给出相应的分析报告与修改建议，展示给用户。若预审通过，则生成模块20根据安全策略变更请求，生成网络安全设备对应的配置命令。

具体地，首先将安全策略变更请求中关于安全策略的所有属性提取出来，包括源接口/区段、源地址、目的接口/区段、目的地址、服务、时间、动作等属性，组成一条临时的安全策略，然后预审模块40对该临时安全策略进行策略预审。下面以规则分析、风险分析、合规基线分析，对策略预审进行详细说明。

本实施例中，预先通过相应的配置采集装置获取网络安全设备当前所有的有效安全策略。规则分析中，将临时安全策略与网络安全设备中所有已经存在的有效安全策略逐个进行分析。主要分析临时安全策略与网络安全设备已有的安全策略的属性之间是否存在冲突、覆盖、冗余的关系。若存在，则处理模块30给出相应的修改安全策略变更请求，并给出相应修改建议的提示信息。

风险分析中，参照预设的或者用户自己构建的风险库(诸如高危端口库、标准风险库等)中的风险条目，对临时安全策略进行逐条分析，若触发了某条风险，则记录下来，接着继续分析其他下一条目。分析完成所有条目之后，对所有触发的风险条目进行展示，并给出相应的修改建议。

合规基线分析中，参照预设的或者用户自己构建的信息安全标准规范和安全行业统一基线规范等规范库中的规范条目，对临时安全策略进行逐条分析，若不符合某条规范，则记录下来，接着继续分析其他下一条目。分析完成所有条目之后，对所有违反规范的条目进行展示，并给出相应的修改建议。

当执行完成上述三种安全审计之后，若临时安全策略存在安全问题，则需要用户根据展示的修改建议，对安全策略变更请求进行修改，之后预审模块40对修改后的安全策略变更请求重新进行策略预审，直至预审通过，安全策略变更请求满足用户需求和安全要求。

本实施例提出的方案，在获取模块10获取到安全策略变更请求之后，预审模块40先对该安全策略变更请求进行策略预审，只有当预审通过时，生成模块20才根据该安全策略变更请求，生成相应的配置命令，因此，保障了安全策略变更请求的有效性和安全性，从而提高了安全策略的安全性和可靠性。

进一步地，如图7所示，基于第一实施例或者第二实施例提出本发明网络安全设备的管理装置第三实施例，本实施例中，所述获取模块10还用于：

获取所述网络安全设备当前的配置数据；

所述网络安全设备的管理装置还包括：

检测模块50，用于根据获取的所述配置数据，检测所述网络安全设备是否成功配置所述安全策略。

本实施例中，在将配置命令下发至网络安全设备进行安全策略配置之后，对该安全策略进行验证，主要是验证安全策略是否成功配置至网络安全设备中。

具体地，获取模块10获取网络安全设备当前的配置数据，例如，可以通过调用配置采集装置对网络安全设备的配置数据进行采集，从而获取网络安全设备当前最新的配置数据。然后，检测模块50将获取到的网络安全设备当前的配置数据与在配置该安全策略之前的历史配置数据进行比较，查看是否新增了相关对象等内容。若未得到预期结果，说明配置命令未正常下发，安全策略未成功配置至网络安全设备中，此时，处理模块30可以给出相应的修改安全策略变更请求提示。若得到了预期结果，则说明安全策略成功配置至网络安全设备，此时，用户可以选择结束所有工作流程或者进行相关的模拟真实业务数据流量。

进一步地，本实施例中，所述处理模块30还用于：

当接收到策略恢复指令时，对所述网络安全设备执行安全策略恢复操作。

进一步地，若安全策略未正常下发，或者由于业务等其他原因需要撤销已经成功配置的安全策略时，用户可执行相应的策略恢复操作，触发相应的策略恢复指令。当接收到策略恢复指令时，处理模块30对网络安全设备执行相应的安全策略恢复操作，将网络安全设备回滚至之前的状态。

具体地，首先获取网络安全设备当前的配置数据，其中包括了新增的各类对象，处理模块30将新增的对象进行标记。并且，将当前的配置数据与历史配置数据进行比较，若当前的配置数据中除标记外的内容以外都相同，则处理模块30直接将历史配置数据导入网络安全数据中，完成恢复。若当前的配置数据中除标记外的内容以外还存在其他不相同内容，则说明除了通过安全策略变更请求修改了网络安全设备的配置数据以外，还有其他途径修改了网络安全设备的配置数据。此时，处理模块30将网络安全设备当前的配置数据中被标记的对象数据删除，然后将经过对象数据删除处理后的当前的配置数据导入到网络安全设备中，完成恢复。

本实施例提出的方案，在将配置命令下发至网络安全设备进行安全策略配置之后，获取模块10获取网络安全设备当前的配置数据，检测模块50根据当前的配置数据，检测网络安全设备是否成功配置安全策略，若检测未成功配置，则可以给出相应的修改安全策略变更请求提示，根据修改的安全策略变更请求重新配置安全策略，从而进一步提高了安全策略的可靠性。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其它变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其它要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其它相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims (10)

1.一种网络安全设备的管理方法，其特征在于，所述网络安全设备的管理方法包括以下步骤：

获取网络安全设备对应的安全策略变更请求；

根据所述安全策略变更请求，生成所述网络安全设备对应的配置命令，所述配置命令中包含待配置至所述网络安全设备的安全策略；

将所述配置命令下发至所述网络安全设备，以供所述网络安全设备根据所述配置命令配置所述安全策略。

2.如权利要求1所述的网络安全设备的管理方法，其特征在于，所述获取网络安全设备对应的安全策略变更请求的步骤之后，还包括：

对所述安全策略变更请求进行策略预审；

所述根据所述安全策略变更请求，生成所述网络安全设备对应的配置命令的步骤包括：

若预审通过，则根据所述安全策略变更请求，生成所述网络安全设备对应的配置命令。

3.如权利要求1所述的网络安全设备的管理方法，其特征在于，所述将所述配置命令下发至所述网络安全设备，以供所述网络安全设备根据所述配置命令配置所述安全策略的步骤之后，还包括：

获取所述网络安全设备当前的配置数据；

根据获取的所述配置数据，检测所述网络安全设备是否成功配置所述安全策略。

4.如权利要求1所述的网络安全设备的管理方法，其特征在于，所述将所述配置命令下发至所述网络安全设备，以供所述网络安全设备根据所述配置命令配置所述安全策略的步骤之后，还包括：

当接收到策略恢复指令时，对所述网络安全设备执行安全策略恢复操作。

5.如权利要求1-4任一项所述的网络安全设备的管理方法，其特征在于，所述获取网络安全设备对应的安全策略变更请求的步骤包括：

接收用户基于预设的归一化映射模板输入的业务请求；

将所述业务请求转化为对应的安全策略变更请求。

6.一种网络安全设备的管理装置，其特征在于，所述网络安全设备的管理装置包括：

获取模块，用于获取网络安全设备对应的安全策略变更请求；

生成模块，用于根据所述安全策略变更请求，生成所述网络安全设备对应的配置命令，所述配置命令中包含待配置至所述网络安全设备的安全策略；

处理模块，用于将所述配置命令下发至所述网络安全设备，以供所述网络安全设备根据所述配置命令配置所述安全策略。

7.如权利要求6所述的网络安全设备的管理装置，其特征在于，所述网络安全设备的管理装置还包括：

预审模块，用于对所述安全策略变更请求进行策略预审；

所述生成模块，用于若预审通过，则根据所述安全策略变更请求，生成所述网络安全设备对应的配置命令。

8.如权利要求6所述的网络安全设备的管理装置，其特征在于，所述获取模块还用于：

获取所述网络安全设备当前的配置数据；

所述网络安全设备的管理装置还包括：

检测模块，用于根据获取的所述配置数据，检测所述网络安全设备是否成功配置所述安全策略。

9.如权利要求6所述的网络安全设备的管理装置，其特征在于，所述处理模块还用于：

当接收到策略恢复指令时，对所述网络安全设备执行安全策略恢复操作。

10.如权利要求6-9任一项所述的网络安全设备的管理装置，其特征在于，所述获取模块包括：

获取单元，用于接收用户基于预设的归一化映射模板输入的业务请求；

转化单元，用于将所述业务请求转化为对应的安全策略变更请求。