发明内容
针对相关技术中的上述技术问题,本发明提出一种基于网络建模与仿真技术网络安全设备策略配置分析系统,能够克服现有技术的上述不足。
为实现上述技术目的,本发明的技术方案是这样实现的:
一种基于网络建模与仿真技术网络安全设备策略配置分析系统,该系统包括配置解析模块、策略分析模块、策略自动生成模块,其中,
所述配置解析模块用于解析配置文件为数字网络模型,存储所述数字网络模型信息到数据库,包括设备配置自动采集模块、任务快照管理模块;
所述策略分析模块用于获取并分析所述数字网络模型信息,包括策略冗余分析模块、企业策略合规分析模块、策略风险评估模块、策略清理模块、策略优化模块、配置合规审计模块、策略变更审计模块、路径仿真模块;
所述策略自动生成模块用于采用所述数字网络模型获取需要开通策略的设备之间的虚拟路径,自动判断现有路径上的网络安全设备变更情况和变更手段,自动生成对应的配置脚本,自动下发,自动回滚,自动生成策略组合,包括变更申请模块、变更审批模块、变更交验模块、路径分析模块、脚本生成模块、配置下发模块、配置回滚模块。
进一步的,所述设备配置自动采集模块用于利用ssh/telnet自动采集设备的配置信息,包括防火墙设备添加模块、防火墙设备删除模块、防火墙设备修改模块、防火墙策略同步模块、防火墙配置信息备份模块、防火墙配置信息导出模块、防火墙设备信息导出模块。
进一步的,所述任务快照管理模块用于设定若干设备的集合为任务,合成不同时间段采集的配置集合为快照,还用于存档、分析、比较不同时间点配置的差异性,安全和合规性检查差异性。
进一步的,所述策略风险评估模块用于依据行业风险定义,评估配置策略中区域之间的端口策略安全隐患风险。
进一步的,所述策略清理模块用于清理网络中不合理的设备的策略配置。
进一步的,所述策略冗余分析模块用于依据策略定义的要素和策略位置,分析策略的遮盖关系;所述策略优化模块用于依据防火墙收到的日志流量信息,优化设备现有的策略,还用于依据流量信息,给新部署的防火墙策略设计的建议。
进一步的,所述配置合规审计模块用于依据行业的安全配置要求和等保网络安全配置要求,合规性检查网络安全配置。
进一步的,所述策略变更审计模块用于依据企业及行业的安全合规性标准,审计增加的策略。
进一步的,所述企业策略合规分析模块用于依据企业区域之间的IP地址、端口之间的访问正则、企业的安全策略标准,自动分析存量及增量的策略。
进一步的,所述路径仿真模块用于依据源目的IP地址和端口,分析流量路径,查找路径中需要增加策略的设备。
本发明的有益效果:通过采用网络建模与仿真技术,达到了支持多厂商网络安全设备配置自动采集和分析;支持多种国内外主流厂商的网络安全设备(交换机,路由器,防火墙);二次开发方便,提高了新厂商设备支持效率;提高了网络安全运维人员的工作效率,减少了工作量;定时自动审计网络安全配置,自动生成中文word审计报告;可以独立使用(web界面操作),也可以通过API接口和用户的ITSM系统集成使用。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,根据本发明实施例所述的基于网络建模与仿真技术网络安全设备策略配置分析系统,包括配置解析模块、策略分析模块、策略自动生成模块,其中,
所述配置解析模块用于解析配置文件为数字网络模型,存储所述数字网络模型信息到数据库,包括设备配置自动采集模块、任务快照管理模块;
所述策略分析模块用于获取并分析所述数字网络模型信息,包括策略冗余分析模块、企业策略合规分析模块、策略风险评估模块、策略清理模块、策略优化模块、配置合规审计模块、策略变更审计模块、路径仿真模块;
所述策略自动生成模块用于采用所述数字网络模型获取需要开通策略的设备之间的虚拟路径,自动判断现有路径上的网络安全设备变更情况和变更手段,自动生成对应的配置脚本,自动下发,自动回滚,自动生成策略组合,包括变更申请模块、变更审批模块、变更交验模块、路径分析模块、脚本生成模块、配置下发模块、配置回滚模块。
在本发明的一个具体实施例中,所述设备配置自动采集模块用于利用ssh/telnet自动采集设备的配置信息,包括防火墙设备添加模块、防火墙设备删除模块、防火墙设备修改模块、防火墙策略同步模块、防火墙配置信息备份模块、防火墙配置信息导出模块、防火墙设备信息导出模块。
在本发明的一个具体实施例中,所述任务快照管理模块用于设定若干设备的集合为任务,合成不同时间段采集的配置集合为快照,还用于存档、分析、比较不同时间点配置的差异性,安全和合规性检查差异性。
在本发明的一个具体实施例中,所述策略风险评估模块用于依据行业风险定义,评估配置策略中区域之间的端口策略安全隐患风险。
在本发明的一个具体实施例中,所述策略清理模块用于清理网络中不合理的设备的策略配置。
在本发明的一个具体实施例中,所述策略冗余分析模块用于依据策略定义的要素和策略位置,分析策略的遮盖关系;所述策略优化模块用于依据防火墙收到的日志流量信息,优化设备现有的策略,还用于依据流量信息,给新部署的防火墙策略设计的建议。
在本发明的一个具体实施例中,所述配置合规审计模块用于依据行业的安全配置要求和等保网络安全配置要求,合规性检查网络安全配置。
在本发明的一个具体实施例中,所述策略变更审计模块用于依据企业及行业的安全合规性标准,审计增加的策略。
在本发明的一个具体实施例中,所述企业策略合规分析模块用于依据企业区域之间的IP地址、端口之间的访问正则、企业的安全策略标准,自动分析存量及增量的策略。
在本发明的一个具体实施例中,所述路径仿真模块用于依据源目的IP地址和端口,分析流量路径,查找路径中需要增加策略的设备。
为了方便理解本发明的上述技术方案,以下通过具体使用方式上对本发明的上述技术方案进行详细说明。
本发明通过网络建模与仿真技术将多厂商网络安全设备配置文件解析并抽象成为数字模型,存在数据库中,然后对归一化后的模型进行后续的配置核查,策略分析等:
主要涉及到以下六点:
(1)网络建模与仿真:将不同厂商的配置文件利用python进行归一化处理,在mysql数据库中构建出网络安全设备的通用模型,包括接口,安全策略,路由,交换等不同方面。
(2)策略分析算法:对数万条策略建立索引,快速分析,实现了冗余,冲突,遮盖等情况的分析。
(3)策略自动合并算法:按照‘斑马原则’,在不改变原有策略顺序和效果的前提下,将多条连续的同一个动作(允许/或者拒绝)的策略,按照最优原则进行自动合并,并给出合并后的新策略方案。
(4)策略优化算法:分析海量防火墙日志,自动生成策略组合,用户可以按需选择合适通过率对应的策略,并导出。
(5)关键字搜索:按照搜索引擎的概念,用户可以输入感兴趣的IP地址,关键字等,睿安即可进行全网搜索(在数字模型中实现),将分析结果按照匹配度高低一一列出,这样,便于用户在多厂商的复杂网络模型中,迅速找到感兴趣的关键内容。
(6)策略自动下发:根据多厂商操作系统的不同语法,自动生成能够自动下发的配置脚本,实现了从导入-分析-增量修改-自动下发的全自动流程。
系统功能设计:
本发明主要系统包括,任务/快照管理,自动配置采集,网络建模,策略风险评估,策略清理,策略冗余分析,策略优化,配置合规审计,策略变更审计,企业策略合规分析,路径仿真,报表生成,策略变更工单系统(包括变更申请,审批,校验,路径分析,脚本生成,配置下发,回滚)。除了上述功能,本系统还支持自定义设类型采集,与第三方系统接口,扩展分析功能,以及对现有分析功能的自定义。
具体功能:
(1)信息采集:支持防火墙设备添加、删除、修改;支持设备上线时,手动触发防火墙策略的同步功能;支持防火墙配置信息的备份和导出功能;支持设备信息的导出功能。
(2)2D/3D拓扑推导生成:基于采集的网络设备的CDP,LLDP配置信息,以及网络数据包在设备上留下的ARP,MAC等信息痕迹,自动推导还原出和真实网络拓扑结构一致的虚拟数字化二三层网络拓扑结构。
(3)设备支持:网络安全设备策略读取支持包括华为,华三,中兴,锐捷,思科,瞻博,天融信,网神,启明星辰,联想,山石网科,飞塔,迈普,网康,迪普等主流品牌,支持管理的设备可以是防火墙、交换机、路由器任何一种或者组合。
(4)策略分析:支持防火墙/交换机/路由器ACL的冗余、合并、遮盖情况分析。
(5)支持异构网络设备的策略及相关信息统一展示管理,包括策略、安全域、地址对象、服务对象、接口、VLAN、路由,NAT;支持异构网络设备的策略统一查询;支持分析策略的风险项,重复项,可清理项等。
(6)策略审计:支持路由器/交换机/防火墙的安全基线审计(例如检查无用账号和权限分配、口令加密及定期更换);支持自定义企业合规性分析,支持导出excel报表。
(7)策略自动生成,分析海量防火墙日志,自动生成策略组合,用户可以按需选择合适通过率对应的策略,并导出。
(8)策略变更工单系统:支持内嵌工单系统,分三个角色,需求方,管理员和审批领导。需求方可以提需求,管理员进行规则完善,经睿安自动校验,领导审批后,能够自动下发策略。支持策略路径自动分析,根据源目的IP地址和端口,分析流量路径,找到路径中需要增加策略的设备,并根据不同厂商自动生成脚本,考虑重用现有设备的规则定义。并自动下发配置脚本,并支持自动回滚。提供和第三方网管系统的北向接口,进行自动配置管理任务。
模块功能调用描述:
1.设备配置自动采集:利用ssh/telnet自动采集设备的配置信息。支持防火墙设备添加、删除、修改;支持设备上线时,手动触发防火墙策略的同步功能;支持防火墙配置信息的备份和导出功能;支持设备信息的导出功能。
2.任务快照管理:将多个设备的集合作为一个任务,将每个时间采集的配置合集成为一个快照。可以存档分析比较不同时间点的配置的差异性,并对其进行安全和合规性检查。
3.内置变更申请工单系统:能够对安全策略变更的整个流程进行自动化管理和操作。支持策略路径自动分析,根据源目的IP地址和端口,分析流量路径,找到路径中需要增加策略的设备,并根据不同厂商自动生成脚本,考虑重用现有设备的规则定义。并自动下发配置脚本,并支持自动回滚。提供和第三方网管系统的北向接口,进行自动配置管理任务。
4.数字网络模型:将不同厂商的配置文件利用python进行归一化处理,在mysql数据库中构建出网络安全设备的通用模型,包括接口,安全策略,路由,交换等不同方面。网络安全设备策略读取支持包括华为,华三,中兴,锐捷,思科,瞻博,天融信,网神,启明星辰,联想,山石网科,飞塔,迈普,网康,迪普等主流品牌,支持管理的设备可以是防火墙、交换机、路由器任何一种或者组合。
5.策略风险评估:根据行业风险定义,评估配置策略中区域之间的端口策略是否存在安全隐患。
6.策略清理:显示了网络中哪些设备的策略配置需要被清理,比如重复对象定义,未使用的策略等,可以提高安全设备的处理效率,增强策略安全性。
7.策略冗余分析:根据策略定义的源地址,源端口,目的地址,目的端口,动作等要素,以及策略在策略组中的所在位置,分析当前策略和其他策略的遮盖关系,是否存在冲突/冗余/重复等现象。
8.策略优化:策略优化功能可以根据防火墙收到到日志流量信息,对设备现有的策略进行优化,也可以对一台新部署的防火墙按照流量信息给出策略设计的建议,目的是设计出匹配度较高,策略条数较少,仅允许需要的业务流量通过的策略。
9.配置合规审计:根据行业的安全配置要求,以及等保网络安全配置要求,对网络安全配置进行合规性检查,看是否满足安全基线标准。
10.策略变更审计:在增量策略变更时,考虑所增加的策略是否满足企业以及行业的安全合规性要求。
11.企业策略合规分析:根据企业对不同区域之间的IP地址和端口之间的允许/拒绝访问正则,自动分析存量以及增量的策略是否满足企业的安全策略要求。
12.路径仿真:根据源目的IP地址和端口,分析流量路径,找到路径中需要增加策略的设备。
在具体使用时,如图3所示,
(1)项目初期:了解网络架构,收集设备登录信息,输入至自动策略分析系统;
(2)项目中期:配置采集,配置导入,根据采集的信息,系统进行自动网络建模与仿真,如果有当前未支持的厂商设备,则进行新厂商设备开发匹配整理;
(3)项目测试:对系统功能进行测试验证,包括策略分析,策略下发和审计报告生成。
(4)项目上线:使用培训和正式上线。
综上所述,借助于本发明的上述技术方案,通过采用网络建模与仿真技术,达到了以下效果:
(1)支持多厂商网络安全设备配置自动采集和分析;
(2)支持多种国内外主流厂商的网络安全设备(交换机,路由器,防火墙);
(3)二次开发方便,提高了新厂商设备支持效率;
(4)提高了网络安全运维人员的工作效率,减少了工作量;
(5)定时自动审计网络安全配置,自动生成中文word审计报告;
(6)可以独立使用(web界面操作),也可以通过API接口和用户的ITSM系统集成使用。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。