一种安全域间防火墙安全策略合规基线管理方法及装置转让专利
申请号 : CN202011171164.2
文献号 : CN112351014B
文献日 : 2022-06-07
发明人 : 孙祥明
申请人 : 武汉思普崚技术有限公司
摘要 :
本发明涉及一种安全域间防火墙安全策略合规基线管理方法、装置及计算机可读存储介质,所述方法包括以下步骤:获取网络中全局的高危端口信息及黑白名单,根据所述高危端口信息及黑白名单建立区域内的逻辑安全域;获取区域间的通信关系或通信限制,根据所述区域间的通信关系或通信限制构建域间规则矩阵;获取源地址、需要的排除源地址、目的地址、需要排除目的地址、服务及排除服务,建立全局规则;根据所述区域内的逻辑安全域、域间规则矩阵及全局规则,判断待新增策略是否为违规策略。本发明所述方法,提高了策略合规基线管理的效率,提高了违规策略判断的准确率。
权利要求 :
1.一种安全域间防火墙安全策略合规基线管理方法,其特征在于,包括以下步骤:获取网络中全局的高危端口信息及黑白名单,根据所述高危端口信息及黑白名单建立区域内的逻辑安全域;
获取区域间的通信关系或通信限制,根据所述区域间的通信关系或通信限制构建域间规则矩阵;
获取源地址、需要的排除源地址、目的地址、需要排除目的地址、服务及排除服务,建立全局规则;
根据所述区域内的逻辑安全域、域间规则矩阵及全局规则,判断待新增策略是否为违规策略。
2.根据权利要求1所述的安全域间防火墙安全策略合规基线管理方法,其特征在于,所述区域内的逻辑安全域具体包括,区域包含的网段及对应的IP地址范围。
3.根据权利要求1所述的安全域间防火墙安全策略合规基线管理方法,其特征在于,所述域间规则矩阵具体包括,源地址、目的地址、服务及规则描述。
4.根据权利要求3所述的安全域间防火墙安全策略合规基线管理方法,其特征在于,还包括构建域间规则矩阵时,若所需的地址或服务不存在时,则新建地址对象或服务对象。
5.根据权利要求1所述的安全域间防火墙安全策略合规基线管理方法,其特征在于,根据所述区域内的逻辑安全域、域间规则矩阵及全局规则,判断待新增策略是否为违规策略,具体包括,对待新增策略进行域匹配,若匹配成功,则判定该待新增策略为违规策略,否则该待新增策略不为违规策略。
6.根据权利要求1所述的安全域间防火墙安全策略合规基线管理方法,其特征在于,对待新增策略进行域匹配,具体包括,将待新增策略的源地址与源域进行匹配,并将待新增策略的目的地址与目的域匹配进行匹配。
7.根据权利要求1所述的安全域间防火墙安全策略合规基线管理方法,其特征在于,还包括,遍历防火墙上已配置的安全策略,域间规则矩阵中进行比对查询,判断是否有命中相应的域间规则矩阵,若有,则该安全策略是违反基线规则,将该安全策略反馈给用户。
8.根据权利要求4所述的安全域间防火墙安全策略合规基线管理方法,其特征在于,还包括,对所述地址对象、服务对象以及黑白名单进行全局配置管理。
9.一种安全域间防火墙安全策略合规基线管理装置,其特征在于,包括处理器以及存储器,所述存储器上存储有计算机程序,所述计算机程序被所述处理器执行时,实现如权利要求1‑8任一所述的安全域间防火墙安全策略合规基线管理方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机该程序被处理器执行时,实现如权利要求1‑8任一所述的安全域间防火墙安全策略合规基线管理方法。
说明书 :
一种安全域间防火墙安全策略合规基线管理方法及装置
技术领域
[0001] 本发明涉及防火墙安全策略技术领域,尤其涉及一种安全域间防火墙安全策略合规基线管理方法、装置及计算机可读存储介质。
背景技术
[0002] 网络安全域是指同一系统内有相同的安全保护需求,相互信任,并具有相同的安全访问控制和边界控制策略的子网或网络,且相同的网络安全域共享一样的安全策略,广义可理解为具有相同业务要求和安全要求的IT系统要素的集合,通俗来说就是在网络环境里面,根据不同网络地址段,划分不同的区域。
[0003] 不同区域的安全防护等级和要求会根据该区域内资产的重要性等因素略有差异,防火墙是保护区域受外界访问(或入侵)最重要的安全设备,通常通过防火墙设备上的安全策略配置来实现区域内资产与外界或其他区域之间互访;各企业或网络环境下,通常会规划并设定不同区域之间的互访基线,比如普通用户区不能访问服务器区,管理员区可以访问服务器区有限的端口,或是管理员区不可以通过445等高危端口访问生产环境区服务器等;策略合规基线通常是一个企业根据自身安全域设计时附带的一个规范,防火墙管理员后续在进行防火墙策略新增时需参考并执行此规范,确保域间策略合规基线的有效性和落地性,避免出现违规的跨区域访问。
[0004] 目前绝大部分用户均还是通过线下excel维护策略合规基线,并通过人工的方式进行基线合规检查判断;现有线下合规基线管理效率低下,违规策略判断容易出错。
发明内容
[0005] 有鉴于此,有必要提供一种安全域间防火墙安全策略合规基线管理方法、装置及计算机可读存储介质,用以解决现有线下合规基线管理效率低下,违规策略容易出错的问题。
[0006] 本发明提供一种安全域间防火墙安全策略合规基线管理方法,包括以下步骤:
[0007] 获取网络中全局的高危端口信息及黑白名单,根据所述高危端口信息及黑白名单建立区域内的逻辑安全域;
[0008] 获取区域间的通信关系或通信限制,根据所述区域间的通信关系或通信限制构建域间规则矩阵;
[0009] 获取源地址、需要的排除源地址、目的地址、需要排除目的地址、服务及排除服务,建立全局规则;
[0010] 根据所述区域内的逻辑安全域、域间规则矩阵及全局规则,判断待新增策略是否为违规策略。
[0011] 进一步地,所述区域内的逻辑安全域具体包括,区域包含的网段及对应的IP地址范围。
[0012] 进一步地,所述域间规则矩阵具体包括,源地址、目的地址、服务及规则描述。
[0013] 进一步地,所述安全域间防火墙安全策略合规基线管理方法还包括构建域间规则矩阵时,若所需的地址或服务不存在时,则新建地址对象或服务对象。
[0014] 进一步地,根据所述区域内的逻辑安全域、域间规则矩阵及全局规则,判断待新增策略是否为违规策略,具体包括,对待新增策略进行域匹配,若匹配成功,则判定该待新增策略为违规策略,否则该待新增策略不为违规策略。
[0015] 进一步地,对待新增策略进行域匹配,具体包括,将待新增策略的源地址与源域进行匹配,并将待新增策略的目的地址与目的域匹配进行匹配。
[0016] 进一步地,所述安全域间防火墙安全策略合规基线管理方法还包括,遍历防火墙上已配置的安全策略,域间规则矩阵中进行比对查询,判断是否有命中相应的域间规则矩阵,若有,则该安全策略是违反基线规则,将该安全策略反馈给用户。
[0017] 进一步地,所述安全域间防火墙安全策略合规基线管理方法还包括,对所述地址对象、服务对象以及黑白名单进行全局配置管理。
[0018] 本发明还提供一种安全域间防火墙安全策略合规基线管理装置,包括处理器以及存储器,所述存储器上存储有计算机程序,所述计算机程序被所述处理器执行时,实现如上述任一技术方案所述的安全域间防火墙安全策略合规基线管理方法。
[0019] 本发明还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机该程序被处理器执行时,实现如上述任一技术方案所述的安全域间防火墙安全策略合规基线管理方法。
[0020] 与现有技术相比,本发明的有益效果包括:通过获取网络中全局的高危端口信息及黑白名单,根据所述高危端口信息及黑白名单建立区域内的逻辑安全域;获取区域间的通信关系或通信限制,根据所述区域间的通信关系或通信限制构建域间规则矩阵;获取源地址、需要的排除源地址、目的地址、需要排除目的地址、服务及排除服务,建立全局规则;根据所述区域内的逻辑安全域、域间规则矩阵及全局规则,判断待新增策略是否为违规策略;提高了策略合规基线管理的效率,提高了违规策略判断的准确率。
附图说明
[0021] 图1为本发明提供的安全域间防火墙安全策略合规基线管理方法的流程示意图;
[0022] 图2为本发明提供的新建区域页面示意图;
[0023] 图3为本发明提供的区域维护页面示意图;
[0024] 图4为本发明提供的区域规则矩阵示意图;
[0025] 图5为本发明提供的域间规则新建示意图;
[0026] 图6为本发明提供的域间规则列表示意图;
[0027] 图7为本发明提供的新建全局规则页面示意图;
[0028] 图8为本发明提供的违规检测页面示意图。
具体实施方式
[0029] 下面结合附图来具体描述本发明的优选实施例,其中,附图构成本申请一部分,并与本发明的实施例一起用于阐释本发明的原理,并非用于限定本发明的范围。
[0030] 实施例1
[0031] 本发明实施例提供了一种安全域间防火墙安全策略合规基线管理方法,所述方法的流程示意图,如图1所示,所述方法包括以下步骤:
[0032] S1、获取网络中全局的高危端口信息及黑白名单,根据所述高危端口信息及黑白名单建立区域内的逻辑安全域;
[0033] S2、获取区域间的通信关系或通信限制,根据所述区域间的通信关系或通信限制构建域间规则矩阵;
[0034] S3、获取源地址、需要的排除源地址、目的地址、需要排除目的地址、服务及排除服务,建立全局规则;
[0035] S4、根据所述区域内的逻辑安全域、域间规则矩阵及全局规则,判断待新增策略是否为违规策略。
[0036] 需要说明的是,策略风险合规管理旨在辅助网络管理员建立正确的网络访问控制策略规范和基线,并通过技术手段对存量安全策略进行即时或定期的检测,及时发现违规策略,并提供处置建议;同时,针对新增策略开通或变更时,可对待添加的安全策略进行策略风险合规检查,提前告知管理员开通风险,起到对策略变更的合规性与风险进行监测预警作用;
[0037] 一个具体实施例中,安全域以及域之间规则的管理和维护,其中包括区域维护管理,新建区域页面示意图,如图2所示,新建内容包括一组子网或IP的集合,新建区域支持多种地址输入方式的组合;在待写入区域中填入区域的名称、排序编码、地址等信息,保存即可新建一个逻辑安全域;域与域之间的地址范围重复将会出现提示信息,但仍然可以保存;
[0038] 区域维护页面示意图,如图3所示,建立一个全局的高危端口列表,后续可以在规则中被调用,列表中的内容如:TCP:445,3389,建立的一个全局的黑白名单列表,实际为一组IP地址或网段的集合,后续可以在规则中被调用,例如,黑名单为10.2.1.100,192.168.1.100;
[0039] 优选的,所述区域内的逻辑安全域具体包括,区域包含的网段及对应的IP地址范围。
[0040] 优选的,所述域间规则矩阵具体包括,源地址、目的地址、服务及规则描述;
[0041] 区域规则矩阵示意图,如图4所示,在规则矩阵页面上展示了所有建立的区域以及规则等信息,将鼠标放置在规则矩阵里某个区域名称上,页面自动显示编辑和删除操作,此时就可以对这个区域进行编辑和删除操作了;域间存在规则的区域将不能直接删除,需先删除域中已有的规则,再删除区域;域间规则矩阵,支持全局规则和域间规则,区域之间支持设置多条规则;
[0042] 域间规则矩阵支持全局规则和域间规则,区域之间支持设置多条规则,全局规则可能会包含多条规则,全局规则默认会被引用到区域间,域间规则只是指定的两个区域之间使用,可以是多个全局规则和域间规则的描述方式是一样的,只是被引用的地方不一样;
[0043] 规则通常是按照实际网络安全域规划的相关规范和要求,来规定两个区域之间的通信关系或通信限制,从而限制和评估安全策略配置的合规性。
[0044] 优选的,还包括构建域间规则矩阵时,若所需的地址或服务不存在时,则新建地址对象或服务对象;
[0045] 一个具体实施例中,域间规则新建示意图,如图5所示,点击域间规则矩阵中某一区域“+”号,打开新建域间规则页面,填入名称、源地址、排除源地址、目的地址、排除目的地址、服务、排除服务等信息,即可新建一条域间规则;
[0046] 在填入源地址、目的地址和服务时需要选择相应的模式,勾选不同的模式时会影响排除地址和排除服务的输入;在填入地址或服务信息时,若对象不存在,可在当前页面新建地址对象或服务对象;选择的地址对象范围若不在区域范围内,仍然可以保存但页面会有提示信息;
[0047] 域间规则列表示意图,如图6所示,点击域间规则矩阵中具有规则的某一区域,进入域间规则列表页面,页面展示出当前这个区域内所有规则;如图6所示,源域为,内部操作区域,目的域为,数据中心区,当前列表页面支持对域间规则进行编辑、删除和查询操作;
[0048] 新建全局规则页面示意图,如图7所示,点击“策略风险>规则矩阵> 全局规则>新建”,打开新建全局规则页面,填入名称、源地址、排除源地址、目的地址、排除目的地址、服务、排除服务等信息,即可新建一条全局规则;
[0049] 需要说明的是,在填入源地址、目的地址和服务时需要选择相应的模式,勾选不同的模式时会影响排除地址和排除服务的输入;在填入地址或服务信息时,若对象不存在,可在当前页面新建地址对象或服务对象;
[0050] 新建全局规则页面示意图,如图7所示,点击“策略风险>规则矩阵> 全局规则”,进入全局规则列表页面,页面展示出所有全局规则;当前列表页面支持对全局规则进行编辑、删除和查询操作;
[0051] 优选的,根据所述区域内的逻辑安全域、域间规则矩阵及全局规则,判断待新增策略是否为违规策略,具体包括,对待新增策略进行域匹配,若匹配成功,则判定该待新增策略为违规策略,否则该待新增策略不为违规策略;
[0052] 一个具体实施例中,违规检测用于接口测试,根据源目的范围查找相关关联区域,然后锁定矩阵规则,在线进行策略合规检查,给出了策略违反的具体规则条目;当需要在防火墙上新增开通安全策略时,会将待开通策略的信息与域间合规规则进行检查和比对,若有命中的则可将命中规则信息反馈给管理员,及时避免新建一些不合规的策略;
[0053] 优选的,对待新增策略进行域匹配,具体包括,将待新增策略的源地址与源域进行匹配,并将待新增策略的目的地址与目的域匹配进行匹配;
[0054] 一个具体实施例中,根据待新增策略的源地址,目的地址找到对应的所属区域,结合域间合规矩阵,就可以确定需要检查比对的规则项;再通过待新增策略的五元组与确定的规则进行命中条件的检查比对,若能命中规则,则说明新增策略是违规的,若无命中,则为合规策略;
[0055] 另一个具体实施例中,新增开通策略信息为源地址10.2.1.22,目的地址192.168.1.22,服务TCP:80,第一步,源目的地址,确定源域为A,目的域为B,第二步,A—B的规则有全局规则、域间规则AB1,第三步,将开通策略与全局规则12,域间规则AB1进行比对,比对结果,未有命中规则,则开通策略信息为合规;
[0056] 若将开通的服务改为ANY,比对结果为会命中全局规则1,若将开通的服务改为tcp445,比对结果为会命中全局规则AB1;
[0057] 需要说明的的是,安全策略新增前进行合规性检测判断,可以通过 Web页面,也可以通过API接口;将待新增的策略信息(源地址、目的地址、服务(协议/端口))在合规矩阵中进行比对查询,看是否有命中相应的合规规则,若有则说明该新增策略是不合规的;
[0058] 对存量防火墙策略进行合规基线的检测判断,遍历每一台防火墙上已配置的安全策略与合规矩阵中进行比对查询,看是否有命中相应的合规规则,若有则说明该存量安全策略是违反基线规则的;
[0059] 优选的,所述安全域间防火墙安全策略合规基线管理方法还包括,遍历防火墙上已配置的安全策略,域间规则矩阵中进行比对查询,判断是否有命中相应的域间规则矩阵,若有,则该安全策略是违反基线规则,将该安全策略反馈给用户;
[0060] 一个具体实施例中,违规检测页面示意图,如图8所示,点击“策略风险>违规检测”,进入违规检测页面,输入源地址、目的地址和服务,点击“开始检查”,待检查完成后,页面下方将会给出输入的策略违反的所有规则的详细信息,包括域间规则和全局规则;
[0061] 检测输入的策略是否违反域间规则时,首先要进行域匹配,也就是说输入的源地址要与源域匹配,输入的目的地址要与目的域匹配,当只有源地址匹配上源域、目的地址匹配目的域时,才进行下一步输入策略与域间的规则进行匹配,若匹配上,代表输入的策略违反了该条域间规则,若匹配不上,则不违反;
[0062] 优选的,所述安全域间防火墙安全策略合规基线管理方法还包括,对所述地址对象、服务对象以及黑白名单进行全局配置管理。
[0063] 具体实施时,所述方法还包括规则管理,具体为进行规则的设定维护和管理,进行地址对象、服务对象以及黑白名单的全局配置管理,
[0064] 所述方法还包括风险合规报表管理,其旨在对防火墙设备上的安全策略进行违规策略检查,并将检查结果以Excel形式展示防火墙设备上违反了域间互访合规规则的安全策略列表明细,可给网络管理员提供处置建议;
[0065] 创建一个报表订阅,编辑报表订阅,拖入风险合规检查,选择设备;支持对报表订阅内容编辑和删除操作;目前支持防火墙设备的风险合规检查;选择设备时可勾选一个或多个设备,若不勾选,则默认检查节点配置中所有防火墙设备
[0066] 点击“报表管理>报表管理>报表列表”,找到新创建的报表条目,点击“立即生成”,等待,再点击“刷新”按钮,可观察是否生成完成,待生成完成后,点击“下载”,即可下载出相应的防火墙风险合规分析的报表,可以形成报表压缩包;
[0067] 报表压缩包内文件夹内容包括域间规则和全局规则中所有违反条目;每个文件夹中的Excel表格内容展示包括防火墙设备信息、每条规则里包含的防火墙上违反所有安全策略信息。
[0068] 实施例2
[0069] 本发明实施例提供了一种安全域间防火墙安全策略合规基线管理装置,包括处理器以及存储器,所述存储器上存储有计算机程序,所述计算机程序被所述处理器执行时,实现如实施例1所述的安全域间防火墙安全策略合规基线管理方法。
[0070] 实施例3
[0071] 本发明实施例提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机该程序被处理器执行时,实现如实施例1所述的安全域间防火墙安全策略合规基线管理方法。
[0072] 本发明公开了一种安全域间防火墙安全策略合规基线管理方法、装置及计算机可读存储介质,通过获取网络中全局的高危端口信息及黑白名单,根据所述高危端口信息及黑白名单建立区域内的逻辑安全域;获取区域间的通信关系或通信限制,根据所述区域间的通信关系或通信限制构建域间规则矩阵;获取源地址、需要的排除源地址、目的地址、需要排除目的地址、服务及排除服务,建立全局规则;根据所述区域内的逻辑安全域、域间规则矩阵及全局规则,判断待新增策略是否为违规策略;提高了策略合规基线管理的效率,提高了违规策略判断的准确率。
[0073] 本发明所述技术方案通过一种线上(系统)方式灵活便捷的管理和维护网络环境中的安全域信息以及安全域之间安全策略合规基线;对外提供一种基线检查方式,便于防火墙管理员新增策略时,可以事先查询验证一下待新增的策略是否有违反安全域之间安全策略合规基线;针对网络环境下存量的防火墙策略,定期进行安全域之间安全策略合规基线的比对和检查,及时发掘防火墙上违规的安全策略;
[0074] 通过此方法有效保障防火墙安全策略维护时能遵循安全域之间安全策略合规基线,减少并避免违规策略,提升安全域之间的安全防火墙能力和效果。
[0075] 以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。