[发明专利]网络策略审计方法、设备及计算机可读存储介质

说明书

本发明公开了一种网络策略审计方法，包括：当检测到触发的网络策略审计指令时，读取防火墙的防火墙IP，并依据所述防火墙IP获取所述防火墙的网络策略配置文件；对所述网络策略配置文件进行解析，以获取所述防火墙的各网络策略，并对所述各网络策略进行结构化处理；依据预设区域信息与预设审计规则组，对经过结构化处理后的各网络策略进行审计，并输出对应的审计结果。本发明还公开了一种网络策略审计设备及计算机可读存储介质。本发明能够有效的降低网络策略的审计成本，提高网络策略的审计效率。

技术领域

本发明涉及信息网络安全的技术领域，尤其涉及一种网络策略审计方法、设备及计算机可读存储介质。

背景技术

信息技术发展和各国信息安全政策的不断演变，国内外信息安全形势日益严峻，随着对信息安全提出了更高的要求，需进一步健全统一的信息安全管理机制，强化信息安全保障措施，提升信息安全综合防护能力。

为提高企业内部的网络信息安全，需要对防火墙上的网络策略进行合规性审计，目前主要由审计管理员对防火墙上的网络策略进行合规性审计，然而，随着企业接入的系统增多，防火墙上的网络策略也相应的增多，需要投入较多的时间和人力对网络策略进行合规性审计，网络策略的审计成本较高，网络策略的审计效率较低。

因此，如何降低网络策略的审计成本，提高网络策略的审计效率是目前亟待解决的问题。

发明内容

本发明的主要目的在于提供一种网络策略审计方法、设备及计算机可读存储介质，旨在降低网络策略的审计成本，提高网络策略的审计效率。

为实现上述目的，本发明提供一种网络策略审计方法，所述网络策略审计方法包括以下步骤：

当检测到触发的网络策略审计指令时，读取防火墙的防火墙IP，并依据所述防火墙IP获取所述防火墙的网络策略配置文件；

对所述网络策略配置文件进行解析，以获取所述防火墙的各网络策略，并对所述各网络策略进行结构化处理；

依据预设区域信息与预设审计规则组，对经过结构化处理后的各网络策略进行审计，并输出对应的审计结果。

进一步地，所述依据预设区域信息与预设审计规则组，对经过结构化处理后的各网络策略进行审计的步骤包括：

从经过结构化处理后的各网络策略中读取各网络策略的源IP、源IP组、目标IP、目标IP组和目标端口号；

依据预设区域信息以及各网络策略的源IP和目标IP，确定各网络策略的源区域和目标区域；

依据预设审计规则组以及各网络策略的源IP、源IP组、源区域、目标IP、目标IP组、目标区域和目标端口号，执行网络策略与审计规则之间的匹配操作。

进一步地，所述依据预设区域信息以及各网络策略的源IP和目标IP，确定各网络策略的源区域和目标区域的步骤包括：

从所述区域信息中获取IP与区域的映射关系表，并查询IP与区域的映射关系表，确定各网络策略的源IP对应的区域，以及各网络策略的目标IP对应的区域；

将各网络策略的源IP对应的区域确定为各网络策略的源区域，并将各网络策略的目标IP对应的区域确定为各网络策略的目标区域。

进一步地，所述依据预设区域信息与预设审计规则组，对经过结构化处理后的各网络策略进行审计的步骤还包括：

确定经过结构化处理后的各网络策略中是否存在位于预设白名单的网络策略；

若经过结构化处理后的各网络策略中存在位于预设白名单的网络策略，则给位于预设白名单的网络策略添加白名单标志位；

依据预设区域信息与预设审计规则组，对经过结构化处理后的各网络策略中未添加白名单标志位的网络策略进行审计。