CN110290153A - 一种防火墙的端口管理策略自动下发方法及装置 - Google Patents

Abstract

本发明公开了一种防火墙的端口管理策略自动下发方法及装置，所述方法包括：通过SSH登录防火墙，获取防火墙的配置文件；对获取的配置文件进行安全域解析，获取安全域解析的结果；集合安全域解析的结果，以及端口申请的IP地址数据，动态分析开通或关闭所述端口所需经过的防火墙、安全域以及已有策略；依据策略比对流程，生成新策略并下发；本发明的优点在于：防火墙策略自动生成，不需要人工手动输入防火墙策略，效率高，通过策略间包含或者互斥的直接比对，实现策略的校验。

Description

一种防火墙的端口管理策略自动下发方法及装置

技术领域

本发明涉及防火墙的访问控制领域，更具体涉及一种防火墙的端口管理策略自动下发方法及装置。

背景技术

防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，是一种获取安全性方法。形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关(SecurityGateway)，从而保护内部网免受非法用户的侵入，它实际上是一种隔离技术。

防火墙的访问控制策略配置目前主要是通过相关厂商提供的Web端可视化界面进行访问策略的配置。通过此类策略配置方法虽然可以很好的实现策略管控，但是现有技术防火墙的访问控制策略在实际业务中访问控制策略生成方式主要依赖于人工手动输入的方式，效率低；同时现有技术判断策略是否合适主要通过人为经验判断，存在一定的误差。

发明内容

本发明所要解决的技术问题在于现有技术的防火墙的访问控制策略效率低的问题。

本发明是通过以下技术方案解决上述技术问题的：一种防火墙的端口管理策略自动下发方法，所述方法包括：

步骤一：通过SSH登录防火墙，获取防火墙的配置文件；

步骤二：对获取的配置文件进行安全域解析，获取安全域解析的结果；

步骤三：集合安全域解析的结果，以及端口申请的IP地址数据，动态分析开通或关闭所述端口所需经过的防火墙、安全域以及已有策略；

步骤四：依据策略比对流程，生成新策略并下发。

优选的，所述配置文件包括防火墙基本信息、安全域信息、地址段信息以及已有策略的信息。

优选的，所述安全域解析的结果包括防火墙的虚拟防火墙信息、虚拟防火墙下的安全域及优先级数据。

优选的，所述安全域解析的过程包括：

步骤201：通过静态路由找出所述防火墙中具有的所有虚拟防火墙；

步骤202：通过每一个虚拟防火墙找出每一个虚拟防火墙下的安全域，并得到所述安全域的名称以及优先级；

步骤203：找出每个安全域下的所有接口；

步骤204：找出每个接口下的IP地址段；

步骤205：通过SSH协议获取已有策略。

优选的，所述步骤四包括：

步骤401：进入系统视图，开通第一接口，绑定第一接口的IP地址并绑定子网IP地址，开通第二接口，绑定第二接口的IP地址；

步骤402：创建虚拟防火墙，给虚拟防火墙分配第一接口；

步骤403：进入虚拟防火墙，新建第一安全域，定义第一安全域的优先级，将第一安全域包含的信息以及第一安全域的优先级的值导入第一接口，新建第二安全域，定义第二安全域的优先级，将第二安全域包含的信息以及第二安全域的优先级的值导入第二接口；

步骤404：创建第二安全域的第二服务对象，定义第二服务对象的端口为第二接口并定义第二接口协议，创建第一安全域的第一服务对象，定义第一服务对象的端口为第一接口并定义第一接口协议；

步骤405：创建第二安全域到第一安全域的实例，创建有效时间对象，定义有效时间对象内允许第二安全域到第一安全域的动作，确定第一接口的IP，引用第一服务对象，确定第二接口的IP，引用第二服务对象，生成第二安全域到第一安全域的策略脚本，并生成第二安全域向第一安全域下发策略的当前命令语句；

步骤406：判断第二安全域向第一安全域下发策略的命令语句是否符合策略比对流程，策略比对流程包括互斥判断过程和/或包含判断过程，其中，

互斥判断过程，包括判断当前命令语句与已有策略是否互斥，若不互斥，合并当前命令语句与已有策略作为新策略并下发，若互斥，则将已有策略中与当前命令语句中互斥的内容删除然后合并已有策略和当前命令语句作为新策略并下发；

包含判断过程，包括判断当前命令语句与已有策略是否有相同内容的部分，若有，则合并当前命令语句与已有策略作为新策略并下发，若没有则将当前命令语句作为新策略并下发。

本发明还提供一种防火墙的端口管理策略自动下发装置，所述装置包括：

配置文件获取模块，配置文件获取模块用于通过SSH登录防火墙，获取防火墙的配置文件；

安全域解析模块，安全域解析模块用于对获取的配置文件进行安全域解析，获取安全域解析的结果；

动态分析模块，动态分析模块用于集合安全域解析的结果，以及端口申请的IP地址数据，动态分析开通或关闭所述端口所需经过的防火墙、安全域以及已有策略；

新策略生成模块，依据策略比对流程，生成新策略并下发。

优选的，所述配置文件获取模块还用于防火墙基本信息、安全域信息、地址段信息以及已有策略的信息的获取。

优选的，所述安全域解析模块还用于获取防火墙的虚拟防火墙信息、虚拟防火墙下的安全域及优先级数据。

优选的，所述安全域解析模块还用于：

步骤201：通过静态路由找出所述防火墙中具有的所有虚拟防火墙；

步骤202：通过每一个虚拟防火墙找出每一个虚拟防火墙下的安全域，并得到所述安全域的名称以及优先级；

步骤203：找出每个安全域下的所有接口；

步骤204：找出每个接口下的IP地址段；

步骤205：通过SSH协议获取已有策略。

所述新策略生成模块还用于：

步骤401：进入系统视图，开通第一接口，绑定第一接口的IP地址并绑定子网IP地址，开通第二接口，绑定第二接口的IP地址；

步骤402：创建虚拟防火墙，给虚拟防火墙分配第一接口；

步骤403：进入虚拟防火墙，新建第一安全域，定义第一安全域的优先级，将第一安全域包含的信息以及第一安全域的优先级的值导入第一接口，新建第二安全域，定义第二安全域的优先级，将第二安全域包含的信息以及第二安全域的优先级的值导入第二接口；

步骤404：创建第二安全域的第二服务对象，定义第二服务对象的端口为第二接口并定义第二接口协议，创建第一安全域的第一服务对象，定义第一服务对象的端口为第一接口并定义第一接口协议；

步骤405：创建第二安全域到第一安全域的实例，创建有效时间对象，定义有效时间对象内允许第二安全域到第一安全域的动作，确定第一接口的IP，引用第一服务对象，确定第二接口的IP，引用第二服务对象，生成第二安全域到第一安全域的策略脚本，并生成第二安全域向第一安全域下发策略的当前命令语句；

步骤406：判断第二安全域向第一安全域下发策略的命令语句是否符合策略比对流程，策略比对流程包括互斥判断过程和/或包含判断过程，其中，

互斥判断过程，包括判断当前命令语句与已有策略是否互斥，若不互斥，合并当前命令语句与已有策略作为新策略并下发，若互斥，则将已有策略中与当前命令语句中互斥的内容删除然后合并已有策略和当前命令语句作为新策略并下发；

包含判断过程，包括判断当前命令语句与已有策略是否有相同内容的部分，若有，则合并当前命令语句与已有策略作为新策略并下发，若没有则将当前命令语句作为新策略并下发。

本发明相比现有技术具有以下优点：

(1)防火墙策略自动生成，只需配置策略的前置条件如端口等，即可自动生成相应的开通或关闭策略，不需要人工手动输入防火墙策略，效率高。

(2)策略自动校验，通过策略间包含或者互斥的直接比对，实现策略的校验，如果存在包含的现象，合并新策略和已有策略，如果出现互斥，找出出现互斥的命令行，删除该命令行或者缩小该命令行的管控范围。判断策略是否合适主要通过机器比对识别，相比现有技术误差小，策略下发更准确。

附图说明

图1为本发明实施例提供的一种防火墙的端口管理策略自动下发方法的流程示意图。

具体实施方式

下面对本发明的实施例作详细说明，本实施例在以本发明技术方案为前提下进行实施，给出了详细的实施方式和具体的操作过程，但本发明的保护范围不限于下述的实施例。

一种防火墙的端口管理策略自动下发方法，所述方法包括：

步骤S1：通过SSH(Secure Shell，安全外壳协议)登录防火墙，获取防火墙的配置文件；

具体的，所述配置文件包括防火墙基本信息、安全域信息、地址段信息以及已有策略的信息。

步骤S2：对获取的配置文件进行安全域解析，获取安全域解析的结果；

具体的，所述安全域解析的过程包括：

步骤201：通过静态路由找出所述防火墙中具有的所有虚拟防火墙；

步骤202：通过每一个虚拟防火墙找出每一个虚拟防火墙下的安全域，并得到所述安全域的名称以及优先级；

步骤203：找出每个安全域下的所有接口；

步骤204：找出每个接口下的IP地址段；

步骤205：通过SSH协议获取已有策略。

具体的，所述安全域解析的结果包括防火墙的虚拟防火墙信息、虚拟防火墙下的安全域及优先级数据。

步骤S3：集合安全域解析的结果，以及端口申请的IP地址数据，动态分析开通或关闭所述端口所需经过的防火墙、安全域以及已有策略；

步骤S4：依据策略比对流程，生成新策略并下发。

下面详细介绍策略生成和下发的过程，所述步骤S4包括：

步骤401：进入系统视图，开通第一接口，绑定第一接口的IP地址并绑定子网IP地址，开通第二接口，绑定第二接口的IP地址；

步骤402：创建虚拟防火墙，给虚拟防火墙分配第一接口；

步骤403：进入虚拟防火墙，新建第一安全域，定义第一安全域的优先级，将第一安全域包含的信息以及第一安全域的优先级的值导入第一接口，新建第二安全域，定义第二安全域的优先级，将第二安全域包含的信息以及第二安全域的优先级的值导入第二接口；

步骤404：创建第二安全域的第二服务对象，定义第二服务对象的端口为第二接口并定义第二接口协议，创建第一安全域的第一服务对象，定义第一服务对象的端口为第一接口并定义第一接口协议；

步骤405：创建第二安全域到第一安全域的实例，创建有效时间对象，定义有效时间对象内允许第二安全域到第一安全域的动作，确定第一接口的IP，引用第一服务对象，确定第二接口的IP，引用第二服务对象，生成第二安全域到第一安全域的策略脚本，并生成第二安全域向第一安全域下发策略的命令语句；

步骤406：判断第二安全域向第一安全域下发策略的命令语句是否符合策略比对流程，所述策略比对流程包括互斥判断过程和/或包含判断过程，其中，

互斥判断过程，包括判断当前命令语句与已有策略是否互斥，若不互斥，合并当前命令语句与已有策略作为新策略并下发，若互斥，则将已有策略中与当前命令语句中互斥的内容删除然后合并已有策略和当前命令语句作为新策略并下发；

包含判断过程，包括判断当前命令语句与已有策略是否有相同内容的部分，若有，则合并当前命令语句与已有策略作为新策略并下发，若没有则将当前命令语句作为新策略并下发。下发的时候，实时读取所要操作的防火墙的配置文件内容，分析策略的源、目的地址以及策略的类型，如策略类型是开通或者，策略类型是关闭，与所要下发的策略的源、目的地址、策略的类型进行比较，如果所要下发的策略的源、目的地址以及策略的类型在配置文件中已经存在或者已存在的策略中包含所要下发的策略，则所要下发的策略就是被包含在已有策略当中了，将下发的策略与已有策略合并生成新策略，相反，如果下发的策略包含已有策略，将下发的策略与已有策略合并生成新策略；如果所要下发的策略在配置中已存在，但策略类型是相反的，如下发的策略是开通1号防火墙到3号防火墙，但配置文件中关闭1号防火墙到3号防火墙，则所要下发的策略就与配置文件中的策略是互斥的，解决办法是删除关闭1号防火墙到3号防火墙的命令或者缩小该命令的范围。

需要注意的是，策略的自动生成、下发主要是根据要下发的策略的关键字段：源IP、目的IP、协议、目的端口、开放时间等，生成相应的策略脚本，从而生成下发策略的命令语句，然后通过SSH连接、登录防火墙，进行命令实时下发，同时在系统中保存相应的操作记录，从而对策略进行管理。

本发明还提供一种防火墙的端口管理策略自动下发装置，所述装置包括：

配置文件获取模块，配置文件获取模块用于通过SSH登录防火墙，获取防火墙的配置文件；

安全域解析模块，安全域解析模块用于对获取的配置文件进行安全域解析，获取安全域解析的结果；

动态分析模块，动态分析模块用于集合安全域解析的结果，以及端口申请的IP地址数据，动态分析开通或关闭所述端口所需经过的防火墙、安全域以及已有策略；

新策略生成模块，依据策略比对流程，生成新策略并下发。

具体的，所述配置文件获取模块还用于防火墙基本信息、安全域信息、地址段信息以及已有策略的信息的获取。

具体的，所述安全域解析模块还用于获取防火墙的虚拟防火墙信息、虚拟防火墙下的安全域及优先级数据。

具体的，所述安全域解析模块还用于：

步骤201：通过静态路由找出所述防火墙中具有的所有虚拟防火墙；

步骤202：通过每一个虚拟防火墙找出每一个虚拟防火墙下的安全域，并得到所述安全域的名称以及优先级；

步骤203：找出每个安全域下的所有接口；

步骤204：找出每个接口下的IP地址段；

步骤205：通过SSH协议获取已有策略。

所述新策略生成模块还用于：

步骤401：进入系统视图，开通第一接口，绑定第一接口的IP地址并绑定子网IP地址，开通第二接口，绑定第二接口的IP地址；

步骤402：创建虚拟防火墙，给虚拟防火墙分配第一接口；

步骤403：进入虚拟防火墙，新建第一安全域，定义第一安全域的优先级，将第一安全域包含的信息以及第一安全域的优先级的值导入第一接口，新建第二安全域，定义第二安全域的优先级，将第二安全域包含的信息以及第二安全域的优先级的值导入第二接口；

步骤404：创建第二安全域的第二服务对象，定义第二服务对象的端口为第二接口并定义第二接口协议，创建第一安全域的第一服务对象，定义第一服务对象的端口为第一接口并定义第一接口协议；

步骤405：创建第二安全域到第一安全域的实例，创建有效时间对象，定义有效时间对象内允许第二安全域到第一安全域的动作，确定第一接口的IP，引用第一服务对象，确定第二接口的IP，引用第二服务对象，生成第二安全域到第一安全域的策略脚本，并生成第二安全域向第一安全域下发策略的当前命令语句；

步骤406：判断第二安全域向第一安全域下发策略的命令语句是否符合策略比对流程，策略比对流程包括互斥判断过程和/或包含判断过程，其中，

互斥判断过程，包括判断当前命令语句与已有策略是否互斥，若不互斥，合并当前命令语句与已有策略作为新策略并下发，若互斥，则将已有策略中与当前命令语句中互斥的内容删除然后合并已有策略和当前命令语句作为新策略并下发；

包含判断过程，包括判断当前命令语句与已有策略是否有相同内容的部分，若有，则合并当前命令语句与已有策略作为新策略并下发，若没有则将当前命令语句作为新策略并下发。

通过以上技术方案，本发明提供的一种防火墙的端口管理策略自动下发方法及装置，优化现有技术的防火墙的端口管理策略，通过程序段以及各命令行的设置，实现个防火墙的策略逐级下发，只需配置策略的前置条件如端口等，即可自动生成相应的开通或关闭策略，不需要人工手动输入防火墙策略，效率高。同时，新策略的生成能够自主校验，将新策略与已有策略逐条比对，如果出现严重的策略失误，如与已有策略相反，则舍弃该新策略中出现严重错误的命令行，如果出现包含的现象则合并新策略和已有的策略，如果出现互斥的现象，则找出出现互斥的命令行，删除该命令行或者缩小该命令行的管控范围，误差小，策略下发更准确。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种防火墙的端口管理策略自动下发方法，其特征在于，所述方法包括：

步骤一：通过SSH登录防火墙，获取防火墙的配置文件；

步骤二：对获取的配置文件进行安全域解析，获取安全域解析的结果；

步骤三：集合安全域解析的结果，以及端口申请的IP地址数据，动态分析开通或关闭所述端口所需经过的防火墙、安全域以及已有策略；

步骤四：依据策略比对流程，生成新策略并下发。

2.根据权利要求1所述的一种防火墙的端口管理策略自动下发方法，其特征在于，所述配置文件包括防火墙基本信息、安全域信息、地址段信息以及已有策略的信息。

3.根据权利要求1所述的一种防火墙的端口管理策略自动下发方法，其特征在于，所述安全域解析的结果包括防火墙的虚拟防火墙信息、虚拟防火墙下的安全域及优先级数据。

4.根据权利要求3所述的一种防火墙的端口管理策略自动下发方法，其特征在于，所述安全域解析的过程包括：

步骤201：通过静态路由找出所述防火墙中具有的所有虚拟防火墙；

步骤202：通过每一个虚拟防火墙找出每一个虚拟防火墙下的安全域，并得到所述安全域的名称以及优先级；

步骤203：找出每个安全域下的所有接口；

步骤204：找出每个接口下的IP地址段；

步骤205：通过SSH协议获取已有策略。

5.根据权利要求4所述的一种防火墙的端口管理策略自动下发方法，其特征在于，所述步骤四包括：

步骤401：进入系统视图，开通第一接口，绑定第一接口的IP地址并绑定子网IP地址，开通第二接口，绑定第二接口的IP地址；

步骤402：创建虚拟防火墙，给虚拟防火墙分配第一接口；

步骤403：进入虚拟防火墙，新建第一安全域，定义第一安全域的优先级，将第一安全域包含的信息以及第一安全域的优先级的值导入第一接口，新建第二安全域，定义第二安全域的优先级，将第二安全域包含的信息以及第二安全域的优先级的值导入第二接口；

步骤404：创建第二安全域的第二服务对象，定义第二服务对象的端口为第二接口并定义第二接口协议，创建第一安全域的第一服务对象，定义第一服务对象的端口为第一接口并定义第一接口协议；

步骤405：创建第二安全域到第一安全域的实例，创建有效时间对象，定义有效时间对象内允许第二安全域到第一安全域的动作，确定第一接口的IP，引用第一服务对象，确定第二接口的IP，引用第二服务对象，生成第二安全域到第一安全域的策略脚本，并生成第二安全域向第一安全域下发策略的当前命令语句；

步骤406：判断第二安全域向第一安全域下发策略的命令语句是否符合策略比对流程，策略比对流程包括互斥判断过程和/或包含判断过程，其中，

互斥判断过程，包括判断当前命令语句与已有策略是否互斥，若不互斥，合并当前命令语句与已有策略作为新策略并下发，若互斥，则将已有策略中与当前命令语句中互斥的内容删除然后合并已有策略和当前命令语句作为新策略并下发；

包含判断过程，包括判断当前命令语句与已有策略是否有相同内容的部分，若有，则合并当前命令语句与已有策略作为新策略并下发，若没有则将当前命令语句作为新策略并下发。

6.一种防火墙的端口管理策略自动下发装置，其特征在于，所述装置包括：

配置文件获取模块，配置文件获取模块用于通过SSH登录防火墙，获取防火墙的配置文件；

安全域解析模块，安全域解析模块用于对获取的配置文件进行安全域解析，获取安全域解析的结果；

动态分析模块，动态分析模块用于集合安全域解析的结果，以及端口申请的IP地址数据，动态分析开通或关闭所述端口所需经过的防火墙、安全域以及已有策略；

新策略生成模块，依据策略比对流程，生成新策略并下发。

7.根据权利要求6所述的一种防火墙的端口管理策略自动下发装置，其特征在于，所述配置文件获取模块还用于防火墙基本信息、安全域信息、地址段信息以及已有策略的信息的获取。

8.根据权利要求6所述的一种防火墙的端口管理策略自动下发装置，其特征在于，所述安全域解析模块还用于获取防火墙的虚拟防火墙信息、虚拟防火墙下的安全域及优先级数据。

9.根据权利要求6所述的一种防火墙的端口管理策略自动下发装置，其特征在于，所述安全域解析模块还用于：

步骤201：通过静态路由找出所述防火墙中具有的所有虚拟防火墙；

步骤202：通过每一个虚拟防火墙找出每一个虚拟防火墙下的安全域，并得到所述安全域的名称以及优先级；

步骤203：找出每个安全域下的所有接口；

步骤204：找出每个接口下的IP地址段；

步骤205：通过SSH协议获取已有策略。

10.根据权利要求6所述的一种防火墙的端口管理策略自动下发装置，其特征在于，所述新策略生成模块还用于：

步骤401：进入系统视图，开通第一接口，绑定第一接口的IP地址并绑定子网IP地址，开通第二接口，绑定第二接口的IP地址；

步骤402：创建虚拟防火墙，给虚拟防火墙分配第一接口；

步骤403：进入虚拟防火墙，新建第一安全域，定义第一安全域的优先级，将第一安全域包含的信息以及第一安全域的优先级的值导入第一接口，新建第二安全域，定义第二安全域的优先级，将第二安全域包含的信息以及第二安全域的优先级的值导入第二接口；

步骤404：创建第二安全域的第二服务对象，定义第二服务对象的端口为第二接口并定义第二接口协议，创建第一安全域的第一服务对象，定义第一服务对象的端口为第一接口并定义第一接口协议；

步骤405：创建第二安全域到第一安全域的实例，创建有效时间对象，定义有效时间对象内允许第二安全域到第一安全域的动作，确定第一接口的IP，引用第一服务对象，确定第二接口的IP，引用第二服务对象，生成第二安全域到第一安全域的策略脚本，并生成第二安全域向第一安全域下发策略的当前命令语句；

步骤406：判断第二安全域向第一安全域下发策略的命令语句是否符合策略比对流程，策略比对流程包括互斥判断过程和/或包含判断过程，其中，

互斥判断过程，包括判断当前命令语句与已有策略是否互斥，若不互斥，合并当前命令语句与已有策略作为新策略并下发，若互斥，则将已有策略中与当前命令语句中互斥的内容删除然后合并已有策略和当前命令语句作为新策略并下发；

包含判断过程，包括判断当前命令语句与已有策略是否有相同内容的部分，若有，则合并当前命令语句与已有策略作为新策略并下发，若没有则将当前命令语句作为新策略并下发。