一种防火墙策略管理方法及装置与流程

本发明涉及信息安全技术领域，尤其是一种防火墙策略管理方法及装置，对电力系统信息内网防火墙策略进行集中审计。

背景技术：

随着电力行业泛在电力物联网建设，将电力用户及其设备，电网企业及其设备，发电企业及其设备，供应商及其设备，以及人和物连接起来，产生共享数据，为用户、电网、发电、供应商和政府社会服务；以电网为枢纽，发挥平台和共享作用，为全行业和更多市场主体发展创造更大机遇，提供价值服务。随着网络的开放和大量物联网硬件的使用同样带来了安全防护压力。近年来，全球网络安全遇到前所未有的挑战，各类网络安全事件频发，互联网安全形势日益严峻。电网企业部署大量安全防护设备抵御网络攻击，网络安全防护水平不断提高，但是其缺乏对各地安全防护设备统一管控的方法。电网企业网络基础建设和网络安全控制的逐步健全，电力企业的网络环境规模和复杂度不断增加，部署在其中的防火墙以及配置访问控制列表的路由交换设备日益增多。防火墙设备使用年限的增加，现网设备日常运维或升级改造中存在大量覆盖策略、冗余策略、可合并策略、交叉策略和冲突策略，影响防火墙等设备运行效率和资源利用率，同时存在较大安全隐患。同时全省防火墙均为属地化运维，策略开通虽有线下审批机制，但并未实现统一管控，各地防火墙策略私开、错开等问题较为突出。

目前，防火墙策略私自变更的行为难以监控，无法对防火墙策略进行统一管理，同时由于防火墙策略的不断增加，防火墙策略中存在大量的覆盖策略、冗余策略、可合并策略、交叉策略和冲突策略，不合理策略在日常运维中难以被发现，影响防火墙性能。具体问题如下：

(1)防火墙策略存在私开问题

防火墙运维为属地化运维，防火墙策略的开通需要走线下审批环节，审批过程中只能看到当前申请的防火墙策略，对私开、错开防火墙策略的行为无法进行监控，致使对各区域网络边界开放情况没有统一的把控。

(2)缺乏防火墙策略合理性的审计方法

随着防火墙设备使用年限的不断增加，现网设备在日常运维或升级改造中存在大量覆盖策略、冗余策略、可合并策略、交叉策略和冲突策略，日积月累之下，影响防火墙等设备运行效率和资源利用率，同时存在较大安全隐患。

(3)安全管控手段不足

由于防火墙属地化运维，对于防火墙是否存在开通高危端口的策略无法进行监控。

技术实现要素：

本发明的目的是提供一种防火墙策略管理方法及装置，及时发现其中未申请而进行策略变更的现象，对全网防火墙策略进行梳理，发现其中的覆盖策略、冗余策略、可合并策略、交叉策略和冲突策略，审计是否存在开通高危端口的策略。

为实现上述目的，本发明采用下述技术方案：

本发明第一方面提供了一种防火墙策略管理方法，包括以下步骤：

周期性采集防火墙策略并执行范式化操作；

对范式化操作后的防火墙策略与基线策略进行比对，判断是否发生变更；

依次对范式化操作后的防火墙策略两两进行判断，标识出不合理策略；

对范式化操作后防火墙策略与防火墙端口黑名单进行比对，标识出开通高危端口的防火墙策略。

结合第一方面，在第一方面第一种可能的实现方式中，所述周期性采集防火墙策略并执行范式化操作步骤之前，还包括：

选取全部/部分防火墙策略作为基线策略，并将选择的基线策略入新表或添加字段置基线标识；

配置防火墙ip、ssh用户名/密码及对应品牌防火墙策略读取命令并设置采集周期；

配置防火墙端口黑名单，将黑名单端口号信息生成xml格式的文件下发到检测引擎。

结合第一方面，在第一方面第二种可能的实现方式中，所述周期性采集防火墙策略并执行范式化操作，具体包括：

使用ssh方式周期性采集防火墙策略；

对防火墙策略执行transconf范式化，并生成trans文件存入数据库。

结合第一方面，在第一方面第三种可能的实现方式中，所述对范式化操作后的防火墙策略与基线策略进行比对，判断是否发生变更，具体包括：

调用diff命令比较基线策略的trans文件和新采集防火墙策略的trans文件，若存在不同，则判断发生了变更。

结合第一方面，在第一方面第四种可能的实现方式中，所述判断发生变更步骤具体包括：

对基线策略的每一条条目进行查找，若基线策略该条目不存在，则判断为删除或更改行为，并标识出发生变更的策略；若基线策略均存在，则判断为策略新增行为，并标识出新增的策略。

结合第一方面，在第一方面第五种可能的实现方式中，所述依次对范式化操作后的防火墙策略两两进行判断，标识不合理策略，具体包括：

根据防火墙策略的源地址、目的地址、服务、动作，将两条防火墙策略之间交叉关系进行归类判断；

对包括覆盖策略、冗余策略、可合并策略、交叉策略和冲突策略的防火墙策略进行标识。

本发明第二方面提供了一种防火墙策略管理装置，包括：

防火墙策略采集模块，周期性采集防火墙策略；

防火墙策略范式化模块，对采集的防火墙策略执行范式化操作；

策略变更判断模块，对范式化操作后的防火墙策略与基线策略进行比对，判断是否发生变更；

不合理策略判断模块，依次对范式化操作后的防火墙策略两两进行判断，标识出不合理策略；

端口黑名单审核模块，对范式化操作后防火墙策略与防火墙端口黑名单进行比对，标识出开通高危端口的防火墙策略。

结合第二方面，在第二方面第一种可能的实现方式中，还包括：

基线策略设置模块，选取全部/部分防火墙策略作为基线策略，并将选择的基线策略入新表或添加字段置基线标识；

策略周期采集模块，配置防火墙ip、ssh用户名/密码及对应品牌防火墙策略读取命令并设置采集周期；

端口黑名单配置模块，配置防火墙端口黑名单，将黑名单端口号信息生成xml格式的文件下发到检测引擎。

本发明第二方面的所述防火墙策略管理装置能够实现第一方面及第一方面的各实现方式中的方法，并取得相同的效果。

发明内容中提供的效果仅仅是实施例的效果，而不是发明所有的全部效果，上述技术方案中的一个技术方案具有如下优点或有益效果：

(1)不同品牌防火墙策略集中监控

实现了不同品牌防火墙策略的统一标准化，能够将采集到的所有防护墙策略转化为统一标准格式。

(2)防火墙策略变更监控

实现了防火墙策略变更监控。若存在防火墙策略变更，则会进行安全告警，并指出变更的具体内容。

(3)防火墙策略合理性自动化审计

实现了防火墙策略合理性自动化审计，通过收集全网防火墙策略，自动化的对防火墙策略进行范式化，利用程序不断对各个策略进行比对，发现其中存在的不合理的策略。

(4)端口黑名单监控

实现了端口黑名单监控，能够根据预设的高危端口，发现开通高危端口策略的防火墙并进行告警。

附图说明

图1是本发明方法实施例一流程图；

图2是本发明方法实施例二流程图；

图3是本发明装置实施例一示意图；

图4是本发明装置实施例二示意图。

具体实施方式

为能清楚说明本方案的技术特点，下面通过具体实施方式，并结合其附图，对本发明进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本发明的不同结构。为了简化本发明的公开，下文中对特定例子的部件和设置进行描述。此外，本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的，其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意，在附图中所图示的部件不一定按比例绘制。本发明省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本发明。

如图1所示，一种防火墙策略管理方法，包括以下步骤：

s1、周期性采集防火墙策略并执行范式化操作；

s2、对范式化操作后的防火墙策略与基线策略进行比对，判断是否发生变更；

s3、依次对范式化操作后的防火墙策略两两进行判断，标识出不合理策略；

s4、对范式化操作后防火墙策略与防火墙端口黑名单进行比对，标识出开通高危端口的防火墙策略。

如图2所示，一种防火墙策略管理方法，包括以下步骤：

s1、选取全部/部分防火墙策略作为基线策略，并将选择的基线策略入新表或添加字段置基线标识；

s2、配置防火墙ip、ssh用户名/密码及对应品牌防火墙策略读取命令并设置采集周期；

s3、配置防火墙端口黑名单，将黑名单端口号信息生成xml格式的文件下发到检测引擎。

s4、周期性采集防火墙策略并执行范式化操作；

s5、对范式化操作后的防火墙策略与基线策略进行比对，判断是否发生变更；

s6、依次对范式化操作后的防火墙策略两两进行判断，标识出不合理策略；

s7、对范式化操作后防火墙策略与防火墙端口黑名单进行比对，标识出开通高危端口的防火墙策略。

步骤s3中，在系统端口黑名单页面手动配置黑端口号信息：黑端口序号、黑端口号、描述、黑名单类型，端口号可以使用范围的格式，如21-23表示21、22、23都是黑端口，告警是否需要体现出受控使用和禁止使用等信息。

将黑名单端口号信息生成xml格式的文件并下发到检测引擎，检测引擎在自动获取或手动导入策略时进行黑端口号判断。检测引擎涉及高危端口的策略入库，存储哪些策略包含了黑端口号，以及其包含的黑端口号信息。并根据策略的相关信息进行告警。

步骤s4中，周期性采集防火墙策略并执行范式化操作，具体包括：

s41、使用ssh方式周期性采集防火墙策略；

s42、对防火墙策略执行transconf范式化，并生成trans文件存入数据库。trans文件存储策略对应的源地址、目的地址、服务、动作等信息存入数据库供其他模块调用。

步骤s5中，对范式化操作后的防火墙策略与基线策略进行比对，判断是否发生变更，具体包括：

调用diff命令比较基线策略的trans文件和新采集防火墙策略的trans文件，若存在不同，则判断发生了变更。判断发生变更步骤具体包括：

对基线策略的每一条条目进行查找，若基线策略该条目不存在，则判断为删除或更改行为，并标识出发生变更的策略；若基线策略均存在，则判断为策略新增行为，并标识出新增的策略。

步骤s6中，依次对范式化操作后的防火墙策略两两进行判断，标识不合理策略，具体包括：

s61、根据防火墙策略的源地址、目的地址、服务、动作，将两条防火墙策略之间交叉关系进行归类判断。

两条策略之间交叉关系的250种情况分成7类，分别为：无交集关系，即两条策略没有关系；前大后小关系，即覆盖策略；前小后大动作相同关系，即冗余策略；动作相同关系，即可合并策略；交叉动作相反关系，即交叉策略；前小后大动作相反关系即冲突策略；有交集动作相同关系。

s62、对包括覆盖策略、冗余策略、可合并策略、交叉策略和冲突策略的防火墙策略进行标识。

如图3所示，一种防火墙策略管理装置，包括：

防火墙策略采集模块101，周期性采集防火墙策略；

防火墙策略范式化模块102，对采集的防火墙策略执行范式化操作；

策略变更判断模块103，对范式化操作后的防火墙策略与基线策略进行比对，判断是否发生变更；

不合理策略判断模块104，依次对范式化操作后的防火墙策略两两进行判断，标识出不合理策略；

端口黑名单审核模块105，对范式化操作后防火墙策略与防火墙端口黑名单进行比对，标识出开通高危端口的防火墙策略。

如图4所示，一种防火墙策略管理装置，包括：

基线策略设置模块101，选取全部/部分防火墙策略作为基线策略，并将选择的基线策略入新表或添加字段置基线标识；

策略周期采集模块102，配置防火墙ip、ssh用户名/密码及对应品牌防火墙策略读取命令并设置采集周期；

端口黑名单配置模块103，配置防火墙端口黑名单，将黑名单端口号信息生成xml格式的文件下发到检测引擎；

防火墙策略采集模块104，周期性采集防火墙策略；

防火墙策略范式化模块105，对采集的防火墙策略执行范式化操作；

策略变更判断模块106，对范式化操作后的防火墙策略与基线策略进行比对，判断是否发生变更；

不合理策略判断模块107，依次对范式化操作后的防火墙策略两两进行判断，标识出不合理策略；

端口黑名单审核模块108，对范式化操作后防火墙策略与防火墙端口黑名单进行比对，标识出开通高危端口的防火墙策略。

上述虽然结合附图对本发明的具体实施方式进行了描述，但并非对本发明保护范围的限制，所属领域技术人员应该明白，在本发明的技术方案的基础上，本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。