一种安全策略的配置方法及装置与流程

本发明涉及网络通信
技术领域：
，尤其涉及一种安全策略的配置方法及装置。
背景技术：
：随着互联网通信技术的高速发展，互联网给人们的生活带来巨大便利的同时，黑客利用网络设备中存在的漏洞进行恶意攻击的事件也日益增多。现有技术方案中，通过在网络防护设备中配置安全策略实现对来自客户端的报文的安全防护，然而安全策略的配置过程复杂，工作量庞大，安全策略的配置耗时长；若安全策略的配置不当，还会大大降低安全策略的有效性。技术实现要素：有鉴于此，本发明提供一种安全策略的配置方法及装置，以解决安全策略的配置耗时长，有效性低的问题。为实现上述目的，本发明提供技术方案如下：根据本发明的第一方面，提出了一种安全策略的配置方法，所述方法包括：获取服务器的第一配置信息；将所述第一配置信息与预设的第一策略列表中记录的每一个第二配置信息进行匹配，所述第一策略列表用于记录至少一个第二配置信息，所述每一个第二配置信息分别对应至少一个第一策略信息；将与所述第一配置信息匹配成功的第二配置信息确定为第三配置信息，并将所述第三配置信息对应的所述至少一个第一策略信息确定为第二策略信息；将所述第三配置信息及所述第二策略信息记录在第二策略列表，所述第二策略列表用于对来自客户端的报文进行安全防护。根据本发明的第二方面，提出了一种安全策略的配置装置，包括：配置信息获取模块，用于获取服务器的第一配置信息；配置信息匹配模块，用于将所述第一配置信息与预设的第一策略列表中记录的每一个第二配置信息进行匹配，所述第一策略列表用于记录至少一个第二配置信息，所述每一个第二配置信息分别对应至少一个第一策略信息；策略信息确定模块，用于将与所述第一配置信息匹配成功的第二配置信息确定为第三配置信息，并将所述第三配置信息对应的所述至少一个第一策略信息确定为第二策略信息；策略信息记录模块，用于将所述第三配置信息及所述第二策略信息记录在第二策略列表，所述第二策略列表用于对来自客户端的报文进行安全防护。由以上技术方案可见，网络防护设备通过获取服务器的第一配置信息，网络防护设备将第一配置信息与预设的第一策略列表中匹配成功的第二配置信息确定为第三配置信息，并将第三配置信息对应的至少一个第一策略信息确定为第二策略信息，网络防护设备将第三配置信息及第二策略信息记录在第二策略列表，以通过第二策略列表对来自客户端的报文进行安全防护，当需要配置的安全策略数量较多时，解决了安全策略的配置耗时长，有效性低的问题。附图说明图1是本发明提供的安全策略的配置方法所适用的网络架构图；图2是本发明提供的一个安全策略的配置方法的实施例流程图；图3是本发明提供的另一个安全策略的配置方法的实施例流程图；图4是本发明提供的再一个安全策略的配置方法的实施例流程图；图5是本发明提供的一种网络防护设备的硬件结构图；图6是本发明提供的一个安全策略的配置装置的实施例框图；图7是本发明提供的另一个安全策略的配置装置的实施例框图。具体实施方式这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。在本发明使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本发明。在本发明和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解，尽管在本发明可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本发明范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。图1是本发明安全策略的配置方法所适用的网络架构图，如图1所示，该网络架构图中包括：WEB应用防火墙11、WEB服务器12。其中，WEB应用防火墙11为一网络防护设备，此处WEB应用防火墙11还可以替换为其他具有网路防护功能的网路设备，WEB应用防火墙11用于实现安全策略的配置；WEB服务器12还可以为FTP服务器、数据库服务器等提供网络服务的设备。通常，WEB应用防火墙11获取WEB服务器12的第一配置信息，第一配置信息可以为：操作系统类型信息、数据库类型信息、Web服务器类型信息、开发语言类型信息等WEB服务器12的基本配置信息，操作系统类型信息例如为：Windows、Linux、Unix等；数据库类型信息例如为：SQLServer、Access、Mysql、Postgres、Oracle、DB2等；Web服务器类型信息例如为：IIS、Apache、Tomcat、Nginx、Weblogic、Lighttpd等；开发语言类型信息例如为：PHP、ASP、.Net、Java、Python、Perl等。WEB应用防火墙11预设了第一策略列表，第一策略列表中记录了至少一个第二配置信息，每一个第二配置信息分别对应至少一个第一策略信息，第一策略信息为管理人员预设的安全防护条件，第一策略信息可以为一串字符，或者为报文大小的阈值等，具体的，第一策略信息例如为“trojan”、“>512字节”等，WEB应用防火墙11将第一配置信息与预设的第一策略列表中记录的每一个第二配置信息进行匹配，WEB应用防火墙11将与第一配置信息匹配成功的第二配置信息确定为第三配置信息，并将第三配置信息对应的至少一个第一策略信息确定为第二策略信息，WEB应用防火墙11将第三配置信息及第二策略信息记录在第二策略列表，第二策略列表即为针对WEB服务器12的第一配置信息建立的用于对来自客户端的报文进行防护的安全策略。本领域技术人员可以理解的是，此处WEB应用防火墙11获取WEB服务器12的第一配置信息，第一配置信息的数量不能形成对本发明的限制，WEB应用防火墙11可以将获取的至少一个第一配置信息同时与预设的第一策略列表中记录的每一个第二配置信息进行匹配。本发明实施例，WEB应用防火墙11基于从WEB服务器12获取的第一配置信息，得到针对WEB服务器12的待记录的第三配置信息及第二策略信息，并将第三配置信息及第二策略信息记录在第二策略列表，省去了管理人员对第二策略列表的手动配置过程，当需要配置的安全策略数量较多时，解决了安全策略的配置耗时长，有效性低的问题。为对本发明进行进一步说明，提供下列实施例：图2是本发明提供的一个安全策略的配置方法的实施例流程图，结合图1进行示例性说明，如图2所示，包括如下步骤：步骤201：获取服务器的第一配置信息。步骤202：将第一配置信息与预设的第一策略列表中记录的每一个第二配置信息进行匹配，第一策略列表用于记录至少一个第二配置信息，每一个第二配置信息分别对应至少一个第一策略信息。步骤203：将与第一配置信息匹配成功的第二配置信息确定为第三配置信息，并将第三配置信息对应的至少一个第一策略信息确定为第二策略信息。步骤204：将第三配置信息及第二策略信息记录在第二策略列表，第二策略列表用于对来自客户端的报文进行安全防护。可选的，还可以执行步骤205(图中未示出)。步骤205：将第四策略列表更新为第二策略列表，第四策略列表为上一已建立的、用于对来自客户端的报文进行安全防护的策略列表。在步骤201中，在一实施例中，第一配置信息可以为：操作系统类型信息、数据库类型信息、Web服务器类型信息、开发语言类型信息等WEB服务器12的基本配置信息，操作系统类型信息例如为：Windows、Linux、Unix等；数据库类型信息例如为：SQLServer、Access、Mysql、Postgres、Oracle、DB2等；Web服务器类型信息例如为：IIS、Apache、Tomcat、Nginx、Weblogic、Lighttpd等；开发语言类型信息例如为：PHP、ASP、.Net、Java、Python、Perl等。在步骤202中，在一实施例中，第一配置信息用于与预设的第一策略列表中记录的每一个第二配置信息进行匹配，第一策略列表中记录了至少一个第二配置信息，每一个第二配置信息分别对应至少一个第一策略信息。其中，第一策略列表为管理人员配置的，包含较全面的策略信息的总表。如表1所示，以第一策略列表中记录了四个第二配置信息为例，对第一策略列表的结构进行示例性说明：表1第二配置信息第一策略信息第一策略信息Windowstrojan>512字节Unixlfjshjg-Javasgrtbt-Windows，Perlhackertrojan表1中，记录了第二配置信息“Windows”、第二配置信息“Unix”、第二配置信息“Java”以及第二配置信息“Windows，Perl”。第二配置信息“Windows”对应第一策略信息“trojan”、第一策略信息“>512字节”；第二配置信息“Unix”对应第一策略信息“lfjshjg”；第二配置信息“Java”对应第一策略信息“sgrtbt”；第二配置信息“Windows，Perl”对应第一策略信息“hacker”、第一策略信息“trojan”，其中，需要特别说明的是，第二配置信息也可以包含多种信息类型，如表1所示的第二配置信息“Windows，Perl”，表示管理人员针对操作系统环境为“Windows”、开发语言类型为“Perl”的服务器配置了第一策略信息“hacker”、第一策略信息“trojan”。本领域技术人员可以理解的是，此处第二配置信息及第一策略信息的举例仅为示例性说明，并不能形成对本发明的限制。在步骤203中，在一实施例中，当第一配置信息与第一策略列表中记录的其中一个第二配置信息匹配成功时，WEB应用防火墙11将与第一配置信息匹配成功的第二配置信息确定为第三配置信息，并将第三配置信息对应的至少一个第一策略信息确定为第二策略信息。以第一配置信息为“Java”为例，结合表1，第一配置信息为“Java”与表1第二配置信息“Java”匹配成功，WEB应用防火墙11将第二配置信息“Java”确定为第三配置信息，并将第三配置信息“Java”对应的第一策略信息“sgrtbt”确定为第二策略信息。在步骤204中，在一实施例中，WEB应用防火墙11将第三配置信息及第二策略信息记录在第二策略列表，第二策略列表用于对来自客户端的报文进行安全防护。如表2所示，以第二策略列表中记录了两个第三配置信息为例，对第二策略列表的结构进行示例性说明：表2第三配置信息第二策略信息第二策略信息Windowstrojan>512字节Javasgrtbt-表2中，记录了第三配置信息“Windows”、第三配置信息“Java”。第三配置信息“Windows”对应第二策略信息“trojan”、第二策略信息“>512字节”；第三配置信息“Java”对应第二策略信息“sgrtbt”。本领域技术人员可以理解的是，此处第三配置信息“Windows”、第三配置信息“Java”的作用为：管理人员可以通过获取表2，通过表2中的第三配置信息“Windows”、第三配置信息“Java”掌握当前配置信息的类型；第二策略信息“trojan”、第二策略信息“>512字节”、第二策略信息“sgrtbt”的作用为：对来自客户端的报文进行安全防护时的具体判断条件。可选的，还可以执行步骤205。在步骤205中，在一实施例中，WEB应用防火墙11将第四策略列表更新为第二策略列表，第四策略列表为上一已建立的、用于对来自客户端的报文进行安全防护的策略列表。具体的，当第一配置信息与上一预设周期时的第一配置信息不同时，可以执行将第四策略列表更新为第二策略列表的步骤；当第一配置信息与上一预设周期时的第一配置信息相同时，也可以执行将第四策略列表更新为第二策略列表的步骤。本领域技术人员可以理解的是，此处对WEB应用防火墙11将第四策略列表更新为第二策略列表的过程的具体更新形式不做限定，WEB应用防火墙11可以整体将第四策略列表更新为第二策略列表，也可以将发生变化的第一配置信息相对应的第二策略信息进行部分更新。通过对第四策略列表的更新，确保了WEB应用防火墙11中针对WEB服务器12的安全策略的配置的时效性。本发明实施例中，网络防护设备通过获取服务器的第一配置信息，网络防护设备将第一配置信息与预设的第一策略列表中匹配成功的第二配置信息确定为第三配置信息，并将第三配置信息对应的至少一个第一策略信息确定为第二策略信息，网络防护设备将第三配置信息及第二策略信息记录在第二策略列表，以通过第二策略列表对来自客户端的报文进行安全防护，当需要配置的安全策略数量较多时，解决了安全策略的配置耗时长，有效性低的问题。图3是本发明提供的另一个安全策略的配置方法的实施例流程图，本发明实施例结合图1、图2，在步骤201-步骤202的基础上，进行示例性说明，如图3所示，包括如下步骤：步骤301：当第一配置信息与第一策略列表中记录的每一个第二配置信息均未匹配成功时，将第一配置信息确定为第四配置信息。步骤302：将第四配置信息记录在预设的第三策略列表中，第三策略列表用于记录与第一策略列表匹配失败的第一配置信息。在步骤301中，第一策略列表为管理人员配置的，包含较全面的策略信息的总表，当第一配置信息与第一策略列表中记录的每一个第二配置信息均未匹配成功时，表示第一策略列表中缺少、或者管理人员漏配对应的第二配置信息，因此，WEB应用防火墙11将未匹配成功的第一配置信息确定为第四配置信息。在步骤302中，第三策略列表用于记录与第一策略列表匹配失败的第一配置信息，结合步骤301，WEB应用防火墙11将第四配置信息记录在预设的第三策略列表中。管理人员通过获取第三策略列表，及时掌握未匹配成功的第一配置信息，进而更新第一策略列表，或基于未匹配成功的第一配置信息手动配置第二策略列表。本发明实施例中，当第一配置信息与第一策略列表中记录的每一个第二配置信息均未匹配成功时，WEB应用防火墙11将第一配置信息确定为第四配置信息，并将第四配置信息记录在预设的第三策略列表中，使得管理人员通过获取第三策略列表及时掌握安全策略的配置情况。图4是本发明提供的再一个安全策略的配置方法的实施例流程图，本发明实施例结合图1、图2，在步骤201-步骤204的基础上，进行示例性说明，如图4所示，包括如下步骤：步骤401：判断第一时间点和第二时间点的时间差是否大于或者等于预设周期，第一时间点为上一执行获取服务器的第一配置信息步骤时的时间点，第二时间点为当前时间点。步骤402：当时间差大于或者等于预设周期时，执行获取服务器的第一配置信息的步骤。在步骤401中，WEB应用防火墙11判断第一时间点和第二时间点的时间差是否大于或者等于预设周期，第一时间点为上一执行获取服务器的第一配置信息步骤时的时间点，第二时间点为当前时间点。其中，预设周期可以由管理人员根据需求设定，预设周期例如为1小时、24小时、1天、1个月等。在步骤402中，当时间差大于或者等于预设周期时，WEB应用防火墙11执行获取WEB服务器12的第一配置信息的步骤。结合步骤401，以预设周期为24小时、第一时间点为2016/12/8/00:00:00点、第二时间点为2016/12/9/12:00:00点为例，第一时间点2016/12/8/00:00:00点与第二时间点2016/12/9/12:00:00点的时间差为36小时，大于预设周期24小时，WEB应用防火墙11执行获取WEB服务器12的第一配置信息的步骤。本发明实施例中，WEB应用防火墙11判断第一时间点和第二时间点的时间差是否大于或者等于预设周期，当时间差大于或者等于预设周期时，WEB应用防火墙11执行获取WEB服务器12的第一配置信息的步骤，可以使得WEB应用防火墙11基于预设周期获取的第一配置信息实现对第二策略列表的定期更新。对应于上述安全策略的配置方法，本发明还提出了图5所示的网络防护设备的硬件结构图。请参考图5，在硬件层面，该网络防护设备包括处理器、内部总线、网络接口、内存以及非易失性存储器，当然还可能包括其他业务所需要的硬件。处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行，在逻辑层面上形成安全策略的配置装置。当然，除了软件实现方式之外，本发明并不排除其他实现方式，比如逻辑器件抑或软硬件结合的方式等等，也就是说以下处理流程的执行主体并不限定于各个逻辑单元，也可以是硬件或逻辑器件。图6是本发明提供的一个安全策略的配置装置的实施例框图，如图6所示，该安全策略的配置装置可以包括：配置信息获取模块61、配置信息匹配模块62、策略信息确定模块63、策略信息记录模块64，其中：配置信息获取模块61，用于获取服务器的第一配置信息；配置信息匹配模块62，用于将所述第一配置信息与预设的第一策略列表中记录的每一个第二配置信息进行匹配，所述第一策略列表用于记录至少一个第二配置信息，所述每一个第二配置信息分别对应至少一个第一策略信息；策略信息确定模块63，用于将与所述第一配置信息匹配成功的第二配置信息确定为第三配置信息，并将所述第三配置信息对应的所述至少一个第一策略信息确定为第二策略信息；策略信息记录模块64，用于将所述第三配置信息及所述第二策略信息记录在第二策略列表，所述第二策略列表用于对来自客户端的报文进行安全防护。图7是本发明提供的另一个安全策略的配置装置的实施例框图，如图7所示，在上述图6所示实施例的基础上，安全策略的配置装置还包括：配置信息确定模块65，用于当所述配置信息匹配模块62中的所述第一配置信息与所述第一策略列表中记录的每一个第二配置信息均未匹配成功时，将所述第一配置信息确定为第四配置信息；配置信息记录模块66，用于将所述配置信息确定模块65中的所述第四配置信息记录在预设的第三策略列表中，所述第三策略列表用于记录与所述第一策略列表匹配失败的第一配置信息。在一实施例中，安全策略的配置装置还包括：周期判断模块67，用于判断第一时间点和第二时间点的时间差是否大于或者等于预设周期，所述第一时间点为上一执行所述获取服务器的第一配置信息步骤时的时间点，所述第二时间点为当前时间点，当所述时间差大于或者等于所述预设周期时，执行所述配置信息获取模块61中的获取服务器的第一配置信息的步骤。在一实施例中，安全策略的配置装置还包括：策略更新模块68，用于将第四策略列表更新为所述策略信息记录模块64中的所述第二策略列表，所述第四策略列表为上一已建立的、用于对来自客户端的报文进行安全防护的策略列表。上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。由上述实施例可见，网络防护设备通过获取服务器的第一配置信息，网络防护设备将第一配置信息与预设的第一策略列表中匹配成功的第二配置信息确定为第三配置信息，并将第三配置信息对应的至少一个第一策略信息确定为第二策略信息，网络防护设备将第三配置信息及第二策略信息记录在第二策略列表，以通过第二策略列表对来自客户端的报文进行安全防护，当需要配置的安全策略数量较多时，解决了安全策略的配置耗时长，有效性低的问题。本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本发明的其它实施方案。本发明旨在涵盖本发明的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本
技术领域：
中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本发明的真正范围和精神由下面的权利要求指出。还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。当前第1页1 2 3