CN117411722A - 一种防火墙策略管理方法、系统、存储介质及电子设备 - Google Patents
一种防火墙策略管理方法、系统、存储介质及电子设备 Download PDFInfo
- Publication number
- CN117411722A CN117411722A CN202311644477.9A CN202311644477A CN117411722A CN 117411722 A CN117411722 A CN 117411722A CN 202311644477 A CN202311644477 A CN 202311644477A CN 117411722 A CN117411722 A CN 117411722A
- Authority
- CN
- China
- Prior art keywords
- network
- information system
- library
- feature
- network access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000007726 management method Methods 0.000 title claims abstract description 56
- 230000003993 interaction Effects 0.000 claims abstract description 44
- 238000000034 method Methods 0.000 claims description 22
- 238000005457 optimization Methods 0.000 claims description 16
- 230000008569 process Effects 0.000 description 7
- 230000009471 action Effects 0.000 description 6
- 238000013461 design Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 238000012550 audit Methods 0.000 description 5
- 238000009960 carding Methods 0.000 description 5
- 238000012423 maintenance Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 125000004122 cyclic group Chemical group 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 238000012512 characterization method Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000026676 system process Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种防火墙策略管理方法、系统、存储介质及电子设备,获取源信息系统网络访问特征库的网络访问特征和目的信息系统网络服务特征库的网络服务特征,其中,源信息系统网络访问特征库分别与信息系统库和网络特征库存在关联关系;目的信息系统网络服务特征库分别与信息系统库和网络特征库之间存在关联关系,通过网络访问特征和所述网络服务特征,确定信息系统网络防护特征库的网络防护特征,判断网络防护特征是否允许通过,若允许通过,得到网络交互特征,并根据网络交互特征确定防火墙策略特征,网络交互特征表示源信息系统网络访问特征库与目的信息系统网络服务特征库的之间的网络交互特征,对防火墙策略特征进行管理和迭代优化。
Description
技术领域
本申请涉及网络安全技术领域,更具体地说,涉及一种防火墙策略管理方法、系统、存储介质及电子设备。
背景技术
防火墙在需要网络安全防护的企业中扮演着重要角色,以进行网络策略管控,特别是对于安全需求较高的行业,如金融、证券等,防火墙策略一般配置白名单模式,只有配置了对应的防火墙策略的访问请求才会被允许。
防火墙策略表示防火墙上的规则和设置,用于控制网络流量,保护企业网络免受未经授权的访问和攻击,通常包括源地址、目的地址、目的端口、协议、动作。
然而,随着业务的增长,网络访问需求不断增加,有效、失效、冲突的防火墙策略数量也会增加。
因此,如何提高防火墙策略管理效率,是本申请亟需解决的问题。
发明内容
有鉴于此,本申请公开了一种防火墙策略管理方法、系统、存储介质及电子设备,便于实现更高效、明晰、精细化的安全网络访问控制,减少人工干预,提高防火墙管理效率。
为了实现上述目的,其公开的技术方案如下:
本申请第一方面公开了一种防火墙策略管理方法,所述方法包括:
获取源信息系统网络访问特征库的网络访问特征和目的信息系统网络服务特征库的网络服务特征;其中,源信息系统网络访问特征库分别与信息系统库和网络特征库存在关联关系;目的信息系统网络服务特征库分别与信息系统库和网络特征库之间存在关联关系;
通过所述网络访问特征和所述网络服务特征,确定信息系统网络防护特征库的网络防护特征;
判断所述网络防护特征是否允许通过;
若允许通过,得到网络交互特征,并根据所述网络交互特征确定防火墙策略特征;所述网络交互特征表示源信息系统网络访问特征库与目的信息系统网络服务特征库的之间的网络交互特征;
对所述防火墙策略特征进行管理和迭代优化。
优选的,所述获取源信息系统网络访问特征库的网络访问特征和目的信息系统网络服务特征库的网络服务特征,包括:
将作为发送端的信息系统确定为源信息系统,并通过所述源信息系统获取源信息系统网络访问特征库的网络访问特征;
将作为接收端的信息系统确定为目的信息系统,并通过所述目的信息系统获取目的信息系统网络服务特征库的网络服务特征。
优选的,所述通过所述网络访问特征和所述网络服务特征,确定信息系统网络防护特征库的网络防护特征,包括:
获取网络访问特征的主键信息和网络访问特征的外键信息;
获取网络服务特征库的主键信息和网络服务特征库的外键信息;
根据所述网络访问特征的主键信息、所述网络访问特征的外键信息、所述网络服务特征库的主键信息和所述网络服务特征库的外键信息,确定信息系统网络防护特征库的网络防护特征;所述网络防护特征至少包括信息系统库的主键信息、信息系统库的外键信息和是否允许通过的比对特征;所述信息系统库的外键信息至少包括信息系统库的id和网络特征库的id。
优选的,所述判断所述网络防护特征是否允许通过,包括:
将所述网络防护特征与信息系统网络防护特征库的比对特征进行比对;
若所述网络防护特征与所述比对特征比对一致,确定所述网络防护特征允许通过;
若所述网络防护特征与所述比对特征比对不一致,确定所述网络防护特征不允许通过。
优选的,所述对所述防火墙策略特征进行管理和迭代优化,包括:
通过对所述防火墙策略特征进行管理,并通过所述防火墙策略特征对所述源信息系统网络访问特征库和目的信息系统网络服务特征库进行迭代优化。
本申请第二方面公开了一种防火墙策略管理系统,所述系统包括:
获取单元,用于获取源信息系统网络访问特征库的网络访问特征和目的信息系统网络服务特征库的网络服务特征;其中,源信息系统网络访问特征库分别与信息系统库和网络特征库存在关联关系;目的信息系统网络服务特征库分别与信息系统库和网络特征库之间存在关联关系;
第一确定单元,用于通过所述网络访问特征和所述网络服务特征,确定信息系统网络防护特征库的网络防护特征;
判断单元,用于判断所述网络防护特征是否允许通过;
第二确定单元,用于若允许通过,得到网络交互特征,并根据所述网络交互特征确定防火墙策略特征;所述网络交互特征表示源信息系统网络访问特征库与目的信息系统网络服务特征库的之间的网络交互特征;
管理优化单元,用于对所述防火墙策略特征进行管理和迭代优化。
优选的,所述获取单元,包括:
第一获取模块,用于将作为发送端的信息系统确定为源信息系统,并通过所述源信息系统获取源信息系统网络访问特征库的网络访问特征;
第二获取模块,用于将作为接收端的信息系统确定为目的信息系统,并通过所述目的信息系统获取目的信息系统网络服务特征库的网络服务特征。
优选的,所述第一确定单元,包括:
第三获取模块,用于获取网络访问特征的主键信息和网络访问特征的外键信息;
第四获取模块,用于获取网络服务特征库的主键信息和网络服务特征库的外键信息;
第一确定模块,用于根据所述网络访问特征的主键信息、所述网络访问特征的外键信息、所述网络服务特征库的主键信息和所述网络服务特征库的外键信息,确定信息系统网络防护特征库的网络防护特征;所述网络防护特征至少包括信息系统库的主键信息、信息系统库的外键信息和是否允许通过的比对特征;所述信息系统库的外键信息至少包括信息系统库的id和网络特征库的id。
本申请第三方面公开了一种存储介质,所述存储介质包括存储的指令,其中,在所述指令运行时控制所述存储介质所在的设备执行如第一方面任意一项所述的防火墙策略管理方法。
本申请第四方面公开了一种电子设备,包括存储器,以及一个或者一个以上的指令,其中一个或者一个以上指令存储于存储器中,且经配置以由一个或者一个以上处理器执行如第一方面任意一项所述的防火墙策略管理方法。
经由上述技术方案可知,本申请公开了一种防火墙策略管理方法、系统、存储介质及电子设备,获取源信息系统网络访问特征库的网络访问特征和目的信息系统网络服务特征库的网络服务特征,其中,源信息系统网络访问特征库分别与信息系统库和网络特征库存在关联关系,目的信息系统网络服务特征库分别与信息系统库和网络特征库之间存在关联关系,通过网络访问特征和网络服务特征,确定信息系统网络防护特征库的网络防护特征,判断网络防护特征是否允许通过,若允许通过,得到网络交互特征,并根据网络交互特征确定防火墙策略特征,网络交互特征表示源信息系统网络访问特征库与目的信息系统网络服务特征库的之间的网络交互特征,对防火墙策略特征进行管理和迭代优化。通过上述方案,根据不同的信息系统特征自动化生成防火墙策略,通过对防火墙策略进行管理和迭代优化,可对网络安全进行全面的审计,以识别和消除潜在的威胁,便于实现更高效、明晰、精细化的安全网络访问控制,减少人工干预,提高防火墙管理效率。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例公开的一种防火墙策略管理方法的流程示意图;
图2为本申请实施例公开的系统数据库关联示意图;
图3为本申请实施例公开的系统处理流程设计示意图;
图4为本申请实施例公开的一种防火墙策略管理系统的结构示意图;
图5为本申请实施例公开的一种电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
在本申请中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
由背景技术可知,防火墙策略表示防火墙上的规则和设置,用于控制网络流量,保护企业网络免受未经授权的访问和攻击,通常包括源地址、目的地址、目的端口、协议、动作。然而,随着业务的增长,网络访问需求不断增加,有效、失效、冲突的防火墙策略数量也会增加。因此,如何提高防火墙策略管理效率,是本申请亟需解决的问题。
为了解决上述问题,本申请公开了一种防火墙策略管理方法、系统、存储介质及电子设备,根据不同的信息系统特征自动化生成防火墙策略,通过对防火墙策略进行管理和迭代优化,可对网络安全进行全面的审计,以识别和消除潜在的威胁,便于实现更高效、明晰、精细化的安全网络访问控制,减少人工干预,提高防火墙管理效率。具体实现方式通过下述实施例具体进行说明。
参考图1所示,为本申请实施例公开的一种防火墙策略管理方法的流程示意图,该防火墙策略管理方法主要包括如下步骤:
S101:获取源信息系统网络访问特征库的网络访问特征和目的信息系统网络服务特征库的网络服务特征;其中,源信息系统网络访问特征库分别与信息系统库和网络特征库存在关联关系;目的信息系统网络服务特征库分别与信息系统库和网络特征库之间存在关联关系。
在S101中,将作为发送端的信息系统确定为源信息系统,并通过源信息系统获取源信息系统网络访问特征库的网络访问特征,将作为接收端的信息系统确定为目的信息系统,并通过目的信息系统获取目的信息系统网络服务特征库的网络服务特征。
信息系统是由计算机硬件、网络和通信设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统。有对信息的输入、存储、处理、输出和控制等功能。
源信息系统网络访问特征库分别与信息系统库和网络特征库存在关联关系;目的信息系统网络服务特征库分别与信息系统库和网络特征库之间存在关联关系,具体如图2所示,图2示出了系统数据库关联示意图。
图2中,源信息系统网络访问特征库分别与信息系统库和网络特征库存在关联关系。
目的信息系统网络服务特征库分别与信息系统库和网络特征库之间存在关联关系。
源信息系统网络访问特征库(system_access_feature)与信息系统网络防护特征库存在关联关系。
目的信息系统网络服务特征库(system_service_feature)与信息系统网络防护特征库(system_protection_feature)存在关联关系。
将信息系统网络防护特征库里的信息与信息系统网络间(源信息系统与目的信息系统之间)交互特征库(system_relation_feature)的信息进行匹配。
信息系统网络间交互特征库与防火墙策略特征库之间存在关联关系。
防火墙策略库(firewall_policy)与防火墙策略特征库(firewall_policy_feature)之间存在关联关系。
防火墙是一种网络安全设备,用于控制网络流量,限制网络间访问,并在网络中提供保护。
防火墙策略是防火墙上的一组规则和设置,用于控制网络流量,保护企业网络免受未经授权的访问和攻击,通常包括源地址、目的地址、目的端口、协议、动作。
防火墙策略以文本的形式存在,无法便捷的识别策略对应的信息系统以及策略的合规性、有效性、安全性,故需本系统进行防火墙策略的特征管理,并提供易用、可视化的界面,开展以下工作,结合图3进行说明,图3示出了系统处理流程设计示意图。
明确信息系统;
明确源信息系统及网络访问特征;
明确目的信息系统及网络服务特征;
明确信息系统网络防护特征,通过的允许实施,不通过的禁止实施;
明确源目信息系统间网络交互特征;
生成防火墙策略;
关联防火墙策略及源目信息系统间网络交互特征;
不断循环此过程,进行迭代优化。
具体通过对防火墙策略特征进行管理,并通过防火墙策略特征对源信息系统网络访问特征库和目的信息系统网络服务特征库进行迭代优化。
防火墙在需要网络安全防护的企业中扮演着重要角色,以进行网络策略管控。特别是对于安全需求较高的行业,如金融、证券等,防火墙策略一般配置白名单模式,只有配置了对应的防火墙策略的访问请求才会被允许。然而,随着业务的增长,网络访问需求不断增加,有效、失效、冲突的防火墙策略数量也会增加。本防火墙策略管理系统可有效解决策略统一管理和治理的问题,提高策略管理效率,保障网络安全。
本方案设计包括但不限于以下数据库:信息系统库、网络特征库、防火墙策略库、源信息系统网络访问特征库、目的信息系统网络服务特征库、信息系统网络防护特征库、信息系统间网络交互特征库、防火墙策略特征库。
本数据库设计包括但不限于已列出字段,同时列举出部分数据样例。
具体信息系统库(system)如表1和表2所示。
| 字段 | 描述 |
| id | 主键 |
| name | 信息系统名称 |
| description | 信息系统描述 |
表1
| id | name | description |
| 1 | 系统1 | 系统1描述 |
| 2 | 系统2 | 系统2描述 |
表2
建立信息系统库,如系统1、系统2。
id为唯一标识。
具体网络特征库(network_feature)表3和表4所示。
| 字段 | 描述 |
| id | 主键 |
| name | 网络特征名称 |
| description | 网络特征描述 |
表3
| id | name | description |
| 1 | 特征1 | tcp-80 |
| 2 | 特征2 | tcp-8000-9000 |
| 3 | 特征3 | udp-123 |
表4
表4中,网络特征库的特征1是访问tcp端口的80,信息系统关联到这些特征,意味着信息系统具备这些网络特征。
网络特征即为网络关键信息,如tcp-80、tcp-9000-9010、udp-123等。
建立网络特征库,如特征1、特征2、特征3。
具体防火墙策略库如表5和表6所示。
| 字段 | 描述 |
| id | 主键 |
| policy | 防火墙策略 |
| description | 防火墙策略描述 |
表5
| id | policydescription |
| 1 | 防火墙策略1防火墙策略1描述 |
| 2 | 防火墙策略2防火墙策略2描述 |
| 3 | 防火墙策略3防火墙策略3描述 |
表6
根据防火墙策略,建立防火墙策略库,如防火墙策略1、防火墙策略2、防火墙策略3。
源信息系统网络访问特征库如表7和表8所示。
表7
其中,信息系统库的id和网络特征库的id为信息系统网络访问特征库的形式。
| id | system_id | network_feature_id |
| 1 | 1 | 1 |
| 2 | 1 | 2 |
| 3 | 2 | 3 |
表8
建立源信息系统网络访问特征库,如系统1包含网络特征1及网络特征2,系统2包含网络特征3。
目的信息系统网络服务特征库如表9和表10所示。
| 字段 | 描述 |
| id | 主键 |
| system_id | 外键,信息系统库的id |
| network_feature_id | 外键,网络特征库的id |
表9
| id | system_id | network_feature_id |
| 1 | 1 | 2 |
| 2 | 1 | 1 |
| 3 | 2 | 3 |
表10
建立目的信息系统网络服务特征库,如系统1包含网络特征1及网络特征2,系统2包含网络特征3。
信息系统网络防护特征库如表11和表12所示。
| 字段 | 描述 |
| id | 主键 |
| system_id | 外键,信息系统库的id |
| network_feature_id | 外键,网络特征库的id |
| allow | 是否允许通过 |
表11
其中,信息系统网络防护特征库通过信息系统库的id与信息系统库作关联,信息系统网络防护特征库通过网络特征库的id与网络特征库作关联。
| id | system_id | network_feature_id | allow |
| 1 | 1 | 1 | true |
| 2 | 1 | 2 | false |
| 3 | 2 | 3 | true |
表12
建立信息系统网络防护特征库,如系统1允许网络特征1且禁止网络特征2,系统2允许网络特征3。
信息系统间网络交互特征库如表13和表14所示。
| 字段 | 描述 |
| id | 主键 |
| source_system_id | 外键,源信息系统库的id |
| destination_system_id | 外键,目的信息系统库的id |
| system_service_feature_id | 外键,网络服务特征库的id |
表13
| id | source_system_id | destination_system_id | system_service_feature_id |
| 1 | 1 | 2 | 3 |
| 2 | 2 | 1 | 1 |
| 3 | 2 | 1 | 2 |
表14
建立信息系统间网络交互特征库,如系统1访问系统2的网络服务特征3,系统2访问系统1的网络服务特征1及网络服务特征2。
防火墙策略特征库如表15和表16所示。
| 字段 | 描述 |
| id | 主键 |
| firewall_policy_id | 外键,防火墙策略库的id |
| system_relation_feature_id | 外键,信息系统间网络访问特征库的id |
表15
| id | firewall_policy_id | system_relation_feature_id |
| 1 | 1 | 3 |
| 2 | 2 | 2 |
| 3 | 3 | 1 |
表16
建立防火墙策略特征库,防火墙策略1包含信息系统间网络访问特征3,防火墙策略2包含信息系统间网络访问特征2,防火墙策略3包含信息系统间网络访问特征1。
本方案通过对防火墙策略特征进行管理,可以实现更精细化的安全控制,并提高管理效率。通过对特征集进行匹配,可以实现更智能化的安全控制,并提高运维效率。本方案设计适用性广泛,既适用于从梳理现有防火墙策略开始逐步建立整个系统,也适用于从梳理现有信息系统开始逐步建立整个系统。
1、建立信息系统库,如系统1、系统2;
2、建立网络特征库,如特征1、特征2、特征3;
3、根据防火墙策略,建立防火墙策略库,如防火墙策略1、防火墙策略2、防火墙策略3;
4、建立源信息系统网络访问特征库,如系统1包含网络特征1及网络特征2,系统2包含网络特征3;
5、建立目的信息系统网络服务特征库,如系统1包含网络特征1及网络特征2,系统2包含网络特征3;
6、建立信息系统网络防护特征库,如系统1允许网络特征1且禁止网络特征2,系统2允许网络特征3;
7、建立信息系统间网络交互特征库,如系统1访问系统2的网络服务特征3,系统2访问系统1的网络服务特征1及网络服务特征2;
8、建立防火墙策略特征库,防火墙策略1包含信息系统间网络访问特征3,防火墙策略2包含信息系统间网络访问特征2,防火墙策略3包含信息系统间网络访问特征1;
9、以上步骤不断迭代循环。
本方案设计的流程及具有可循环迭代、不断优化的特征。
S102:通过网络访问特征和所述网络服务特征,确定信息系统网络防护特征库的网络防护特征。
具体通过网络访问特征和所述网络服务特征,确定信息系统网络防护特征库的网络防护特征的过程如A1-A3所示。
A1:获取网络访问特征的主键信息和网络访问特征的外键信息。
A2:获取网络服务特征库的主键信息和网络服务特征库的外键信息。
其中,A1和A2为并列关系。
A3:根据网络访问特征的主键信息、网络访问特征的外键信息、网络服务特征库的主键信息和网络服务特征库的外键信息,确定信息系统网络防护特征库的网络防护特征;网络防护特征至少包括信息系统库的主键信息、信息系统库的外键信息和是否允许通过的比对特征;信息系统库的外键信息至少包括信息系统库的id和网络特征库的id。
S103:判断网络防护特征是否允许通过;若允许通过,执行S104,若不允许通过,执行S106。
具体判断网络防护特征是否允许通过的过程如B1-B3所示。
B1:将网络防护特征与信息系统网络防护特征库的比对特征进行比对。
其中,比对特征为预先设置在信息系统网络防护特征库里的特征。
B2:若所述网络防护特征与比对特征比对一致,确定所述网络防护特征允许通过。
B3:若网络防护特征与比对特征比对不一致,确定网络防护特征不允许通过。
明确信息系统网络防护特征,通过的允许实施,不通过的禁止实施。
S104:得到网络交互特征,并根据网络交互特征确定防火墙策略特征;网络交互特征表示源信息系统网络访问特征库与目的信息系统网络服务特征库的之间的网络交互特征。
S105:对防火墙策略特征进行管理和迭代优化。
在S105中,通过对防火墙策略特征进行管理,并通过防火墙策略特征对源信息系统网络访问特征库和目的信息系统网络服务特征库进行迭代优化。
防火墙策略特征进一步去完善源信息系统网络访问特征库和目的信息系统网络服务特征库中的表,在下次再判断时重新读取统网络访问特征库和目的信息系统网络服务特征库中的表,不断积累数据的一个迭代优化过程,可提高读取效率。
S106:禁止实施。
本方案设计了一套用于防火墙策略特征管理的数据库架构,且数据库包括但不限于文中所列出内容。本方案设计的流程及具有可循环迭代、不断优化的特征。本方案设计适用性广泛,既适用于从梳理现有防火墙策略开始逐步建立整个系统,也适用于从梳理现有信息系统开始逐步建立整个系统。
本系统通过对特征集进行匹配,可以实现更智能化的安全控制,并提高运维效率。
精准网络访问控制:通过防火墙特征管理系统,便于实现更高效、明晰、安全的网络访问控制。
防火墙策略特征管理:通过该系统,可以使网络运维人员能够高效管理和维护企业网络防火墙策略。
信息系统特征管理:使网络运维人员能够方便地管理和应用信息系统的网络特征。
安全审计:通过对防火墙策略进行管理和维护,可以对网络安全进行全面的审计,以识别和消除潜在的威胁。
自动化:依据该系统,便于根据不同的信息系统特征自动化生成防火墙策略,减少人工干预,提高效率。
本系方案主要完成防火墙策略的特征管理功能,在网络安全要求高、防火墙数量多、策略条目多的场景下提供一套完善的防火墙策略特征管理系统,完成现有防火墙策略的梳理,优化企业信息系统安全控制流程,建立高效防火墙策略管控系统。
本申请实施例中,根据不同的信息系统特征自动化生成防火墙策略,通过对防火墙策略进行管理和迭代优化,可对网络安全进行全面的审计,以识别和消除潜在的威胁,便于实现更高效、明晰、精细化的安全网络访问控制,减少人工干预,提高防火墙管理效率。
基于上述实施例图1公开的一种防火墙策略管理方法,本申请实施例还对应公开了一种防火墙策略管理系统,如图4所示,该防火墙策略管理系统包括获取单元401、第一确定单元402、判断单元403、第二确定单元404和管理优化单元405。
获取单元401,用于获取源信息系统网络访问特征库的网络访问特征和目的信息系统网络服务特征库的网络服务特征;其中,源信息系统网络访问特征库分别与信息系统库和网络特征库存在关联关系;目的信息系统网络服务特征库分别与信息系统库和网络特征库之间存在关联关系;
第一确定单元402,用于通过网络访问特征和网络服务特征,确定信息系统网络防护特征库的网络防护特征;
判断单元403,用于判断网络防护特征是否允许通过;
第二确定单元404,用于若允许通过,得到网络交互特征,并根据网络交互特征确定防火墙策略特征;网络交互特征表示源信息系统网络访问特征库与目的信息系统网络服务特征库的之间的网络交互特征。
管理优化单元405,用于对防火墙策略特征进行管理和迭代优化。
进一步的,获取单元401包括第一获取模块、第二获取模块和第二获取模块。
第一获取模块,用于将作为发送端的信息系统确定为源信息系统,并通过源信息系统获取源信息系统网络访问特征库的网络访问特征;
第二获取模块,用于将作为接收端的信息系统确定为目的信息系统,并通过所述目的信息系统获取目的信息系统网络服务特征库的网络服务特征。
进一步的,第一确定单元包括第三获取模块、第四获取模块和第一确定模块。
第三获取模块,用于获取网络访问特征的主键信息和网络访问特征的外键信息。
第四获取模块,用于获取网络服务特征库的主键信息和网络服务特征库的外键信息。
第一确定模块,用于根据网络访问特征的主键信息、网络访问特征的外键信息、网络服务特征库的主键信息和网络服务特征库的外键信息,确定信息系统网络防护特征库的网络防护特征;网络防护特征至少包括信息系统库的主键信息、信息系统库的外键信息和是否允许通过的比对特征;信息系统库的外键信息至少包括信息系统库的id和网络特征库的id。
进一步的,判断单元403包括比对模块、第二确定模块和第三确定模块。
比对模块,用于将所述网络防护特征与信息系统网络防护特征库的比对特征进行比对。
第二确定模块,用于若网络防护特征与所述比对特征比对一致,确定网络防护特征允许通过。
第三确定模块,用于若所述网络防护特征与比对特征比对不一致,确定网络防护特征不允许通过。
进一步的,管理优化单元405,具体用于通过对防火墙策略特征进行管理,并通过防火墙策略特征对源信息系统网络访问特征库和目的信息系统网络服务特征库进行迭代优化。
本申请实施例中,根据不同的信息系统特征自动化生成防火墙策略,通过对防火墙策略进行管理和迭代优化,可对网络安全进行全面的审计,以识别和消除潜在的威胁,便于实现更高效、明晰、精细化的安全网络访问控制,减少人工干预,提高防火墙管理效率。
本申请实施例还提供了一种存储介质,存储介质包括存储的指令,其中,在指令运行时控制存储介质所在的设备执行上述防火墙策略管理方法。
本申请实施例还提供了一种电子设备,其结构示意图如图5所示,具体包括存储器501,以及一个或者一个以上的指令502,其中一个或者一个以上指令502存储于存储器501中,且经配置以由一个或者一个以上处理器503执行所述一个或者一个以上指令502执行上述防火墙策略管理方法。
对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于系统类实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本申请各实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
对所公开的实施例的上述说明,使本领域技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。
Claims (10)
1.一种防火墙策略管理方法,其特征在于,所述方法包括:
获取源信息系统网络访问特征库的网络访问特征和目的信息系统网络服务特征库的网络服务特征;其中,源信息系统网络访问特征库分别与信息系统库和网络特征库存在关联关系;目的信息系统网络服务特征库分别与信息系统库和网络特征库之间存在关联关系;
通过所述网络访问特征和所述网络服务特征,确定信息系统网络防护特征库的网络防护特征;
判断所述网络防护特征是否允许通过;
若允许通过,得到网络交互特征,并根据所述网络交互特征确定防火墙策略特征;所述网络交互特征表示源信息系统网络访问特征库与目的信息系统网络服务特征库的之间的网络交互特征;
对所述防火墙策略特征进行管理和迭代优化。
2.根据权利要求1所述的方法,其特征在于,所述获取源信息系统网络访问特征库的网络访问特征和目的信息系统网络服务特征库的网络服务特征,包括:
将作为发送端的信息系统确定为源信息系统,并通过所述源信息系统获取源信息系统网络访问特征库的网络访问特征;
将作为接收端的信息系统确定为目的信息系统,并通过所述目的信息系统获取目的信息系统网络服务特征库的网络服务特征。
3.根据权利要求1所述的方法,其特征在于,所述通过所述网络访问特征和所述网络服务特征,确定信息系统网络防护特征库的网络防护特征,包括:
获取网络访问特征的主键信息和网络访问特征的外键信息;
获取网络服务特征库的主键信息和网络服务特征库的外键信息;
根据所述网络访问特征的主键信息、所述网络访问特征的外键信息、所述网络服务特征库的主键信息和所述网络服务特征库的外键信息,确定信息系统网络防护特征库的网络防护特征;所述网络防护特征至少包括信息系统库的主键信息、信息系统库的外键信息和是否允许通过的比对特征;所述信息系统库的外键信息至少包括信息系统库的id和网络特征库的id。
4.根据权利要求3所述的方法,其特征在于,所述判断所述网络防护特征是否允许通过,包括:
将所述网络防护特征与信息系统网络防护特征库的比对特征进行比对;
若所述网络防护特征与所述比对特征比对一致,确定所述网络防护特征允许通过;
若所述网络防护特征与所述比对特征比对不一致,确定所述网络防护特征不允许通过。
5.根据权利要求1所述的方法,其特征在于,所述对所述防火墙策略特征进行管理和迭代优化,包括:
通过对所述防火墙策略特征进行管理,并通过所述防火墙策略特征对所述源信息系统网络访问特征库和目的信息系统网络服务特征库进行迭代优化。
6.一种防火墙策略管理系统,其特征在于,所述系统包括:
获取单元,用于获取源信息系统网络访问特征库的网络访问特征和目的信息系统网络服务特征库的网络服务特征;其中,源信息系统网络访问特征库分别与信息系统库和网络特征库存在关联关系;目的信息系统网络服务特征库分别与信息系统库和网络特征库之间存在关联关系;
第一确定单元,用于通过所述网络访问特征和所述网络服务特征,确定信息系统网络防护特征库的网络防护特征;
判断单元,用于判断所述网络防护特征是否允许通过;
第二确定单元,用于若允许通过,得到网络交互特征,并根据所述网络交互特征确定防火墙策略特征;所述网络交互特征表示源信息系统网络访问特征库与目的信息系统网络服务特征库的之间的网络交互特征;
管理优化单元,用于对所述防火墙策略特征进行管理和迭代优化。
7.根据权利要求6所述的系统,其特征在于,所述获取单元,包括:
第一获取模块,用于将作为发送端的信息系统确定为源信息系统,并通过所述源信息系统获取源信息系统网络访问特征库的网络访问特征;
第二获取模块,用于将作为接收端的信息系统确定为目的信息系统,并通过所述目的信息系统获取目的信息系统网络服务特征库的网络服务特征。
8.根据权利要求6所述的系统,其特征在于,所述第一确定单元,包括:
第三获取模块,用于获取网络访问特征的主键信息和网络访问特征的外键信息;
第四获取模块,用于获取网络服务特征库的主键信息和网络服务特征库的外键信息;
第一确定模块,用于根据所述网络访问特征的主键信息、所述网络访问特征的外键信息、所述网络服务特征库的主键信息和所述网络服务特征库的外键信息,确定信息系统网络防护特征库的网络防护特征;所述网络防护特征至少包括信息系统库的主键信息、信息系统库的外键信息和是否允许通过的比对特征;所述信息系统库的外键信息至少包括信息系统库的id和网络特征库的id。
9.一种存储介质,其特征在于,所述存储介质包括存储的指令,其中,在所述指令运行时控制所述存储介质所在的设备执行如权利要求1至5任意一项所述的防火墙策略管理方法。
10.一种电子设备,其特征在于,包括存储器,以及一个或者一个以上的指令,其中一个或者一个以上指令存储于存储器中,且经配置以由一个或者一个以上处理器执行如权利要求1至5任意一项所述的防火墙策略管理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311644477.9A CN117411722A (zh) | 2023-12-04 | 2023-12-04 | 一种防火墙策略管理方法、系统、存储介质及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311644477.9A CN117411722A (zh) | 2023-12-04 | 2023-12-04 | 一种防火墙策略管理方法、系统、存储介质及电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117411722A true CN117411722A (zh) | 2024-01-16 |
Family
ID=89491048
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311644477.9A Pending CN117411722A (zh) | 2023-12-04 | 2023-12-04 | 一种防火墙策略管理方法、系统、存储介质及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117411722A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117596139A (zh) * | 2024-01-18 | 2024-02-23 | 银联数据服务有限公司 | 一种防火墙的配置命令生成方法及装置 |
-
2023
- 2023-12-04 CN CN202311644477.9A patent/CN117411722A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117596139A (zh) * | 2024-01-18 | 2024-02-23 | 银联数据服务有限公司 | 一种防火墙的配置命令生成方法及装置 |
| CN117596139B (zh) * | 2024-01-18 | 2024-05-31 | 银联数据服务有限公司 | 一种防火墙的配置命令生成方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN117411722A (zh) | 一种防火墙策略管理方法、系统、存储介质及电子设备 | |
| KR101120814B1 (ko) | 로우 레벨 데이터베이스 보안을 최적화하는 시스템 및 방법 | |
| CN103179130B (zh) | 一种信息系统内网安全统一管理平台及管理方法 | |
| US20160125189A1 (en) | Row level security | |
| US9509722B2 (en) | Provisioning access control using SDDL on the basis of an XACML policy | |
| CN109639743A (zh) | 一种防火墙策略检测方法及设备 | |
| CN111711631B (zh) | 一种网络访问控制方法、装置、设备及存储介质 | |
| US11895122B2 (en) | Computer-implemented methods, systems comprising computer-readable media, and electronic devices for team-sourced anomaly vetting via automatically-delegated role definition | |
| US8180894B2 (en) | System and method for policy-based registration of client devices | |
| CN110324334A (zh) | 安全组策略管理方法、装置、设备及计算机可读存储介质 | |
| CN100586123C (zh) | 基于角色管理的安全审计方法及系统 | |
| CN112581103A (zh) | 一种安全型线上会议管理方法 | |
| CN107566375B (zh) | 访问控制方法和装置 | |
| Nath et al. | PolTree: a data structure for making efficient access decisions in ABAC | |
| US8572744B2 (en) | Information security auditing and incident investigation system | |
| CN117195168A (zh) | 异常访问识别方法以及装置 | |
| CN108366068A (zh) | 一种软件定义网络下基于策略语言的云端网络资源管理控制系统 | |
| CN109962922B (zh) | 关于简历的反ats行为的处理方法及系统 | |
| Osliak et al. | Towards Collaborative Cyber Threat Intelligence for Security Management. | |
| CN115022008A (zh) | 一种访问风险评估方法、装置、设备及介质 | |
| CN117254918A (zh) | 零信任动态授权方法、装置、电子设备及可读存储介质 | |
| Penmatsa et al. | Ant colony optimization-based firewall anomaly mitigation engine | |
| CN105808989B (zh) | 一种权限稽核方法及装置 | |
| CN105550597A (zh) | 一种基于信息扫描的终端管理方法和装置 | |
| Zhuravka et al. | Increasing of Information Systems Security by Methods of System Analysis |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |