CN115987628A - 基于网络流量和防火墙配置实现违规策略监测及访问的方法、装置、处理器及其存储介质 - Google Patents
基于网络流量和防火墙配置实现违规策略监测及访问的方法、装置、处理器及其存储介质 Download PDFInfo
- Publication number
- CN115987628A CN115987628A CN202211654463.0A CN202211654463A CN115987628A CN 115987628 A CN115987628 A CN 115987628A CN 202211654463 A CN202211654463 A CN 202211654463A CN 115987628 A CN115987628 A CN 115987628A
- Authority
- CN
- China
- Prior art keywords
- firewall
- data
- access
- compliance
- security domain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Abstract
本发明涉及一种基于网络流量和防火墙配置实现违规策略监测及访问的方法,其中,该方法包括以下步骤:(1)获取防火墙配置;(2)进行防火墙配置解析处理;(3)生成安全域;(4)生成安全域访问矩阵;(5)形成合规矩阵;(6)进行防火墙策略合规性监测以及网络访问合规性监测的处理。本发明还涉及一种相应的装置、处理器及其计算机可读存储介质。采用了本发明的该基于网络流量和防火墙配置实现违规策略监测及访问的方法、装置、处理器及其计算机可读存储介质,可以发现防火墙内的违规策略,以保障防火墙策略的合规性,使违规的访问行为能够被有效拦截,为避免发生生产事故和网络安全事件提供有力保障,同时还有利于对违规发起端进行追溯。
Description
技术领域
本发明网络安全合规与网络实时监测技术领域,尤其涉及网络实时监测技术领域,具体是指一种基于网络流量和防火墙配置实现违规策略监测及访问的方法、装置、处理器及其计算机可读存储介质。
背景技术
网络作为业务的重要支撑部分,业务数据通过网络进行交互与传输,基于不同的业务、不同的功能、不同的安全级别,用户会将网络划分为不同的网络安全域(以下简称“安全域”),安全域与安全域之间使用防火墙进行隔离,防火墙作为访问控制的重要设施,控制着安全域间的访问权限。
在管理制度中,哪些安全域间是可以互相访问的,哪些安全域间是禁止互相访问的,每个用户都有相应的规章制度进行规定,但从技术上却没有一套行之有效的技术手段可以实时监测防火墙内是否开通了违反规定(以下简称“违规”)的访问策略,也没有办法实时监测到网络中存在的违规访问行为,所以违规策略、违规访问几乎在每个用户那里都存在,笔者曾经亲历过某保险公司测试系统违规访问生产系统,造成生产网网络堵塞,致使生产业务中断;某金融机构低密级区域违规访问高密级区域,致使低密级人员越权读取到涉密文件;还曾听闻用户叙述过其亲身经历的某大型银行测试交易被发送到了生产上。此类重大生产事故和重大安全事件都是因为防火墙内存在违规策略,导致违规访问未能被有效拦截及发现所致。
综上所述,由于违规策略及违规访问的存在,且目前无有效的实时监测手段,导致最终酿成重大生产事故或重大安全事件的事情时有发生。
发明内容
本发明的目的是克服了上述现有技术的缺点,提供了一种基于网络流量和防火墙配置实现违规策略监测及访问的方法、装置、处理器及其计算机可读存储介质。
为了实现上述目的,本发明的基于网络流量和防火墙配置实现违规策略监测及访问的方法、装置、处理器及其计算机可读存储介质如下:
该基于网络流量和防火墙配置实现违规策略监测及访问的方法,其主要特点是,所述的方法包括以下步骤:
(1)基于防火墙、防火墙统一管理平台、防火墙配置备份平台以及离线导入方式获取防火墙配置;
(2)解析获取到的防火墙策略数据、防火墙区域数据以及防火墙接口数据,以实现防火墙配置的解析处理;
(3)基于解析后的数据进行安全域的生成处理,并通过所述的防火墙区域数据以及防火墙接口数据得到安全域数据;
(4)根据所述的防火墙策略数据以及安全域数据,生成安全域访问矩阵;
(5)基于安全域间互访的管理要求以及所述的安全域访问矩阵,形成合规矩阵;
(6)通过防火墙策略、合规矩阵以及网络流量,进行防火墙策略合规性监测以及网络访问合规性监测的处理。
较佳地,所述的步骤(1)具体为:通过直连防火墙读取配置数据,通过防火墙统一管理平台获取配置数据,通过防火墙配置备份平台获取配置数据,以及通过离线导入方式获取配置数据,其中,
所述的通过直连防火墙读取配置数据,具体为:通过SSH连接防火墙,并读取防火墙的配置数据;
所述的通过防火墙统一管理平台获取配置数据,具体为:通过用户已有的防火墙统一管理平台的接口,读取到被该平台统一管理的防火墙的配置数据;
所述的通过防火墙配置备份平台获取配置数据,具体为:通过FTP、SFTP、API接口形式连接到用户已有的防火墙配置备份平台,并读取防火墙配置备份平台内的最新的防火墙配置备份文件,从而获取到防火墙配置;
所述的离线导入方式,具体为:用户将已导出的防火墙配置文件,导入到系统中。
较佳地,所述的步骤(2)具体为:
解析所述的防火墙策略数据,包括对防火墙配置中访问控制策略部分进行解析,解析到策略中的源区域、目的区域、源IP、目的IP、目的端口数据;
解析所述的防火墙区域数据,包括对防火墙配置中的区域配置部分进行解析,解析得到防火墙内的区域的名称以及区域与防火墙接口之间的对应关系;
解析所述的防火墙接口数据,包括对防火墙配置中的接口配置部分进行解析,解析得到防火墙接口的IP地址和路由数据。
较佳地,所述的步骤(3)具体为:基于解析后得到的数据,进行防火墙区域路由数据的生成、区域数据聚合以及安全域数据的生成处理,从而生成安全域;其中,
生成所述的防火墙区域路由数据,包括将解析到的防火墙区域数据和与该区域相关联的防火墙接口的路由数据进行关联,得到防火墙区域的路由数据,并使用该路由数据作为该区域的网段规则;
所述的区域数据聚合,包括基于网段将获取到的所有防火墙的区域数据进行去重合并,如果不同区域的网段数据存在包含的关系,则以子网掩码位数最长的区域为准,得到聚合后的所有区域的网段数据,并结合防火墙名称和区域名称,得到总体的聚合后的区域数据;
生成所述的安全域数据,包括使用得到的聚合后的区域数据,将其存储到数据库内,并形成区域数据的列表,该列表具有修改和确认功能,如果生成的区域数据内容有误,则进行人工修正,如果生成的区域数据无误,则经过确认后即可成为安全域数据。
较佳地,所述的步骤(4)具体包括以下步骤:
(4.1)基于上述步骤,进行防火墙策略与安全域关联的处理;
(4.2)基于关联后得到的数据,生成安全域间访问矩阵。
较佳地,所述的步骤(4.1)具体为:
将防火墙策略数据得到的每一条策略数据中的源IP、目的IP分别提取出来,并与安全域数据中的网段规则进行比对关联,得到一组安全域到安全域的访问列表,并将策略中的目的端口作为目的安全域的端口,从而得到一个源安全域、目的安全域、目的端口的三元组的安全域互访数据列表。
较佳地,所述的步骤(4.2)具体为:
将所述的步骤(4.1)得到的安全域互访数据列表进行聚合,首先使用所述的源安全域、目的安全域进行聚合,将相同源安全域和目的安全域聚合成一条,所述的目的端口为被聚合对象的所有条目的端口形成一个目的端口列表,并对目的端口列表中的端口进行去重,得到一个去重后的目的端口列表,最终得到一个安全域间互访的数据,形成安全域访问矩阵。
较佳地,所述的步骤(5)包括:基于安全域间互访的管理要求进行安全域访问矩阵的修正以及合规矩阵的实时保存处理,其中,
所述的安全域访问矩阵的修正,具体为:通过所述的安全域访问矩阵与用户关于安全域间互访的管理要求进行比对,对与管理要求不相符的条目进行修正;
所述的合规矩阵的实时保存,具体为:在对所述的安全域访问矩阵进行修正的过程中,每进行一次规则的修正,都会实时将所述的安全域访问矩阵内的所有数据保存,该保存的数据即为合规矩阵。
较佳地,所述的步骤(6)进行防火墙策略合规性监测,包括进行防火墙策略合规性比对,具体为:
将解析后的防火墙策略数据得到的每一条策略数据中的源IP、目的IP分别提取出来,并与安全域数据中的网段规则进行比对关联,得到源安全域与目的安全域后,与所述的合规矩阵中相同的源安全域、目的安全域的数据进行比对,如果所述的合规矩阵中的区域规则为允许访问,则判断比对策略中的目的端口是否在合规矩阵区域规则的目的端口范围内,如果在,则将本条策略标记为合规;如果不在,则将本条策略标记为违规;如果所述的合规矩阵中的区域规则为拒绝访问,则将本条防火墙策略标记为违规。
较佳地,所述的步骤(6)还包括:进行防火墙策略合规性监测,具体为:按照以下方式进行周期监测:
定时执行,用户指定时间进行策略的合规性比对;
实时执行,基于获取到的防火墙策略,当策略发生变化的时候,对变化后的策略进行策略的合规性比对;
手动执行,由用户手动触发,进行策略的合规性比对。
较佳地,所述的防火墙策略合规性监测还包括:
对已经完成合规性比对的策略进行缓存,当再次获取到防火墙策略的时,通过缓存判断该防火墙的策略是否发生变化,如果否,则不对此防火墙的策略执行合规性比对;如果是,则判断具体哪些策略发生变化,且只比对发生变化的策略,对于没有发生变化的策略不进行比对。
较佳地,进行所述的网络访问合规性监测,包括进行网络流量采集和网络流量解析,其中,
所述的网络流量采集,具体为:通过镜像的方式将网络流量镜像到系统中进行网络流量的采集;
所述的网络流量解析,具体为:当采集到网络流量后,对网络流量中的会话进行解析,得到会话的源IP、目的IP、目的端口。
较佳地,进行所述的网络访问合规性监测,还包括进行网络流量合规性比对,具体为:
将解析得到的网络会话数据的每一条数据中的源IP、目的IP分别提取出来,并与安全域数据中的网段规则进行比对关联,得到源安全域与目的安全域后,与所述的合规矩阵中的相同源安全域、目的安全域的数据进行比对,如果所述的合规矩阵中的区域规则为允许访问,则比对网络会话中的目的端口是否在合规矩阵区域规则的目的端口范围内,如果是,则将本条网络会话标记为合规,否则,将本条网络会话标记为违规;如果所述的合规矩阵中的区域规则为拒绝访问,则将本条网络会话标记为违规。
较佳地,进行所述的网络访问合规性监测,还包括进行网络流量存储,具体为:
在进行网络流量合规性比对的过程中,当发现违规的网络会话时,将该违规会话的会话数据、原始数据包进行存储;
所述的违规会话的会话数据,包括该会话的开始时间、结束时间、源IP、源端口、目的IP、目的端口、总字节数、总数据包数、协议;
存储所述的原始数据包,包括将原始数据包文件以专有格式存储到本地,并使用会话数据进行索引。
较佳地,对所述的会话数据进行索引,具体为:
在数据库内以开始时间、结束时间、源IP、源端口、目的IP、目的端口、总字节数、总数据包数、协议字段建立索引数据,并记录该会话对应的数据包存储文件的位置和偏移量数据,当需要提取该会话的原始数据包的时候,在数据库内检索该会话的数据即可得到数据包文件的存储位置和偏移量信息,从而对数据包文件进行还原。
该基于网络流量和防火墙配置实现违规策略监测及访问的装置,其主要特点是,所述的装置包括:
处理器,被配置成执行计算机可执行指令;
存储器,存储一个或多个计算机可执行指令,所述计算机可执行指令被所述处理器执行时,实现上述所述的基于网络流量和防火墙配置实现违规策略监测及访问的方法的各个步骤。
该基于网络流量和防火墙配置实现违规策略监测及访问的处理器,其主要特点是,所述的处理器被配置成执行计算机可执行指令,所述的计算机可执行指令被所述的处理器执行时,实现上述所述的基于网络流量和防火墙配置实现违规策略监测及访问的方法的各个步骤。
该计算机可读存储介质,其主要特点是,其上存储有计算机程序,所述的计算机程序可被处理器执行以实现上述所述的基于网络流量和防火墙配置实现违规策略监测及访问的方法的各个步骤。
采用了本发明的该基于网络流量和防火墙配置实现违规策略监测及访问的方法、装置、处理器及其计算机可读存储介质,可以发现防火墙内的违规策略,以保障防火墙策略的合规性,使违规的访问行为都能够被有效拦截,为避免发生生产事故以及网络安全事件提供有力的保障;网络流量进行合规性监测,可以及时发现网络流量中违规的访问请求,并保存违规网络会话的数据和原始数据包,有利于对违规发起端进行追溯。除此之外,本技术方案弥补了防火墙策略合规性和网络流量合规性监测的技术空白,让用户对于合规性要求不再仅限于管理手段,通过本技术方案即可落实合规性要求。
附图说明
图1为本发明的基于网络流量和防火墙配置实现违规策略监测及访问的方法得到合规矩阵的流程示意图。
图2为本发明的基于网络流量和防火墙配置实现违规策略监测及访问的方法对防火墙策略和网络访问进行合规性监测的流程示意图。
具体实施方式
为了能够更清楚地描述本发明的技术内容,下面结合具体实施例来进行进一步的描述。
在详细说明根据本发明的实施例前,应该注意到的是,在下文中,术语“包括”、“包含”或任何其他变体旨在涵盖非排他性的包含,由此使得包括一系列要素的过程、方法、物品或者设备不仅包含这些要素,而且还包含没有明确列出的其他要素,或者为这种过程、方法、物品或者设备所固有的要素。
请参阅图1和图2所示,该基于网络流量和防火墙配置实现违规策略监测及访问的方法,其中,所述的方法包括以下步骤:
(1)基于防火墙、防火墙统一管理平台、防火墙配置备份平台以及离线导入方式获取防火墙配置;
(2)解析获取到的防火墙策略数据、防火墙区域数据以及防火墙接口数据,以实现防火墙配置的解析处理;
(3)基于解析后的数据进行安全域的生成处理,并通过所述的防火墙区域数据以及防火墙接口数据得到安全域数据;
(4)根据所述的防火墙策略数据以及安全域数据,生成安全域访问矩阵;
(5)基于安全域间互访的管理要求以及所述的安全域访问矩阵,形成合规矩阵;
(6)通过防火墙策略、合规矩阵以及网络流量,进行防火墙策略合规性监测以及网络访问合规性监测的处理。
作为本发明的优选实施方式,所述的步骤(1)具体为:通过直连防火墙读取配置数据,通过防火墙统一管理平台获取配置数据,通过防火墙配置备份平台获取配置数据,以及通过离线导入方式获取配置数据,其中,
所述的通过直连防火墙读取配置数据,具体为:通过SSH连接防火墙,并读取防火墙的配置数据;
所述的通过防火墙统一管理平台获取配置数据,具体为:通过用户已有的防火墙统一管理平台的接口,读取到被该平台统一管理的防火墙的配置数据;
所述的通过防火墙配置备份平台获取配置数据,具体为:通过FTP、SFTP、API接口形式连接到用户已有的防火墙配置备份平台,并读取防火墙配置备份平台内的最新的防火墙配置备份文件,从而获取到防火墙配置;
所述的离线导入方式,具体为:用户将已导出的防火墙配置文件,导入到系统中。
作为本发明的优选实施方式,所述的步骤(2)具体为:
解析所述的防火墙策略数据,包括对防火墙配置中访问控制策略部分进行解析,解析到策略中的源区域、目的区域、源IP、目的IP、目的端口数据;
解析所述的防火墙区域数据,包括对防火墙配置中的区域配置部分进行解析,解析得到防火墙内的区域的名称以及区域与防火墙接口之间的对应关系;
解析所述的防火墙接口数据,包括对防火墙配置中的接口配置部分进行解析,解析得到防火墙接口的IP地址和路由数据。
作为本发明的优选实施方式,所述的步骤(3)具体为:基于解析后得到的数据,进行防火墙区域路由数据的生成、区域数据聚合以及安全域数据的生成处理,从而生成安全域;其中,
生成所述的防火墙区域路由数据,包括将解析到的防火墙区域数据和与该区域相关联的防火墙接口的路由数据进行关联,得到防火墙区域的路由数据,并使用该路由数据作为该区域的网段规则;
所述的区域数据聚合,包括基于网段将获取到的所有防火墙的区域数据进行去重合并,如果不同区域的网段数据存在包含的关系,则以子网掩码位数最长的区域为准,得到聚合后的所有区域的网段数据,并结合防火墙名称和区域名称,得到总体的聚合后的区域数据;
生成所述的安全域数据,包括使用得到的聚合后的区域数据,将其存储到数据库内,并形成区域数据的列表,该列表具有修改和确认功能,如果生成的区域数据内容有误,则进行人工修正,如果生成的区域数据无误,则经过确认后即可成为安全域数据。
作为本发明的优选实施方式,所述的步骤(4)具体包括以下步骤:
(4.1)基于上述步骤,进行防火墙策略与安全域关联的处理;
(4.2)基于关联后得到的数据,生成安全域间访问矩阵。
作为本发明的优选实施方式,所述的步骤(4.1)具体为:
将防火墙策略数据得到的每一条策略数据中的源IP、目的IP分别提取出来,并与安全域数据中的网段规则进行比对关联,得到一组安全域到安全域的访问列表,并将策略中的目的端口作为目的安全域的端口,从而得到一个源安全域、目的安全域、目的端口的三元组的安全域互访数据列表。
作为本发明的优选实施方式,所述的步骤(4.2)具体为:
将所述的步骤(4.1)得到的安全域互访数据列表进行聚合,首先使用所述的源安全域、目的安全域进行聚合,将相同源安全域和目的安全域聚合成一条,所述的目的端口为被聚合对象的所有条目的端口形成一个目的端口列表,并对目的端口列表中的端口进行去重,得到一个去重后的目的端口列表,最终得到一个安全域间互访的数据,形成安全域访问矩阵。
作为本发明的优选实施方式,所述的步骤(5)包括:基于安全域间互访的管理要求进行安全域访问矩阵的修正以及合规矩阵的实时保存处理,其中,
所述的安全域访问矩阵的修正,具体为:通过所述的安全域访问矩阵与用户关于安全域间互访的管理要求进行比对,对与管理要求不相符的条目进行修正;
所述的合规矩阵的实时保存,具体为:在对所述的安全域访问矩阵进行修正的过程中,每进行一次规则的修正,都会实时将所述的安全域访问矩阵内的所有数据保存,该保存的数据即为合规矩阵。
作为本发明的优选实施方式,所述的步骤(6)进行防火墙策略合规性监测,包括进行防火墙策略合规性比对,具体为:
将解析后的防火墙策略数据得到的每一条策略数据中的源IP、目的IP分别提取出来,并与安全域数据中的网段规则进行比对关联,得到源安全域与目的安全域后,与所述的合规矩阵中相同的源安全域、目的安全域的数据进行比对,如果所述的合规矩阵中的区域规则为允许访问,则判断比对策略中的目的端口是否在合规矩阵区域规则的目的端口范围内,如果在,则将本条策略标记为合规;如果不在,则将本条策略标记为违规;如果所述的合规矩阵中的区域规则为拒绝访问,则将本条防火墙策略标记为违规。
作为本发明的优选实施方式,所述的步骤(6)还包括:进行防火墙策略合规性监测,具体为:按照以下方式进行周期监测:
定时执行,用户指定时间进行策略的合规性比对;
实时执行,基于获取到的防火墙策略,当策略发生变化的时候,对变化后的策略进行策略的合规性比对;
手动执行,由用户手动触发,进行策略的合规性比对。
作为本发明的优选实施方式,所述的防火墙策略合规性监测还包括:
对已经完成合规性比对的策略进行缓存,当再次获取到防火墙策略的时,通过缓存判断该防火墙的策略是否发生变化,如果否,则不对此防火墙的策略执行合规性比对;如果是,则判断具体哪些策略发生变化,且只比对发生变化的策略,对于没有发生变化的策略不进行比对。
作为本发明的优选实施方式,进行所述的网络访问合规性监测,包括进行网络流量采集和网络流量解析,其中,
所述的网络流量采集,具体为:通过镜像的方式将网络流量镜像到系统中进行网络流量的采集;
所述的网络流量解析,具体为:当采集到网络流量后,对网络流量中的会话进行解析,得到会话的源IP、目的IP、目的端口。
作为本发明的优选实施方式,进行所述的网络访问合规性监测,还包括进行网络流量合规性比对,具体为:
将解析得到的网络会话数据的每一条数据中的源IP、目的IP分别提取出来,并与安全域数据中的网段规则进行比对关联,得到源安全域与目的安全域后,与所述的合规矩阵中的相同源安全域、目的安全域的数据进行比对,如果所述的合规矩阵中的区域规则为允许访问,则比对网络会话中的目的端口是否在合规矩阵区域规则的目的端口范围内,如果是,则将本条网络会话标记为合规,否则,将本条网络会话标记为违规;如果所述的合规矩阵中的区域规则为拒绝访问,则将本条网络会话标记为违规。
作为本发明的优选实施方式,进行所述的网络访问合规性监测,还包括进行网络流量存储,具体为:
在进行网络流量合规性比对的过程中,当发现违规的网络会话时,将该违规会话的会话数据、原始数据包进行存储;
所述的违规会话的会话数据,包括该会话的开始时间、结束时间、源IP、源端口、目的IP、目的端口、总字节数、总数据包数、协议;
存储所述的原始数据包,包括将原始数据包文件以专有格式存储到本地,并使用会话数据进行索引。
在实际应用当中,上述以专有格式进行存储,是出于数据安全考虑,防止因存储文件泄露造成的业务数据泄露,存储为本发明专有的文件格式可以保证只有本发明可以将该文件还原为正常的数据包文件,使其他第三方的软件均无法读取到数据包里的内容。
作为本发明的优选实施方式,对所述的会话数据进行索引,具体为:
在数据库内以开始时间、结束时间、源IP、源端口、目的IP、目的端口、总字节数、总数据包数、协议字段建立索引数据,并记录该会话对应的数据包存储文件的位置和偏移量数据,当需要提取该会话的原始数据包的时候,在数据库内检索该会话的数据即可得到数据包文件的存储位置和偏移量信息,从而对数据包文件进行还原。
为了能够更清楚地描述本发明的技术内容,下面结合具体实施例来进行进一步的描述。
在本发明的一具体的实施例中,所述的得到合规矩阵的方法如图1的1-5步所示:
通过SSH直连防火墙,读取防火墙的配置数据;
将读取到的防火墙配置数据进行解析,得到防火墙策略数据、防火墙区域数据、防火墙接口数据;
使用防火墙区域数据内区域与接口的关联关系,将对应的关联的接口数据中的路由数据提取出来,并作为该区域的网段配置;
对每一个防火墙的中的所有区域数据执行以上操作,得到全部的区域数据,并对区域数据进行聚合,采用网段配置进行数据的聚合及去重,如果网段配置存在包含的关系,以网段子网掩码位数最长的为准,得到安全域数据;
对图1第2步中得到的防火墙策略数据中的每一条策略,结合安全域数据进行关联及聚合,生成安全域访问矩阵;
结合用户安全域间互访的管理要求,对通过图1第4步得到安全域访问矩阵进行修正,形成合规矩阵。
在本发明的一具体的实施例中,所述的对防火墙策略和网络访问进行合规性监测的方法如图2所示:
防火墙策略合规性监测,实现过程为将解析防火墙策略数据得到的每一条策略数据中的源IP、目的IP分别提取出来,并与安全域数据中的网段规则进行比对关联,得到源安全域与目的安全域后,与合规矩阵中相同源安全域、目的安全域的数据进行比对,如果合规矩阵中的区域规则为允许访问,则比对策略中的目的端口是否在合规矩阵区域规则的目的端口范围内,如果在目的端口范围内则将本条策略标记为合规,如果不在目的端口范围内则将本条策略标记为违规;如果合规矩阵中的区域规则为拒绝访问,则将本条防火墙策略标记为违规;
网络访问合规性监测,实现过程为将解析得到的网络会话数据的每一条数据中的源IP、目的IP分别提取出来,并与安全域数据中的网段规则进行比对关联,得到源安全域与目的安全域后,与合规矩阵中相同源安全域、目的安全域的数据进行比对,如果合规矩阵中的区域规则为允许访问,则比对网络会话中的目的端口是否在合规矩阵区域规则的目的端口范围内,所述的比对网络会话中的目的端口是否在合规矩阵区域规则的目的端口范围内,如果在目的端口范围内则将本条网络会话标记为合规,如果不在目的端口范围内则将本条网络会话标记为违规;如果合规矩阵中的区域规则为拒绝访问,则将本条网络会话标记为违规。
该基于网络流量和防火墙配置实现违规策略监测及访问的装置,其中,所述的装置包括:
处理器,被配置成执行计算机可执行指令;
存储器,存储一个或多个计算机可执行指令,所述计算机可执行指令被所述处理器执行时,实现上述所述的基于网络流量和防火墙配置实现违规策略监测及访问的方法的各个步骤。
该基于网络流量和防火墙配置实现违规策略监测及访问的处理器,其中,所述的处理器被配置成执行计算机可执行指令,所述的计算机可执行指令被所述的处理器执行时,实现上述所述的基于网络流量和防火墙配置实现违规策略监测及访问的方法的各个步骤。
该计算机可读存储介质,其中,其上存储有计算机程序,所述的计算机程序可被处理器执行以实现上述所述的基于网络流量和防火墙配置实现违规策略监测及访问的方法的各个步骤。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行装置执行的软件或固件来实现。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成的,程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
在本说明书的描述中,参考术语“一实施例”、“一些实施例”、“示例”、“具体示例”、或“实施例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
采用了本发明的该基于网络流量和防火墙配置实现违规策略监测及访问的方法、装置、处理器及其计算机可读存储介质,可以发现防火墙内的违规策略,以保障防火墙策略的合规性,使违规的访问行为都能够被有效拦截,为避免发生生产事故以及网络安全事件提供有力的保障;网络流量进行合规性监测,可以及时发现网络流量中违规的访问请求,并保存违规网络会话的数据和原始数据包,有利于对违规发起端进行追溯。除此之外,本技术方案弥补了防火墙策略合规性和网络流量合规性监测的技术空白,让用户对于合规性要求不再仅限于管理手段,通过本技术方案即可落实合规性要求。
在此说明书中,本发明已参照其特定的实施例作了描述。但是,很显然仍可以作出各种修改和变换而不背离本发明的精神和范围。因此,说明书和附图应被认为是说明性的而非限制性的。
Claims (18)
1.一种基于网络流量和防火墙配置实现违规策略监测及访问的方法,其特征在于,所述的方法包括以下步骤:
(1)基于防火墙、防火墙统一管理平台、防火墙配置备份平台以及离线导入方式获取防火墙配置;
(2)解析获取到的防火墙策略数据、防火墙区域数据以及防火墙接口数据,以实现防火墙配置的解析处理;
(3)基于解析后的数据进行安全域的生成处理,并通过所述的防火墙区域数据以及防火墙接口数据得到安全域数据;
(4)根据所述的防火墙策略数据以及安全域数据,生成安全域访问矩阵;
(5)基于安全域间互访的管理要求以及所述的安全域访问矩阵,形成合规矩阵;
(6)通过防火墙策略、合规矩阵以及网络流量,进行防火墙策略合规性监测以及网络访问合规性监测的处理。
2.根据权利要求1所述的基于网络流量和防火墙配置实现违规策略监测及访问的方法,其特征在于,所述的步骤(1)具体为:通过直连防火墙读取配置数据,通过防火墙统一管理平台获取配置数据,通过防火墙配置备份平台获取配置数据,以及通过离线导入方式获取配置数据,其中,
所述的通过直连防火墙读取配置数据,具体为:通过SSH连接防火墙,并读取防火墙的配置数据;
所述的通过防火墙统一管理平台获取配置数据,具体为:通过用户已有的防火墙统一管理平台的接口,读取到被该平台统一管理的防火墙的配置数据;
所述的通过防火墙配置备份平台获取配置数据,具体为:通过FTP、SFTP、API接口形式连接到用户已有的防火墙配置备份平台,并读取防火墙配置备份平台内的最新的防火墙配置备份文件,从而获取到防火墙配置;
所述的离线导入方式,具体为:用户将已导出的防火墙配置文件,导入到系统中。
3.根据权利要求1所述的基于网络流量和防火墙配置实现违规策略监测及访问的方法,其特征在于,所述的步骤(2)具体为:
解析所述的防火墙策略数据,包括对防火墙配置中访问控制策略部分进行解析,解析到策略中的源区域、目的区域、源IP、目的IP、目的端口数据;
解析所述的防火墙区域数据,包括对防火墙配置中的区域配置部分进行解析,解析得到防火墙内的区域的名称以及区域与防火墙接口之间的对应关系;
解析所述的防火墙接口数据,包括对防火墙配置中的接口配置部分进行解析,解析得到防火墙接口的IP地址和路由数据。
4.根据权利要求3所述的基于网络流量和防火墙配置实现违规策略监测及访问的方法,其特征在于,所述的步骤(3)具体为:基于解析后得到的数据,进行防火墙区域路由数据的生成、区域数据聚合以及安全域数据的生成处理,从而生成安全域;其中,
生成所述的防火墙区域路由数据,包括将解析到的防火墙区域数据和与该区域相关联的防火墙接口的路由数据进行关联,得到防火墙区域的路由数据,并使用该路由数据作为该区域的网段规则;
所述的区域数据聚合,包括基于网段将获取到的所有防火墙的区域数据进行去重合并,如果不同区域的网段数据存在包含的关系,则以子网掩码位数最长的区域为准,得到聚合后的所有区域的网段数据,并结合防火墙名称和区域名称,得到总体的聚合后的区域数据;
生成所述的安全域数据,包括使用得到的聚合后的区域数据,将其存储到数据库内,并形成区域数据的列表,该列表具有修改和确认功能,如果生成的区域数据内容有误,则进行人工修正,如果生成的区域数据无误,则经过确认后即可成为安全域数据。
5.根据权利要求4所述的基于网络流量和防火墙配置实现违规策略监测及访问的方法,其特征在于,所述的步骤(4)具体包括以下步骤:
(4.1)基于上述步骤,进行防火墙策略与安全域关联的处理;
(4.2)基于关联后得到的数据,生成安全域间访问矩阵。
6.根据权利要求5所述的基于网络流量和防火墙配置实现违规策略监测及访问的方法,其特征在于,所述的步骤(4.1)具体为:
将防火墙策略数据得到的每一条策略数据中的源IP、目的IP分别提取出来,并与安全域数据中的网段规则进行比对关联,得到一组安全域到安全域的访问列表,并将策略中的目的端口作为目的安全域的端口,从而得到一个源安全域、目的安全域、目的端口的三元组的安全域互访数据列表。
7.根据权利要求6所述的基于网络流量和防火墙配置实现违规策略监测及访问的方法,其特征在于,所述的步骤(4.2)具体为:
将所述的步骤(4.1)得到的安全域互访数据列表进行聚合,首先使用所述的源安全域、目的安全域进行聚合,将相同源安全域和目的安全域聚合成一条,所述的目的端口为被聚合对象的所有条目的端口形成一个目的端口列表,并对目的端口列表中的端口进行去重,得到一个去重后的目的端口列表,最终得到一个安全域间互访的数据,形成安全域访问矩阵。
8.根据权利要求7所述的基于网络流量和防火墙配置实现违规策略监测及访问的方法,其特征在于,所述的步骤(5)包括:基于安全域间互访的管理要求进行安全域访问矩阵的修正以及合规矩阵的实时保存处理,其中,
所述的安全域访问矩阵的修正,具体为:通过所述的安全域访问矩阵与用户关于安全域间互访的管理要求进行比对,对与管理要求不相符的条目进行修正;
所述的合规矩阵的实时保存,具体为:在对所述的安全域访问矩阵进行修正的过程中,每进行一次规则的修正,都会实时将所述的安全域访问矩阵内的所有数据保存,该保存的数据即为合规矩阵。
9.根据权利要求8所述的基于网络流量和防火墙配置实现违规策略监测及访问的方法,其特征在于,所述的步骤(6)进行防火墙策略合规性监测,包括进行防火墙策略合规性比对,具体为:
将解析后的防火墙策略数据得到的每一条策略数据中的源IP、目的IP分别提取出来,并与安全域数据中的网段规则进行比对关联,得到源安全域与目的安全域后,与所述的合规矩阵中相同的源安全域、目的安全域的数据进行比对,如果所述的合规矩阵中的区域规则为允许访问,则判断比对策略中的目的端口是否在合规矩阵区域规则的目的端口范围内,如果在,则将本条策略标记为合规;如果不在,则将本条策略标记为违规;如果所述的合规矩阵中的区域规则为拒绝访问,则将本条防火墙策略标记为违规。
10.根据权利要求8所述的基于网络流量和防火墙配置实现违规策略监测及访问的方法,其特征在于,所述的步骤(6)还包括:进行防火墙策略合规性监测,具体为:按照以下方式进行周期监测:
定时执行,用户指定时间进行策略的合规性比对;
实时执行,基于获取到的防火墙策略,当策略发生变化的时候,对变化后的策略进行策略的合规性比对;
手动执行,由用户手动触发,进行策略的合规性比对。
11.根据权利要求10所述的基于网络流量和防火墙配置实现违规策略监测及访问的方法,其特征在于,所述的防火墙策略合规性监测还包括:
对已经完成合规性比对的策略进行缓存,当再次获取到防火墙策略的时,通过缓存判断该防火墙的策略是否发生变化,如果否,则不对此防火墙的策略执行合规性比对;如果是,则判断具体哪些策略发生变化,且只比对发生变化的策略,对于没有发生变化的策略不进行比对。
12.根据权利要求11所述的基于网络流量和防火墙配置实现违规策略监测及访问的方法,其特征在于,进行所述的网络访问合规性监测,包括进行网络流量采集和网络流量解析,其中,
所述的网络流量采集,具体为:通过镜像的方式将网络流量镜像到系统中进行网络流量的采集;
所述的网络流量解析,具体为:当采集到网络流量后,对网络流量中的会话进行解析,得到会话的源IP、目的IP、目的端口。
13.根据权利要求11所述的基于网络流量和防火墙配置实现违规策略监测及访问的方法,其特征在于,进行所述的网络访问合规性监测,还包括进行网络流量合规性比对,具体为:
将解析得到的网络会话数据的每一条数据中的源IP、目的IP分别提取出来,并与安全域数据中的网段规则进行比对关联,得到源安全域与目的安全域后,与所述的合规矩阵中的相同源安全域、目的安全域的数据进行比对,如果所述的合规矩阵中的区域规则为允许访问,则比对网络会话中的目的端口是否在合规矩阵区域规则的目的端口范围内,如果是,则将本条网络会话标记为合规,否则,将本条网络会话标记为违规;如果所述的合规矩阵中的区域规则为拒绝访问,则将本条网络会话标记为违规。
14.根据权利要求13所述的基于网络流量和防火墙配置实现违规策略监测及访问的方法,其特征在于,进行所述的网络访问合规性监测,还包括进行网络流量存储,具体为:
在进行网络流量合规性比对的过程中,当发现违规的网络会话时,将该违规会话的会话数据、原始数据包进行存储;
所述的违规会话的会话数据,包括该会话的开始时间、结束时间、源IP、源端口、目的IP、目的端口、总字节数、总数据包数、协议;
存储所述的原始数据包,包括将原始数据包文件以专有格式存储到本地,并使用会话数据进行索引。
15.根据权利要求14所述的基于网络流量和防火墙配置实现违规策略监测及访问的方法,其特征在于,对所述的会话数据进行索引,具体为:
在数据库内以开始时间、结束时间、源IP、源端口、目的IP、目的端口、总字节数、总数据包数、协议字段建立索引数据,并记录该会话对应的数据包存储文件的位置和偏移量数据,当需要提取该会话的原始数据包的时候,在数据库内检索该会话的数据即可得到数据包文件的存储位置和偏移量信息,从而对数据包文件进行还原。
16.一种基于网络流量和防火墙配置实现违规策略监测及访问的装置,其特征在于,所述的装置包括:
处理器,被配置成执行计算机可执行指令;
存储器,存储一个或多个计算机可执行指令,所述计算机可执行指令被所述处理器执行时,实现权利要求1至15中任一项所述的基于网络流量和防火墙配置实现违规策略监测及访问的方法的各个步骤。
17.一种基于网络流量和防火墙配置实现违规策略监测及访问的处理器,其特征在于,所述的处理器被配置成执行计算机可执行指令,所述的计算机可执行指令被所述的处理器执行时,实现权利要求1至15中任一项所述的基于网络流量和防火墙配置实现违规策略监测及访问的方法的各个步骤。
18.一种计算机可读存储介质,其特征在于,其上存储有计算机程序,所述的计算机程序可被处理器执行以实现权利要求1至15中任一项所述的基于网络流量和防火墙配置实现违规策略监测及访问的方法的各个步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211654463.0A CN115987628A (zh) | 2022-12-22 | 2022-12-22 | 基于网络流量和防火墙配置实现违规策略监测及访问的方法、装置、处理器及其存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211654463.0A CN115987628A (zh) | 2022-12-22 | 2022-12-22 | 基于网络流量和防火墙配置实现违规策略监测及访问的方法、装置、处理器及其存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115987628A true CN115987628A (zh) | 2023-04-18 |
Family
ID=85973421
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211654463.0A Pending CN115987628A (zh) | 2022-12-22 | 2022-12-22 | 基于网络流量和防火墙配置实现违规策略监测及访问的方法、装置、处理器及其存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115987628A (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103825876A (zh) * | 2013-11-07 | 2014-05-28 | 北京安码科技有限公司 | 一种复杂网络环境下的防火墙策略审计系统 |
| CN104135461A (zh) * | 2013-05-02 | 2014-11-05 | 中国移动通信集团河北有限公司 | 一种防火墙策略处理的方法及装置 |
| WO2017165948A1 (en) * | 2016-03-28 | 2017-10-05 | Cicer One Technologies Inc. | Data storage and access platform with jurisdictional control |
| CN108696531A (zh) * | 2018-06-08 | 2018-10-23 | 武汉思普崚技术有限公司 | 一种安全策略自适应分析与大数据可视化平台系统 |
| CN109067783A (zh) * | 2018-09-17 | 2018-12-21 | 武汉思普崚技术有限公司 | 一种集中管控安全系统 |
| CN112351014A (zh) * | 2020-10-28 | 2021-02-09 | 武汉思普崚技术有限公司 | 一种安全域间防火墙安全策略合规基线管理方法及装置 |
| US11483288B1 (en) * | 2016-03-17 | 2022-10-25 | Wells Fargo Bank, N.A. | Serialization of firewall rules with user, device, and application correlation |
| CN115361189A (zh) * | 2022-08-12 | 2022-11-18 | 华能澜沧江水电股份有限公司 | 一种基于分布式防火墙安全策略智能管理的方法及系统 |
-
2022
- 2022-12-22 CN CN202211654463.0A patent/CN115987628A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104135461A (zh) * | 2013-05-02 | 2014-11-05 | 中国移动通信集团河北有限公司 | 一种防火墙策略处理的方法及装置 |
| CN103825876A (zh) * | 2013-11-07 | 2014-05-28 | 北京安码科技有限公司 | 一种复杂网络环境下的防火墙策略审计系统 |
| US11483288B1 (en) * | 2016-03-17 | 2022-10-25 | Wells Fargo Bank, N.A. | Serialization of firewall rules with user, device, and application correlation |
| WO2017165948A1 (en) * | 2016-03-28 | 2017-10-05 | Cicer One Technologies Inc. | Data storage and access platform with jurisdictional control |
| CN108696531A (zh) * | 2018-06-08 | 2018-10-23 | 武汉思普崚技术有限公司 | 一种安全策略自适应分析与大数据可视化平台系统 |
| CN109067783A (zh) * | 2018-09-17 | 2018-12-21 | 武汉思普崚技术有限公司 | 一种集中管控安全系统 |
| CN112351014A (zh) * | 2020-10-28 | 2021-02-09 | 武汉思普崚技术有限公司 | 一种安全域间防火墙安全策略合规基线管理方法及装置 |
| CN115361189A (zh) * | 2022-08-12 | 2022-11-18 | 华能澜沧江水电股份有限公司 | 一种基于分布式防火墙安全策略智能管理的方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3304824B1 (en) | Policy-driven compliance | |
| CN109831327B (zh) | 基于大数据分析的ims全业务网络监视智能化运维支撑系统 | |
| CN103368973B (zh) | 一种云操作系统安全体系 | |
| EP3270564B1 (en) | Distributed security provisioning | |
| US7627891B2 (en) | Network audit and policy assurance system | |
| US20090198707A1 (en) | System and method for managing firewall log records | |
| CN107563199A (zh) | 一种基于文件请求监控的勒索软件实时检测与防御方法 | |
| WO2021115231A1 (zh) | 一种鉴权方法和相关设备 | |
| CN103413083A (zh) | 单机安全防护系统 | |
| CN103200021A (zh) | 网管系统、客户端、服务端及实现批量配置数据的方法 | |
| CN113162943B (zh) | 一种防火墙策略动态管理的方法、系统 | |
| Dwaraki et al. | GitFlow: Flow revision management for software-defined networks | |
| CN107463839A (zh) | 一种管理应用程序的系统和方法 | |
| US11416631B2 (en) | Dynamic monitoring of movement of data | |
| CN110351275A (zh) | 一种主机端口流量监控方法、系统、装置和存储设备 | |
| CN115987628A (zh) | 基于网络流量和防火墙配置实现违规策略监测及访问的方法、装置、处理器及其存储介质 | |
| CN115695165A (zh) | 一种防火墙自动运维方法、系统、电子设备及存储介质 | |
| US11093485B2 (en) | Branch-based recovery in a database system | |
| CN114244555A (zh) | 一种安全策略的调整方法 | |
| CN111324796A (zh) | 基于区块链和sdn边缘计算网络系统的域名爬取方法及装置 | |
| KR102660695B1 (ko) | 데이터 관리 장치, 데이터 관리 방법 및 데이터 관리 프로그램을 저장하는 컴퓨터로 판독 가능한 저장 매체 | |
| KR102656871B1 (ko) | 데이터 관리 장치, 데이터 관리 방법 및 데이터 관리 프로그램을 저장하는 컴퓨터로 판독 가능한 저장 매체 | |
| US20240155006A1 (en) | Secure verification of detection rules on test sensors | |
| US11838329B1 (en) | Curating actionable intrusion detection system rules | |
| CN116886449B (zh) | 一种智能识别并拦截域名的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |