基于防火墙acl的企业内部资源开放范围分析方法
【专利摘要】本发明公开了一种基于防火墙ACL的企业内部资源开放范围分析方法,其特征是分为如下步骤:1对防火墙设备的策略进行解析形成策略列表;2根据给的内部地址资源段确定每个内部IP地址的匹配策略;3根据匹配结果形成单个IP资源开放记录;4对每条IP资源开放记录进行合并。本发明能便于运维人员快速掌握防火墙策略的设置情况,准确把握企业信息网内部可被外界访问的资源清单,做好防火墙的策略优化,从而提升信息网络的安全性。
【专利说明】
基于防火墙ACL的企业内部资源开放范围分析方法
技术领域
[0001] 本发明设及信息安全和信息运维领域,具体的说是一种基于防火墙A化的企业内 部资源开放范围分析方法。
【背景技术】
[0002] 随着信息安全要求的不断提升,企业信息内网的边界安全越来越为重要,其中防 火墙作为承载边界安全的重要设施,其安全访问策略的合理配置是保障信息内网安全的重 要基础。
[0003] 但是在日常运维过程中,运维人员根据业务需求对防火墙策略进行调整,其中主 要W开通为主,导致在一段时间后防火墙策略数目较大,策略的合理性难W保证,不仅影响 防火墙的效率,更给内网信息安全带来了安全隐患。
[0004] 为此传统的运维工作中,信息运维人员定期对防火墙策略进行清空,再梳理所有 业务系统需要开通的访问策略,不仅费时而且费力,且常常因无法及时发现防火墙的安全 漏桐而导致数据安全隐患。
【发明内容】
[0005] 本发明为解决上述现有技术存在的不足之处,提供一种基于防火墙A化的企业内 部资源开放范围分析方法,W期能便于运维人员快速掌握防火墙策略的设置情况,准确把 握企业信息网内部可被外界访问的资源清单,做好防火墙的策略优化,从而提升信息网络 的安全性。
[0006] 本发明为解决技术问题采用如下技术方案:
[0007] 本发明一种基于防火墙A化的企业内部资源开放范围分析方法,是应用于对防火 墙设备中所有策略的解析过程中,其特点是按如下步骤进行:
[000引步骤1、按照行的方式对所述防火墙设备的配置文件解析出每条策略,形成策略列 表,所述策略列表中的每条策略包含:策略序号、源地址、目的地址、服务和动作;所述策略 序号表示每条策略的优先级;每条策略按优先级降序排序;
[0009] 步骤2、设定所述防火墙设备所要保护的内部地址段集合;所述内部地址段集合包 括:单个IP地址W及连续IP地址段;
[0010] 步骤3、根据所述策略列表中的目的地址,对所述内部地址段集合中的每个IP地址 进行匹配,判断每个IP地址是否属于所述策略列表中的目的地址;当属于目的地址时,执行 步骤4;
[0011] 步骤4、判断已匹配的IP地址与所述策略列表中目的地址所对应的动作是否为"允 许",当为"允许"时,则记录已匹配的IP地址W及所述策略列表中目的地址所对应的且不属 于内部地址段的源地址和服务;从而形成内部资源开放访问记录表;
[0012] 步骤5、根据所述内部资源开放访问记录表中具有相同的目的地址和服务的记录, 将所述内部资源开放访问记录表中相应的源地址进行合并,从而形成简化的内部资源开放 访问记录表;
[0013] 步骤6、根据所述简化的内部资源开放访问记录表中具有相同的源地址的记录,将 所述内部资源开放访问记录表中相应的目的地址和服务进行合并,从而形成再次简化的内 部资源开放访问记录表;W所述再次简化的内部资源开放访问记录表作为企业内部资源开 放范围的分析结果。
[0014] 与已有技术相比,本发明的有益效果体现在:
[0015] 本发明根据防火墙的配置文件解析获取到所有的策略列表,再给出防火墙保护的 内部地址列表,根据内部地址列表与策略列表进行匹配,判断出能被外部地址访问的内部 地址及能被访问的端口及协议,使得运维人员能快速掌握防火墙策略的设置情况,针对不 合理的资源开放及时进行处理,从而消除了网络安全隐患,保证了资源开放的合理性和有 效性。
【具体实施方式】
[0016] 本实施例中,一种基于防火墙A化的企业内部资源开放范围分析方法,是应用于对 防火墙设备中所有策略的解析过程中,一般而言,防火墙的每条策略包括四个部分:源地 址、目的地址、访问协议及动作,分别定义为:
[0017] 源地址:单次访问的数据包的来源地址,包括来源的IP地址集合及端口,其中IP地 址集合可W为连续IP地址段、单个地址W及连续IP地址段、单个地址或any(任何地址)的组 合;端口为该次访问的源网络端口,可W为单个端口、一段连续端口或单个端口、一段连续 端口的组合。
[001引目的地址:某次访问数据包的目标地址,包括目标的IP地址集合及端口,其中IP地 址集合可W为连续IP地址段、单个地址W及续IP地址段、单个地址段或any(任何地址)的组 合;端口为该次访问的源网络端口,可W为单个端口、一段连续端口或单个端口、一段连续 端口的组合。
[0019]访问协议:单次访问的网络协议,包括ICMP,IP、TCP及UDP或any (代表任何网络协 议)
[0020] 动作:指防火墙对满足该条规则的访问的处理动作,包括拒绝和允许。
[0021] 具体实施中,企业内部资源开放范围分析方法是按如下步骤进行:
[0022] 步骤1、按照行的方式对防火墙设备的配置文件解析出每条策略,形成策略列表如 表一所示,策略列表中的每条策略包含:策略序号、源地址、目的地址、服务和动作;服务包 含访问协议和开放端口;策略序号表示每条策略的优先级;每条策略按优先级降序排序;
[0023] 表一
[0024]
[0025] 例如; 「nn*?"
[0027] 步骤2、根据给的内部地址资源段,设定防火墙设备所要保护的内部地址段集合; 内部地址段集合包括:单个IP地址W及连续IP地址段;并将内部地址段集合解析为单个IP 地址集合,形成内部IP地址集合。
[002引其中地址IP段的解析如下:
[0029] 192.168.1.1-192.168.1.100解析为 192.168.1.1、192.168.1.2... 192.168.1.99、 192.168.1.100.
[0030] 步骤3、根据策略列表中的目的地址,对内部地址段集合中的每个IP地址记为dip 进行匹配,判断每个IP地址是否属于策略列表中的目的地址;当属于目的地址时,执行步骤 4;具体的说,就是:
[0031] 步骤3.1、按照策略序号顺序依次从策略列表中取出一条待判断的策略,记为sP。
[0032] 步骤3.2、取出sP中的目的地址,根据判断规则,判断dip是否属于sP,如果不属于, 则判断下一条策略,否则,执行步骤3.3;
[0033] 判断规则如下: 「nnoyi 1
[0036] 步骤4、判断已匹配的IP地址与策略列表中目的地址所对应的动作是否为"允许", 当为"允许"时,则记录已匹配的IP地址W及策略列表中目的地址所对应的且不属于内部地 址段的源地址和服务;从而形成内部资源开放访问记录表;具体的说,
[0037] 步骤4.1、对于步骤3.2中SP中的源地址,剔除在内部IP地址集合中的IP地址,形成 能访问dip的外部地址集合,记为sIP;
[0038] 步骤4.2、如果3口中的动作为"允许",则^(11口、31口、3口中访问服务为^个元素形成 一条内部资源开放访问记录,并保存;dIP、sIP、sP分别代表可被外部访问的内部IP地址,被 运行的外部源IP及可访问的服务;
[0039] 步骤4.3、若内部IP地址集合中存在未处理的IP,从内部IP地址集合中取出下一个 IP地址作为dip,跳转步骤3.1;否则结束;
[0040] 步骤5、为便于运维人员快速掌握内部资源开放情况,针对具有相同的dip和访问 服务的记录,对SlP合并形成行的访问记录,即根据内部资源开放访问记录表中具有相同的 目的地址和服务的记录,将内部资源开放访问记录表中相应的源地址进行合并,从而形成 简化的内部资源开放访问记录表;
[004。 例如;
[0042] 记录1: {dip: 192.168.1.1,sip: 192.168.0.1 ,service:tcp}
[0043] 记录2: {dip: 192.168.1.1,sip: 192.168.2.1 ,service:udp}
[0044] 记录3: {dip:192.168.1.1,sip:192.168.3.1-192.168.3.100,service:tcp}
[0045] 可W合并为记录:
[0046] {dip:192.168.1.1,sip:192.168.0.1,192.168.3.1-192.168.3.100, 192.168.2.1-192.168.2.10,service:tcp}
[0047] {dip :192.168.1.1,192.168.2.1,service:udp}
[0048] 步骤6、再针对具有相同的sip和服务的记录合并dip,最终形成简洁明了的内部资 源开放记录表,即根据简化的内部资源开放访问记录表中具有相同的源地址的记录,将内 部资源开放访问记录表中相应的目的地址和服务进行合并,从而形成再次简化的内部资源 开放访问记录表;W再次简化的内部资源开放访问记录表作为企业内部资源开放范围的分 析结果。
【主权项】
1. 一种基于防火墙ACL的企业内部资源开放范围分析方法,是应用于对防火墙设备中 所有策略的解析过程中,其特征是按如下步骤进行: 步骤1、按照行的方式对所述防火墙设备的配置文件解析出每条策略,形成策略列表, 所述策略列表中的每条策略包含:策略序号、源地址、目的地址、服务和动作;所述策略序号 表示每条策略的优先级;每条策略按优先级降序排序; 步骤2、设定所述防火墙设备所要保护的内部地址段集合;所述内部地址段集合包括: 单个IP地址以及连续IP地址段; 步骤3、根据所述策略列表中的目的地址,对所述内部地址段集合中的每个IP地址进行 匹配,判断每个IP地址是否属于所述策略列表中的目的地址;当属于目的地址时,执行步骤 4; 步骤4、判断已匹配的IP地址与所述策略列表中目的地址所对应的动作是否为"允许", 当为"允许"时,则记录已匹配的IP地址以及所述策略列表中目的地址所对应的且不属于内 部地址段的源地址和服务;从而形成内部资源开放访问记录表; 步骤5、根据所述内部资源开放访问记录表中具有相同的目的地址和服务的记录,将所 述内部资源开放访问记录表中相应的源地址进行合并,从而形成简化的内部资源开放访问 记录表; 步骤6、根据所述简化的内部资源开放访问记录表中具有相同的源地址的记录,将所述 内部资源开放访问记录表中相应的目的地址和服务进行合并,从而形成再次简化的内部资 源开放访问记录表;以所述再次简化的内部资源开放访问记录表作为企业内部资源开放范 围的分析结果。
【文档编号】H04L29/06GK105847258SQ201610179971
【公开日】2016年8月10日
【申请日】2016年3月25日
【发明人】宋敏, 李正兵, 陈浩, 王孝友, 牛景平
【申请人】国家电网公司, 国网安徽省电力公司池州供电公司