基于防火墻acl的企業(yè)內(nèi)部資源開放范圍分析方法
【專利摘要】本發(fā)明公開了一種基于防火墻ACL的企業(yè)內(nèi)部資源開放范圍分析方法，其特征是分為如下步驟：1對防火墻設(shè)備的策略進(jìn)行解析形成策略列表；2根據(jù)給的內(nèi)部地址資源段確定每個內(nèi)部IP地址的匹配策略；3根據(jù)匹配結(jié)果形成單個IP資源開放記錄；4對每條IP資源開放記錄進(jìn)行合并。本發(fā)明能便于運維人員快速掌握防火墻策略的設(shè)置情況，準(zhǔn)確把握企業(yè)信息網(wǎng)內(nèi)部可被外界訪問的資源清單，做好防火墻的策略優(yōu)化，從而提升信息網(wǎng)絡(luò)的安全性。
【專利說明】
基于防火墻ACL的企業(yè)內(nèi)部資源開放范圍分析方法
技術(shù)領(lǐng)域
[0001] 本發(fā)明設(shè)及信息安全和信息運維領(lǐng)域，具體的說是一種基于防火墻A化的企業(yè)內(nèi) 部資源開放范圍分析方法。
【背景技術(shù)】
[0002] 隨著信息安全要求的不斷提升，企業(yè)信息內(nèi)網(wǎng)的邊界安全越來越為重要，其中防 火墻作為承載邊界安全的重要設(shè)施，其安全訪問策略的合理配置是保障信息內(nèi)網(wǎng)安全的重 要基礎(chǔ)。
[0003] 但是在日常運維過程中，運維人員根據(jù)業(yè)務(wù)需求對防火墻策略進(jìn)行調(diào)整，其中主 要W開通為主，導(dǎo)致在一段時間后防火墻策略數(shù)目較大，策略的合理性難W保證，不僅影響 防火墻的效率，更給內(nèi)網(wǎng)信息安全帶來了安全隱患。
[0004] 為此傳統(tǒng)的運維工作中，信息運維人員定期對防火墻策略進(jìn)行清空，再梳理所有 業(yè)務(wù)系統(tǒng)需要開通的訪問策略，不僅費時而且費力，且常常因無法及時發(fā)現(xiàn)防火墻的安全 漏桐而導(dǎo)致數(shù)據(jù)安全隱患。

【發(fā)明內(nèi)容】

[0005] 本發(fā)明為解決上述現(xiàn)有技術(shù)存在的不足之處，提供一種基于防火墻A化的企業(yè)內(nèi) 部資源開放范圍分析方法，W期能便于運維人員快速掌握防火墻策略的設(shè)置情況，準(zhǔn)確把 握企業(yè)信息網(wǎng)內(nèi)部可被外界訪問的資源清單，做好防火墻的策略優(yōu)化，從而提升信息網(wǎng)絡(luò) 的安全性。
[0006] 本發(fā)明為解決技術(shù)問題采用如下技術(shù)方案：
[0007] 本發(fā)明一種基于防火墻A化的企業(yè)內(nèi)部資源開放范圍分析方法，是應(yīng)用于對防火 墻設(shè)備中所有策略的解析過程中，其特點是按如下步驟進(jìn)行：
[000引步驟1、按照行的方式對所述防火墻設(shè)備的配置文件解析出每條策略，形成策略列 表，所述策略列表中的每條策略包含:策略序號、源地址、目的地址、服務(wù)和動作;所述策略 序號表示每條策略的優(yōu)先級;每條策略按優(yōu)先級降序排序；
[0009] 步驟2、設(shè)定所述防火墻設(shè)備所要保護(hù)的內(nèi)部地址段集合;所述內(nèi)部地址段集合包 括:單個IP地址W及連續(xù)IP地址段；
[0010] 步驟3、根據(jù)所述策略列表中的目的地址，對所述內(nèi)部地址段集合中的每個IP地址 進(jìn)行匹配，判斷每個IP地址是否屬于所述策略列表中的目的地址；當(dāng)屬于目的地址時，執(zhí)行 步驟4;
[0011] 步驟4、判斷已匹配的IP地址與所述策略列表中目的地址所對應(yīng)的動作是否為"允 許"，當(dāng)為"允許"時，則記錄已匹配的IP地址W及所述策略列表中目的地址所對應(yīng)的且不屬 于內(nèi)部地址段的源地址和服務(wù);從而形成內(nèi)部資源開放訪問記錄表；
[0012] 步驟5、根據(jù)所述內(nèi)部資源開放訪問記錄表中具有相同的目的地址和服務(wù)的記錄， 將所述內(nèi)部資源開放訪問記錄表中相應(yīng)的源地址進(jìn)行合并，從而形成簡化的內(nèi)部資源開放 訪問記錄表；
[0013] 步驟6、根據(jù)所述簡化的內(nèi)部資源開放訪問記錄表中具有相同的源地址的記錄，將 所述內(nèi)部資源開放訪問記錄表中相應(yīng)的目的地址和服務(wù)進(jìn)行合并，從而形成再次簡化的內(nèi) 部資源開放訪問記錄表；W所述再次簡化的內(nèi)部資源開放訪問記錄表作為企業(yè)內(nèi)部資源開 放范圍的分析結(jié)果。
[0014] 與已有技術(shù)相比，本發(fā)明的有益效果體現(xiàn)在：
[0015] 本發(fā)明根據(jù)防火墻的配置文件解析獲取到所有的策略列表，再給出防火墻保護(hù)的 內(nèi)部地址列表，根據(jù)內(nèi)部地址列表與策略列表進(jìn)行匹配，判斷出能被外部地址訪問的內(nèi)部 地址及能被訪問的端口及協(xié)議，使得運維人員能快速掌握防火墻策略的設(shè)置情況，針對不 合理的資源開放及時進(jìn)行處理，從而消除了網(wǎng)絡(luò)安全隱患，保證了資源開放的合理性和有 效性。
【具體實施方式】
[0016] 本實施例中，一種基于防火墻A化的企業(yè)內(nèi)部資源開放范圍分析方法，是應(yīng)用于對 防火墻設(shè)備中所有策略的解析過程中，一般而言，防火墻的每條策略包括四個部分:源地 址、目的地址、訪問協(xié)議及動作，分別定義為：
[0017] 源地址:單次訪問的數(shù)據(jù)包的來源地址，包括來源的IP地址集合及端口，其中IP地 址集合可W為連續(xù)IP地址段、單個地址W及連續(xù)IP地址段、單個地址或any(任何地址）的組 合;端口為該次訪問的源網(wǎng)絡(luò)端口，可W為單個端口、一段連續(xù)端口或單個端口、一段連續(xù) 端口的組合。
[001引目的地址:某次訪問數(shù)據(jù)包的目標(biāo)地址，包括目標(biāo)的IP地址集合及端口，其中IP地 址集合可W為連續(xù)IP地址段、單個地址W及續(xù)IP地址段、單個地址段或any(任何地址）的組 合;端口為該次訪問的源網(wǎng)絡(luò)端口，可W為單個端口、一段連續(xù)端口或單個端口、一段連續(xù) 端口的組合。
[0019]訪問協(xié)議:單次訪問的網(wǎng)絡(luò)協(xié)議，包括ICMP，IP、TCP及UDP或any (代表任何網(wǎng)絡(luò)協(xié) 議）
[0020] 動作:指防火墻對滿足該條規(guī)則的訪問的處理動作，包括拒絕和允許。
[0021] 具體實施中，企業(yè)內(nèi)部資源開放范圍分析方法是按如下步驟進(jìn)行：
[0022] 步驟1、按照行的方式對防火墻設(shè)備的配置文件解析出每條策略，形成策略列表如 表一所示，策略列表中的每條策略包含:策略序號、源地址、目的地址、服務(wù)和動作;服務(wù)包 含訪問協(xié)議和開放端口；策略序號表示每條策略的優(yōu)先級;每條策略按優(yōu)先級降序排序；
[0023] 表一
[0024]
[0025] 例如； 「nn*?"
[0027] 步驟2、根據(jù)給的內(nèi)部地址資源段，設(shè)定防火墻設(shè)備所要保護(hù)的內(nèi)部地址段集合； 內(nèi)部地址段集合包括:單個IP地址W及連續(xù)IP地址段;并將內(nèi)部地址段集合解析為單個IP 地址集合，形成內(nèi)部IP地址集合。
[002引其中地址IP段的解析如下：
[0029] 192.168.1.1-192.168.1.100解析為 192.168.1.1、192.168.1.2... 192.168.1.99、 192.168.1.100.
[0030] 步驟3、根據(jù)策略列表中的目的地址，對內(nèi)部地址段集合中的每個IP地址記為dip 進(jìn)行匹配，判斷每個IP地址是否屬于策略列表中的目的地址；當(dāng)屬于目的地址時，執(zhí)行步驟 4;具體的說，就是：
[0031] 步驟3.1、按照策略序號順序依次從策略列表中取出一條待判斷的策略，記為sP。
[0032] 步驟3.2、取出sP中的目的地址，根據(jù)判斷規(guī)則，判斷dip是否屬于sP，如果不屬于， 則判斷下一條策略，否則，執(zhí)行步驟3.3;
[0033] 判斷規(guī)則如下： 「nnoyi 1
[0036] 步驟4、判斷已匹配的IP地址與策略列表中目的地址所對應(yīng)的動作是否為"允許"， 當(dāng)為"允許"時，則記錄已匹配的IP地址W及策略列表中目的地址所對應(yīng)的且不屬于內(nèi)部地 址段的源地址和服務(wù);從而形成內(nèi)部資源開放訪問記錄表;具體的說，
[0037] 步驟4.1、對于步驟3.2中SP中的源地址，剔除在內(nèi)部IP地址集合中的IP地址，形成 能訪問dip的外部地址集合，記為sIP;
[0038] 步驟4.2、如果3口中的動作為"允許"，則^(11口、31口、3口中訪問服務(wù)為^個元素形成 一條內(nèi)部資源開放訪問記錄，并保存;dIP、sIP、sP分別代表可被外部訪問的內(nèi)部IP地址，被 運行的外部源IP及可訪問的服務(wù)；
[0039] 步驟4.3、若內(nèi)部IP地址集合中存在未處理的IP，從內(nèi)部IP地址集合中取出下一個 IP地址作為dip，跳轉(zhuǎn)步驟3.1;否則結(jié)束；
[0040] 步驟5、為便于運維人員快速掌握內(nèi)部資源開放情況，針對具有相同的dip和訪問 服務(wù)的記錄，對SlP合并形成行的訪問記錄，即根據(jù)內(nèi)部資源開放訪問記錄表中具有相同的 目的地址和服務(wù)的記錄，將內(nèi)部資源開放訪問記錄表中相應(yīng)的源地址進(jìn)行合并，從而形成 簡化的內(nèi)部資源開放訪問記錄表；
[004。 例如；
[0042] 記錄1: {dip: 192.168.1.1，sip: 192.168.0.1 ,service:tcp}
[0043] 記錄2: {dip: 192.168.1.1，sip: 192.168.2.1 ,service:udp}
[0044] 記錄3: {dip:192.168.1.1,sip:192.168.3.1-192.168.3.100,service:tcp}
[0045] 可W合并為記錄：
[0046] {dip：192.168.1.1,sip：192.168.0.1,192.168.3.1-192.168.3.100, 192.168.2.1-192.168.2.10,service：tcp}
[0047] {dip :192.168.1.1,192.168.2.1,service：udp}
[0048] 步驟6、再針對具有相同的sip和服務(wù)的記錄合并dip,最終形成簡潔明了的內(nèi)部資 源開放記錄表，即根據(jù)簡化的內(nèi)部資源開放訪問記錄表中具有相同的源地址的記錄，將內(nèi) 部資源開放訪問記錄表中相應(yīng)的目的地址和服務(wù)進(jìn)行合并，從而形成再次簡化的內(nèi)部資源 開放訪問記錄表；W再次簡化的內(nèi)部資源開放訪問記錄表作為企業(yè)內(nèi)部資源開放范圍的分 析結(jié)果。
【主權(quán)項】
1. 一種基于防火墻ACL的企業(yè)內(nèi)部資源開放范圍分析方法，是應(yīng)用于對防火墻設(shè)備中 所有策略的解析過程中，其特征是按如下步驟進(jìn)行： 步驟1、按照行的方式對所述防火墻設(shè)備的配置文件解析出每條策略，形成策略列表， 所述策略列表中的每條策略包含:策略序號、源地址、目的地址、服務(wù)和動作;所述策略序號 表示每條策略的優(yōu)先級;每條策略按優(yōu)先級降序排序； 步驟2、設(shè)定所述防火墻設(shè)備所要保護(hù)的內(nèi)部地址段集合;所述內(nèi)部地址段集合包括： 單個IP地址以及連續(xù)IP地址段； 步驟3、根據(jù)所述策略列表中的目的地址，對所述內(nèi)部地址段集合中的每個IP地址進(jìn)行 匹配，判斷每個IP地址是否屬于所述策略列表中的目的地址；當(dāng)屬于目的地址時，執(zhí)行步驟 4； 步驟4、判斷已匹配的IP地址與所述策略列表中目的地址所對應(yīng)的動作是否為"允許"， 當(dāng)為"允許"時，則記錄已匹配的IP地址以及所述策略列表中目的地址所對應(yīng)的且不屬于內(nèi) 部地址段的源地址和服務(wù);從而形成內(nèi)部資源開放訪問記錄表； 步驟5、根據(jù)所述內(nèi)部資源開放訪問記錄表中具有相同的目的地址和服務(wù)的記錄，將所 述內(nèi)部資源開放訪問記錄表中相應(yīng)的源地址進(jìn)行合并，從而形成簡化的內(nèi)部資源開放訪問 記錄表； 步驟6、根據(jù)所述簡化的內(nèi)部資源開放訪問記錄表中具有相同的源地址的記錄，將所述 內(nèi)部資源開放訪問記錄表中相應(yīng)的目的地址和服務(wù)進(jìn)行合并，從而形成再次簡化的內(nèi)部資 源開放訪問記錄表；以所述再次簡化的內(nèi)部資源開放訪問記錄表作為企業(yè)內(nèi)部資源開放范 圍的分析結(jié)果。
【文檔編號】H04L29/06GK105847258SQ201610179971
【公開日】2016年8月10日
【申請日】2016年3月25日
【發(fā)明人】宋敏, 李正兵, 陳浩, 王孝友, 牛景平
【申請人】國家電網(wǎng)公司, 國網(wǎng)安徽省電力公司池州供電公司