一种针对不同网络安全功能的安全规则管理系统及方法与流程

本发明涉及网络安全规则管理领域，更具体地，涉及一种针对不同网络安全功能的安全规则管理系统及方法。

背景技术：

随着互联网的高速发展与普及，网络用户对于安全服务的需求愈加灵活与多样。而传统网络安全服务静态僵化的部署方式，已无法适应动态可变的安全需求。提出软件定义网络(SDN，Software-Defined Networking)，实现网络功能可编程，以满足动态可变的用户需求，同时，得益于虚拟化技术的发展，提出网络功能虚拟化(NFV，Network Functions Virtualization)，将不同网络功能组件虚拟化，提高资源利用率的同时，也便于网络资源的灵活调度。因此，基于软件定义网络和网络功能虚拟化技术，提出虚拟化的按需安全服务组合架构，将网络用户所需的安全功能有序、动态组合，令多种安全功能协同为网络用户提供安全保障。

为实现面向用户需求的安全服务组合，需要同时考虑安全功能的排列方式与安全规则的协同方式。然而，现有网络安全服务协作研究大多集中于安全功能的排列顺序与网络资源分配之间的权衡关系，并未讨论安全规则协同对实际安全效果的影响。事实上，安全规则的错配一直是网络管理亟待解决的问题。例如，在传统防火墙规则配置过程中，由于规则配置方式的复杂性和规则条目的数量繁多，导致网络管理员难以避免较高的错配概率。Ehab Al-Shaer等人研究发现，即使专业的网络管理员，仍然会出现10％以上的错配条目，因而在实际的策略配置过程中，往往需要浪费大量的人力、物力进行错误排查。此外，针对当今用户灵活多变的安全服务需求，网络管理员需要进行更加动态且支持多样化功能的安全规则配置，仍采用传统安全规则配置方式势必引发更加严重的错配问题，无法满足用户的安全需求。

近年来，学术界和工业界已意识到安全规则配置问题对网络安全的重要影响，其中最具代表性的研究是国际互联网工程任务组中(IETF，The Internet Engineering Task Force)的网络安全功能接口(I2NSF,Interface to Network Security Functions)工作组提出的安全功能接口框架。该框架首次提出了统一不同厂商生产的安全设备接口，以降低网络安全管理员对安全设备的维护管理难度，从而提高安全功能的部署效率。然而，迄今为止，尚未见到针对复杂网络环境下，多种不同安全功能的规则进行统一管理的有效实施方案。考虑多种安全规则配置方式的复杂性与现有安全规则配置过程的易错性，解耦安全规则配置过程与具体安全功能的配置方式势在必行。

因此，需要提供一种针对不同网络安全功能的安全规则管理系统及方法，以实现一种相对简单与自动化的安全规则配置流程，降低网络管理员配置安全规则的难度，从而有效减少网络管理员配置安全规则时产生错配的概率。

技术实现要素：

本发明的一个目的在于提供一种针对不同网络安全功能的安全规则管理方法，将网络安全管理员的安全规则配置过程与实际安全规则部署过程解耦，实现多种安全规则的逻辑统一管理。

本发明的另一个目的在于提供一种针对不同网络安全功能的安全规则管理系统，实现网络安全管理员可配置与具体功能无关的安全规则，并通过该系统将规则翻译为特定安全功能可读取的安全配置，从而降低配置难度，提高配置效率与准确性。

为达到上述目的，一方面，本发明的一个实施例提供一种针对不同网络完全功能的安全规则管理方法，包括

一种针对不同网络安全功能的安全规则管理方法，包括

S1.响应于网络管理员的输入，对与具体安全功能无关的抽象安全规则进行配置；

S2.安全控制器根据配置的抽象安全规则自动生成具体安全功能可部署的安全配置信息，并分发所述安全配置信息到对应安全功能节点；

S3.所述安全功能节点接收所述安全配置信息，并写入安全功能实例的配置文件，使网络管理员配置的抽象安全规则生效。

优选地，所述步骤S1包括

可视化配置界面接收所述网络管理员的输入，对与具体安全功能无关的抽象安全规则进行配置，所述配置为选择所需安全功能类别、安全规则的序号、安全规则的目标匹配规则和需要执行的动作。

优选地，所述步骤S2包括

安全规则分析模块基于网络管理员配置的抽象安全规则分析所需安全功能，匹配能用的安全功能实例并获取相关位置信息；

安全规则格式化模块将安全规则进行格式化，形成便于后续管理的统一格式，并存入安全规则数据库；

基于格式化的安全规则，配置信息生成模块生成用于所述安全配置信息；

配置信息分发模块基于安全功能实例的位置信息，将所述安全配置信息下发到所述对应的安全功能节点。

优选地，所述步骤S3包括

安全功能代理接收所述安全配置信息；

安全功能代理解析并翻译所述的安全配置信息为安全功能实例能识别的配置规则，并写入对应配置文件；

安全功能代理将所述的安全配置信息存储到本地的安全配置数据库。

本发明的另一个实施例提供一种针对不同网络安全功能的安全规则统一管理系统，包括

安全规则管理单元，响应于网络管理员的输入，对与具体安全功能无关的抽象安全规则进行配置，根据配置的抽象安全规则自动生成具体安全功能可部署的安全配置信息，并分发所述安全配置信息到对应安全功能节点；

多个安全功能节点，接收所述安全配置信息，并写入安全功能实例的配置文件，使网络管理员配置的抽象安全规则生效。

优选地，所述安全规则管理单元包括

可视化配置界面，接收所述网络管理员的输入，对与具体安全功能无关的抽象安全规则进行配置，所述配置为选择所需安全功能类别、安全规则的序号、安全规则的目标匹配规则和需要执行的动作。

优选地，所述安全控制器包括

安全规则分析模块，基于网络管理员配置的抽象安全规则分析所需安全功能，匹配能用的安全功能实例并获取相关位置信息；

安全规则格式化模块，将安全规则进行格式化，形成便于后续管理的统一格式，并存入安全规则数据库；

配置信息生成模块，基于格式化的安全规则，生成用于所述安全配置信息；

配置信息分发模块，基于安全功能实例的位置信息，将所述安全配置信息下发到所述对应的安全功能节点；

安全规则数据库，用于存储格式化后的安全规则。

优选地，所述安全功能节点包括

安全功能代理，用于接收所述的安全规则管理单元发送的安全配置信息，解析并翻译所述的安全配置信息为安全功能实例能识别的配置规则并将安全配置信息写入安全功能实例的配置文件；

安全功能实例配置文件，基于更新后的安全配置文件，对相应的数据流执行安全操作；

安全配置数据库，用于在本地存储和管理所述的安全配置信息。

本发明的又一实施例提供一种计算机可读存储介质，存储有一组指令，所述指令在处理器执行时进行如下操作

S1.响应于网络管理员的输入，对与具体安全功能无关的抽象安全规则进行配置；

S2.安全控制器根据配置的抽象安全规则自动生成具体安全功能可部署的安全配置信息，并分发所述安全配置信息到对应安全功能节点；

S3.所述安全功能节点接收所述安全配置信息，并写入安全功能实例的配置文件，使网络管理员配置的抽象安全规则生效。

本发明的有益效果如下：

与传统网络安全规则管理系统相比，本发明简化了安全规则的配置方式，并解耦安全规则与具体的安全功能实例配置规则，降低网络管理员配置安全规则的复杂度和难度，从而有效降低安全规则错配发生的概率。

附图说明

下面结合附图对本发明的具体实施方式作进一步详细的说明。

图1示出本发明的一个实施例的针对不同网络安全功能的安全规则管理方法。

图2示出本发明的一个实施例的网络安全规则管理系统的结构图。

图3示出本发明的一个实施例的安全控制器的结构图。

具体实施方式

为了更清楚地说明本发明，下面结合优选实施例和附图对本发明做进一步的说明。附图中相似的部件以相同的附图标记进行表示。本领域技术人员应当理解，下面所具体描述的内容是说明性的而非限制性的，不应以此限制本发明的保护范围。

结合图1-3，说明本发明实施例的针对不同网络安全功能的安全规则管理方法和系统。

如图1所示，该方法包括

S1.响应于网络管理员的输入，对与具体安全功能无关的抽象安全规则进行配置；

S2.安全控制器根据配置的抽象安全规则自动生成具体安全功能可部署的安全配置信息，并分发所述安全配置信息到对应安全功能节点；

S3.所述安全功能节点接收所述安全配置信息，并写入安全功能实例的配置文件，使网络管理员配置的抽象安全规则生效。

在本发明的系统中，如图2所示，安全规则管理单元和多个安全功能节点。其中，安全规则管理单元响应于网络管理员的输入，对与具体安全功能无关的抽象安全规则进行配置，根据配置的抽象安全规则自动生成具体安全功能可部署的安全配置信息，并分发所述安全配置信息到对应安全功能节点。

多个安全功能节点接收所述安全配置信息，并写入安全功能实例的配置文件，使网络管理员配置的抽象安全规则生效。

具体地，如图2所示，安全规则管理单元包括可视化配置界面、安全控制器和安全规则数据库。多个安全功能节点，包括安全功能代理、安全功能实例和安全配置数据库。

优选地，如图3所示，所述安全控制器包括安全规则分析模块、安全规则格式化模块、配置信息生成模块、配置信息分发模块以及安全规则数据库。

接下来以一个具体示例说明本发明。

网络管理员通过登录安全规则管理单元的可视化配置界面，根据界面提示，选择所需求的安全功能类型、规则的匹配域与规则的安全行为。以防火墙规则为例，需要选择类型为防火墙，在匹配域写入源地址与目的地址，同时在行为中选择接受或拒绝。

当网络管理员通过可视化配置界面完成对与具体安全功能无关的安全规则的配置后，安全控制器的监听模块接收配置的安全规则并交付给安全规则分析模块。

安全规则分析模块分析安全规则所需的相关安全功能，并匹配到安全功能节点中的安全功能实例，并获取安全功能实例的相关信息。

然后由安全规则格式化模块，对所述的安全规则配置信息进行归一化处理，便于已配置的所有不同类型的安全规则统一管理，并存入安全规则数据库中。

之后，为实现安全规则配置的自动化部署，需要由配置信息生成模块基于格式化的安全规则生成相应的安全配置信息。

最后，配置信息分发模块基于安全功能实例的位置信息，将生成的安全配置信息发送到安全功能节点。

在安全功能节点上，安全功能代理负责接收安全配置信息，然后解析接收到的安全配置信息，并写入到对应安全功能实例的配置文件中。

同时，安全功能代理将接收到的安全配置信息存入本地的安全配置数据库中。

此时，网络安全管理员新配置的安全规则将会生效，安全功能实例可以基于写入的安全配置文件对数据流进行所需的安全操作。

本发明还提供一种计算机存储介质，包括但不限于光盘、磁盘、移动硬盘等，在所述存储介质中，存储有一组指令，所述指令在处理器执行时进行如图1所示的操作。

显然，本发明的上述实施例仅仅是为清楚地说明本发明所作的举例，而并非是对本发明的实施方式的限定，对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动，这里无法对所有的实施方式予以穷举，凡是属于本发明的技术方案所引伸出的显而易见的变化或变动仍处于本发明的保护范围之列。