异构防火墙策略集中管理的方法、装置和系统与流程

1.本发明涉及通信安全技术领域，具体地说，涉及异构防火墙策略集中管理的方法、装置和系统。


背景技术：

2.防火墙是最常见的网络安全防护设备，在各类金融机构的网络中有着广泛的部署。防火墙的基本功能是通过设置网络访问控制策略，收敛网络访问权限，落地最小授权原则，防止非授权访问，预防和减少网络风险。访问控制策略是防火墙的灵魂，是网络安全防御体系的基础，它设置的效果直接影响着防火墙的应用效果与网络安全防御的整体水平。如果一个网络的访问控制策略部署的不够好，即使拥有再先进的网络安全设备，攻击者都有可能通过最简单的方式实现非法入侵。当前，大多数金融机构的防火墙策略采用人工方式进行管理。随着网络规模的不断扩大与业务的频繁变更，策略规则的数量与日剧增、效果评估难于完成、合规性难于保证。目前，基于网络安全的需求，提出了防火墙策略精细化、集中化的管理要求，但无论对于用户单位还是测评机构，在复杂网络场景下，海量防火墙策略的分析已超出了人力所及，同时，因大量防火墙存在异构性、复杂性及动态性的固有特性，防火墙策略的精细化管理工作与测评工作均难于落地。鉴于此，我们提出了异构防火墙策略集中管理的方法、装置和系统。


技术实现要素：

3.本发明的目的在于提供异构防火墙策略集中管理的方法、装置和系统，以解决上述背景技术中提出的问题。
4.为实现上述技术问题的解决，本发明的目的之一在于，提供了异构防火墙策略集中管理的方法，包括如下步骤：
5.s1、引入智能运维管理平台nspm的专用工具；
6.s2、将整网设备、安全策略及其访问控制规则映射为可视化的虚拟网络拓扑；
7.s3、针对混合网络环境中，跨厂商、多元化异构的防火墙策略，获取策略配置数据并进行集中管理；
8.s4、通过预置规则发现策略中的问题策略和风险策略，对问题策略和风险策略进行清除及优化；
9.s5、新增或变更策略配置时，接收策略变更的业务申请，基于变更需求计算与查询变更路径，并提前进行风险评估以规避错误配置。
10.作为本技术方案的进一步改进，所述s3中，针对混合网络环境中，跨厂商、多元化异构的防火墙策略进行集中管理的具体方法包括如下步骤：
11.s3.1、通过在线采集方式，定期抓取异构防火墙、路由交换、负载均衡、vpn等设备的策略配置文件和路由表信息；
12.s3.2、通过归一化方式，将在线采集到的数据解析存储到统一的安全策略模型中。
13.本发明的目的之二在于，提供了异构防火墙策略集中管理的装置，该装置用于支持上述所述的异构防火墙策略集中管理的方法步骤的实现过程，包括整网设备、业务操作平台、数据库和安全运营管理中心；所述整网设备通过信号线与所述业务操作平台信号连接，所述业务操作平台通过有线/无线的方式与所述数据库通信连接，所述安全运营管理中心通过有线/无线的方式同时与所述整网设备、所述业务操作平台及所述数据库通讯连接。
14.作为本技术方案的进一步改进，所述整网设备包括但不限于防火墙、路由器、交换机和负载均衡；防火墙和/或所述路由器和/或所述交换机和/或所述负载均衡依次通过信号线信号连接。
15.作为本技术方案的进一步改进，所述业务操作平台包括通过信号线信号连接的处理器和存储器，所述存储器内装载有nspm专用工具，所述处理器驱动所述nspm专用工具执行相应的程序指令。
16.作为本技术方案的进一步改进，所述数据库包括但不限于风险规则库、配置文件库和安全策略库；所述风险规则库、所述配置文件库与所述安全策略库依次通讯连接且独立并存。
17.本发明的目的之三在于，提供了异构防火墙策略集中管理的系统，该系统装载于上述所述的异构防火墙策略集中管理的装置内，同时该系统的运行过程用于实现上述所述的异构防火墙策略集中管理的方法的步骤，包括混合集中管理单元、安全风险管理单元、策略变更管理单元和应用连接管理单元；所述混合集中管理单元、所述安全风险管理单元与所述策略变更管理单元依次通过网络通信连接，所述应用连接管理单元与所述混合集中管理单元通过网络通信连接；其中：
18.所述混合集中管理单元用于针对混合网络环境下形态更加多样化的网络防火墙，引入专用工具来集中管理混合网络的访问控制策略；
19.所述安全风险管理单元用于结合规则库的匹配技术，对防火墙配置策略中存在的各类风险及脆弱性进行分析管理；
20.所述策略变更管理单元用于将变更需求翻译成可执行的命令行脚本，实现策略变更业务的全流程闭环管理，并从效率提升和风险控制方面实现安全运维能力的整体提升；
21.所述应用连接管理单元用于通过对网络与安全设备策略的关联建模，提供网络中应用端到端的可视化连接详情，将资产间的互访关系，支撑故障排查、综合风险评估等切实反馈给运维人员。
22.作为本技术方案的进一步改进，所述混合集中管理单元包括策略配置管理模块、策略风险评估模块、问题策略清理模块和优化策略配置模块；所述策略配置管理模块的信号输出端与所述策略风险评估模块的信号输入端连接，所述策略风险评估模块的信号输出端与所述问题策略清理模块的信号输入端连接，所述问题策略清理模块的信号输出端与所述优化策略配置模块的信号输入端连接；其中：
23.所述策略配置管理模块用于采集不同品牌、不同种类的网络访问控制设备配置，提取策略相关数据，将标准化数据提供给上层计算模块，同时反向将配置脚本下发至设备；具体地，策略配置管理模块可以通过ssh、telnet、https等方式登录到设备上进行配置采集，也可以通过api接口从设备上或cmdb中获取配置；之后，需要解析策略id、源地址对象、目的地址对象、服务、动作、生效时间、老化时间等策略相关数据，并基于标准化的格式进行
输出，使得采用不同语法的策略配置数据实现统一的、标准化的展示；策略配置管理模块需要支持不同品牌防火墙策略配置脚本模版的预置与自定义，以实现防火墙策略配置脚本自动生成与下发；为了实现安全拓扑的自动生成，策略配置管理模块还需要实现接口、ip、路由、nat等数据的解析。
24.所述策略风险评估模块用于通过预置的大量策略风险检测规则，根据安全域间访问控制规则，针对安全策略进行合规性检查，实现垃圾策略与风险策略的检查，以降低策略配置带来的安全风险；
25.所述问题策略清理模块用于对被检测出存在风险等情况的垃圾策略或问题策略进行清理操作，并定期对存量策略规则的清理优化，以提升网络安全等级；
26.所述优化策略配置模块通过风险检测与问题清除，实现策略规则最小化与精细化的平衡，为运维人员提供策略清理和优化的依据，提升设备运行效率。
27.其中，在策略优化清理模块中，需要对标准化的策略数据进行计算，检查策略规则之间的相互关系，从而发现隐藏策略、冗余策略与可合并策略，并且通过某些字段的分析发现空策略、含any策略、过期策略，实现垃圾策略与风险策略的检查，并提供处置建议，优化策略规则；对于一些较为深层的问题策略，不能通过策略配置的分析实现，需要将策略配置数据与会话日志数据进行比对，在一段时间周期内统计策略配置中源地址、目的地址、服务三个对象的命中率与命中细节，实现宽松策略与长期不命中策略的分析。
28.作为本技术方案的进一步改进，所述安全风险管理单元包括域与拓扑管理模块、访问控制基线模块和网暴风险管理模块；所述域与拓扑管理模块、所述访问控制基线模块与所述网暴风险管理模块依次通过网络通信连接且并列运行；其中：
29.所述域与拓扑管理模块用于通过实现全局访问控制策略关联分析建模，自动生成安全拓扑；其中，安全拓扑与传统基于snmp的物理拓扑不同，基于snmp的网络拓扑主要描述设备的物理状态与物理连接关系，而安全拓扑描述的是网络对象间的逻辑连接关系与访问控制关系。
30.所述访问控制基线模块用于根据安全域间访问控制规则设置区域之间的访问控制基线；其中，访问控制基线信息至少包括源域、源地址、目的域、目的地址、协议、端口、动作等信息，支持黑白名单、高危端口、病毒端口的自定义，支持定期依据访问控制基线对网络访问控制策略进行检查，发现违规策略。
31.所述网暴风险管理模块用于以某一主机或主机组为对象，自动化实现网络暴露路径与暴露风险的分析。
32.具体地，从网络访问关系与安全路径的角度描述其对外的暴露情况，可以帮助用户及时了解某些重要主机与主机组网络暴露面的大小、风险的高低，辅助用户进行暴露面收敛与暴露路径的安全加固。
33.作为本技术方案的进一步改进，所述策略变更管理单元包括业务工单管理模块、计算仿真路径模块、合规风险分析模块和策略开通验证模块；所述业务工单管理模块的信号输出端与所述计算仿真路径模块的信号输入端连接，所述计算仿真路径模块的信号输出端与所述合规风险分析模块的信号输入端连接，所述合规风险分析模块的信号输出端与所述策略开通验证模块的信号输入端连接；其中：
34.所述业务工单管理模块用于接受业务部门的策略变更申请，并对工单执行进展进
行监控，对执行结果实行记录与审计；
35.所述计算仿真路径模块用于基于策略变更工单的需求对变更路径进行计算与查询，并自动找出需要开通的路径与需要进行策略配置变更的目标设备；
36.所述合规风险分析模块用于分析新增策略规则与现有策略规则是否存在冲突关系，避免出现冗余与隐藏规则，同时分析新增策略规则是否符合域间安全基线与风险策略规则；
37.所述策略开通验证模块用于依据路径仿真的计算结果，生成针对不同目标设备的策略变更配置脚本，并在将生成的配置脚本进行下发后，依据策略变更工单的路径开通要求，进行源到目的路径查询，以确认策略变更是否正确完成。
38.本发明的目的之四在于，提供了一种异构防火墙策略集中管理系统的运行装置，包括处理器、存储器以及存储在存储器中并在处理器上运行的计算机程序，处理器用于执行计算机程序时实现上述的异构防火墙策略集中管理的系统及方法的步骤。
39.本发明的目的之五在于，提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述任一的异构防火墙策略集中管理的系统及方法的步骤。
40.与现有技术相比，本发明的有益效果：
41.1.该异构防火墙策略集中管理的方法、装置和系统中，通过落地防火墙策略的精细化与集中化管理，可以实现海量策略规则的快速优化清理，降低网络风险，同时降低网络访问控制设备的性能负载；
42.2.该异构防火墙策略集中管理的方法、装置和系统中，基于网络安全基础架构建模分析生成网络安全拓扑，可以实现策略安全基线的设定与动态监控，实现网络暴露风险的可视化分析，帮助用户收敛网络暴露面、降低网络风险；
43.3.该异构防火墙策略集中管理的方法、装置和系统中，通过实现防火墙策略变更全流程自动化闭环管理，可以确保新增策略满足合规管理要求与安全控制要求，实现访问控制策略的持续合规运维，并且大幅提升策略变更工作的效率。
附图说明
44.图1为本发明中管理方法的整体流程图；
45.图2为本发明中管理方法的局部流程图；
46.图3为本发明中示例性的管理装置结构框图；
47.图4为本发明中管理系统的整体装置结构图；
48.图5为本发明中管理系统的局部装置结构图之一；
49.图6为本发明中管理系统的局部装置结构图之二；
50.图7为本发明中管理系统的局部装置结构图之三；
51.图8为本发明中示例性的电子计算机装置结构示意图。
52.图中：
53.1、整网设备；11、防火墙；12、路由器；13、交换机；14、负载均衡；
54.2、业务操作平台；21、处理器；22、存储器；23、nspm专用工具；
55.3、数据库；31、风险规则库；32、配置文件库；33、安全策略库；
56.4、安全运营管理中心；
57.100、混合集中管理单元；101、策略配置管理模块；102、策略风险评估模块；103、问题策略清理模块；104、优化策略配置模块；
58.200、安全风险管理单元；201、域与拓扑管理模块；202、访问控制基线模块；203、网暴风险管理模块；
59.300、策略变更管理单元；301、业务工单管理模块；302、计算仿真路径模块；303、合规风险分析模块；304、策略开通验证模块；
60.400、应用连接管理单元。
具体实施方式
61.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
62.实施例1
63.如图1-图8所示，本实施例提供了异构防火墙策略集中管理的方法、装置和系统，具体分为方法、装置及系统三个方面。
64.如图1-2所示，本实施例提供了异构防火墙策略集中管理的方法，包括如下步骤：
65.s1、引入智能运维管理平台nspm的专用工具；
66.s2、将整网设备、安全策略及其访问控制规则映射为可视化的虚拟网络拓扑；
67.s3、针对混合网络环境中，跨厂商、多元化异构的防火墙策略，获取策略配置数据并进行集中管理；
68.s4、通过预置规则发现策略中的问题策略和风险策略，对问题策略和风险策略进行清除及优化；
69.s5、新增或变更策略配置时，接收策略变更的业务申请，基于变更需求计算与查询变更路径，并提前进行风险评估以规避错误配置。
70.其中，混合网络环境下，多样化形态的网络防火墙包括但不限于专用的物理设备、虚拟设备、嵌入式防火墙模块、iaas平台提供的防火墙控制系统等。
71.具体地，目前nspm产品厂商主要包括国外的skybox、redseal、firemon、algosec和国内的安博通等。
72.同时，在产品功能完善性和成熟性方面，skybox、redseal、安博通处于第一梯队，firemon、algosec处于第二梯队。第一梯队厂商在数据基础和应用功能上相对完善，尤其是在路由配置、地址映射配置等数据方面；第二梯队主要着眼于防火墙策略的检查和维护。
73.进一步地，s3中，针对混合网络环境中，跨厂商、多元化异构的防火墙策略进行集中管理的具体方法包括如下步骤：
74.s3.1、通过在线采集方式，定期抓取异构防火墙、路由交换、负载均衡、vpn等设备的策略配置文件和路由表信息；
75.s3.2、通过归一化方式，将在线采集到的数据解析存储到统一的安全策略模型中。
76.如图3所示，本实施例还提供了异构防火墙策略集中管理的装置，该装置用于支持
上述的异构防火墙策略集中管理的方法步骤的实现过程，包括整网设备1、业务操作平台2、数据库3和安全运营管理中心4；整网设备1通过信号线与业务操作平台2信号连接，业务操作平台2通过有线/无线的方式与数据库3通信连接，安全运营管理中心4通过有线/无线的方式同时与整网设备1、业务操作平台2及数据库3通讯连接。
77.进一步地，整网设备1包括但不限于防火墙11、路由器12、交换机13和负载均衡14；防火墙11和/或路由器12和/或交换机13和/或负载均衡14依次通过信号线信号连接。
78.进一步地，业务操作平台2包括通过信号线信号连接的处理器21和存储器22，存储器22内装载有nspm专用工具23，处理器21驱动nspm专用工具23执行相应的程序指令。
79.进一步地，数据库3包括但不限于风险规则库31、配置文件库32和安全策略库33；风险规则库31、配置文件库32与安全策略库33依次通讯连接且独立并存。
80.如图4-图7所示，本实施例还提供了异构防火墙策略集中管理的系统，该系统装载于上述的异构防火墙策略集中管理的装置内，同时该系统的运行过程用于实现上述的异构防火墙策略集中管理的方法的步骤，包括混合集中管理单元100、安全风险管理单元200、策略变更管理单元300和应用连接管理单元400；混合集中管理单元100、安全风险管理单元200与策略变更管理单元300依次通过网络通信连接，应用连接管理单元400与混合集中管理单元100通过网络通信连接；其中：
81.混合集中管理单元100用于针对混合网络环境下形态更加多样化的网络防火墙，引入专用工具来集中管理混合网络的访问控制策略；
82.安全风险管理单元200用于结合规则库的匹配技术，对防火墙配置策略中存在的各类风险及脆弱性进行分析管理；
83.策略变更管理单元300用于将变更需求翻译成可执行的命令行脚本，实现策略变更业务的全流程闭环管理，并从效率提升和风险控制方面实现安全运维能力的整体提升；
84.应用连接管理单元400用于通过对网络与安全设备策略的关联建模，提供网络中应用端到端的可视化连接详情，将资产间的互访关系，支撑故障排查、综合风险评估等切实反馈给运维人员。
85.进一步地，混合集中管理单元100包括策略配置管理模块101、策略风险评估模块102、问题策略清理模块103和优化策略配置模块104；策略配置管理模块101的信号输出端与策略风险评估模块102的信号输入端连接，策略风险评估模块102的信号输出端与问题策略清理模块103的信号输入端连接，问题策略清理模块103的信号输出端与优化策略配置模块104的信号输入端连接；其中：
86.策略配置管理模块101用于采集不同品牌、不同种类的网络访问控制设备配置，提取策略相关数据，将标准化数据提供给上层计算模块，同时反向将配置脚本下发至设备；
87.策略风险评估模块102用于通过预置的大量策略风险检测规则，根据安全域间访问控制规则，针对安全策略进行合规性检查，实现垃圾策略与风险策略的检查，以降低策略配置带来的安全风险；
88.问题策略清理模块103用于对被检测出存在风险等情况的垃圾策略或问题策略进行清理操作，并定期对存量策略规则的清理优化，以提升网络安全等级；
89.优化策略配置模块104通过风险检测与问题清除，实现策略规则最小化与精细化的平衡，为运维人员提供策略清理和优化的依据，提升设备运行效率。
90.其中，策略配置管理模块101可以通过ssh、telnet、https等方式登录到设备上进行配置采集，也可以通过api接口从设备上或cmdb中获取配置；之后，需要解析策略id、源地址对象、目的地址对象、服务、动作、生效时间、老化时间等策略相关数据，并基于标准化的格式进行输出，使得采用不同语法的策略配置数据实现统一的、标准化的展示；策略配置管理模块101需要支持不同品牌防火墙策略配置脚本模版的预置与自定义，以实现防火墙策略配置脚本自动生成与下发；另外，为了实现安全拓扑的自动生成，策略配置管理模块还需要实现接口、ip、路由、nat等数据的解析。
91.具体运行过程中，在开通或变更策略时都极易产生风险配置和不合规问题；通过预置大量的策略风险检测规则，可以覆盖配置不当、域间违规、高危端口开放等多个维度；根据安全域间访问控制规则，设置区域间的访问控制基线，从而能够针对安全策略的五元组信息进行合规性检查，帮助运维人员最大限度减少策略配置带来的安全风险。
92.同时，值得说明的是，防火墙由于日积月累、业务变更等原因会形成很多垃圾策略，防护效果随之降低。具体地，在策略风险评估模块102、问题策略清理模块103和优化策略配置模块104中，需要对标准化的策略数据进行计算，将配置文件中的安全策略与其他策略逐一进行比对分析，检查策略规则之间的相互关系，如包含与被包含，从而发现隐藏策略、冗余策略与可合并策略，并且通过某些字段的分析发现空策略、含any策略、过期策略，实现垃圾策略与风险策略的检查，并提供处置建议，优化策略规则；对于一些较为深层的问题策略，不能通过策略配置的分析实现，需要将策略配置数据与会话日志数据进行比对，在一段时间周期内统计策略配置中源地址、目的地址、服务三个对象的命中率与命中细节，实现宽松策略与长期不命中策略的分析。
93.进一步地，安全风险管理单元200包括域与拓扑管理模块201、访问控制基线模块202和网暴风险管理模块203；域与拓扑管理模块201、访问控制基线模块202与网暴风险管理模块203依次通过网络通信连接且并列运行；其中：
94.域与拓扑管理模块201用于通过实现全局访问控制策略关联分析建模，自动生成安全拓扑；其中，安全拓扑与传统基于snmp的物理拓扑不同，基于snmp的网络拓扑主要描述设备的物理状态与物理连接关系，而安全拓扑描述的是网络对象间的逻辑连接关系与访问控制关系；
95.访问控制基线模块202用于根据安全域间访问控制规则设置区域之间的访问控制基线；其中，访问控制基线信息至少包括源域、源地址、目的域、目的地址、协议、端口、动作等信息，支持黑白名单、高危端口、病毒端口的自定义，支持定期依据访问控制基线对网络访问控制策略进行检查，发现违规策略；
96.网暴风险管理模块203用于以某一主机或主机组为对象，自动化实现网络暴露路径与暴露风险的分析。
97.具体地，从网络访问关系与安全路径的角度描述其对外的暴露情况，可以帮助用户及时了解某些重要主机与主机组网络暴露面的大小、风险的高低，辅助用户进行暴露面收敛与暴露路径的安全加固。
98.进一步地，策略变更管理单元300包括业务工单管理模块301、计算仿真路径模块302、合规风险分析模块303和策略开通验证模块304；业务工单管理模块301的信号输出端与计算仿真路径模块302的信号输入端连接，计算仿真路径模块302的信号输出端与合规风
险分析模块303的信号输入端连接，合规风险分析模块303的信号输出端与策略开通验证模块304的信号输入端连接；其中：
99.业务工单管理模块301用于接受业务部门的策略变更申请，并对工单执行进展进行监控，对执行结果实行记录与审计；
100.计算仿真路径模块302用于基于策略变更工单的需求对变更路径进行计算与查询，并自动找出需要开通的路径与需要进行策略配置变更的目标设备；
101.合规风险分析模块303用于分析新增策略规则与现有策略规则是否存在冲突关系，避免出现冗余与隐藏规则，同时分析新增策略规则是否符合域间安全基线与风险策略规则；
102.策略开通验证模块304用于依据路径仿真的计算结果，生成针对不同目标设备的策略变更配置脚本，并在将生成的配置脚本进行下发后，依据策略变更工单的路径开通要求，进行源到目的路径查询，以确认策略变更是否正确完成。
103.如图8所示，本实施例还提供了一种异构防火墙策略集中管理系统的运行装置，该装置包括处理器、存储器以及存储在存储器中并在处理器上运行的计算机程序。
104.处理器包括一个或一个以上处理核心，处理器通过总线与存储器相连，存储器用于存储程序指令，处理器执行存储器中的程序指令时实现上述的异构防火墙策略集中管理的系统及方法的步骤。
105.可选的，存储器可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随时存取存储器(sram)，电可擦除可编程只读存储器(eeprom)，可擦除可编程只读存储器(eprom)，可编程只读存储器(prom)，只读存储器(rom)，磁存储器，快闪存储器，磁盘或光盘。
106.此外，本发明还提供一种计算机可读存储介质，计算机可读存储介质存储有计算机程序，计算机程序被处理器执行时实现上述的异构防火墙策略集中管理的系统及方法的步骤。
107.可选的，本发明还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述各方面异构防火墙策略集中管理的系统及方法的步骤。
108.本领域普通技术人员可以理解，实现上述实施例的全部或部分步骤的过程可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，程序可以存储于计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。
109.以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的仅为本发明的优选例，并不用来限制本发明，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。