[发明专利]防火墙安全策略调整方法及装置

说明书

本发明公开了一种防火墙安全策略调整方法及装置。其中，该方法包括：获取预定业务的业务参数，其中，业务参数用于标识预定业务的路径；根据业务参数选择预定业务所在的防火墙网络拓扑，其中，防火墙网络拓扑中包括：主机、服务器以及防火墙；确定预定业务在防火墙网络拓扑中的业务路径上的多个防火墙；对多个防火墙进行安全策略调整。本发明解决了相关技术中在需要对业务路径上的防火墙进行查找以及安全策略调整时，需要基于手工来完成到导致的效率较低的技术问题。

技术领域

本发明涉及计算机网络结构领域，具体而言，涉及一种防火墙安全策略调整方法及装置。

背景技术

防火墙是网络安全的基础设备，无论是在网络的出口还是在网络的内部，都有大量的防火墙设备来保证网络的安全。防火墙通过其定义的策略来决定，哪些流量可以通过，哪些流量小丢弃。近年来涌现的下一代防火墙、智能下一代防火墙，是基础防火墙功能的延续，都是以策略为核心开展网络安全防护，将防护范围从网络的2-4层扩展到7层、从单纯的会话拦截扩展到网络行为分析。

为保证网络安全，在网络中不仅需要大量的路由器、交换机来保证数据流量的通畅，还需要部署一定数量的防火墙，实现内外隔离、分区隔离、纵深防御等安全需求。在日常的网络维护工作中，网络中路由器、交换机的部署和IP地址段的分配相对固定，这体现的网络的物理和逻辑拓扑，以保证网络中主机的联通性，其与业务的关联性相对较低。而防火墙的策略则是与网络业务高度相关的。因此，为实施某个网络业务，通常需要找出业务涉及路径上一组防火墙，调整这组防火墙的策略，才能满足业务对于网络安全的需求。

在一个大型网络中，由于分区隔离的安全需求，通常部署了大量的防火墙。在业务调整时找出业务的网络路径和所有涉及的防火墙，针对性的对这些防火墙的安全策略做出相应的修改。在几十成百甚至上千的网络设备中如何找到与业务相关的网络路径以及该路径上的这组防火墙，这是大型网络进行业务部署的一大挑战。

在相关技术中会有以下几种方式来实现在众多的网络设备中找到与业务相关的网络路径以及该路径上对应的防火墙：

1.传统的网络拓扑发现工具，例如：ping、traceroute等，都可以通过逐条检查的方式，发现网络拓扑，并找到路径中设计的所有防火墙，在根据需要增加的业务，逐跳查看途径的防火墙是否都允许业务流量通过。其中，常用的工具ping、traceroute等在主机、服务器、交换机、路由器、防火墙等网络设备都支持。使用这些工具来部署新业务，通常经过以下几个步骤：

⑴、确定新业务涉及的全部服务器

⑵、确定要使用新业务的所有的主机

⑶、利用ping、traceroute等通用网络协议确定涉及业务的全部服务器及主机的网络可达性。

⑷、如果网络不可达，通过traceroute找到业务路径上的全部网络设备，包括交换机、路由器、防火墙等设备。通过调整路由、交换等设备的网络配置实现服务器及主机的网络可达。

⑸、在主机和服务器上尝试新业务，确定新业务流量是否可以在主机与服务器、服务器与服务器之间相互连通。

⑹、如果新业务流量不能连通，调整防火墙等网络设备的策略配置，实现新业务流量是否可以在主机与服务器、服务器与服务器之间相互连通。

⑺、反复执行步骤⑶-⑹，直到新业务的流量可以在主机与服务器、服务器与服务器之间实现相互连通。

对于大型网络，内部的主机、服务器众多，路由器、交换机、防火墙等网络设备也众多。通过这些网络设备，主机、服务器被分为多个连接受控的安全域。部署新业务，需要将业务涉及的主机、服务器所在的安全域打开。

通过上面一系列的操作，将主机与服务器、服务器与服务器之间的路径打通。理论上，需要将全部的主机、服务器都进行一次尝试，才能确定每台主机是否都可以使用新业务。