一種防火墻策略處理的方法及裝置制造方法
【專利摘要】本發(fā)明公開了一種防火墻策略處理的方法及裝置,其中該方法包括:采集防火墻策略,將所述防火墻策略進行標準化生成防火墻策略訪問控制列表;采集防火墻內(nèi)部網(wǎng)絡(luò)和內(nèi)外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)流量,獲得網(wǎng)絡(luò)流量配比統(tǒng)計數(shù)據(jù);根據(jù)所述網(wǎng)絡(luò)流量配比統(tǒng)計數(shù)據(jù)對所述防火墻策略訪問控制列表進行量化處理;根據(jù)預設(shè)的策略優(yōu)化規(guī)則對所述量化處理后的防火墻策略訪問控制列表進行策略優(yōu)化處理。本發(fā)明能夠彌補人工審核防火墻策略費時費力的缺陷,加強了防火墻變更策略的管理,避免了具有安全風險策略的建立,提高防火墻的安全性。
【專利說明】一種防火墻策略處理的方法及裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】,尤其涉及一種防火墻策略處理的方法及裝置。
【背景技術(shù)】
[0002]防火墻作為內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的保護屏障,對于防止外部入侵具有重要的作用。防火墻策略是指防火墻所要參照的規(guī)定、規(guī)則、要求和過濾條款。防火墻根據(jù)防火墻策略放開或阻斷經(jīng)過防火墻的數(shù)據(jù)流,防火墻策略在內(nèi)外網(wǎng)訪問控制中起著十分關(guān)鍵的作用。隨著網(wǎng)絡(luò)規(guī)模的增長和業(yè)務(wù)的不斷調(diào)整,防火墻上配置了大量的安全策略。這些策略中,可能包含了已經(jīng)不再使用的、冗余的、沖突的,甚至是違反安全規(guī)則的策略,這不僅增加了管理和維護成本,而且還可能成為安全隱患,因此對防火墻策略的審計非常有必要。
[0003]防火墻策略審計包含兩個方面:優(yōu)化審計和安全審計。優(yōu)化審計的目的是找出已經(jīng)發(fā)生的或潛在的重復或沖突策略,提供策略優(yōu)化的解決方案,以便防火墻管理員對策略進行管理,減少冗余策略,提高防火墻策略的匹配效率。安全審計的目的是找出過度授權(quán)或違反安全規(guī)則的策略,降低由此帶來的高風險事件發(fā)生的概率。
[0004]策略審計可以采用人工方式或者自動方式。對于策略數(shù)量很小的情形,人工方式尚可應(yīng)付,一旦策略數(shù)量達到一定規(guī)模,人工審計的效率就非常低。同時,在防火墻日常維護中,經(jīng)常有在未經(jīng)授權(quán)情況下被添加違反規(guī)范性及安全規(guī)定策略的情形發(fā)生,對防火墻策略變更缺乏及時有效的監(jiān)管及控制手段。防火墻策略的變更缺乏記錄和審計,給防火墻管理帶來較大困難和安全隱患。目前市場上多見對防火墻策略的分發(fā)、執(zhí)行和防火墻策略配置的方法與系統(tǒng)裝置,對防火墻策略本身內(nèi)容的自動審計方法還未見成熟信息。
[0005]采用人工審計防火墻策略,主要問題在于:第一,防火墻策略數(shù)量龐大,人工審計十分耗費人力。隨著網(wǎng)絡(luò)擴容及業(yè)務(wù)調(diào)整,防火墻上日積月累積累了大量安全策略,單臺防火墻上存在成百上千條策略的情形已很常見。采用人工方式對防火墻策略進行分析審計,將耗費大量的人力。第二,人工審計時效性差,不能及時發(fā)現(xiàn)異常、錯誤策略。防火墻上經(jīng)常有違反安全規(guī)則包含安全風險的的策略建立。由于防火墻規(guī)則量大而繁瑣,對新增防火墻策略很難做到及時有效的審核。
【發(fā)明內(nèi)容】
[0006]為了解決現(xiàn)有技術(shù)中的技術(shù)問題,本發(fā)明提出一種防火墻策略處理的方法及裝置,通過遵循策略審計規(guī)則進行策略審計,能夠及時高效發(fā)現(xiàn)防火墻中的冗余、沖突及違反安全規(guī)則的策略,并進行防火墻策略變更,同時派發(fā)工單給相關(guān)人員審核。本發(fā)明能夠彌補人工審核防火墻策略費時費力的缺陷,加強了防火墻變更策略的管理,避免了具有安全風險策略的建立,提高防火墻的安全性。
[0007]本發(fā)明的一個方面,提出了一種防火墻策略處理的方法,包括:采集防火墻策略,將所述防火墻策略進行標準化生成防火墻策略訪問控制列表;采集防火墻內(nèi)部網(wǎng)絡(luò)和內(nèi)外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)流量,獲得網(wǎng)絡(luò)流量配比統(tǒng)計數(shù)據(jù);根據(jù)所述網(wǎng)絡(luò)流量配比統(tǒng)計數(shù)據(jù)對所述防火墻策略訪問控制列表進行量化處理;根據(jù)預設(shè)的策略優(yōu)化規(guī)則對所述量化處理后的防火墻策略訪問控制列表進行策略優(yōu)化處理。
[0008]優(yōu)選的,所述根據(jù)預設(shè)的策略優(yōu)化規(guī)則對所述量化處理后的防火墻策略訪問控制列表進行策略優(yōu)化處理的步驟之后還包括:根據(jù)預設(shè)的安全審計規(guī)則對所述量化后的防火墻策略訪問控制列表進行安全審計處理。
[0009]優(yōu)選的,所述采集防火墻策略,將所述防火墻策略進行標準化生成防火墻策略訪問控制列表的步驟進一步包括:向Probe采集機下發(fā)防火墻策略采集命令;獲取防火墻策略原始結(jié)果并使用解析類語句對所述原始結(jié)果進行標準化;將所述標準化的防火墻策略作為Probe采集機的策略基線。
[0010]優(yōu)選的,所述將所述標準化的防火墻策略作為Probe采集機的策略基線的步驟之后還包括:按預設(shè)時間間隔重復上述步驟,更新所述策略基線。
[0011]優(yōu)選的,所述采集防火墻內(nèi)部網(wǎng)絡(luò)和內(nèi)外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)流量,獲得網(wǎng)絡(luò)流量配比統(tǒng)計數(shù)據(jù)的步驟進一步包括:根據(jù)預設(shè)周期采集防火墻內(nèi)部網(wǎng)絡(luò)和內(nèi)外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)流量;對所述網(wǎng)絡(luò)流量的配比進行統(tǒng)計,獲得網(wǎng)絡(luò)流量配比統(tǒng)計數(shù)據(jù)。
[0012]本發(fā)明的另一個方面,提出了一種防火墻策略處理的裝置,包括采集模塊、統(tǒng)計模塊、量化模塊和優(yōu)化模塊,其中:所述采集模塊,用于采集防火墻策略,將所述防火墻策略進行標準化生成防火墻策略訪問控制列表;所述統(tǒng)計模塊,用于采集防火墻內(nèi)部網(wǎng)絡(luò)和內(nèi)外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)流量,獲得網(wǎng)絡(luò)流量配比統(tǒng)計數(shù)據(jù);所述量化模塊,用于根據(jù)所述網(wǎng)絡(luò)流量配比統(tǒng)計數(shù)據(jù)對所述防火墻策略訪問控制列表進行量化處理;所述優(yōu)化模塊,用于根據(jù)預設(shè)的策略優(yōu)化規(guī)則對所述量化處理后的防火墻策略訪問控制列表進行策略優(yōu)化處理。
[0013]優(yōu)選的,還包括審計模塊,用于根據(jù)預設(shè)的安全審計規(guī)則對所述量化后的防火墻策略訪問控制列表進行安全審計處理。
[0014]優(yōu)選的,所述采集模塊進一步包括命令下發(fā)單元、標準化單元和策略基線生成單元,其中:所述命令下發(fā)單元,用于向Probe采集機下發(fā)防火墻策略采集命令;所述標準化單元,用于獲取防火墻策略原始結(jié)果并使用解析類語句對所述原始結(jié)果進行標準化;所述策略基線生成單元,用于將所述標準化的防火墻策略作為Probe采集機的策略基線。
[0015]優(yōu)選的,所述采集模塊還包括更新單元,用于按預設(shè)時間間隔通過所述命令下發(fā)單元、標準化單元和策略基線生成單元的執(zhí)行動作更新所述策略基線。
[0016]優(yōu)選的,所述統(tǒng)計模塊進一步用于:根據(jù)預設(shè)周期采集防火墻內(nèi)部網(wǎng)絡(luò)和內(nèi)外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)流量;對所述網(wǎng)絡(luò)流量的配比進行統(tǒng)計,獲得網(wǎng)絡(luò)流量配比統(tǒng)計數(shù)據(jù)。
[0017]本發(fā)明的防火墻策略處理的方法及裝置,遵循策略審計規(guī)則對防火墻策略進行自動審計可有效提高防火墻審計效率,同時通過建立防火墻策略及互聯(lián)關(guān)系基線,定期采集當前防火墻策略及互聯(lián)關(guān)系與之比對,發(fā)現(xiàn)策略及互聯(lián)關(guān)系變更時即生成告警并派單處理,提供了一種良好的防火墻策略管理方法,實現(xiàn)了對防火墻策略及防火墻內(nèi)外部互聯(lián)關(guān)系變更的有效管理,降低了因防火墻策略設(shè)置不當而被攻擊的可能性,提高了防火墻的安全性。
【專利附圖】
【附圖說明】
[0018]圖1是本發(fā)明實施例中一種防火墻策略處理的方法的流程圖;
[0019]圖2是本發(fā)明實施例中一種防火墻策略處理的裝置的結(jié)構(gòu)示意圖。
【具體實施方式】
[0020]圖1為本發(fā)明實施例中一種防火墻策略處理的方法的流程圖。如圖1所示,包括以下步驟:
[0021]步驟100、采集防火墻策略,將所述防火墻策略進行標準化生成防火墻策略訪問控制列表;
[0022]步驟102、采集防火墻內(nèi)部網(wǎng)絡(luò)和內(nèi)外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)流量,獲得網(wǎng)絡(luò)流量配比統(tǒng)計數(shù)據(jù);
[0023]步驟104、根據(jù)所述網(wǎng)絡(luò)流量配比統(tǒng)計數(shù)據(jù)對所述防火墻策略訪問控制列表進行量化處理;
[0024]步驟106、根據(jù)預設(shè)的策略優(yōu)化規(guī)則對所述量化處理后的防火墻策略訪問控制列表進行策略優(yōu)化處理。
[0025]優(yōu)選的,步驟106之后還可以包括:根據(jù)預設(shè)的安全審計規(guī)則對所述量化后的防火墻策略訪問控制列表進行安全審計處理。
[0026]上述步驟100中,生成防火墻策略訪問控制列表即策略基線的建立過程具體包括以下步驟:
[0027]策略采集命令下發(fā):WebServer調(diào)用Server的程序接口,由Server向Probe采集機發(fā)送策略采集消息
[0028]獲取原始結(jié)果并標準化=Probe采集機連接目標設(shè)備并執(zhí)行策略采集命令,獲取策略原始結(jié)果并使用解析類語句進行標準化
[0029]策略基線建立:Probe采集機得到策略標準化數(shù)據(jù)后,以標準化的防火墻策略作為策略基線。
[0030]發(fā)現(xiàn)策略變更:Probe采集機定期采集當前防火墻策略并標準化;與策略基線進行比對,發(fā)現(xiàn)策略變更,即派發(fā)工單給相關(guān)人員審核。
[0031]更新策略基線:Probe采集機采集當前防火墻策略標準化,更新策略基線。
[0032]Webserver:提供防火墻策略圖形化展示,管理搭建的web服務(wù)器;Server:提供策略采集消息生成,分發(fā)功能及防火墻策略數(shù)據(jù)存儲的服務(wù)器;Probe:執(zhí)行策略采集命令獲取策略原始結(jié)果并標準化的采集服務(wù)器;策略基線:策略比對的初始基準值,用于發(fā)現(xiàn)當前策略變更情況。
[0033]上述步驟102中,局域網(wǎng)內(nèi)外部設(shè)備互聯(lián)關(guān)系采集一建立互聯(lián)關(guān)系基線進一步包括以下步驟:
[0034]根據(jù)預設(shè)周期采集防火墻內(nèi)部網(wǎng)絡(luò)和內(nèi)外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)流量;
[0035]對所述網(wǎng)絡(luò)流量的配比進行統(tǒng)計,獲得網(wǎng)絡(luò)流量配比統(tǒng)計數(shù)據(jù)。
[0036]在防火墻內(nèi)部的交換機部署網(wǎng)絡(luò)嗅探器,采集內(nèi)部之間、內(nèi)外部之間的網(wǎng)絡(luò)流量,進行一段較長周期的采集(如:一個月),對網(wǎng)絡(luò)流量出現(xiàn)的配對進行統(tǒng)計(源端口、源IP、目的端口、目的IP、出流量、入流量、開始時間、終止時間)。以上配對統(tǒng)計信息代表了該時段的業(yè)務(wù)系統(tǒng)互聯(lián)關(guān)系,根據(jù)流量的大小、連接頻次等確定互聯(lián)關(guān)系的重要性,交人工進行確認,得出合法互聯(lián)關(guān)系基線。
[0037]上述步驟104中,防火墻策略量化處理具體包括:
[0038]防火墻策略被采集并標準化生成策略ACL后,對ACL涉及的目標端口內(nèi)容、目標端口個數(shù)、目標IP內(nèi)容、目標IP個數(shù)進行量化,并以ACL為單位進行排列組合比較,判斷防火墻策略ACL中是否存在策略覆蓋、攔截等策略冗余問題及開放目的IP范圍過大,目標端口過大等安全性問題。
[0039]策略審計應(yīng)遵循以下規(guī)則進行策略優(yōu)化和安全審計:
[0040](I)發(fā)現(xiàn)冗余及無用策略實現(xiàn)防火墻策略優(yōu)化,應(yīng)遵循以下規(guī)則:
[0041]I):策略重復
[0042]策略重復判定:配置文件中兩條或多條策略五元組完全相同且動作一致,判定為策略重復。
[0043]2)策略整體覆蓋
[0044]策略整體覆蓋判定:配置文件中當前策略五元組被優(yōu)先級更高的策略完全包含且動作一致,判定當前策略被整體覆蓋。該條策略整體失效。
[0045]3)策略部分覆蓋
[0046]策略部分覆蓋判定:配置文件中當前策略五元組被優(yōu)先級更高的策略部分包含且動作一致,判定當前策略被部分覆蓋。該條策略部分失效。
[0047]4)策略整體攔截
[0048]策略整體攔截判定:配置文件中當前策略五元組被優(yōu)先級更高的策略完全包含且動作相反,判定當前策略被整體攔截。該條策略整體失效。
[0049]5)策略部分攔截
[0050]策略部分攔截判定:配置文件中當前策略五元組被優(yōu)先級更高的策略部分包含且動作相反,判定當前策略被部分攔截。該條策略部分失效。
[0051]6)無效策略組
[0052]無效策略組判定:不包含任何策略的策略組判定為無效策略組。
[0053]例如定義了策略組acl number2100,而策略組2100中不包含任何策略。
[0054]7)策略正常
[0055]策略正常判定:未發(fā)現(xiàn)上述防火墻策略配置問題判定為策略正常。
[0056]策略安全審計應(yīng)遵循以下規(guī)則:
[0057]I)目的 IP 為 any
[0058]判定:配置文件存在目的IP為any的策略。
[0059]2)目的IP范圍過大
[0060]判定:配置文件中存在目的IP范圍超出策略審計的最大允許值的策略。目的IP最大允許值可根據(jù)網(wǎng)絡(luò)實際情況進行設(shè)置。
[0061]3)目的端口為any
[0062]判定:配置文件中存在目的端口為any的策略。
[0063]4)目的端口范圍過大
[0064]判定:配置文件中存在目的端口范圍超出策略審計的最大允許值的策略。
[0065]目的端口最大允許值可根據(jù)網(wǎng)絡(luò)實際情況進行設(shè)置。
[0066]5)開放了管理端口
[0067]判定:目的端口中涉及22、23、80、443、3389等常用管理維護端口的策略。
[0068]遵循以上策略優(yōu)化及策略安全審計規(guī)則,通過系統(tǒng)程序自動發(fā)現(xiàn)防火墻上冗余、無用、失效策略及違反安全規(guī)則的策略;實現(xiàn)防火墻策略優(yōu)化及策略安全審計。其中,五元組是防火墻策略的屬性集,用于表示防火墻定義的訪問要求。五元組包含了防火墻策略的5要素。分別是網(wǎng)絡(luò)源IP地址、源端口、網(wǎng)絡(luò)目的IP地址、目的端口、通信協(xié)議(如TCP協(xié)議等)。動作:防火墻策略的流量策略動作,可以為permit或deny。策略ACL:策略訪問控制列表。
[0069]上述步驟106中,通過實施以下流程監(jiān)控防火墻策略及互聯(lián)關(guān)系的變更,并進行優(yōu)化處理:
[0070]選取需定期核查策略及互聯(lián)關(guān)系變更狀況的防火墻設(shè)備,建立定期核查計劃;
[0071]Webserver通過probe采集機及嗅探機獲取所選設(shè)備中的當前策略及互聯(lián)關(guān)系;
[0072]當前策略及互聯(lián)關(guān)系與策略基線及互聯(lián)關(guān)系基線比對,發(fā)現(xiàn)策略及互聯(lián)關(guān)系變更,生成相應(yīng)告警;啟動工單處理流程,派發(fā)工單給相關(guān)人員審核;
[0073]采集變更后的防火墻策略及互聯(lián)關(guān)系,更新策略基線及互聯(lián)關(guān)系基線。
[0074]圖2是本發(fā)明實施例中一種防火墻策略處理的裝置的結(jié)構(gòu)示意圖。如圖2所示,包括采集模塊200、統(tǒng)計模塊202、量化模塊204和優(yōu)化模塊206,其中:所述采集模塊,用于采集防火墻策略,將所述防火墻策略進行標準化生成防火墻策略訪問控制列表;所述統(tǒng)計模塊,用于采集防火墻內(nèi)部網(wǎng)絡(luò)和內(nèi)外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)流量,獲得網(wǎng)絡(luò)流量配比統(tǒng)計數(shù)據(jù);所述量化模塊,用于根據(jù)所述網(wǎng)絡(luò)流量配比統(tǒng)計數(shù)據(jù)對所述防火墻策略訪問控制列表進行量化處理;所述優(yōu)化模塊,用于根據(jù)預設(shè)的策略優(yōu)化規(guī)則對所述量化處理后的防火墻策略訪問控制列表進行策略優(yōu)化處理。
[0075]優(yōu)選的,還包括審計模塊,用于根據(jù)預設(shè)的安全審計規(guī)則對所述量化后的防火墻策略訪問控制列表進行安全審計處理。
[0076]所述采集模塊進一步包括命令下發(fā)單元、標準化單元和策略基線生成單元,其中:所述命令下發(fā)單元,用于向Probe采集機下發(fā)防火墻策略采集命令;所述標準化單元,用于獲取防火墻策略原始結(jié)果并使用解析類語句對所述原始結(jié)果進行標準化;所述策略基線生成單元,用于將所述標準化的防火墻策略作為Probe采集機的策略基線。
[0077]所述采集模塊還包括更新單元,用于按預設(shè)時間間隔通過所述命令下發(fā)單元、標準化單元和策略基線生成單元的執(zhí)行動作更新所述策略基線。
[0078]所述統(tǒng)計模塊進一步用于:根據(jù)預設(shè)周期采集防火墻內(nèi)部網(wǎng)絡(luò)和內(nèi)外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)流量;對所述網(wǎng)絡(luò)流量的配比進行統(tǒng)計,獲得網(wǎng)絡(luò)流量配比統(tǒng)計數(shù)據(jù)。
[0079]防火墻策略審計方法結(jié)合策略變更管理方法可組成防火墻策略綜合管理系統(tǒng),提供防火墻策略審計、策略變更及互聯(lián)關(guān)系變更監(jiān)控管理功能。
[0080]本發(fā)明各實施例遵循策略審計規(guī)則對防火墻策略進行自動審計可有效提高防火墻審計效率,同時通過建立防火墻策略及互聯(lián)關(guān)系基線,定期采集當前防火墻策略及互聯(lián)關(guān)系與之比對,發(fā)現(xiàn)策略及互聯(lián)關(guān)系變更時即生成告警并派單處理,提供了一種良好的防火墻策略管理方法。實現(xiàn)了對防火墻策略及防火墻內(nèi)外部互聯(lián)關(guān)系變更的有效管理,降低了因防火墻策略設(shè)置不當而被攻擊的可能性,提高了防火墻的安全性。
[0081]應(yīng)說明的是:以上實施例僅用以說明本發(fā)明而非限制,本發(fā)明也并不僅限于上述舉例,一切不脫離本發(fā)明的精神和范圍的技術(shù)方案及其改進,其均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍中。
【權(quán)利要求】
1.一種防火墻策略處理的方法,其特征在于,包括: 采集防火墻策略,將所述防火墻策略進行標準化生成防火墻策略訪問控制列表; 采集防火墻內(nèi)部網(wǎng)絡(luò)和內(nèi)外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)流量,獲得網(wǎng)絡(luò)流量配比統(tǒng)計數(shù)據(jù); 根據(jù)所述網(wǎng)絡(luò)流量配比統(tǒng)計數(shù)據(jù)對所述防火墻策略訪問控制列表進行量化處理; 根據(jù)預設(shè)的策略優(yōu)化規(guī)則對所述量化處理后的防火墻策略訪問控制列表進行策略優(yōu)化處理。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述根據(jù)預設(shè)的策略優(yōu)化規(guī)則對所述量化處理后的防火墻策略訪問控制列表進行策略優(yōu)化處理的步驟之后還包括: 根據(jù)預設(shè)的安全審計規(guī)則對所述量化后的防火墻策略訪問控制列表進行安全審計處理。
3.根據(jù)權(quán)利要求1或2所述的方法,其特征在于,所述采集防火墻策略,將所述防火墻策略進行標準化生成防火墻策略訪問控制列表的步驟進一步包括: 向Probe采集機下發(fā)防火墻策略采集命令; 獲取防火墻策略原始結(jié)果并使用解析類語句對所述原始結(jié)果進行標準化; 將所述標準化的防火墻策略作為Probe采集機的策略基線。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于,所述將所述標準化的防火墻策略作為Probe采集機的策略基線的步驟之后還包括: 按預設(shè)時間間隔重復上述步驟,更新所述策略基線。
5.根據(jù)權(quán)利要求1或2所述的方法,其特征在于,所述采集防火墻內(nèi)部網(wǎng)絡(luò)和內(nèi)外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)流量,獲得網(wǎng)絡(luò)流量配比統(tǒng)計數(shù)據(jù)的步驟進一步包括: 根據(jù)預設(shè)周期采集防火墻內(nèi)部網(wǎng)絡(luò)和內(nèi)外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)流量; 對所述網(wǎng)絡(luò)流量的配比進行統(tǒng)計,獲得網(wǎng)絡(luò)流量配比統(tǒng)計數(shù)據(jù)。
6.一種防火墻策略處理的裝置,其特征在于,包括采集模塊、統(tǒng)計模塊、量化模塊和優(yōu)化模塊,其中: 所述采集模塊,用于采集防火墻策略,將所述防火墻策略進行標準化生成防火墻策略訪問控制列表; 所述統(tǒng)計模塊,用于采集防火墻內(nèi)部網(wǎng)絡(luò)和內(nèi)外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)流量,獲得網(wǎng)絡(luò)流量配比統(tǒng)計數(shù)據(jù); 所述量化模塊,用于根據(jù)所述網(wǎng)絡(luò)流量配比統(tǒng)計數(shù)據(jù)對所述防火墻策略訪問控制列表進行量化處理; 所述優(yōu)化模塊,用于根據(jù)預設(shè)的策略優(yōu)化規(guī)則對所述量化處理后的防火墻策略訪問控制列表進行策略優(yōu)化處理。
7.根據(jù)權(quán)利要求6所述的裝置,其特征在于,還包括審計模塊,用于根據(jù)預設(shè)的安全審計規(guī)則對所述量化后的防火墻策略訪問控制列表進行安全審計處理。
8.根據(jù)權(quán)利要求6或7所述的裝置,其特征在于,所述采集模塊進一步包括命令下發(fā)單元、標準化單元和策略基線生成單元,其中: 所述命令下發(fā)單元,用于向Probe采集機下發(fā)防火墻策略采集命令; 所述標準化單元,用于獲取防火墻策略原始結(jié)果并使用解析類語句對所述原始結(jié)果進行標準化;所述策略基線生成單元,用于將所述標準化的防火墻策略作為Probe采集機的策略基線。
9.根據(jù)權(quán)利要求8所述的裝置,其特征在于,所述采集模塊還包括更新單元,用于按預設(shè)時間間隔通過所述命令下發(fā)單元、標準化單元和策略基線生成單元的執(zhí)行動作更新所述策略基線。
10.根據(jù)權(quán)利要求6或7所述的裝置,其特征在于,所述統(tǒng)計模塊進一步用于: 根據(jù)預設(shè)周期采集防火墻內(nèi)部網(wǎng)絡(luò)和內(nèi)外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)流量; 對所述網(wǎng)絡(luò)流量的配比進行統(tǒng)計,獲得網(wǎng)絡(luò)流量配比統(tǒng)計數(shù)據(jù)。
【文檔編號】H04L29/06GK104135461SQ201310163682
【公開日】2014年11月5日 申請日期:2013年5月2日 優(yōu)先權(quán)日:2013年5月2日
【發(fā)明者】王立川 申請人:中國移動通信集團河北有限公司