基于网络流量和防火墙配置实现违规策略监测及访问的方法、装置、处理器及其存储介质制造方法及图纸

本发明专利技术涉及一种基于网络流量和防火墙配置实现违规策略监测及访问的方法，其中，该方法包括以下步骤：(1)获取防火墙配置；(2)进行防火墙配置解析处理；(3)生成安全域；(4)生成安全域访问矩阵；(5)形成合规矩阵；(6)进行防火墙策略合规性监测以及网络访问合规性监测的处理。本发明专利技术还涉及一种相应的装置、处理器及其计算机可读存储介质。采用了本发明专利技术的该基于网络流量和防火墙配置实现违规策略监测及访问的方法、装置、处理器及其计算机可读存储介质，可以发现防火墙内的违规策略，以保障防火墙策略的合规性，使违规的访问行为能够被有效拦截，为避免发生生产事故和网络安全事件提供有力保障，同时还有利于对违规发起端进行追溯。溯。溯。

【技术实现步骤摘要】
基于网络流量和防火墙配置实现违规策略监测及访问的方法、装置、处理器及其存储介质


[0001]本专利技术网络安全合规与网络实时监测
，尤其涉及网络实时监测
，具体是指一种基于网络流量和防火墙配置实现违规策略监测及访问的方法、装置、处理器及其计算机可读存储介质。

技术介绍

[0002]网络作为业务的重要支撑部分，业务数据通过网络进行交互与传输，基于不同的业务、不同的功能、不同的安全级别，用户会将网络划分为不同的网络安全域(以下简称“安全域”)，安全域与安全域之间使用防火墙进行隔离，防火墙作为访问控制的重要设施，控制着安全域间的访问权限。
[0003]在管理制度中，哪些安全域间是可以互相访问的，哪些安全域间是禁止互相访问的，每个用户都有相应的规章制度进行规定，但从技术上却没有一套行之有效的技术手段可以实时监测防火墙内是否开通了违反规定(以下简称“违规”)的访问策略，也没有办法实时监测到网络中存在的违规访问行为，所以违规策略、违规访问几乎在每个用户那里都存在，笔者曾经亲历过某保险公司测试系统违规访问生产系统，造成生产网网络堵塞，致使生产业务中断；某金融机构低密级区域违规访问高密级区域，致使低密级人员越权读取到涉密文件；还曾听闻用户叙述过其亲身经历的某大型银行测试交易被发送到了生产上。此类重大生产事故和重大安全事件都是因为防火墙内存在违规策略，导致违规访问未能被有效拦截及发现所致。
[0004]综上所述，由于违规策略及违规访问的存在，且目前无有效的实时监测手段，导致最终酿成重大生产事故或重大安全事件的事情时有发生。

技术实现思路

[0005]本专利技术的目的是克服了上述现有技术的缺点，提供了一种基于网络流量和防火墙配置实现违规策略监测及访问的方法、装置、处理器及其计算机可读存储介质。
[0006]为了实现上述目的，本专利技术的基于网络流量和防火墙配置实现违规策略监测及访问的方法、装置、处理器及其计算机可读存储介质如下：
[0007]该基于网络流量和防火墙配置实现违规策略监测及访问的方法，其主要特点是，所述的方法包括以下步骤：
[0008](1)基于防火墙、防火墙统一管理平台、防火墙配置备份平台以及离线导入方式获取防火墙配置；
[0009](2)解析获取到的防火墙策略数据、防火墙区域数据以及防火墙接口数据，以实现防火墙配置的解析处理；
[0010](3)基于解析后的数据进行安全域的生成处理，并通过所述的防火墙区域数据以及防火墙接口数据得到安全域数据；
[0011](4)根据所述的防火墙策略数据以及安全域数据，生成安全域访问矩阵；
[0012](5)基于安全域间互访的管理要求以及所述的安全域访问矩阵，形成合规矩阵；
[0013](6)通过防火墙策略、合规矩阵以及网络流量，进行防火墙策略合规性监测以及网络访问合规性监测的处理。
[0014]较佳地，所述的步骤(1)具体为：通过直连防火墙读取配置数据，通过防火墙统一管理平台获取配置数据，通过防火墙配置备份平台获取配置数据，以及通过离线导入方式获取配置数据，其中，
[0015]所述的通过直连防火墙读取配置数据，具体为：通过SSH连接防火墙，并读取防火墙的配置数据；
[0016]所述的通过防火墙统一管理平台获取配置数据，具体为：通过用户已有的防火墙统一管理平台的接口，读取到被该平台统一管理的防火墙的配置数据；
[0017]所述的通过防火墙配置备份平台获取配置数据，具体为：通过FTP、SFTP、API接口形式连接到用户已有的防火墙配置备份平台，并读取防火墙配置备份平台内的最新的防火墙配置备份文件，从而获取到防火墙配置；
[0018]所述的离线导入方式，具体为：用户将已导出的防火墙配置文件，导入到系统中。
[0019]较佳地，所述的步骤(2)具体为：
[0020]解析所述的防火墙策略数据，包括对防火墙配置中访问控制策略部分进行解析，解析到策略中的源区域、目的区域、源IP、目的IP、目的端口数据；
[0021]解析所述的防火墙区域数据，包括对防火墙配置中的区域配置部分进行解析，解析得到防火墙内的区域的名称以及区域与防火墙接口之间的对应关系；
[0022]解析所述的防火墙接口数据，包括对防火墙配置中的接口配置部分进行解析，解析得到防火墙接口的IP地址和路由数据。
[0023]较佳地，所述的步骤(3)具体为：基于解析后得到的数据，进行防火墙区域路由数据的生成、区域数据聚合以及安全域数据的生成处理，从而生成安全域；其中，
[0024]生成所述的防火墙区域路由数据，包括将解析到的防火墙区域数据和与该区域相关联的防火墙接口的路由数据进行关联，得到防火墙区域的路由数据，并使用该路由数据作为该区域的网段规则；
[0025]所述的区域数据聚合，包括基于网段将获取到的所有防火墙的区域数据进行去重合并，如果不同区域的网段数据存在包含的关系，则以子网掩码位数最长的区域为准，得到聚合后的所有区域的网段数据，并结合防火墙名称和区域名称，得到总体的聚合后的区域数据；
[0026]生成所述的安全域数据，包括使用得到的聚合后的区域数据，将其存储到数据库内，并形成区域数据的列表，该列表具有修改和确认功能，如果生成的区域数据内容有误，则进行人工修正，如果生成的区域数据无误，则经过确认后即可成为安全域数据。
[0027]较佳地，所述的步骤(4)具体包括以下步骤：
[0028](4.1)基于上述步骤，进行防火墙策略与安全域关联的处理；
[0029](4.2)基于关联后得到的数据，生成安全域间访问矩阵。
[0030]较佳地，所述的步骤(4.1)具体为：
[0031]将防火墙策略数据得到的每一条策略数据中的源IP、目的IP分别提取出来，并与
安全域数据中的网段规则进行比对关联，得到一组安全域到安全域的访问列表，并将策略中的目的端口作为目的安全域的端口，从而得到一个源安全域、目的安全域、目的端口的三元组的安全域互访数据列表。
[0032]较佳地，所述的步骤(4.2)具体为：
[0033]将所述的步骤(4.1)得到的安全域互访数据列表进行聚合，首先使用所述的源安全域、目的安全域进行聚合，将相同源安全域和目的安全域聚合成一条，所述的目的端口为被聚合对象的所有条目的端口形成一个目的端口列表，并对目的端口列表中的端口进行去重，得到一个去重后的目的端口列表，最终得到一个安全域间互访的数据，形成安全域访问矩阵。
[0034]较佳地，所述的步骤(5)包括：基于安全域间互访的管理要求进行安全域访问矩阵的修正以及合规矩阵的实时保存处理，其中，
[0035]所述的安全域访问矩阵的修正，具体为：通过所述的安全域访问矩阵与用户关于安全域间互访的管理要求进行比对，对与管理要求不相符的条目进行修正；
[0036]所述的合规矩阵的实时保存，具体为：在对所述的安全域访问矩阵进行修正的过程中，每进行一次规则的修正，都会实时本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于网络流量和防火墙配置实现违规策略监测及访问的方法，其特征在于，所述的方法包括以下步骤：(1)基于防火墙、防火墙统一管理平台、防火墙配置备份平台以及离线导入方式获取防火墙配置；(2)解析获取到的防火墙策略数据、防火墙区域数据以及防火墙接口数据，以实现防火墙配置的解析处理；(3)基于解析后的数据进行安全域的生成处理，并通过所述的防火墙区域数据以及防火墙接口数据得到安全域数据；(4)根据所述的防火墙策略数据以及安全域数据，生成安全域访问矩阵；(5)基于安全域间互访的管理要求以及所述的安全域访问矩阵，形成合规矩阵；(6)通过防火墙策略、合规矩阵以及网络流量，进行防火墙策略合规性监测以及网络访问合规性监测的处理。2.根据权利要求1所述的基于网络流量和防火墙配置实现违规策略监测及访问的方法，其特征在于，所述的步骤(1)具体为：通过直连防火墙读取配置数据，通过防火墙统一管理平台获取配置数据，通过防火墙配置备份平台获取配置数据，以及通过离线导入方式获取配置数据，其中，所述的通过直连防火墙读取配置数据，具体为：通过SSH连接防火墙，并读取防火墙的配置数据；所述的通过防火墙统一管理平台获取配置数据，具体为：通过用户已有的防火墙统一管理平台的接口，读取到被该平台统一管理的防火墙的配置数据；所述的通过防火墙配置备份平台获取配置数据，具体为：通过FTP、SFTP、API接口形式连接到用户已有的防火墙配置备份平台，并读取防火墙配置备份平台内的最新的防火墙配置备份文件，从而获取到防火墙配置；所述的离线导入方式，具体为：用户将已导出的防火墙配置文件，导入到系统中。3.根据权利要求1所述的基于网络流量和防火墙配置实现违规策略监测及访问的方法，其特征在于，所述的步骤(2)具体为：解析所述的防火墙策略数据，包括对防火墙配置中访问控制策略部分进行解析，解析到策略中的源区域、目的区域、源IP、目的IP、目的端口数据；解析所述的防火墙区域数据，包括对防火墙配置中的区域配置部分进行解析，解析得到防火墙内的区域的名称以及区域与防火墙接口之间的对应关系；解析所述的防火墙接口数据，包括对防火墙配置中的接口配置部分进行解析，解析得到防火墙接口的IP地址和路由数据。4.根据权利要求3所述的基于网络流量和防火墙配置实现违规策略监测及访问的方法，其特征在于，所述的步骤(3)具体为：基于解析后得到的数据，进行防火墙区域路由数据的生成、区域数据聚合以及安全域数据的生成处理，从而生成安全域；其中，生成所述的防火墙区域路由数据，包括将解析到的防火墙区域数据和与该区域相关联的防火墙接口的路由数据进行关联，得到防火墙区域的路由数据，并使用该路由数据作为该区域的网段规则；所述的区域数据聚合，包括基于网段将获取到的所有防火墙的区域数据进行去重合
并，如果不同区域的网段数据存在包含的关系，则以子网掩码位数最长的区域为准，得到聚合后的所有区域的网段数据，并结合防火墙名称和区域名称，得到总体的聚合后的区域数据；生成所述的安全域数据，包括使用得到的聚合后的区域数据，将其存储到数据库内，并形成区域数据的列表，该列表具有修改和确认功能，如果生成的区域数据内容有误，则进行人工修正，如果生成的区域数据无误，则经过确认后即可成为安全域数据。5.根据权利要求4所述的基于网络流量和防火墙配置实现违规策略监测及访问的方法，其特征在于，所述的步骤(4)具体包括以下步骤：(4.1)基于上述步骤，进行防火墙策略与安全域关联的处理；(4.2)基于关联后得到的数据，生成安全域间访问矩阵。6.根据权利要求5所述的基于网络流量和防火墙配置实现违规策略监测及访问的方法，其特征在于，所述的步骤(4.1)具体为：将防火墙策略数据得到的每一条策略数据中的源IP、目的IP分别提取出来，并与安全域数据中的网段规则进行比对关联，得到一组安全域到安全域的访问列表，并将策略中的目的端口作为目的安全域的端口，从而得到一个源安全域、目的安全域、目的端口的三元组的安全域互访数据列表。7.根据权利要求6所述的基于网络流量和防火墙配置实现违规策略监测及访问的方法，其特征在于，所述的步骤(4.2)具体为：将所述的步骤(4.1)得到的安全域互访数据列表进行聚合，首先使用所述的源安全域、目的安全域进行聚合，将相同源安全域和目的安全域聚合成一条，所述的目的端口为被聚合对象的所有条目的端口形成一个目的端口列表，并对目的端口列表中的端口进行去重，得到一个去重后的目的端口列表，最终得到一个安全域间互访的数据，形成安全域访问矩阵。8.根据权利要求7所述的基于网络流量和防火墙配置实现违规策略监测及访问的方法，其特征在于，所述的步骤(5)包括：基于安全域间互访的管理要求进行安全域访问矩阵的修正以及合规矩阵的实时保存处理，其中，所述的安全域访问矩阵的修正，具体为：通过所述的安全域访问矩阵与用户关于安全域间互访的管理要求进行比对，对与管理要求不相符的条目进行修正；所述的合规矩阵的实时保存，具体为：在对所述的...

【专利技术属性】
技术研发人员：江克飞，董坤，张灿丽，成名，邢呈发，刘帅，
申请(专利权)人：北京云澈科技有限公司，
类型：发明
国别省市：