CN110247933B - 实现防火墙策略的方法和装置 - Google Patents
实现防火墙策略的方法和装置 Download PDFInfo
- Publication number
- CN110247933B CN110247933B CN201910613845.0A CN201910613845A CN110247933B CN 110247933 B CN110247933 B CN 110247933B CN 201910613845 A CN201910613845 A CN 201910613845A CN 110247933 B CN110247933 B CN 110247933B
- Authority
- CN
- China
- Prior art keywords
- information
- application access
- application
- access information
- firewall
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本公开提供了一种实现防火墙策略的方法,该方法包括:获取针对多个防火墙产生的防火墙日志,多个防火墙部署在测试环境中且被全部设置为允许所有访问通过;获取测试环境的环境信息,环境信息包括资源配置信息和应用部署信息;基于环境信息和防火墙日志识别出应用访问信息;确定应用访问信息是否与当前的应用业务规则关联;以及如果应用访问信息与当前的应用业务规则关联,则确定基于应用访问信息实现生产环境中的相关防火墙策略。本公开还提供了一种实现防火墙策略的装置、一种电子设备以及一种计算机可读存储介质。
Description
技术领域
本公开涉及计算机技术领域,特别是涉及一种实现防火墙策略的方法和装置。
背景技术
目前大型金融行业数据中心局域网内各业务区、隔离区之间均部署有防火墙设备,各测试客户端与测试环境中各网络区之间以及与生产环境中各网络区域之间也都通过防火墙策略实施了安全控制。
随着金融行业内、外部业务、产品快速发展,其数据中心内部,尤其是测试环境内IT(Information Techonlogy,信息技术)基础环境的访问控制需求日趋复杂,访问控制策略数量迅速增长,给防火墙策略的准确性和实施难度带来了极大挑战。此外,大型金融行业数据中心局域网内通常部署有数千台服务器及存储设备,承载着数百个应用系统的日常运行。为确保企业各类业务正常开展,同一应用的不同节点之间、不同应用之间存在着极复杂的访问关系。在应用系统IT基础环境部署过程中,上述复杂的访问关系带来的海量安全访问控制策略需求已经成为应用系统部署效率提升的障碍,同时访问关系日趋复杂、多样化,也为应用系统投产之后的安全运行带来了隐患。
目前从业界通常做法来看,从应用访问关系的梳理确认,到防火墙策略的实施,再到策略的日常维护管理,一般都是由IT人员手动实现。具体地,一般需要由应用维护人员人工判断访问关系,并由网络维护人员人工识别防火墙需求并实施防火墙策略,这给整个IT系统的高效、稳定、安全运行带来了很大风险。
发明内容
本公开的一个方面提供了一种实现防火墙策略的方法,包括:获取针对多个防火墙产生的防火墙日志,所述多个防火墙部署在测试环境中且被全部设置为允许所有访问通过;获取所述测试环境的环境信息,所述环境信息包括资源配置信息和应用部署信息;基于所述环境信息和所述防火墙日志识别出应用访问信息;确定所述应用访问信息是否与当前的应用业务规则关联;以及如果所述应用访问信息与所述当前的应用业务规则关联,则确定基于所述应用访问信息实现生产环境中的相关防火墙策略。
可选地,所述基于所述环境信息和所述防火墙日志识别出应用访问信息,包括:将所述防火墙日志转换为预定格式的日志;以及基于所述环境信息和所述预定格式的日志识别出所述应用访问信息。
可选地,所述基于所述环境信息和所述预定格式的日志识别出所述应用访问信息,包括:对所述预定格式的日志进行去重合并处理,得到处理后的日志;提取所述处理后的日志中的关键信息,所述关键信息包括:传输层协议、源IP地址、目标IP地址、目标端口号和访问次数;以及基于所述环境信息和所述关键信息识别出所述应用访问信息。
可选地,所述确定所述应用访问信息是否与当前的应用业务规则关联,包括:比对所述应用访问信息与应用访问历史数据,以找出新增的应用访问信息;找出所述当前的应用业务规则中新增的应用业务规则;以及确定所述新增的应用访问信息是否与所述新增的应用业务规则关联。
可选地,所述方法还包括在所述基于所述环境信息和所述防火墙日志识别出应用访问信息之后:基于所述应用访问信息展示应用访问关系图。
本公开的另一个方面提供了一种实现防火墙策略的装置,包括:第一获取模块,用于获取针对多个防火墙产生的防火墙日志,所述多个防火墙部署在测试环境中且被全部设置为允许所有访问通过;第二获取模块,用于获取所述测试环境的环境信息,所述环境信息包括资源配置信息和应用部署信息;识别模块,用于基于所述环境信息和所述防火墙日志识别出应用访问信息;第一确定模块,用于确定所述应用访问信息是否与当前的应用业务规则关联;以及第二确定模块,用于在所述应用访问信息与所述当前的应用业务规则关联的情况下,确定基于所述应用访问信息实现生产环境中的相关防火墙策略。
可选地,所述识别模块包括:转换单元,用于将所述防火墙日志转换为预定格式的日志;以及识别单元,用于基于所述环境信息和所述预定格式的日志识别出所述应用访问信息。
可选地,所述装置还包括:展示模块,用于在所述基于所述环境信息和所述防火墙日志识别出应用访问信息之后,基于所述应用访问信息展示应用访问关系图。
本公开的另一方面提供了一种电子设备,包括:一个或多个处理器;存储器,用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如上所述的方法。
本公开的另一方面提供了一种计算机可读存储介质,存储有计算机可执行指令,所述指令在被执行时用于实现如上所述的方法。
本公开的另一方面提供了一种计算机程序,所述计算机程序包括计算机可执行指令,所述指令在被计算机执行时用于实现如上所述的方法。
附图说明
为了更完整地理解本公开及其优势,现在将参考结合附图的以下描述,其中:
图1示意性示出了根据本公开实施例的适于实现防火墙策略的方法和装置的应用场景;
图2示意性示出了根据本公开实施例的实现防火墙策略的方法的流程图;
图3示意性示出了根据本公开实施例的识别应用访问信息的流程图;
图4示意性示出了根据本公开实施例的实现防火墙策略的装置的框图;
图5示意性示出了根据本公开实施例的识别模块的框图;以及
图6示意性示出了根据本公开实施例的电子设备的框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。在使用类似于“A、B或C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B或C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。
附图中示出了一些方框图和/或流程图。应理解,方框图和/或流程图中的一些方框或其组合可以由计算机程序指令来实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,从而这些指令在由该处理器执行时可以创建用于实现这些方框图和/或流程图中所说明的功能/操作的装置。本公开的技术可以硬件和/或软件(包括固件、微代码等)的形式来实现。另外,本公开的技术可以采取存储有指令的计算机可读存储介质上的计算机程序产品的形式,该计算机程序产品可供指令执行系统使用或者结合指令执行系统使用。
本公开的实施例提供了一种实现防火墙策略的方法以及能够应用该方法的实现防火墙策略的装置。该方法包括获取针对多个防火墙产生的防火墙日志,多个防火墙部署在测试环境中且被全部设置为允许所有访问通过;获取测试环境的环境信息,环境信息包括资源配置信息和应用部署信息;基于环境信息和防火墙日志识别出应用访问信息;确定应用访问信息是否与当前的应用业务规则关联;以及如果应用访问信息与当前的应用业务规则关联,则确定基于应用访问信息实现生产环境中的相关防火墙策略。
图1示意性示出了根据本公开实施例的适于实现防火墙策略的方法和装置的应用场景。需要注意的是,图1所示仅为可以应用本公开实施例的应用场景的示例,以帮助本领域技术人员理解本公开的技术内容,但并不意味着本公开实施例不可以用于其他设备、系统、环境或场景。
如图1所示,它可以表示一个金融行业数据中心点局域网内的部分网络架构100。其中图1左半部分可以表示测试环境的部分,右半部分可以表示生产环境的部分。应该理解,测试环境是模拟真实的生产环境搭建的。例如,测试环境中的服务器101’是模拟生产环境中的服务器101部署并配置的,测试环境中的防火墙设备102’是模拟生产环境中的防火墙设备102部署并配置的,测试环境中的交换机103’是模拟生产环境中的交换机103部署并配置的。因此,利用测试环境测试得到的应用访问关系可以用于指导生产环境中防火墙策略的实施。
需要说明的是,目前从业界通常做法来看,从应用访问关系的梳理确认,到防火墙策略的实施,再到策略的日常维护管理,一般都是由IT人员手动实现。具体地,一般需要由应用维护人员人工判断访问关系,并由网络维护人员人工识别防火墙需求并实施防火墙策略,这给整个IT系统的高效、稳定、安全运行带来了很大风险。
而使用本公开实施例提供的技术方案,从应用访问关系的梳理确认,到防火墙策略的实施,再到策略的日常维护管理,不再需要IT人员手动实现,只需要通过防火墙设备产生的防火墙日志结合测试环境的环境,自动识别出各应用的访问关系,进而使用这些访问关系批量实施生产环境中的相关防火墙策略。因而本公开实施例可以更准确、更高效地实施防火墙策略。并且可以避免数据中心IT人员的重复性劳动,从而降低他们的工作量,节约数据中心的人力成本投入,同时降低网络运维压力,提升运维效率。
以下参考附图并结合具体实施例详细阐述本公开。
图2示意性示出了根据本公开实施例的实现防火墙策略的方法的流程图。
如图2所示,该方法包括操作S210~S250。
在操作S210,获取针对多个防火墙产生的防火墙日志,多个防火墙部署在测试环境中且被全部设置为允许所有访问通过。
应该理解,测试环境中的防火墙是模拟生产环境中的防火墙部署的。并且实际应用时,测试环境与生产环境是相互隔离的。
具体地,在本公开实施例中,例如可以将测试环境中部署的所有防火墙全部设置为允许所有访问通过。并且,例如可以定期获取防火墙设备针对这些防火墙产生的防火墙日志。
应该理解,在本公开实施例中,针对每次访问,防火墙日志例如可以包含访问时间、源IP地址、目的IP地址、源端口、目的端口、所使用传输层协议等。
对于一个应用而言,它的应用后端可以部署在一个或者多个服务器上。而每个服务器都分配有唯一的IP地址,并且每个服务器针对该应用会开设一个或者多个专用的端口。而每个端口都分配有唯一的端口号。并且部署它的应用前端的终端设备也分配有唯一的IP地址。该终端设备针对该应用也会开设一个或者多个专用的端口,并为每个端口分配一个唯一的端口号。
接下来,在操作S220,获取测试环境的环境信息,环境信息包括资源配置信息和应用部署信息。
应该理解,针对每个应用而言,资源配置信息例如可以包括硬件资源配置信息和软件资源配置信息(例如应用所使用的传输层协议,如TCP/IP协议和UGP协议等)。针对每个应用而言,应用部署信息例如可以包括所有的用于部署这个应用的计算机设备(如服务器和终端设备等)的IP地址,以及这些计算机设备为该应用开设的端口号等。
然后,在操作S230,基于环境信息和防火墙日志识别出应用访问信息。
具体地,例如可以将获取的环境信息与获取的防火墙日志进行对比,从而获取一个局域网内针对所有应用的应用访问信息。
应该理解,对于每一个应用而言,其应用访问信息例如可以包括但不限于访问时间、访问次数、源IP地址、目的IP地址、源端口、目的端口、所使用传输层协议等。
接下来,在操作S240,确定应用访问信息是否与当前的应用业务规则关联。
具体地,例如可以确定上述应用访问信息是否与当前的应用业务规则之间存在一定的关系。其中,当前的应用业务规则例如可以是个人网银、手机银行等相关业务的相关规则。
再然后,在操作S250,如果应用访问信息与当前的应用业务规则关联,则确定基于应用访问信息实现生产环境中的相关防火墙策略。
应该理解,在本公开实施例中,由于测试环境中部署的所有防火墙都已经全部被设置为允许所有访问通过,因此对于其中任何一个防火墙而言,通过它的所有访问流量都被认为是合理的,是需要开通权限的。因此可以将与当前每一个应用的业务规则关联的应用访问信息推送给生产环境中的相关设备,使得这些设备能够根据这些应用访问信息的指示自动地批量设置相关防火墙的防火墙策略。
应该理解,本公开实施例提供的技术方案例如可以应用于金融行业数据中心内部防火墙策略的实施。并且与现有技术需要人工手动整理应用访问关系并对应部署防火墙策略相比,本公开实施例可以更准确、更高效地实施防火墙策略。并且可以避免数据中心IT人员的重复性劳动,从而降低他们的工作量,节约数据中心的人力成本投入,同时降低网络运维压力,提升运维效率。
图3示意性示出了根据本公开实施例的识别应用访问信息的流程图。在该实施例中,除了包括上文参考图2描述的操作S210~S220以及操作S240~S250之外,例如还可以包括操作S231~S232。为了描述的简洁起见,这里省略对操作S210~S220以及操作S240~S250的描述。
应该理解,在该实施例中,上文参考图2描述的操作S230可以进一步包括如图3所示的操作S231~S232。
在操作S231,将防火墙日志转换为预定格式的日志。
为了安全起见,一个数据中心例如可以使用多种防火墙。而针对不同种类的防火墙,防火墙设备会产生不同格式的防火墙日志。因此,为了便于识别,在本公开实施例中,在获得防火墙日志后,可以将其转换为预定格式的日志。
接下来,操作S232,基于环境信息和预定格式的日志识别出应用访问信息。
作为一种可选的实施例,上述操作基于环境信息和预定格式的日志识别出应用访问信息例如可以包括:对预定格式的日志进行去重合并处理,得到处理后的日志。提取处理后的日志中的关键信息,关键信息包括:传输层协议、源IP地址、目标IP地址、目标端口号和访问次数。基于环境信息和关键信息识别出应用访问信息。
对于一个数据中心而言,由于其内部的防火墙设备每天都会产生海量日志。因此,为了减少后续操作的计算量以及节约系统资源,在本公开实施例中,对于预定格式的日志,可以通过筛选将其中重复访问合并为1条访问。
对于一个应用而言,例如通过日志信息中的传输层协议、源IP地址、目标IP地址、目标端口号和访问次数便可以初步判断相应的应用访问关系。
例如,假设某金融机构的数据中心将手机银行应用部署在服务器1(其IP地址为IPl)和服务器2(其IP地址为IP2)上,且该应用使用服务器1的端口1(其端口号为D1)与外界通信,使用服务器2的端口2(其端口号为D2)和端口3(其端口号为D3)与外界通信,并规定该应用使用TCP/IP协议通信,此外还规定该应用在客户端(如IP地址为IP3)一侧使用端口4(端口号为D4)与外界通信。如果某个防火墙日志中记录有以下信息:源地址为IP3,目的地址为IP2,源端口为D4,目的端口为D3,通信协议为TCP/IP,当月共计访问5次。可见,这是针对某金融机构的手机银行的访问。
因此,在本公开实施例中,可以先从处理后的日志中提取上述关键信息,再将这些关键信息与环境信息比对,进而识别出相应的应用访问信息。
作为一种可选的实施例,上述操作确定应用访问信息是否与当前的应用业务规则关联例如可以包括:比对应用访问信息与应用访问历史数据,以找出新增的应用访问信息。找出当前的应用业务规则中新增的应用业务规则。确定新增的应用访问信息是否与新增的应用业务规则关联。
应该理解,对于一个应用而言,应用访问历史数据例如可以是针对该应用的一个旧版本所产生的访问数据。而上述应用访问信息例如可以是针对该应用的一个新版本所产生的访问数据。通过对比,可以找出该应用的新版本相比于旧版本新增的应用访问信息。
应该理解,对于一个应用的新版本而言,一般会相较于旧版本增加或者修改一定的业务规则。在本公开实施例中,为了便于描述,将“增加”或者“修改”的业务规则统称为新增的业务规则。
通过本公开实施例,可以只针对新增的访问关系实现防火墙策略,以防止针对同一防火策略重复判断并重复设置。
作为一种可选的实施例,该方法例如还可以包括在基于环境信息和防火墙日志识别出应用访问信息之后:基于应用访问信息展示应用访问关系图。
本公开实施例中,在展示应用访问关系图的同时,例如还可以提供查询功能,以便于用户使用。
应该理解,本公开的上述实施例中涉及的防火墙策略表示为确保企业局域网内部IT系统安全可控,避免网络区域内外部恶意或异常流量侵害IT系统,通过输入并执行程序操作命令的方式部署在防火墙设备的操作系统上,针对允许或者拒绝流量通过的预定义规则。而通过实现防火墙策略,可以实现网络安全控制,从而使得应用按需访问得以有效控制。
图4示意性示出了根据本公开实施例的实现防火墙策略的装置的框图。
如图4所示,该实现防火墙策略的装置400包括第一获取模块401、第二获取模块402、识别模块403、第一确定模块404和第二确定模块405。该装置可以执行上面参考方法实施例部分描述的方法,在此不再赘述。
具体地,第一获取模块401用于获取针对多个防火墙产生的防火墙日志,所述多个防火墙部署在测试环境中且被全部设置为允许所有访问通过。
第二获取模块402用于获取所述测试环境的环境信息,所述环境信息包括资源配置信息和应用部署信息。
识别模块403例如可以用于基于所述环境信息和所述防火墙日志识别出应用访问信息。
第一确定模块404例如可以用于确定所述应用访问信息是否与当前的应用业务规则关联。
第二确定模块405例如可以用于在所述应用访问信息与所述当前的应用业务规则关联的情况下,确定基于所述应用访问信息实现生产环境中的相关防火墙策略。
与现有技术需要人工手动整理应用访问关系并对应部署防火墙策略相比,本公开实施例可以更准确、更高效地实施防火墙策略。并且可以避免数据中心IT人员的重复性劳动,从而降低他们的工作量,节约数据中心的人力成本投入,同时降低网络运维压力,提升运维效率。
图5示意性示出了根据本公开实施例的识别模块的框图。
在该实施例中,除了包括上文参考图4描述的第一获取模块401、第二获取模块402、第一确定模块404和第二确定模块405之外,例如还可以包括转换单元501和识别单元502。为了描述的简洁起见,这里省略对第一获取模块401、第二获取模块402、第一确定模块404和第二确定模块405的描述。
应该理解,在该实施例中,上文参考图4描述的识别模块403可以包括如图5所示的转换单元501和识别单元502。
具体地,转换单元501例如可以用于将所述防火墙日志转换为预定格式的日志。
识别单元502例如可以用于基于所述环境信息和所述预定格式的日志识别出所述应用访问信息。
作为一种可选的实施例,该装置例如还可以包括:展示模块。
具体地,展示模块例如可以用于在所述基于所述环境信息和所述防火墙日志识别出应用访问信息之后,基于所述应用访问信息展示应用访问关系图。
需要说明的是,装置部分的实施例方式与方法部分的实施例方式对应类似,并且所达到的技术效果也对应类似,在此不再赘述。
根据本公开的实施例的模块、单元、子单元中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实施例的模块、单元、子单元中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块、单元、子单元中的任意一个或多个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,根据本公开实施例的模块、单元、子单元中的一个或多个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
例如,第一获取模块401、第二获取模块402、识别模块403、第一确定模块404和第二确定模块405中的任意多个可以合并在一个模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。根据本公开的实施例,第一获取模块401、第二获取模块402、识别模块403、第一确定模块404和第二确定模块405中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,第一获取模块401、第二获取模块402、识别模块403、第一确定模块404和第二确定模块405中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
图6示意性示出了根据本公开实施例的电子设备的框图。图6示出的电子设备仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图6所示,电子设备600包括处理器610、计算机可读存储介质620。该电子设备600可以执行根据本公开实施例的方法。
具体地,处理器610例如可以包括通用微处理器、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC)),等等。处理器610还可以包括用于缓存用途的板载存储器。处理器610可以是用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
计算机可读存储介质620,例如可以是非易失性的计算机可读存储介质,具体示例包括但不限于:磁存储装置,如磁带或硬盘(HDD);光存储装置,如光盘(CD-ROM);存储器,如随机存取存储器(RAM)或闪存;等等。
计算机可读存储介质620可以包括计算机程序621,该计算机程序621可以包括代码/计算机可执行指令,其在由处理器610执行时使得处理器610执行根据本公开实施例的方法或其任何变形。
计算机程序621可被配置为具有例如包括计算机程序模块的计算机程序代码。例如,在示例实施例中,计算机程序621中的代码可以包括一个或多个程序模块,例如包括621A、模块621B、……。应当注意,模块的划分方式和个数并不是固定的,本领域技术人员可以根据实际情况使用合适的程序模块或程序模块组合,当这些程序模块组合被处理器610执行时,使得处理器610可以执行根据本公开实施例的方法或其任何变形。
根据本公开的实施例,第一获取模块401、第二获取模块402、识别模块403、第一确定模块404和第二确定模块405中的至少一个可以实现为参考图6描述的计算机程序模块,其在被处理器610执行时,可以实现上面描述的相应操作。
本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的;也可以是单独存在,而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的方法。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域技术人员可以理解,尽管已经参照本公开的特定示例性实施例示出并描述了本公开,但是本领域技术人员应该理解,在不背离所附权利要求及其等同物限定的本公开的精神和范围的情况下,可以对本公开进行形式和细节上的多种改变。因此,本公开的范围不应该限于上述实施例,而是应该不仅由所附权利要求来进行确定,还由所附权利要求的等同物来进行限定。
Claims (9)
1.一种实现防火墙策略的方法,包括:
获取针对多个防火墙产生的防火墙日志,所述多个防火墙部署在测试环境中且被全部设置为允许所有访问通过;
获取所述测试环境的环境信息,所述环境信息包括资源配置信息和应用部署信息;
基于所述环境信息和所述防火墙日志识别出应用访问信息;
确定所述应用访问信息是否与当前的应用业务规则关联;以及
如果所述应用访问信息与所述当前的应用业务规则关联,则确定基于所述应用访问信息实现生产环境中的相关防火墙策略;
其中,所述确定所述应用访问信息是否与当前的应用业务规则关联,包括:
比对所述应用访问信息与应用访问历史数据,以找出新增的应用访问信息;
找出所述当前的应用业务规则中新增的应用业务规则;
确定所述新增的应用访问信息是否与所述新增的应用业务规则关联。
2.根据权利要求1所述的方法,其中,所述基于所述环境信息和所述防火墙日志识别出应用访问信息,包括:
将所述防火墙日志转换为预定格式的日志;以及
基于所述环境信息和所述预定格式的日志识别出所述应用访问信息。
3.根据权利要求2所述的方法,其中,所述基于所述环境信息和所述预定格式的日志识别出所述应用访问信息,包括:
对所述预定格式的日志进行去重合并处理,得到处理后的日志;
提取所述处理后的日志中的关键信息,所述关键信息包括:传输层协议、源IP地址、目标IP地址、目标端口号和访问次数;以及
基于所述环境信息和所述关键信息识别出所述应用访问信息。
4.根据权利要求1所述的方法,其中,所述方法还包括在所述基于所述环境信息和所述防火墙日志识别出应用访问信息之后:
基于所述应用访问信息展示应用访问关系图。
5.一种实现防火墙策略的装置,包括:
第一获取模块,用于获取针对多个防火墙产生的防火墙日志,所述多个防火墙部署在测试环境中且被全部设置为允许所有访问通过;
第二获取模块,用于获取所述测试环境的环境信息,所述环境信息包括资源配置信息和应用部署信息;
识别模块,用于基于所述环境信息和所述防火墙日志识别出应用访问信息;
第一确定模块,用于确定所述应用访问信息是否与当前的应用业务规则关联;以及
第二确定模块,用于在所述应用访问信息与所述当前的应用业务规则关联的情况下,确定基于所述应用访问信息实现生产环境中的相关防火墙策略;
其中,所述第一确定模块还用于:
比对所述应用访问信息与应用访问历史数据,以找出新增的应用访问信息;
找出所述当前的应用业务规则中新增的应用业务规则;
确定所述新增的应用访问信息是否与所述新增的应用业务规则关联。
6.根据权利要求5所述的装置,其中,所述识别模块包括:
转换单元,用于将所述防火墙日志转换为预定格式的日志;以及
识别单元,用于基于所述环境信息和所述预定格式的日志识别出所述应用访问信息。
7.根据权利要求5所述的装置,其中,所述装置还包括:
展示模块,用于在所述基于所述环境信息和所述防火墙日志识别出应用访问信息之后,基于所述应用访问信息展示应用访问关系图。
8.一种电子设备,包括:
一个或多个处理器;
存储器,用于存储一个或多个程序,
其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现权利要求1至4中任一项所述的方法。
9.一种计算机可读存储介质,存储有计算机可执行指令,所述指令在被计算机执行时用于实现权利要求1至4中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910613845.0A CN110247933B (zh) | 2019-07-08 | 2019-07-08 | 实现防火墙策略的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910613845.0A CN110247933B (zh) | 2019-07-08 | 2019-07-08 | 实现防火墙策略的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110247933A CN110247933A (zh) | 2019-09-17 |
| CN110247933B true CN110247933B (zh) | 2022-01-04 |
Family
ID=67891461
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910613845.0A Active CN110247933B (zh) | 2019-07-08 | 2019-07-08 | 实现防火墙策略的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110247933B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102019117651A1 (de) * | 2019-07-01 | 2021-01-07 | Wagner Group Gmbh | Verfahren zur Inbetriebnahme einer Sauerstoffreduzierungsanlage, computerlesbares-Speichermedium und Sauerstoffreduzierungsanlage |
| CN111917743B (zh) * | 2020-07-15 | 2022-07-19 | 中国工商银行股份有限公司 | 节点间访问关系切换方法、系统、设备及介质 |
| CN112437058B (zh) * | 2020-11-11 | 2022-02-08 | 中国电子科技集团公司第三十研究所 | 基于会话流量日志的防火墙安全策略自动生成方法 |
| CN113242159B (zh) * | 2021-05-24 | 2022-12-09 | 中国工商银行股份有限公司 | 应用访问关系确定方法及装置 |
| EP4300877A1 (de) * | 2022-06-29 | 2024-01-03 | Siemens Aktiengesellschaft | Verfahren zur steuerung verteilter anwendungen heterogener netzwerke und netzwerk-systemsteuerung |
| CN115225407A (zh) * | 2022-08-03 | 2022-10-21 | 平安银行股份有限公司 | 防火墙信息处理方法、系统、电子装置及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104717182A (zh) * | 2013-12-12 | 2015-06-17 | 华为技术有限公司 | 网络防火墙的安全策略部署方法和装置 |
| CN105871930A (zh) * | 2016-06-21 | 2016-08-17 | 上海携程商务有限公司 | 基于应用的防火墙安全策略的自适应配置方法及系统 |
| CN106254379A (zh) * | 2016-09-09 | 2016-12-21 | 上海携程商务有限公司 | 网络安全策略的处理系统及处理方法 |
| CN106657047A (zh) * | 2016-12-14 | 2017-05-10 | 北京启明星辰信息安全技术有限公司 | 一种网络访问关系的生成方法及装置 |
| CN107395461A (zh) * | 2017-08-29 | 2017-11-24 | 深信服科技股份有限公司 | 一种基于访问关系的安全状态表示方法及系统 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9059960B2 (en) * | 2012-08-31 | 2015-06-16 | International Business Machines Corporation | Automatically recommending firewall rules during enterprise information technology transformation |
| US10708308B2 (en) * | 2017-10-02 | 2020-07-07 | Servicenow, Inc. | Automated mitigation of electronic message based security threats |
| CN109067779A (zh) * | 2018-09-17 | 2018-12-21 | 平安科技(深圳)有限公司 | 基于安全防护的优化防火墙的方法、装置及计算机设备 |
| CN109495508B (zh) * | 2018-12-26 | 2021-07-13 | 成都科来网络技术有限公司 | 基于服务访问数据的防火墙配置方法 |
-
2019
- 2019-07-08 CN CN201910613845.0A patent/CN110247933B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104717182A (zh) * | 2013-12-12 | 2015-06-17 | 华为技术有限公司 | 网络防火墙的安全策略部署方法和装置 |
| CN105871930A (zh) * | 2016-06-21 | 2016-08-17 | 上海携程商务有限公司 | 基于应用的防火墙安全策略的自适应配置方法及系统 |
| CN106254379A (zh) * | 2016-09-09 | 2016-12-21 | 上海携程商务有限公司 | 网络安全策略的处理系统及处理方法 |
| CN106657047A (zh) * | 2016-12-14 | 2017-05-10 | 北京启明星辰信息安全技术有限公司 | 一种网络访问关系的生成方法及装置 |
| CN107395461A (zh) * | 2017-08-29 | 2017-11-24 | 深信服科技股份有限公司 | 一种基于访问关系的安全状态表示方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110247933A (zh) | 2019-09-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110247933B (zh) | 实现防火墙策略的方法和装置 | |
| US9245117B2 (en) | Method and system for comparing different versions of a cloud based application in a production environment using segregated backend systems | |
| AU2015267387B2 (en) | Method and apparatus for automating the building of threat models for the public cloud | |
| KR101883400B1 (ko) | 에이전트리스 방식의 보안취약점 점검 방법 및 시스템 | |
| CN109800258B (zh) | 数据文件部署方法、装置、计算机设备及存储介质 | |
| US20240048580A1 (en) | Detection of escalation paths in cloud environments | |
| CN113360475B (zh) | 基于内网终端的数据运维方法、装置、设备及存储介质 | |
| CN115766258B (zh) | 一种基于因果关系图的多阶段攻击趋势预测方法、设备及存储介质 | |
| US10121150B2 (en) | Compliance as a service for an organization | |
| CN111865997A (zh) | 基于被动流量的web漏洞检测方法、装置、设备及介质 | |
| CN115208835A (zh) | Api分类方法、装置、电子设备、介质及产品 | |
| CN112910919B (zh) | 解析方法、装置、电子设备及存储介质 | |
| US8949991B2 (en) | Testing web services that are accessible via service oriented architecture (SOA) interceptors | |
| CN112235300B (zh) | 云虚拟网络漏洞检测方法、系统、装置及电子设备 | |
| CN111245800B (zh) | 网络安全测试方法和装置、存储介质、电子装置 | |
| CN113836237A (zh) | 对数据库的数据操作进行审计的方法及装置 | |
| CN114157464B (zh) | 一种网络测试监控方法及监控系统 | |
| CN115643082A (zh) | 一种失陷主机的确定方法、装置及计算机设备 | |
| WO2022195848A1 (ja) | 分析条件生成装置、分析システム、分析条件生成プログラム、分析プログラム、分析条件生成方法、及び分析方法 | |
| US11221908B1 (en) | Discovery of an inexplicit link between a change and an incident in a computing environment | |
| CN113158180B (zh) | 汽车网络安全威胁场景构建方法、装置、设备和可读存储介质 | |
| EP3926502A1 (en) | Utilizing machine learning for smart quarantining of potentially malicious files | |
| CN114363053A (zh) | 一种攻击识别方法、装置及相关设备 | |
| CN114462030A (zh) | 隐私政策的处理、取证方法、装置、设备及存储介质 | |
| US20240064163A1 (en) | System and method for risk-based observability of a computing platform |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |