防火墙策略管理方法、装置、计算机设备和存储介质制造方法及图纸

本申请涉及信息安全技术领域，特别是涉及一种防火墙策略管理方法、装置、计算机设备和存储介质。方法包括：获取防火墙设备对应的新增防火墙策略；在根据预设的高风险规则，以及新增防火墙策略是否具备授权工单，确定新增防火墙策略为高风险策略的情况下，建立新增防火墙策略对应的审批流程，并将审批流程发送至审批方；获取审批方的审批结果，并基于审批结果，确定新增防火墙策略的使用状态。本申请能够提高防火墙策略开通的安全性。高防火墙策略开通的安全性。高防火墙策略开通的安全性。

【技术实现步骤摘要】
防火墙策略管理方法、装置、计算机设备和存储介质


[0001]本申请涉及信息安全
，特别是涉及一种防火墙策略管理方法、装置、计算机设备和存储介质。

技术介绍

[0002]目前大型企业内部网络中的防火墙策略都是以防火墙自动化管理系统为主，同时结合部分复杂策略人工配置的方式来进行策略配置。
[0003]但是，在自动化管理系统出现逻辑误判、或者人工实施配置失误、或者人为未授权添加策略的情形下，可能会导致在防火墙设备上出现未授权策略的开通，未授权策略的开通可能会造成严重的数据泄露或安全攻击等问题，降低了防火墙配置的安全性，因此，亟需改进。

技术实现思路

[0004]基于此，有必要针对上述技术问题，提供一种能够提高防火墙策略开通安全性的防火墙策略管理方法、装置、计算机设备和存储介质。
[0005]第一方面，本申请提供了一种防火墙策略管理方法，该方法包括：
[0006]获取防火墙设备对应的新增防火墙策略；
[0007]在根据预设的高风险规则，以及新增防火墙策略是否具备授权工单，确定新增防火墙策略为高风险策略的情况下，建立新增防火墙策略对应的审批流程，并将审批流程发送至审批方；
[0008]获取审批方的审批结果，并基于审批结果，确定新增防火墙策略的使用状态。
[0009]在其中一个实施例中，根据预设的高风险规则，以及新增防火墙策略是否具备授权工单，确定新增防火墙策略为高风险策略，包括：
[0010]若识别到新增防火墙策略与预设的高风险规则匹配成功，则确定新增防火墙策略是否具备授权工单；
[0011]若不具备，则确定新增防火墙策略为高风险策略。
[0012]在其中一个实施例中，建立新增防火墙策略对应的审批流程，包括：
[0013]根据新增防火墙策略对应的发起方信息，确定至少一个审批方和各审批方之间的流转关系；
[0014]根据各审批方、各审批方之间的流转关系，以及对新增防火墙策略的审批内容，建立新增防火墙策略对应的审批流程。
[0015]在其中一个实施例中，根据新增防火墙策略对应的发起方信息，确定至少一个审批方和各审批方之间的流转关系，包括：
[0016]根据新增防火墙策略中的源地址，从人员权限系统中获取新增防火墙策略对应的发起方信息；
[0017]根据发起方信息，确定至少一个审批方和各审批方之间的流转关系。
[0018]在其中一个实施例中，根据发起方信息，确定至少一个审批方和各审批方之间的流转关系，包括：
[0019]根据发起方信息中发起方的安全等级和/或发起方所属部门的部门组织关系，确定至少一个审批方以及各审批方之间的流转关系。
[0020]在其中一个实施例中，获取防火墙设备对应的新增防火墙策略，包括：
[0021]基于防火墙设备对应的当前防火墙策略和历史防火墙策略，确定防火墙设备对应的新增防火墙策略。
[0022]在其中一个实施例中，识别到新增防火墙策略与预设的高风险规则匹配成功，包括：
[0023]提取新增防火墙策略中的新增策略元素，并将新增策略元素与预设的高风险规则进行匹配；其中，策略元素至少包括源地址、目的地址、源端口、目的端口和协议类型；
[0024]若新增策略元素与高风险规则进行匹配，则确定识别到新增防火墙策略与预设的高风险规则匹配成功。
[0025]第二方面，本申请还提供了一种防火墙策略管理装置，该装置包括：
[0026]获取模块，用于获取防火墙设备对应的新增防火墙策略；
[0027]创建模块，用于在根据预设的高风险规则，以及新增防火墙策略是否具备授权工单，确定新增防火墙策略为高风险策略的情况下，建立新增防火墙策略对应的审批流程，并将审批流程发送至审批方；
[0028]审批模块，用于获取审批方的审批结果，并基于审批结果，确定新增防火墙策略的使用状态。
[0029]第三方面，本申请还提供了一种计算机设备，该计算机设备包括存储器和处理器，存储器存储有计算机程序，处理器执行计算机程序时实现以下步骤：
[0030]获取防火墙设备对应的新增防火墙策略；
[0031]在根据预设的高风险规则，以及新增防火墙策略是否具备授权工单，确定新增防火墙策略为高风险策略的情况下，建立新增防火墙策略对应的审批流程，并将审批流程发送至审批方；
[0032]获取审批方的审批结果，并基于审批结果，确定新增防火墙策略的使用状态。
[0033]第四方面，本申请还提供了一种计算机可读存储介质，该计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现以下步骤：
[0034]获取防火墙设备对应的新增防火墙策略；
[0035]在根据预设的高风险规则，以及新增防火墙策略是否具备授权工单，确定新增防火墙策略为高风险策略的情况下，建立新增防火墙策略对应的审批流程，并将审批流程发送至审批方；
[0036]获取审批方的审批结果，并基于审批结果，确定新增防火墙策略的使用状态。
[0037]第五方面，本申请还提供了一种计算机程序产品，该计算机程序产品包括计算机程序，该计算机程序被处理器执行时实现以下步骤：
[0038]获取防火墙设备对应的新增防火墙策略；
[0039]在根据预设的高风险规则，以及新增防火墙策略是否具备授权工单，确定新增防火墙策略为高风险策略的情况下，建立新增防火墙策略对应的审批流程，并将审批流程发
送至审批方；
[0040]获取审批方的审批结果，并基于审批结果，确定新增防火墙策略的使用状态。
[0041]上述防火墙策略管理方法、装置、计算机设备和存储介质，通过检查防火墙设备上的新增防火墙策略，可以对防火墙设备的上防火墙策略及时地进行安全性检查；在安全性检查的过程中，通过高风险规则对新增防火墙策略进行初步筛选(一次筛选)，并基于是否具备授权工单这一条件进行二次筛选，且第一次筛选和第二次筛选均为防火墙自动化管理系统中的自动筛选步骤；经过上述一次筛选和二次筛选后，若确定新增防火墙策略为高风险策略，则建立新增防火墙策略对应的审批流程，基于该审批流程对该新增防火墙策略进行第三次审批，第三次审批的目的是对存在高风险(即符合高风险规则)且未具备授权工单的防火墙策略进行针对性审批，并基于审批结果确定该新增防火墙策略的使用状态；其中，第三次审批作为独立于防火墙自动化管理系统的外部审批步骤，可以对防火墙自动化管理系统中的自动筛选步骤进行补充，即对防火墙自动化管理系统中的策略开通场景提供了尽早发现机制和事后补救机制，相比于传统技术，在不需要对整个防火墙自动化管理系统进行大幅度调整的情形下，提高了防火墙策略部署的安全性。
附图说明
[0042]图1为一个实施例中防火墙策略管理方法的应用环境图；
[0043]图2为一个实施例中防火墙策略管理方法的流程示意图；
[0044]图3为一个实施例中防火墙策略解析模块和高风险规则管理模块的示意图；...

【技术保护点】

【技术特征摘要】
1.一种防火墙策略管理方法，其特征在于，所述方法包括：获取防火墙设备对应的新增防火墙策略；在根据预设的高风险规则，以及所述新增防火墙策略是否具备授权工单，确定所述新增防火墙策略为高风险策略的情况下，建立所述新增防火墙策略对应的审批流程，并将所述审批流程发送至审批方；获取所述审批方的审批结果，并基于所述审批结果，确定所述新增防火墙策略的使用状态。2.根据权利要求1所述的方法，其特征在于，所根据预设的高风险规则，以及所述新增防火墙策略是否具备授权工单，确定所述新增防火墙策略为高风险策略，包括：若识别到所述新增防火墙策略与预设的高风险规则匹配成功，则确定所述新增防火墙策略是否具备授权工单；若不具备，则确定所述新增防火墙策略为高风险策略。3.根据权利要求1所述的方法，其特征在于，所述建立所述新增防火墙策略对应的审批流程，包括：根据所述新增防火墙策略对应的发起方信息，确定至少一个审批方和各审批方之间的流转关系；根据各审批方、各审批方之间的流转关系，以及对所述新增防火墙策略的审批内容，建立所述新增防火墙策略对应的审批流程。4.根据权利要求3所述的方法，其特征在于，所述根据所述新增防火墙策略对应的发起方信息，确定至少一个审批方和各审批方之间的流转关系，包括：根据所述新增防火墙策略中的源地址，从人员权限系统中获取所述新增防火墙策略对应的发起方信息；根据所述发起方信息，确定至少一个审批方和各审批方之间的流转关系。5.根据权利要求4所述的方法，其特征在于，所述根据所述发起方信息，确定至少一个审批方和各审批方之间的流转关系，包括：根据所述发起方信息中发起方的安全等级和/或发起方所属部门的部门组织关系，确定至少一...

【专利技术属性】
技术研发人员：李静晨，袁阳，王娟娟，赵斌，
申请(专利权)人：中国工商银行股份有限公司，
类型：发明
国别省市：