本发明涉及互联网技术领域,尤其涉及一种基于日志的防火墙策略管理方法及其系统。
背景技术:
防火墙代是一种结合硬件和软件的情况下,对内部和外部网络之间形成一种保护的屏障,从而实现对计算机不安全网络因素的阻断。防火墙会依据对应的策略,对数据包进行检测,将不合法的数据包进行拦截,实现网络的安全防护。随着互联网的发展,网络规模的不断扩大,防火墙的类型也在不断的增加,如迪普、h3c、华为、天融信、思科等等。在实际使用中,会对防火墙配置对应的防火墙策略,不过在配置过程中往往是只进行增加的操作;一定时间后,防火墙策略就会显得比较庞大,再加上各种不同类型的防火墙,想从庞大的策略中查找对应策略显得尤为困难;比如:想查找端口是否被防火墙策略进行阻断,查看的过程显得尤为麻烦。
技术实现要素:
本发明的目的在于提供一种基于日志的防火墙策略管理方法及其系统,针对各种不同类型的防火墙以及各种防火墙策略,通过防火墙日志对防火墙策略进行集中化管理与验证。
本发明采用的技术方案是:
一种基于日志的防火墙策略管理方法,其包括以下步骤:
步骤1,将防火墙设备与采集设备对接,并输出对应的防火墙日志至采集设备上;
步骤2,采集设备将日志输送到数据清洗模块;
步骤3,数据清洗模块初步解析日志并区分出不同的防火墙设备类型;
步骤4,根据防火墙设备类型过滤出对应不同动作的通行日志跟阻断日志,并匹配对应的解析规则;
步骤5,通过匹配的解析规则从通行日志跟阻断日志解析出的访问记录数据;
步骤6,防火墙策略管理模块基于访问记录数据验证防火墙策略的有效性,并纳管到防火墙策略表中进行管理。
进一步地,步骤2中数据清洗模块通过解析出日志所属设备、日志行为、等级和动作信息判断日志对应的防火墙设备类型。
进一步地,步骤5中访问记录数据包括对应的协议类型、源ip、源端口、目的ip、目的端口、访问方向和设备类型数据。
进一步地,步骤6中基于访问记录数据验证防火墙策略的有效性形成针对不同协议的不同出入方向及不同源目地址的访问策略再纳管到防火墙策略表中进行管理。
进一步地,本发明还公开了一种基于日志的防火墙策略管理系统,采用了所述的一种基于日志的防火墙策略管理方法,其特征在于:系统包括以下设备:
采集设备:与防火墙设备进行对接采集rsyslog日志,并输出日志至数据清洗模块;
数据清洗模块:解析rsyslog日志判断防火墙类型,并从通行日志与阻断日志解析出访问记录数据;
防火墙策略管理模块:通过防火墙的通行日志与阻断日志验证防火墙策略的有效性,并将防火墙策略纳管到防火墙策略表中进行管理。
进一步地,采集设备兼容多种不同类型的防火墙设备。
进一步地,数据清洗模块通过解析出日志所属设备、日志行为、等级和动作信息判断日志对应的防火墙设备类型。
进一步地,访问记录数据包括对应的协议类型、源ip、源端口、目的ip、目的端口、访问方向和设备类型数据。
进一步地,防火墙策略管理模块基于访问记录数据验证防火墙策略的有效性,形成针对不同协议的不同出入方向及不同源目地址的访问策略再纳管到防火墙策略表中进行管理。
本发明采用以上技术方案,选用兼容性强的采集模块,与不同类型的防火墙设备进行对接,通过rsyslog日志对防火墙策略进行验证与集中管理。本发明方法降低了防火墙策略管理的复杂度,通过对接不同类型的防火墙rsyslog日志,实现防火墙策略数据的增量更新,直观的查看到防火墙设备有哪些有效的策略。本发明适用于拥有多种不同类型防火墙的场景,且使用方便,用户通过与采集模块进行对接,将rsyslog输送到采集模块就能满足业务需求。本发明能保证不同防火墙设备的策略集中化展示,保证策略的直观性与有效性。
附图说明
以下结合附图和具体实施方式对本发明做进一步详细说明;
图1为本发明一种基于日志的防火墙策略管理系统的结构示意图。
具体实施方式
如图1所示,本发明公开了一种基于日志的防火墙策略管理方法,其包括以下步骤:
步骤1,将防火墙设备与采集设备对接,并输出对应的防火墙日志至采集设备上;
步骤2,采集设备将日志输送到数据清洗模块;
步骤3,数据清洗模块初步解析日志并区分出不同的防火墙设备类型;
步骤4,根据防火墙设备类型过滤出对应不同动作的通行日志跟阻断日志,并匹配对应的解析规则;
步骤5,通过匹配的解析规则从通行日志跟阻断日志解析出的访问记录数据;
步骤6,防火墙策略管理模块基于访问记录数据验证防火墙策略的有效性,并纳管到防火墙策略表中进行管理。
进一步地,步骤2中数据清洗模块通过解析出日志所属设备、日志行为、等级和动作信息判断日志对应的防火墙设备类型。
进一步地,步骤5中访问记录数据包括对应的协议类型、源ip、源端口、目的ip、目的端口、访问方向和设备类型数据。
进一步地,步骤6中基于访问记录数据验证防火墙策略的有效性形成针对不同协议的不同出入方向及不同源目地址的访问策略再纳管到防火墙策略表中进行管理。
进一步地,本发明还公开了一种基于日志的防火墙策略管理系统,采用了所述的一种基于日志的防火墙策略管理方法,其特征在于:系统包括以下设备:
采集设备:与防火墙设备进行对接采集rsyslog日志,并输出日志至数据清洗模块;
数据清洗模块:解析rsyslog日志判断防火墙类型,并从通行日志与阻断日志解析出访问记录数据;
防火墙策略管理模块:通过防火墙的通行日志与阻断日志验证防火墙策略的有效性,并将防火墙策略纳管到防火墙策略表中进行管理。
进一步地,采集设备兼容多种不同类型的防火墙设备。
进一步地,数据清洗模块通过解析出日志所属设备、日志行为、等级和动作信息判断日志对应的防火墙设备类型。
进一步地,访问记录数据包括对应的协议类型、源ip、源端口、目的ip、目的端口、访问方向和设备类型数据。
进一步地,防火墙策略管理模块基于访问记录数据验证防火墙策略的有效性,形成针对不同协议的不同出入方向及不同源目地址的访问策略再纳管到防火墙策略表中进行管理。
本发明采用以上技术方案,选用兼容性强的采集模块,与不同类型的防火墙设备进行对接,通过rsyslog日志对防火墙策略进行验证与集中管理且不需要单独接口对接。本发明方法降低了防火墙策略管理的复杂度,通过对接不同类型的防火墙rsyslog日志,实现防火墙策略数据的增量更新,直观的查看到防火墙设备有哪些有效的策略。本发明适用于拥有多种不同类型防火墙的场景,且使用方便,用户通过与采集模块进行对接,将rsyslog输送到采集模块就能满足业务需求,能实时更新反应防火墙中实际使用的策略,方便管理。本发明能保证不同防火墙设备的策略集中化展示,保证策略的直观性与有效性。