CN109040089B - 网络策略审计方法、设备及计算机可读存储介质 - Google Patents
网络策略审计方法、设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN109040089B CN109040089B CN201810939474.0A CN201810939474A CN109040089B CN 109040089 B CN109040089 B CN 109040089B CN 201810939474 A CN201810939474 A CN 201810939474A CN 109040089 B CN109040089 B CN 109040089B
- Authority
- CN
- China
- Prior art keywords
- network
- preset
- auditing
- network policy
- strategy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络策略审计方法,包括:当检测到触发的网络策略审计指令时,读取防火墙的防火墙IP,并依据所述防火墙IP获取所述防火墙的网络策略配置文件;对所述网络策略配置文件进行解析,以获取所述防火墙的各网络策略,并对所述各网络策略进行结构化处理;依据预设区域信息与预设审计规则组,对经过结构化处理后的各网络策略进行审计,并输出对应的审计结果。本发明还公开了一种网络策略审计设备及计算机可读存储介质。本发明能够有效的降低网络策略的审计成本,提高网络策略的审计效率。
Description
技术领域
本发明涉及信息网络安全的技术领域,尤其涉及一种网络策略审计方法、设备及计算机可读存储介质。
背景技术
信息技术发展和各国信息安全政策的不断演变,国内外信息安全形势日益严峻,随着对信息安全提出了更高的要求,需进一步健全统一的信息安全管理机制,强化信息安全保障措施,提升信息安全综合防护能力。
为提高企业内部的网络信息安全,需要对防火墙上的网络策略进行合规性审计,目前主要由审计管理员对防火墙上的网络策略进行合规性审计,然而,随着企业接入的系统增多,防火墙上的网络策略也相应的增多,需要投入较多的时间和人力对网络策略进行合规性审计,网络策略的审计成本较高,网络策略的审计效率较低。
因此,如何降低网络策略的审计成本,提高网络策略的审计效率是目前亟待解决的问题。
发明内容
本发明的主要目的在于提供一种网络策略审计方法、设备及计算机可读存储介质,旨在降低网络策略的审计成本,提高网络策略的审计效率。
为实现上述目的,本发明提供一种网络策略审计方法,所述网络策略审计方法包括以下步骤:
当检测到触发的网络策略审计指令时,读取防火墙的防火墙IP,并依据所述防火墙IP获取所述防火墙的网络策略配置文件;
对所述网络策略配置文件进行解析,以获取所述防火墙的各网络策略,并对所述各网络策略进行结构化处理;
依据预设区域信息与预设审计规则组,对经过结构化处理后的各网络策略进行审计,并输出对应的审计结果。
进一步地,所述依据预设区域信息与预设审计规则组,对经过结构化处理后的各网络策略进行审计的步骤包括:
从经过结构化处理后的各网络策略中读取各网络策略的源IP、源IP组、目标IP、目标IP组和目标端口号;
依据预设区域信息以及各网络策略的源IP和目标IP,确定各网络策略的源区域和目标区域;
依据预设审计规则组以及各网络策略的源IP、源IP组、源区域、目标IP、目标IP组、目标区域和目标端口号,执行网络策略与审计规则之间的匹配操作。
进一步地,所述依据预设区域信息以及各网络策略的源IP和目标IP,确定各网络策略的源区域和目标区域的步骤包括:
从所述区域信息中获取IP与区域的映射关系表,并查询IP与区域的映射关系表,确定各网络策略的源IP对应的区域,以及各网络策略的目标IP对应的区域;
将各网络策略的源IP对应的区域确定为各网络策略的源区域,并将各网络策略的目标IP对应的区域确定为各网络策略的目标区域。
进一步地,所述依据预设区域信息与预设审计规则组,对经过结构化处理后的各网络策略进行审计的步骤还包括:
确定经过结构化处理后的各网络策略中是否存在位于预设白名单的网络策略;
若经过结构化处理后的各网络策略中存在位于预设白名单的网络策略,则给位于预设白名单的网络策略添加白名单标志位;
依据预设区域信息与预设审计规则组,对经过结构化处理后的各网络策略中未添加白名单标志位的网络策略进行审计。
进一步地,所述确定经过结构化处理后的各网络策略中是否存在位于预设白名单的网络策略的步骤包括:
依据经过结构化处理后的各网络策略的各字段参数,确定各网络策略的哈希值;
确定各网络策略的哈希值是否位于预设哈希值库;
若各网络策略中存在网络策略的哈希值位于预设哈希值库,则确定经过结构化处理后的该网络策略位于预设白名单中。
进一步地,所述依据预设区域信息与预设审计规则组,对经过结构化处理后的各网络策略进行审计,并输出对应的审计结果的步骤之后,还包括:
依据预设下线IP库,对经过预设区域信息与预设审计规则组审计后的各网络策略进行二次审计,并输出二次审计结果。
进一步地,所述依据预设下线IP库,对经过预设区域信息与预设审计规则组审计后的各网络策略进行二次审计的步骤包括:
从经过预设区域信息与预设审计规则组审计后的各网络策略中读取各网络策略的源IP和目标IP;
依据预设下线IP库以及各网络策略的源IP和目标IP,执行各网络策略与预设下线IP库的匹配操作。
进一步地,所述网络策略审计方法还包括:
以间隔预设时间更新所述预设下线IP库。
此外,为实现上述目的,本发明还提供一种网络策略审计设备,所述网络策略审计设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络策略审计程序,所述网络策略审计程序被所述处理器执行时实现如上所述的网络策略审计方法的步骤。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有网络策略审计程序,所述网络策略审计程序被处理器执行时实现如上所述的网络策略审计方法的步骤。
本发明提供一种网络策略审计方法、设备及计算机可读存储介质,本发明当检测到触发的网络策略审计指令时,读取防火墙的防火墙IP,并依据防火墙IP获取防火墙的网络策略配置文件,然后对该网络策略配置文件进行解析,以获取防火墙的各网络策略,并对各网络策略进行结构化处理,最后依据预设区域信息与预设审计规则组,对经过结构化处理后的各网络策略进行审计,并输出对应的审计结果,通过上述方案,可以实现防火墙上的网络策略的自动化审计,不需要审计管理员人工审计防火墙上的网络策略,有效的减少审计时间和审计人力,降低网络策略的审计成本,也提高了网络策略的审计效率。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的设备结构示意图;
图2为本发明网络策略审计方法第一实施例的流程示意图;
图3为本发明第一实施例中步骤S103的细化流程示意图;
图4为本发明网络策略审计方法第三实施例的流程示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
如图1所示,图1是本发明实施例方案涉及的硬件运行环境的设备结构示意图。
本发明实施例网络策略审计设备可以是PC,也可以是智能手机、平板电脑、便携计算机等具有显示功能的可移动式终端设备。
如图1所示,该网络策略审计设备可以包括:处理器1001,例如CPU,通信总线1002,用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选的用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的网络策略审计设备结构并不构成对网络策略审计设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及网络策略审计程序。
在图1所示的网络策略审计设备中,网络接口1004主要用于连接后台服务器,与后台服务器进行数据通信;用户接口1003主要用于连接客户端(用户端),与客户端进行数据通信;而处理器1001可以用于调用存储器1005中存储的网络策略审计程序,并执行以下步骤:
当检测到触发的网络策略审计指令时,读取防火墙的防火墙IP,并依据所述防火墙IP获取所述防火墙的网络策略配置文件;
对所述网络策略配置文件进行解析,以获取所述防火墙的各网络策略,并对所述各网络策略进行结构化处理;
依据预设区域信息与预设审计规则组,对经过结构化处理后的各网络策略进行审计,并输出对应的审计结果。
进一步地,处理器1001可以用于调用存储器1005中存储的网络策略审计程序,还执行以下步骤:
从经过结构化处理后的各网络策略中读取各网络策略的源IP、源IP组、目标IP、目标IP组和目标端口号;
依据预设区域信息以及各网络策略的源IP和目标IP,确定各网络策略的源区域和目标区域;
依据预设审计规则组以及各网络策略的源IP、源IP组、源区域、目标IP、目标IP组、目标区域和目标端口号,执行网络策略与审计规则之间的匹配操作。
进一步地,处理器1001可以用于调用存储器1005中存储的网络策略审计程序,还执行以下步骤:
从所述区域信息中获取IP与区域的映射关系表,并查询IP与区域的映射关系表,确定各网络策略的源IP对应的区域,以及各网络策略的目标IP对应的区域;
将各网络策略的源IP对应的区域确定为各网络策略的源区域,并将各网络策略的目标IP对应的区域确定为各网络策略的目标区域。
进一步地,处理器1001可以用于调用存储器1005中存储的网络策略审计程序,还执行以下步骤:
确定经过结构化处理后的各网络策略中是否存在位于预设白名单的网络策略;
若经过结构化处理后的各网络策略中存在位于预设白名单的网络策略,则给位于预设白名单的网络策略添加白名单标志位;
依据预设区域信息与预设审计规则组,对经过结构化处理后的各网络策略中未添加白名单标志位的网络策略进行审计。
进一步地,处理器1001可以用于调用存储器1005中存储的网络策略审计程序,还执行以下步骤:
依据经过结构化处理后的各网络策略的各字段参数,确定各网络策略的哈希值;
确定各网络策略的哈希值是否位于预设哈希值库;
若各网络策略中存在网络策略的哈希值位于预设哈希值库,则确定经过结构化处理后的该网络策略位于预设白名单中。
进一步地,处理器1001可以用于调用存储器1005中存储的网络策略审计程序,还执行以下步骤:
依据预设下线IP库,对经过预设区域信息与预设审计规则组审计后的各网络策略进行二次审计,并输出二次审计结果。
进一步地,处理器1001可以用于调用存储器1005中存储的网络策略审计程序,还执行以下步骤:
从经过预设区域信息与预设审计规则组审计后的各网络策略中读取各网络策略的源IP和目标IP;
依据预设下线IP库以及各网络策略的源IP和目标IP,执行各网络策略与预设下线IP库的匹配操作。
进一步地,处理器1001可以用于调用存储器1005中存储的网络策略审计程序,还执行以下步骤:
以间隔预设时间更新所述预设下线IP库。
本发明网络策略审计设备的具体实施例与下述网络策略审计方法的各具体实施例基本相同,在此不作赘述。
参照图2,图2为本发明网络策略审计方法第一实施例的流程示意图。
步骤S101,当检测到触发的网络策略审计指令时,读取防火墙的防火墙IP,并依据防火墙IP获取防火墙的网络策略配置文件;
本实施例中,该网络策略审计方法应用于网络策略审计设备,网络策略审计设备存储有防火墙信息表,且与存储有各防火墙的网络策略配置文件的服务器连接,当检测到触发的网络策略审计指令时,设备读取防火墙信息表中的防火墙IP,并依据防火墙IP从服务器中获取防火墙的网络策略配置文件,即将防火墙IP传输至服务器,由服务器查询防火墙IP与网络策略配置文件的映射表,获取防火墙IP对应的网络策略配置文件,然后将防火墙IP对应的网络策略配置文件返回给设备。其中,网络策略配置文件包括但不限于网络策略的两个IP、目标端口、协议、提取动作以及用于指定两个IP为源IP和目标IP的属性信息。其中,网络策略审计指令的触发方式包括但不限于定时触发和实时触发,定时触发为设备设置有触发网络策略审计指令的定时任务,即以间隔预设时间触发网络策略审计指令,而实时触发为管理员手动实时触发网络策略审计指令。需要说明的是,预设时间可由本领域技术人员基于实际情况进行设置,本实施例对此不作具体限定,可选地,预设时间为24小时。
步骤S102,对网络策略配置文件进行解析,以获取防火墙的各网络策略,并对各网络策略进行结构化处理;
本实施例中,在获取到防火墙的网络策略配置文件之后,设备对防火墙的网络策略配置文件进行解析,以获取防火墙的各网络策略,即从配置文件中读取两个IP,并按照属性信息,确定两个IP中的一个IP为源IP,另一个IP为目标IP,且源IP通过目标端口访问目标IP,然后对防火墙的网络策略进行结构化处理,即读取网络策略的结构化对象,并从网络策略中读取各结构化对象对应的具体参数数据,然后将各结构化对象对应的具体参数数据写入填充至设定的结构体中,从而得到一经过结构化处理的网络策略。其中,结构化对象包括但不限于动作、协议、源IP组、源IP、目标IP组、目标IP、目标端口、白名单标志位和下线IP标志位。例如,设一网络策略中的各结构化对象,即动作、协议、源IP组、源IP、目标IP组、目标IP、目标端口、白名单标志位和下线IP标志位分别为Permit、TCP、DMZ服务、10.0.0.2、SF服务、10.0.1.1和22,则结构化的网络策略如下所示:
| 动作 | 协议 | 源IP组 | 源IP | 目标IP组 | 目标IP | 端口 |
| Permit | Tcp | DMZ服务 | 10.0.0.2 | SF服务 | 10.0.1.1 | 22 |
步骤S103,依据预设区域信息与预设审计规则组,对经过结构化处理后的各网络策略进行审计,并输出对应的审计结果。
本实施例中,对各网络策略进行结构化处理之后,设备依据预设区域信息与预设审计规则组,对经过结构化处理后的各网络策略进行审计,并输出对应的审计结果,即按照预设审计规则组中各审计规则的执行顺序,执行网络策略与审计规则的匹配操作,当网络策略与预设审计规则组中的某一审计规则匹配时,该网络策略的合规性不符合要求,输出的审计结果中包含与预设审计规则组中的某一审计规则匹配的网络策略。其中,审计规则组包括但不限于单IP与单IP之间的互访规则、单IP与IP组之间的互访规则、单IP与区域之间的互访规则、IP组与IP组之间的互访规则、IP组与区域之间的互访规则、IP组与单IP之间的互访规则、区域与单IP之间的互访规则、区域与IP组之间的互访规则以及区域与区域之间的互访规则,且各互访规则包括但不限于目标端口全限制的互访规则和目标端口部分限制互访规则。
具体地,参照图3,步骤S103包括:
步骤S1031,从经过结构化处理后的各网络策略中读取各网络策略的源IP、源IP组、目标IP、目标IP组和目标端口号;
本实施例中,设备从经过结构化处理的各网络策略中读取各网络策略的源IP、源IP组、目标IP、目标IP组和目标端口号。其中,设备中存储有区域信息,用于表示IP与IP区域之间的映射关系。
步骤S1032,依据预设区域信息以及各网络策略的源IP和目标IP,确定各网络策略的源区域和目标区域;
本实施例中,设备依据预设区域信息以及各网络策略的源IP和目标IP,确定各网络策略的源区域和目标区域,即从预设区域信息中获取IP与区域的映射关系表,并查询IP与区域的映射关系表,确定各网络策略的源IP对应的区域,以及各网络策略的目标IP对应的区域,然后将各网络策略的源IP对应的区域确定为各网络策略的源区域,并将各网络策略的目标IP对应的区域确定为各网络策略的目标区域。需要说明的是,本领域技术人员基于实际情况将网络划分定义为各个区域,即建立IP与区域之间的映射关系表。
步骤S1033,依据预设审计规则组以及各网络策略的源IP、源IP组、源区域、目标IP、目标IP组、目标区域和目标端口号,执行网络策略与审计规则之间的匹配操作。
本实施例中,设备依据审计规则组以及各网络策略的源IP、源IP组、源区域、目标IP、目标IP组、目标区域和目标端口号,执行网络策略与审计规则之间的匹配操作,即按照各审计规则的所属类别将各审计规则划分为各审计规则子组,并按照各审计规则子组的执行顺序,依次选择审计规则子组,并按照选择的审计规则子组中的各审计规则的执行顺序,依次执行网络策略与审计规则之间的匹配操作,进一步地,可开启多进程,同步执行多个匹配操作。其中,网络策略与审计规则之间的匹配操作按照审计规则类别可分为单IP-单IP匹配操作、单IP-IP组匹配操作、单IP-区域匹配操作、IP组-单IP匹配操作、IP组-IP组匹配操作、IP组-区域匹配操作、区域-单IP匹配操作、区域-IP组匹配操作和区域-区域匹配操作。
单IP-单IP匹配操作具体为将网络策略中的源IP和目标IP,与审计规则中的源IP和目标IP进行匹配,且将网络策略中的目标端口与审计规则中的目标端口进行匹配;单IP-IP组匹配操作具体为将网络策略中的源IP和目标IP组,与审计规则中的源IP和目标IP组进行匹配,且将网络策略中的目标端口与审计规则中的目标端口进行匹配;单IP-区域匹配操作具体为将网络策略中的源IP和目标区域,与审计规则中的源IP和目标区域进行匹配,且将网络策略中的目标端口与审计规则中的目标端口进行匹配;
IP组-单IP匹配操作具体为将网络策略中的源IP组和目标IP,与审计规则中的源IP组和目标IP进行匹配,且将网络策略中的目标端口与审计规则中的目标端口进行匹配;IP组-IP组匹配操作具体为将网络策略中的源IP组和目标IP组,与审计规则中的源IP组和目标IP组进行匹配,且将网络策略中的目标端口与审计规则中的目标端口进行匹配;IP组-区域匹配操作具体为将网络策略中的源IP组和目标区域,与审计规则中的源IP组和目标区域进行匹配,且将网络策略中的目标端口与审计规则中的目标端口进行匹配;
区域-单IP匹配操作具体为将网络策略中的源区域和目标IP,与审计规则中的源区域和目标IP进行匹配,且将网络策略中的目标端口与审计规则中的目标端口进行匹配;区域-IP组匹配操作具体为将网络策略中的源区域和目标IP组,与审计规则中的源区域和目标IP组进行匹配,且将网络策略中的目标端口与审计规则中的目标端口进行匹配;区域-区域匹配操作具体为将网络策略中的源区域和目标区域,与审计规则中的源区域和目标区域进行匹配,且将网络策略中的目标端口与审计规则中的目标端口进行匹配。
本实施例中,本发明当检测到触发的网络策略审计指令时,读取防火墙的防火墙IP,并依据防火墙IP获取防火墙的网络策略配置文件,然后对该网络策略配置文件进行解析,以获取防火墙的各网络策略,并对各网络策略进行结构化处理,最后依据预设区域信息与预设审计规则组,对经过结构化处理后的各网络策略进行审计,并输出对应的审计结果,通过上述方案,可以实现防火墙上的网络策略的自动化审计,不需要审计管理员人工审计防火墙上的网络策略,有效的减少审计时间和审计人力,降低网络策略的审计成本,也提高了网络策略的审计效率。
进一步地,基于上述第一实施,提出了本发明网络策略审计方法的第二实施例,与前述实施例的区别在于,步骤S103还包括:
步骤a,确定经过结构化处理后的各网络策略中是否存在位于预设白名单的网络策略;
本实施例中,设备具备网络策略的白名单添加功能,即开发人员或运维人员可将不合规,而必须存在的特殊网络策略手动添加至预设白名单中,当设备将位于预设白名单中的各网络策略进行结构化处理,并获取经过结构化处理后的网络策略的各字段参数,然后按照各字段参数和哈希算法,确定该网络策略的哈希值,并将该哈希值存储至预设哈希值库中。其中,字段参数为动作、协议、源IP、源IP组、目标IP、目标IP组、目标端口号对应的具体参数。
设备确定经过结构化处理后的各网络策略中是否存在位于预设白名单的网络策略,即依据经过结构化处理后的各网络策略的各字段参数,确定各网络策略的哈希值,并确定各网络策略的哈希值是否位于预设哈希值库,如果各网络策略中存在网络策略的哈希值位于预设哈希值库,则确定经过结构化处理后的该网络策略位于预设白名单中,如果各网络策略的哈希值均不位于预设哈希值库,则可以确定经过结构化处理后的各网络策略不位于预设白名单中。
步骤b,若经过结构化处理后的各网络策略中存在位于预设白名单的网络策略,则给位于预设白名单的网络策略添加白名单标志位;
本实施例中,如果经过结构化处理后的各网络策略中存在位于预设白名单的网络策略,则给位于预设白名单的网络策略添加白名单标志位,并将标志位的参数值置为1,表示该网络策略位于预设白名单中。具体实施中,还可以给不位于预设白名单的网络策略添加白名单标志位,且将标志位的参数值置为0,表示该网络策略不位于预设白名单中。
步骤c,依据预设区域信息与预设审计规则组,对经过结构化处理后的各网络策略中未添加白名单标志位的网络策略进行审计。
本实施例中,设备依据预设区域信息与预设审计规则组,对经过结构化处理后的各网络策略中未添加白名单标志位的网络策略进行审计,即过滤位于预设白名单中的网络策略,仅对不位于预设白名单中的网络策略进行审计。
本实施例中,本发明提供网络策略的预设白名单,便于过滤不合规,而必须存在的特殊网络策略,同时仅对不位于预设白名单中的网络策略进行审计,可以减少网络策略与审计规则之间的匹配次数,提高审计效率。
进一步地,参照图4,基于上述第一或第二实施例,提出了本发明网络策略审计方法的第三实施例,与前述实施例的区别在于,步骤S103之后,还包括:
步骤S104,依据预设下线IP库,对经过预设区域信息与预设审计规则组审计后的各网络策略进行二次审计,并输出二次审计结果。
本实施例中,各网络策略经过预设区域信息与预设审计规则组审计后,设备依据预设下线IP库,对经过预设区域信息与预设审计规则组审计后的各网络策略进行二次审计,并输出二次审计结果,即获取预设下线IP库,并从经过预设区域信息与预设审计规则组审计后的各网络策略中读取各网络策略的源IP和目标IP,然后依据预设下线IP库以及各网络策略的源IP和目标IP,执行各网络策略与预设下线IP库的匹配操作,即确定预设下线IP库中是否包含网络策略中的源IP或/和目标IP,如果预设下线IP库中包含网络策略中的源IP或/和目标IP,则可以确定存在未同时下线的网络策略,输出的二次审计结果中包含未同时下线的网络策略。具体实施中,可以给源IP或/和目标IP位于预设下线IP库中的网络策略添加下线IP标志位,且将下线IP标志位的参数置为1。进一步地,设备以间隔预设时间更新预设下线IP库,即设备与ITSM(IT Service Management,IT服务管理)系统对接,设备通过间隔预设时间获取ITSM系统中已下线服务器的IP,并将已下线服务器的IP写入预设下线IP库中,实现预设下线IP库的更新。需要说明的是,上述预设时间可由本领域技术人员基于实际情况进行设置,本实施例对此不作具体限定。
本实施例中,本发明依据审计规则组对各网络策略进行审计之后,再依据下线IP库对各网络策略进行二次审计,提高审计准确度。
此外,本发明实施例还提出一种计算机可读存储介质,所述计算机可读存储介质上存储有网络策略审计程序,所述网络策略审计程序被处理器执行时,执行以下步骤:
当检测到触发的网络策略审计指令时,读取防火墙的防火墙IP,并依据所述防火墙IP获取所述防火墙的网络策略配置文件;
对所述网络策略配置文件进行解析,以获取所述防火墙的各网络策略,并对所述各网络策略进行结构化处理;
依据预设区域信息与预设审计规则组,对经过结构化处理后的各网络策略进行审计,并输出对应的审计结果。
进一步地,所述网络策略审计程序被处理器执行时,还执行以下步骤:
从经过结构化处理后的各网络策略中读取各网络策略的源IP、源IP组、目标IP、目标IP组和目标端口号;
依据预设区域信息以及各网络策略的源IP和目标IP,确定各网络策略的源区域和目标区域;
依据预设审计规则组以及各网络策略的源IP、源IP组、源区域、目标IP、目标IP组、目标区域和目标端口号,执行网络策略与审计规则之间的匹配操作。
进一步地,所述网络策略审计程序被处理器执行时,还执行以下步骤:
从所述区域信息中获取IP与区域的映射关系表,并查询IP与区域的映射关系表,确定各网络策略的源IP对应的区域,以及各网络策略的目标IP对应的区域;
将各网络策略的源IP对应的区域确定为各网络策略的源区域,并将各网络策略的目标IP对应的区域确定为各网络策略的目标区域。
进一步地,所述网络策略审计程序被处理器执行时,还执行以下步骤:
确定经过结构化处理后的各网络策略中是否存在位于预设白名单的网络策略;
若经过结构化处理后的各网络策略中存在位于预设白名单的网络策略,则给位于预设白名单的网络策略添加白名单标志位;
依据预设区域信息与预设审计规则组,对经过结构化处理后的各网络策略中未添加白名单标志位的网络策略进行审计。
进一步地,所述网络策略审计程序被处理器执行时,还执行以下步骤:
依据经过结构化处理后的各网络策略的各字段参数,确定各网络策略的哈希值;
确定各网络策略的哈希值是否位于预设哈希值库;
若各网络策略中存在网络策略的哈希值位于预设哈希值库,则确定经过结构化处理后的该网络策略位于预设白名单中。
进一步地,所述网络策略审计程序被处理器执行时,还执行以下步骤:
依据预设下线IP库,对经过预设区域信息与预设审计规则组审计后的各网络策略进行二次审计,并输出二次审计结果。
进一步地,所述网络策略审计程序被处理器执行时,还执行以下步骤:
从经过预设区域信息与预设审计规则组审计后的各网络策略中读取各网络策略的源IP和目标IP;
依据预设下线IP库以及各网络策略的源IP和目标IP,执行各网络策略与预设下线IP库的匹配操作。
进一步地,所述网络策略审计程序被处理器执行时,还执行以下步骤:
以间隔预设时间更新所述预设下线IP库。
本发明计算机可读存储介质的具体实施例与上述网络策略审计方法各实施例基本相同,在此不作赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (8)
1.一种网络策略审计方法,其特征在于,所述网络策略审计方法应用于网络策略审计设备,网络策略审计设备存储有防火墙信息表,且与存储有各防火墙的网络策略配置文件的服务器连接,所述网络策略审计方法包括以下步骤:
当检测到触发的网络策略审计指令时,读取防火墙信息表中的防火墙IP,并依据所述防火墙IP从服务器中获取防火墙的网络策略配置文件;
对所述网络策略配置文件进行解析,以获取所述防火墙的各网络策略,并读取所述各网络策略的结构化对象,基于所述结构化对象对所述各网络策略进行结构化处理,所述结构化对象包括下线IP标志位;
依据预设区域信息与预设审计规则组,对经过结构化处理后的各网络策略进行审计,并输出对应的审计结果;
依据预设下线IP库,对经过预设区域信息与预设审计规则组审计后的各网络策略进行二次审计,并输出二次审计结果,预设下线IP库中的网络策略添加有下线IP标志位;
其中,所述依据预设区域信息与预设审计规则组,对经过结构化处理后的各网络策略进行审计的步骤包括:
从经过结构化处理后的各网络策略中读取各网络策略的源IP、源IP组、目标IP、目标IP组和目标端口号;
依据预设区域信息以及各网络策略的源IP和目标IP,确定各网络策略的源区域和目标区域;
依据预设审计规则组以及各网络策略的源IP、源IP组、源区域、目标IP、目标IP组、目标区域和目标端口号,执行网络策略与审计规则之间的匹配操作。
2.如权利要求1所述的网络策略审计方法,其特征在于,所述依据预设区域信息以及各网络策略的源IP和目标IP,确定各网络策略的源区域和目标区域的步骤包括:
从所述区域信息中获取IP与区域的映射关系表,并查询IP与区域的映射关系表,确定各网络策略的源IP对应的区域,以及各网络策略的目标IP对应的区域;
将各网络策略的源IP对应的区域确定为各网络策略的源区域,并将各网络策略的目标IP对应的区域确定为各网络策略的目标区域。
3.如权利要求1所述的网络策略审计方法,其特征在于,所述依据预设区域信息与预设审计规则组,对经过结构化处理后的各网络策略进行审计的步骤包括:
确定经过结构化处理后的各网络策略中是否存在位于预设白名单的网络策略;
若经过结构化处理后的各网络策略中存在位于预设白名单的网络策略,则给位于预设白名单的网络策略添加白名单标志位;
依据预设区域信息与预设审计规则组,对经过结构化处理后的各网络策略中未添加白名单标志位的网络策略进行审计。
4.如权利要求3所述的网络策略审计方法,其特征在于,所述确定经过结构化处理后的各网络策略中是否存在位于预设白名单的网络策略的步骤包括:
依据经过结构化处理后的各网络策略的各字段参数,确定各网络策略的哈希值;
确定各网络策略的哈希值是否位于预设哈希值库;
若各网络策略中存在网络策略的哈希值位于预设哈希值库,则确定经过结构化处理后的该网络策略位于预设白名单中。
5.如权利要求1所述的网络策略审计方法,其特征在于,所述依据预设下线IP库,对经过预设区域信息与预设审计规则组审计后的各网络策略进行二次审计的步骤包括:
从经过预设区域信息与预设审计规则组审计后的各网络策略中读取各网络策略的源IP和目标IP;
依据预设下线IP库以及各网络策略的源IP和目标IP,执行各网络策略与预设下线IP库的匹配操作。
6.如权利要求1所述的网络策略审计方法,其特征在于,所述网络策略审计方法还包括:
以间隔预设时间更新所述预设下线IP库。
7.一种网络策略审计设备,其特征在于,所述网络策略审计设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络策略审计程序,所述网络策略审计程序被所述处理器执行时实现如权利要求1至6中任一项所述的网络策略审计方法的步骤。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有网络策略审计程序,所述网络策略审计程序被处理器执行时实现如权利要求1至6中任一项所述的网络策略审计方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810939474.0A CN109040089B (zh) | 2018-08-15 | 2018-08-15 | 网络策略审计方法、设备及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810939474.0A CN109040089B (zh) | 2018-08-15 | 2018-08-15 | 网络策略审计方法、设备及计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109040089A CN109040089A (zh) | 2018-12-18 |
| CN109040089B true CN109040089B (zh) | 2021-06-08 |
Family
ID=64630818
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810939474.0A Active CN109040089B (zh) | 2018-08-15 | 2018-08-15 | 网络策略审计方法、设备及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109040089B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110324334B (zh) * | 2019-06-28 | 2023-04-07 | 深圳前海微众银行股份有限公司 | 安全组策略管理方法、装置、设备及计算机可读存储介质 |
| CN114205134A (zh) * | 2021-12-07 | 2022-03-18 | 北京神州新桥科技有限公司 | 网络策略检测方法、电子设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101951363A (zh) * | 2010-08-24 | 2011-01-19 | 吉林大学 | 一种安全审计中的决策树生成方法 |
| CN103825876A (zh) * | 2013-11-07 | 2014-05-28 | 北京安码科技有限公司 | 一种复杂网络环境下的防火墙策略审计系统 |
| CN107948205A (zh) * | 2017-12-31 | 2018-04-20 | 中国移动通信集团江苏有限公司 | 防火墙策略生成方法、装置、设备及介质 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1321509C (zh) * | 2004-02-19 | 2007-06-13 | 上海复旦光华信息科技股份有限公司 | 基于映射表的通用安全审计策略定制方法 |
| CN104135461A (zh) * | 2013-05-02 | 2014-11-05 | 中国移动通信集团河北有限公司 | 一种防火墙策略处理的方法及装置 |
| CN105721188A (zh) * | 2014-12-04 | 2016-06-29 | 北京神州泰岳信息安全技术有限公司 | 防火墙策略核查方法及系统 |
| CN104506351B (zh) * | 2014-12-18 | 2018-08-14 | 北京随方信息技术有限公司 | 在线全自动配置合规性安全审计方法及系统 |
| CN104735084A (zh) * | 2015-04-13 | 2015-06-24 | 国家电网公司 | 一种防火墙基线策略审计方法 |
| CN108092979B (zh) * | 2017-12-20 | 2021-05-28 | 国家电网公司 | 一种防火墙策略处理方法及装置 |
-
2018
- 2018-08-15 CN CN201810939474.0A patent/CN109040089B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101951363A (zh) * | 2010-08-24 | 2011-01-19 | 吉林大学 | 一种安全审计中的决策树生成方法 |
| CN103825876A (zh) * | 2013-11-07 | 2014-05-28 | 北京安码科技有限公司 | 一种复杂网络环境下的防火墙策略审计系统 |
| CN107948205A (zh) * | 2017-12-31 | 2018-04-20 | 中国移动通信集团江苏有限公司 | 防火墙策略生成方法、装置、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109040089A (zh) | 2018-12-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109829287A (zh) | Api接口权限访问方法、设备、存储介质及装置 | |
| CN103827810A (zh) | 资产模型导入连接器 | |
| US10887261B2 (en) | Dynamic attachment delivery in emails for advanced malicious content filtering | |
| EP4080842A1 (en) | Method and apparatus for obtaining malicious event information, and electronic device | |
| US10496818B2 (en) | Systems and methods for software security scanning employing a scan quality index | |
| CN110704816B (zh) | 接口破解的识别方法、装置、设备及存储介质 | |
| CN111193633B (zh) | 异常网络连接的检测方法及装置 | |
| CN102915344B (zh) | 一种sql语句处理方法及装置 | |
| WO2016075825A1 (ja) | 情報処理装置及び情報処理方法及びプログラム | |
| CN109286630B (zh) | 等保处理方法、装置、设备及存储介质 | |
| CN109040089B (zh) | 网络策略审计方法、设备及计算机可读存储介质 | |
| CN112241439A (zh) | 一种攻击组织发现方法、装置、介质和设备 | |
| CN111047434A (zh) | 一种操作记录生成方法、装置、计算机设备和存储介质 | |
| CN115238247A (zh) | 基于零信任数据访问控制系统的数据处理方法 | |
| JP2015026182A (ja) | セキュリティサービス効果表示システム、セキュリティサービス効果表示方法、及びセキュリティサービス効果表示プログラム | |
| CN106569868B (zh) | 一种基于Gradle的编译优化方法及装置 | |
| CN114244555B (zh) | 一种安全策略的调整方法 | |
| CN112052267B (zh) | 一种数据查询方法、设备、服务器及存储介质 | |
| CN108920676B (zh) | 一种处理图数据的方法及系统 | |
| CN113342647A (zh) | 一种测试数据的生成方法及装置 | |
| CN113194075B (zh) | 访问请求的处理方法、装置、设备及存储介质 | |
| CN112965740B (zh) | 一种资产信息的导出方法及装置 | |
| CN115543227B (zh) | 跨系统数据迁移方法、系统、电子设备及存储介质 | |
| KR102535251B1 (ko) | 전자 장치의 사이버 보안 리포트 생성 방법 | |
| CN111144086B (zh) | 一种日志格式化方法及装置、电子设备、存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |