基于应用的防火墙安全策略的自适应配置方法及系统的制作方法
【专利摘要】本发明公开了一种基于应用的防火墙安全策略的自适应配置方法及系统,方法包括:S1、建立协议库,协议库中包括预定义的协议,协议包含IP协议类型及端口信息;S2、建立不同的应用组,每个应用组包括提供同一网络服务的所有服务器的IP;S3、对应用组添加访问规则,访问规则包括源应用组、目的应用组以及协议,协议允许源应用组访问目的应用组;S4、根据访问规则生成防火墙安全策略并记录访问规则和防火墙安全策略的对应关系,防火墙安全策略包括源应用组的IP、目的应用组的IP、协议以及端口信息;S5、将防火墙安全策略自动下发至防火墙中进行配置。本发明简化了安全策略的维护工作,实现了安全策略的自动化配置。
【专利说明】
基于应用的防火墙安全策略的自适应配置方法及系统
技术领域
[0001]本发明涉及一种基于应用的防火墙安全策略的自适应配置方法及系统。
【背景技术】
[0002]随着互联网的发展,数据中心不同服务器之间的网络安全防护越来越复杂,传统的安全策略配置往往采用的是人工进行配置。但是随着服务器的增多,应用的增加,网络安全策略配置越来越复杂,人工配置越来越困难、安全策略开通周期变长。现有的安全策略管理方法无法满足服务器快速上线的实际需求,并且人工维护成本过高。
【发明内容】
[0003]本发明要解决的技术问题是为了克服现有技术中安全策略配置采用人工配置导致无法满足服务器快速上线的实际需求,并且人工维护成本过高的缺陷,提供一种基于应用的防火墙安全策略的自适应配置方法及系统。
[0004]本发明是通过下述技术方案来解决上述技术问题的:
[0005]本发明提供了一种基于应用的防火墙安全策略的自适应配置方法,其特点在于,包括以下步骤:
[0006]S1、建立协议库,所述协议库中包括预定义的协议,所述协议包含IP协议类型及端口 ?目息;
[0007]S2、建立不同的应用组,每个应用组包括提供同一网络服务的所有服务器的IP;
[0008]S3、对应用组添加访问规则,所述访问规则包括源应用组、目的应用组以及协议,所述协议用于允许所述源应用组访问所述目的应用组;
[0009]S4、根据访问规则生成防火墙安全策略并记录访问规则和防火墙安全策略的对应关系,所述防火墙安全策略包括源应用组的IP、目的应用组的IP、协议以及端口信息;
[0010]&、将防火墙安全策略自动下发至防火墙中进行配置。
[0011 ] 较佳地,步骤SdP S5之间还包括:
[0012]当新增一个应用组时,扫描新增的应用组对应的所有访问规则,重新根据访问规则生成新的防火墙安全策略或者修改已生成的防火墙安全策略。
[0013]较佳地,步骤SjPS5之间还包括:
[0014]当应用组添加或删除一个服务器时,扫描所述应用组的所有访问规则,重新根据访问规则生成新的防火墙安全策略或者修改已生成的防火墙安全策略。
[0015]较佳地,步骤SjP S5之间还包括:
[0016]当访问规则发生改变时,重新根据改变后的访问规则生成新的防火墙安全策略或者修改已生成的防火墙安全策略。
[0017]较佳地,步骤S3中所述访问规则包括多个协议,和/或,步骤S4中根据一条访问规则生成多个防火墙安全策略。
[0018]本发明的目的在于还提供了一种基于应用的防火墙安全策略的自适应配置系统,其特点在于,包括:
[0019]协议库建立模块,用于建立协议库,所述协议库中包括预定义的协议,所述协议包含IP协议类型及端口信息;
[0020]应用组建立模块,用于建立不同的应用组,每个应用组包括提供同一网络服务的所有服务器的IP;
[0021]访问规则添加模块,用于对应用组添加访问规则,所述访问规则包括源应用组、目的应用组以及协议,所述协议用于允许所述源应用组访问所述目的应用组;
[0022]安全策略生成模块,用于根据访问规则生成防火墙安全策略并记录访问规则和防火墙安全策略的对应关系,所述防火墙安全策略包括源应用组的IP、目的应用组的IP、协议以及端口信息;
[0023]安全策略自动下发模块,用于将防火墙安全策略自动下发至防火墙中进行配置。
[0024]较佳地,当新增一个应用组时,所述安全策略生成模块还用于扫描新增的应用组对应的所有访问规则,重新根据访问规则生成新的防火墙安全策略或者修改已生成的防火墙安全策略。
[0025]较佳地,当应用组添加或删除一个服务器时,所述安全策略生成模块还用于扫描所述应用组的所有访问规则,重新根据访问规则生成新的防火墙安全策略或者修改已生成的防火墙安全策略。
[0026]较佳地,当访问规则发生改变时,所述安全策略生成模块还用于重新根据改变后的访问规则生成新的防火墙安全策略或者修改已生成的防火墙安全策略。
[0027]较佳地,所述访问规则包括多个协议,和/或,所述安全策略生成模块用于根据一条访问规则生成多个防火墙安全策略。
[0028]本发明的积极进步效果在于:本发明采用以应用为基础、定义协议以及访问规则的方式来实现网络防火墙策略的自动化管理,并且可以根据访问规则、协议、应用组的变化自动的适配相应的防火墙安全策略,从而简化了安全策略的维护工作,并且实现了安全策略的自动化配置,提高了安全策略变更的效率。
【附图说明】
[0029]图1为本发明的较佳实施例的基于应用的防火墙安全策略的自适应配置系统的模块不意图O
[0030]图2为本发明的较佳实施例的基于应用的防火墙安全策略的自适应配置方法的流程图。
【具体实施方式】
[0031]下面通过实施例的方式进一步说明本发明,但并不因此将本发明限制在所述的实施例范围之中。
[0032]如图1所示,本发明的基于应用的防火墙安全策略的自适应配置系统包括协议库建立模块1、应用组建立模块2、访问规则添加模块3、安全策略生成模块4以及安全策略自动下发模块5。
[0033]所述协议库建立模块I用于根据网络环境建立协议库,所述协议库中包括预定义的协议,所述协议包含IP协议类型及端口信息;
[0034]所述应用组建立模块2用于建立不同的应用组,每个应用组包括提供同一网络服务的所有服务器的IP;具体可先定义应用组,根据不同的网络服务定义不同的应用组,并将提供相同网络服务的所有服务器划分在同一个应用组,然后再将符合应用组要求的所有服务器的IP地址添加到相应的应用组中;
[0035]所述访问规则添加模块3则对应用组添加访问规则,所述访问规则包括源应用组、目的应用组以及协议(协议的数量可以是多个),所述协议用于允许所述源应用组访问所述目的应用组;
[0036]所述安全策略生成模块4会根据访问规则生成防火墙安全策略并记录访问规则和防火墙安全策略的对应关系,所述防火墙安全策略包括源应用组的IP、目的应用组的IP、协议以及端口信息;其中,一个访问规则可以对应生成多条防火墙安全策略;
[0037]所述安全策略自动下发模块5则将防火墙安全策略自动下发至防火墙中进行配置。
[0038]在本发明中,优选地,当协议、应用组或者访问规则发生改变时,所述安全策略生成模块4会重新生成新的防火墙安全策略,具体地,
[0039]当新增一个应用组时,所述安全策略生成模块还用于扫描新增的应用组对应的所有访问规则,重新根据访问规则生成新的防火墙安全策略或者修改已生成的防火墙安全策略;
[0040]当应用组添加或删除一个服务器时,所述安全策略生成模块还用于扫描所述应用组的所有访问规则,重新根据访问规则生成新的防火墙安全策略或者修改已生成的防火墙安全策略;
[0041]当访问规则发生改变(包括协议发生改变的情况)时,所述安全策略生成模块还用于重新根据改变后的访问规则生成新的防火墙安全策略或者修改已生成的防火墙安全策略;
[0042]而所述安全策略自动下发模块5则会将新的防火墙安全策略同步下发到防火墙等安全设备中进行自适应的配置。
[0043]如图2所示,本发明的基于应用的防火墙安全策略的自适应配置方法包括以下步骤:
[0044]步骤11、建立协议库,所述协议库中包括预定义的协议,所述协议包含IP协议类型及端口信息;
[0045]步骤102、建立不同的应用组,每个应用组包括提供同一网络服务的所有服务器的IP;
[0046]步骤103、对应用组添加访问规则,所述访问规则包括源应用组、目的应用组以及协议,所述协议用于允许所述源应用组访问所述目的应用组;
[0047]步骤104、根据访问规则生成防火墙安全策略并记录访问规则和防火墙安全策略的对应关系,所述防火墙安全策略包括源应用组的IP、目的应用组的IP、协议以及端口信息;
[0048]步骤105、将防火墙安全策略自动下发至防火墙中进行配置。
[0049 ]其中,在本发明的自适应配置方法中,在步骤104和步骤105之间还可以包括:
[0050]当新增一个应用组时,扫描新增的应用组对应的所有访问规则,重新根据访问规则生成新的防火墙安全策略或者修改已生成的防火墙安全策略;
[0051]当应用组添加或删除一个服务器时,扫描所述应用组的所有访问规则,重新根据访问规则生成新的防火墙安全策略或者修改已生成的防火墙安全策略;
[0052]当访问规则发生改变(包括协议发生改变的情况)时,重新根据改变后的访问规则生成新的防火墙安全策略或者修改已生成的防火墙安全策略;
[0053]从而在本发明的自定义配置方法中,当协议、应用组或者访问规则发生改变时,会重新生成新的防火墙安全策略并将新的防火墙安全策略同步下发到防火墙等安全设备中进行自适应的配置。
[0054]本发明将提供相同服务的应用服务器组建一个应用组,根据定义好的协议建立访问规则,从而防火墙管理员只需要维护协议和应用组的访问规则即可,降低管理的复杂度;并且本发明通过安全策略自动生成和安全策略自动下发的方式,结合自动检测协议、应用组及访问规则,当任意一个发生变化时自动同步地生成新的防火墙安全策略并下发到防火墙中进行自适应配置,从而实现了安全策略的实时更新,提升了防火墙安全策略对服务器上线速度的影响。从而本发明实现了应用上线时,防火墙安全策略能够进行自动的快速配置,在本发明中,当添加应用或增加服务器应用时,防火墙可以根据变化自动进行安全策略的适配,实现安全策略的自适应配置,加快了应用服务的上线速度,降低了安全策略配置的复杂度,并降低了人工维护的成本。
[0055]虽然以上描述了本发明的【具体实施方式】,但是本领域的技术人员应当理解,这些仅是举例说明,本发明的保护范围是由所附权利要求书限定的。本领域的技术人员在不背离本发明的原理和实质的前提下,可以对这些实施方式做出多种变更或修改,但这些变更和修改均落入本发明的保护范围。
【主权项】
1.一种基于应用的防火墙安全策略的自适应配置方法,其特征在于,包括以下步骤: S1、建立协议库,所述协议库中包括预定义的协议,所述协议包含IP协议类型及端口信息; &、建立不同的应用组,每个应用组包括提供同一网络服务的所有服务器的IP; 53、对应用组添加访问规则,所述访问规则包括源应用组、目的应用组以及协议,所述协议用于允许所述源应用组访问所述目的应用组; 54、根据访问规则生成防火墙安全策略并记录访问规则和防火墙安全策略的对应关系,所述防火墙安全策略包括源应用组的IP、目的应用组的IP、协议以及端口信息; s5、将防火墙安全策略自动下发至防火墙中进行配置。2.如权利要求1所述的自适应配置方法,其特征在于,步骤S4和S5之间还包括: 当新增一个应用组时,扫描新增的应用组对应的所有访问规则,重新根据访问规则生成新的防火墙安全策略或者修改已生成的防火墙安全策略。3.如权利要求1所述的自适应配置方法,其特征在于,步骤S4和S5之间还包括: 当应用组添加或删除一个服务器时,扫描所述应用组的所有访问规则,重新根据访问规则生成新的防火墙安全策略或者修改已生成的防火墙安全策略。4.如权利要求1所述的自适应配置方法,其特征在于,步骤S4和S5之间还包括: 当访问规则发生改变时,重新根据改变后的访问规则生成新的防火墙安全策略或者修改已生成的防火墙安全策略。5.如权利要求1-4中任意一项所述的自适应配置方法,其特征在于,步骤S3中所述访问规则包括多个协议,和/或,步骤S4中根据一条访问规则生成多个防火墙安全策略。6.一种基于应用的防火墙安全策略的自适应配置系统,其特征在于,包括: 协议库建立模块,用于建立协议库,所述协议库中包括预定义的协议,所述协议包含IP协议类型及端口信息; 应用组建立模块,用于建立不同的应用组,每个应用组包括提供同一网络服务的所有服务器的IP; 访问规则添加模块,用于对应用组添加访问规则,所述访问规则包括源应用组、目的应用组以及协议,所述协议用于允许所述源应用组访问所述目的应用组; 安全策略生成模块,用于根据访问规则生成防火墙安全策略并记录访问规则和防火墙安全策略的对应关系,所述防火墙安全策略包括源应用组的IP、目的应用组的IP、协议以及端口信息; 安全策略自动下发模块,用于将防火墙安全策略自动下发至防火墙中进行配置。7.如权利要求6所述的自适应配置系统,其特征在于,当新增一个应用组时,所述安全策略生成模块还用于扫描新增的应用组对应的所有访问规则,重新根据访问规则生成新的防火墙安全策略或者修改已生成的防火墙安全策略。8.如权利要求6所述的自适应配置系统,其特征在于,当应用组添加或删除一个服务器时,所述安全策略生成模块还用于扫描所述应用组的所有访问规则,重新根据访问规则生成新的防火墙安全策略或者修改已生成的防火墙安全策略。9.如权利要求6所述的自适应配置系统,其特征在于,当访问规则发生改变时,所述安全策略生成模块还用于重新根据改变后的访问规则生成新的防火墙安全策略或者修改已生成的防火墙安全策略。10.如权利要求6-9中任意一项所述的自适应配置系统,其特征在于,所述访问规则包括多个协议,和/或,所述安全策略生成模块用于根据一条访问规则生成多个防火墙安全策略。
【文档编号】H04L29/06GK105871930SQ201610453096
【公开日】2016年8月17日
【申请日】2016年6月21日
【发明人】施坚松, 朱志博, 雷兵
【申请人】上海携程商务有限公司