一种防火墙策略动态管理的方法、装置、设备和存储介质与流程

本发明涉及信息安全的技术领域，特别地，涉及一种防火墙策略动态管理的方法、装置、设备和存储介质。

背景技术：

防火墙是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。

目前的防火墙主要依靠人工维护并下发静态策略，具体为通过人工整理防火墙信息并通过手动实施变更的方式开通防火墙，如果需要增添业务系统，需要人工手动部署防火墙规则。但是随着互联网技术的不断发展，防火墙作为内网的安全屏障，无论从自身数量还是安全策略条目上，都有大幅度的增长，这就会导致运维人员工作量成倍的增加。

技术实现要素：

本文实施例的目的在于提供一种防火墙策略动态管理的方法、装置、设备和存储介质，以减少运维人员的工作量，提高工作效率。

为达到上述目的，一方面，本文实施例提供了一种防火墙策略动态管理的方法，包括：

接收业务系统的访问请求；

确定所述访问请求的源地址、目的地址和业务系统的标识；

根据所述源地址和目的地址判断所述访问请求是否为未知访问请求，或根据所述业务系统的标识判断所述业务系统是否为新增的业务系统，以确定所述业务系统的访问请求是否合法；

如果所述业务系统的访问请求非法，则通过评估模型或应用标识对所述业务系统的访问请求进行评估；

当评估通过时，根据对应业务系统的拓扑结构开通防火墙策略。

优选的，所述根据所述源地址和目的地址判断所述访问请求是否为未知访问请求，包括：

判断所述访问请求的源地址和目的地址是否记录在配置管理系统中；

如果所述访问请求的源地址和目的地址均未记录在所述配置管理系统中，则所述访问请求为未知访问请求。

优选的，所述通过评估模型对所述业务系统的访问请求进行评估之前，还包括：

确定所述访问请求的报文内容；

所述通过评估模型对所述业务系统的访问请求进行评估，包括：

判断所述业务系统的访问请求是否符合以下之一或者组合：

所述访问请求的源地址在对应防火墙条目中有记录；

所述访问请求的目的地址在对应防火墙条目中有记录；

所述访问请求的报文内容符合特定业务规则；

所述访问请求的报文内容含有特定关键字；

如果访问请求符合以上之一或者组合，则评估通过。

优选的，还包括：

将所述访问请求的源地址和业务系统的标识加密后形成密文串；

所述确定所述访问请求的源地址、目的地址和业务系统的标识之前，还包括：

对所述访问请求的密文串进行解密，当解密成功时执行后续步骤。

优选的，所述通过应用标识对所述业务系统的访问请求进行评估，包括：

判断所述业务系统的标识是否为标识白名单中存在的标识；

如果所述业务系统的标识为所述标识白名单中存在的标识，且所述访问请求对应的源地址为请求发起方地址，则评估通过。

优选的，所述标识白名单的确定方法，包括：

根据历史信息记录表，确定所述业务系统在设定周期内的访问次数；

判断所述业务系统在设定周期内的访问次数是否在规定范围之内；

如果所述业务系统在设定周期内的访问次数在规定范围之内，则将所述业务系统的标识添加至标识白名单中。

优选的，还包括：

当评估未通过或解密失败时，对所述业务系统的访问请求进行阻断，并将所述访问请求对应的源地址添加至阻断表中，将在设定期间内位于所述阻断表中的源地址所发送的请求直接阻断。

另一方面，本文实施例提供了一种防火墙策略动态管理的装置，所述装置包括：

接收模块：接收业务系统的访问请求；

确定模块：确定所述访问请求的源地址、目的地址和业务系统的标识；

判断模块：根据所述源地址和目的地址判断所述访问请求是否为未知访问请求，或根据所述业务系统的标识判断所述业务系统是否为新增的业务系统，以确定所述业务系统的访问请求是否合法；

评估模块：如果所述业务系统的访问请求非法，则通过评估模型或应用标识对所述业务系统的访问请求进行评估；

开通模块：当评估通过时，根据对应业务系统的拓扑结构开通防火墙策略。

又一方面，本文实施例还提供了一种计算机设备，包括存储器、处理器、以及存储在所述存储器上的计算机程序，所述计算机程序被所述处理器运行时，执行上述任意一项所述方法的指令。

又一方面，本文实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被计算机设备的处理器运行时，执行上述任意一项所述方法的指令。

由以上本文实施例提供的技术方案可见，本文实施例通过对源地址、目的地址和业务系统的标识判断后能够确定业务系统的访问请求是否合法。对于非法的访问请求，能够通过评估模型或应用标识对访问请求进行自动评估，对评估通过的访问请求对应的业务系统开通防火墙策略，使得对应业务系统的访问请求能够正常访问服务器。这样减少了通过人工部署对应防火墙的操作，可以自动进行评估，进而减少人力耗费，提高工作效率。

为让本文的上述和其他目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附图式，作详细说明如下。

附图说明

为了更清楚地说明本文实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本文的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1示出了本文实施例提供的一种防火墙策略动态管理的方法的流程示意图；

图2示出了本文实施例提供的进行评估的流程示意图；

图3示出了本文实施例提供的确定标识白名单的流程示意图；

图4示出了本文实施例提供的一种防火墙策略动态管理的装置的模块结构示意图；

图5示出了本文实施例提供的计算机设备的结构示意图。

附图符号说明：

100、接收模块；

200、确定模块；

300、判断模块；

400、评估模块；

500、开通模块；

502、计算机设备；

504、处理器；

506、存储器；

508、驱动机构；

510、输入/输出模块；

512、输入设备；

514、输出设备；

516、呈现设备；

518、图形用户接口；

520、网络接口；

522、通信链路；

524、通信总线。

具体实施方式

下面将结合本文实施例中的附图，对本文实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本文一部分实施例，而不是全部的实施例。基于本文中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本文保护的范围。

目前的防火墙主要依靠人工维护并下发静态策略，具体为通过人工整理防火墙信息并通过手动实施变更的方式开通防火墙，如果需要增添业务系统，需要人工手动部署防火墙规则。但是随着互联网技术的不断发展，防火墙作为内网的安全屏障，无论从自身数量还是安全策略条目上，都有大幅度的增长，这就会导致运维人员工作量成倍的增加。

为了解决上述问题，本文实施例提供了一种防火墙策略动态管理的方法，能够减少运维人员的工作量，提高工作效率。图1是本文实施例提供的一种防火墙策略动态管理的方法的步骤示意图，本说明书提供了如实施例或流程图所述的方法操作步骤，但基于常规或者无创造性的劳动可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式，不代表唯一的执行顺序。在实际中的系统或装置产品执行时，可以按照实施例或者附图所示的方法顺序执行或者并行执行。

防火墙是指一种将内网和外网分开的方法，它实际上是一种隔离技术。当外部业务系统要访问内部服务器的某些端口时，防火墙会对业务系统的访问请求进行拦截判断，在确定该业务系统的访问请求合法后，才允许进行访问。其中的业务系统可以是淘宝客户端、银行系统客户端、百度查询界面等等能够实现特定功能的系统，业务系统的访问请求可以是播放视频、发送链接等等，对应服务器的端口可以为提供视频播放的端口、提供链接发送的端口。

参照图1，一种防火墙策略动态管理的方法，包括以下步骤：

s101：接收业务系统的访问请求。

s102：确定所述访问请求的源地址、目的地址和业务系统的标识。

s103：根据所述源地址和目的地址判断所述访问请求是否为未知访问请求，或根据所述业务系统的标识判断所述业务系统是否为新增的业务系统，以确定所述业务系统的访问请求是否合法。

s104：如果所述业务系统的访问请求非法，则通过评估模型或应用标识对所述业务系统的访问请求进行评估。

s105：当评估通过时，根据对应业务系统的拓扑结构开通防火墙策略。

当接收到业务系统的访问请求后，会对访问请求进行解析，进而得到访问请求的源地址、目的地址和业务系统的标识。通过对源地址、目的地址和业务系统的标识判断后能够确定业务系统的访问请求是否合法。对于非法的访问请求，能够通过评估模型或应用标识对访问请求进行自动评估，对评估通过的访问请求对应的业务系统开通防火墙策略，即对相应的业务系统的访问进行放行，使得对应业务系统的访问请求能够正常访问服务器。这样减少了通过人工部署对应防火墙的操作，可以自动进行评估，进而减少人力耗费，提高工作效率。

其中业务系统的拓扑结构是根据数据流向所确定的需要经过的交换机、集线器、防火墙等网络设备和链路资源的结构。根据拓扑结构能够确定需要开通的防火墙设备，进而开通防火墙策略。

其中访问请求通过数据包的形式传递，防火墙设备可以进行报文解析，即：在防火墙设备上增加报文解析功能，通过防火墙设备对数据包的头部进行识别，可以确定访问请求的源地址、目的地址和业务系统的标识。

此外，可以设置防火墙有效期参数，对于超过设定时间仍没有业务系统的访问请求的拓扑结构，可以自动关闭对应的防火墙策略，其中设定时间可以根据实际需求定义。通过这种方式减少其他恶意请求访问服务器，提高防火墙策略的健壮性和安全性。

在本文实施例中，所述根据所述源地址和目的地址判断所述访问请求是否为未知访问请求，包括：

判断所述访问请求的源地址和目的地址是否记录在所述配置管理系统中；

如果所述访问请求的源地址和目的地址均未记录在所述配置管理系统中，则所述访问请求为未知访问请求。

其中，配置管理系统中记录有地址信息，包括允许访问内部服务器的外部源地址以及允许外部访问的服务器目的地址。查询源地址和目的地址是否在配置管理系统中有记录，如果均未有记录，则证明该访问请求为未知访问请求。

在本文实施例中，根据所述业务系统的标识判断所述业务系统是否为新增的业务系统，具体的，配置管理系统内记录有允许访问的业务系统的相关信息，包括业务系统的标识、业务系统的名称等，通过查询目前业务系统的标识是否在配置管理系统内有记录来判断业务系统是否为新增的业务系统，如果未记录，则该业务系统为新增的业务系统。

在本文实施例中，如果判断所述访问请求为未知访问请求或业务系统为新增的业务系统，则确定业务系统的访问请求是非法的。如果业务系统的访问请求非法，则通过评估模型或应用标识对所述业务系统的访问请求进行评估。通过这种自动评估的方式，减少了人力劳动，提高了工作效率。

在本文实施例中，所述通过评估模型对所述业务系统的访问请求进行评估之前，还包括：

确定所述访问请求的报文内容。

所述通过评估模型对所述业务系统的访问请求进行评估，包括：

判断所述业务系统的访问请求是否符合以下之一或者组合：

所述访问请求的源地址在对应防火墙条目中有记录。

所述访问请求的目的地址在对应防火墙条目中有记录。

所述访问请求的报文内容符合特定业务规则。

所述访问请求的报文内容含有特定关键字。

如果访问请求符合以上之一或者组合，则评估通过。

具体的，对于每一个防火墙来说，当有业务系统的访问请求通过该防火墙时，防火墙会对访问请求的源地址和目的地址做记录，记录至自身的防火墙条目中。在进行评估时，对应防火墙会查询防火墙条目，判断访问请求的源地址或目的地址是否在其中有记录。

在接收业务系统的访问请求后，对数据包的头部进行识别时，会识别出访问请求的报文内容，具体可以是报文头部的内容，一方面报文头部内容中可能符合特定业务规则，例如：特定业务规则为报文头部的3-5位传递代表某一含义的数据组。另一方面报文头部内容中可能含有特定关键字，例如：特定关键字为报文头部第3位传递某一特定关键字。

凡是符合上述条件之一或者组合，即可评估通过，可以减少人工判断的步骤，提高工作效率。

优选的，还包括：

将所述访问请求的源地址和业务系统的标识加密后形成密文串。

所述确定所述访问请求的源地址、目的地址和业务系统的标识之前，还包括：

对所述访问请求的密文串进行解密，当解密成功时执行后续步骤。

可选择的，业务系统在发起访问请求前，可以将访问请求的源地址和业务系统的标识加密为密文串。由此，在接收到对应业务系统的访问请求时，需要先对访问请求的密文串进行解密，在解密成功后才可以确定访问请求的源地址、目的地址和业务系统的标识，进而进行后续的步骤。加密成密文串可以对地址信息和标识信息进行加密保护，减少后续评估过程中可能发生的错误，提高评估精度。

具体的，为保障密文串的安全性，避免非法篡改业务系统标识等信息导致本该阻断的异常访问通过防火墙，可采用一次一密的加密方法生成密文串，即每次经过一个防火墙生成一个新的密文串。

因一次一密的密钥是一次性的，即使密钥丢失也因为密钥已经作废而不会有任何影响，可以有效的保证密文串不被破解，进而提高密文串的安全性。其中加解密可以使用对称加密算法，如aes、sm4等，而加解密使用的密钥串可以通过生成符合加密算法密钥长度要求的随机数来获得。随机数的获取需要各业务系统和防火墙设备维护各自的随机数表，随机数生成采用基于系统时间的随机数生成算法，以保证在时间完全同步的前提下业务系统和防火墙设备生成的随机数是相同的。

在随机数生成的同时，还会相应生成一个随机数序列号和标志位，随机数序列号用于唯一表征对应的随机数，标志位用于表征该随机数是否使用过。随机数、随机数序列号和标志位生成后，将随机数、随机数序列号、标志位存于随机数表中。而在访问请求传输过程中，只传输随机数序列号，根据随机数序列号查询随机数表获取对应的随机数。若对应标志位为未使用，则使用该随机数进行解密，已获得明文信息，然后将对应标志位置位为已使用。通过上述方法，提高防火墙策略的安全性能。

参照图2，在本文实施例中，所述通过应用标识对所述业务系统的访问请求进行评估，包括：

s1041：判断所述业务系统的标识是否为标识白名单中存在的标识。

s1042：如果所述业务系统的标识为所述标识白名单中存在的标识，且所述访问请求对应的源地址为请求发起方地址，则评估通过。

具体的，标识白名单中记录了允许访问服务器的业务系统的名称、业务系统的标识等信息。为了提高标识白名单的评估准确度，标识白名单会定期与配置管理系统进行信息同步。配置管理系统可以通过人工维护来进行业务系统相关信息的及时更新，然后将更新后的信息定时同步至标识白名单中，提高标识白名单评估的准确度。

其中请求发起方地址一般保存在网络设备中，为防止源地址被恶意篡改，需要进行源地址和请求发起方地址的对照。

参照图3，进一步的，所述标识白名单的确定方法，包括：

s1043：根据历史信息记录表，确定所述业务系统在设定周期内的访问次数。

s1044：判断所述业务系统在设定周期内的访问次数是否在规定范围之内。

s1045：如果所述业务系统在设定周期内的访问次数在规定范围之内，则将所述业务系统的标识添加至标识白名单中。

具体的，历史信息记录表是记录过去一段时间内对服务器进行访问的业务系统的记录表，记录了每个业务系统的访问最新事件和在设定周期内的访问次数。对于在设定周期内访问次数在规定范围之内的业务系统，例如规定范围是一小时访问2-20次，如果a系统在一小时内访问5次，则在规定范围之内，可以将其添加至标识白名单中。对于规定范围的确定，如果一小时内访问次数小于2次，可以认为是业务系统访问错误，大于20次，可以认为该访问是恶意访问，所以根据实际需求去规定范围之内的业务系统代表对应业务系统有正常的访问需求。

在本文实施例中，还包括：

当评估未通过或解密失败时，对所述业务系统的访问请求进行阻断，并将所述访问请求对应的源地址添加至阻断表中，将在设定期间内位于所述阻断表中的源地址所发送的请求直接阻断。

具体的，在通过评估模型或应用标识对所述业务系统的访问请求进行评估后，评估未通过，或者在解密过程中解密失败，解密失败可以包括解密不出来明文，或者解密出来乱码等情况。当面对上述情况时，对业务系统的访问请求进行阻断。并且由于在进行评估判断的过程中计算资源消耗较大，可以将对应访问请求的源地址添加至阻断表中，如果在设定期间内，仍有相同源地址的访问请求，将会直接进行阻断，不再进行评估过程，以节省计算资源的消耗，提高工作效率。

基于上述所述的一种防火墙策略动态管理的方法，本文实施例还提供一种防火墙策略动态管理的装置。所述的装置可以包括使用了本文实施例所述方法的系统(包括分布式系统)、软件(应用)、模块、组件、服务器、客户端等并结合必要的实施硬件的装置。基于同一创新构思，本文实施例提供的一个或多个实施例中的装置如下面的实施例所述。由于装置解决问题的实现方案与方法相似，因此本文实施例具体的装置的实施可以参见前述方法的实施，重复之处不再赘述。以下所使用的，术语“单元”或者“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

具体地，图4是本文实施例提供的一种防火墙策略动态管理的装置一个实施例的模块结构示意图，参照图4所示，本文实施例提供的一种防火墙策略动态管理的装置包括：接收模块100、确定模块200、判断模块300、评估模块400、开通模块500。

接收模块100：接收业务系统的访问请求。

确定模块200：确定所述访问请求的源地址、目的地址和业务系统的标识。

判断模块300：根据所述源地址和目的地址判断所述访问请求是否为未知访问请求，或根据所述业务系统的标识判断所述业务系统是否为新增的业务系统，以确定所述业务系统的访问请求是否合法。

评估模块400：如果所述业务系统的访问请求非法，则通过评估模型或应用标识对所述业务系统的访问请求进行评估。

开通模块500：当评估通过时，根据对应业务系统的拓扑结构开通防火墙策略。

本文一实施例中，参照图5所示，还提供一种计算机设备502。计算机设备502可以包括一个或多个处理器504，诸如一个或多个中央处理单元(cpu)或图形处理器(gpu)，每个处理单元可以实现一个或多个硬件线程。计算机设备502还可以包括任何存储器506，其用于存储诸如代码、设置、数据等之类的任何种类的信息，一具体实施方式中，存储器506上并可在处理器504上运行的计算机程序，所述计算机程序被所述处理器504运行时，可以执行根据上述方法的指令。非限制性的，比如，存储器506可以包括以下任一项或多种组合：任何类型的ram，任何类型的rom，闪存设备，硬盘，光盘等。更一般地，任何存储器都可以使用任何技术来存储信息。进一步地，任何存储器可以提供信息的易失性或非易失性保留。进一步地，任何存储器可以表示计算机设备502的固定或可移除部件。在一种情况下，当处理器504执行被存储在任何存储器或存储器的组合中的相关联的指令时，计算机设备502可以执行相关联指令的任一操作。计算机设备502还包括用于与任何存储器交互的一个或多个驱动机构408，诸如硬盘驱动机构、光盘驱动机构等。

计算机设备502还可以包括输入/输出模块510(i/o)，其用于接收各种输入(经由输入设备512)和用于提供各种输出(经由输出设备514)。一个具体输出机构可以包括呈现设备516和相关联的图形用户接口518(gui)。在其他实施例中，还可以不包括输入/输出模块510(i/o)、输入设备512以及输出设备514，仅作为网络中的一台计算机设备。计算机设备502还可以包括一个或多个网络接口520，其用于经由一个或多个通信链路522与其他设备交换数据。一个或多个通信总线524将上文所描述的部件耦合在一起。

通信链路522可以以任何方式实现，例如，通过局域网、广域网(例如，因特网)、点对点连接等、或其任何组合。通信链路522可以包括由任何协议或协议组合支配的硬连线链路、无线链路、路由器、网关功能、名称服务器等的任何组合。

对应于图1-图3中的方法，本文实施例还提供了一种计算机可读存储介质，该计算机可读存储介质上存储有计算机程序，该计算机程序被处理器运行时执行上述方法的步骤。

本文实施例还提供一种计算机可读指令，其中当处理器执行所述指令时，其中的程序使得处理器执行如图1至图3所示的方法。

应理解，在本文的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本文实施例的实施过程构成任何限定。

还应理解，在本文实施例中，术语“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系。例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本文的范围。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本文所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接，也可以是电的，机械的或其它的形式连接。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本文实施例方案的目的。

另外，在本文各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本文的技术方案本质上或者说对现有技术做出贡献的部分，或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本文各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

本文中应用了具体实施例对本文的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本文的方法及其核心思想；同时，对于本领域的一般技术人员，依据本文的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本文的限制。