CN113452715A - 一种防火墙策略的管理方法、系统、设备及可读存储介质 - Google Patents
一种防火墙策略的管理方法、系统、设备及可读存储介质 Download PDFInfo
- Publication number
- CN113452715A CN113452715A CN202110728536.5A CN202110728536A CN113452715A CN 113452715 A CN113452715 A CN 113452715A CN 202110728536 A CN202110728536 A CN 202110728536A CN 113452715 A CN113452715 A CN 113452715A
- Authority
- CN
- China
- Prior art keywords
- policy
- strategy
- firewall
- information
- acquiring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0813—Configuration setting characterised by the conditions triggering a change of settings
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0823—Configuration setting characterised by the purposes of a change of settings, e.g. optimising configuration for enhancing reliability
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
- H04L43/106—Active monitoring, e.g. heartbeat, ping or trace-route using time related information in packets, e.g. by adding timestamps
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Cardiology (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本文提供了一种防火墙策略的管理方法、系统、设备及可读存储介质。方法包括:从防火墙策略中获取第一策略;获取与所述第一策略关联的第一数据;基于所述第一数据判断所述第一策略是否满足第一预设条件;若是,则对所述第一策略进行优化处理。上述管理方法,可以针对性的对于防火墙策略进行优化,整体提升防火墙性能,降低原有防火墙策略的复杂度,为日常防火墙策略的运维提供技术支持和保障。
Description
技术领域
本文涉及信息技术领域,具体涉及一种防火墙策略的管理方法、系统、设备及可读存储介质。
背景技术
防火墙是一个由计算机硬件和软件组成的系统,部署于网络边界,是内部网络和外部网络之间的连接桥梁,同时对进出网络边界的数据进行保护,防止恶意入侵、恶意代码的传播等,保障内部网络数据的安全。通过设置合理且有效的防火墙策略可以实现安全保障的目的。
防火墙策略是由一系列的策略规则组成,规则中主要包含了五种元素(五元组):源地址,目的地址,源端口,目的端口和服务类型等五种基本元素,由这些元素组成的规则设定一些网络通信的数据包在防火墙上所执行的操作。一般操作有两种,允许(permit)和拒绝(deny),决定数据包在经过防火墙时是否可以放行,从而起到保护网络安全的作用。通常一条防火墙策略包含了从创建、更新到关闭的整个策略规则生命周期。在其生命周期的不同阶段会对该防火墙策略进行不同程度的变更。目前,随着网络规模和复杂度提升,防火墙策略也日益庞大,目前网络专业日常运维防火墙策略数量近百万条,针对于防火墙各维度的管理需求也日益迫切。
目前针对防火墙策略的管理较为混乱且复杂,不利于大规模防火墙策略的集中管理。
发明内容
鉴于上述防火墙策略的管理较为混乱且复杂存在问题,提出了本文一以便提供一种克服上述问题或者至少部分地解决上述问题的一种防火墙策略的管理方法、系统、设备及可读存储介质。
依据本文的一个方面,提供一种防火墙策略的管理方法,所述方法包括:
从防火墙策略中获取第一策略;
获取与所述第一策略关联的第一数据;
基于所述第一数据判断所述第一策略是否满足第一预设条件;
若是,则对所述第一策略进行优化处理。
优选的,所述方法还包括:
获取第一优化信息;所述第一优化信息包括:策略跟踪以及策略清理;
基于所述第一优化信息从所述防火墙策略中获取第一策略。
优选的,基于所述第一优化信息从所述防火墙策略中获取第一策略包括:
根据所述第一优化信息获取第一时间节点;
当所述第一优化信息为策略跟踪时,则获取所述第一时间节点之后的所述防火墙策略作为第一策略;
当所述第一优化信息为策略清理时,则获取所述第一时间节点之前的所述防火墙策略作为第一策略。
优选的,所述第一数据至少包括如下之一:策略生效时间、流量日志信息、策略包含关系以及防火墙配置信息。
优选的,当所述第一优化信息为策略跟踪时,基于所述第一数据判断所述第一策略是否满足第一预设条件包括:
获取第一策略对应的防火墙配置信息;
基于所述防火墙配置信息判断所述第一策略是否发生变化;
若是,则获取所述第一策略的策略变更工单信息以对所述第一策略进行优化处理。
优选的,获取所述第一策略的策略变更工单信息包括:
获取第一时段以及第一时段内的防火墙配置信息中的差异配置;
获取所述第一时段内所述第一策略所关联的策略变更工单信息;
将所述差异配置与所述策略变更工单信息进行关联以对所述第一策略进行优化处理。
优选的,当所述第一优化信息为策略清理时,基于所述第一数据判断所述第一策略是否满足第一预设条件包括:
获取第一策略对应的策略生效时间;
判断所述策略生效时间是否位于当前时间范围内;
若是,则清理所述第一策略以对所述第一策略进行优化处理。
优选的,所述方法还包括:
获取第一策略对应的流量日志信息;所述流量日志信息包含所述第一策略的命中次数;
判断所述第一策略的命中次数是否小于命中次数阈值;
若是,则清理所述第一策略以对所述第一策略进行优化处理。
优选的,所述方法还包括:
获取第一策略对应的策略包含关系;
基于所述策略包含关系判断是否有任一第二策略与所述第一策略相互包含;
若是,则优化所述第一策略;其中,当所述第一策略包含在所述第二策略内,清理所述第一策略;
当所述第二策略包含在所述第一策略内,清理所述第二策略。
依据本文的另一个方面,提供一种防火墙策略的管理系统,所述系统包括:
策略获取单元,用于从防火墙策略中获取第一策略;
数据获取单元,用于获取与所述第一策略关联的第一数据;
判断单元,用于基于所述第一数据判断所述第一策略是否满足第一预设条件;
优化单元,用于若是,则对所述第一策略进行优化处理。
依据本文的另一个方面,提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述任一项的方法。
依据本文的另一个方面,提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行上述任一项的方法。
本文上述实施例所述的管理方法,对于防火墙策略进行优化,可以整体提升防火墙性能,降低原有防火墙策略的复杂度,为日常防火墙策略的运维提供技术支持和保障。
上述说明仅是本文一技术方案的概述,为了能够更清楚了解本文一的技术手段,而可依照说明书的内容予以实施,并且为了让本文一的上述和其它目的、特征和优点能够更明显易懂,以下特举本文一的具体实施方式。
附图说明
为了更清楚地说明本文一实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本文一的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本文实施例中一种防火墙策略的管理方法流程示意图;
图2为本文实施例中第一策略的变更过程以及策略变更工单信息示意图;
图3为本文实施例中一种防火墙策略的管理系统结构示意图;
图4为本文实施例中一种计算机设备结构示意图。
【附图标记说明】
301、策略获取单元;
302、数据获取单元;
303、判断单元;
304、优化单元;
1002、计算机设备;
1004、处理器;
1006、存储器;
1008、驱动机构;
1010、输入/输出模块;
1012、输入设备;
1014、输出设备;
1016、呈现设备;
1018、图形用户接口;
1020、网络接口;
1022、通信链路;
1024、通信总线。
具体实施方式
下面将结合本文一实施例中的附图,对本文一实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本文一部分实施例,而不是全部的实施例。基于本文一中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本文保护的范围。
本文一实施例提供一种防火墙策略的管理方法,主要采用python开发技术,分布式文件存储数据库技术进行建模,以建立各数据间的关联关系,且以下实施例中的各项数据/信息均采用规范化、格式化以及标准化的解析记录,定期进行解析入库。
如图1所示,所述方法包括:
步骤101,从防火墙策略中获取第一策略;
步骤102,获取与所述第一策略关联的第一数据;
步骤103,基于所述第一数据判断所述第一策略是否满足第一预设条件;
步骤104,若是,则对所述第一策略进行优化处理。
本文上述实施例所述的管理方法,对于防火墙策略进行优化,可以整体提升防火墙性能,降低原有防火墙策略的复杂度,为日常防火墙策略的运维提供技术支持和保障。
具体的实施例中,所述第一策略为防火墙策略中需要进行优化处理的策略。其中,第一策略可以是从特定范围的防火墙策略中选择而出,也可以是从全部防火墙策略中选择而出,可以实现满足不同的管理需求。
较佳的,第一数据是与所获取的第一策略关联的数据之一或多个,根据不同的管理需求选择一个或多个第一数据,并在后续的步骤中基于该第一数据判断所对应的第一策略是否满足第一预设条件。
具体的,不同的第一数据对应不同的第一预设条件,因此本文一实施例中,当获取第一数据后,便确定了所要比对的第一预设条件,因此可以根据该第一数据所对应的第一策略是否满足第一预设条件作为后续进行策略优化处理的先决条件。当满足该先决条件时,意味着已经达到了需要对第一策略进行优化处理的阈值,那么后续直接对该第一策略进行优化处理;当不满足该先决条件时,意味着尚未达到对该第一策略进行优化处理的阈值,目前无需对该第一策略进行优化处理;基于上述判断过程可以灵活实现防火墙策略的管理。具体的实施例中,优化处理可以是删除该第一策略,或合并策略,又或者基于该第一策略获得更多关联信息并进行与该第一策略进行关联,以将繁杂的防火墙策略条理化、简洁化。
本文一实施例所述的一种防火墙策略的管理方法,较佳的,所述方法还包括:
获取第一优化信息;所述第一优化信息包括:策略跟踪以及策略清理;
基于所述第一优化信息从所述防火墙策略中获取第一策略。
具体的,原有的防火墙策略的管理方式主要存在如下几个问题:1)防火墙策略缺乏轨迹(变更轨迹和配置轨迹)跟踪,无法追溯变更的整个过程;2)防火墙策略日益堆积问题严重,存在很多无效策略,例如过期策略、长期未命中策略、冗余策略等,这些无效策略的堆积会严重干扰防火墙策略的管理,并降低管理效率。因此本文一实施例中,通过第一优化信息,选择不同的管理策略,并根据不同的管理策略进行信息的加工、关联、分析、输出等,例如策略跟踪以及策略清理的管理,以便于根据不同的第一优化信息解决所需要的管理问题,有选择性的提升防火墙的性能。当第一优化信息为策略跟踪时,则根据该策略跟踪的第一优化信息获取需要进行策略跟踪的第一策略;当第一优化信息为策略清理时,则根据该策略清理的第一优化信息获取可能需要进行策略清理的第一策略,这样根据不同的第一优化信息可以分别进行不同的策略管理。
优选的,所述管理方法还包括:先对所述第一策略进行策略清理;再对已进行策略清理并仍然存在的第一策略进行策略跟踪以进一步对所有策略实现深度管理。
本文一实施例所述的一种防火墙策略的管理方法,较佳的,基于所述第一优化信息从所述防火墙策略中获取第一策略包括:
根据所述第一优化信息获取第一时间节点;
当所述第一优化信息为策略跟踪时,则获取所述第一时间节点之后的所述防火墙策略作为第一策略;
当所述第一优化信息为策略清理时,则获取所述第一时间节点之前的所述防火墙策略作为第一策略。
具体的实施例中,通过时间节点来划分不同的策略管理方法。例如,对于较新的防火墙策略首先考虑进行策略跟踪的管理方法;而对于过往的防火墙策略首先考虑进行策略清理的管理方法。在另一较佳的实施例中,可以对过往的防火墙策略进行策略清理后且保留下来的第一策略再次进行策略跟踪的管理方法。
本文一实施例所述的一种防火墙策略的管理方法,较佳的,所述第一数据至少包括如下之一:策略生效时间、流量日志信息、策略包含关系以及防火墙配置信息。在本文一具体的实施例中,策略的管理方法建立在第一数据来源的基础上,对第一数据进行标准化、格式化、统一化解析并进行关联建模应用,以便于进行统一管理。具体的,第一数据主要用于在进行策略管理中作为是否需要优化的判断标准,也就是第一数据会实质性影响其所对应的第一策略的内容,进而通过判断该第一数据所对应的第一策略是否满足第一预设条件,便可确定是否需要对第一策略进行优化处理,也即对防火墙策略进行管理。例如,当第一数据影响到所述第一测量满足第一预设条件,那么即需要对所述第一策略进行优化处理。在本文一上述实施例中,第一数据包含策略生效时间、流量日志信息、策略包含关系以及防火墙配置信息之一或多个,但并不仅局限于本文一实施例所列举的几项。具体的,策略生效时间是指防火墙策略中有些是按照时间段设置的,换言之,如果第一策略包含有时间戳形式的策略生效时间,那么意味着该第一测量只会在时间戳所对应的策略生效时间范围内有效,超出该策略生效时间范围内,该第一测量即为失效,可以确定为无效策略,因此可以通过策略生效时间判断某一具体的第一策略是否为无效策略。所谓流量日志信息为traffic-log信息用于记录防火墙策略命中事件的日志信息,即当第一策略命中时,流量日志信息便会对命中事件进行记录,第一策略命中的次数越多,流量日志信息中记录的次数也随之增多,也意味着该第一策略较为重要;相反的,第一策略命中的次数越少,流量日志信息中记录的次数也少,意味着该第一策略长期未命中,可以确定为无效策略。策略包含关系为任意两个防火墙策略之间相互包含,例如,第一策略包含在第二策略内,即第一策略为第二策略中的某一具体策略;或者第二策略包含在第一策略内,上述两种方式均可视为策略之间具有包含关系。可以看出,此种情况下实际上造成了防火墙策略的冗余,因此其中被包含的位于下位的防火墙策略可以确定为无效策略。防火墙配置信息记录了防火墙策略的每一次变动,例如记录着一个防火墙策略从创建、更新到关闭的整个生命周期。因此从防火墙配置信息中可以获取防火墙的变动信息,进而根据防火墙策略的变动信息实现防火墙策略的跟踪以及回溯。
本文一实施例所述的一种防火墙策略的管理方法,较佳的,当所述第一优化信息为策略跟踪时,基于所述第一数据判断所述第一策略是否满足第一预设条件包括:
获取第一策略对应的防火墙配置信息。
基于所述防火墙配置信息判断所述第一策略是否发生变化。
具体的实施例中,一条防火墙策略的防火墙配置信息记载了该防火墙策略在某一时刻的配置内容,因此只要第一策略发生变更,那么在变更发生后,该防火墙策略的防火墙配置信息也会相应改变,本步骤即获取该第一策略在过去任一时刻或者当前时刻所对应的防火墙配置信息。例如,比对任何两个时间点的配置信息中的配置差异,从而实现防火墙策略全生命周期的跟踪。
若是,则获取所述第一策略的策略变更工单信息以对所述第一策略进行优化处理。具体的,防火墙策略从创建到每次更新,以及最终关闭的整个策略生命周期,任何一次变更都会生成相应的策略变更工单。如图2所示,为第一策略变更周期内对应的n次变更,包括创建201、第一更新202、第二更新203、……以及关闭204;相应的,每次变更都对应该次变更的策略变更工单信息,例如SD1、SD2、……SDn,所述变更过程与策略变更工单信息一一对应,换言之,只要第一策略发生变更,就会生成一条对应的策略变更工单信息。因此基于变更的第一策略获取其所对应的全部策略变更工单信息,可以明确该第一策略的是如何变更的,以及每一步骤的变更发生了何种变化,实现准确的变更回溯和跟踪可以在满足审计需求的同时,更好的帮助工单需求申请回溯原始需求,实现逐条防火墙策略的整个生命周期的管理。
在一具体的实施例中,包括如下程序:
从上述具体的示例中可以看出,一条名为23654的防火墙策略发生了更新,增加了一个目的IP地址为:89.34.15.26,该变更关联了策略变更工单信息SD5。
本文一实施例所述的一种防火墙策略的管理方法,较佳的,获取所述第一策略的策略变更工单信息包括:
获取第一时段以及第一时段内的防火墙配置信息中的差异配置;具体的实施例中,第一时段至少包含两个不同的时间节点,即第一时间节点以及第二时间节点,该第一时段可以是以现在时刻为基础的过去n个小时。进一步,比对过去n个小时中防火墙配置信息的差异配置。
获取所述第一时段内所述第一策略所关联的策略变更工单信息;
将所述差异配置与所述策略变更工单信息进行关联以对所述第一策略进行优化处理。具体的,获取第一时段内所述第一策略所关联的全部策略变更工单信息,其中,差异配置和策略变更工单信息可一一对应也可以不对应,例如进行变更后又恢复原有配置时,无法确定防火墙策略是否发生变化,因为防火墙配置信息没有产生任何变化,但是此时存在至少两条策略变更工单信息。
较佳的实施例中,获取第一时段内全部策略变更工单信息;根据所述策略变更工单信息中的工单方案按照防火墙名称进行分类合并处理以获得同一防火墙的策略变更工单信息,并将该防火墙的防火墙策略变更工单信息与同一防火墙的差异配置进行关联以实现变更回溯和轨迹跟踪。具体的方案中,将该防火墙的防火墙策略变更工单信息与同一防火墙的差异配置进行关联的具体步骤为:对每条差异配置在第一时段内的所有策略变更工单信息进行遍历,获取该差异配置所关联的策略变更工单信息。
本文一实施例所述的一种防火墙策略的管理方法,较佳的,当所述第一优化信息为策略清理时,基于所述第一数据判断所述第一策略是否满足第一预设条件包括:
获取第一策略对应的策略生效时间;
判断所述策略生效时间是否位于当前时间范围内;
若是,则清理所述第一策略以对所述第一策略进行优化处理。
具体的实施例中,不同的防火墙策略有不同的时间戳策略格式,首先根据格式模板输出所有带有时间戳的防火墙策略的规则清单,并与当前时间进行对比,得到已过期的策略清单。
上述第一策略a1,策略生效时间为2020/7/30 00:00到2020/8/31 23:45,判定其策略生效时间在当前时间范围内,即截止时间已经过期,则定义为无效过期策略。
较佳的实施例中,Python的时间模块可以很轻易的将字符串数据转换为时间类型的数据,并进一步转化为整型数据,从而可以批量的针对大量的含时间戳是规则进行是否过期的判断,大大的提升了效率。
本文一实施例所述的一种防火墙策略的管理方法,较佳的,所述方法还包括:
获取第一策略对应的流量日志信息;所述流量日志信息记录所述第一策略的命中次数;
判断所述第一策略的命中次数是否小于命中次数阈值;
若是,则清理所述第一策略以对所述第一策略进行优化处理。
具体的实施例中,在防火墙策略的运维过程中,随着服务器节点的置换,下线或者需求的变更,一些历史开通的防火墙策略不在继续使用,防火墙上堆积了一些大量的不再用的防火墙策略。针对当前防火墙上的每条防火墙策略都有流量日志信息,包含了策略命中次数,也即匹配次数的记录。例如,当防火墙上创建一个新的TCP会话,命中第一防火墙策略时,该第一策略的命中记录数据就会累加并记录在流量日志信息中。获取一定时间段内的第一策略的命中数据,并对命中数据进行统计分析后经过差值处理,可以确定命中率低或者长期未命中策略清单,进而根据该清单可以对所述第一策略进行优化处理。
本文一实施例所述的一种防火墙策略的管理方法,较佳的,所述方法还包括:
获取第一策略对应的策略包含关系;
基于所述策略包含关系判断是否有任一第二策略与所述第一策略相互包含;
若是,则优化所述第一策略;其中,当所述第一策略包含在所述第二策略内,清理所述第一策略;
当所述第二策略包含在所述第一策略内,清理所述第二策略。
具体的实施例中,随着日常防火墙策略的运维复杂度提升,以及单日处理防火墙策略的测量变更工单信息的大量增加,每日都需要对防火墙配置信息进行多次的添加、修改和删除操作。在管理过程中,无形中产生了大量的冗余策略,需要对防火墙策略进行集中分析,检测并消除冗余策略,而冗余策略的检测和识别一直以来都是一个难点。下述具体的示例中包含了两条防火墙策略的策略包含关系,即其中一条防火墙策略是另一条防火墙策略的冗余策略,需要对冗余策略进行优化。
可以看到,除目的地址外,第一策略P1以及第二策略P2的其他四元素都相同,且P2的目的地址包含在P1的目的地址所包含的网段里,则第二策略P2相对于第一策略P1是冗余策略,即策略包含关系为第二策略包含在第一策略内,因此可以清理所述第二策略以实现防火墙策略的优化。
较佳的实施例中,在实际的防火墙策略运维过程中,大部分的冗余策略是建立在IP地址冗余的基础上的,则策略的冗余检测需要转化成IP地址冗余的检测即包含关系。为了更好获取多个策略间的IP地址包含关系,需要对IP地址进行格式转换。IP地址一般的表示形式为点分十进制,例如P2中的目的地址105.35.23.6,其实际上可以根据点分,为4个8位的二进制数,即32位。
点分十进制:105.35.23.6,
32位二进制:01101001.00100011.00010111.00000110,
32位2进制转换成十进制数为,即1*2^31+1*2^30+1*2^28+……+1*2^1=1763907334,那么P1中的目的地址是一个最后一位数不确定性的子网网段,代表着105.35.23.0-255,那么转换后的数据为1763907328-1763907583,P2里面的目的地址数落在该数区间里,P1包含P2,因此判定P2是P1的冗余策略。
具体的,对于一台防火墙上的全量策略,逐条对每条策略里面的地址进行格式转换,运用区间数据的关系判断转化后的数据的包含关系,根据包含关系,得出冗余策略。该算法的伪代码如下:
For each p in R do
Pr←IntTranslate(p)
For each r in PR do
If then
L.append(r)
Break
在本发明另一较佳的实施例中,冗余策略判断的过程中,在防火墙上规则的匹配是按照‘自上而下’,即优先级的顺序进行匹配的,优先级较高的策略被优先级较低的策略所包含,那么则认为该条策略是不能被删除的。
根据本发明上述具体实施例所述的防火墙策略的管理方法,可以实现防火墙策略集中管理,优化策略,降低复杂性,提升防火墙性能;对历史策略实现变更跟踪,实现变更可回溯和防火墙配置可跟踪,为日常运维提供技术支持。
本文一实施例还提供一种防火墙策略的管理系统,如图3所示,所述系统包括:
策略获取单元301,用于从防火墙策略中获取第一策略;
数据获取单元302,用于获取与所述第一策略关联的第一数据;
判断单元303,用于基于所述第一数据判断所述第一策略是否满足第一预设条件;
优化单元304,用于若是,则对所述第一策略进行优化处理。
本文一实施例中,如图4所示,还提供一种计算机设备,计算机设备1002可以包括一个或多个处理器1004,诸如一个或多个中央处理单元(CPU),每个处理单元可以实现一个或多个硬件线程。计算机设备1002还可以包括任何存储器1006,其用于存储诸如代码、设置、数据等之类的任何种类的信息。非限制性的,比如,存储器1006可以包括以下任一项或多种组合:任何类型的RAM,任何类型的ROM,闪存设备,硬盘,光盘等。更一般地,任何存储器都可以使用任何技术来存储信息。进一步地,任何存储器可以提供信息的易失性或非易失性保留,存储器1006上存储有可在处理器1004上运行的计算机程序,处理器1004执行计算机程序时实现前述任一实施例所述的方法。进一步地,任何存储器可以表示计算机设备1002的固定或可移除部件。在一种情况下,当处理器1004执行被存储在任何存储器或存储器的组合中的相关联的指令时,计算机设备1002可以执行相关联指令的任一操作。计算机设备1002还包括用于与任何存储器交互的一个或多个驱动机构1008,诸如硬盘驱动机构、光盘驱动机构等。
计算机设备1002还可以包括输入/输出模块1010(I/O),其用于接收各种输入(经由输入设备1012)和用于提供各种输出(经由输出设备1014))。一个具体输出机构可以包括呈现设备1016和相关联的图形用户接口(GUI)1018。在其他实施例中,还可以不包括输入/输出模块1010(I/O)、输入设备1012以及输出设备1014,仅作为网络中的一台计算机设备。计算机设备1002还可以包括一个或多个网络接口1020,其用于经由一个或多个通信链路1022与其他设备交换数据。一个或多个通信总线1024将上文所描述的部件耦合在一起。
通信链路1022可以以任何方式实现,例如,通过局域网、广域网(例如,因特网)、点对点连接等、或其任何组合。通信链路1022可以包括由任何协议或协议组合支配的硬连线链路、无线链路、路由器、网关功能、名称服务器等的任何组合。
本文一实施例还提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述具体实施例中的任一项方法。
本文一实施例还提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行上述任一实施例所述的防火墙策略的管理方法。
本文一实施例还提供一种计算机可读指令,其中当处理器执行所述指令时,其中的程序使得处理器执行上述任一实例所述的防火墙策略的管理方法。
应理解,在本文一的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本文一实施例的实施过程构成任何限定。
还应理解,在本文一实施例中,术语“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系。例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文一中字符“/”,一般表示前后关联对象是一种“或”的关系。
本领域普通技术人员可以意识到,结合本文一中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本文一的范围。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接,也可以是电的,机械的或其它的形式连接。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本文一实施例方案的目的。
另外,在本文一各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本文一的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本文一各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本文一中应用了具体实施例对本文一的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本文一的方法及其核心思想;同时,对于本领域的一般技术人员,依据本文一的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本文一的限制。
Claims (12)
1.一种防火墙策略的管理方法,其特征在于,所述方法包括:
从防火墙策略中获取第一策略;
获取与所述第一策略关联的第一数据;
基于所述第一数据判断所述第一策略是否满足第一预设条件;
若是,则对所述第一策略进行优化处理。
2.根据权利要求1所述的一种防火墙策略的管理方法,其特征在于,所述方法还包括:
获取第一优化信息;所述第一优化信息包括:策略跟踪以及策略清理;
基于所述第一优化信息从所述防火墙策略中获取第一策略。
3.根据权利要求2所述的一种防火墙策略的管理方法,其特征在于,基于所述第一优化信息从所述防火墙策略中获取第一策略包括:
根据所述第一优化信息获取第一时间节点;
当所述第一优化信息为策略跟踪时,则获取所述第一时间节点之后的所述防火墙策略作为第一策略;
当所述第一优化信息为策略清理时,则获取所述第一时间节点之前的所述防火墙策略作为第一策略。
4.根据权利要求2所述的一种防火墙策略的管理方法,其特征在于,所述第一数据至少包括如下之一:策略生效时间、流量日志信息、策略包含关系以及防火墙配置信息。
5.根据权利要求4所述的一种防火墙策略的管理方法,其特征在于,当所述第一优化信息为策略跟踪时,基于所述第一数据判断所述第一策略是否满足第一预设条件包括:
获取第一策略对应的防火墙配置信息;
基于所述防火墙配置信息判断所述第一策略是否发生变化;
若是,则获取所述第一策略的策略变更工单信息以对所述第一策略进行优化处理。
6.根据权利要求5所述的一种防火墙策略的管理方法,其特征在于,获取所述第一策略的策略变更工单信息包括:
获取第一时段以及第一时段内的防火墙配置信息中的差异配置;
获取所述第一时段内所述第一策略所关联的策略变更工单信息;
将所述差异配置与所述策略变更工单信息进行关联以对所述第一策略进行优化处理。
7.根据权利要求4所述的一种防火墙策略的管理方法,其特征在于,当所述第一优化信息为策略清理时,基于所述第一数据判断所述第一策略是否满足第一预设条件包括:
获取第一策略对应的策略生效时间;
判断所述策略生效时间是否位于当前时间范围内;
若是,则清理所述第一策略以对所述第一策略进行优化处理。
8.根据权利要求7所述的一种防火墙策略的管理方法,其特征在于,所述方法还包括:
获取第一策略对应的流量日志信息;所述流量日志信息包含所述第一策略的命中次数;
判断所述第一策略的命中次数是否小于命中次数阈值;
若是,则清理所述第一策略以对所述第一策略进行优化处理。
9.根据权利要求7所述的一种防火墙策略的管理方法,其特征在于,所述方法还包括:
获取第一策略对应的策略包含关系;
基于所述策略包含关系判断是否有任一第二策略与所述第一策略相互包含;
若是,则优化所述第一策略;其中,当所述第一策略包含在所述第二策略内,清理所述第一策略;
当所述第二策略包含在所述第一策略内,清理所述第二策略。
10.一种防火墙策略的管理系统,其特征在于,所述系统包括:
策略获取单元,用于从防火墙策略中获取第一策略;
数据获取单元,用于获取与所述第一策略关联的第一数据;
判断单元,用于基于所述第一数据判断所述第一策略是否满足第一预设条件;
优化单元,用于若是,则对所述第一策略进行优化处理。
11.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现上述权利要求1-9中任一项的方法。
12.一种计算机可读存储介质,其特征在于,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行上述权利要求1-9任一项的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110728536.5A CN113452715B (zh) | 2021-06-29 | 2021-06-29 | 一种防火墙策略的管理方法、系统、设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110728536.5A CN113452715B (zh) | 2021-06-29 | 2021-06-29 | 一种防火墙策略的管理方法、系统、设备及可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113452715A true CN113452715A (zh) | 2021-09-28 |
| CN113452715B CN113452715B (zh) | 2023-06-09 |
Family
ID=77813958
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110728536.5A Active CN113452715B (zh) | 2021-06-29 | 2021-06-29 | 一种防火墙策略的管理方法、系统、设备及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113452715B (zh) |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104135461A (zh) * | 2013-05-02 | 2014-11-05 | 中国移动通信集团河北有限公司 | 一种防火墙策略处理的方法及装置 |
| US20160191466A1 (en) * | 2014-12-30 | 2016-06-30 | Fortinet, Inc. | Dynamically optimized security policy management |
| CN108418801A (zh) * | 2018-02-01 | 2018-08-17 | 杭州安恒信息技术股份有限公司 | 一种基于大数据分析的防火墙策略优化方法及系统 |
| CN108933791A (zh) * | 2018-07-09 | 2018-12-04 | 国网山东省电力公司信息通信公司 | 一种基于电力信息网安全防护策略智能优化方法及装置 |
| CN111786949A (zh) * | 2020-05-22 | 2020-10-16 | 山东鲁能软件技术有限公司 | 防火墙安全策略自动适配系统及方法 |
| CN111917660A (zh) * | 2020-06-22 | 2020-11-10 | 中盈优创资讯科技有限公司 | 网关设备策略的优化方法及装置 |
| CN111988273A (zh) * | 2020-07-07 | 2020-11-24 | 国网思极网安科技(北京)有限公司 | 一种防火墙策略管理方法及装置 |
| CN112118249A (zh) * | 2020-09-11 | 2020-12-22 | 江苏云柜网络技术有限公司 | 基于日志和防火墙的安全防护方法及装置 |
| CN112367211A (zh) * | 2021-01-13 | 2021-02-12 | 武汉思普崚技术有限公司 | 一种设备命令行生成配置模板方法、装置及存储介质 |
| US20210084013A1 (en) * | 2019-09-13 | 2021-03-18 | Oracle International Corporation | Method and apparatus for autonomous firewall rule management |
-
2021
- 2021-06-29 CN CN202110728536.5A patent/CN113452715B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104135461A (zh) * | 2013-05-02 | 2014-11-05 | 中国移动通信集团河北有限公司 | 一种防火墙策略处理的方法及装置 |
| US20160191466A1 (en) * | 2014-12-30 | 2016-06-30 | Fortinet, Inc. | Dynamically optimized security policy management |
| CN108418801A (zh) * | 2018-02-01 | 2018-08-17 | 杭州安恒信息技术股份有限公司 | 一种基于大数据分析的防火墙策略优化方法及系统 |
| CN108933791A (zh) * | 2018-07-09 | 2018-12-04 | 国网山东省电力公司信息通信公司 | 一种基于电力信息网安全防护策略智能优化方法及装置 |
| US20210084013A1 (en) * | 2019-09-13 | 2021-03-18 | Oracle International Corporation | Method and apparatus for autonomous firewall rule management |
| CN111786949A (zh) * | 2020-05-22 | 2020-10-16 | 山东鲁能软件技术有限公司 | 防火墙安全策略自动适配系统及方法 |
| CN111917660A (zh) * | 2020-06-22 | 2020-11-10 | 中盈优创资讯科技有限公司 | 网关设备策略的优化方法及装置 |
| CN111988273A (zh) * | 2020-07-07 | 2020-11-24 | 国网思极网安科技(北京)有限公司 | 一种防火墙策略管理方法及装置 |
| CN112118249A (zh) * | 2020-09-11 | 2020-12-22 | 江苏云柜网络技术有限公司 | 基于日志和防火墙的安全防护方法及装置 |
| CN112367211A (zh) * | 2021-01-13 | 2021-02-12 | 武汉思普崚技术有限公司 | 一种设备命令行生成配置模板方法、装置及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113452715B (zh) | 2023-06-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111737101B (zh) | 基于大数据的用户行为监测方法、装置、设备及介质 | |
| JP2549220B2 (ja) | 報告メッセージを相関させる方法及び装置 | |
| CN109379390B (zh) | 一种基于全流量的网络安全基线生成方法 | |
| CN111752795A (zh) | 一种全流程监控报警平台及其方法 | |
| US9697058B2 (en) | Method, computer program and apparatus for controlling access to a computer resource and obtaining a baseline therefor | |
| US20100082531A1 (en) | Log managing apparatus, log managing system, log managing method and log managing program | |
| WO2023071761A1 (zh) | 一种异常定位方法及装置 | |
| CN105099916A (zh) | 开放流路由交换设备及其对数据报文的处理方法 | |
| CN116415206B (zh) | 运营商多数据融合方法、系统、电子设备及计算机存储介质 | |
| CN111522821A (zh) | 维度表数据存储方法、装置、计算机设备及存储介质 | |
| CN110377576A (zh) | 创建日志模板的方法和装置、日志分析方法 | |
| Li et al. | A lightweight intrusion detection model based on feature selection and maximum entropy model | |
| US7587513B1 (en) | Efficient storage of network and application data | |
| CN113452715B (zh) | 一种防火墙策略的管理方法、系统、设备及可读存储介质 | |
| CN115514579B (zh) | 基于IPv6地址映射流标签实现业务标识的方法及系统 | |
| CN114531306B (zh) | 一种基于威胁行为的实时检测方法与系统 | |
| US11838171B2 (en) | Proactive network application problem log analyzer | |
| CN108270599B (zh) | 一种基于snmp协议的数据解析处理方法及系统 | |
| CN114416492A (zh) | 联网设备安全监控方法、装置、电子设备及存储介质 | |
| JP7294443B2 (ja) | 情報流通システム、監視装置及び情報流通方法 | |
| CN110727538B (zh) | 一种基于模型命中概率分布的故障定位系统及方法 | |
| CN113971500A (zh) | 一种数据细分管理方法、装置及数据管理平台 | |
| CN115794563B (zh) | 一种系统审计日记的降噪方法、装置、设备及可读介质 | |
| CN113064597B (zh) | 一种冗余代码的识别方法、装置和设备 | |
| JP7435744B2 (ja) | 識別方法、識別装置及び識別プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |