[发明专利]一种防火墙策略处理的方法及装置

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种防火墙策略处理的方法及装置。

背景技术

防火墙作为内部网和外部网之间、专用网与公共网之间的保护屏障，对于防止外部入侵具有重要的作用。防火墙策略是指防火墙所要参照的规定、规则、要求和过滤条款。防火墙根据防火墙策略放开或阻断经过防火墙的数据流，防火墙策略在内外网访问控制中起着十分关键的作用。随着网络规模的增长和业务的不断调整，防火墙上配置了大量的安全策略。这些策略中，可能包含了已经不再使用的、冗余的、冲突的，甚至是违反安全规则的策略，这不仅增加了管理和维护成本，而且还可能成为安全隐患，因此对防火墙策略的审计非常有必要。

防火墙策略审计包含两个方面：优化审计和安全审计。优化审计的目的是找出已经发生的或潜在的重复或冲突策略，提供策略优化的解决方案，以便防火墙管理员对策略进行管理，减少冗余策略，提高防火墙策略的匹配效率。安全审计的目的是找出过度授权或违反安全规则的策略，降低由此带来的高风险事件发生的概率。

策略审计可以采用人工方式或者自动方式。对于策略数量很小的情形，人工方式尚可应付，一旦策略数量达到一定规模，人工审计的效率就非常低。同时，在防火墙日常维护中，经常有在未经授权情况下被添加违反规范性及安全规定策略的情形发生，对防火墙策略变更缺乏及时有效的监管及控制手段。防火墙策略的变更缺乏记录和审计，给防火墙管理带来较大困难和安全隐患。目前市场上多见对防火墙策略的分发、执行和防火墙策略配置的方法与系统装置，对防火墙策略本身内容的自动审计方法还未见成熟信息。

采用人工审计防火墙策略，主要问题在于：第一，防火墙策略数量庞大，人工审计十分耗费人力。随着网络扩容及业务调整，防火墙上日积月累积累了大量安全策略，单台防火墙上存在成百上千条策略的情形已很常见。采用人工方式对防火墙策略进行分析审计，将耗费大量的人力。第二，人工审计时效性差，不能及时发现异常、错误策略。防火墙上经常有违反安全规则包含安全风险的的策略建立。由于防火墙规则量大而繁琐，对新增防火墙策略很难做到及时有效的审核。

发明内容

为了解决现有技术中的技术问题，本发明提出一种防火墙策略处理的方法及装置，通过遵循策略审计规则进行策略审计，能够及时高效发现防火墙中的冗余、冲突及违反安全规则的策略，并进行防火墙策略变更，同时派发工单给相关人员审核。本发明能够弥补人工审核防火墙策略费时费力的缺陷，加强了防火墙变更策略的管理，避免了具有安全风险策略的建立，提高防火墙的安全性。

本发明的一个方面，提出了一种防火墙策略处理的方法，包括：采集防火墙策略，将所述防火墙策略进行标准化生成防火墙策略访问控制列表；采集防火墙内部网络和内外部网络之间的网络流量，获得网络流量配比统计数据；根据所述网络流量配比统计数据对所述防火墙策略访问控制列表进行量化处理；根据预设的策略优化规则对所述量化处理后的防火墙策略访问控制列表进行策略优化处理。

优选的，所述根据预设的策略优化规则对所述量化处理后的防火墙策略访问控制列表进行策略优化处理的步骤之后还包括：根据预设的安全审计规则对所述量化后的防火墙策略访问控制列表进行安全审计处理。

优选的，所述采集防火墙策略，将所述防火墙策略进行标准化生成防火墙策略访问控制列表的步骤进一步包括：向Probe采集机下发防火墙策略采集命令；获取防火墙策略原始结果并使用解析类语句对所述原始结果进行标准化；将所述标准化的防火墙策略作为Probe采集机的策略基线。

优选的，所述将所述标准化的防火墙策略作为Probe采集机的策略基线的步骤之后还包括：按预设时间间隔重复上述步骤，更新所述策略基线。

优选的，所述采集防火墙内部网络和内外部网络之间的网络流量，获得网络流量配比统计数据的步骤进一步包括：根据预设周期采集防火墙内部网络和内外部网络之间的网络流量；对所述网络流量的配比进行统计，获得网络流量配比统计数据。

本发明的另一个方面，提出了一种防火墙策略处理的装置，包括采集模块、统计模块、量化模块和优化模块，其中：所述采集模块，用于采集防火墙策略，将所述防火墙策略进行标准化生成防火墙策略访问控制列表；所述统计模块，用于采集防火墙内部网络和内外部网络之间的网络流量，获得网络流量配比统计数据；所述量化模块，用于根据所述网络流量配比统计数据对所述防火墙策略访问控制列表进行量化处理；所述优化模块，用于根据预设的策略优化规则对所述量化处理后的防火墙策略访问控制列表进行策略优化处理。