CN114024765A - 基于旁路流量与防火墙配置相结合的防火墙策略收敛方法 - Google Patents
基于旁路流量与防火墙配置相结合的防火墙策略收敛方法 Download PDFInfo
- Publication number
- CN114024765A CN114024765A CN202111344481.4A CN202111344481A CN114024765A CN 114024765 A CN114024765 A CN 114024765A CN 202111344481 A CN202111344481 A CN 202111344481A CN 114024765 A CN114024765 A CN 114024765A
- Authority
- CN
- China
- Prior art keywords
- firewall
- policy
- data flow
- matching
- quintuple
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种基于旁路流量与防火墙配置相结合的防火墙策略收敛方法、装置、控制系统和可读存储介质,通过通过旁路根据预设数据流方向识别条件采集并分析网络流量,记录每一个IP通讯对的五元组信息并保存在数据流表中;并对所述数据流中的每一条数据流五元组进行防火墙策略匹配,获取所匹配的防火墙策略ID并更新所述数据流表;从更新后的所述数据流表中获取IP通讯对命中结果,根据所述命中结果收敛所述防火墙策略。本发明基于旁路流量与防火墙配置结合,用于判断每一个IP通讯对是否命中防火墙策略,从而可以记录防火墙每一条策略所命中的所有五元组信息,进而基于命中记录来收敛防火墙策略。
Description
技术领域
本公开涉及网络安全通信技术领域,尤其涉及一种基于旁路流量与防火墙配置相结合的防火墙策略收敛方法、装置、控制系统和可读存储介质。
背景技术
防火墙作为保障网络安全的第一道屏障,也是信息安全的重要一环。防火墙是通过策略来管理、限制访问的,如果防火墙的策略过于宽泛,会导致错误放行威胁、攻击行为,从而失去防护效果,引发重大安全风险。精细化管理防火墙策略,收紧防火墙的宽泛策略已经成为网络安全管理的关键任务。
现有的防火墙策略收敛的技术,均采用防火墙日志结合防火墙策略的机制。这种机制下,要求防火墙用日志记录所有通讯对的五元组信息,并记录这些五元组命中哪条策略,这导致防火墙消耗大量资源来处理非关键事项,必然导致防火墙的性能大大下降,甚至导致防火墙功能失效。已经有不少用户反映,因为开启防火墙策略日志,导致防火墙失效,导致业务中断的事件。为了减少开启日志对性能的消耗,有用户尝试每次只开启一条策略日志,这种方式下,虽然可以降低防火墙失效的风险,但是会导致策略收敛这个任务变得遥遥无期,因为每次收敛一条策略需要至少3个月时间。一般防火墙存在许多需要收敛的策略,采用日志结合策略的方式变得难以执行。采用日志来收敛策略还存在另外一个风险:防火墙日志不完整,在高速网络环境下,防火墙的日志无法全部记录所有五元组,数据不完整,必然导致收敛错误,不仅影响收敛的效率,而且进一步增加策略错误的风险。综上所述,采用防火墙日志结合配置来收敛防火墙策略存在以下问题:
影响防火墙性能,可能导致业务故障;
效率低,每次收敛1条策略,使得策略收敛因为时间过长,变得无法执行;
数据不完整,导致收敛出错,影响业务。
发明内容
有鉴于此,本公开提出了一种基于旁路流量与防火墙配置相结合的防火墙策略收敛方法,利用旁路采集的通讯五元组数据,将其余防火墙策略配置关联,生成每一条IP通讯对对应的防火墙策略,可应用于防火墙策略收敛。本发明基于旁路流量与防火墙配置结合,用于判断每一个IP通讯对是否命中防火墙策略,从而可以记录防火墙每一条策略所命中的所有五元组信息,进而基于命中记录来收敛防火墙策略,具备以下优势:防火墙无需开启日志,不影响防火墙性能;完整的五元组数据,避免导致策略收敛错误;可一次性对所有策略进行收敛,大大提升收敛速度。
根据本公开的一方面,提供了一种基于旁路流量与防火墙配置相结合的防火墙策略收敛方法,包括如下步骤:
S100、获取并解析防火墙配置信息;
S200、通过旁路根据预设数据流方向识别条件和解析信息采集并分析网络流量,记录每一个IP通讯对的五元组信息并保存在数据流表中;
S300、预设策略匹配条件,并对所述数据流中的每一条数据流五元组进行防火墙策略匹配,获取所匹配的防火墙策略ID并更新所述数据流表;
S400、从更新后的所述数据流表中获取IP通讯对命中结果,根据所述命中结果收敛所述防火墙策略。
作为本申请的一种可实施方案,优选地,在步骤S100中,所述解析防火墙配置信息,包括:
S110、解析所述防火墙配置信息并获取防火墙策略解析信息;以及,
S120、将所述防火墙策略解析信息格式化处理,获取格式化策略;以及,
S130、将所述格式化策略使用到的地址/应用解析到预设指定的目的端IP和端口。
作为本申请的一种可实施方案,优选地,在步骤S200中,所述通过旁路根据预设数据流方向识别条件采集并分析网络流量,包括:
S210、获取防火墙策略解析信息;以及,
S220、根据预设策略顺序将所述防火墙策略解析信息中的防火墙策略自动生成策略序号;以及,
S230、将所述目的端IP和端口按照所述策略序号生成用于所述数据流中IP五元组通讯对的方向识别的服务端列表,根据所述服务端列表采集并分析网络流量。
作为本申请的一种可实施方案,优选地,在步骤S300中,所述对所述数据流中的每一条数据流五元组进行防火墙策略匹配,包括:
S310、根据所述服务端列表,识别判断所述数据流中的IP五元组的方向是否确定;以及,
S320、在所述数据流中的IP五元组的方向确定时,采用客户端作为源地址、服务端作为目的地址直接进行防火墙匹配;以及,
S330、在所述数据流中的IP五元组的方向不确定时,采用双向匹配方式,包括:第一步,用客户端IP、服务端IP、服务端口对应的源IP、目的IP和应用进行第一次匹配;第二步,用服务端IP、客户端IP、客户端端口对应的源IP、目的IP和应用进行第二次匹配;第三步,将两次匹配结果序号最小的防火墙策略作为命中策略并记录在所述数据流表中。
根据本公开的另一方面,还提供了一种基于旁路流量与防火墙配置相结合的防火墙策略收敛装置,包括:
解析模块:用于获取并解析防火墙配置信息;
旁路流量采集模块:用于通过旁路根据预设数据流方向识别条件采集并分析网络流量,记录每一个IP通讯对的五元组信息并保存在数据流表中;
策略匹配模块:用于预设策略匹配条件,并对所述数据流中的每一条数据流五元组进行防火墙策略匹配,获取所匹配的防火墙策略ID并更新所述数据流表;
收敛模块:用于从更新后的所述数据流表中获取IP通讯对命中结果,根据所述命中结果收敛所述防火墙策略。
作为本申请的一种可实施方案,优选地,所述解析模块包括:
防火墙策略解析模块:用于解析所述防火墙配置信息并获取防火墙策略解析信息;以及,
格式化模块:用于将所述防火墙策略解析信息格式化处理,获取格式化策略;以及,
解析端口:用于将所述格式化策略使用到的地址/应用解析到预设指定的目的端IP和端口。
作为本申请的一种可实施方案,优选地,所述旁路流量采集模块包括:
解析信息获取模块:用于获取防火墙策略解析信息;以及,
策略序号生成模块:用于根据预设策略顺序将所述防火墙策略解析信息中的防火墙策略自动生成策略序号;以及,
服务端列表识别模块:用于将所述目的端IP和端口按照所述策略序号生成用于所述数据流中IP五元组通讯对的方向识别的服务端列表,根据所述服务端列表采集并分析网络流量。
作为本申请的一种可实施方案,优选地,所述策略匹配模块包括:用于预设策略匹配条件,并对所述数据流中的每一条数据流五元组进行防火墙策略匹配,获取所匹配的防火墙策略ID并更新所述数据流表;
IP五元组方向确定模块:用于根据所述服务端列表,识别判断所述数据流中的IP五元组的方向是否确定;以及,
第一匹配模块:用于在所述数据流中的IP五元组的方向确定时,采用客户端作为源地址、服务端作为目的地址直接进行防火墙匹配;以及,
第二匹配模块:用于在所述数据流中的IP五元组的方向不确定时,采用双向匹配方式,包括:第一步,用客户端IP、服务端IP、服务端口对应的源IP、目的IP和应用进行第一次匹配;第二步,用服务端IP、客户端IP、客户端端口对应的源IP、目的IP和应用进行第二次匹配;第三步,将两次匹配结果序号最小的防火墙策略作为命中策略并记录在所述数据流表中。
根据本公开的另一方面,还提供了一种控制系统,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为执行所述可执行指令时实现上述所述的基于旁路流量与防火墙配置相结合的防火墙策略收敛方法。
根据本公开的另一方面,还提供了一种非易失性计算机可读存储介质,其上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现上述所述的基于旁路流量与防火墙配置相结合的防火墙策略收敛方法。
本申请的技术效果:
本发明通过旁路根据预设数据流方向识别条件采集并分析网络流量,记录每一个IP通讯对的五元组信息并保存在数据流表中;并对所述数据流中的每一条数据流五元组进行防火墙策略匹配,获取所匹配的防火墙策略ID并更新所述数据流表;从更新后的所述数据流表中获取IP通讯对命中结果,根据所述命中结果收敛所述防火墙策略。能够利用旁路采集的通讯五元组数据,将其余防火墙策略配置关联,生成每一条IP通讯对对应的防火墙策略,可应用于防火墙策略收敛。本发明基于旁路流量与防火墙配置结合,用于判断每一个IP通讯对是否命中防火墙策略,从而可以记录防火墙每一条策略所命中的所有五元组信息,进而基于命中记录来收敛防火墙策略,具备以下优势:防火墙无需开启日志,不影响防火墙性能;完整的五元组数据,避免导致策略收敛错误;可一次性对所有策略进行收敛,大大提升收敛速度。
根据下面参考附图对示例性实施例的详细说明,本公开的其它特征及方面将变得清楚。
附图说明
包含在说明书中并且构成说明书的一部分的附图与说明书一起示出了本公开的示例性实施例、特征和方面,并且用于解释本公开的原理。
图1示出为本发明基于旁路流量与防火墙配置相结合的防火墙策略收敛方法的实施流程示意图;
图2示出为本发明防火墙策略收敛的硬/软件系统的组成结构示意图;
图3示出为本发明数据流和防火墙策略的数据流动态示意图。
具体实施方式
以下将参考附图详细说明本公开的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面,但是除非特别指出,不必按比例绘制附图。
在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。
另外,为了更好的说明本公开,在下文的具体实施方式中给出了众多的具体细节。本领域技术人员应当理解,没有某些具体细节,本公开同样可以实施。在一些实例中,对于本领域技术人员熟知的方法、手段、元件和电路未作详细描述,以便于凸显本公开的主旨。
实施例1
如图1所示,公开了一种基于旁路流量与防火墙配置相结合的防火墙策略收敛方法,包括如下步骤:
S100、获取并解析防火墙配置信息;
本实施例,主要利用旁路采集的通讯五元组数据,将其余防火墙策略配置关联,生成每一条IP通讯对对应的防火墙策略,可应用于防火墙策略收敛。
如图2所示,为本发明的硬/软件系统,包括交换机、防火墙设备以及流量采集探针,流量采集探针用于采集旁路上的数据流即旁路流量,以及还可以对防火墙设备配置的防火墙配置信息进行采集获取。
首先,获取防火墙配置信息。获取方式可以通过API获取、FTP获取、文本导入等方式收集每个防火墙配置。
其次,在获取防火墙配置信息后,需要解析防火墙配置,获取具体的防火墙策略等信息。对防火墙策略进行解析,包括地址簿、地址组、应用、应用组、源安全域、目的安全域、源IP、目的IP、目的端口、协议、动作等完整信息的解析获取,解析完毕为了统计并采集,对防火墙策略等进行格式化处理,把策略使用到的地址、应用解析到真正的目的端IP和端口。其中,此处的目的端IP和端口,根据用户指定或者预先设置而定,本处不做限制。
S200、通过旁路根据预设数据流方向识别条件和解析信息采集并分析网络流量,记录每一个IP通讯对的五元组信息并保存在数据流表中;
在获取解析后的防火墙策略后,需要根据数据流的方向以及解析后的防火墙配置信息中的目的端IP和端口生成用于IP五元组通讯对的方向识别的服务端列表,以此来进行每条数据流五元组的策略匹配。首先,通过流量探针采集旁路数据,即通过旁路采集分析网络流量,记录每一个IP通讯对的五元组信息,并统计该五元组的包数、流量等指标,保存在数据流表中。
其中,根据预设数据流方向识别条件采集流量,预设的数据流方向识别条件可以由用户选择。本实施例,选择如下数据流的方向的识别条件或方式:
第一种,通过SYN,SYNACK确定服务端客户端;第二种,通过知名端口识别;第三种,通过从策略获取的服务端列表识别,用单独字段记录是否确定方向,确定方向的为1,不确定方向的为0。
本实施例,优选第三种,通过从策略获取的服务端列表识别。即,在把策略使用到的地址、应用解析到真正的目的端IP和端口后,按设定的策略顺序自动生成策略序号,将目的端IP和端口按照策略序号生成服务端列表,以此用于IP五元组通讯对的方向识别。
S300、预设策略匹配条件,并对所述数据流中的每一条数据流五元组进行防火墙策略匹配,获取所匹配的防火墙策略ID并更新所述数据流表;
策略匹配条件包括:源安全域、目的安全域、源IP、目的IP、应用。针对每一条数据流五元组按顺序匹配防火墙策略,匹配到第一条策略即记录这条策略的ID,并更新数据流表。
其中,根据上述从策略获取的服务端列表识别方式,针对确定方向的五元组,可以直接用客户端作为源、服务端作为目的进行匹配。对于不确定方向的五元组,采用双向匹配方式:第一步:用客户端IP、服务端IP、服务端口对应源IP、目的IP、应用进行匹配:第二步:用服务端IP、客户端IP、客户端端口对应源IP、目的IP、应用进行匹配;第三步:两次匹配结果序号最小的作为命中策略记录在数据流表中。
S400、从更新后的所述数据流表中获取IP通讯对命中结果,根据所述命中结果收敛所述防火墙策略。
根据前面步骤,对所述数据流中的每一条数据流五元组进行防火墙策略匹配,可以获得完整的数据流表以及每一个IP五元组对应的策略ID。
如图3所示,从交换机旁路镜像获取并统计流量表,安装上述步骤进行流量分析和策略匹配更新,从更新后的所述数据流表中获取IP通讯对命中结果,根据所述命中结果收敛所述防火墙策略。这样,用户可以通过长期的数据分析,即可获得每一条策略是否可以收敛、应该如何收敛等。这样可以使得防火墙策略收敛的效率更高,防火墙策略收敛过程不影响防火墙性能,策略收敛的准确度更高,避免收敛错误。
作为本申请的一种可实施方案,优选地,在步骤S100中,所述解析防火墙配置信息,包括:
S110、解析所述防火墙配置信息并获取防火墙策略解析信息;以及,
S120、将所述防火墙策略解析信息格式化处理,获取格式化策略;以及,
S130、将所述格式化策略使用到的地址/应用解析到预设指定的目的端IP和端口。
对防火墙策略进行解析,包括地址簿,地址组,应用,应用组,源安全域、目的安全域、源IP、目的IP、目的端口、协议、动作等完整信息,并对策略进行格式化,把策略使用到的地址、应用解析到真正的目的端IP和端口。
作为本申请的一种可实施方案,优选地,在步骤S200中,所述通过旁路根据预设数据流方向识别条件采集并分析网络流量,包括:
S210、获取防火墙策略解析信息;以及,
S220、根据预设策略顺序将所述防火墙策略解析信息中的防火墙策略自动生成策略序号;以及,
S230、将所述目的端IP和端口按照所述策略序号生成用于所述数据流中设置。通过旁路采集并分析网络流量的时候,根据数据流方向识别条件,可以将采集的数据流筛分、区别有序的保存。
本实施例,通过从策略获取的服务端列表识别。即,在把策略使用到的地址、应用解析到真正的目的端IP和端口后,按设定的策略顺序自动生成策略序号,将所述目的端IP和端口按照所述策略序号生成用于所述数据流中IP五元组通讯对的方向识别的服务端列表,以此用于IP五元组通讯对的方向识别。
作为本申请的一种可实施方案,优选地,在步骤S300中,所述对所述数据流中的每一条数据流五元组进行防火墙策略匹配,包括:
S310、根据所述服务端列表,识别判断所述数据流中的IP五元组的方向是否确定;以及,
S320、在所述数据流中的IP五元组的方向确定时,采用客户端作为源地址、服务端作为目的地址直接进行防火墙匹配;以及,
S330、在所述数据流中的IP五元组的方向不确定时,采用双向匹配方式,包括:第一步,用客户端IP、服务端IP、服务端口对应的源IP、目的IP和应用进行第一次匹配;第二步,用服务端IP、客户端IP、客户端端口对应的源IP、目的IP和应用进行第二次匹配;第三步,将两次匹配结果序号最小的防火墙策略作为命中策略并记录在所述数据流表中。
本实施例,通过从策略获取的服务端列表识别匹配,匹配条件包括:源安全域、目的安全域、源IP、目的IP和应用,匹配到第一条策略即记录这条策略的ID,并更新数据流表。
本处用单独字段记录是否确定方向,确定方向的为1,不确定方向的为0。针对确定方向的五元组,可以直接用客户端作为源、服务端作为目的进行匹配。对于不确定方向的五元组,采用双向匹配方式:第一步:用客户端IP、服务端IP、服务端口对应源IP、目的IP、应用进行匹配:第二步:用服务端IP、客户端IP、客户端端口对应源IP、目的IP、应用进行匹配,两次匹配结果序号最小的作为命中策略记录在数据流表中。经过前面步骤,即可获得完整的数据流表、每一个IP五元组对应的策略ID。通过长期的数据分析,即可获得每一条策略是否可以收敛、应该如何收敛等。
需要说明的是,尽管以API获取、FTP获取、文本导入等方式作为示例介绍了如上防火墙配置信息获取以及通过流量采集探针获取旁路流量等方式,但本领域技术人员能够理解,本公开应不限于此。事实上,用户完全可根据个人喜好和/或实际应用场景灵活设定采集方式,只要可以采集对应的数据信息即可。
这样,通过旁路根据预设数据流方向识别条件采集并分析网络流量,记录每一个IP通讯对的五元组信息并保存在数据流表中;并对所述数据流中的每一条数据流五元组进行防火墙策略匹配,获取所匹配的防火墙策略ID并更新所述数据流表;从更新后的所述数据流表中获取IP通讯对命中结果,根据所述命中结果收敛所述防火墙策略。能够利用旁路采集的通讯五元组数据,将其余防火墙策略配置关联,生成每一条IP通讯对对应的防火墙策略,可应用于防火墙策略收敛。本发明基于旁路流量与防火墙配置结合,用于判断每一个IP通讯对是否命中防火墙策略,从而可以记录防火墙每一条策略所命中的所有五元组信息,进而基于命中记录来收敛防火墙策略,具备以下优势:防火墙无需开启日志,不影响防火墙性能;完整的五元组数据,避免导致策略收敛错误;可一次性对所有策略进行收敛,大大提升收敛速度。
实施例2
基于实施例1的实施原理,本实施例对应提供一种实现上述基于旁路流量与防火墙配置相结合的防火墙策略收敛方法的收敛装置。
根据本公开的另一方面,还提供了一种基于旁路流量与防火墙配置相结合的防火墙策略收敛装置,包括:
解析模块:用于获取并解析防火墙配置信息;
旁路流量采集模块:用于通过旁路根据预设数据流方向识别条件采集并分析网络流量,记录每一个IP通讯对的五元组信息并保存在数据流表中;
策略匹配模块:用于预设策略匹配条件,并对所述数据流中的每一条数据流五元组进行防火墙策略匹配,获取所匹配的防火墙策略ID并更新所述数据流表;
收敛模块:用于从更新后的所述数据流表中获取IP通讯对命中结果,根据所述命中结果收敛所述防火墙策略。
上述各个模块的功能原理参见实施例1的描述,本处不再赘述。其中,解析模块在获取并解析防火墙配置信息时,具体可以采用图中2所示的流量采集探针进行防火墙配置信息的获取;同时,旁路流量采集模块也可以依托流量采集探针获取旁路流量。
作为本申请的一种可实施方案,优选地,所述解析模块包括:
防火墙策略解析模块:用于解析所述防火墙配置信息并获取防火墙策略解析信息;以及,
格式化模块:用于将所述防火墙策略解析信息格式化处理,获取格式化策略;以及,
解析端口:用于将所述格式化策略使用到的地址/应用解析到预设指定的目的端IP和端口。
作为本申请的一种可实施方案,优选地,所述旁路流量采集模块包括:
解析信息获取模块:用于获取防火墙策略解析信息;以及,
策略序号生成模块:用于根据预设策略顺序将所述防火墙策略解析信息中的防火墙策略自动生成策略序号;以及,
服务端列表识别模块:用于将所述目的端IP和端口按照所述策略序号生成用于所述数据流中IP五元组通讯对的方向识别的服务端列表,根据所述服务端列表采集并分析网络流量。
作为本申请的一种可实施方案,优选地,所述策略匹配模块包括:用于预设策略匹配条件,并对所述数据流中的每一条数据流五元组进行防火墙策略匹配,获取所匹配的防火墙策略ID并更新所述数据流表;
IP五元组方向确定模块:用于根据所述服务端列表,识别判断所述数据流中的IP五元组的方向是否确定;以及,
第一匹配模块:用于在所述数据流中的IP五元组的方向确定时,采用客户端作为源地址、服务端作为目的地址直接进行防火墙匹配;以及,
第二匹配模块:用于在所述数据流中的IP五元组的方向不确定时,采用双向匹配方式,包括:第一步,用客户端IP、服务端IP、服务端口对应的源IP、目的IP和应用进行第一次匹配;第二步,用服务端IP、客户端IP、客户端端口对应的源IP、目的IP和应用进行第二次匹配;第三步,将两次匹配结果序号最小的防火墙策略作为命中策略并记录在所述数据流表中。
根据本公开的另一方面,还提供了一种控制系统,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为执行所述可执行指令时实现上述所述的基于旁路流量与防火墙配置相结合的防火墙策略收敛方法。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
实施例3
更进一步地,根据本公开的另一方面,还提供了一种基于旁路流量与防火墙配置相结合的防火墙策略收敛方法控制系统。
本公开实施例控制系统包括处理器以及用于存储处理器可执行指令的存储器。其中,处理器被配置为执行可执行指令时实现前面任一所述的一种基于旁路流量与防火墙配置相结合的防火墙策略收敛方法。
此处,应当指出的是,处理器的个数可以为一个或多个。同时,在本公开实施例的控制系统中,还可以包括输入装置和输出装置。其中,处理器、存储器、输入装置和输出装置之间可以通过总线连接,也可以通过其他方式连接,此处不进行具体限定。
存储器作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序和各种模块,如:本公开实施例的一种基于旁路流量与防火墙配置相结合的防火墙策略收敛方法所对应的程序或模块。处理器通过运行存储在存储器中的软件程序或模块,从而执行控制系统的各种功能应用及数据处理。
输入装置可用于接收输入的数字或信号。其中,信号可以为产生与设备/终端/服务器的用户设置以及功能控制有关的键信号。输出装置可以包括显示屏等显示设备。
实施例4
根据本公开的另一方面,还提供了一种非易失性计算机可读存储介质,其上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现上述所述的基于旁路流量与防火墙配置相结合的防火墙策略收敛方法。
计算机可读存储介质,可用于存储软件程序、计算机可执行程序和各种模块,如:本公开实施例的一种基于旁路流量与防火墙配置相结合的防火墙策略收敛方法所对应的程序或模块。计算机程序指令被处理器执行时实现上述所述的基于旁路流量与防火墙配置相结合的防火墙策略收敛方法。
以上已经描述了本公开的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术的技术改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。
Claims (10)
1.一种基于旁路流量与防火墙配置相结合的防火墙策略收敛方法,其特征在于,包括如下步骤:
S100、获取并解析防火墙配置信息;
S200、通过旁路根据预设数据流方向识别条件和解析信息采集并分析网络流量,记录每一个IP通讯对的五元组信息并保存在数据流表中;
S300、预设策略匹配条件,并对所述数据流中的每一条数据流五元组进行防火墙策略匹配,获取所匹配的防火墙策略ID并更新所述数据流表;
S400、从更新后的所述数据流表中获取IP通讯对命中结果,根据所述命中结果收敛所述防火墙策略。
2.根据权利要求1所述的基于旁路流量与防火墙配置相结合的防火墙策略收敛方法,其特征在于,在步骤S100中,所述解析防火墙配置信息,包括:
S110、解析所述防火墙配置信息并获取防火墙策略解析信息;以及,
S120、将所述防火墙策略解析信息格式化处理,获取格式化策略;以及,
S130、将所述格式化策略使用到的地址/应用解析到预设指定的目的端IP和端口。
3.根据权利要求2所述的基于旁路流量与防火墙配置相结合的防火墙策略收敛方法,其特征在于,在步骤S200中,所述通过旁路根据预设数据流方向识别条件采集并分析网络流量,包括:
S210、获取防火墙策略解析信息;以及,
S220、根据预设策略顺序将所述防火墙策略解析信息中的防火墙策略自动生成策略序号;以及,
S230、将所述目的端IP和端口按照所述策略序号生成用于所述数据流中IP五元组通讯对的方向识别的服务端列表,根据所述服务端列表采集并分析网络流量。
4.根据权利要求3所述的基于旁路流量与防火墙配置相结合的防火墙策略收敛方法,其特征在于,在步骤S300中,所述对所述数据流中的每一条数据流五元组进行防火墙策略匹配,包括:
S310、根据所述服务端列表,识别判断所述数据流中的IP五元组的方向是否确定;以及,
S320、在所述数据流中的IP五元组的方向确定时,采用客户端作为源地址、服务端作为目的地址直接进行防火墙匹配;以及,
S330、在所述数据流中的IP五元组的方向不确定时,采用双向匹配方式,包括:第一步,用客户端IP、服务端IP、服务端口对应的源IP、目的IP和应用进行第一次匹配;第二步,用服务端IP、客户端IP、客户端端口对应的源IP、目的IP和应用进行第二次匹配;第三步,将两次匹配结果序号最小的防火墙策略作为命中策略并记录在所述数据流表中。
5.一种基于旁路流量与防火墙配置相结合的防火墙策略收敛装置,其特征在于,包括:
解析模块:用于获取并解析防火墙配置信息;
旁路流量采集模块:用于通过旁路根据预设数据流方向识别条件采集并分析网络流量,记录每一个IP通讯对的五元组信息并保存在数据流表中;
策略匹配模块:用于预设策略匹配条件,并对所述数据流中的每一条数据流五元组进行防火墙策略匹配,获取所匹配的防火墙策略ID并更新所述数据流表;
收敛模块:用于从更新后的所述数据流表中获取IP通讯对命中结果,根据所述命中结果收敛所述防火墙策略。
6.根据权利要求5所述的基于旁路流量与防火墙配置相结合的防火墙策略收敛装置,其特征在于,所述解析模块包括:
防火墙策略解析模块:用于解析所述防火墙配置信息并获取防火墙策略解析信息;以及,
格式化模块:用于将所述防火墙策略解析信息格式化处理,获取格式化策略;以及,
解析端口:用于将所述格式化策略使用到的地址/应用解析到预设指定的目的端IP和端口。
7.根据权利要求6所述的基于旁路流量与防火墙配置相结合的防火墙策略收敛装置,其特征在于,所述旁路流量采集模块包括:
解析信息获取模块:用于获取防火墙策略解析信息;以及,
策略序号生成模块:用于根据预设策略顺序将所述防火墙策略解析信息中的防火墙策略自动生成策略序号;以及,
服务端列表识别模块:用于将所述目的端IP和端口按照所述策略序号生成用于所述数据流中IP五元组通讯对的方向识别的服务端列表,根据所述服务端列表采集并分析网络流量。
8.根据权利要求7所述的基于旁路流量与防火墙配置相结合的防火墙策略收敛装置,其特征在于,所述策略匹配模块包括:
IP五元组方向确定模块:用于根据所述服务端列表,识别判断所述数据流中的IP五元组的方向是否确定;以及,
第一匹配模块:用于在所述数据流中的IP五元组的方向确定时,采用客户端作为源地址、服务端作为目的地址直接进行防火墙匹配;以及,
第二匹配模块:用于在所述数据流中的IP五元组的方向不确定时,采用双向匹配方式,包括:第一步,用客户端IP、服务端IP、服务端口对应的源IP、目的IP和应用进行第一次匹配;第二步,用服务端IP、客户端IP、客户端端口对应的源IP、目的IP和应用进行第二次匹配;第三步,将两次匹配结果序号最小的防火墙策略作为命中策略并记录在所述数据流表中。
9.一种控制系统,其特征在于,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为执行所述可执行指令时实现权利要求1至4中任意一项所述的基于旁路流量与防火墙配置相结合的防火墙策略收敛方法。
10.一种非易失性计算机可读存储介质,其上存储有计算机程序指令,其特征在于,所述计算机程序指令被处理器执行时实现权利要求1至4中任意一项所述的基于旁路流量与防火墙配置相结合的防火墙策略收敛方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111344481.4A CN114024765B (zh) | 2021-11-15 | 2021-11-15 | 基于旁路流量与防火墙配置相结合的防火墙策略收敛方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111344481.4A CN114024765B (zh) | 2021-11-15 | 2021-11-15 | 基于旁路流量与防火墙配置相结合的防火墙策略收敛方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114024765A true CN114024765A (zh) | 2022-02-08 |
| CN114024765B CN114024765B (zh) | 2022-07-22 |
Family
ID=80063901
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111344481.4A Active CN114024765B (zh) | 2021-11-15 | 2021-11-15 | 基于旁路流量与防火墙配置相结合的防火墙策略收敛方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114024765B (zh) |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101547126A (zh) * | 2008-03-27 | 2009-09-30 | 北京启明星辰信息技术股份有限公司 | 一种基于网络数据流的网络病毒检测方法及装置 |
| US20100043067A1 (en) * | 2008-08-14 | 2010-02-18 | Juniper Networks, Inc. | Scalable security services for multicast in a router having integrated zone-based firewall |
| US20160036856A1 (en) * | 2013-06-17 | 2016-02-04 | Hillstone Networks, Corp. | Data flow forwarding method and device |
| US9553845B1 (en) * | 2013-09-30 | 2017-01-24 | F5 Networks, Inc. | Methods for validating and testing firewalls and devices thereof |
| US20170250951A1 (en) * | 2016-02-29 | 2017-08-31 | Level 3 Communications, Llc | Systems and methods for dynamic firewall policy configuration |
| US20180337858A1 (en) * | 2017-05-17 | 2018-11-22 | General Electric Company | Network shunt with bypass |
| CN109495508A (zh) * | 2018-12-26 | 2019-03-19 | 成都科来软件有限公司 | 基于服务访问数据的防火墙配置方法 |
| US20190182213A1 (en) * | 2017-12-13 | 2019-06-13 | Teloip Inc. | System, apparatus and method for providing a unified firewall manager |
| CN110830325A (zh) * | 2019-11-05 | 2020-02-21 | 北京云杉世纪网络科技有限公司 | 一种自适应的网络旁路路径网流方向推测方法及系统 |
| CN111786949A (zh) * | 2020-05-22 | 2020-10-16 | 山东鲁能软件技术有限公司 | 防火墙安全策略自动适配系统及方法 |
| CN112637179A (zh) * | 2020-12-17 | 2021-04-09 | 深信服科技股份有限公司 | 防火墙策略分析方法、装置、设备及存储介质 |
| CN112929239A (zh) * | 2021-03-23 | 2021-06-08 | 无锡畅云网络有限公司 | 一种防火墙重置tcp链路的检测方法 |
-
2021
- 2021-11-15 CN CN202111344481.4A patent/CN114024765B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101547126A (zh) * | 2008-03-27 | 2009-09-30 | 北京启明星辰信息技术股份有限公司 | 一种基于网络数据流的网络病毒检测方法及装置 |
| US20100043067A1 (en) * | 2008-08-14 | 2010-02-18 | Juniper Networks, Inc. | Scalable security services for multicast in a router having integrated zone-based firewall |
| US20160036856A1 (en) * | 2013-06-17 | 2016-02-04 | Hillstone Networks, Corp. | Data flow forwarding method and device |
| US9553845B1 (en) * | 2013-09-30 | 2017-01-24 | F5 Networks, Inc. | Methods for validating and testing firewalls and devices thereof |
| US20170250951A1 (en) * | 2016-02-29 | 2017-08-31 | Level 3 Communications, Llc | Systems and methods for dynamic firewall policy configuration |
| US20180337858A1 (en) * | 2017-05-17 | 2018-11-22 | General Electric Company | Network shunt with bypass |
| US20190182213A1 (en) * | 2017-12-13 | 2019-06-13 | Teloip Inc. | System, apparatus and method for providing a unified firewall manager |
| CN109495508A (zh) * | 2018-12-26 | 2019-03-19 | 成都科来软件有限公司 | 基于服务访问数据的防火墙配置方法 |
| CN110830325A (zh) * | 2019-11-05 | 2020-02-21 | 北京云杉世纪网络科技有限公司 | 一种自适应的网络旁路路径网流方向推测方法及系统 |
| CN111786949A (zh) * | 2020-05-22 | 2020-10-16 | 山东鲁能软件技术有限公司 | 防火墙安全策略自动适配系统及方法 |
| CN112637179A (zh) * | 2020-12-17 | 2021-04-09 | 深信服科技股份有限公司 | 防火墙策略分析方法、装置、设备及存储介质 |
| CN112929239A (zh) * | 2021-03-23 | 2021-06-08 | 无锡畅云网络有限公司 | 一种防火墙重置tcp链路的检测方法 |
Non-Patent Citations (2)
| Title |
|---|
| 吴劲锋: "浅论企业防火墙安全策略优化及收敛", 《信息通信》 * |
| 左晓军等: "基于域名系统流量Fast-Flux僵尸网络检测方法", 《计算机工程》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114024765B (zh) | 2022-07-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10218740B1 (en) | Fuzzy hash of behavioral results | |
| AU2021209277B2 (en) | Efficient packet capture for cyber threat analysis | |
| CN106453299B (zh) | 网络安全监控方法、装置及云端web应用防火墙 | |
| US8015605B2 (en) | Scalable monitor of malicious network traffic | |
| WO2022017249A1 (zh) | 可编程交换机、流量统计方法、防御方法和报文处理方法 | |
| US9467464B2 (en) | System and method for correlating log data to discover network vulnerabilities and assets | |
| KR101010302B1 (ko) | Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법 | |
| US8516586B1 (en) | Classification of unknown computer network traffic | |
| CN111953673B (zh) | 一种dns隐蔽隧道检测方法及系统 | |
| KR20060013491A (ko) | 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치 | |
| US11546356B2 (en) | Threat information extraction apparatus and threat information extraction system | |
| CN111181978B (zh) | 异常网络流量的检测方法、装置、电子设备及存储介质 | |
| CN112887333A (zh) | 一种异常设备检测方法、装置、电子设备及可读存储介质 | |
| CN116055163A (zh) | 一种基于eBPF XDP的登录信息获取及阻断方法 | |
| CN115865525B (zh) | 日志数据处理方法、装置、电子设备和存储介质 | |
| CN114024765B (zh) | 基于旁路流量与防火墙配置相结合的防火墙策略收敛方法 | |
| JP2017199250A (ja) | 計算機システム、データの分析方法、及び計算機 | |
| CN113329035B (zh) | 一种攻击域名的检测方法、装置、电子设备及存储介质 | |
| CN112565259B (zh) | 过滤dns隧道木马通信数据的方法及装置 | |
| CN111371917B (zh) | 一种域名检测方法及系统 | |
| TW201928746A (zh) | 偵測惡意程式的方法和裝置 | |
| CN114363053A (zh) | 一种攻击识别方法、装置及相关设备 | |
| CN114301802A (zh) | 密评检测方法、装置和电子设备 | |
| Peleh et al. | Intelligent detection of DDoS attacks in SDN networks | |
| Mokhov et al. | Automating MAC spoofer evidence gathering and encoding for investigations |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |