一种基于仿真路径分析的防火墙安全策略开通方法及装置与流程

本申请涉及网络安全技术领域，尤其涉及一种基于仿真路径分析的防火墙安全策略开通方法及装置。

背景技术：

防火墙是设置在不同网络或网络安全域之间的安全屏障，防火墙主要使用相关的安全策略来检验进出网络的访问行为，以达到限制某些访问行为的目的。目前，使用安全策略检验访问行为时，主要是通过判断经过防火墙的数据流中的五元组是否符合安全策略的规定，若符合规定，则可对该数据流进行放行，允许该种访问行为。其中，五元组包括源地址、目的地址、源端口号、目的端口号以及协议类型。

当某种访问行为被限制时，若要允许访问，则需针对相应的防火墙进行策略开通，在相应防火墙上增加允许数据流通过的安全策略。目前，在策略开通的过程中，通常由网络运维人员根据策略开通请求，找到阻止访问的防火墙设备，然后在防火墙上编写相对应的安全策略命令行，便可将原本被限制的访问改为允许访问。

但是，上述策略开通过程中，需利用人工找到阻止访问的防火墙设备，这将花费大量的时间，尤其是在防火墙设备较多的情况下，上述策略开通方法的效率较低。

技术实现要素：

为了解决利用人工找到阻止访问的防火墙设备，将花费大量时间，尤其是在防火墙设备较多的情况下，现有策略开通方法效率较低的问题，本申请通过以下实施例公开了一种基于仿真路径分析的防火墙安全策略开通方法及装置。

本申请第一方面公开了一种基于仿真路径分析的防火墙安全策略开通方法，包括：

获取策略开通申请信息，所述策略开通申请信息中包括五元组信息，所述五元组信息包括源地址、目的地址、源端口号、目的端口号以及协议类型；

根据所述五元组信息，在网络仿真环境中进行路径分析，并获取路径分析结果，所述网络仿真环境依据现网环境中各网络设备的连接与互访关系所构建；

根据所述路径分析结果，定位目标防火墙，所述目标防火墙为在路径分析过程中阻止访问的防火墙；

根据所述目标防火墙，生成与所述目标防火墙的类型相对应的目标安全策略；

将所述目标安全策略下发至所述目标防火墙，以完成策略开通。

可选的，所述根据所述目标防火墙，生成与所述目标防火墙的类型相对应的目标安全策略，包括：

获取需开通的安全策略的命令行脚本；

根据所述目标防火墙的类型，获取预设的命令行模板；

根据所述预设的命令行模板，翻译所述命令行脚本，生成与所述目标防火墙的类型相对应的所述目标安全策略。

可选的，在将所述目标安全策略下发至所述目标防火墙之后，所述方法还包括：

更新所述网络仿真环境中的防火墙配置；

根据所述五元组信息，在完成更新的网络仿真环境中再次进行路径分析，检测更新后的网络仿真环境中是否还存在阻止访问的防火墙。

可选的，若更新后的网络仿真环境中还存在阻止访问的防火墙，所述方法还包括：

生成与第二目标防火墙的类型相对应的第二目标安全策略，所述第二目标防火墙为阻止访问的防火墙；

将所述第二目标安全策略下发至所述第二目标防火墙，以再次完成策略开通。

可选的，所述生成与所述第二目标防火墙的类型相对应的第二目标安全策略，包括：

获取需开通的安全策略的命令行脚本；

根据所述第二目标防火墙的类型，获取预设的第二命令行模板；

根据所述预设的第二命令行模板，翻译所述命令行脚本，生成与所述第二目标防火墙的类型相对应的所述第二目标安全策略。

本申请第二方面公开了一种基于仿真路径分析的防火墙安全策略开通装置，所述基于仿真路径分析的防火墙安全策略开通装置应用于本申请第一方面所述的一种基于仿真路径分析的防火墙安全策略开通方法，所述基于仿真路径分析的防火墙安全策略开通装置包括：

申请信息获取模块，用于获取策略开通申请信息，所述策略开通申请信息中包括五元组信息，所述五元组信息包括源地址、目的地址、源端口号、目的端口号以及协议类型；

路径分析模块，用于根据所述五元组信息，在网络仿真环境中进行路径分析，并获取路径分析结果，所述网络仿真环境依据现网环境中各网络设备的连接与互访关系所构建；

目标定位模块，用于根据所述路径分析结果，定位目标防火墙，所述目标防火墙为在路径分析过程中阻止访问的防火墙；

策略生成模块，用于根据所述目标防火墙，生成与所述目标防火墙的类型相对应的目标安全策略；

策略开通模块，用于将所述目标安全策略下发至所述目标防火墙，以完成策略开通。

可选的，所述策略生成模块包括：

脚本获取单元，用于获取需开通的安全策略的命令行脚本；

模板获取单元，用于根据所述目标防火墙的类型，获取预设的命令行模板；

翻译单元，用于根据所述预设的命令行模板，翻译所述命令行脚本，生成与所述目标防火墙的类型相对应的所述目标安全策略。

可选的，所述装置还包括：

更新模块，用于在将所述目标安全策略下发至所述目标防火墙之后，更新所述网络仿真环境中的防火墙配置；

检测验证模块，用于根据所述五元组信息，在完成更新的网络仿真环境中再次进行路径分析，检测更新后的网络仿真环境中是否还存在阻止访问的防火墙。

可选的，所述检测验证模块包括：

第二策略生成单元，用于在更新后的网络仿真环境中还存在阻止访问的防火墙时，生成与第二目标防火墙的类型相对应的第二目标安全策略，所述第二目标防火墙为阻止访问的防火墙；

策略再次开通单元，用于将所述第二目标安全策略下发至所述第二目标防火墙，以再次完成策略开通。

可选的，所述第二策略生成单元包括：

脚本获取子单元，用于获取需开通的安全策略的命令行脚本；

第二模板获取子单元，用于根据所述第二目标防火墙的类型，获取预设的第二命令行模板；

第二翻译子单元，用于根据所述预设的第二命令行模板，翻译所述命令行脚本，生成与所述第二目标防火墙的类型相对应的所述第二目标安全策略。

本申请实施例公开了一种基于仿真路径分析的防火墙安全策略开通方法及装置，该方法中，通过获取策略开通申请信息，得到五元组信息，然后根据五元组信息，在网络仿真环境中进行路径分析，并获取路径分析结果，其中，网络仿真环境依据现网环境中各网络设备的连接与互访关系所构建。根据路径分析结果，将在路径分析过程中阻止访问的防火墙定位为目标防火墙，根据目标防火墙，生成与目标防火墙的类型相对应的目标安全策略，将目标安全策略下发至目标防火墙，以完成策略开通。通过上述方法，能够快速定位到阻止访问的防火墙，进而生成目标防火墙对应的目标安全策略，提高了策略开通的效率。

附图说明

为了更清楚地说明本申请的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例公开的一种基于仿真路径分析的防火墙安全策略开通方法的工作流程示意图；

图2为本申请实施例公开的一种基于仿真路径分析的防火墙安全策略开通方法中，生成目标安全策略的工作流程示意图；

图3为本申请实施例公开的又一种基于仿真路径分析的防火墙安全策略开通方法的工作流程示意图；

图4为本申请实施例公开的一种基于仿真路径分析的防火墙安全策略开通装置的结构示意图；

图5为本申请实施例公开的一种基于仿真路径分析的防火墙安全策略开通装置中策略生成模块的结构示意图；

图6为本申请实施例公开的又一种基于仿真路径分析的防火墙安全策略开通装置的结构示意图。

具体实施方式

为了解决利用人工找到阻止访问的防火墙设备，将花费大量时间，尤其是在防火墙设备较多的情况下，现有策略开通方法效率较低的问题，本申请通过以下实施例公开了一种基于仿真路径分析的防火墙安全策略开通方法及装置。

参见图1，本申请第一实施例公开了一种基于仿真路径分析的防火墙安全策略开通方法，包括：

步骤s101，获取策略开通申请信息，所述策略开通申请信息中包括五元组信息，所述五元组信息包括源地址、目的地址、源端口号、目的端口号以及协议类型。

步骤s102，根据所述五元组信息，在网络仿真环境中进行路径分析，并获取路径分析结果，所述网络仿真环境依据现网环境中各网络设备的连接与互访关系所构建。

其中，网络仿真环境是通过提取现网环境中影响网络访问路径和数据流通过的三层网络设备的相关配置,通过大数据分析技术，自动构建各网络设备之间的连接与互访关系，从而形成的一套与现网环境网络配置及访问控制关系一致的全网网络仿真环境。在网络仿真环境中，可以模拟测试任意一组源地址、目的地址、协议端口是否存在通路，以及通路上所有经过的设备与配置信息。其中，设备类型包括：路由器、交换机、负载均衡及防火墙等，配置信息包括：路由、网络接口、acl策略、nat策略及安全策略等。

路径分析能够判断任意一组源地址、目的地址、协议类型、源端口及目的端口是否存在通路，以及通路上所有经过的设备与配置信息。路径分析能够实现任意源地址到目的地址的访问路径及数据流分析，包括是否有可达路径、可达路径经过的节点、命中的路由和策略信息、允许或拒绝的数据流详情等。访问路径分析时，通过源地址定位到对应的网关设备，再通过网关设备上的路由逐一寻找下一网关，直到目的地址，分析过程中，不断匹配网关设备上的acl策略、nat策略、路由及安全策略等信息。

步骤s103，根据所述路径分析结果，定位目标防火墙，所述目标防火墙为在路径分析过程中阻止访问的防火墙。

步骤s104，根据所述目标防火墙，生成与所述目标防火墙的类型相对应的目标安全策略。

步骤s105，将所述目标安全策略下发至所述目标防火墙，以完成策略开通。

本申请实施例公开了一种基于仿真路径分析的防火墙安全策略开通方法及装置，该方法中，通过获取策略开通申请信息，得到五元组信息，然后根据五元组信息，在网络仿真环境中进行路径分析，并获取路径分析结果，其中，网络仿真环境依据现网环境中各网络设备的连接与互访关系所构建。根据路径分析结果，将在路径分析过程中阻止访问的防火墙定位为目标防火墙，根据目标防火墙，生成与目标防火墙的类型相对应的目标安全策略，将目标安全策略下发至目标防火墙，以完成策略开通。通过上述方法，能够快速定位到阻止访问的防火墙，进而生成目标防火墙对应的目标安全策略，提高了策略开通的效率。

现有技术中，网络运维人员在寻找阻止访问的防火墙时，会通过判断每个防火墙设备上是否存在与需开通的安全策略相一致的策略信息，若不存在，则判定该防火墙为阻止访问的防火墙，需对其进行策略开通。这种将需要开通的安全策略与每个防火墙原有策略一一进行对比的方法，效率较低。本申请实施例公开的基于仿真路径分析的防火墙安全策略开通方法，能够通过路径分析，自动定位到阻止访问的防火墙，能够实现全自动的策略开通，极大提高的策略开通的效率。

进一步的，参见图2，上述步骤s104：根据所述目标防火墙，生成与所述目标防火墙的类型相对应的目标安全策略，包括：

步骤s1041，获取需开通的安全策略的命令行脚本。

步骤s1042，根据所述目标防火墙的类型，获取预设的命令行模板。

步骤s1043，根据所述预设的命令行模板，翻译所述命令行脚本，生成与所述目标防火墙的类型相对应的所述目标安全策略。

进一步的，参见图3，在将所述目标安全策略下发至所述目标防火墙之后，所述方法还包括：

步骤s106，更新所述网络仿真环境中的防火墙配置。

步骤s107，根据所述五元组信息，在完成更新的网络仿真环境中再次进行路径分析，检测更新后的网络仿真环境中是否还存在阻止访问的防火墙。

本申请实施例中，在完成策略开通之后，通过在更新后的网络仿真环境中再次进行路径分析，以验证策略开通是否成功。

进一步的，若更新后的网络仿真环境中还存在阻止访问的防火墙，所述方法还包括：

生成与第二目标防火墙的类型相对应的第二目标安全策略，所述第二目标防火墙为阻止访问的防火墙。

将所述第二目标安全策略下发至所述第二目标防火墙，以再次完成策略开通。

实际应用中，在还存在阻止访问的防火墙的情况下，系统可以发出警告，以提醒网络运维人员进行排查，分析策略开通失败的原因，以确保下一次策略开通的有效性。

进一步的，所述生成与所述第二目标防火墙的类型相对应的第二目标安全策略，包括：

获取需开通的安全策略的命令行脚本。

根据所述第二目标防火墙的类型，获取预设的第二命令行模板。

根据所述预设的第二命令行模板，翻译所述命令行脚本，生成与所述第二目标防火墙的类型相对应的所述第二目标安全策略。

下述为本申请公开的装置实施例，用于执行本申请公开的方法实施例。对于本申请装置实施例中未披露的细节，请参见本申请方法实施例。

本申请第二实施例公开了一种基于仿真路径分析的防火墙安全策略开通装置，所述基于仿真路径分析的防火墙安全策略开通装置应用于本申请第一实施例所述的一种基于仿真路径分析的防火墙安全策略开通方法，参见图4，所述基于仿真路径分析的防火墙安全策略开通装置包括：

申请信息获取模块10，用于获取策略开通申请信息，所述策略开通申请信息中包括五元组信息，所述五元组信息包括源地址、目的地址、源端口号、目的端口号以及协议类型。

路径分析模块20，用于根据所述五元组信息，在网络仿真环境中进行路径分析，并获取路径分析结果，所述网络仿真环境依据现网环境中各网络设备的连接与互访关系所构建。

目标定位模块30，用于根据所述路径分析结果，定位目标防火墙，所述目标防火墙为在路径分析过程中阻止访问的防火墙。

策略生成模块40，用于根据所述目标防火墙，生成与所述目标防火墙的类型相对应的目标安全策略。

策略开通模块50，用于将所述目标安全策略下发至所述目标防火墙，以完成策略开通。

进一步的，参见图5，所述策略生成模块40包括：

脚本获取单元401，用于获取需开通的安全策略的命令行脚本。

模板获取单元402，用于根据所述目标防火墙的类型，获取预设的命令行模板。

翻译单元403，用于根据所述预设的命令行模板，翻译所述命令行脚本，生成与所述目标防火墙的类型相对应的所述目标安全策略。

进一步的，参见图6，所述装置还包括：

更新模块60，用于在将所述目标安全策略下发至所述目标防火墙之后，更新所述网络仿真环境中的防火墙配置。

检测验证模块70，用于根据所述五元组信息，在完成更新的网络仿真环境中再次进行路径分析，检测更新后的网络仿真环境中是否还存在阻止访问的防火墙。

进一步的，所述检测验证模块包括：

第二策略生成单元，用于在更新后的网络仿真环境中还存在阻止访问的防火墙时，生成与第二目标防火墙的类型相对应的第二目标安全策略，所述第二目标防火墙为阻止访问的防火墙。

策略再次开通单元，用于将所述第二目标安全策略下发至所述第二目标防火墙，以再次完成策略开通。

进一步的，所述第二策略生成单元包括：

脚本获取子单元，用于获取需开通的安全策略的命令行脚本。

第二模板获取子单元，用于根据所述第二目标防火墙的类型，获取预设的第二命令行模板。

第二翻译子单元，用于根据所述预设的第二命令行模板，翻译所述命令行脚本，生成与所述第二目标防火墙的类型相对应的所述第二目标安全策略。

以上结合具体实施方式和范例性实例对本申请进行了详细说明，不过这些说明并不能理解为对本申请的限制。本领域技术人员理解，在不偏离本申请精神和范围的情况下，可以对本申请技术方案及其实施方式进行多种等价替换、修饰或改进，这些均落入本申请的范围内。本申请的保护范围以所附权利要求为准。