基于旁路流量与防火墙配置相结合的防火墙策略收敛方法技术

本申请涉及一种基于旁路流量与防火墙配置相结合的防火墙策略收敛方法、装置、控制系统和可读存储介质，通过通过旁路根据预设数据流方向识别条件采集并分析网络流量，记录每一个IP通讯对的五元组信息并保存在数据流表中；并对所述数据流中的每一条数据流五元组进行防火墙策略匹配，获取所匹配的防火墙策略ID并更新所述数据流表；从更新后的所述数据流表中获取IP通讯对命中结果，根据所述命中结果收敛所述防火墙策略。本发明专利技术基于旁路流量与防火墙配置结合，用于判断每一个IP通讯对是否命中防火墙策略，从而可以记录防火墙每一条策略所命中的所有五元组信息，进而基于命中记录来收敛防火墙策略。防火墙策略。防火墙策略。

【技术实现步骤摘要】
基于旁路流量与防火墙配置相结合的防火墙策略收敛方法


[0001]本公开涉及网络安全通信
，尤其涉及一种基于旁路流量与防火墙配置相结合的防火墙策略收敛方法、装置、控制系统和可读存储介质。

技术介绍

[0002]防火墙作为保障网络安全的第一道屏障，也是信息安全的重要一环。防火墙是通过策略来管理、限制访问的，如果防火墙的策略过于宽泛，会导致错误放行威胁、攻击行为，从而失去防护效果，引发重大安全风险。精细化管理防火墙策略，收紧防火墙的宽泛策略已经成为网络安全管理的关键任务。
[0003]现有的防火墙策略收敛的技术，均采用防火墙日志结合防火墙策略的机制。这种机制下，要求防火墙用日志记录所有通讯对的五元组信息，并记录这些五元组命中哪条策略，这导致防火墙消耗大量资源来处理非关键事项，必然导致防火墙的性能大大下降，甚至导致防火墙功能失效。已经有不少用户反映，因为开启防火墙策略日志，导致防火墙失效，导致业务中断的事件。为了减少开启日志对性能的消耗，有用户尝试每次只开启一条策略日志，这种方式下，虽然可以降低防火墙失效的风险，但是会导致策略收敛这个任务变得遥遥无期，因为每次收敛一条策略需要至少3个月时间。一般防火墙存在许多需要收敛的策略，采用日志结合策略的方式变得难以执行。采用日志来收敛策略还存在另外一个风险：防火墙日志不完整，在高速网络环境下，防火墙的日志无法全部记录所有五元组，数据不完整，必然导致收敛错误，不仅影响收敛的效率，而且进一步增加策略错误的风险。综上所述，采用防火墙日志结合配置来收敛防火墙策略存在以下问题：影响防火墙性能，可能导致业务故障；效率低，每次收敛1条策略，使得策略收敛因为时间过长，变得无法执行；数据不完整，导致收敛出错，影响业务。

技术实现思路

[0004]有鉴于此，本公开提出了一种基于旁路流量与防火墙配置相结合的防火墙策略收敛方法，利用旁路采集的通讯五元组数据，将其余防火墙策略配置关联，生成每一条IP通讯对对应的防火墙策略，可应用于防火墙策略收敛。本专利技术基于旁路流量与防火墙配置结合，用于判断每一个IP通讯对是否命中防火墙策略，从而可以记录防火墙每一条策略所命中的所有五元组信息，进而基于命中记录来收敛防火墙策略，具备以下优势：防火墙无需开启日志，不影响防火墙性能；完整的五元组数据，避免导致策略收敛错误；可一次性对所有策略进行收敛，大大提升收敛速度。
[0005]根据本公开的一方面，提供了一种基于旁路流量与防火墙配置相结合的防火墙策略收敛方法，包括如下步骤：S100、获取并解析防火墙配置信息；S200、通过旁路根据预设数据流方向识别条件和解析信息采集并分析网络流量，
记录每一个IP通讯对的五元组信息并保存在数据流表中；S300、预设策略匹配条件，并对所述数据流中的每一条数据流五元组进行防火墙策略匹配，获取所匹配的防火墙策略ID并更新所述数据流表；S400、从更新后的所述数据流表中获取IP通讯对命中结果，根据所述命中结果收敛所述防火墙策略。
[0006]作为本申请的一种可实施方案，优选地，在步骤S100中，所述解析防火墙配置信息，包括：S110、解析所述防火墙配置信息并获取防火墙策略解析信息；以及，S120、将所述防火墙策略解析信息格式化处理，获取格式化策略；以及，S130、将所述格式化策略使用到的地址/应用解析到预设指定的目的端IP和端口。
[0007]作为本申请的一种可实施方案，优选地，在步骤S200中，所述通过旁路根据预设数据流方向识别条件采集并分析网络流量，包括：S210、获取防火墙策略解析信息；以及，S220、根据预设策略顺序将所述防火墙策略解析信息中的防火墙策略自动生成策略序号；以及，S230、将所述目的端IP和端口按照所述策略序号生成用于所述数据流中IP五元组通讯对的方向识别的服务端列表，根据所述服务端列表采集并分析网络流量。
[0008]作为本申请的一种可实施方案，优选地，在步骤S300中，所述对所述数据流中的每一条数据流五元组进行防火墙策略匹配，包括：S310、根据所述服务端列表，识别判断所述数据流中的IP五元组的方向是否确定；以及，S320、在所述数据流中的IP五元组的方向确定时，采用客户端作为源地址、服务端作为目的地址直接进行防火墙匹配；以及，S330、在所述数据流中的IP五元组的方向不确定时，采用双向匹配方式，包括：第一步，用客户端IP、服务端IP、服务端口对应的源IP、目的IP和应用进行第一次匹配；第二步，用服务端IP、客户端IP、客户端端口对应的源IP、目的IP和应用进行第二次匹配；第三步，将两次匹配结果序号最小的防火墙策略作为命中策略并记录在所述数据流表中。
[0009]根据本公开的另一方面，还提供了一种基于旁路流量与防火墙配置相结合的防火墙策略收敛装置，包括：解析模块：用于获取并解析防火墙配置信息；旁路流量采集模块：用于通过旁路根据预设数据流方向识别条件采集并分析网络流量，记录每一个IP通讯对的五元组信息并保存在数据流表中；策略匹配模块：用于预设策略匹配条件，并对所述数据流中的每一条数据流五元组进行防火墙策略匹配，获取所匹配的防火墙策略ID并更新所述数据流表；收敛模块：用于从更新后的所述数据流表中获取IP通讯对命中结果，根据所述命中结果收敛所述防火墙策略。
[0010]作为本申请的一种可实施方案，优选地，所述解析模块包括：防火墙策略解析模块：用于解析所述防火墙配置信息并获取防火墙策略解析信息；以及，
格式化模块：用于将所述防火墙策略解析信息格式化处理，获取格式化策略；以及，解析端口：用于将所述格式化策略使用到的地址/应用解析到预设指定的目的端IP和端口。
[0011]作为本申请的一种可实施方案，优选地，所述旁路流量采集模块包括：解析信息获取模块：用于获取防火墙策略解析信息；以及，策略序号生成模块：用于根据预设策略顺序将所述防火墙策略解析信息中的防火墙策略自动生成策略序号；以及，服务端列表识别模块：用于将所述目的端IP和端口按照所述策略序号生成用于所述数据流中IP五元组通讯对的方向识别的服务端列表，根据所述服务端列表采集并分析网络流量。
[0012]作为本申请的一种可实施方案，优选地，所述策略匹配模块包括：用于预设策略匹配条件，并对所述数据流中的每一条数据流五元组进行防火墙策略匹配，获取所匹配的防火墙策略ID并更新所述数据流表；IP五元组方向确定模块：用于根据所述服务端列表，识别判断所述数据流中的IP五元组的方向是否确定；以及，第一匹配模块：用于在所述数据流中的IP五元组的方向确定时，采用客户端作为源地址、服务端作为目的地址直接进行防火墙匹配；以及，第二匹配模块：用于在所述数据流中的IP五元组的方向不确定时，采用双向匹配方式，包括：第一步，用客户端IP、服务端IP、服务端口对应的源IP、目的IP和应用进行第一次匹配；第二步，用服务端IP、客户端IP、客户端端口对应的源IP、目的IP和应用进行第二次匹配；第三步，将两次匹配结果序号最小的防火墙策略作为命中策略并记录在所述数据流表中。
[0013]根据本公开的本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于旁路流量与防火墙配置相结合的防火墙策略收敛方法，其特征在于，包括如下步骤：S100、获取并解析防火墙配置信息；S200、通过旁路根据预设数据流方向识别条件和解析信息采集并分析网络流量，记录每一个IP通讯对的五元组信息并保存在数据流表中；S300、预设策略匹配条件，并对所述数据流中的每一条数据流五元组进行防火墙策略匹配，获取所匹配的防火墙策略ID并更新所述数据流表；S400、从更新后的所述数据流表中获取IP通讯对命中结果，根据所述命中结果收敛所述防火墙策略。2.根据权利要求1所述的基于旁路流量与防火墙配置相结合的防火墙策略收敛方法，其特征在于，在步骤S100中，所述解析防火墙配置信息，包括：S110、解析所述防火墙配置信息并获取防火墙策略解析信息；以及，S120、将所述防火墙策略解析信息格式化处理，获取格式化策略；以及，S130、将所述格式化策略使用到的地址/应用解析到预设指定的目的端IP和端口。3.根据权利要求2所述的基于旁路流量与防火墙配置相结合的防火墙策略收敛方法，其特征在于，在步骤S200中，所述通过旁路根据预设数据流方向识别条件采集并分析网络流量，包括：S210、获取防火墙策略解析信息；以及，S220、根据预设策略顺序将所述防火墙策略解析信息中的防火墙策略自动生成策略序号；以及，S230、将所述目的端IP和端口按照所述策略序号生成用于所述数据流中IP五元组通讯对的方向识别的服务端列表，根据所述服务端列表采集并分析网络流量。4.根据权利要求3所述的基于旁路流量与防火墙配置相结合的防火墙策略收敛方法，其特征在于，在步骤S300中，所述对所述数据流中的每一条数据流五元组进行防火墙策略匹配，包括：S310、根据所述服务端列表，识别判断所述数据流中的IP五元组的方向是否确定；以及，S320、在所述数据流中的IP五元组的方向确定时，采用客户端作为源地址、服务端作为目的地址直接进行防火墙匹配；以及，S330、在所述数据流中的IP五元组的方向不确定时，采用双向匹配方式，包括：第一步，用客户端IP、服务端IP、服务端口对应的源IP、目的IP和应用进行第一次匹配；第二步，用服务端IP、客户端IP、客户端端口对应的源IP、目的IP和应用进行第二次匹配；第三步，将两次匹配结果序号最小的防火墙策略作为命中策略并记录在所述数据流表中。5.一种基于旁路流量与防火墙配置相结合的防火墙策略收敛装置，其特征在于，包括：解析模块：用于获取并解析防火墙配置信息；旁路流量采集模块：用于通过旁路根据预设数据流方向识别条件采集并分析网络流量，...

【专利技术属性】
技术研发人员：范伟导，周飞，李永杰，范原瑞，苗蔚然，
申请(专利权)人：北京智维盈讯网络科技有限公司，
类型：发明
国别省市：