CN112637179B - 防火墙策略分析方法、装置、设备及存储介质 - Google Patents
防火墙策略分析方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN112637179B CN112637179B CN202011501080.0A CN202011501080A CN112637179B CN 112637179 B CN112637179 B CN 112637179B CN 202011501080 A CN202011501080 A CN 202011501080A CN 112637179 B CN112637179 B CN 112637179B
- Authority
- CN
- China
- Prior art keywords
- analysis
- firewall
- policy
- analysis result
- dynamic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于通信技术领域,公开了一种防火墙策略分析方法、装置、设备及存储介质。该方法包括获取通过防火墙的数据包,对数据包进行动态分析,获得动态分析结果;获取防火墙对应的待优化访问控制列表策略和预设的静态分析逻辑,并根据静态分析逻辑对待优化访问控制列表策略进行分析,获得静态分析结果;对动态分析结果和静态分析结果进行预处理,获得防火墙策略分析结果。由于本发明是根据动态分析结果和静态分析结果共同获得防火墙策略分析结果,相对于现有的未匹配检测和策略冗余检查获得防火墙策略分析结果的方式,本发明上述方式获得的防火墙策略分析结果更加精确和全面。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种防火墙策略分析方法、装置、设备及存储介质。
背景技术
用户在管理配置防火墙过程中,经常会需要根据业务部门需求不断地去配置设备的访问控制列表策略(Access Control Lists,ACL),随着使用时间的增长,访问控制列表策略越来越多,策略管理混乱所带来的暴露面增加问题也越来越严重地威胁用户的网络安全,目前业界在网络防火墙上的已有的策略优化方案较为简单,只能做到基本的未匹配检测和策略冗余检查,无法满足用户深度优化策略的需求。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供了一种防火墙策略分析方法、装置、设备及存储介质,旨在解决现有的未匹配检测和策略冗余检查获得的防火墙策略分析结果不够全面和准确的技术问题。
为实现上述目的,本发明提供了一种防火墙策略分析方法,所述方法包括以下步骤:
获取通过防火墙的数据包,对所述数据包进行动态分析,获得动态分析结果;
获取所述防火墙对应的待优化访问控制列表策略和预设的静态分析逻辑,并根据所述静态分析逻辑对所述待优化访问控制列表策略进行分析,获得静态分析结果;
对所述动态分析结果和所述静态分析结果进行预处理,获得防火墙策略分析结果。
优选地,所述获取通过防火墙的数据包,对所述数据包进行动态分析,获得动态分析结果的步骤之前,还包括:
检测预设动态流量分析引擎是否开启;
在所述预设动态流量分析引擎开启时,执行所述获取通过防火墙的数据包,对所述数据包进行动态分析,获得动态分析结果的步骤。
优选地,所述检测预设动态流量分析引擎是否开启的步骤之后,还包括:
在所述预设动态流量分析引擎关闭时,获取所述防火墙对应的待优化访问控制列表策略和预设的静态分析逻辑,根据所述静态分析逻辑对所述待优化访问控制列表策略进行分析,获得静态分析结果;
对所述静态分析结果进行预处理,获得防火墙策略分析结果。
优选地,所述获取通过防火墙的数据包,对所述数据包进行动态分析,获得动态分析结果的步骤,包括:
获取通过防火墙的数据包;
对所述数据包进行动态流量分析,获得动态流量分析结果;
根据所述动态流量分析结果对所述数据包进行流量策略对比分析,获得流量策略对比分析结果;
将所述流量策略对比分析结果作为动态分析结果。
优选地,所述对所述数据包进行动态流量分析,获得动态流量分析结果的步骤,包括:
获取动态流量分析策略以及所述数据包对应的五元组信息;
根据所述动态流量分析策略和所述五元组信息对所述数据包进行分类,获得分类结果;
根据所述分类结果对所述数据包进行压缩,获得动态流量分析结果。
优选地,所述根据所述动态流量分析结果对所述数据包进行流量策略对比分析,获得流量策略对比分析结果的步骤,包括:
根据所述动态流量分析结果对所述数据包进行资产分析,获得资产分析结果;
读取所述资产分析结果中包含的活跃服务器IP信息和活跃端口信息;
根据所述活跃服务器IP信息和活跃端口信息获得对应的策略活跃信息;
将所述策略活跃信息作为流量策略对比分析结果。
优选地,所述对所述静态分析结果和所述动态分析结果进行预处理,获得防火墙策略分析结果的步骤,包括:
根据所述静态分析结果和所述动态分析结果确定策略风险问题;
根据预设的风险维度对所述策略风险问题进行聚类划分,获得聚类划分结果;
根据所述聚类划分结果,生成策略优化报告;
将所述策略优化报告作为防火墙策略分析结果。
此外,为实现上述目的,本发明还提供一种防火墙策略分析装置,其特征在于,所述防火墙策略分析装置包括动态分析模块、静态分析模块和预处理模块;
所述动态分析模块,用于获取通过防火墙的数据包,对所述数据包进行动态分析,获得动态分析结果;
所述静态分析模块,用于获取所述防火墙对应的待优化访问控制列表策略和预设的静态分析逻辑,并根据所述静态分析逻辑对所述待优化访问控制列表策略进行分析,获得静态分析结果;
所述预处理模块,用于对所述动态分析结果和所述静态分析结果进行预处理,获得防火墙策略分析结果。
此外,为实现上述目的,本发明还提出一种防火墙策略分析设备,其特征在于,所述防火墙策略分析设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的防火墙策略分析程序,所述防火墙策略分析程序被所述处理器执行时实现如上文所述的防火墙策略分析方法的步骤。
此外,为实现上述目的,本发明还提出一种存储介质,其特征在于,所述存储介质为计算机可读存储介质,所述存储介质上存储有防火墙策略分析程序,所述防火墙策略分析程序被处理器执行时实现如上文所述的防火墙策略分析方法的步骤。
本发明通过获取通过防火墙的数据包,对数据包进行动态分析,获得动态分析结果;获取防火墙对应的待优化访问控制列表策略和预设的静态分析逻辑,并根据静态分析逻辑对待优化访问控制列表策略进行分析,获得静态分析结果;对动态分析结果和静态分析结果进行预处理,获得防火墙策略分析结果。由于本发明是根据动态分析结果和静态分析结果共同获得防火墙策略分析结果,相对于现有的未匹配检测和策略冗余检查获得防火墙策略分析结果的方式,本发明上述方式获得的防火墙策略分析结果更加精确和全面。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的防火墙策略分析设备的结构示意图;
图2为本发明防火墙策略分析方法第一实施例的流程示意图;
图3为本发明防火墙策略分析方法第一实施例中逻辑分析示意图;
图4为本发明防火墙策略分析方法第二实施例的流程示意图;
图5为本发明防火墙策略分析方法第三实施例的流程示意图;
图6为本发明防火墙策略分析方法第四实施例的流程示意图;
图7为本发明防火墙策略分析装置第一实施例的结构框图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的防火墙策略分析设备结构示意图。
如图1所示,该防火墙策略分析设备可以包括:处理器1001,例如中央处理器(Central Processing Unit,CPU),通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(WIreless-FIdelity,WI-FI)接口)。存储器1005可以是高速的随机存取存储器(RandomAccess Memory,RAM)存储器,也可以是稳定的非易失性存储器(Non-Volatile Memory,NVM),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的结构并不构成对防火墙策略分析设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种存储介质的存储器1005中可以包括操作系统、数据存储模块、网络通信模块、用户接口模块以及防火墙策略分析程序。
在图1所示的防火墙策略分析设备中,网络接口1004主要用于与网络服务器进行数据通信;用户接口1003主要用于与用户进行数据交互;本发明防火墙策略分析设备中的处理器1001、存储器1005可以设置在防火墙策略分析设备中,所述防火墙策略分析设备通过处理器1001调用存储器1005中存储的防火墙策略分析程序,并执行本发明实施例提供的防火墙策略分析方法。
基于上述防火墙策略分析模块,本发明实施例提供了一种防火墙策略分析方法,参照图2,图2为本发明防火墙策略分析方法第一实施例的流程示意图。
本实施例中,所述防火墙策略分析方法包括以下步骤:
步骤S10:获取通过防火墙的数据包,对所述数据包进行动态分析,获得动态分析结果。
需要说明的是,本实施例的执行主体可以是一种具有网络通信以及程序运行的计算服务设备,例如策略分析模块等。以下以所述策略分析模块为例,对本实施例及下述各实施例进行说明。
其中,防火墙的功能可以是及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题。
应理解的是,所述通过防火墙的数据包可以是数据传输中经过防火墙的数据包,所述动态分析可以是动态流量分析和\或流量策略对比分析,所述动态流量分析可以是获取所述数据包的流量信息,根据所述流量信息对所述数据包进行流量信息分析,所述流量策略对比分析可以是获取所述数据包的流量信息和所述数据包对应的策略信息,根据所述流量信息和所述策略信息对所述数据包进行分析。
在具体实施中,策略分析模块获取通过防火墙的数据包,对所述数据包进行动态流量分析和\或流量策略对比分析,获得动态分析结果。
步骤S20:获取所述防火墙对应的待优化访问控制列表策略和预设的静态分析逻辑,并根据所述静态分析逻辑对所述待优化访问控制列表策略进行分析,获得静态分析结果。
需要说明的是,所述预设的静态分析逻辑可以是多时间维度分析逻辑、布尔分析逻辑、新增策略分析逻辑、策略启禁用分析逻辑等可用于分析防火墙策略的分析逻辑,例如,布尔分析逻辑可以根据策略和策略之间的关系,可以分析出相关、归纳、组合、冗余、影子五种异常策略问题。所述防火墙对应的待优化访问控制列表策略为防火墙内置的访问控制列表策略,可以是除防火墙必备的访问控制列表策略以外的所有策略,也可以是防火墙内置的所有策略,本实施例在此不加以限制。
应理解的是,所述根据所述静态分析逻辑对所述待优化访问控制列表策略进行分析中,由于静态分析逻辑不止一种,所以对所述待优化访问控制列表策略进行分析时,可以采用其中一种进行分析,也可以同时采用多种逻辑进行分析,本实施例在此不加以限制。
在具体实施中,策略分析模块获取所述防火墙对应的待优化访问控制列表策略和预设的静态分析逻辑,所述预设的静态分析逻辑可以是一个或多个,根据预设的一个或多个静态分析逻辑对所述待优化访问控制列表策略进行逻辑分析,获得分析后的结果,例如,如图3所示,图3为本发明防火墙策略分析方法第一实施例中逻辑分析示意图,待优化访问控制列表策略Policy_A和Policy_B,根据布尔分析逻辑对Policy_A和Policy_B进行分析,如果
和Policy_B动作相同,则判定Policy_A是Policy_B的冗余;Policy_A和Policy_B属于冗余异常,此时删除Policy_A,策略整体的分析结果不受影响,相应的,如图3所示,待优化访问控制列表策略Policy_C和Policy_D为部分冗余;待优化访问控制列表策略Policy_E和Policy_F为不冗余策略。
步骤S30:对所述动态分析结果和所述静态分析结果进行预处理,获得防火墙策略分析结果。
需要说明的是,所述预处理可以是对所述动态分析结果和所述静态分析结果进行归纳总结,可以是取所述动态分析结果和所述静态分析结果的交集部分或者是并集作为防火墙策略分析结果,也可以是根据其他的方式获得防火墙策略分析结果,本实施例在此不加以限制。
其中,所述防火墙策略分析结果可以是以图表或者标记的方式展示给用户的策略分析结果。例如,在动态分析结果中Policy_A是不常用的策略,在静态分析结果中,Policy_B是冗余策略,则在防火墙策略分析结果映射表中,Policy_A和Policy_B在映射表对应的位置处显示是可删除策略。
在具体实施中,获取所述动态分析结果和所述静态分析结果,对所述动态分析结果和所述静态分析结果进行分析处理,获得防火墙策略分析结果。
本实施例获取通过防火墙的数据包,对数据包进行动态分析,获得动态分析结果;获取防火墙对应的待优化访问控制列表策略和预设的静态分析逻辑,并根据静态分析逻辑对待优化访问控制列表策略进行分析,获得静态分析结果;对动态分析结果和静态分析结果进行预处理,获得防火墙策略分析结果。由于本实施例是根据动态分析结果和静态分析结果共同获得防火墙策略分析结果,相对于现有的未匹配检测和策略冗余检查获得防火墙策略分析结果的方式,本实施例上述方式获得的防火墙策略分析结果更加精确和全面。
参考图4,图4为本发明防火墙策略分析方法第二实施例的流程示意图。
基于上述第一实施例,在本实施例中,所述步骤S10包括:
步骤S101:获取通过防火墙的数据包。
在具体实施中,策略分析模块获取通过防火墙的数据包。
步骤S102:对所述数据包进行动态流量分析,获得动态流量分析结果。
需要说明的是,所述动态流量分析可以是根据动态流量分析策略和五元组信息对所述数据包分析。其中,所述五元组信息可以是源IP地址,源端口,目的IP地址,目的端口和传输层协议信息,所述动态流量分析策略可以是防火墙内置的用来获得数据包五元组信息的访问控制列表策略。
应理解的是,对所述数据包进行动态流量分析可以是获取动态流量分析策略以及所述数据包对应的五元组信息,根据所述动态流量分析策略和所述五元组信息对所述数据包进行分类,获得分类结果,根据所述分类结果对所述数据包进行标记式压缩,获得动态流量分析结果。所述标记式压缩为对数据包进行标记后再压缩,所述标记可以为压缩后压缩包的文件名或压缩后压缩包文件所在的文件夹中的其他标记,本实施例在此不加以限制。
在具体实施中,策略分析模块获取防火墙内置的动态流量分析策略,根据所述动态流量分析策略对所述数据包进行分析,获得数据包的五元组信息,根据所述五元组信息对所述数据包进行分类,获得分类结果,根据所述分类结果对数据包进行标记式压缩,例如,根据动态流量分析策略对A、B、C和D数据包进行分析后,得到了A、B、C和D数据包的五元组信息,其中,B、C和D数据包的五元组信息全部相同,即B、C和D数据包对应的源IP地址,源端口,目的IP地址,目的端口和传输层协议全部相同,则将所述B、C和D归为第一类,A归为第二类,将B、C和D数据包进行标记式压缩,其中,对数据包进行分类的依据不一定是五元组信息完全相同,可以是五元组信息中的一个或几个相同即可,例如,将五元组信息中目的IP地址相同的数据包归为一类,或者是将五元组信息中目的IP地址和目的端口相同的数据包归为一类,本实施例在此不加以限制。
步骤S103:根据所述动态流量分析结果对所述数据包进行流量策略对比分析,获得流量策略对比分析结果。
需要说明的是,所述流量策略对比分析可以是对所述数据包对应的策略信息进行分析。
其中,所述策略信息为数据包对应的服务器IP信息和端口信息对应的策略信息。所述服务器IP信息和所述端口信息为所述数据包对应的服务器IP信息和端口信息。
应理解的是,用户在管理配置防火墙过程中,经常会需要根据业务部门需求去配置访问控制列表策略,例如在某些接口配置特定的访问控制列表策略,用于控制用户对网络的访问,进行有效的分区隔离。根据所述数据包的五元组信息可以找到对应的服务器IP信息和端口信息,进而获取到所述服务器IP信息和端口信息对应的访问控制列表策略,根据所述服务器IP信息和端口信息的活跃使用情况,可以获得对应的访问控制列表策略的活跃使用信息,若活跃使用信息中,该策略使用频率低于预设阈值,可以判定该策略为可删除策略。
在具体实施中,策略分析模块根据所述动态流量分析结果对所述数据包进行资产分析,获得资产分析结果,所述资产分析结果包括活跃服务器IP信息和活跃端口信息,根据所述活跃服务器IP信息和活跃端口信息获得对应的策略活跃信息,根据策略活跃信息判定该策略是否为可删除或保留策略,也可以采用预先标记的方式标记该策略的使用情况,本实施例在此不加以限制。
例如,在流量策略对比分析,获得A服务器和B服务器的活跃使用频率依次是1和30,A服务器对应的策略是Policy_A,相应的,B服务器对应的策略是Policy_B,则Policy_A可以标记为常用策略,Policy_B可以标记为不常用策略或可删除策略。对策略的处理方式本实施例在此不加以限制。
步骤S104:将所述流量策略对比分析结果作为动态分析结果。
本实施例获取通过防火墙的数据包,对所述数据包进行动态流量分析,获得动态流量分析结果,根据所述动态流量分析结果对所述数据包进行流量策略对比分析,获得流量策略对比分析结果,将所述流量策略对比分析结果作为动态分析结果。本实施是根据动态分析获得防火墙策略分析结果,相对于现有的未匹配检测和策略冗余检查获得防火墙策略分析结果的方式,本实施例获得的防火墙策略分析结果更加精确和全面。
参考图5,图5为本发明防火墙策略分析方法第三实施例的流程示意图。
基于上述各实施例,在本实施例中,所述步骤S30,包括:
步骤S301:根据所述静态分析结果和所述动态分析结果确定策略风险问题。
·需要说明的是,所述策略风险问题可以是访问控制列表的问题,例如,策略的不完善问题、策略端口范围过宽、临时用途的防火墙策略使用后不能及时回收、策略的冗余问题和存在对危险端口放行的问题等,本实施例在此不做限制。
在具体实施中,策略分析模块根据所述静态分析结果和所述动态分析结果对策略风险问题进行归纳,总结出来目前存在的策略风险问题。
步骤S302:根据预设的风险维度对所述策略风险问题进行聚类划分,获得聚类划分结果。
需要说明的是,所述预设的风险维度可以是策略问题对用户造成危险的严重程度,所述聚类划分可以是对风险问题根据所述风险维度进行类别划分。
应理解的是,所述预设的风险维度可以按照策略问题对用户造成危险的严重程度来划分,可以划分为高、中和低三种维度,分别对应策略的高风险、中风险和低风险。本实施例在此不做限制,例如,临时用途的防火墙策略使用后不能及时回收的问题和策略的冗余问题可以划分为低风险,策略端口范围过宽可以划分为中风险,存在对危险端口放行的问题可以划分为高风险。
在具体实施中,策略分析模块根据预设的风险维度对步骤S302总结的策略风险问题进行划分,得到三类策略风险问题,即聚类划分的结果,可以采用图表或者报告的形式进行展示,例如,用扇形图分别展示几种维度对应的风险问题的比例,用表格展示策略问题和对应的风险维度等,本实施例在此不加以限制。
步骤S303:根据所述聚类划分结果,生成策略优化报告,将所述策略优化报告作为防火墙策略分析结果。
需要说明的是,所述策略优化报告可以是对策略风险问题进行优化的方式和策略对应的映射关系表。
应理解的是,例如,在目标终端上,使用户可以直接点击某条策略看到与该策略相关的信息和待处理的问题和风险,并展示对应的处理建议。
在具体实施中,防火墙可以提供基于策略的策略优化方法,并采用可视化的逻辑示意图和处理建议展示给用户,使用户可以根据自己需求处置对应的风险问题。
本实施例根据所述静态分析结果和所述动态分析结果确定策略风险问题,根据预设的风险维度对所述策略风险问题进行聚类划分,获得聚类划分结果,根据所述聚类划分结果,生成策略优化报告,将所述策略优化报告作为防火墙策略分析结果,并且提供了基于策略的策略优化方法,使用户可以根据自己需求处置对应的风险问题。
参考图6,图6为本发明防火墙策略分析方法第四实施例的流程示意图。
基于上述各实施例,提出本发明防火墙策略分析方法第四实施例。
在本实施例中,在所述步骤S10之前,还包括:
步骤S01:检测预设动态流量分析引擎是否开启。
需要说明的是,所述动态流量分析引擎可以是对所述防火墙策略进行动态分析的软件和\或硬件设备。
应理解的是,所述动态流量分析引擎开启,即对所述防火墙策略进行动态的分析,在所述动态流量分析引擎未开启时,则不对所述防火墙策略进行动态分析。
在具体实施中,策略分析模块接收到要开始进行防火墙策略分析的指令后,检测动态流量分析引擎是否开启,也可以进一步的检测动态流量分析引擎是否故障。
步骤S02:在所述预设动态流量分析引擎开启时,获取通过防火墙的数据包,对所述数据包进行动态分析,获得动态分析结果。
应理解的是,在所述预设动态流量分析引擎开启时,即执行所述获取通过防火墙的数据包,对所述数据包进行动态分析,获得动态分析结果,此时,对防火墙的策略分析是采用的动态分析和静态分析结合的方式。
在具体实施中,策略分析模块在所述预设动态流量分析引擎开启时,执行所述获取通过防火墙的数据包,对所述数据包进行动态分析,获得动态分析结果,此时,采用的是动态分析和静态分析结合的方式获得防火墙策略分析结果。
步骤S03:在所述预设动态流量分析引擎关闭时,获取所述防火墙对应的待优化访问控制列表策略和预设的静态分析逻辑,根据所述静态分析逻辑对所述待优化访问控制列表策略进行分析,获得静态分析结果。
需要说明的是,在所述预设动态流量分析引擎关闭时,即获取所述防火墙对应的待优化访问控制列表策略和预设的静态分析逻辑,根据所述静态分析逻辑对所述待优化访问控制列表策略进行分析,获得静态分析结果,此时,对防火墙的策略分析是静态分析的方式。
在具体实施中,策略分析模块在所述预设动态流量分析引擎关闭时,执行所述获取所述防火墙对应的待优化访问控制列表策略和预设的静态分析逻辑,根据所述静态分析逻辑对所述待优化访问控制列表策略进行分析,获得静态分析结果的步骤,此时,采用的是静态分析的方式获得防火墙策略分析结果。
本实施例通过检测预设动态流量分析引擎是否开启,进而判断防火墙策略分析的方式,可以采用静态分析的方式获得防火墙策略分析结果,也可以采用动态分析和静态分析结合的方式获得防火墙策略分析结果,根据具体的环境判断所否需要动态检测,可以减少策略分析模块的工作。
参照图7,图7为本发明防火墙策略分析装置第一实施例的结构框图。
如图7所示,本发明实施例提出的防火墙策略分析装置包括动态分析模块、静态分析模块和预处理模块;
所述动态分析模块401,用于获取通过防火墙的数据包,对所述数据包进行动态分析,获得动态分析结果;
所述静态分析模块402,用于获取所述防火墙对应的待优化访问控制列表策略和预设的静态分析逻辑,并根据所述静态分析逻辑对所述待优化访问控制列表策略进行分析,获得静态分析结果;
所述预处理模块403,用于对所述动态分析结果和所述静态分析结果进行预处理,获得防火墙策略分析结果。
在本实施例中,通过获取通过防火墙的数据包,对数据包进行动态分析,获得动态分析结果;获取防火墙对应的待优化访问控制列表策略和预设的静态分析逻辑,并根据静态分析逻辑对待优化访问控制列表策略进行分析,获得静态分析结果;对动态分析结果和静态分析结果进行预处理,获得防火墙策略分析结果。由于本实施例是根据动态分析结果和静态分析结果共同获得防火墙策略分析结果,相对于现有的未匹配检测和策略冗余检查获得防火墙策略分析结果的方式,本实施例上述方式获得的防火墙策略分析结果更加精确和全面。
本发明防火墙策略分析装置的其他实施例或具体实现方式可参照上述各方法实施例,此处不再赘述。
此外,本发明实施例还提出一种存储介质,所述存储介质上存储有防火墙策略分析程序,所述防火墙策略分析程序被处理器执行时实现如上文所述的防火墙策略分析方法的步骤。
此外,本发明实施例还提出一种防火墙策略分析设备,所述防火墙策略分析设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的防火墙策略分析程序,所述防火墙策略分析程序被所述处理器执行时实现上文所述的防火墙策略分析方法的步骤。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如只读存储器/随机存取存储器、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (9)
1.一种防火墙策略分析方法,其特征在于,所述方法包括以下步骤:
获取通过防火墙的数据包,对所述数据包进行动态分析,获得动态分析结果;
获取所述防火墙对应的待优化访问控制列表策略和预设的静态分析逻辑,并根据所述静态分析逻辑对所述待优化访问控制列表策略进行分析,获得静态分析结果,所述待优化访问控制列表策略包括:除防火墙必备的访问控制列表策略以外的所有策略或防火墙内置的所有策略,所述静态分析逻辑包括:多时间维度分析逻辑、布尔分析逻辑、新增策略分析逻辑以及策略启禁用分析逻辑中的至少一种;
对所述动态分析结果和所述静态分析结果进行预处理,获得防火墙策略分析结果;
其中,所述获取通过防火墙的数据包,对所述数据包进行动态分析,获得动态分析结果的步骤,包括:
获取通过防火墙的数据包;
对所述数据包进行动态流量分析,获得动态流量分析结果;
根据所述动态流量分析结果对所述数据包进行流量策略对比分析,获得流量策略对比分析结果;
将所述流量策略对比分析结果作为动态分析结果。
2.如权利要求1所述的防火墙策略分析方法,其特征在于,所述获取通过防火墙的数据包,对所述数据包进行动态分析,获得动态分析结果的步骤之前,还包括:
检测预设动态流量分析引擎是否开启;
在所述预设动态流量分析引擎开启时,执行所述获取通过防火墙的数据包,对所述数据包进行动态分析,获得动态分析结果的步骤。
3.如权利要求2所述的防火墙策略分析方法,其特征在于,所述检测预设动态流量分析引擎是否开启的步骤之后,还包括:
在所述预设动态流量分析引擎关闭时,获取所述防火墙对应的待优化访问控制列表策略和预设的静态分析逻辑,根据所述静态分析逻辑对所述待优化访问控制列表策略进行分析,获得静态分析结果;
对所述静态分析结果进行预处理,获得防火墙策略分析结果。
4.如权利要求1所述的防火墙策略分析方法,其特征在于,所述对所述数据包进行动态流量分析,获得动态流量分析结果的步骤,包括:
获取动态流量分析策略以及所述数据包对应的五元组信息;
根据所述动态流量分析策略和所述五元组信息对所述数据包进行分类,获得分类结果;
根据所述分类结果对所述数据包进行压缩,获得动态流量分析结果。
5.如权利要求1所述的防火墙策略分析方法,其特征在于,所述根据所述动态流量分析结果对所述数据包进行流量策略对比分析,获得流量策略对比分析结果的步骤,包括:
根据所述动态流量分析结果对所述数据包进行资产分析,获得资产分析结果;
读取所述资产分析结果中包含的活跃服务器IP信息和活跃端口信息;
根据所述活跃服务器IP信息和活跃端口信息获得对应的策略活跃信息;
将所述策略活跃信息作为流量策略对比分析结果。
6.如权利要求1所述的防火墙策略分析方法,其特征在于,所述对所述静态分析结果和所述动态分析结果进行预处理,获得防火墙策略分析结果的步骤,包括:
根据所述静态分析结果和所述动态分析结果确定策略风险问题;
根据预设的风险维度对所述策略风险问题进行聚类划分,获得聚类划分结果;
根据所述聚类划分结果,生成策略优化报告;
将所述策略优化报告作为防火墙策略分析结果。
7.一种防火墙策略分析装置,其特征在于,所述防火墙策略分析装置包括动态分析模块、静态分析模块和预处理模块;
所述动态分析模块,用于获取通过防火墙的数据包,对所述数据包进行动态分析,获得动态分析结果;
所述静态分析模块,用于获取所述防火墙对应的待优化访问控制列表策略和预设的静态分析逻辑,并根据所述静态分析逻辑对所述待优化访问控制列表策略进行分析,获得静态分析结果,所述待优化访问控制列表策略包括:除防火墙必备的访问控制列表策略以外的所有策略或防火墙内置的所有策略,所述静态分析逻辑包括:多时间维度分析逻辑、布尔分析逻辑、新增策略分析逻辑以及策略启禁用分析逻辑中的至少一种;
所述预处理模块,用于对所述动态分析结果和所述静态分析结果进行预处理,获得防火墙策略分析结果;
所述静态分析模块,还用于获取通过防火墙的数据包;对所述数据包进行动态流量分析,获得动态流量分析结果;根据所述动态流量分析结果对所述数据包进行流量策略对比分析,获得流量策略对比分析结果;将所述流量策略对比分析结果作为动态分析结果。
8.一种防火墙策略分析设备,其特征在于,所述防火墙策略分析设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的防火墙策略分析程序,所述防火墙策略分析程序被所述处理器执行时实现如权利要求1至6中任一项所述的防火墙策略分析方法的步骤。
9.一种存储介质,其特征在于,所述存储介质为计算机可读存储介质,所述存储介质上存储有防火墙策略分析程序,所述防火墙策略分析程序被处理器执行时实现如权利要求1至6中任一项所述的防火墙策略分析方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011501080.0A CN112637179B (zh) | 2020-12-17 | 2020-12-17 | 防火墙策略分析方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011501080.0A CN112637179B (zh) | 2020-12-17 | 2020-12-17 | 防火墙策略分析方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112637179A CN112637179A (zh) | 2021-04-09 |
| CN112637179B true CN112637179B (zh) | 2022-11-22 |
Family
ID=75316955
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011501080.0A Active CN112637179B (zh) | 2020-12-17 | 2020-12-17 | 防火墙策略分析方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112637179B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114051248B (zh) * | 2021-11-04 | 2023-10-03 | 北京安云世纪科技有限公司 | 基于沙盒的防火墙实现方法、系统、存储介质及计算机设备 |
| CN114024765B (zh) * | 2021-11-15 | 2022-07-22 | 北京智维盈讯网络科技有限公司 | 基于旁路流量与防火墙配置相结合的防火墙策略收敛方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106230771A (zh) * | 2016-07-07 | 2016-12-14 | 国网青海省电力公司 | 基于多核处理器的工业控制系统工业防火墙 |
| CN107211000A (zh) * | 2014-11-26 | 2017-09-26 | 里德爱思唯尔股份有限公司雷克萨斯尼克萨斯分公司 | 用于实现隐私防火墙的系统和方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2594020C (en) * | 2004-12-22 | 2014-12-09 | Wake Forest University | Method, systems, and computer program products for implementing function-parallel network firewall |
| US8874766B2 (en) * | 2012-03-09 | 2014-10-28 | Mcafee, Inc. | System and method for flexible network access control policies in a network environment |
| CN105791213B (zh) * | 2014-12-18 | 2020-01-10 | 华为技术有限公司 | 一种策略优化装置及方法 |
| US9894100B2 (en) * | 2014-12-30 | 2018-02-13 | Fortinet, Inc. | Dynamically optimized security policy management |
| CN109587124B (zh) * | 2018-11-21 | 2021-08-03 | 国家电网有限公司 | 电力网络的处理方法、装置和系统 |
| CN111988273A (zh) * | 2020-07-07 | 2020-11-24 | 国网思极网安科技(北京)有限公司 | 一种防火墙策略管理方法及装置 |
-
2020
- 2020-12-17 CN CN202011501080.0A patent/CN112637179B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107211000A (zh) * | 2014-11-26 | 2017-09-26 | 里德爱思唯尔股份有限公司雷克萨斯尼克萨斯分公司 | 用于实现隐私防火墙的系统和方法 |
| CN106230771A (zh) * | 2016-07-07 | 2016-12-14 | 国网青海省电力公司 | 基于多核处理器的工业控制系统工业防火墙 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112637179A (zh) | 2021-04-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112637179B (zh) | 防火墙策略分析方法、装置、设备及存储介质 | |
| US11368432B2 (en) | Network containment of compromised machines | |
| US6542508B1 (en) | Policy engine using stream classifier and policy binding database to associate data packet with appropriate action processor for processing without involvement of a host processor | |
| US20230308488A1 (en) | Core services detection for a segmented network environment | |
| TWI396995B (zh) | 惡意軟體清除方法、系統及電腦程式產品與儲存媒體 | |
| US20110302648A1 (en) | Anti-malware system and operating method thereof | |
| CN113691455A (zh) | 路由调度方法、装置、设备及可读存储介质 | |
| US9773116B2 (en) | Automated local exception rule generation system, method and computer program product | |
| US8132164B1 (en) | System, method and computer program product for virtual patching | |
| CN112637223B (zh) | 应用协议识别方法、装置、计算机设备和存储介质 | |
| US20210014255A1 (en) | Method and device for intrusion detection in a computer network | |
| CN112287340B (zh) | 用于终端攻击的取证溯源方法、装置、计算机设备 | |
| US20210014257A1 (en) | Method and device for intrusion detection in a computer network | |
| CN113672416A (zh) | 内存资源泄漏的原因定位方法及装置 | |
| US20110209215A1 (en) | Intelligent Network Security Resource Deployment System | |
| CN114584391B (zh) | 异常流量处理策略的生成方法、装置、设备及存储介质 | |
| CN115766175A (zh) | 网络入侵检测方法和电子设备 | |
| US11729188B2 (en) | Method and device for intrusion detection in a computer network | |
| CN114707144A (zh) | 虚拟机逃逸行为检测方法及装置 | |
| CN111125701B (zh) | 文件检测方法、设备、存储介质及装置 | |
| US20220237303A1 (en) | Attack graph processing device, method, and program | |
| CN112671845A (zh) | 数据处理方法、装置、电子设备、存储介质及云端系统 | |
| US8484246B2 (en) | Discoverable applicability of dynamically deployable software modules | |
| CN111259391B (zh) | 文件恶意评分方法、装置、设备及计算机可读存储介质 | |
| US20240089293A1 (en) | Automated Security Rule Updates Based On Alert Feedback |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |