一种网络访问控制方法和系统的制作方法
【技术领域】
[0001]本发明涉及计算机网络信息安全技术领域,特别涉及一种网络访问控制方法和系统。
【背景技术】
[0002]近年来,越来越多的企业和个人重视网络访问与数据的安全问题,防火墙的应用率也随之大幅提升。
[0003]现有技术中利用防火墙进行网络访问安全控制的方法主要包括如下步骤:
[0004]1、用户选取与需保护设备相匹配的防火墙设备,定位所需命令;
[0005]2、用户手工调整防火墙执行命令中的参数,使之符合实际网络环境;
[0006]3、用于人工方式将防火墙按调整后的命令下发至防火墙上进行执行;
[0007]4、返回的执行结果,需人工进行核对与分析;
[0008]5、根据新设定的防火墙策略对网络访问进行安全控制。
[0009]但是,基于现有的防火墙配置的设定方法有很大的局限性,针对被管设备与被管网络的防火墙可执行命令需要人工进行二次调整,根据实际环境对防火墙命令脚本中的源地址、目的地址、端口等相关参数进行手工编辑,编辑过后还需人工将命令下发至防火墙,执行后再将返回结果进行汇总分析等工作。当需执行的命令众多时,无疑增加了很多安全管理员的工作量,同时也增大了出错风险,至于实现效率更是无法保证,因此,大大限制了采用防火墙实现网络访问安全控制的方案的进一步发展。
【发明内容】
[0010]鉴于上述问题,本发明实施例提供一种网络访问控制方法和系统,以解决目前存在的防火墙管理员对防火墙命令人工编写、人工下发,导致多防火墙策略配置效率较低、准确性较差的问题。
[0011]本发明实施例采用了如下技术方案:
[0012]本发明一个实施例提供了一种网络访问控制方法,所述方法包括:
[0013]获取需设定的防火墙策略需求信息;
[0014]根据需求信息中的源地址和目标地址匹配得到需开通防火墙策略的目标防火墙设备,并根据目标防火墙设备品牌和/或型号选定对应的防火墙命令脚本模板;
[0015]将所述需求信息中的策略参数自动填写至所述防火墙命令脚本模版的相应参数位置处,生成可执行的防火墙命令脚本;
[0016]将所述可执行的防火墙命令脚本自动下发至目标防火墙设备,并对防火墙按照新的策略自动进行配置;
[0017]根据设置后的新的防火墙策略对网络访问进行安全控制。
[0018]所述根据需求信息中的源地址和目标地址匹配得到需开通防火墙策略的目标防火墙设备,并根据目标防火墙设备品牌和/或型号选定对应的防火墙命令脚本模板具体包括:
[0019]根据需求信息中的源地址和目标地址,在预定的防火墙区域关系表中进行匹配,得到需开通防火墙策略的目标防火墙设备;所述防火墙区域关系表中记载各防火墙设备所在区域的源地址和目标地址信息;
[0020]根据得到的目标防火墙设备,获取目标防火墙品牌和/或型号;
[0021]在预置的针对不同品牌和/或型号的防火墙命令脚本模板中,根据目标防火墙品牌和/或型号匹配对应的防火墙命令脚本模板。
[0022]所述生成可执行的防火墙命令脚本后,还包括:生成该可执行的防火墙命令脚本的下发工单;
[0023]所述将所述可执行的防火墙命令脚本自动下发至目标防火墙设备,并对防火墙按照新的策略自动进行配置具体包括:
[0024]采用仿真终端技术模拟连接目标防火墙设备;
[0025]通过执行所述下发工单将可执行的防火墙命令脚本下发至目标设备防火墙;
[0026]通过执行该可执行的防火墙命令脚本对防火墙按照新的策略进行自动配置。
[0027]所述将所述需求信息中的策略参数自动填写至所述防火墙命令脚本模版的相应参数位置处的方法具体为:
[0028]利用自动填表算法将所述需求信息中的策略参数自动填写至所述防火墙命令脚本模版的相应参数位置处。
[0029]所述方法还包括:
[0030]利用工单监管技术,监控防火墙策略的配置过程,并反馈监控结果,供防火墙策略分析使用。
[0031]所述获取需设定的防火墙策略需求信息的方法包括:
[0032]接收输入的防火墙策略需求信息;或
[0033]自动采集需设定的防火墙策略,从其中自动提取需求信息。
[0034]另外,本发明实施例还提供了一种网络访问系统,所述系统包括:
[0035]获取模块,用于获取需设定的防火墙策略需求信息;
[0036]模板选定模块,用于根据需求信息中的源地址和目标地址匹配得到需开通防火墙策略的目标防火墙设备,并根据目标防火墙设备品牌和/或型号选定对应的防火墙命令脚本模板;
[0037]可执行脚本生成模块,用于将所述需求信息中的策略参数自动填写至所述防火墙命令脚本模版的相应参数位置处,生成可执行的防火墙命令脚本;
[0038]下发配置模块,用于将所述可执行的防火墙命令脚本自动下发至目标防火墙设备,并对防火墙按照新的策略自动进行配置;
[0039]安全控制模块,用于根据设置后的新的防火墙策略对网络访问进行安全控制。
[0040]所述可执行脚本生成模块还包括:
[0041]工单生成单元,用于生成该可执行的防火墙命令脚本的下发工单;
[0042]所述下发配置模块具体包括:
[0043]连接单元,用于采用仿真终端技术模拟连接目标防火墙设备;
[0044]自动下发单元,用于通过执行所述下发工单将可执行的防火墙命令脚本下发至目标设备防火墙;
[0045]自动配置单元,用于通过执行该可执行的防火墙命令脚本对防火墙按照新的策略进行自动配置;
[0046]所述下发配置模块还包括:
[0047]自动监控单元,用于利用工单监管技术,监控防火墙策略的配置过程,并反馈监控结果,供防火墙策略分析使用。
[0048]所述可执行脚本生成模块具体用于:
[0049]利用自动填表算法将所述策略参数自动填写至所述防火墙命令脚本模版的相应参数位置处。
[0050]所述获取模块具体包括:
[0051]接收输入单元,用于接收输入的防火墙策略需求信息;或
[0052]自动提取单元,用于自动采集需设定的防火墙策略,从其中自动提取需求信息。
[0053]可见,本发明实施例提供一种网络访问控制方法和系统,通过算法针对不同防火墙品牌、型号自动计算生成可执行的防火墙命令脚本,将该可执行的防火墙命令脚本下发到目标防火墙设备,并自动对防火墙进行新策略的设置,最后根据设置后的新的防火墙策略对网络访问进行安全控制,从而实现高效准确的防火墙策略自动配置方案,且能够实现灵活的防火墙策略定制功能,为网络访问控制提供更大的安全保证和灵活应用的基础。
[0054]进一步的,本发明实施例还包括生成可执行的防火墙命令脚本的下发工单;并采用仿真终端技术模拟连接目标设备,通过执行所述下发工单将可执行的防火墙命令脚本下发至目标设备防火墙,进一步提高防火墙策略自动配置的效率和准确率。
【附图说明】
[0055]图1为本发明实施例提供的一种网络访问控制方法流程图;
[0056]图2为本发明实施例提供的一种网络访问控制系统结构框图。
【具体实施方式】
[0057]为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
[0058]本发明实施例能够实现个性化的防火墙自动执行功能,其中最大的技术难点就在于防火墙可执行命令脚本的自动生成与自动下发执行技术的攻破。整体思路:主要包括防火墙策略命令脚本自动生成过程和防火墙策略命令脚本自动下发执行过程,以及根据配置后的新的防火墙策略进行网络访问的安全控制。其中防火墙策略命令脚本自动生成过程具体包括:确定需求源地址、需求目的地址、需求协议、需求端口号等业务访问需求信息;根据开通申请中包含的源、目的地址等需求信息从地址区域关系表、区域防火墙设备关系表中获取需要开通策略的防火墙设备;根据防火墙品牌、型号信息确定适用的命令脚本模板;根据需求信息与模板信息