本发明涉及防火墙策略技术领域,具体是一种防火墙策略集中优化管理方法及其系统。
背景技术:
防火墙作为电力公司内外网重要的安全防护设备一直以来都是信息安全管理的基本工具之一,防火墙按照工作层级分类主要分为包过滤防火墙和应用级防火墙,包过滤防火墙作为安全管理人员最熟悉的防火墙,其安装部署方便,策略设置简单,因此得到大面积应用。随着公司信息安全管理的日益严格,各类网络边界安全防护越来越严格,加之信息系统不断上马,防火墙的acl策略也变得日益复杂。
防火墙策略管理一直以来都是安全运维工作的重要组成部分,随着电力公司信息网规模的不断扩大,网络边界的不断增加,使用的防火墙设备也不断增多,但防火墙设备品牌众多,同时每个防火墙策略数以万计,若每条策略都在防火墙内人工配置,安全运维人员不仅要熟悉每个厂家、每个品牌的配置规则,同时还难以发现策略之间可能存在的冲突,客观上增加了防火墙策略维护难度。
现有技术cn105959331a提供了一种防火墙策略的优化方法及装置,其中所述优化方法包括:构建防火墙策略信息库和应用信息库,所述防火墙策略信息库包括至少一防火墙策略信息,所述应用信息库包括至少一应用信息;从所述应用信息库中查询所述防火墙策略信息对应的应用信息,并将所述防火墙策略信息及所述防火墙策略信息对应的应用信息添加至应用策略信息库。该技术在于采用数据库形式构建策略信息库,通过策略比对匹配完成策略管理等,降低了防火墙策略维护的工作量。但是针对市场上各厂家个品牌的防火墙设备均采用不同的策略且其建立于防火墙基础策略的聚合处理,存在一定的相似性,采用数据库构建的策略信息需要足够大的数量和范围才能完成策略优化和管理,降低了防火墙策略管理的可读性且不适合多种设备的集中管理。
针对此情况,本方法给出一种防火墙策略集中管理方法,实现策略的统一采集、集中管理、策略优化与自动分配,极大提升安全运维人员防火墙管理效率。
技术实现要素:
本发明的目的在于提供一种防火墙策略集中优化管理方法及其系统,以解决上述背景技术中提出的防火墙策略复杂、维护难度高,现有的策略管理中策略可读性低、不适用于多种设备的集中管理的问题。
为实现上述目的,本发明提供如下技术方案:
一种防火墙策略集中优化管理方法,该方法包括以下步骤:
s1、定制策略转化规则进行规则转换,定义防火墙策略模型;
s2、初始化现有设备;
s3、集中管理和分发策略;
s4、定期检测策略并更新策略集合,策略检测完成后继续分发策略。
优选的,所述s1中定制策略转化规则进行规则转换包括通过各厂家防火墙访问策略定义格式中对基础防火墙策略的聚合处理确定标准模型以适配各个厂家、各个型号的防火墙策略,所述s1中定义防火墙策略模型包括定义该模型由协议类型、源ip地址集合、源端口集合、目的ip地址集合、目的端口集合和动作六个域组成,其中,源ip地址、源端口、目的ip地址与目的端口均为集合,以满足地址段、端口段的批量处理。
优选的,所述s2初始化现有设备包括以下步骤:
s21、定期通过ssh连接防火墙设备获取防火墙配置文件并将策略根据所述s1定义的策略模型转化为防火墙策略模型进行存储;
s22、定期通过ssh连接防火墙设备获取防火墙配置文件并针对不同类型的防火墙设备根据所述s1定制策略转化规则进行规则转换,形成标准模型策略;
s23、针对新上线的设备,防火墙配置在系统中进行统一维护完成初始化。
优选的,所述s3中集中管理和分发策略包括以下步骤:
s31、策略间无效配置检测,其检测规则包括:
s311、协议类型一致,源地址集合、源端口集合同时存在交集,目的地址集合、目的端口集合同时存在交集,但动作域不一致;
s312、序号小的策略中的协议类型为ip,序号大的策略中的协议类型为tcp或udp,源地址集合、源端口集合同时存在交集,目的地址集合、目的端口集合同时存在交集,但动作域不一致;
根据s311和s312检测出的有冲突的策略,则冲突的策略间存在无效策略;
s32、策略不合理配置检测,其检测规则包括:
s321、协议类型一致或第一策略协议为ip、第二策略协议类型为tcp/udp,第一策略的源地址集合、源端口集合包含第二策略的源地址集合、源端口集合,第一策略的目的地址集合、目的端口集合包含第二策略的目的地址集合、目的端口集合,则标记第二策略为待合并策略;
s322、协议类型一致或第一策略协议为ip、第二策略协议类型为tcp/udp,第一策略的源地址集合、源端口集合被包含在第二策略的源地址集合、源端口集合,第一策略的目的地址集合、目的端口集合被包含第二策略的目的地址集合、目的端口集合,则标记第一和第二策略为待拆分策对;
s33、分发策略,通过s31和s32对策略集合进行合理性检测后,将策略结合根据防火墙设备类型转换为特定格式的配置文件并通过ssh连接防火墙设备推送配置文件。
优选的,所述s4中定期检测策略并更新策略集合包括以下步骤:
s41、定期通过ssh连接防火墙设备获取防火墙配置文件,并解析为策略集合;
s42、将解析到的策略集合与集中管理的策略集合逐条逐项进行一致性比对,发现差异时给出提示;
s43、管理员接收提示后,对差异策略进行选择,如保留设备内的策略,则更新集中管理的策略集合;
s44、通过s41、s42和s43完成一致性比对后再继续进行所述s3中策略集中管理的合理性检测与策略分发。
本发明还公开了一种防火墙策略集中优化管理系统,包括:
模型定义模块,用于定义防火墙策略模型;
初始化模块,用于获取现有设备配置文件并进行初始化;
集中管理模块,用于策略的集中管理,其包括检测策略建无效配置的无效配置检测单元和检测策略合理性的不合理配置检测单元;
分发模块,用于分发策略;
一致性检测模块,用于检测策略的一致性;以及
处理器,用于处理各功能模块和存储数据;
其中,模型定义模块和初始化模块分别电性连接处理器,无效配置检测单元和不合理配置检测单元分别逐一与初始化模块和处理器电性连接,分发模块电性连接处理器,一致性检测模块分别与初始化模块、分发模块和处理器电性连接。
优选的,所述初始化模块包括获取设备配置文件的配置获取单元和初始化设备的初始化单元,配置获取单元电性连接初始化单元和一致性检测模块用于对获取的配置文件初始化和检测防火墙设备的策略一致性,初始化单元电性连接无效配置检测单元、不合理配置检测单元和处理器用于检测策略合理性和无效性。
优选的,所述一致性检测模块包括策略解析单元和策略比对单元,策略解析单元电性连接配置获取单元用于将配置文件解析为策略集合,策略比对单元电性连接策略解析单元和处理器用于将设备配置文件解析的策略集合与集中管理的策略集合进行逐一逐项比对
与现有技术相比,本发明的有益效果是:
1)本发明通过模型定义模块根据防火墙基础策略定义策略模型,并通过获取防火墙设备的配置信息根据策略模型进行集中优化管理,实现对不同品牌的防火墙设备,包括天融信、迪普、启明星辰、山石网科、天津汉柏、杭州华三、思科等配置进行精准解析以达到集中优化的目的,解决因防火墙策略复杂导致的集中优化管理困难的问题;
2)本发明通过人工制定策略合规性准则,包括源地址范围、目的地址范围及目的端口颗粒度等,在防火墙策略集中优化管理中利用该准则自动对防火墙策略配置进行检测,对不合规策略提示管理员进行优化并结合定期检测、持续更新实现对防火墙策略管理的先进性和即时性。
附图说明
图1为本发明一种防火墙策略集中优化管理方法的流程图;
图2为本发明一种防火墙策略集中优化管理系统的流程框图;
图3为本发明一种防火墙策略集中优化管理系统的结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,一种防火墙策略集中优化管理方法,该方法包括以下步骤:
s1、定制策略转化规则进行规则转换,定义防火墙策略模型。
防火墙策略是由过滤规则组成的有序链表,每一条过滤规则包含若干个网络域。通常单条过滤规则由协议类型(protocol)、源ip地址(sourceipaddress)、源端口(sourceport)、目的ip地址(destinationipaddress)、目的端口(destinationport)、动作(action)这六个域组成,见下表:
协议(protocol)定义了传输层协议;s_ip和d_ip分别表示源地址和目的地址,源地址;既可以是一个主机地址(如192.168.1.16),也可以是一个地址范围(192.168.1.0/24);s_port和d_port分别表示源端口和目标端口,同ip类似,既可以是一个特定的端口号,也可以是任何(any)端口。动作域(action)是类似布尔型permit或者deny,仅当数据包的各个域与规则域中的条件匹配时,才会执行对应的动作;当执行permit时,防火墙放行数据包,而执行deny时,防火墙拒绝该数据包通过。
但各个厂家的防火墙访问策略定义格式不同,比如:
(1)cisco的防火墙:
access-list[normal|special]listnumber2[action]protocols_ipsource-mask[operatorport1[port2]]d_ipdest_mask[operatorport1[port2]|icmp-type[icmp-code]][log]
(2)h3c的防火墙:
rule[index][action]
source-ip[s_ip]
destination-ip[d_ip]
service[protocol][d_port]
ruleenable
以上两个厂家均对防火墙基础策略中的不同字段进行了聚合处理,为此确定一种标准模型以适配各个厂家、各个型号的防火墙策略,策略字段及说明如下:
模型由协议类型(protocol)、源ip地址集合、源端口集合、目的ip地址集合、目的端口集合、动作这六个域组成,区别于标准的单条策略构成,源ip地址、源端口、目的ip地址与目的端口均为集合,以满足地址段、端口段的批量处理。
s2、初始化现有设备。
针对已经存在的防火墙设备,定期通过ssh连接防火墙设备获取防火墙配置文件并将策略转化为防火墙策略模型进行存储,定期通过ssh连接防火墙设备获取防火墙配置文件,获取到防火墙配置文件后,针对不同类型的防火墙设备定制策略转化规则进行规则转换,形成标准模型策略。
针对新上线设备,防火墙设备在系统中统一维护。
s3、集中管理和分发策略。
集中管理包括策略间无效配置检测和策略不合理检测,集中管理和分发策略的步骤如下:
s31、策略间无效配置检测,其检测规则包括:
s311、协议类型一致,源地址集合、源端口集合同时存在交集,目的地址集合、目的端口集合同时存在交集,但动作域不一致;
s312、序号小的策略中的协议类型为ip,序号大的策略中的协议类型为tcp或udp,源地址集合、源端口集合同时存在交集,目的地址集合、目的端口集合同时存在交集,但动作域不一致;
根据s311和s312检测出的有冲突的策略,则冲突的策略间存在无效策略。
s32、策略不合理配置检测,其检测规则包括:
s321、协议类型一致或第一策略协议为ip、第二策略协议类型为tcp/udp,第一策略的源地址集合、源端口集合包含第二策略的源地址集合、源端口集合,第一策略的目的地址集合、目的端口集合包含第二策略的目的地址集合、目的端口集合,则标记第二策略为待合并策略;
s322、协议类型一致或第一策略协议为ip、第二策略协议类型为tcp/udp,第一策略的源地址集合、源端口集合被包含在第二策略的源地址集合、源端口集合,第一策略的目的地址集合、目的端口集合被包含第二策略的目的地址集合、目的端口集合,则标记第一和第二策略为待拆分策对。
s33、分发策略,通过s31和s32对策略集合进行合理性检测后,将策略结合根据防火墙设备类型转换为特定格式的配置文件并通过ssh连接防火墙设备推送配置文件。
s4、定期检测策略并更新策略集合,策略检测完成后继续分发策略。
定期检测策略并更新策略集合包括以下步骤:
s41、定期通过ssh连接防火墙设备获取防火墙配置文件,并解析为策略集合;
s42、将解析到的策略集合与集中管理的策略集合逐条逐项进行一致性比对,发现差异时给出提示;
s43、管理员接收提示后,对差异策略进行选择,如保留设备内的策略,则更新集中管理的策略集合;
s44、为防止防火墙设备内的策略与集中管理的策略集合不一致,定期通过ssh连接防火墙设备获取防火墙配置文件,并解析为策略集合,再与集中管理的策略集合逐条逐项进行一致性比对,发现差异时给出提示,有管理员对差异策略进行选择,如保留设备内的策略,则更新集中管理的策略集合。一致性比对完成后再进行合理性检测与策略分发。
如图2所示,本发明还公开了一种适用于上述管理方法的防火墙策略集中优化管理系统,包括:
模型定义模块,用于定义防火墙策略模型;
初始化模块,用于获取现有设备配置文件并进行初始化;
集中管理模块,用于策略的集中管理,其包括检测策略建无效配置的无效配置检测单元和检测策略合理性的不合理配置检测单元;
分发模块,用于分发策略;
一致性检测模块,用于检测策略的一致性;以及
处理器,用于处理各功能模块和存储数据;
如图3所示,其中,模型定义模块和初始化模块分别电性连接处理器,无效配置检测单元和不合理配置检测单元分别逐一与初始化模块和处理器电性连接,分发模块电性连接处理器,一致性检测模块分别与初始化模块、分发模块和处理器电性连接。
初始化模块包括获取设备配置文件的配置获取单元和初始化设备的初始化单元,配置获取单元电性连接初始化单元和一致性检测模块用于对获取的配置文件初始化和检测防火墙设备的策略一致性,初始化单元电性连接无效配置检测单元、不合理配置检测单元和处理器用于检测策略合理性和无效性。
一致性检测模块包括策略解析单元和策略比对单元,策略解析单元电性连接配置获取单元用于将配置文件解析为策略集合,策略比对单元电性连接策略解析单元和处理器用于将设备配置文件解析的策略集合与集中管理的策略集合进行逐一逐项比对。
通过本发明的防火墙策略优化管理方法和系统建立了全网防火墙策略统一优化管理平台,提升管理员对防火墙安全策略的可视性,实现对不同品牌的防火墙设备的配置解析、策略优化和策略审计等集中管理,协助管理员管理、分析和优化防火墙安全策略,同时解决了手工梳理策略的人力、物力的大量消耗,形成了防火墙策略规范化、简易化的梳理模式,有效提升了防火墙策略运维效率,提高了运维人员的工作效率、加强了防火墙的安全防护,而且改进了防火墙策略梳理模式,使得防火墙策略处于“可见”状态,对防火墙策略梳理提供了有效、全面地整改依据。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。