CN109639743A - 一种防火墙策略检测方法及设备 - Google Patents
一种防火墙策略检测方法及设备 Download PDFInfo
- Publication number
- CN109639743A CN109639743A CN201910139126.XA CN201910139126A CN109639743A CN 109639743 A CN109639743 A CN 109639743A CN 201910139126 A CN201910139126 A CN 201910139126A CN 109639743 A CN109639743 A CN 109639743A
- Authority
- CN
- China
- Prior art keywords
- substrategy
- access
- security strategy
- firewall
- hits
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种防火墙策略检测方法及设备,涉及网络安全领域。本发明实施例能够对防火墙系统中防火墙策略的使用情况进行统计,以便于根据统计结果确定需要调整的防火墙策略。提高了防火墙策略审计的效率。该方法包括:包括:获取防火墙设备的安全策略以及访问防火墙设备对应网络的流量记录;将安全策略拆分为n个子策略;根据流量记录,确定在预设时间内n个子策略中每个子策略的命中数;根据n个子策略中每个子策略的命中数,对安全策略进行审计并输出审计结果。本发明应用于防火墙策略检测。
Description
本申请要求于2018年12月13日提交中国专利局、申请号为201811528549.2、申请名称为“一种防火墙策略检测方法及装置”的中国专利申请的优先权,其全部内容通过引用结合在本申请中。
技术领域
本发明涉及网络安全领域,尤其涉及一种防火墙策略检测方法及设备。
背景技术
防火墙系统是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。在逻辑上,它是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。防火墙的基本作用是保护特定网络免受“不信任”的网络的攻击,但是同时还必须允许两个网络之间可以进行合法的通信。
具体的,防火墙系统在运行过程中,会根据防火墙策略库中的安全策略来控制内网访问外网的权限、控制内网不同安全级别的子网间的访问权限,以及对设备本身的访问进行控制。具体的,每条安全策略中记录了限制哪些IP地址可以通过Telnet和Web等方式登录设备,控制网管服务器、NTP服务器等与设备的互访等。
而随着网络环境越来越复杂,防火墙系统中的安全策略也越来越多。这些安全策略可能包含了已经不再使用的、冗余的、相互冲突的,甚至是违反安全规则的安全策略。这不仅增加了管理和维护成本,而且还可能成为安全隐患。为保证防火墙系统中安全策略的一致性和规则配置的正确性,需要对安全策略的内容进行审计,发现安全策略集中存在的影响防火墙安全的规则异常。
目前,在对防火墙策略进行审计时,主要是通过人工对防火墙策略进行逐条分析的方式来确定防火墙策略与安全策略的一致性和规则配置的正确性。这种方式对于只有少数几条防火墙策略的防火墙系统而言,实现起来比较简单易行。但在复杂的网络环境中,一旦防火墙策略的数量达到一定的规模,人工审计的效率就会非常低。并且人工审计时效性差,不能及时发现异常、错误策略。
发明内容
本发明的的实施例提供一种防火墙策略检测方法及设备,能够对防火墙系统中的安全策略的使用情况进行统计,以便于根据统计结果确定需要调整的安全策略。提高了安全策略审计的效率。
第一方面,本发明提供一种防火墙策略检测方法,包括:获取防火墙设备的安全策略以及访问防火墙设备对应网络的流量记录;将安全策略拆分为n个子策略;根据流量记录,确定在预设时间内n个子策略中每个子策略的命中数;根据n个子策略中每个子策略的命中数,对安全策略进行审计并输出审计结果。
第二方面,本发明实施例提供一种防火墙策略检测设备,包括:获取单元,用于获取防火墙设备的安全策略以及访问防火墙设备对应网络的流量记录;拆分单元,用于在获取防火墙设备的安全策略后,将安全策略拆分为n个子策略;计算单元,用于在拆分单元将安全策略拆分为n个子策略后,根据流量记录,确定在预设时间内n个子策略中每个子策略的命中数;审计单元,用于在计算单元确定在预设时间内n个子策略中每个子策略的命中数后,根据n个子策略中每个子策略的命中数,对安全策略进行审计并输出审计结果。
本发明实施例中通过将防火墙设备的安全策略进行拆分为n个子策略,并根据访问防火墙设备对应的网络的流量记录计算n个子策略中每个子策略的命中数,再根据各个子策略的命中数对安全策略进行审计,从而能够更加精准的检测出存在已经不再使用的、冗余的、冲突的等问题的安全策略,以便对防火墙设备的安全策略及时进行优化。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。
图1为本发明实施例提供的一种网络结构示意图;
图2为本发明实施例提供的一种防火墙策略检测方法的流程示意图;
图3为一种ACL与ACE表结构关系图;
图4为一种确定访问信息对应的子策略的流程示意图;
图5为一种审计规则处理流程示意图;
图6为本发明实施例提供的一种防火墙策略检测设备的结构示意图;
图7为本发明实施例提供的另一种防火墙策略检测设备的结构示意图;
图8为本发明实施例提供的又一种防火墙策略检测设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
另外,本发明中,为了表示某类数据中可能包括一个或多个数据,进而采用n、m这类字母对该类数据的个数进行描述。例如,将安全策略拆分为n个子策略、m条访问信息等。这些描述中n、m可以理解为一个或多个,具体个数则需要根据实际应用时设备运行情况而定。
首先,对本发明实施例的发明构思进行介绍:
本发明主要采用直接获取防火墙日志分析出业务日志七元组与策略七元组进行比对,通过将防火墙策略拆解成不可细分的最小单元(ACE),从而分析出不合规的防火墙策略,包含过度授权策略以及无效策略(即一直没有匹配上的防火墙策略),同时通过防火墙审计功能,根据一定的规则对ACL标准化后的策略进行数据检查的过程。该检查过程根据预先配置的审计规则,对存量ACL进行批量检查或在用户配置过程中进行实时检查,判断是否存在包含了已经不再使用的、冗余的、冲突的,甚至是违反安全规则的策略。
本发明主要解决的就是能够给安全管理员提供一种方法或者平台,能够让安全管理员了解到目前的整个网络环境中,是否存在包含了已经不再使用的、冗余的、冲突的,甚至是违反安全规则的策略。能够帮助安全管理员提供找出已经发生的或潜在的重复或冲突策略,提供策略优化的解决方案,减少冗余策略,提高防火墙策略的命中率。
同时支持对防火墙策略进行审计,根据一定的规则对ACL标准化后的策略进行数据检查的过程。该检查过程根据预先配置的审计规则,对存量ACL进行批量检查或在用户配置过程中进行实时检查,最终向管理员展现违规的防火墙策略。
基于上述发明构思,下面结合附图,对本发明的实施例进行描述。
如图1所示,为应用本发明所提供的防火墙策略检测方法的一种网络结构图。其中包括防火墙策略检测设备101以及x个防火墙设备102a、102b、102c…102x。其中,x个防火墙设备分别对应有一个网络(该网络可能对应一个内部网,该内部网中可以包括多台设备;再或者该网络可能仅包括一台设备),x个防火墙设备分别用于监测、限制访问网络的数据流量。防火墙车辆检测设备101用于接收防火墙设备的安全策略以及访问防火墙设备对应网络的流量记录,并根据接收到的上述信息,对防火墙设备的安全策略进行审计。
实施例一:
本发明实施例提供一个防火墙策略检测方法,应用于如图1所示或者与图1相类似的网络结构中的防火墙策略检测设备101上,以使得防火墙策略检测设备101能够按照本发明实施例提供的方法对防火墙设备的安全策略进行检测。需要说明的是,在其他的实现方式中,本发明实施例所提供的方法也可直接应用在防火墙设备上,对此本发明实施例可不做限制。
如图2所示,该方法具体包括:
S201、获取访问防火墙设备对应网络的流量记录。
具体的,本发明实施例中访问防火墙设备对应网络的流量记录,具体可以包括防火墙日志、netflow流量,再或者还可以是与防火墙设备连接的路由器的流量记录等,对此本发明实施例可以不作限制。
在一种实现方式中,考虑到数据获取的便捷性等原因,本发明实施例中具体采用防火墙日志作为访问防火墙设备对应网络的流量记录。这样一来,可以在防火墙设备将安全策略发送给防火墙策略检测设备时,一并将防火墙日志发送给防火墙策略检测设备,提高工作效率。
具体的,流量记录中包括一定时间段内访问防火墙设备对应网络的访问流量的源IP、源端口、目标IP、目标端口、协议、动作(允许/拒绝)等。
在一种实现方式中,在获取流量记录后,该方法还包括:对流量记录进行标准化。标准化的输出物包括:访问流量的源IP、源端口、目标IP、目标端口、协议、动作(允许/拒绝)。并将标准化后的流量记录存储在数据库中。以便方便之后确定安全策略所包括的n个子策略中每个子策略的命中数。
S202、获取防火墙设备的安全策略。
在一种实现方式中,当本发明实施例所提供的方法应用于如图1所示的网络结构中时,步骤S201具体包括:防火墙策略检测设备101接受防火墙设备发送的防火墙设备的安全策略。
在另一种实现方式中,当本发明实施例所提供的方法应用于防火墙设备本身时,则步骤S201具体包括读取存储空间中的安全策略。
本发明实施例中所称安全策略,具体可以包括ACL(Access Control List访问控制列表)。
S203、将安全策略拆分为n个子策略。
具体的,将获取到的安全策略ACL拆分为n个ACE(Access Control Entry访问控制条目)。其中,ACE作为ACL不可再细分的最小单元,进而通过记录每个ACE的命中数从而可以更加准确的分析出不合规的安全策略。如图3所示,为ACL与ACE表结构关系图。
示例性的,例如某防火墙有ACL定义如下:
{
src_addr={10.21.16.0/24,10.21.21.0/24},
src_srvc={},
dst_addr={10.174.26.1/30},
dst_srvc={tcp80,tcp8090},
action=1
}
其拆解的ACE有以下4条:
{
src_addr={10.21.16.0/24},
src_srvc={},
dst_addr={10.174.26.1/30},
dst_srvc={tcp80},
action=1
},
{
src_addr={10.21.21.0/24},
src_srvc={},
dst_addr={10.174.26.1/30},
dst_srvc={tcp80},
action=1
},
{
src_addr={10.21.16.0/24},
src_srvc={},
dst_addr={10.174.26.1/30},
dst_srvc={tcp8090},
action=1
},
{
src_addr={10.21.21.0/24},
src_srvc={},
dst_addr={10.174.26.1/30},
dst_srvc={tcp8090},
action=1
}
在将安全策略拆分为n个子策略后,该方法还包括:
S204、根据流量记录,确定在预设时间内n个子策略中每个子策略的命中数。
在一种实现方式中,根据流量记录,确定在预设时间内n个子策略中每个子策略的命中数,具体包括:
S2041、根据流量记录,确定预设时间内访问网络的m条访问信息。
S2042、按照n个子策略的列表顺序,将m条访问信息分别依次与n个子策略进行比较,直至找到分别与m条访问信息相匹配的子策略,并记录n个子策略中每个子策略的命中数。
具体的,分别与m条访问信息相匹配的子策略,至少包括:与m条访问信息中各访问信息包括的本次访问的访问动作、目标协议、访问源地址、访问目标地址以及访问目标端口相匹配的子策略。
示例性的,在确定预设时间内访问网络的m条访问信息后,可以按照如图4所示的流程确定出m条访问信息中各条访问信息对应的子策略。具体的,如图4所示:
S2042a、读取一条访问信息。
具体的,该访问信息中包括本次访问的访问动作、目标协议、访问源地址、访问目标地址。
S2042b、读取ACE列表,按照ACE列表顺序逐个确定待匹配的ACE。
S2042c、判断访问信息与当前ACE是否匹配。
具体包括:判断本次访问的访问动作与ACE动作是否相同;判断本次访问的目标协议是否与ACE服务协议相同;判断本次访问的源地址是否与ACE源地址相同;判断本次访问的目的地址是否落入ACE目的地址内;判断本次访问的目的端口是否落入ACE目的端口内。若本次访问的访问信息与ACE符合上述条件时,则确定访问信息与当前ACE匹配。进而访问日志(已经补全ASSET_ID)添加记录ACL规则ID及ACE特征AECODE。若访问日志未匹配上任何ACE则留ACL规则ID、ACE特征AECODE字段为空。
举例说明:
如有ACE定义为源ip:192.168.112.0/24,目的ip:10.46.34.231/32,目的服务为tcp80-100,动作允许。
现有访问日志为
{
srcIp_s=192.168.112.52,
srcPort_s=4896,
dstIp_s=10.46.34.231,
dstPort_s=80,
action_s=accept
},
判断源地址192.168.112.52处于192.168.112.0/24网段中,目的地址10.46.34.231处于10.46.34.231/32网段中,目的端口80处于80-100范围中,该访问日志匹配该ACE。
若本次访问的访问信息与当前待匹配的ACE不匹配,则读取ACE列表,按照列表顺序确定下一个待匹配ACE重复S2042b和S2042c的内容,直至找到与本次访问的访问信息匹配的ACE。
S2042d、在确定与本次访问的访问信息匹配的ACE之后,将结果入库。具体可以包括更新该ACE的命中数等步骤。
最终经过上述步骤,可以确定出每个安全策略(例如ACL)以及每个安全策略对应的子策略(如ACE)的命中数,并进行存储。
示例性的,预定时间内所有防火墙的ACE命中数。该汇总结果记录在TF_F_ACE_STAT_D。例如下表1所示,该表按月记录ACE命中数,对应PO为AclEntryStat。:
| 列名 | 字段 | 描述 | 备注 |
| ASSET_ID | Varchar2(20) | 资产id | |
| RULE_ID | Varchar2(20) | Acl标识 | |
| AECODE | Varchar2(20) | 对象类型 | 标识源目的地址服务 |
| CNT | Number(10) | 计数 | |
| YYYYMD | Varchar2(8) | 年月 | |
| CRT_DATE | date | 更新时间 |
表1
若当天为当月第一天,则根据历史数据汇总前一月各ACL命中数,结果记录在TF_F_ACL_STAT。如下表2所示,该表记录ACL每月的命中数,对应PO为AclStat:
| 列名 | 字段 | 描述 | 备注 |
| ASSET_ID | Varchar2(20) | 资产id | |
| RULE_ID | Varchar2(20) | 规则id | |
| CNT | Number(10) | 计数 | |
| YYYYM | Varchar2(6) | 年月 | |
| CRT_DATE | date | 创建时间 |
表2
同时,查询TF_F_ACL,拆解出ACE列表,根据TF_F_ACE_STAT_D统计结果,计算ACL中每个元素命中数。该数目记录在TF_F_ACE_STAT,如下表3所示,该表按月记录ACE命中数,对应PO为AclEntryStat。
| 列名 | 字段 | 描述 | 备注 |
| ASSET_ID | Varchar2(20) | 资产id | |
| RULE_ID | Varchar2(50) | Acl标识 | |
| OBJ_REF | Varchar2(2) | 对象类型 | 标识源目的地址服务 |
| OBJ_SER | Varchar2(50) | 对象标识 | |
| CNT | Number(10) | 计数 | |
| YYYYM | Varchar2(6) | 年月 | |
| CRT_DATE | date | 更新时间 |
表3
如TF_F_ACE_STAT_D中某ACE当月统计出98845次访问。查询TF_F_ACL(如下表4所示,该表记录纳入统计的ACL,对应PO类为Acl),拆解出所有ACE定义列表,根据AECODE反向找出ACE定义,根据ACE定义,记录ACE中的源地址、目的地址、目的服务的命中数保存到TF_F_ACE_STAT。
表4
在得到TF_F_ACE_STAT后,根据拆解的ACL列表,可以分别计算出ACL源地址、目的地址、目的服务的闲置率,该结果记录到TF_F_ACE_IDLE,如下表5所示,该表记录纳入统计的,对应PO类为AclIdle。。
| 列名 | 字段 | 描述 | 备注 |
| ASSET_ID | Varchar2(20) | 资产id | |
| RULE_ID | Varchar2(20) | 规则id | |
| S_ADDR | Number(1,6) | 源地址闲置率 | |
| S_SRVC | Number(1,6) | 源服务闲置率 | |
| D_ADDR | Number(1,6) | 目的地址闲置率 | |
| D_SRVC | Number(1,6) | 目的服务闲置率 | |
| YYYYM | Varchar2(6) | 年月日 | |
| CRT_DATE | Varchar2(8) | 创建时间 |
表5
在确定在预设时间内n个子策略中每个子策略的命中数之后,该方法还包括:
S205、根据n个子策略中每个子策略的命中数,对安全策略进行审计并输出审计结果。
在一种实现方式中,步骤S205具体包括:
S2051、根据n个子策略中每个子策略的命中数,判断安全策略是否为空策略、过渡授权策略、冗余策略以及冲突策略。
具体的,对安全策略进行审计是根据一定的规则对安全策略标准化后的策略进行数据检查的过程。该检查过程根据预先配置的审计规则,对存量安全策略进行批量检查或在用户配置过程中进行实时检查,最终向用户展现相应的结果。
本发明中审计规则管理允许用户对审计规则进行适当配置,并增加、修改、删除自定义审计规则。
审计规则包含以下要素:规则编号、规则类型、规则名称、规则描述、规则级别、规则来源、规则参数配置、状态、后续处理等字段.
审计规则属性有效值描述如下表6所示:
表6
发明中预定义审计规则包含以下表7:
表7
除了预定义审计规则,还支持自定义规则规则,其中预定义审计规则不允许修改定义规则。
审计规则运行的输入参数为安全策略ACL的全息对象(即包含完整的对象信息,地址对象含IP、服务对象含条目,对象组包含的子对象包含完整的信息),输出参数为审计结果。示例性的,审计规则处理流程如图5所示,具体包括:
S1、解析审计条目队列。
S2、迭代审计条目。
S3、判断ACL规则是否符合审计条目。
若符合则重复S2读取下一条审计条目。若不符合则执行S4。
S4、记录不合规结果。
S5、在记录不合规结果后,判断审计队列是否还有审计条目,若有则重复S2读取下一条审计条目;若没有,则执行S6、输出对该安全策略即ACL的审计汇总结果。
之后判断安全策略是否为空策略、过渡授权策略、冗余策略以及冲突策略:
具体的,空策略可以包括表为空的ACL。过渡授权策略可以包括服务协议设置为IP的ACL、目的地址包含有IP为0.0.0.0的地址的ACL、目的地址包含的IP地址大于个数阈值的ACL、目标服务的端口个数大于个数阈值的ACL等。冗余策略可以包括规则作用相似的ACL,具体可以为FwRule对象的acode值相同的ACL。冲突策略可以包括作用相反的ACL,具体可以为动作相同但同时存在允许和拒绝的ACL。
另外,判断结果中还可以包括包含敏感端口的ACL,例如,ACL的目的服务dstSrvsList含有指定的敏感端口。常见敏感端口如21、22、23、1521、3306、3389。再或者,判断结果中还可以包括基于其他自定义审计规则的结果。
S2052、根据判断结果,输出审计结果。
本发明实施例中通过将防火墙设备的安全策略进行拆分为n个子策略,并根据访问防火墙设备对应的网络的流量记录计算n个子策略中每个子策略的命中数,再根据各个子策略的命中数对安全策略进行审计,从而能够更加精准的检测出存在已经不再使用的、冗余的、冲突的等问题的安全策略,以便对防火墙设备的安全策略及时进行优化。另外,本发明实施例中还可以通过防火墙策略检测设备来完成对防火墙安全策略的检测、审计工作,不需要防火墙提供任何资源支持,不存在额外消耗防火墙设备性能的弊端。
需要说明的,目前我们的数据存储是基于solr的存储方式,存储方式不限于solr,还可以基于Oralce,Mysql等关系型数据库,以及ElasticSearch组件,甚至是Hadoop大数据技术都可以代替技术方案中的存储组件。
实施例二:
本发明实施例提供一种防火墙策略检测设备,用于执行上述实施例一所提供的防火墙策略检测方法。如图6所示,为本发明实施例提供的防火墙策略检测设备的一种可能的结构示意图。具体的,该防火墙策略检测设备30包括:获取单元301、拆分单元302、计算单元303、审计单元304。其中,
获取单元301,用于获取防火墙设备的安全策略以及访问防火墙设备对应网络的流量记录;
拆分单元302,用于在获取单元301获取防火墙设备的安全策略后,将安全策略拆分为n个子策略;
计算单元303,用于在拆分单元302将安全策略拆分为n个子策略后,根据流量记录,确定在预设时间内n个子策略中每个子策略的命中数;
审计单元304,用于在计算单元303确定在预设时间内n个子策略中每个子策略的命中数后,根据n个子策略中每个子策略的命中数,对安全策略进行审计并输出审计结果。
可选的,安全策略包括访问控制列表ACL;拆分单元302,具体用于将ACL拆分为n个访问控制条目ACE。
可选的,计算单元303,具体包括:确定子单元3031以及记录子单元3032;
确定子单元3031,用于根据流量记录,确定预设时间内访问网络的m条访问信息;
记录子单元3032,用于在确定子单元确定预设时间内访问网络的m条访问信息后,按照n个子策略的列表顺序,将m条访问信息分别依次与n个子策略进行比较,直至找到分别与m条访问信息相匹配的子策略,并记录n个子策略中每个子策略的命中数。
可选的,分别与m条访问信息相匹配的子策略,至少包括:与m条访问信息中各访问信息包括的本次访问的访问动作、目标协议、访问源地址、访问目标地址以及访问目标端口相匹配的子策略。
可选的,审计单元304,具体用于:
根据n个子策略中每个子策略的命中数,判断安全策略是否为空策略、过渡授权策略、冗余策略以及冲突策略;
根据判断结果,输出审计结果。
本发明实施例中提供的防火墙策略检测设备中各模块所的功能以及所产生的效果可以参照上述实施例一数据传输方法中的对应的描述内容,在此不再赘述。
需要说明的是,本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
在采用集成的单元的情况下,图7示出了上述实施例中所涉及的防火墙策略检测设备的一种可能的结构示意图。防火墙策略检测设备40包括:处理模块401、通信模块402和存储模块403。处理模块401用于对防火墙策略检测设备40的动作进行控制管理,例如,处理模块401用于支持防火墙策略检测设备40执行图2中的过程S201-S205。通信模块402用于支持防火墙策略检测设备40与其他实体的通信。存储模块403用于存储应用服务器的程序代码和数据。
其中,处理模块401可以是处理器或控制器,例如可以是中央处理器(centralprocessing unit,CPU),通用处理器,数字信号处理器(digital signal processor,DSP),专用集成电路(application-specific integrated circuit,ASIC),现场可编程门阵列(field programmable gate array,FPGA)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框,模块和电路。处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等等。通信模块302可以是收发器、收发电路或通信接口等。存储模块403可以是存储器。
当处理模块401为如图8所示的处理器,通信模块402为图8的收发器,存储模块403为图8的存储器时,本发明实施例所涉及的防火墙策略检测设备可以为如下的防火墙策略检测设备50。
参照图8所示,该防火墙策略检测设备50包括:处理器501、收发器502、存储器503和总线504。
其中,处理器501、收发器502、存储器503通过总线504相互连接;总线504可以是外设部件互连标准(peripheral component interconnect,PCI)总线或扩展工业标准结构(extended industry standard architecture,EISA)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
处理器501可以是一个通用中央处理器(Central Processing Unit,CPU),微处理器,特定应用集成电路(Application-Specific Integrated Circuit,ASIC),或一个或多个用于控制本发明方案程序执行的集成电路。
存储器503可以是只读存储器(Read-Only Memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(Random Access Memory,RAM)或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(ElectricallyErasable Programmable Read-only Memory,EEPROM)、只读光盘(Compact Disc Read-Only Memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器可以是独立存在,通过总线与处理器相连接。存储器也可以和处理器集成在一起。
其中,存储器502用于存储执行本发明方案的应用程序代码,并由处理器501来控制执行。收发器502用于接收外部设备输入的内容,处理器501用于执行存储器503中存储的应用程序代码,从而实现本发明实施例中提供的生成JAVA类对象的方法。
应理解,在本发明的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件程序实现时,可以全部或部分地以计算机程序产品的形式来实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或者数据中心通过有线(例如同轴电缆、光纤、数字用户终端线(Digital Subscriber Line,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可以用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带),光介质(例如,DVD)、或者半导体介质(例如固态硬盘(Solid State Disk,SSD))等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种防火墙策略检测方法,其特征在于,包括:
获取防火墙设备的安全策略以及访问所述防火墙设备对应网络的流量记录;
将所述安全策略拆分为n个子策略;
根据所述流量记录,确定在预设时间内所述n个子策略中每个子策略的命中数;
根据所述n个子策略中每个子策略的命中数,对所述安全策略进行审计并输出审计结果。
2.根据权利要求1所述防火墙策略检测方法,其特征在于,所述安全策略包括访问控制列表ACL;
所述将所述安全策略拆分为n个子策略,具体包括:将所述ACL拆分为n个访问控制条目ACE。
3.根据权利要求1所述防火墙策略检测方法,其特征在于,所述根据所述流量记录,确定在预设时间内所述n个子策略中每个子策略的命中数,具体包括:
根据所述流量记录,确定所述预设时间内访问所述网络的m条访问信息;
按照所述n个子策略的列表顺序,将所述m条访问信息分别依次与所述n个子策略进行比较,直至找到分别与所述m条访问信息相匹配的子策略,并记录所述n个子策略中每个子策略的命中数。
4.根据权利要求3所述防火墙策略检测方法,其特征在于,
所述分别与所述m条访问信息相匹配的子策略,至少包括:与所述m条访问信息中各访问信息包括的本次访问的访问动作、目标协议、访问源地址、访问目标地址以及访问目标端口相匹配的子策略。
5.根据权利要求1所述防火墙策略检测方法,其特征在于,根据所述n个子策略中每个子策略的命中数,对所述安全策略进行审计并输出审计结果,具体包括:
根据所述n个子策略中每个子策略的命中数,判断所述安全策略是否为空策略、过渡授权策略、冗余策略以及冲突策略;
根据判断结果,输出所述审计结果。
6.一种防火墙策略检测设备,其特征在于,包括:
获取单元,用于获取防火墙设备的安全策略以及访问所述防火墙设备对应网络的流量记录;
拆分单元,用于在所述获取单元获取所述防火墙设备的安全策略后,将所述安全策略拆分为n个子策略;
计算单元,用于在所述拆分单元将所述安全策略拆分为n个子策略后,根据所述流量记录,确定在预设时间内所述n个子策略中每个子策略的命中数;
审计单元,用于在所述计算单元确定在预设时间内所述n个子策略中每个子策略的命中数后,根据所述n个子策略中每个子策略的命中数,对所述安全策略进行审计并输出审计结果。
7.根据权利要求6所述防火墙策略检测设备,其特征在于,所述安全策略包括访问控制列表ACL;
所述拆分单元,具体用于将所述ACL拆分为n个访问控制条目ACE。
8.根据权利要求6所述防火墙策略检测设备,其特征在于,所述计算单元,具体包括:确定子单元以及记录子单元;
所述确定子单元,用于根据所述流量记录,确定所述预设时间内访问所述网络的m条访问信息;
所述记录子单元,用于在所述确定子单元确定所述预设时间内访问所述网络的m条访问信息后,按照所述n个子策略的列表顺序,将所述m条访问信息分别依次与所述n个子策略进行比较,直至找到分别与所述m条访问信息相匹配的子策略,并记录所述n个子策略中每个子策略的命中数。
9.根据权利要求8所述防火墙策略检测设备,其特征在于,
所述分别与所述m条访问信息相匹配的子策略,至少包括:与所述m条访问信息中各访问信息包括的本次访问的访问动作、目标协议、访问源地址、访问目标地址以及访问目标端口相匹配的子策略。
10.根据权利要求6所述防火墙策略检测设备,其特征在于,所述审计单元,具体用于:
根据所述n个子策略中每个子策略的命中数,判断所述安全策略是否为空策略、过渡授权策略、冗余策略以及冲突策略;
根据判断结果,输出所述审计结果。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2018115285492 | 2018-12-13 | ||
| CN201811528549 | 2018-12-13 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109639743A true CN109639743A (zh) | 2019-04-16 |
Family
ID=66065972
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910139126.XA Pending CN109639743A (zh) | 2018-12-13 | 2019-02-25 | 一种防火墙策略检测方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109639743A (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110430159A (zh) * | 2019-06-20 | 2019-11-08 | 国网辽宁省电力有限公司信息通信分公司 | 一种平台服务器防火墙策略开放范围过大预警方法 |
| CN111277586A (zh) * | 2020-01-17 | 2020-06-12 | 武汉思普崚技术有限公司 | 一种防火墙安全策略的调整方法及装置 |
| CN111641601A (zh) * | 2020-05-12 | 2020-09-08 | 中信银行股份有限公司 | 防火墙管理方法、装置、设备及存储介质 |
| CN111935182A (zh) * | 2020-09-25 | 2020-11-13 | 武汉思普崚技术有限公司 | 一种网络设备的防火墙策略检查方法、装置及存储介质 |
| CN111935186A (zh) * | 2020-10-09 | 2020-11-13 | 四川新网银行股份有限公司 | 一种网络安全策略的优化方法 |
| CN112019546A (zh) * | 2020-08-28 | 2020-12-01 | 杭州安恒信息技术股份有限公司 | 一种防护策略调整方法、系统、设备及计算机存储介质 |
| CN113111344A (zh) * | 2021-03-25 | 2021-07-13 | 浙江乾冠信息安全研究院有限公司 | 资产管理方法、装置、电子设备及介质 |
| CN113301040A (zh) * | 2021-05-21 | 2021-08-24 | 恒安嘉新(北京)科技股份公司 | 一种防火墙策略优化方法、装置、设备及存储介质 |
| CN113691561A (zh) * | 2021-09-07 | 2021-11-23 | 北京天融信网络安全技术有限公司 | 一种通信数据的审计方法和装置 |
| CN114050908A (zh) * | 2020-07-24 | 2022-02-15 | 中国移动通信集团浙江有限公司 | 防火墙策略自动审核的方法、装置及计算设备计算机存储介质 |
| CN114679290A (zh) * | 2021-05-20 | 2022-06-28 | 腾讯云计算(北京)有限责任公司 | 一种网络安全管理方法及电子设备 |
| CN115001964A (zh) * | 2022-05-19 | 2022-09-02 | 中国人民银行数字货币研究所 | 一种管理防火墙的方法和装置 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040133876A1 (en) * | 2003-01-08 | 2004-07-08 | Craig Sproule | System and method for the composition, generation, integration and execution of business processes over a network |
| CN103825876A (zh) * | 2013-11-07 | 2014-05-28 | 北京安码科技有限公司 | 一种复杂网络环境下的防火墙策略审计系统 |
| CN104135461A (zh) * | 2013-05-02 | 2014-11-05 | 中国移动通信集团河北有限公司 | 一种防火墙策略处理的方法及装置 |
| CN104735084A (zh) * | 2015-04-13 | 2015-06-24 | 国家电网公司 | 一种防火墙基线策略审计方法 |
| CN105791213A (zh) * | 2014-12-18 | 2016-07-20 | 华为技术有限公司 | 一种策略优化装置及方法 |
| CN105939323A (zh) * | 2015-12-31 | 2016-09-14 | 杭州迪普科技有限公司 | 数据包过滤方法及装置 |
| CN108418801A (zh) * | 2018-02-01 | 2018-08-17 | 杭州安恒信息技术股份有限公司 | 一种基于大数据分析的防火墙策略优化方法及系统 |
-
2019
- 2019-02-25 CN CN201910139126.XA patent/CN109639743A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040133876A1 (en) * | 2003-01-08 | 2004-07-08 | Craig Sproule | System and method for the composition, generation, integration and execution of business processes over a network |
| CN104135461A (zh) * | 2013-05-02 | 2014-11-05 | 中国移动通信集团河北有限公司 | 一种防火墙策略处理的方法及装置 |
| CN103825876A (zh) * | 2013-11-07 | 2014-05-28 | 北京安码科技有限公司 | 一种复杂网络环境下的防火墙策略审计系统 |
| CN105791213A (zh) * | 2014-12-18 | 2016-07-20 | 华为技术有限公司 | 一种策略优化装置及方法 |
| CN104735084A (zh) * | 2015-04-13 | 2015-06-24 | 国家电网公司 | 一种防火墙基线策略审计方法 |
| CN105939323A (zh) * | 2015-12-31 | 2016-09-14 | 杭州迪普科技有限公司 | 数据包过滤方法及装置 |
| CN108418801A (zh) * | 2018-02-01 | 2018-08-17 | 杭州安恒信息技术股份有限公司 | 一种基于大数据分析的防火墙策略优化方法及系统 |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110430159A (zh) * | 2019-06-20 | 2019-11-08 | 国网辽宁省电力有限公司信息通信分公司 | 一种平台服务器防火墙策略开放范围过大预警方法 |
| CN111277586A (zh) * | 2020-01-17 | 2020-06-12 | 武汉思普崚技术有限公司 | 一种防火墙安全策略的调整方法及装置 |
| CN111641601A (zh) * | 2020-05-12 | 2020-09-08 | 中信银行股份有限公司 | 防火墙管理方法、装置、设备及存储介质 |
| CN114050908B (zh) * | 2020-07-24 | 2023-07-21 | 中国移动通信集团浙江有限公司 | 防火墙策略自动审核的方法、装置、计算设备及计算机存储介质 |
| CN114050908A (zh) * | 2020-07-24 | 2022-02-15 | 中国移动通信集团浙江有限公司 | 防火墙策略自动审核的方法、装置及计算设备计算机存储介质 |
| CN112019546A (zh) * | 2020-08-28 | 2020-12-01 | 杭州安恒信息技术股份有限公司 | 一种防护策略调整方法、系统、设备及计算机存储介质 |
| CN112019546B (zh) * | 2020-08-28 | 2022-11-25 | 杭州安恒信息技术股份有限公司 | 一种防护策略调整方法、系统、设备及计算机存储介质 |
| CN111935182A (zh) * | 2020-09-25 | 2020-11-13 | 武汉思普崚技术有限公司 | 一种网络设备的防火墙策略检查方法、装置及存储介质 |
| CN111935182B (zh) * | 2020-09-25 | 2021-01-15 | 武汉思普崚技术有限公司 | 一种网络设备的防火墙策略检查方法、装置及存储介质 |
| CN111935186A (zh) * | 2020-10-09 | 2020-11-13 | 四川新网银行股份有限公司 | 一种网络安全策略的优化方法 |
| CN113111344A (zh) * | 2021-03-25 | 2021-07-13 | 浙江乾冠信息安全研究院有限公司 | 资产管理方法、装置、电子设备及介质 |
| CN114679290A (zh) * | 2021-05-20 | 2022-06-28 | 腾讯云计算(北京)有限责任公司 | 一种网络安全管理方法及电子设备 |
| CN113301040B (zh) * | 2021-05-21 | 2023-02-10 | 恒安嘉新(北京)科技股份公司 | 一种防火墙策略优化方法、装置、设备及存储介质 |
| CN113301040A (zh) * | 2021-05-21 | 2021-08-24 | 恒安嘉新(北京)科技股份公司 | 一种防火墙策略优化方法、装置、设备及存储介质 |
| CN113691561B (zh) * | 2021-09-07 | 2022-04-01 | 北京天融信网络安全技术有限公司 | 一种通信数据的审计方法和装置 |
| CN113691561A (zh) * | 2021-09-07 | 2021-11-23 | 北京天融信网络安全技术有限公司 | 一种通信数据的审计方法和装置 |
| CN115001964A (zh) * | 2022-05-19 | 2022-09-02 | 中国人民银行数字货币研究所 | 一种管理防火墙的方法和装置 |
| CN115001964B (zh) * | 2022-05-19 | 2023-08-22 | 中国人民银行数字货币研究所 | 一种管理防火墙的方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109639743A (zh) | 一种防火墙策略检测方法及设备 | |
| US8370947B2 (en) | System and method for selecting computer security policy based on security ratings of computer users | |
| US10104095B2 (en) | Automatic stability determination and deployment of discrete parts of a profile representing normal behavior to provide fast protection of web applications | |
| US10878102B2 (en) | Risk scores for entities | |
| US20130055399A1 (en) | Automatic analysis of security related incidents in computer networks | |
| Kandias et al. | An insider threat prediction model | |
| US8156553B1 (en) | Systems and methods for correlating log messages into actionable security incidents and managing human responses | |
| US8943575B2 (en) | Method and system for policy simulation | |
| CN112685711A (zh) | 基于用户风险评估的新型信息安全访问控制系统及方法 | |
| CN1271838C (zh) | 为单一登录计算机网络提供访问控制的方法 | |
| CN103746987A (zh) | 语义Web应用中检测DoS攻击的方法与系统 | |
| CN107070951A (zh) | 一种内网安全防护系统和方法 | |
| Elfeshawy et al. | Divided two-part adaptive intrusion detection system | |
| US11954210B2 (en) | Hierarchical health index evaluation method and apparatus for intelligent substation | |
| KR20210083607A (ko) | 위험 분석을 위한 보안요소 지수화 시스템 및 방법 | |
| CN102945254B (zh) | 在tb级海量审计数据中发现异常数据的方法 | |
| US7885976B2 (en) | Identification, notification, and control of data access quantity and patterns | |
| CN112769739B (zh) | 数据库操作违规处理方法、装置及设备 | |
| JP2009048317A (ja) | セキュリティ評価方法、セキュリティ評価装置 | |
| CN105553990A (zh) | 一种基于决策树算法的网络安全三元组异常检测方法 | |
| US20090040020A1 (en) | Method, computer program and apparatus for controlling access to a computer resource | |
| CN113824739B (zh) | 一种云管理平台的用户权限管理方法及系统 | |
| Silva et al. | Grouping detection and forecasting security controls using unrestricted cooperative bargains | |
| CN117319077B (zh) | 一种网络安全应急联动系统及方法 | |
| CN116527378B (zh) | 一种云手机监控管理方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190416 |
|
| RJ01 | Rejection of invention patent application after publication |