[发明专利]一种网络安全策略的配置方法

说明书

本发明公开了一种网络安全策略的配置方法，根据策略的动作实现对策略的配置，若策略动作为允许，则先判断该策略的源网络对象和目的网络对象是否属于同一网络区域，是，则在对应的网络安全设备上配置该策略；否，则根据源网络对象所在网络安全设备上按照具体的网络安全策略进行配置，同时根据目的网络对象所在网络安全设备上配置宽松的策略放行来自于内部所有网段的IP对于设备所辖网段的访问；若策略动作为拒绝，则仅在源网络对象所在网络安全设备上对该条策略进行配置。本发明通过在网络安全策略涉及的安全防护设备之间使用统一原则进行配置，有效减少了网络安全策略的数量，完全不需要降低防护能力，很好地提升了后续管理，并优化了工作效率。

技术领域

本发明涉及网络信息安全技术领域，具体涉及的是一种网络安全策略的配置方法。

背景技术

随着互联网的飞速发展，网络上的恶意行为也愈发增多，网络安全策略作为网络安全防范和保护的主要手段，维护着网络系统安全并保护网络资源不被非法访问。对于企事业单位，企业内部会划分不同的网络区域，根据相关网络安全规定，需要在网络区域的边界部署网络安全设备进行安全防护，其中网络安全策略承担着最基础的防护作用。

目前的网络安全策略的配置方法一般分为两种，一种是根据大的网段来配置，这种方式的优势是策略简单、量少且不易变动，方便后续的维护管理；劣势是以网段为粒度防护粒度比较粗，直接降低了网络安全策略的防护能力；另一种则是根据明细IP来进行配置，这种方式的优点是按需来做配置，防护能力强；缺点是策略数量多且由于是按需配置，因而在系统应用访问关系更新变化快的场景下需要维护人员频繁地变更网络安全策略的配置，操作繁杂，并且后期的维护管理也很麻烦。

发明内容

本发明的目的在于提供一种网络安全策略的配置方法，解决现有的网络安全策略配置方法存在不能兼具较强的防护能力和方便的操作及维护管理的特点的问题。

为实现上述目的，本发明采用的技术方案如下：

一种网络安全策略的配置方法，包括以下步骤：

(1)对所有待配置的网络安全策略进行预处理；所述网络安全策略包含有源网络对象、目的网络对象、端口、动作；

(2)预处理后，根据策略的动作实现对每条策略的配置，若策略动作为允许，则先判断该条策略的源网络对象和目的网络对象是否属于同一网络区域，是，则在对应的网络安全设备上配置该策略；否，则执行步骤(3)；若策略动作为拒绝，则仅在源网络对象所在的网络安全设备上对该条策略进行配置，不在目的网络对象所在的网络安全设备上对该条策略进行配置；

(3)根据源网络对象所在的网络安全设备上按照具体的网络安全策略进行配置，同时根据目的网络对象所在的网络安全设备上配置宽松的策略放行来自于内部所有网段的IP对于设备所辖网段的访问；

(4)循环步骤(1)～(3)。

进一步地，对每条策略进行配置时，策略ID越大，优先级越高。

具体地，所述步骤(1)中预处理的过程如下：

(a)对网络安全策略中的源网络对象和目的网络对象各自包含的IP进行解析；

(b)若源网络对象中的IP属于同个网络区域，目的网络对象中的IP属于同个网络区域，则执行步骤(2)；否则，根据IP归属情况做不同的处理后再执行步骤(2)，具体如下：

情况1：源网络对象中的IP属于同个网络区域，目的网络对象的IP不属于同个网络区域，则根据目的网络对象的IP所属的网络区域对策略进行拆分；

情况2：源网络对象中的IP不属于同个网络区域，目的网络对象的IP属于同个网络区域，则根据源网络对象的IP所属的网络区域对策略进行拆分；