[发明专利]管理网络安全策略的方法

说明书

本发明涉及管理网络安全策略的方法，包括：A．将所有主机系统涉及的所有资源按照最小功能模块进行分组；B．根据不同主机系统间的调用关系，将具有访问相同网络资源权限的最小功能模块的集合设置为一个角色；C．通过资产管理模块保存资产信息，并在新增或发生资源变更时，同步到相应的防火墙设备中；D．网络安全策略管理模块根据不同主机系统间的调用关系生成基于角色控制的网络安全策略后，将其配置到防火墙设备中，网络安全策略管理模块更新网络安全策略的配置状态。本发明显著减少了网络安全策略的条目数量，并且基于实际的功能分类来进行网络安全策略管理，能够在最大限度保障网络安全性的同时，也方便后续对网络安全策略的调整。

技术领域

本发明涉及网络安全领域，具体讲是管理网络安全策略的方法。

背景技术

防火墙作为一种基础的网络安全设备，广泛应用于各个企业的网络环境中。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务、实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器、一个限制器、也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。

而随着企业内部、外部应用访问的增多，需要配置和管理非常庞大的网络安全策略。在目前网络安全策略的配置中，按照颗粒度主要分为两种，一种是明细IP，一种是大的IP段。对于明细IP来说，能够尽可能地保证防火墙仅放行特定的流量，但条目众多，一旦应用的IP发生变动，就需要对所涉及的防火墙上面的网络安全策略进行调整，管理不便；大的IP段(如基于一个C段)，条目相对减少了很多，而且相对来说变动不大，但是从安全性来考虑，由于粒度较粗，并不能很好地进行安全管控。另外还有一种方式是结合前面两种方式，部分配置为明细IP、部分配置为IP段，这样虽然能够一定程度地集合两者方式的优势，但仍然存在管理复杂，具体哪些部分应该配置明细IP，哪些部分配置IP段，并没有一个科学合理的区分方法。

发明内容

本发明提供了一种管理网络安全策略的方法，在尽可能保证网络安全性的同时，也能够方便地对网络安全策略进行管理维护。

本发明管理网络安全策略的方法，包括：

A.将所有主机系统涉及的所有主机资源按照最小功能模块进行分组，在每个最小功能模块中至少包含有一个主机，每个主机对应有IP地址和相同的对外端口；

B.根据不同主机系统间的调用关系，将具有访问相同网络资源权限的最小功能模块的集合设置为一个角色，且所述集合中的每个最小功能模块中的主机的IP与被访问的网络资源的主机IP不同；所述的网络资源为每个最小功能模块中所有对外提供相同的服务功能、具有相同的对外端口且不同IP地址的主机(一般表示为IP:port)；

C.通过资产管理模块保存资产信息，包括所有主机系统涉及的主机资源、最小功能模块的分组和角色，并在新增或发生主机资源变更时，将保存的资产信息同步配置到相应的防火墙设备中；

D.网络安全策略管理模块根据不同主机系统间的调用关系，生成基于角色控制的网络安全策略；将所述的网络安全策略配置到相应的防火墙设备中，并在网络安全策略管理模块中更新网络安全策略的配置状态。