[发明专利]一种防火墙策略检测方法

说明书

本发明涉及信息安全的技术领域，更具体地，涉及一种防火墙策略检测方法，包括以下步骤：S10.构建防火墙策略数据库和防火墙日志文件，分析防火墙可视化页面的地址簿信息、策略配置信息以及端口信息的记录和显示方式；S20.提取策略配置信息中配置的IP地址，并将IP地址转化为特有数值或数值范围，满足告警规则时告警；S30.分析步骤S10中防火墙日志文件记录方式，分析防火墙日志文件中每个字段存储信息的含义并进行分类，将字段分类写入防火墙策略数据库中；S40.将防火墙策略数据库存储于终端，以用于显示和查询策略配置信息。本发明能够快速全面地获取防火墙策略配置信息，且可实现快速查询；将IP地址转化为特有数值，利用数值比对提高计算机策略识别速度。

技术领域

本发明涉及信息安全的技术领域，更具体地，涉及一种防火墙策略检测方法。

背景技术

当前，信息安全已经引起了人们的广泛重视，其中数据安全是信息安全中非常重要的环节，而局域网安全则主要依靠防火墙来实施管理和控制。近几年，网络信息安全防护的关键点之一就是访问控制，防火墙中不允许冗余策略存留、不允许配置过宽的地址段、不允许配置过宽的端口、全面封堵高危端口等。加之企业级防火墙内配置的访问策略数以百计，人工检测排查策略配置情况耗时耗力，错查漏查的情况时有发生，影响网络稳定和信息系统安全运行。

现阶段，防火墙策略检测与问题排查主要存在以下问题：(1)防火墙中配置使用的网络访问策略多达几百条，大部分防火墙在配置访问策略前都要求管理员为源IP地址、目的IP地址命名，故一旦管理员需要根据IP进行策略查询时，就需要在策略命名和策略配置页面反复切换，时间和精力消耗较大，人力成本高，当要排查多个地址时，很容易出现差错；(2)防火墙在策略被命中时会自行对命中次数做统计，如果某策略失效，策略命中数会显示为零；根据信息安全要求，工作人员每月需对防火墙重启并切换；切换重启后，防火墙的策略命中数量统计就会清零；导致有效策略和失效策略无法区分，这些访问策略关系全局生产网络运行，影响重大；(3)防火墙日志输出的每一条日志信息都存在较多的字段，每日产生的信息数据量巨大，且日志文件为文本文档格式，不利于防火墙日志查询及分析。

发明内容

本发明的目的在于克服现有技术的不足，提供一种防火墙策略检测方法，能够快速地获取防火墙配置数据，同时获取策略信息和策略命中数，可将防火墙信息完整导出，可实现防火墙策略配置的快速检测。

为解决上述技术问题，本发明采用的技术方案是：

提供一种防火墙策略检测方法，包括以下步骤：

S10.构建防火墙策略数据库和防火墙日志文件，分析防火墙可视化页面的地址簿信息、策略配置信息以及端口信息的记录和显示方式，建立防火墙数据提取模式；

S20.利用爬虫工具和步骤S10中所述防火墙策略数据库的匹配功能，提取所述策略配置信息中配置的IP地址，并将IP地址转化为特有数值或数值范围，在所述特有数值或数值范围满足告警规则时告警；

S30.分析步骤S10中所述防火墙日志文件记录方式，分析防火墙日志文件中每个字段存储信息的含义并进行分类，将字段分类写入防火墙策略数据库中；

S40.将防火墙策略数据库存储于终端，以用于显示和查询策略配置信息。

本发明的防火墙策略检测方法，能够快速全面地获取策略ID、命中数、源地址名称、源地址IP、源端口、目的地址名称、目的地址IP、目的端口等防火墙配置数据，自动匹配后完整地呈现在一张表格上，同时可通过任意信息实现快速查询；将IP地址转化为特有数值或数值范围，利用数值比对，从而提高计算机策略识别速度。

优选地，步骤S10按以下步骤进行：利用爬虫技术定时登录防火墙抓取防火墙数据，所述防火墙数据包括策略ID、命中数、源地址名称、源地址IP、源接口、目的地址名称、目的地址IP以及目的端口；将所述防火墙数据相互匹配后显示于一张表格上并导出。