网络流量控制设备及其安全策略配置方法及装置的制造方法
【技术领域】
[0001]本发明涉及网络安全领域,尤其涉及一种网络流量控制设备及其安全策略配置方法及装置。
【背景技术】
[0002]安全策略是配置在网络流量控制设备,例如网络防火墙、安全网关或入侵检测设备上,用于对数据流进行转发以及进行内容安全检测的策略。安全策略中往往包含匹配条件和策略动作,匹配条件是指用于判断数据流是否与安全策略匹配的判断条件;策略动作是指在根据匹配条件判定数据流匹配安全策略的情况下要对数据流执行的动作,包括允许(permit)和禁止(forbidden)。
[0003]网络流量控制设备能够识别出数据流的属性,并将数据流的属性与安全策略的匹配条件进行匹配。如果所有匹配条件都匹配,则此数据流成功匹配安全策略。数据流匹配安全策略后,设备将会执行安全策略的策略动作。
[0004]安全策略的匹配条件中可配置的参数比较多,包括源及目的安全区域、源及目的地址、用户、服务、应用、时间段等。这些参数可以通过不同的组合方式,来定义出具有相同性质的数据流。例如,人力资源部的员工可以使用QQ应用,则可以将该安全策略配置为:源=“人力资源部”;目的地=任意网络(any);应用=“QQ” ;动作=“允许”。
[0005]通常,由管理员根据自身的经验以及用户反馈,来手动配置和维护安全策略,这存在配置难度大且容易出错的问题。对于管理员的技能较低的中小企业来说,该问题尤为突出。
【发明内容】
[0006]抟术问是页
[0007]有鉴于此,本发明要解决的技术问题是,如何降低网络流量控制设备上安全策略的配置难度以及出错概率。
[0008]解决方案
[0009]第一方面,提供了一种网络流量控制设备上的安全策略配置方法,包括:
[0010]对输入的数据流,识别所述数据流的源、目的地以及应用类型,其中,所述源表示发出所述数据流的用户或者用户地址,所述数据流的目的地表示接收所述数据流的用户地址、服务器地址或者公网地址,所述应用类型表示所述数据流包括哪种应用的数据;
[0011]基于预定的企业组织结构执行第一上溯处理以得到第一源上溯点以及第一目的地上溯点,其中,所述第一源上溯点为所述数据流的源表示的用户所属的部门、或者为所述数据流的源表示的用户地址所属的网段,所述第一目的地上溯点为所述数据流的目的地表示的用户地址所属的网段、为与所述数据流的目的地表示的服务器地址对应的服务器、或者为与所述数据流的目的地表示的公网地址对应的任意地址;
[0012]生成第一安全策略,所述第一安全策略的匹配条件中的源被配置为所述第一源上溯点、所述第一安全策略的匹配条件中的目的地被配置为所述第一目的地上溯点、所述第一安全策略的匹配条件中的应用被配置为所述数据流的应用类型。
[0013]在第一方面的第一种可能的实施方式中,在所述生成第一安全策略之后,还包括:
[0014]判断所述网络流量控制设备中是否存在第二安全策略,所述第二安全策略的匹配条件与所述第一安全策略的匹配条件相比仅源不同,并且所述第二安全策略的策略动作与所述第一安全策略的策略动作相同;
[0015]在判断为存在所述第二安全策略的情况下,基于所述企业组织结构执行第二上溯处理以得到第二源上溯点,所述第二源上溯点为所述第一安全策略的源表示的部门与所述第二安全策略的源表示的部门共同所属的上一级部门、或者为所述第一安全策略的源表示的网段与所述第二安全策略的源表示的网段共同所属的上一级网段;
[0016]将所述第一安全策略的源更新为所述第二源上溯点,并删除所述第二安全策略。
[0017]结合第一方面、或第一方的第一种可能的实现方式,在第一方面的第二种可能的实施方式中,在所述生成第一安全策略之后,还包括:
[0018]判断所述网络流量控制设备中是否存在第三安全策略,所述第三安全策略的匹配条件与所述第一安全策略的匹配条件相比仅目的地不同,并且所述第三安全策略的策略动作与所述第一安全策略的策略动作相同;
[0019]在判断为存在所述第三安全策略的情况下,基于所述企业组织结构执行第三上溯处理以得到第二目的地上溯点,所述第二目的地上溯点为所述第一安全策略的目的地表示的网段与所述第三安全策略的目的地表示的网段共同所属的上一级网段;
[0020]将所述第一安全策略的目的地更新为所述第二目的地上溯点,并删除所述第三安全策略。
[0021]结合第一方面、或第一方面的上述任意一种可能的实现方式,在第一方面的第三种可能的实施方式中,在基于预定的企业组织结构执行第一上溯处理之后,还包括:将所述第一源上溯点、所述第一目的地上溯点以及所述数据流的应用类型作为一条三元组信息存储于存储器中;
[0022]在所述生成第一安全策略之后,还包括:将包括所述第一源上溯点、所述第一目的地上溯点以及所述数据流的应用类型的三元组信息从所述存储器删除;以及
[0023]在所述基于预定的企业组织结构执行第一上溯处理以得到第一源上溯点以及第一目的地上溯点之前,还包括:判断所述存储器中是否存在与所述数据流的源、目的地以及应用类型匹配的三元组信息;
[0024]并且,在判断为所述存储器中不存在与所述数据流的源、目的地以及应用类型匹配的三元组信息的情况下,执行所述第一上溯处理。
[0025]第二方面,提供了一种网络流量控制设备上的安全策略配置装置,包括:
[0026]识别模块,用于对输入的数据流,识别所述数据流的源、目的地以及应用类型,其中,所述源表示发出所述数据流的用户或者用户地址,所述数据流的目的地表示接收所述数据流的用户地址、服务器地址或者公网地址,所述应用类型表示所述数据流包括哪种应用的数据;
[0027]第一上溯处理模块,与所述识别模块连接,用于基于预定的企业组织结构执行第一上溯处理以得到第一源上溯点以及第一目的地上溯点,其中,所述第一源上溯点为所述数据流的源表示的用户所属的部门、或者为所述数据流的源表示的用户地址所属的网段,所述第一目的地上溯点为所述数据流的目的地表示的用户地址所属的网段、为与所述数据流的目的地表示的服务器地址对应的服务器、或者为与所述数据流的目的地表示的公网地址对应的任意地址;
[0028]生成模块,与所述第一上溯处理模块连接,用于生成第一安全策略,所述第一安全策略的匹配条件中的源被配置为所述第一源上溯点、所述第一安全策略的匹配条件中的目的地被配置为所述第一目的地上溯点、所述第一安全策略的匹配条件中的应用被配置为所述数据流的应用类型。
[0029]在第二方面的第一种可能的实施方式中,该装置还包括:
[0030]第一判断模块,与所述生成模块连接,用于判断所述网络流量控制设备中是否存在第二安全策略,所述第二安全策略的匹配条件与所述第一安全策略的匹配条件相比仅源不同,并且所述第二安全策略的策略动作与所述第一安全策略的策略动作相同;
[0031]第二上溯处理模块,与所述第一判断模块连接,用于在判断为存在所述第二安全策略的情况下,基于所述企业组织结构执行第二上溯处理以得到第二源上溯点,所述第二源上溯点为所述第一安全策略的源表示的部门与所述第二安全策略的源表示的部门共同所属的上一级部门、或者为所述第一安全策略的源表示的网段与所述第二安全策略的源表示的网段共同所属的上一级网段;
[0032]更新模块,与所述第二上溯处理模块连接,用于将所述第一安全策略的源更新为所述第二源上溯点,并删除所述第二安全策略。
[0033]结合第二方面、或第二方面的第一种可能的实现方式,在第二方面的第二种可能的实施方式中,该装置还包括:
[0034]第二判断模块,与所述生成模块连接,用于判断所述网络流量控制设备中是否存在第三安全策略,所述第三安全策略的匹配条件与所述第一安全策略的匹配条件相比仅目的地不同,并且所述第三安全策略的策略动作与所述第一安全策略的策略动作相同;
[0035]第三上溯处理模块,与所述第二判断模块及所述更新模块连接,用于在判断为存在所述第三安全策略的情况下,基于所述企业组织结构执行第三上溯处理以得到第二目的地上溯点,所述第二目的地上溯点为所述第一安全策略的目的地表示的网段与所述第三安全策略的目的地表示的网段共同所属的上一级网段;
[0036]所述更新模块还被配置为,将所述第一安全策略的目的地更新为所述第二目的地上溯点,并删除所述第三安全策略。
[0037]结合第二方面、或第二方面的上述任意一种可能的实现方式,在第二方面的第三种可能的实施方式中,该装置还包括:
[0038]三元组生成模块,与所述第一上溯处理模块连接,用于向所述存储器发送指令,在基于预定的企业组织结构执行第一上溯处理之后,将所述第一源上溯点、所述第一目的地上溯点以及所述数据流的应用类型作为一条三元组信息存储于存储器中;并且,在所述生成第一安全策略之后,将包括所述第一源上溯点、所述第一目的地上溯点以及所述数据流的应用类型的三元组信息从所述存储器删除;
[0039]三元组判断模块,与所述识别模块及所述第一上溯处理模块连接,用于在所述基于预定的企业组织结构执行第一上溯处理以得到第一源上溯点以及第一目的地上溯点之前,判断所述存储器中是否存在与所述数据流的源、目的地以及应用类型匹配的三元组信息;并且,在判断为所述存储器中不存在与所述数据流的源、目的地以及应用类型匹配的三元组信息的情况下,执行所述第一上溯处理。
[0040]第三方面,提供一种网络流量控制设备,包括存储器、通信接口和处理器;
[0041 ] 所述存储器用于存储程序代码;
[0042]所述处理器读取所述存储器中存储的程序代码,执行:
[0043]对所述通信接口获得的数据流,识别所述数据流的源、目的地以及应用类型,其中,所述源表示发出所述数据流的用户或者用户地址,所述数据流的目的地表示接收