[发明专利]一种防火墙策略集中优化管理方法及其系统

说明书

本发明公开了一种防火墙策略集中优化管理方法及其系统，该方法包括以下步骤：S1、定制策略转化规则进行规则转换，定义防火墙策略模型；S2、初始化现有设备；S3、集中管理和分发策略；S4、定期检测策略并更新策略集合，策略检测完成后继续分发策略。本发明还公开了一种防火墙策略集中优化管理系统，包括模型定义模块、初始化模块、集中管理模块、分发模块、一致性检测模块和处理器。本发明的防火墙集中优化管理方法和系统，能兼容解析多种品牌防火墙设备，且通过设定的合理策略模型对防火墙设备智能监测。

技术领域

本发明涉及防火墙策略技术领域，具体是一种防火墙策略集中优化管理方法及其系统。

背景技术

防火墙作为电力公司内外网重要的安全防护设备一直以来都是信息安全管理的基本工具之一，防火墙按照工作层级分类主要分为包过滤防火墙和应用级防火墙，包过滤防火墙作为安全管理人员最熟悉的防火墙，其安装部署方便，策略设置简单，因此得到大面积应用。随着公司信息安全管理的日益严格，各类网络边界安全防护越来越严格，加之信息系统不断上马，防火墙的ACL策略也变得日益复杂。

防火墙策略管理一直以来都是安全运维工作的重要组成部分，随着电力公司信息网规模的不断扩大，网络边界的不断增加，使用的防火墙设备也不断增多，但防火墙设备品牌众多，同时每个防火墙策略数以万计，若每条策略都在防火墙内人工配置，安全运维人员不仅要熟悉每个厂家、每个品牌的配置规则，同时还难以发现策略之间可能存在的冲突，客观上增加了防火墙策略维护难度。

现有技术CN105959331A提供了一种防火墙策略的优化方法及装置，其中所述优化方法包括：构建防火墙策略信息库和应用信息库，所述防火墙策略信息库包括至少一防火墙策略信息，所述应用信息库包括至少一应用信息；从所述应用信息库中查询所述防火墙策略信息对应的应用信息，并将所述防火墙策略信息及所述防火墙策略信息对应的应用信息添加至应用策略信息库。该技术在于采用数据库形式构建策略信息库，通过策略比对匹配完成策略管理等，降低了防火墙策略维护的工作量。但是针对市场上各厂家个品牌的防火墙设备均采用不同的策略且其建立于防火墙基础策略的聚合处理，存在一定的相似性，采用数据库构建的策略信息需要足够大的数量和范围才能完成策略优化和管理，降低了防火墙策略管理的可读性且不适合多种设备的集中管理。

针对此情况，本方法给出一种防火墙策略集中管理方法，实现策略的统一采集、集中管理、策略优化与自动分配，极大提升安全运维人员防火墙管理效率。

发明内容

本发明的目的在于提供一种防火墙策略集中优化管理方法及其系统，以解决上述背景技术中提出的防火墙策略复杂、维护难度高，现有的策略管理中策略可读性低、不适用于多种设备的集中管理的问题。

为实现上述目的，本发明提供如下技术方案：

一种防火墙策略集中优化管理方法，该方法包括以下步骤：

S1、定制策略转化规则进行规则转换，定义防火墙策略模型；

S2、初始化现有设备；

S3、集中管理和分发策略；

S4、定期检测策略并更新策略集合，策略检测完成后继续分发策略。

优选的，所述S1中定制策略转化规则进行规则转换包括通过各厂家防火墙访问策略定义格式中对基础防火墙策略的聚合处理确定标准模型以适配各个厂家、各个型号的防火墙策略，所述S1中定义防火墙策略模型包括定义该模型由协议类型、源IP地址集合、源端口集合、目的IP地址集合、目的端口集合和动作六个域组成，其中，源IP地址、源端口、目的IP地址与目的端口均为集合，以满足地址段、端口段的批量处理。

优选的，所述S2初始化现有设备包括以下步骤：

S21、定期通过ssh连接防火墙设备获取防火墙配置文件并将策略根据所述S1定义的策略模型转化为防火墙策略模型进行存储；