一种网络安全策略的配置方法转让专利
申请号 : CN202011626889.6
文献号 : CN112738114B
文献日 : 2023-04-07
发明人 : 杨雪皎 , 向上文
申请人 : 四川新网银行股份有限公司
摘要 :
本发明公开了一种网络安全策略的配置方法,根据策略的动作实现对策略的配置,若策略动作为允许,则先判断该策略的源网络对象和目的网络对象是否属于同一网络区域,是,则在对应的网络安全设备上配置该策略;否,则根据源网络对象所在网络安全设备上按照具体的网络安全策略进行配置,同时根据目的网络对象所在网络安全设备上配置宽松的策略放行来自于内部所有网段的IP对于设备所辖网段的访问;若策略动作为拒绝,则仅在源网络对象所在网络安全设备上对该条策略进行配置。本发明通过在网络安全策略涉及的安全防护设备之间使用统一原则进行配置,有效减少了网络安全策略的数量,完全不需要降低防护能力,很好地提升了后续管理,并优化了工作效率。
权利要求 :
1.一种网络安全策略的配置方法,其特征在于,包括以下步骤:
(1)对所有待配置的网络安全策略进行预处理;所述网络安全策略包含有源网络对象、目的网络对象、端口、动作;
(2)预处理后,根据策略的动作实现对每条策略的配置,若策略动作为允许,则先判断该条策略的源网络对象和目的网络对象是否属于同一网络区域,是,则在对应的网络安全设备上配置该策略;否,则执行步骤(3);若策略动作为拒绝,则仅在源网络对象所在的网络安全设备上对该条策略进行配置,不在目的网络对象所在的网络安全设备上对该条策略进行配置;
(3)根据源网络对象所在的网络安全设备上按照明细策略进行配置,同时根据目的网络对象所在的网络安全设备上配置宽松的策略放行来自于内部所有网段的IP对于目的网络对象所在的网络安全设备所辖网段的访问;
(4)循环步骤(1)~(3)。
2.根据权利要求1所述的一种网络安全策略的配置方法,其特征在于,对每条策略进行配置时,策略ID越大,优先级越高。
3.根据权利要求1或2所述的一种网络安全策略的配置方法,其特征在于,所述步骤(1)中预处理的过程如下:(a)对网络安全策略中的源网络对象和目的网络对象各自包含的IP进行解析;
(b)若源网络对象中的IP属于同个网络区域,目的网络对象中的IP属于同个网络区域,则执行步骤(2);否则,根据IP归属情况做不同的处理后再执行步骤(2),具体如下:情况1:源网络对象中的IP属于同个网络区域,目的网络对象的IP不属于同个网络区域,则根据目的网络对象的IP所属的网络区域对策略进行拆分;
情况2:源网络对象中的IP不属于同个网络区域,目的网络对象的IP属于同个网络区域,则根据源网络对象的IP所属的网络区域对策略进行拆分;
情况3:源网络对象中的IP不属于同个网络区域,目的网络对象的IP不属于同个网络区域,先根据源网络对象的IP所属的网络区域对原策略进行拆分处理,处理后的策略与情况1相同,再按情况1对策略做二次处理拆分;也可以先根据目的网络对象的IP所属的网络区域对原策略进行拆分处理,处理后的策略与情况2相同,再按情况2对策略做二次处理拆分。
说明书 :
一种网络安全策略的配置方法
技术领域
[0001] 本发明涉及网络信息安全技术领域,具体涉及的是一种网络安全策略的配置方法。
背景技术
[0002] 随着互联网的飞速发展,网络上的恶意行为也愈发增多,网络安全策略作为网络安全防范和保护的主要手段,维护着网络系统安全并保护网络资源不被非法访问。对于企事业单位,企业内部会划分不同的网络区域,根据相关网络安全规定,需要在网络区域的边界部署网络安全设备进行安全防护,其中网络安全策略承担着最基础的防护作用。
[0003] 目前的网络安全策略的配置方法一般分为两种,一种是根据大的网段来配置,这种方式的优势是策略简单、量少且不易变动,方便后续的维护管理;劣势是以网段为粒度防护粒度比较粗,直接降低了网络安全策略的防护能力;另一种则是根据明细IP来进行配置,这种方式的优点是按需来做配置,防护能力强;缺点是策略数量多且由于是按需配置,因而在系统应用访问关系更新变化快的场景下需要维护人员频繁地变更网络安全策略的配置,操作繁杂,并且后期的维护管理也很麻烦。
发明内容
[0004] 本发明的目的在于提供一种网络安全策略的配置方法,解决现有的网络安全策略配置方法存在不能兼具较强的防护能力和方便的操作及维护管理的特点的问题。
[0005] 为实现上述目的,本发明采用的技术方案如下:
[0006] 一种网络安全策略的配置方法,包括以下步骤:
[0007] (1)对所有待配置的网络安全策略进行预处理;所述网络安全策略包含有源网络对象、目的网络对象、端口、动作;
[0008] (2)预处理后,根据策略的动作实现对每条策略的配置,若策略动作为允许,则先判断该条策略的源网络对象和目的网络对象是否属于同一网络区域,是,则在对应的网络安全设备上配置该策略;否,则执行步骤(3);若策略动作为拒绝,则仅在源网络对象所在的网络安全设备上对该条策略进行配置,不在目的网络对象所在的网络安全设备上对该条策略进行配置;
[0009] (3)根据源网络对象所在的网络安全设备上按照具体的网络安全策略进行配置,同时根据目的网络对象所在的网络安全设备上配置宽松的策略放行来自于内部所有网段的IP对于设备所辖网段的访问;
[0010] (4)循环步骤(1)~(3)。
[0011] 进一步地,对每条策略进行配置时,策略ID越大,优先级越高。
[0012] 具体地,所述步骤(1)中预处理的过程如下:
[0013] (a)对网络安全策略中的源网络对象和目的网络对象各自包含的IP进行解析;
[0014] (b)若源网络对象中的IP属于同个网络区域,目的网络对象中的IP属于同个网络区域,则执行步骤(2);否则,根据IP归属情况做不同的处理后再执行步骤(2),具体如下:
[0015] 情况1:源网络对象中的IP属于同个网络区域,目的网络对象的IP不属于同个网络区域,则根据目的网络对象的IP所属的网络区域对策略进行拆分;
[0016] 情况2:源网络对象中的IP不属于同个网络区域,目的网络对象的IP属于同个网络区域,则根据源网络对象的IP所属的网络区域对策略进行拆分;
[0017] 情况3:源网络对象中的IP不属于同个网络区域,目的网络对象的IP不属于同个网络区域,先根据源网络对象的IP所属的网络区域对原策略进行拆分处理,处理后的策略与情况1相同,再按情况1对策略做二次处理拆分;也可以先根据目的网络对象的IP所属的网络区域对原策略进行拆分处理,处理后的策略与情况2相同,再按情况2对策略做二次处理拆分。
[0018] 与现有技术相比,本发明具有以下有益效果:
[0019] 本发明在进行网络安全策略配置时考虑了网络安全策略关联的网络安全设备的配置策略,即:在网络安全策略涉及的安全防护设备之间使用统一原则(“严进宽出”)进行配置。如此一来,本发明不仅保证了策略的有效性,而且大幅降低了策略的数量(试验表明,本发明最大可以减少一半的网络安全策略的配置条目),并且完全不需要降低防护能力,这也为后续的网络安全策略的管理和优化工作效率奠定了良好的基础。
附图说明
[0020] 图1为本发明的流程示意图。
具体实施方式
[0021] 本发明公开了一种网络安全策略的配置方法,核心思想是通过解析各个网络安全策略涉及的网络安全防护设备,凡是涉及两个或者以上网络安全防护设备的策略,按照“严出宽进”的原则进行预处理并进行配置,具体流程如图1所示。
[0022] 首先,对所有待配置的网络安全策略进行预处理;所述网络安全策略包含有源网络对象、目的网络对象、端口、动作。
[0023] 本发明对策略进行预处理,目的在于使其源网络对象中的IP和目的网络对象中的IP都属于同个网络区域,其处理方式为对网络安全策略中的源网络对象和目的网络对象各自包含的IP进行解析,然后再根据IP归属情况做不同的处理,具体如下:
[0024] 情况1:源网络对象中的IP属于同个网络区域,目的网络对象的IP不属于同个网络区域,则根据目的网络对象的IP所属的网络区域对策略进行拆分;
[0025] 情况2:源网络对象中的IP不属于同个网络区域,目的网络对象的IP属于同个网络区域,则根据源网络对象的IP所属的网络区域对策略进行拆分;
[0026] 情况3:源网络对象中的IP不属于同个网络区域,目的网络对象的IP不属于同个网络区域,先根据源网络对象的IP所属的网络区域对原策略进行拆分处理,处理后的策略与情况1相同,再按情况1对策略做二次处理拆分;也可以先根据目的网络对象的IP所属的网络区域对原策略进行拆分处理,处理后的策略与情况2相同,再按情况2对策略做二次处理拆分;
[0027] 情况4:源网络对象中的IP属于同个网络对象,目的网络对象中的IP属于同个网络区域,无需处理。
[0028] 而后,根据策略的动作实现对每条策略的配置,若策略动作为允许,则先判断该条策略的源网络对象和目的网络对象是否属于同一网络区域,是,则在对应的网络安全设备上配置该策略;否,则根据源网络对象所在的网络安全设备(例如防火墙)上按照具体的网络安全策略进行配置,同时根据目的网络对象所在的网络安全设备上配置宽松的策略放行来自于内部所有网段的IP对于设备所辖网段的访问。
[0029] 若策略动作为拒绝,则仅在源网络对象所在的网络安全设备上对该条策略进行配置,不在目的网络对象所在的网络安全设备上对该条策略进行配置。
[0030] 下面结合实施例对本发明作进一步说明,本发明的实施包含但不限于以下实施例。
[0031] 实施例
[0032] 以三个防火墙来进行说明,多个防火墙的场景可以此扩展。
[0033] 假设防火墙F1所辖的网络区域为1.1.0.0/16,防火墙F2所辖的网络区域为1.2.0.0/16,防火墙F3所辖的网络区域为1.3.0.0/16。
[0034] 根据业务场景,需要配置以下网络安全策略:
[0035] (1)permit src host 1.1.1.1/31to dst host 1.1.2.1tcp port 3306[0036] (2)permit src host 1.1.2.1to dst host 1.2.2.1tcp port 3306[0037] (3)deny src host 1.1.1.1to dst host 1.1.3.1tcp port 443
[0038] (4)permit src host 1.2.1.1and 1.3.1.1to host 1.2.10.1tcp port 22[0039] 初始时三个防火墙上配置默认的拒绝策略,如表1所示:
[0040]
[0041] 表1
[0042] 对于第一条策略,由于源网络对象和目的网络对象都在防火墙F1上,因此直接在防火墙F1上配置该策略,加上默认的拒绝策略,配置完成后,当前防火墙F1上的网络安全策略如
[0043] 表2所示:
[0044]
[0045] 表2
[0046] 对于第二条策略,由于源网络对象和目的网络对象分别在防火墙F1和F2上,且策略动作为放行(允许),因此在源网络对象所在墙F1上配置明细策略,在目的网络对象所在墙F2上配置宽松策略,配置完成后防火墙F1和F2的策略如表3所示:
[0047]
[0048] 表3
[0049] 对于第三条策略,源网络对象和目的网络对象分别在防火墙F1和F3,且动作为拒绝,因此在防火墙F1上配置明细IP的拒绝策略,不对防火墙F3进行该条策略的配置,配置完成后如表4所示:
[0050]
[0051] 表4
[0052] 对于第四条策略,由于源网络对象中的IP不属于同一个防火墙,首先对该策略进行预处理,拆分为两条策略4.1和4.2:
[0053] 4.1:permit src host 1.2.1.1to host 1.2.10.1tcp port 22
[0054] 4.2:permit src host 1.3.1.1to host 1.2.10.1tcp port 22
[0055] 对于4.1,源网络对象和目的网络对象属于同一个防火墙F2,因此仅需在F2上根据4.1来进行配置策略即可;
[0056] 对于4.2,源网络对象和目的网络对象不属于同一个防火墙,因此在源目的对象所在墙F3上配置明细策略,在目的网络对象所在墙F2上配置粗略的策略即可,配置完成后如表5所示:
[0057]
[0058] 表5
[0059] 本实施例中策略ID越大优先级越高。
[0060] 本发明通过巧妙的设计,使得网络安全策略的配置同时兼具了较强的防护能力和方便的操作及维护管理的特点,并为后续的网络安全策略的管理和优化工作效率奠定了良好的基础。本发明方案看似简单,实则不易想到,只有通过对网络安全特点进行深入的研究,并将实践与理论相结合,方能以最简单有效的手段突破现有技术的限制,进而实现效果最大化。因此,与现有技术相比,本发明具有突出的实质性的特点和显著的进步。
[0061] 上述实施例仅为本发明的优选实施例,并非对本发明保护范围的限制,凡采用本发明的设计原理,以及在此基础上进行非创造性劳动而做出的变化,均应属于本发明的保护范围之内。