基于服务访问数据的防火墙配置方法与流程

本发明属于数据量化分析应用技术领域，具体涉及基于服务访问数据的防火墙配置方法。

背景技术：

随着网络技术的日益发展，公共网络环境变得越来越复杂，安全形势也日趋严峻，各种勒索病毒蔓延，数据安全防护也变得越来越重要，防火墙在网络中的作用越来越重要，而防火墙的规则也变得异常复杂，难以维护，规则的准确性和维护实时性也很难保证，特别是在应用变动频繁，应用规则复杂的网络环境中，要配置正确的防火墙访问规则需要投入大量的时间和人力。

如在现有技术中，公开号为cn104468161a，公开时间为2015年3月25日，名称为“一种防火墙规则集的配置方法、装置及防火墙”的中国发明专利文献，提供一种防火墙规则集的配置方法、装置及防火墙。所述方法包括：获取防火墙在设定时间间隔内根据配置的第一规则集对网络流量进行规则匹配的过程中，所述第一规则集中每条规则对应的匹配顺序调整参数值，其中，所述第一规则集为经过规则间制约关系的消除处理的防火墙规则集；根据所有所述每条规则对应的匹配顺序调整参数值，对所述第一规则集进行规则匹配顺序的调整，得到调整后的所述第一规则集；将所述调整后的第一规则集载入所述防火墙的配置，使得所述防火墙能够根据所述调整后的第一规则集，对数据包进行过滤处理。本发明实施例实现了防火墙规则集的重新配置。

技术实现要素：

本发明针对上述现有技术的不足，提供了一种准确，方便的防火墙规则梳理和同步方法。

本发明的目的是通过以下技术方案实现的：

基于服务访问数据的防火墙配置方法，其特征在于，包括以下步骤：

数据采集步骤，通过网络监控旁路模式采集并提取出多个网络路径中的包含源ip、源端口、目的ip、目的端口、应用和协议的服务访问数据并按照源ip、源端口、目的ip、目的端口和协议的类型进行分类，建立表格或图形；

访问规则锁定步骤，将采集步骤中首次采集得到的服务访问数据中正常的服务访问数据并进行锁定成为访问规则数据，并将采集步骤中后续每次采集得到的服务访问数据均与在前采集得到并被锁定的正常的服务访问数据进行比较，如相同则跳过，若不相同则将后一次采集得到的服务访问数据新增锁定成为访问规则数据；

防火墙规则生成步骤，访问规则下发到防火墙时，首先查询出访问规则锁定步骤中锁定的访问规则数据生成防火墙的禁止规则，然后将防火墙的禁止规则下发到防火墙中；如：访问规则数据中允许客户端192.168.1.2访问服务器192.168.1.6的80端口的udp协议，则防火墙禁止除192.168.1.2以外的客户端访问服务器192.168.1.6的80端口的udp协议。

所述网络监控旁路模式是通过交换机镜像功能镜像出网络流量，不影响正常业务运行，镜像出单个或者多个交换机数据接入到采集服务器的数据采集口，并通过流量处理引擎对流量数据解析，根据数据解析内容提取出所述的源ip、源端口、目的ip、目的端口、应用和协议服务访问数据。

所述访问规则锁定步骤中，是根据实际的应用系统ip、端口协议选择数据为对比基础将采集步骤中首次采集得到的服务访问数据中正常的服务访问数据并进行锁定成为访问规则数据的；所述的根据实际的应用系统ip、端口协议选择，这里指的是，用户根据自己实际业务系统软件使用的ip和端口以及协议来进行设置，比如用户的交易应用服务器是192.168.0.2端口80，用的udp协议。

将数据采集步骤中建立的表格或图形里所展示的第一次采集得到的服务访问数据确定为新增状态，并根据实际的应用系统ip、端口协议选择正常的服务访问数据并进行锁定成为访问规则，然后将后一次采集得到的服务访问数据与第一次采集得到并被锁定的正常的服务访问数据进行比较，如相同则跳过，若不相同则将后一次采集得到的服务访问数据新增锁定成为访问规则；并且将后续每次采集得到的服务访问数据均与前次采集得到并被锁定的正常的服务访问数据进行比较，如相同则跳过，若不相同则新增锁定成为访问规则。

所述数据采集步骤和/或访问规则锁定步骤中，还包括编辑修改过程，所述编辑修改过程是指用户对采集到的服务访问数据进行编辑修改，如果增加修改端口，ip等，以满足业务需求。

所述防火墙规则生成步骤中，防火墙的禁止规则是通过防火墙对应的接口下发到所有连接在网络中的防火墙的。

本技术方案的基于服务访问数据的防火墙配置方法，通过旁路模式分析的是镜像端口拷贝过来的数据，对原始数据包不会造成延时，不会对网速造成任何影响，旁路监控设备一旦故障或者停止运行，不会影响现有网络，是对当前网络影响最小的监控模式；旁路采集单点或多点网络路径中的服务访问数据，通过图形和表格方式展示出来，方便进行规则锁定和修改，修改完后直接同步到防火墙中；充分利用已有硬件的功能，部署方便，不会影响现有的网络结构。

通过旁路采集网络路径中的服务访问数据不是人工确认，数据准确；多点采集数据更全面，而人工确认容易遗漏；通过图形+表格的方式展示服务访问数据，访问关系一目了然，基于表格的操作也很简单；按需采集，操作方便，梳理完规则，直接下发到防火墙，不需要在登录到防火墙进行规则的编辑和修改，大大提高了规则配置时间。

附图说明

本发明的前述和下文具体描述在结合以下附图阅读时变得更清楚，附图中：

图1是本发明一种优选方案的逻辑示意图；

图2是本发明网络监控旁路模式一种优选方案的拓补结构图；

图3是本发明数据采集步骤一种优选方案建立表格的示意图；

图4是本发明网络端口间访问关系示意图。

具体实施方式

下面通过几个具体的实施例来进一步说明实现本发明目的技术方案，需要说明的是，本发明要求保护的技术方案包括但不限于以下实施例。

实施例1

作为本发明一种最基本的实施方案，如图1，本实施例公开了基于服务访问数据的防火墙配置方法，包括数据采集步骤、访问规则锁定步骤和防火墙规则生成步骤；

所述数据采集步骤，通过网络监控旁路模式采集并提取出多个网络路径中的包含源ip、源端口、目的ip、目的端口、应用和协议的服务访问数据并按照源ip、源端口、目的ip、目的端口和协议的类型进行分类，建立表格或图形；

所述访问规则锁定步骤，将采集步骤中首次采集得到的服务访问数据中正常的服务访问数据并进行锁定成为访问规则数据，并将采集步骤中后续每次采集得到的服务访问数据均与在前采集得到并被锁定的正常的服务访问数据进行比较，如相同则跳过，若不相同则将后一次采集得到的服务访问数据新增锁定成为访问规则数据；

所述防火墙规则生成步骤，访问规则下发到防火墙时，首先查询出访问规则锁定步骤中锁定的访问规则数据生成防火墙的禁止规则，然后将防火墙的禁止规则下发到防火墙中；如：访问规则数据中允许客户端192.168.1.2访问服务器192.168.1.6的80端口的udp协议，则防火墙禁止除192.168.1.2以外的客户端访问服务器192.168.1.6的80端口的udp协议。

本技术方案的基于服务访问数据的防火墙配置方法，通过旁路模式分析的是镜像端口拷贝过来的数据，对原始数据包不会造成延时，不会对网速造成任何影响，旁路监控设备一旦故障或者停止运行，不会影响现有网络，是对当前网络影响最小的监控模式；旁路采集单点或多点网络路径中的服务访问数据，通过图形和表格方式展示出来，方便进行规则锁定和修改，修改完后直接同步到防火墙中；充分利用已有硬件的功能，部署方便，不会影响现有的网络结构。

实施例2

作为本发明一种优选地实施方案，如图1，本实施例公开了基于服务访问数据的防火墙配置方法，包括数据采集步骤、访问规则锁定步骤和防火墙规则生成步骤；

所述数据采集步骤，如图2，通过交换机镜像功能镜像出网络流量，不影响正常业务运行，镜像出单个或者多个交换机数据接入到采集服务器的数据采集口，并通过对流量数据的分析并进行应用和协议识别，提取所述服务访问数据，并提取出多个网络路径中的包含源ip、源端口、目的ip、目的端口、应用和协议的服务访问数据，如图3，并按照源ip、源端口、目的ip、目的端口和协议的类型进行分类，建立表格或图形；

所述访问规则锁定步骤，根据实际的应用系统ip、端口协议选择数据为对比基础将采集步骤中首次采集得到的服务访问数据中正常的服务访问数据并进行锁定成为访问规则数据，将数据采集步骤中建立的表格或图形里所展示的第一次采集得到的服务访问数据确定为新增状态，并根据实际的应用系统ip、端口协议选择正常的服务访问数据并进行锁定成为访问规则，然后将后一次采集得到的服务访问数据与第一次采集得到并被锁定的正常的服务访问数据进行比较，如相同则跳过，若不相同则将后一次采集得到的服务访问数据新增锁定成为访问规则；并且将后续每次采集得到的服务访问数据均与前次采集得到并被锁定的正常的服务访问数据进行比较，如相同则跳过，若不相同则新增锁定成为访问规则；还包括编辑修改过程，所述编辑修改过程是指用户对采集到的服务访问数据进行编辑修改，如果增加修改端口，ip等，以满足业务需求；

所述防火墙规则生成步骤，访问规则下发到防火墙时，首先查询出访问规则锁定步骤中锁定的访问规则数据生成防火墙的禁止规则，然后如图4，通过防火墙对应的接口将防火墙的禁止规则下发到所有连接在网络中的防火墙中；如：访问规则数据中允许客户端192.168.1.2访问服务器192.168.1.6的80端口的udp协议，则防火墙禁止除192.168.1.2以外的客户端访问服务器192.168.1.6的80端口的udp协议。

通过旁路模式分析的是镜像端口拷贝过来的数据，对原始数据包不会造成延时，不会对网速造成任何影响，旁路监控设备一旦故障或者停止运行，不会影响现有网络，是对当前网络影响最小的监控模式；旁路采集单点或多点网络路径中的服务访问数据，通过图形和表格方式展示出来，方便进行规则锁定和修改，修改完后直接同步到防火墙中；充分利用已有硬件的功能，部署方便，不会影响现有的网络结构；通过旁路采集网络路径中的服务访问数据不是人工确认，数据准确；多点采集数据更全面，而人工确认容易遗漏；通过图形+表格的方式展示服务访问数据，访问关系一目了然，基于表格的操作也很简单；按需采集，操作方便，梳理完规则，直接下发到防火墙，不需要在登录到防火墙进行规则的编辑和修改，大大提高了规则配置时间。