异构防火墙策略集中管理的方法、装置和系统与流程

技术特征：
1.异构防火墙策略集中管理的方法，其特征在于：包括如下步骤：s1、引入智能运维管理平台nspm的专用工具；s2、将整网设备、安全策略及其访问控制规则映射为可视化的虚拟网络拓扑；s3、针对混合网络环境中，跨厂商、多元化异构的防火墙策略，获取策略配置数据并进行集中管理；s4、通过预置规则发现策略中的问题策略和风险策略，对问题策略和风险策略进行清除及优化；s5、新增或变更策略配置时，接收策略变更的业务申请，基于变更需求计算与查询变更路径，并提前进行风险评估以规避错误配置。2.根据权利要求1所述的异构防火墙策略集中管理的方法，其特征在于：所述s3中，针对混合网络环境中，跨厂商、多元化异构的防火墙策略进行集中管理的具体方法包括如下步骤：s3.1、通过在线采集方式，定期抓取异构防火墙、路由交换、负载均衡、vpn等设备的策略配置文件和路由表信息；s3.2、通过归一化方式，将在线采集到的数据解析存储到统一的安全策略模型中。3.异构防火墙策略集中管理的装置，该装置用于支持权利要求1-2任一所述的异构防火墙策略集中管理的方法步骤的实现过程，其特征在于：包括整网设备(1)、业务操作平台(2)、数据库(3)和安全运营管理中心(4)；所述整网设备(1)通过信号线与所述业务操作平台(2)信号连接，所述业务操作平台(2)通过有线/无线的方式与所述数据库(3)通信连接，所述安全运营管理中心(4)通过有线/无线的方式同时与所述整网设备(1)、所述业务操作平台(2)及所述数据库(3)通讯连接。4.根据权利要求3所述的异构防火墙策略集中管理的装置，其特征在于：所述整网设备(1)包括但不限于防火墙(11)、路由器(12)、交换机(13)和负载均衡(14)；防火墙(11)和/或所述路由器(12)和/或所述交换机(13)和/或所述负载均衡(14)依次通过信号线信号连接。5.根据权利要求3所述的异构防火墙策略集中管理的装置，其特征在于：所述业务操作平台(2)包括通过信号线信号连接的处理器(21)和存储器(22)，所述存储器(22)内装载有nspm专用工具(23)，所述处理器(21)驱动所述nspm专用工具(23)执行相应的程序指令。6.根据权利要求3所述的异构防火墙策略集中管理的装置，其特征在于：所述数据库(3)包括但不限于风险规则库(31)、配置文件库(32)和安全策略库(33)；所述风险规则库(31)、所述配置文件库(32)与所述安全策略库(33)依次通讯连接且独立并存。7.异构防火墙策略集中管理的系统，该系统装载于权利要求3-6任一所述的异构防火墙策略集中管理的装置内，同时该系统的运行过程用于实现权利要求1-2任一所述的异构防火墙策略集中管理的方法的步骤，其特征在于：包括混合集中管理单元(100)、安全风险管理单元(200)、策略变更管理单元(300)和应用连接管理单元(400)；所述混合集中管理单元(100)、所述安全风险管理单元(200)与所述策略变更管理单元(300)依次通过网络通信连接，所述应用连接管理单元(400)与所述混合集中管理单元(100)通过网络通信连接；其中：所述混合集中管理单元(100)用于针对混合网络环境下形态更加多样化的网络防火墙，引入专用工具来集中管理混合网络的访问控制策略；
所述安全风险管理单元(200)用于结合规则库的匹配技术，对防火墙配置策略中存在的各类风险及脆弱性进行分析管理；所述策略变更管理单元(300)用于将变更需求翻译成可执行的命令行脚本，实现策略变更业务的全流程闭环管理，并从效率提升和风险控制方面实现安全运维能力的整体提升；所述应用连接管理单元(400)用于通过对网络与安全设备策略的关联建模，提供网络中应用端到端的可视化连接详情，将资产间的互访关系，支撑故障排查、综合风险评估等切实反馈给运维人员。8.根据权利要求1所述的异构防火墙策略集中管理的系统，其特征在于：所述混合集中管理单元(100)包括策略配置管理模块(101)、策略风险评估模块(102)、问题策略清理模块(103)和优化策略配置模块(104)；所述策略配置管理模块(101)的信号输出端与所述策略风险评估模块(102)的信号输入端连接，所述策略风险评估模块(102)的信号输出端与所述问题策略清理模块(103)的信号输入端连接，所述问题策略清理模块(103)的信号输出端与所述优化策略配置模块(104)的信号输入端连接；其中：所述策略配置管理模块(101)用于采集不同品牌、不同种类的网络访问控制设备配置，提取策略相关数据，将标准化数据提供给上层计算模块，同时反向将配置脚本下发至设备；所述策略风险评估模块(102)用于通过预置的大量策略风险检测规则，根据安全域间访问控制规则，针对安全策略进行合规性检查，实现垃圾策略与风险策略的检查，以降低策略配置带来的安全风险；所述问题策略清理模块(103)用于对被检测出存在风险等情况的垃圾策略或问题策略进行清理操作，并定期对存量策略规则的清理优化，以提升网络安全等级；所述优化策略配置模块(104)通过风险检测与问题清除，实现策略规则最小化与精细化的平衡，为运维人员提供策略清理和优化的依据，提升设备运行效率。9.根据权利要求1所述的异构防火墙策略集中管理的系统，其特征在于：所述安全风险管理单元(200)包括域与拓扑管理模块(201)、访问控制基线模块(202)和网暴风险管理模块(203)；所述域与拓扑管理模块(201)、所述访问控制基线模块(202)与所述网暴风险管理模块(203)依次通过网络通信连接且并列运行；其中：所述域与拓扑管理模块(201)用于通过实现全局访问控制策略关联分析建模，自动生成安全拓扑；所述访问控制基线模块(202)用于根据安全域间访问控制规则设置区域之间的访问控制基线；所述网暴风险管理模块(203)用于以某一主机或主机组为对象，自动化实现网络暴露路径与暴露风险的分析。10.根据权利要求1所述的异构防火墙策略集中管理的系统，其特征在于：所述策略变更管理单元(300)包括业务工单管理模块(301)、计算仿真路径模块(302)、合规风险分析模块(303)和策略开通验证模块(304)；所述业务工单管理模块(301)的信号输出端与所述计算仿真路径模块(302)的信号输入端连接，所述计算仿真路径模块(302)的信号输出端与所述合规风险分析模块(303)的信号输入端连接，所述合规风险分析模块(303)的信号输出端与所述策略开通验证模块(304)的信号输入端连接；其中：
所述业务工单管理模块(301)用于接受业务部门的策略变更申请，并对工单执行进展进行监控，对执行结果实行记录与审计；所述计算仿真路径模块(302)用于基于策略变更工单的需求对变更路径进行计算与查询，并自动找出需要开通的路径与需要进行策略配置变更的目标设备；所述合规风险分析模块(303)用于分析新增策略规则与现有策略规则是否存在冲突关系，避免出现冗余与隐藏规则，同时分析新增策略规则是否符合域间安全基线与风险策略规则；所述策略开通验证模块(304)用于依据路径仿真的计算结果，生成针对不同目标设备的策略变更配置脚本，并在将生成的配置脚本进行下发后，依据策略变更工单的路径开通要求，进行源到目的路径查询，以确认策略变更是否正确完成。

技术总结
本发明涉及通信安全技术领域，具体地说，涉及异构防火墙策略集中管理的方法、装置和系统。包括如下步骤：引入NSPM专用工具；将整网设备、安全策略及其访问控制规则映射为虚拟网络拓扑；获取策略配置数据并集中管理；通过预置规则对问题和风险策略进行清除优化；管理策略的新增或变更流程。本发明设计可以实现海量策略规则的快速优化清理，降低网络风险，同时降低网络访问控制设备的性能负载；基于网络安全基础架构建模分析生成网络安全拓扑，可以实现策略安全基线的设定与动态监控，实现网络暴露风险的可视化分析；可以确保新增策略满足合规管理要求与安全控制要求，实现访问控制策略的持续合规运维，并且大幅提升策略变更工作的效率。率。率。


技术研发人员：于芳永 李文皓 吴纪军
受保护的技术使用者：山东源鲁信息科技有限公司
技术研发日：2022.03.04
技术公布日：2022/6/1