[发明专利]一种基于防火墙策略联动的管理主机策略的方法及系统

说明书

本申请实施例示出一种基于防火墙策略联动的管理主机策略的方法及系统，所述方法包括：分析防火墙安全策略；确定目标被管理的服务器，所述目标被管理的服务器为与所述防火墙安全策略相关联的被管理的服务器；发送所述防火墙安全策略至所述目标被管理的服务器，本申请实施例示出的技术方案主机的策略管理功能集成在防火墙模块中，不需要单独购买和部署一套主机策略管理中心软件，减少了财务支出和相应的维护工作，同时，被管理的服务器访问控制策略由防火墙安全策略推导而出，管理员无需再单独为各被管理的服务器配置访问控制策略，减少了配置和维护工作量，同时也确保了网络端和被管理的服务器的策略一致性。

技术领域

本发明涉及计算机技术领域，特别涉及一种基于防火墙策略联动的管理主机策略的方法及系统。

背景技术

服务器及其上存储的数据作为企业的重要资产，如何确保服务器不会受到非法访问和恶意攻击，是企业网络管理员所面临的一项重要工作。为了防止服务器不会受到非法访问和恶意攻击，企业用户通常会购买防火墙来保护内网服务器数据。

防火墙(firewall)网络安全的基础设备，用来确保网络信息安全，防火墙通过其定义的策略来决定允许或是限制传输的数据通过。为了防止因某些流量不经过防火墙而直接访问服务器，而导致服务器有遭受非法访问和攻击的问题的出现，网络管理员也会在被管理的服务器侧配置相应的访问控制策略，以确保服务器在任何情况下都不会受到非法访问和恶意攻击。

目前的主机策略管理的方案，大都采用C/S模型，即在网络中部署一套主机策略管理中心软件，然后在各个被管理的主机上安装配套的用户端软件。所有的策略配置及调整都在策略管理中心上进行，然后由策略管理中心下发给各个主机的用户端，再由用户端在各主机上进行最终的策略配置现有技术拓扑如图1所示。

主机策略和防火墙策略都是用来保护服务器主机不受非法访问的，但采用现有主机策略管理的方案，需要网络管理员配置两份访问控制策略，一份配置在防火墙上，一份配置在相应的被管理的服务器上，在策略有变更时，难免会存在主机和被管理的服务器上的策略不一致的问题。

发明内容

本发明的发明目的在于提供一种基于防火墙策略联动的管理主机策略的方法及系统，以解现有技术示出的主机策略管理的方案存在的技术问题。

本申请实施例第一方面示出一种基于防火墙策略联动的管理主机策略的方法，所述方法包括：

分析防火墙安全策略；

确定目标被管理的服务器，所述目标被管理的服务器为与所述防火墙安全策略相关联的被管理的服务器；

发送所述防火墙安全策略至所述目标被管理的服务器。

可选择的，所述方法还包括：

访问所述被管理的服务器的控制策略；

判断所述控制策略与所述防火墙安全策略是否一致；

若不一致，发出告警或重新同步策略。

可选择的，所述发送防火墙安全策略至所述目标被管理的服务器的步骤包括：

将所述防火墙安全策略转化为目标被管理的服务器可识别的控制策略；

发送所述控制策略至所述目标被管理的服务器。

可选择的，所述确定目标被管理的服务器的步骤包括：

解析所述防火墙安全策略的预置关联规则；

遍历被管理的服务器数组，确定满足所述预置关联规则的被管理的服务器为目标被管理的服务器；

建立与所述目标被管理的服务器的联系。

可选择的，所述预置关联规则基于源地址，源端口，目的地址，目的端口设置。