CN105704093B - 一种防火墙访问控制策略查错方法、装置及*** - Google Patents

一种防火墙访问控制策略查错方法、装置及*** Download PDF

Info

Publication number
CN105704093B
CN105704093B CN201410690385.9A CN201410690385A CN105704093B CN 105704093 B CN105704093 B CN 105704093B CN 201410690385 A CN201410690385 A CN 201410690385A CN 105704093 B CN105704093 B CN 105704093B
Authority
CN
China
Prior art keywords
firewall
policy
access control
fire wall
action
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201410690385.9A
Other languages
English (en)
Other versions
CN105704093A (zh
Inventor
马力鹏
杜雪涛
赵蓓
吴日切夫
张高山
洪东
常玲
薛姗
刘佳
张艋
张琳
杜刚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Group Design Institute Co Ltd
Original Assignee
China Mobile Group Design Institute Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Group Design Institute Co Ltd filed Critical China Mobile Group Design Institute Co Ltd
Priority to CN201410690385.9A priority Critical patent/CN105704093B/zh
Publication of CN105704093A publication Critical patent/CN105704093A/zh
Application granted granted Critical
Publication of CN105704093B publication Critical patent/CN105704093B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种防火墙访问控制策略查错方法,装置及***,接收采集端发送的防火墙访问控制策略;所述防火墙访问控制策略中包括至少一条防火墙策略;获取第X防火墙访问控制策略,确定所述第X防火墙自身的防火墙策略异常权重;获取所述第X防火墙的紧邻防火墙的防火墙访问控制策略,根据所述第X防火墙的防火墙策略与所述紧邻防火墙的防火墙策略,确定防火墙间的防火墙策略异常权重;根据所述第X防火墙自身的防火墙策略异常权重及所述防火墙间的防火墙策略异常权重确定所述第X防火墙访问控制策略的异常程度以供查错。采用该技术方案,能够有效的提高防火墙访问控制策略的分析效率,并且包括向管理员指出最优先解决的防火墙设备。

Description

一种防火墙访问控制策略查错方法、装置及***
技术领域
本发明涉及互联网信息处理技术领域,更具体的涉及一种防火墙访问控制策略查错方法、装置及***。
背景技术
电信运营公司的网络规模巨大,为了更好的保护不同设备上的数据信息,通常针对不同安全级别的设备划分不同的安全域及子安全域。而不同的安全域及子安全域之间通过部署防火墙来隔离并控制其访问安全,这样就形成了多级的分布式的防火墙架构。
多级的分布式防火墙架构大大增加了企业安全策略设置的工作量和难度。随着公司业务的增长,公司网络规模不断扩大与业务的不断变换,导致防火墙设备的增加及防火墙访问控制策略的不断修改。当管理多个防火墙时,管理员越来越容易漏掉防火墙策略中及不同防火墙间存在错误的或者矛盾的策略配置。
综上所述,现有技术中随着网络规模的不断扩大和网络接口的不断增加,防火墙中的访问策略越来越多,若需要构建多个级的处理服务器,或者通过改动相关网络设备的访问控制列表使待查防火墙设备可通过有线网远程访问,实施难度非常大。
发明内容
本发明实施例提供一种防火墙访问控制策略查错方法及装置,能够有效的提高防火墙访问控制策略的分析效率,并且包括向管理员指出最优先解决的防火墙设备。
本发明实施例提供一种防火墙访问控制策略查错方法,包括:
接收采集端发送的防火墙访问控制策略;所述防火墙访问控制策略中包括至少一条防火墙策略;
获取第X防火墙访问控制策略,确定所述第X防火墙自身的防火墙策略异常权重;
获取所述第X防火墙的紧邻防火墙的防火墙访问控制策略,根据所述第X防火墙的防火墙策略与所述紧邻防火墙的防火墙策略,确定防火墙间的防火墙策略异常权重;其中,所述紧邻防火墙为与所述第X防火墙存在直接父子关系的防火墙;
根据所述第X防火墙自身的防火墙策略异常权重及所述防火墙间的防火墙策略异常权重确定所述第X防火墙访问控制策略的异常程度以供查错。
较佳地,所述确定所述第X防火墙自身的防火墙策略异常权重,包括:
根据下列公式确定第X防火墙自身的防火墙策略异常权重:
其中,WX为第X防火墙自身的防火墙策略异常权重,Mi为第X防火墙访问控制策略中第i条防火墙策略的异常程度,NX为第X防火墙访问控制策略中包括的防火墙策略总数。
较佳地,所述第X防火墙访问控制策略中第i条防火墙策略的异常程度根据如下公式确定的:
其中,Mi为第X防火墙访问控制策略中第i条防火墙策略的异常程度,NX为第X防火墙访问控制策略中包括的防火墙策略总数,Wir为第X防火墙访问控制策略中第i条防火墙策略与所述第X防火墙访问控制策略中其他NX-1条防火墙策略的异常程度权重。
较佳地,所述第X防火墙访问控制策略中第i条防火墙策略与所述第X防火墙访问控制策略中其他NX-1条防火墙策略的异常程度权重包括下列任一一项:
RA[order]<RB[order]且RA[action]≠RB[action],则确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙访问控制策略中第B条防火墙策略的异常程度权重为W1;或
RA[order]<RB[order]且RA[action]=RB[action],则确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙访问控制策略中第B条防火墙策略的异常程度权重为W2;或
且RA[action]≠RB[action],则确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙访问控制策略中第B条防火墙策略的异常程度权重为W3;或
且RA[action]=RB[action],则确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙访问控制策略中第B条防火墙策略的异常程度权重为W4;
其中,R[order]为防火墙访问控制策略中一条防火墙策略的规则序号;R[action]为防火墙访问控制策略中一条防火墙策略的动作部分;{R[filter]}为防火墙访问控制策略中规则R过滤域中所有子项的笛卡尔积。
较佳地,所述确定所述第X防火墙间的防火墙策略异常权重,包括:
根据下列公式确定所述第X防火墙间的防火墙策略异常权重:
其中,W′X为第X防火墙间的防火墙策略异常权重,M′Xi为第X防火墙访问控制策略中第i条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中所有防火墙策略的异常程度,NX为第X防火墙访问控制策略中包括的防火墙策略总数。
较佳地,所述第X防火墙访问控制策略中第i条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中所有防火墙策略的异常程度根据如下公式确定的:
其中,MX为第X防火墙访问控制策略中第i条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中所有防火墙策略的异常程度,NY为与第X防火墙紧邻的第Y防火墙访问控制策略中包括的防火墙策略总数,W′ir为第X防火墙访问控制策略中第i条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中任一一条防火墙策略的异常程度权重。
较佳地,所述第X防火墙访问控制策略中第i条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中任一一条防火墙策略的异常程度权重包括下列任一一项:
如果Fx,Fy∈Domain1,Fy为Fx的父级,FxRA[filter]=FyRB[filter],若FxRA[action]≠FyRB[action],则防火墙Fx的RA被Fy的RB覆盖,确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第B条防火墙策略的异常程度权重为W1;或
如果Fx,Fy∈Domain1,Fy为Fx的父级,若FxRA[action]≠FyRB[action],则防火墙Fx的RA被Fy的RB覆盖,确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第B条防火墙策略的异常程度权重为W1;或
如果Fx,Fy∈Domain1,Fy为Fx的父级,FxRA[filter]=FyRB[filter],若FxRA[action]=FyRB[action],则防火墙Fx的RA与Fy的RB冗余,确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第B条防火墙策略的异常程度权重为W2;或
如果Fx,Fy∈Domain1,Fy为Fx的父级,若FxRA[action]=FyRB[action],则防火墙Fx的RA与Fy的RB冗余,确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第B条防火墙策略的异常程度权重为为W2;或
如果Fx,Fy∈Domain1Fy为Fx的父级,FxRA[action]≠FyRB[action]则称FxRA与FyRB关联不规则,确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第B条防火墙策略的异常程度权重为为W3;
其中,R[filter]为防火墙控制策略中第i条防火墙策略的过滤部分;R[action]为防火墙控制策略中第i条防火墙策略的动作部分。
本发明实施例提供一种防火墙访问控制策略查错装置,包括:
接收单元:用于接收采集端发送的防火墙访问控制策略;所述防火墙访问控制策略中包括至少一条防火墙策略;
第一确定单元:用于获取第X防火墙访问控制策略,确定所述第X防火墙自身的防火墙策略异常权重;
第二确定单元:用于获取所述第X防火墙的紧邻防火墙访问控制策略,根据所述第X防火墙访问控制策略与所述紧邻防火墙的防问控制策略,确定防火墙间的防火墙策略异常权重;其中,所述紧邻防火墙为与所述第X防火墙存在直接父子关系的防火墙;
查错单元:根据所述第X防火墙自身的防火墙策略异常权重及所述防火墙间的防火墙策略异常权重确定所述第X防火墙访问控制策略的异常程度以供查错。
较佳地,所述第一确定单元具体用于:
根据下列公式确定第X防火墙自身的防火墙策略异常权重:
其中,WX为第X防火墙自身的防火墙策略异常权重,Mi为第X防火墙访问控制策略中第i条防火墙策略的异常程度,NX为第X防火墙访问控制策略中包括的防火墙策略总数。
较佳地,所述第一确定单元还用于:
所述防火墙访问控制策略中每条防火墙策略的异常程度根据如下公式确定的:
其中,Mi为第X防火墙访问控制策略中第i条防火墙策略的异常程度,NX为第X防火墙访问控制策略中包括的防火墙策略总数,Wir为第X防火墙访问控制策略中第i条防火墙策略与所述第X防火墙访问控制策略中NX-i条防火墙策略的异常程度权重。
较佳地,所述第一确定单元还用于:
RA[order]<RB[order]且RA[action]≠RB[action],则确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙访问控制策略中第B条防火墙策略的异常程度权重为W1;或
RA[order]<RB[order]且RA[action]=RB[action],则确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙访问控制策略中第B条防火墙策略的异常程度权重为W2;或
且RA[action]≠RB[action],则确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙访问控制策略中第B条防火墙策略的异常程度权重为W3;或
且RA[action]=RB[action],则确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙访问控制策略中第B条防火墙策略的异常程度权重为W4;
其中,R[order]为防火墙访问控制策略中一条防火墙策略的规则序号;R[action]为防火墙访问控制策略中一条防火墙策略的动作部分;{R[filter]}为防火墙访问控制策略中规则R过滤域中所有子项的笛卡尔积。
较佳地,所述第二确定单元具体用于:
根据下列公式确定所述第X防火墙间的防火墙策略异常权重:
其中,W′X为第X防火墙间的防火墙策略异常权重,M'Xi为第X防火墙访问控制策略中第i条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中所有防火墙策略的异常程度,NX为第X防火墙访问控制策略中包括的防火墙策略总数。
较佳地,所述第二确定单元还用于:
所述第X防火墙访问控制策略中任一一条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中所有防火墙策略的异常程度根据如下公式确定的:
其中,MX为第X防火墙访问控制策略中任一一条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中所有防火墙策略的异常程度,NY为与第x防火墙紧邻的第Y防火墙访问控制策略中包括的防火墙策略总数,W′ir为第X防火墙访问控制策略中第i条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中任一一条防火墙策略的异常程度权重。
较佳地,所述第二确定单元还用于:
如果Fx,Fy∈Domain1,Fx上级紧邻Fy,FxRA[filter]=FyRB[filter],若FxRA[action]≠FyRB[action],则防火墙Fx的RA被Fy的RB覆盖,确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第B条防火墙策略的异常程度权重为W1;或
如果Fx,Fy∈Domain1,Fx上级紧邻Fy,若FxRA[action]≠FyRB[action],则防火墙Fx的RA被Fy的RB覆盖,确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第B条防火墙策略的异常程度权重为W1;或
如果Fx,Fy∈Domain1,Fx上级紧邻Fy,FxRA[filter]=FyRB[filter],若FxRA[action]=FyRB[action],则防火墙Fx的RA与Fy的RB冗余,确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第B条防火墙策略的异常程度权重为W2;或
如果Fx,Fy∈Domain1,Fx上级紧邻Fy,若FxRA[action]=FyRB[action],则防火墙Fx的RA与Fy的RB冗余,确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第B条防火墙策略的异常程度权重为W2;或
如果Fx,Fy∈Domain1,Fx上级紧邻Fy,FxRA[action]≠FyRB[action]则称FxRA与FyRB关联不规则,确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第B条防火墙策略的异常程度权重为W3;
其中,R[filter]为防火墙控制策略中一条防火墙策略的过滤部分;R[action]为防火墙控制策略中一条防火墙策略的动作部分。
本发明实施例提供一种防火墙访问控制策略查错***,包括中央处理服务器;
采集端,用于采集防火墙防火访问控制策略,获取第X防火墙访问控制策略及所述第X防火墙的紧邻防火墙的防火墙访问控制策略,并发送给所述中央处理服务器;
访问控制策略基线数据库,用于为所述中央处理服务器提供防火墙策略异常权重算法及防火墙间的防火墙策略异常权重算法,并存储所述中央处理服务器确定的所述第X防火墙策略异常权重及所述第X防火墙间的防火墙策略异常权重。本发明实施例中接收采集端发送的防火墙访问控制策略;所述防火墙访问控制策略中包括至少一条防火墙策略;获取第X防火墙访问控制策略,确定所述第X防火墙自身的防火墙策略异常权重;获取所述第X防火墙的紧邻防火墙的防火墙访问控制策略,根据所述第X防火墙的防火墙策略与所述紧邻防火墙的防火墙策略,确定防火墙间的防火墙策略异常权重;其中,所述紧邻防火墙为与所述第X防火墙存在直接父子关系的防火墙;根据所述第X防火墙自身的防火墙策略异常权重及所述防火墙间的防火墙策略异常权重确定所述第X防火墙访问控制策略的异常程度以供查错。采用该方法,根据防火墙策略异常权重,可以确定单个防火墙权重,根据防火墙间策略异常权重,可以确定防火墙间策略异常权重,根据所述确定的防火墙策略异常权重及防火墙间策略异常权重的异常情况,能够及时向管理员指出最应优先解决存在问题的防火墙设备。
附图说明
图1为本发明实施例一提供的防火墙访问控制策略查错***示意图;
图2为本发明实施例二提供的一种火墙访问控制策略查错方法示意图;
图3为本发明实施例提供的采集端与防火墙设备交互方法示意图;
图4为本发明实施例提供的采集端与中央处理服务器交互方法示意图;
图5为本发明实施例提供的中央处理服务器与访问控制策略基线数据库交互方法示意图;
图6为本发明实施例提供的防火墙设备的相关信息示意图;
图7为本发明实施例提供的同一网络下的多个防火墙设备构建的树形结构示意图;
图8为本发明实施例提供的确定防火墙策略异常权重方法示意图;
图9为本发明实施例提供的确定防火墙与该防火墙紧邻防火墙之间的防火墙策略异常权重方法示意图;
图10为本发明实施例提供的中央处理服务器将查错结果发送给电子邮件服务器示意图;
图11为本发明实施例三提供的一种防火墙访问控制策略查错装置示意图。
具体实施方式
本发明实施例中接收采集端发送的防火墙访问控制策略;所述防火墙访问控制策略中包括至少一条防火墙策略;获取第X防火墙访问控制策略,确定所述第X防火墙自身的防火墙策略异常权重;获取所述第X防火墙的紧邻防火墙的防火墙访问控制策略,根据所述第X防火墙的防火墙策略与所述紧邻防火墙的防火墙策略,确定防火墙间的防火墙策略异常权重;其中,所述紧邻防火墙为与所述第X防火墙存在直接父子关系的防火墙;确定所述第X防火墙自身的防火墙策略异常权重及所述防火墙间的防火墙策略异常权重以供查错;所述第X防火墙访问控制策略中包括i(i>1)条防火墙策略。采用该方法,根据防火墙策略异常权重,可以确定单个防火墙权重,根据防火墙间策略异常权重,可以确定防火墙间策略异常权重,根据所述确定的防火墙策略异常权重及防火墙间策略异常权重的异常情况,能够及时向管理员指出最应优先解决存在问题的防火墙设备。
为了使本发明所解决的技术问题、技术方案及有益效果更加清楚明白,以下结合附图及实施例对本发明的优选实施例进行说明。应该理解,此处所描述的优选实施例仅仅用以说明和解释本发明,并不用于限定本发明,并且在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
实施例一
本发明实施例一中的一种防火墙访问控制策略查错***,如图1所示,主要包括采集端、中央处理服务器、访问控制策略基线数据库和电子邮件服务器。
其中,采集端设备主要为计算机,其中,计算机主要包括笔记本型计算机,而且计算机中需要包括管理口与3G(3rd-Generation)/4G(the 4Generation mobilecommunication)上网卡。
采集端包含采集适配接口,认证模块,设备数据采集模块,设备信息编辑模块,数据加密模块,数据传输模块,移动网络接口。采集端的主要功能为采集分布式防火墙访问控制策略,编辑防火墙设备标识、标注关联安全域信息及紧邻防火墙信息,结构化设备信息,加密防火墙设备数据,连接3G/4G移动互联网,上传数据至中央处理服务器。
中央处理服务器包含认证模块,解密模块,计算模块,存储模块,告警通知模块,数据库接口。中央处理服务器的主要功能有对收集到的防火墙访问控制策略数据进行解密,把防火墙设备信息及访问控制策略归类存入数据库,检查防火墙控制策略。
访问控制策略基线数据库的主要功能为存储访问控制策略检查规则,访问控制策略检查算法,防火墙设备标识信息,安全域级信息,防火墙策略数据,设备管理员认证信息。
本发明实施例中,针对包含多级安全域下的大型网络中的防火墙访问控制策略,构建了一种防火墙访问控制策略查错***,该***基于高速移动网络(3G/4G)的安全策略集中查错***框架。自适应采集端与防火墙设备直接连接,获取防火墙相关信息后进行加密,通过3G或4G移动网把加密数据上传至中央处理服务器,由中央处理服务器区分不同防火墙所在的安全域关系,自动建立防火墙关系树,进行独立防火墙策略异常权重计算和防火墙之间策略异常权重计算,能够及时将计算结果发送给管理员,并且向管理员的指出最应优先解决的防火墙设备。
实施例二
如图2所示,本发明实施例二提供一种防火墙访问控制策略查错方法,包括如下步骤:
步骤101,接收采集端发送的防火墙访问控制策略;所述防火墙访问控制策略中包括至少一条防火墙策略;
步骤102,获取第X防火墙访问控制策略,确定所述第X防火墙自身的防火墙策略异常权重;
步骤103,获取所述第X防火墙的紧邻防火墙的防火墙访问控制策略,根据所述第X防火墙的防火墙策略与所述紧邻防火墙的防火墙策略,确定防火墙间的防火墙策略异常权重;其中,所述紧邻防火墙为与所述第X防火墙存在直接父子关系的防火墙;
步骤104,根据所述第X防火墙自身的防火墙策略异常权重及所述防火墙间的防火墙策略异常权重确定所述第X防火墙访问控制策略的异常程度以供查错。
在步骤101中,接收采集端发送的防火墙访问控制策略;
在本发明实施例中,采集端通过防火墙设备的管理口连接防火墙设备和采集终端,具体如图3所示。
通过管理口在所述防火墙设备和所述采集端之间建立连接,采集端的采集适配接口自动识别防火墙设备型号,进行匹配连接,然后触发采集端认证模块中的认证服务,将防火墙设备的账号输入到采集端中,若认证模块通过输入的防火墙设备的账号,则采集端的设备数据采集模块将自动采集防火墙身份识别码,并且获取防火墙访问控制策略;本发明实施例中,所述防火墙访问控制策略中包括至少一条防火墙策略。
若认证模块没有通过输入的防火墙设备的账号,则返回到账号输入的界面。
当采集端的设备数据采集模块完成数据采集后,将对采集到的防火墙设备的身份识别码及防火墙访问控制策略信息进行编辑,其中,本发明实施例中,采集端的设备信息编辑模块负责对设备数据采集模块采集到的信息进行编辑,将采集模块采集到的防火墙设备的身份识别码及防火墙访问控制策略信息输入到信息编辑模块中,其中信息编辑模块主要获得防火墙设备的基本信息:归属地信息,设备型号,端口个数。
进一步地,若所述防火墙设备存在紧邻的上级安全域,则将每个紧邻上级安全域标识信息、每个紧邻上级安全域的边界防火墙端口IP地址(Internet Protocol Address)和每个接入紧邻上级安全域的端口IP地址输入到信息编辑模块中。若所述防火墙设备存在紧邻的下级安全域标识,则将每个紧邻下级安全域的标识信息、和每个接入紧邻下级安全域的端口IP地址输入到信息编辑模块中。
进一步地,若不存在紧邻上级安全域,则在信息编码模块中不输入紧邻上级安全域信息;若不存在紧邻下级安全域,则在信息编码模块中不输入紧邻下级安全域信息。本发明实施例中,防火墙设备可以存在多个紧邻上级安全域,也可以不存在紧邻上级安全域,相应的,防火墙设备可以存在多个紧邻下级安全域,也可以不存在紧邻下级安全域。本发明实施例对防火墙设备的上级安全域的数量不做限定,对防火墙设备的紧邻下级安全域的数量也不做限定。
进一步地,本发明实施例可以通过可扩展标记语言(Extensible MarkupLanguage,XML)对防火墙设备的录入信息进行结构化处理。
在采集端中的设备信息编辑模块中完成输入信息后,为了保证防火墙设备信息的安全,采集端的数据加密模块需要对输入的信息进行加密,本发明实施例中,对采集到的防火墙设备数据采用非对称加密方法,其中,非对称加密方法是使用公钥对采集的到的防火墙设备数据进行加密,该加密文件只能被中央处理服务器的私钥解密。在本发明实施例中,对进入到数据加密模块的数据采用的加密方法不做限定。
采集端的数据加密模块对采集到的防火墙设备数据完成加密后,将加密的防火墙设备数据传输到采集端的数据传输模块,数据传输模块通过采集端的移动网络接口将防火墙设备数据传输到中央处理服务器中。其中,数据传输模块在进行传输之前,需要先输入账户口令,设置中央处理服务器的服务地址。
采集端的数据传输模块向中央处理服务器传输加密后防火墙设备数据的过程如图4所示,采集端的移动网络接口先通过3G/4G移动网络向中央处理服务器请求连接,中央处理服务中的认证模块首先被调用,认证模块需要先判断采集端是否为可信用户。若采集端为可信用户,则接收采集端发送的防火墙设备数据,中央处理服务器接收到采集端发送的防火墙设备数据后,向采集端发送接收成功的响应;若采集端为不可信用户,则中央处理服务器拒绝采集端发送的请求,向采集端返回采集端账户或密码错误信息。
当中央处理服务器接收到采集端发送的防火墙设备数据后,中央处理服务器与访问控制策略基线数据库之间进行数据交互,具体如图5所示。
由于采集端在向中央处理器发送防火墙设备数据之前,采集端的数据加密模块对采集到的防火墙设备数据进行了加密,所以,中央处理服务器接收到采集端发送的防火墙设备数据后,需要先对加密的防火墙数据进行解密处理。
中央处理服务器中的解密模块使用与采集端数据加密模块相对应的私钥对加密后防火墙设备数据进行解密,获得解密的防火墙设备数据后,需要进一步的对防火墙设备数据进行解析,获得防火墙设备的相关信息,具体如图6所示,获得防火墙设备的相关信息包括:①防火墙设备身份识别码,②归属地信息,③设备型号,④端口个数,⑤紧邻上级安全域标识,⑥紧邻上级安全域的边界防火墙端口IP地址,⑦接入紧邻上级安全域的端口IP地址,⑧紧邻下级安全域标识,⑨接入紧邻下级安全域的端口IP地址,⑩防火墙访问控制策略数据。
进一步地,中央处理服务器中根据防火墙设备的上下紧邻安全域标识和上下邻安全域对应端口IP地址等信息,可以确定防火墙设备相关联的防火墙设备,将防火墙设备相关联的防火墙设备数据存储到中央中央处理服务器中的存储模块中。
在步骤102中,获取第X防火墙访问控制策略,确定所述第X防火墙自身的防火墙策略异常权重;
本发明实施例中,同一网络下的多个防火墙设备可以构建一个如图7所示的树形结构,采用该结构可以利用防火墙间的上下级互联关系,便于在计算机中存储、查找、分析及查错计算。在同一个网络内的防火墙设备控制策略都是根据一个安全策略来制定的,所以可以确定在同一个网络***内的防火墙***是否能达到预期安全防护效果,一方面取决于每个防火墙设备的策略是否配置正确,另一方面取决于防火墙设备的相关联防火墙设备间策略之间是否能协同工作,不发生冲突。
中央处理服务器中对采集到的防火墙设备数据完成解析获得防火墙设备相关数据之后,需要中央处理服务器中的查错功能对防火墙设备相关数据进行查错检测,在进行查错的时候,需要先调用访问控制策略基线数据库中的防火墙安全基线检测表,对防火墙访问控制策略进行安全基线检测,若检测防火墙访问控制策略符合防火墙安全基线,则认为该防火墙访问控制策略是安全的;若检测防火墙访问控制策略不符合防火墙安全基线,则认为该防火墙访问控制策略是不安全。
当防火墙访问控制策略不符合防火墙安全基线后,需要对该防火墙访问控制策略进行算法检测及对该防火墙设备相关联的防火墙设备数据进行算法检测。
本发明实施例中,防火墙的安全域可以定义如下:
F[domain],domain∈{1,2,3,4,…,+∞}。
防火墙访问控制策略中一条规则的定义包括如下:
防火墙访问控制策略规则序号:R[order]∈{1,2,3,4,…,+∞}。
防火墙访问控制策略过滤部分:R[filter]∈{协议类型,源IP地址,源地址端口,目标IP地址,目标地址端口}。
防火墙访问控制策略动作部分:
本发明实施例中,基于防火墙策略异常权重对独立防火墙访问控制策略进行检测。
对独立防火墙策略异常权重的计算方法主要包括下列步骤,具体如图8所示:
步骤1021、确定每条防火墙策略是否相关;
在本发明实施例中,将防火墙访问控制策略过滤部分R过滤域中所有子项的笛卡儿积称为规则R所匹配的数据包过滤集合,记为{R[filter]},当 则称防火墙访问控制策略中第A条防火墙策略与第B条防火墙策略相关,若则称防火墙访问控制策略中第A条防火墙策略与第B条防火墙策略不相关。
在本发明实施例中,当RA[filter]与RB[filter]所匹配的数据包过滤集合出现交叠或覆盖或相等时,可能导致防火墙访问控制策略中第A条防火墙策略的规则RA或第B条防火墙策略的规则RB无法生效,与预先设定的安全策略相悖。
步骤1022、确定每条防火墙策略的异常程度;
在本发明实施例中,防火墙访问控制策略中每条防火墙策略的异常程度根据公式(1)确定的:
在公式中,Mi为第X防火墙访问控制策略中第i条防火墙策略的异常程度,NX为第X防火墙访问控制策略中包括的防火墙策略总数,Wir为第X防火墙访问控制策略中第i条防火墙策略与所述第X防火墙访问控制策略中其他NX-1条防火墙策略的异常程度权重。
进一步,所述第X防火墙访问控制策略中第i条防火墙策略与所述第X防火墙访问控制策略中其他NX-1条防火墙策略的异常程度权重包括下列任一一项:
RA[order]<RB[order]且RA[action]≠RB[action],则确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙访问控制策略中第B条防火墙策略的异常程度权重为W1;或
RA[order]<RB[order]且RA[action]=RB[action],则确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙访问控制策略中第B条防火墙策略的异常程度权重为W2;或
且RA[action]≠RB[action],则确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙访问控制策略中第B条防火墙策略的异常程度权重为W3;或
且RA[action]=RB[action],则确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙访问控制策略中第B条防火墙策略的异常程度权重为W4;
其中,R[order]为防火墙访问控制策略中一条防火墙策略的规则序号;R[action]为防火墙访问控制策略中一条防火墙策略的动作部分;{R[filter]}为防火墙访问控制策略中规则R过滤域中所有子项的笛卡尔积。
比如,独立防火墙访问控制策略中包括4条防火墙策略,其中,第一条防火墙策略相对于其它三条防火墙策略的异常程度权重包括下列三种情况:
第一种:第一条防火墙策略相对于第二条防火墙策略的异常程度权重会包括下列任一一项:
1)、如果R1[order]<R2[order]且R1[action]≠R2[action],则规则R2无法起到作用。确定第一条防火墙策略相对于第二条防火墙策略的异常程度权重为W1。
2)、如果且R1[action]=R2[action],则规则R2冗余。确定第一条防火墙策略相对于第二条防火墙策略的异常程度权重为W2。
3)、如果规则R1与规则R2相关, 且R1[action]≠R2[action],则规则R1与规则R2冲突,确定第一条防火墙策略相对于第二条防火墙策略的异常程度权重为W3。
4)、如果规则R1与规则R2相关, 且R1[action]=R2[action],则规则R1与规则R2重叠,确定第一条防火墙策略相对于第二条防火墙策略的异常程度权重为W4。
第二种:第一条防火墙策略相对于第三条防火墙策略的异常程度权重会包括下列任一一项:
1)、如果R3[order]且R1[action]≠R3[action],则规则R3无法起到作用。确定第一条防火墙策略相对于第三条防火墙策略的异常程度权重为W1。
2)、如果R3[order]且R1[action]=R3[action],则规则R3冗余。确定第一条防火墙策略相对于第三条防火墙策略的异常程度权重为W2。
3)、如果规则R1与规则R3相关, 且R1[action]≠R3[action],则规则R1与规则R3冲突,确定第一条防火墙策略相对于第三条防火墙策略的异常程度权重为W3。
4)、如果规则R1与规则R3相关, 且R1[action]=R3[action],则规则R1与规则R3重叠,确定第一条防火墙策略相对于第三条防火墙策略的异常程度权重为W4。
第三种:第一条防火墙策略相对于第四条防火墙策略的异常程度权重会包括下列任一一项:
1)、如果且R1[action]≠R4[action],则规则R4无法起到作用。确定第一条防火墙策略相对于第四条防火墙策略的异常程度权重为W1。
2)、如果且R1[action]=R4[action],则规则R4冗余。确定第一条防火墙策略相对于第四条防火墙策略的异常程度权重为W2。
3)、如果规则R1与规则R4相关, 且R1[action]≠R4[action],则规则R1与规则R4冲突,确定第一条防火墙策略相对于第四条防火墙策略的异常程度权重为W3。
4)、如果规则R1与规则R4相关, 且R1[action]=R4[action],则规则R1与规则R4重叠,确定第一条防火墙策略相对于第四条防火墙策略的异常程度权重为W4。
根据上述分析,可以确定独立防火墙访问控制策略中第一条防火墙策略的异常程度,由于第一条防火墙策略相对于其它三条防火墙策略的异常程度权重分别会至少有四中情况,所以,第一条防火墙策略的异常程度主要包括下列几种情况:
1)、若第一条防火墙策略相对于第二条防火墙策略的异常程度权重为W1;第一条防火墙策略相对于第三条防火墙策略的异常程度权重为W1;第一条防火墙策略相对于第四条防火墙策略的异常程度权重为W1;根据公式(1)可以确定第一条防火墙策略的异常程度:
2)、若第一条防火墙策略相对于第二条防火墙策略的异常程度权重为W1;确定第一条防火墙策略相对于第三条防火墙策略的异常程度权重为W1;第一条防火墙策略相对于第四条防火墙策略的异常程度权重为W2;根据公式(1)可以确定第一条防火墙策略的异常程度:
本发明实施例中,对第一条防火墙策略的异常程度仅仅介绍了上面两种情况,对其它类似的情况不在一一解释,总之,第一条防火墙的异常程度是同一个独立防火墙之下,第一条防火墙与其它各个防火墙之间的异常程度权重之和。
步骤1023、确定同一防火墙策略异常权重;
本发明实施例中,对于同一独立防火墙中第一条防火墙的异常程度确定之后,还需要确定第二条防火墙的异常程度,确定第三条防火墙的异常程度等,直到将同一独立防火墙中到数第二条防火墙的异常程度确定之后,同一独立防火墙中每条防火墙的异常程度全确定。
将同一独立防火中每条防火墙的异常程度确定之后,根据公式(2),可以确定防火墙策略异常权重:
其中,WX为第X防火墙自身的防火墙策略异常权重,Mi为第X防火墙访问控制策略中第i条防火墙策略的异常程度,NX为第X防火墙访问控制策略中包括的防火墙策略总数。
比如,若同一防火墙访问控制策略中包括4条防火墙策略,其中,第一条防火墙策略的异常程度M1r,第二条防火墙策略的异常程度为M2r,第三条防火墙策略的异常程度M3r,则可以确定独立防火墙访问控制策略的异常程度为M1r+M2r+M3r,即独立防火墙策略异常权重为W=M1r+M2r+M3r
本发明实施例中,假设同一防火墙访问控制策略中包括4条防火墙策略,在步骤1022中,确定每条防火墙策略的异常程度的时候,可以按照从第一条防火墙策略相对于第二条、第三条、第四条防火墙策略进行计算第一条防火墙策略的异常程度;也可以按照第四条防火墙策略相对于第三条、第二条、第一条防火墙策略计算最后第四条防火墙策略的异常程度;本发明实施例对确定每条防火墙策略的异常程度的计算先后顺序不做具体限定。
进一步地,若是按照从第一条防火墙策略相对于第二条、第三条、第四条防火墙策略进行计算第一条防火墙策略的异常程度,则计算第二条防火墙策略的异常程度时,可以从第二条相对于第三条、第四条防火墙策略进行计算第二条防火墙策略的异常程度;也可以从第二条相对于第一条、第三条、第四条防火墙策略进行计算第二条防火墙策略的异常程度。
若是按照从第二条相对于第三条、第四条防火墙策略进行计算第二条防火墙策略的异常程度,则计算第三条防火墙策略的异常程度时,必须按照第四条防火墙策略进行计算第三条防火墙策略的异常程度,并且,第四条防火墙策略的异常程度不用计算,也就是若同一防火墙访问控制策略中包括4条防火墙策略,只计算该防火墙访问控制策略中前3条防火墙策略的异常程度。
若是按照从第二条相对于第一条、第三条、第四条防火墙策略进行计算第二条防火墙策略的异常程度,则计算第三条防火墙策略的异常程度时,必须按照第一条、第二条、第四条防火墙策略进行计算第三条防火墙策略的异常程度;第四条防火墙策略的异常程度按照第一条、第二条、第三条防火墙策略进行计算;也就是若同一防火墙访问控制策略中包括4条防火墙策略,必须计算每条防火墙策略相对其它防火强撑策略的异常程度。
本发明实施例对确定每条防火墙策略的异常程度的具体算法不做限定。
步骤103,获取所述第X防火墙的紧邻防火墙的防火墙访问控制策略,根据所述第X防火墙的防火墙策略与所述紧邻防火墙的防火墙策略,确定防火墙间的防火墙策略异常权重;其中,所述紧邻防火墙为与所述第X防火墙存在直接父子关系的防火墙;
本发明实施例中,若采集端采集的防火墙设备数据中该防火墙设备不存在紧邻上级安全域,也不存在紧邻下级安全域,则可以确定该防火墙设备是单独存在的,相应的,该防火墙设备就不存在相关联的防火墙设备。则不需要进行步骤103。
若采集端采集的防火墙设备数据中该防火墙设备存在紧邻上级安全域、或者存在紧邻下级安全域、或者同时存在紧邻上级安全域和紧邻下级安全域;则可以确定该防火墙设备存在相关联的防火墙设备。
本发明实施例中,关联防火墙树F是包含n个防火墙的有穷集合(n>0)。关系满足以下条件:
有且仅有一个防火墙f0∈F,没有紧邻上级防火墙,f0为防火墙树的根;
F中的每个防火墙均包含安全域Domain,Domain>0;
同一个Domain中的多个防火墙fx,互为紧邻关系,x≥2;
如果fx为fy的父级,则fy为fx的子级;
如果fy为fx的子级,则fx为fy的父级;
除防火墙f0外,F中的每个防火墙均有至少一个紧邻上级防火墙;
F中的每个防火墙均有0个或多个紧邻下级防火墙。
本发明实施例中,以fy为fx的子级(fx为fy的父级)为例,如图9所示,对防火墙间策略异常权重的计算方法进行具体说明:
步骤1031、确定第X防火墙访问控制策略中每条防火墙策略与第Y防火墙访问控制策略中每条防火墙策略是否相关;
在关联防火墙树T中,若则称第X防火墙访问控制策略中第A条防火墙策略与第Y防火墙访问控制策略中第B条防火墙策略相关;若则称第X防火墙访问控制策略中第A条防火墙策略与第Y防火墙访问控制策略中第B条防火墙策略不相关。
在本发明实施例中,当可能导致第X防火墙访问控制策略中第A条防火墙策略与第Y防火墙访问控制策略中第B条防火墙策略产生不规则的现象。
步骤1032、确定第X防火墙访问控制策略中每条防火墙策略的异常程度;
在本发明实施例中,所述第X防火墙访问控制策略中每条防火墙策略的异常程度根据公式(3)确定的:
其中,MX为第X防火墙访问控制策略中第i条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中所有防火墙策略的异常程度,NY为与第X防火墙紧邻的第Y防火墙访问控制策略中包括的防火墙策略总数,W′ir为第X防火墙访问控制策略中第i条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中任一一条防火墙策略的异常程度权重。
进一步地,所述第X防火墙访问控制策略中第i条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中任一一条防火墙策略的异常程度权重包括下列任一一项:
如果Fx,Fy∈Domain1,Fy为Fx的父级,FxRA[filter]=FyRB[filter],若FxRA[action]≠FyRB[action],则防火墙Fx的RA被Fy的RB覆盖,确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第B条防火墙策略的异常程度权重为W1;或
如果Fx,Fy∈Domain1,Fy为Fx的父级,若FxRA[action]≠FyRB[action],则防火墙Fx的RA被Fy的RB覆盖,确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第B条防火墙策略的异常程度权重为W1;或
如果Fx,Fy∈Domain1,Fy为Fx的父级,FxRA[filter]=FyRB[filter],若FxRA[action]=FyRB[action],则防火墙Fx的RA与Fy的RB冗余,确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第B条防火墙策略的异常程度权重为W2;或
如果Fx,Fy∈Domain1,Fy为Fx的父级,若FxRA[action]=FyRB[action],则防火墙Fx的RA与Fy的RB冗余,确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第B条防火墙策略的异常程度权重为为W2;或
如果Fx,Fy∈Domain1Fy为Fx的父级,FxRA[action]≠FyRB[action]则称FxRA与FyRB关联不规则,确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第B条防火墙策略的异常程度权重为为W3;
其中,R[filter]为防火墙控制策略中第i条防火墙策略的过滤部分;R[action]为防火墙控制策略中第i条防火墙策略的动作部分。
进一步地,FxRA[filter]为第X防火墙访问控制策略中的第RA条防火墙策略的过滤部分,FyRB[filter]为第Y防火墙访问控制策略中的第RB条防火墙策略的过滤部分;FxRA[action]为第X防火墙访问控制策略中第RA防火墙策略的动作部分,FyRB[action]为第Y防火墙访问控制策略中第RB防火墙策略的动作部分。
比如,第X防火墙访问控制策略中包括4条防火墙策略,第Y防火墙墙访问控制策略中包括3条防火墙策略,则第X防火墙访问控制策略中第一条防火墙策略相对于第X防火墙紧邻的第Y防火墙访问控制策略中第一条防火墙策略的异常程度权重包括下列三种情况:
第一种:第X防火墙访问控制策略中第一条防火墙策略相对于第X防火墙紧邻的第Y防火墙访问控制策略中第一条防火墙策略的异常程度权重包括下列任一一项:
1)、如果Fx,Fy∈Domain1,Fx上级紧邻Fy,FxR1[filter]=FyR1[filter],若FxR1[action]≠FyR1[action],则防火墙Fx的R1被Fy的R1覆盖,确定所述第X防火墙访问控制策略中第一条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第一条防火墙策略的异常程度权重为W1。
2)、如果Fx,Fy∈Domain1,Fx上级紧邻Fy,若FxR1[action]≠FyR1[action],则防火墙Fx的R1被Fy的R1覆盖,确定所述第X防火墙访问控制策略中第一条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第一条防火墙策略的异常程度权重为W1。
3)、如果Fx,Fy∈Domain1,Fx上级紧邻Fy,FxR1[filter]=FyR1[filter],若FxR1[action]=FyR1[action],则防火墙Fx的R1与Fy的R1冗余,确定所述第X防火墙访问控制策略中第一条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第一条防火墙策略的异常程度权重为W2。
4)、如果Fx,Fy∈Domain1,Fx上级紧邻Fy,若FxR1[action]=FyR1[action],则防火墙Fx的R1与Fy的R1冗余,确定所述第X防火墙访问控制策略中第一条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第一条防火墙策略的异常程度权重为W2。
5)、如果Fx,Fy∈Domain1,Fx上级紧邻Fy, FxR1[action]≠FyR1[action]则称FxR1与FyR1关联不规则,确定所述第X防火墙访问控制策略中第一条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第一条防火墙策略的异常程度权重为W3。
第二种:第X防火墙访问控制策略中第一条防火墙策略相对于第X防火墙紧邻的第Y防火墙访问控制策略中第二条防火墙策略的异常程度权重包括下列任一一项:
1)、如果Fx,Fy∈Domain1,Fx上级紧邻Fy,FxR1[filter]=FyR2[filter],若FxR1[action]≠FyR2[action],则防火墙Fx的R1被Fy的R2覆盖,确定所述第X防火墙访问控制策略中第一条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第二条防火墙策略的异常程度权重为W1。
2)、如果Fx,Fy∈Domain1,Fx上级紧邻Fy,若FxR1[action]≠FyR2[action],则防火墙Fx的R1被Fy的R2覆盖,确定所述第X防火墙访问控制策略中第一条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第二条防火墙策略的异常程度权重为W1。
3)、如果Fx,Fy∈Domain1,Fx上级紧邻Fy,FxR1[filter]=FyR2[filter],若FxR1[action]=FyR2[action],则防火墙Fx的R1与Fy的R2冗余,确定所述第X防火墙访问控制策略中第一条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第二条防火墙策略的异常程度权重为W2。
4)、如果Fx,Fy∈Domain1,Fx上级紧邻Fy,若FxR1[action]=FyR2[action],则防火墙Fx的R1与Fy的R2冗余,确定所述第X防火墙访问控制策略中第一条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第二条防火墙策略的异常程度权重为W2。
5)、如果Fx,Fy∈Domain1,Fx上级紧邻Fy, FxR1[action]≠FyR2[action]则称FxR1与FyR2关联不规则,确定所述第X防火墙访问控制策略中第一条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第二条防火墙策略的异常程度权重为W3。
第三种:第X防火墙访问控制策略中第一条防火墙策略相对于第X防火墙紧邻的第Y防火墙访问控制策略中第三条防火墙策略的异常程度权重包括下列任一一项:
1)、如果Fx,Fy∈Domain1,Fx上级紧邻Fy,FxR1[filter]=FyR3[filter],若FxR1[action]≠FyR3[action],则防火墙Fx的R1被Fy的R3覆盖,确定所述第X防火墙访问控制策略中第一条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第三条防火墙策略的异常程度权重为W1。
2)、如果Fx,Fy∈Domain1,Fx上级紧邻Fy,若FxR1[action]≠FyR3[action],则防火墙Fx的R1被Fy的R3覆盖,确定所述第X防火墙访问控制策略中第一条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第三条防火墙策略的异常程度权重为W1。
3)、如果Fx,Fy∈Domain1,Fx上级紧邻Fy,FxR1[filter]=FyR3[filter],若FxR1[action]=FyR3[action],则防火墙Fx的R1与Fy的R3冗余,确定所述第X防火墙访问控制策略中第一条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第三条防火墙策略的异常程度权重为W2。
4)、如果Fx,Fy∈Domain1,Fx上级紧邻Fy,若FxR1[action]=FyR3[action],则防火墙Fx的R1与Fy的R3冗余,确定所述第X防火墙访问控制策略中第一条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第三条防火墙策略的异常程度权重为W2。
5)、如果Fx,Fy∈Domain1,Fx上级紧邻Fy, FxR1[action]≠FyR3[action]则称FxR1与FyR3关联不规则,确定所述第X防火墙访问控制策略中第一条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第三条防火墙策略的异常程度权重为W3。
根据上述分析,可以确定第X防火墙访问控制策略中第一条防火墙策略的异常程度,由于第X防火墙访问控制策略中第一条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中任一一条防火墙策略的异常程度权重分别会至少有四中情况,所以,第X防火墙访问控制策略中第一条防火墙策略的异常程度主要包括下列几种情况:
1)、若第X防火墙访问控制策略中第一条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第一条防火墙策略异常程度权重为W1;若第X防火墙访问控制策略中第一条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第二条防火墙策略异常程度权重为W1;若第X防火墙访问控制策略中第一条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第三条防火墙策略异常程度权重为W1;根据公式(3)可以确定第X防火墙访问控制策略中第一条防火墙策略异常程度为:
2)、若第X防火墙访问控制策略中第一条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第一条防火墙策略异常程度权重为W1;若第X防火墙访问控制策略中第一条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第二条防火墙策略异常程度权重为W1;若第X防火墙访问控制策略中第一条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第三条防火墙策略异常程度权重为W2;根据公式(3)可以确定第X防火墙访问控制策略中第一条防火墙策略异常程度为:
本发明实施例中,对第X防火墙访问控制策略中第一条防火墙策略异常程度仅仅介绍了上面两种情况,对其它类似的情况不在一一解释,总之,第X防火墙访问控制策略中第一条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中任一一条防火墙策略异常程度权重之和,为第X防火墙访问控制策略中第一条防火墙策略异常程度。
步骤1033、确定防火墙与所述防火墙紧邻防火墙之间的防火墙策略异常权重;
在本发明实施例中,对于第X防火墙访问控制策略中第一条防火墙策略相对于第X防火墙紧邻的第Y防火墙访问控制策略中任一一条防火墙策略的异常程度权重确定之后,还需要确定第X防火墙访问控制策略中第二条防火墙策略相对于第X防火墙紧邻的第Y防火墙访问控制策略中任一一条防火墙策略的异常程度权重;第X防火墙访问控制策略中第三条防火墙策略相对于第X防火墙紧邻的第Y防火墙访问控制策略中任一一条防火墙策略的异常程度权重;第X防火墙访问控制策略中第四条防火墙策略相对于第X防火墙紧邻的第Y防火墙访问控制策略中任一一条防火墙策略的异常程度权重;将第X防火墙访问控制策略中包括的4条防火墙策略相对于第X防火墙紧邻的第Y防火墙访问控制策略中任一一条防火墙策略的异常程度权重确定之后,第X防火墙与所述第X防火墙紧邻第Y防火墙之间的防火墙策略异常权重才能确定。
将第X防火墙访问控制策略中包括的每条防火墙策略相对于第X防火墙紧邻的第Y防火墙访问控制策略中任一一条防火墙策略的异常程度权重确定之后,根据公式公式(4),可以确定第X防火墙与所述第X防火墙紧邻第Y防火墙之间的防火墙策略异常权重:
其中,W′X为第X防火墙间的防火墙策略异常权重,M'Xi为第X防火墙访问控制策略中第i条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中所有防火墙策略的异常程度,NX为第X防火墙访问控制策略中包括的防火墙策略总数。
比如,第X防火墙访问控制策略中包括4条防火墙策略,与第X防火墙紧邻的第Y防火墙访问控制策略中包括3条防火墙策略,其中,第X防火墙访问控制策略中包括的第一条防火墙策略相对与第X防火墙紧邻的第Y防火墙访问控制策略中防火墙策略的异常程度权重MX1;第X防火墙访问控制策略中包括的第二条防火墙策略相对与第X防火墙紧邻的第Y防火墙访问控制策略中防火墙策略的异常程度权重MX2;第X防火墙访问控制策略中包括的第三条防火墙策略相对与第X防火墙紧邻的第Y防火墙访问控制策略中防火墙策略的异常程度权重MX3;第X防火墙访问控制策略中包括的第四条防火墙策略相对与第X防火墙紧邻的第Y防火墙访问控制策略中防火墙策略的异常程度权重MX4
则根据公式(4),可以确定第X防火墙与所述第X防火墙紧邻第Y防火墙之间的防火墙策略异常权重为:
本发明实施例中,假设第X防火墙访问控制策略中包括4条防火墙策略,与第X防火墙紧邻的第Y防火墙访问控制策略中包括3条防火墙策略,在步骤1032中,确定第X防火墙访问控制策略中每条防火墙策略的异常程度的时候,可以按照第X防火墙访问控制策略中第一条防火墙策略相对于第Y防火墙访问控制策略中第一条、第二条、第三条防火墙策略进行计算第X防火墙访问控制策略中第一条防火墙策略异常程度;可以按照第X防火墙访问控制策略中第四条防火墙策略相对于第Y防火墙访问控制策略中第一条、第二条、第三条防火墙策略进行计算第X防火墙访问控制策略中第一条防火墙策略异常程度;本发明实施例中,确定第X防火墙访问控制策略中每条防火墙策略的异常程度计算先后顺序不做具体限定。
进一步地,若是按照第X防火墙访问控制策略中第一条防火墙策略相对于第Y防火墙访问控制策略中第一条、第二条、第三条防火墙策略进行计算第X防火墙访问控制策略中第一条防火墙策略异常程度,则可以依照顺序依次计算第X防火墙访问控制策略中第二条、第三条、第四条防火墙策略规则的错误程度。若是按照第X防火墙访问控制策略中第四条防火墙策略相对于第Y防火墙访问控制策略中第一条、第二条、第三条防火墙策略进行计算第X防火墙访问控制策略中第一条防火墙策略异常程度;则可以依照顺序依次计算第X防火墙访问控制策略中第三条、第二条、第一条防火墙策略规则的错误程度。
中央处理服务器中查错功能对防火墙设备相关数据进行查错检测之后,根据防火墙策略异常权重和防火墙与所述防火墙紧邻防火墙之间的防火墙策略异常权重,可以确定出防火墙策略异常权重值较大独立防火墙,同时也可以确定出防火墙策略异常权重值较大防火墙相关联的防火墙设备。
在步骤104中,根据所述第X防火墙自身的防火墙策略异常权重及所述防火墙间的防火墙策略异常权重确定所述第X防火墙访问控制策略的异常程度以供查错。
如图10所示,中央处理服务器根据最后确定的各个独立防火墙策略异常权重和防火墙与所述防火墙紧邻防火墙之间的防火墙策略异常权重值,通过中央处理器中的存储模块和数据库接口发送给访问控制策略基线数据库,访问控制策略基线数据库将接收到的所有数据以日志的进行存储。
进一步地,中央处理服务器将确定的各个独立防火墙策略异常权重和防火墙与所述防火墙紧邻防火墙之间的防火墙策略异常权重值通过告警模块发送给电子邮件服务器。本发明实施例中,管理员根据子邮件服务器接收的各个独立防火墙策略异常权重和防火墙与所述防火墙紧邻防火墙之间的防火墙策略异常权重值,可以比较容易的确定最应优先解决的防火墙设备。
本发明实施例中接收采集端发送的防火墙访问控制策略;根据所述防火墙访问控制策略,确定所述防火墙策略异常权重;根据所述防火墙的紧邻防火墙,确定所述防火墙与所述防火墙紧邻防火墙之间的防火墙策略异常权重;其中所述防火墙的紧邻防火墙为与所述防火墙存在父子关系的防火墙。采用该方法,根据防火墙策略异常权重,可以确定单个防火墙权重,根据防火墙间策略异常权重,可以确定防火墙间策略异常权重,根据所述确定的防火墙策略异常权重及防火墙间策略异常权重的异常情况,能够及时向管理员指出最应优先解决存在问题的防火墙设备。
针对上述方法流程,本发明实施例还提供一种防火墙访问控制策略查错装置,这些装置的具体内容可以参照上述方法实施,在此不再赘述。
实施例三
本发明实施例提供一种防火墙访问控制策略查错装置,如图11所示,包括:接收单元21、第一确定单元22和、第二确定单元23和查错单元24。
接收单元21:接收采集端发送的防火墙访问控制策略;所述防火墙访问控制策略中包括至少一条防火墙策略;
第一确定单元22:用于获取第X防火墙访问控制策略,确定所述第X防火墙自身的防火墙策略异常权重;
第二确定单元23:用于获取所述第X防火墙的紧邻防火墙访问控制策略,根据所述第X防火墙访问控制策略与所述紧邻防火墙的防问控制策略,确定防火墙间的防火墙策略异常权重;其中,所述紧邻防火墙为与所述第X防火墙存在直接父子关系的防火墙;
查错单元24:根据所述第X防火墙自身的防火墙策略异常权重及所述防火墙间的防火墙策略异常权重确定所述第X防火墙访问控制策略的异常程度以供查错。
进一步地,所述第一确定单元22具体用于:
根据下列公式确定第X防火墙自身的防火墙策略异常权重:
其中,WX为第X防火墙自身的防火墙策略异常权重,Mi为第X防火墙访问控制策略中第i条防火墙策略的异常程度,NX为第X防火墙访问控制策略中包括的防火墙策略总数。
进一步地,所述第一确定单元22还用于:
所述防火墙访问控制策略中每条防火墙策略的异常程度根据如下公式确定的:
其中,Mi为第X防火墙访问控制策略中第i条防火墙策略的异常程度,NX为第X防火墙访问控制策略中包括的防火墙策略总数,Wir为第X防火墙访问控制策略中第i条防火墙策略与所述第X防火墙访问控制策略中NX-i条防火墙策略的异常程度权重。
进一步地,所述第一确定单元22还用于:
RA[order]<RB[order]且RA[action]≠RB[action],则确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙访问控制策略中第B条防火墙策略的异常程度权重为W1;或
RA[order]<RB[order]且RA[action]=RB[action],则确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙访问控制策略中第B条防火墙策略的异常程度权重为W2;或
且RA[action]≠RB[action],则确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙访问控制策略中第B条防火墙策略的异常程度权重为W3;或
且RA[action]=RB[action],则确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙访问控制策略中第B条防火墙策略的异常程度权重为W4;
其中,R[order]为防火墙访问控制策略中一条防火墙策略的规则序号;R[action]为防火墙访问控制策略中一条防火墙策略的动作部分;{R[filter]}为防火墙访问控制策略中规则R过滤域中所有子项的笛卡尔积。
进一步地,所述第二确定单元23具体用于:
根据下列公式确定所述第X防火墙间的防火墙策略异常权重:
其中,W′X为第X防火墙间的防火墙策略异常权重,M'Xi为第X防火墙访问控制策略中第i条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中所有防火墙策略的异常程度,NX为第X防火墙访问控制策略中包括的防火墙策略总数。
进一步地,所述第二确定单元23还用于:
所述第X防火墙访问控制策略中任一一条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中所有防火墙策略的异常程度根据如下公式确定的:
其中,MX为第X防火墙访问控制策略中任一一条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中所有防火墙策略的异常程度,NY为与第x防火墙紧邻的第Y防火墙访问控制策略中包括的防火墙策略总数,W′ir为第X防火墙访问控制策略中第i条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中任一一条防火墙策略的异常程度权重。
进一步地,所述第二确定单元23还用于:
如果Fx,Fy∈Domain1,Fx上级紧邻Fy,FxRA[filter]=FyRB[filter],若FxRA[action]≠FyRB[action],则防火墙Fx的RA被Fy的RB覆盖,确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第B条防火墙策略的异常程度权重为W1;或
如果Fx,Fy∈Domain1,Fx上级紧邻Fy,若FxRA[action]≠FyRB[action],则防火墙Fx的RA被Fy的RB覆盖,确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第B条防火墙策略的异常程度权重为W1;或
如果Fx,Fy∈Domain1,Fx上级紧邻Fy,FxRA[filter]=FyRB[filter],若FxRA[action]=FyRB[action],则防火墙Fx的RA与Fy的RB冗余,确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第B条防火墙策略的异常程度权重为W2;或
如果Fx,Fy∈Domain1,Fx上级紧邻Fy,若FxRA[action]=FyRB[action],则防火墙Fx的RA与Fy的RB冗余,确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第B条防火墙策略的异常程度权重为W2;或
如果Fx,Fy∈Domain1,Fx上级紧邻Fy,FxRA[action]≠FyRB[action]则称FxRA与FyRB关联不规则,确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第B条防火墙策略的异常程度权重为W3;
其中,R[filter]为防火墙控制策略中一条防火墙策略的过滤部分;R[action]为防火墙控制策略中一条防火墙策略的动作部分。
应当理解,以上一种防火墙访问控制策略查错装置包括的单元仅为根据该装置实现的功能进行的逻辑划分,实际应用中,可以进行上述单元的叠加或拆分。并且该实施例提供的一种防火墙访问控制策略查错装置所实现的功能与上述实施例提供的一种防火墙访问控制策略查错方法一一对应,对于该装置所实现的更为详细的处理流程,在上述方法实施例一中已做详细描述,此处不再详细描述。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (15)

1.一种防火墙访问控制策略查错方法,其特征在于,包括:
接收采集端发送的防火墙访问控制策略;所述防火墙访问控制策略中包括至少一条防火墙策略;
获取第X防火墙访问控制策略,确定所述第X防火墙自身的防火墙策略异常权重;
获取所述第X防火墙的紧邻防火墙的防火墙访问控制策略,根据所述第X防火墙的防火墙策略与所述紧邻防火墙的防火墙策略,确定防火墙间的防火墙策略异常权重;其中,所述紧邻防火墙为与所述第X防火墙存在直接父子关系的防火墙;
根据所述第X防火墙自身的防火墙策略异常权重及所述防火墙间的防火墙策略异常权重确定所述第X防火墙访问控制策略的异常程度以供查错。
2.如权利要求1所述方法,其特征在于,所述确定所述第X防火墙自身的防火墙策略异常权重,包括:
根据下列公式确定第X防火墙自身的防火墙策略异常权重:
其中,WX为第X防火墙自身的防火墙策略异常权重,Mi为第X防火墙访问控制策略中第i条防火墙策略的异常程度,NX为第X防火墙访问控制策略中包括的防火墙策略总数。
3.如权利要求2所述方法,其特征在于,所述第X防火墙访问控制策略中第i条防火墙策略的异常程度根据如下公式确定的:
其中,Mi为第X防火墙访问控制策略中第i条防火墙策略的异常程度,NX为第X防火墙访问控制策略中包括的防火墙策略总数,Wir为第X防火墙访问 控制策略中第i条防火墙策略与所述第X防火墙访问控制策略中其他NX-1条防火墙策略的异常程度权重。
4.如权利要求3所述方法,其特征在于,所述第X防火墙访问控制策略中第i条防火墙策略与所述第X防火墙访问控制策略中其他NX-1条防火墙策略的异常程度权重包括下列任一项:
RA[order]<RB[order]且RA[action]≠RB[action],则确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙访问控制策略中第B条防火墙策略的异常程度权重为W1;或
RA[order]<RB[order]且RA[action]=RB[action],则确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙访问控制策略中第B条防火墙策略的异常程度权重为W2;或
且RA[action]≠RB[action],则确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙访问控制策略中第B条防火墙策略的异常程度权重为W3;或
且RA[action]=RB[action],则确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙访问控制策略中第B条防火墙策略的异常程度权重为W4;
其中,R[order]为防火墙访问控制策略中一条防火墙策略的规则序号;R[action]为防火墙访问控制策略中一条防火墙策略的动作部分;{R[filter]}为防火墙访问控制策略中规则R过滤域中所有子项的笛卡尔积。
5.如权利要求1所述方法,其特征在于,所述确定所述第X防火墙间的防火墙策略异常权重,包括:
根据下列公式确定所述第X防火墙间的防火墙策略异常权重:
其中,W′X为第X防火墙间的防火墙策略异常权重,M'Xi为第X防火墙访问 控制策略中第i条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中所有防火墙策略的异常程度,NX为第X防火墙访问控制策略中包括的防火墙策略总数。
6.如权利要求5所述方法,其特征在于,所述第X防火墙访问控制策略中第i条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中所有防火墙策略的异常程度根据如下公式确定的:
其中,MX为第X防火墙访问控制策略中第i条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中所有防火墙策略的异常程度,NY为与第X防火墙紧邻的第Y防火墙访问控制策略中包括的防火墙策略总数,W′ir为第X防火墙访问控制策略中第i条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中任一条防火墙策略的异常程度权重。
7.如权利要求6所述方法,其特征在于,所述第X防火墙访问控制策略中第i条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中任一条防火墙策略的异常程度权重包括下列任一项:
如果Fx,Fy∈Domain1,Fy为Fx的父级,FxRA[filter]=FyRB[filter],若FxRA[action]≠FyRB[action],则防火墙Fx的RA被Fy的RB覆盖,确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第B条防火墙策略的异常程度权重为W1;或
如果Fx,Fy∈Domain1,Fy为Fx的父级,若FxRA[action]≠FyRB[action],则防火墙Fx的RA被Fy的RB覆盖,确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第B条防火墙策略的异常程度权重为W1;或
如果Fx,Fy∈Domain1,Fy为Fx的父级,FxRA[filter]=FyRB[filter],若 FxRA[action]=FyRB[action],则防火墙Fx的RA与Fy的RB冗余,确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第B条防火墙策略的异常程度权重为W2;或
如果Fx,Fy∈Domain1,Fy为Fx的父级,若FxRA[action]=FyRB[action],则防火墙Fx的RA与Fy的RB冗余,确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第B条防火墙策略的异常程度权重为为W2;或
如果Fx,Fy∈Domain1,Fy为Fx的父级,FxRA[action]≠FyRB[action]则称FxRA与FyRB关联不规则,确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第B条防火墙策略的异常程度权重为W3;
其中,R[filter]为防火墙控制策略中第i条防火墙策略的过滤部分;R[action]为防火墙控制策略中第i条防火墙策略的动作部分;domain∈{1,2,3,4,…,+∞}。
8.一种防火墙访问控制策略查错装置,其特征在于,包括:
接收单元:用于接收采集端发送的防火墙访问控制策略;所述防火墙访问控制策略中包括至少一条防火墙策略;
第一确定单元:用于获取第X防火墙访问控制策略,确定所述第X防火墙自身的防火墙策略异常权重;
第二确定单元:用于获取所述第X防火墙的紧邻防火墙访问控制策略,根据所述第X防火墙访问控制策略与所述紧邻防火墙的防问控制策略,确定防火墙间的防火墙策略异常权重;其中,所述紧邻防火墙为与所述第X防火墙存在直接父子关系的防火墙;
查错单元:根据所述第X防火墙自身的防火墙策略异常权重及所述防火墙间的防火墙策略异常权重确定所述第X防火墙访问控制策略的异常程度以供查错。
9.如权利要求8所述装置,其特征在于,所述第一确定单元具体用于:
根据下列公式确定第X防火墙自身的防火墙策略异常权重:
其中,WX为第X防火墙自身的防火墙策略异常权重,Mi为第X防火墙访问控制策略中第i条防火墙策略的异常程度,NX为第X防火墙访问控制策略中包括的防火墙策略总数。
10.如权利要求8所述装置,其特征在于,所述第一确定单元还用于:
所述防火墙访问控制策略中每条防火墙策略的异常程度根据如下公式确定的:
其中,Mi为第X防火墙访问控制策略中第i条防火墙策略的异常程度,NX为第X防火墙访问控制策略中包括的防火墙策略总数,Wir为第X防火墙访问控制策略中第i条防火墙策略与所述第X防火墙访问控制策略中NX-i条防火墙策略的异常程度权重。
11.如权利要求10所述装置,其特征在于,所述第一确定单元还用于:
RA[order]<RB[order]且RA[action]≠RB[action],则确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙访问控制策略中第B条防火墙策略的异常程度权重为W1;或
RA[order]<RB[order]且RA[action]=RB[action],则确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙访问控制策略中第B条防火墙策略的异常程度权重为W2;或
且RA[action]≠RB[action],则确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙访问控制策略中第B条防火墙策略的异常程度权重为W3;或
且RA[action]=RB[action],则确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙访问控制策略中第B条防火墙策略的异常程度权重为W4;
其中,R[order]为防火墙访问控制策略中一条防火墙策略的规则序号;R[action]为防火墙访问控制策略中一条防火墙策略的动作部分;{R[filter]}为防火墙访问控制策略中规则R过滤域中所有子项的笛卡尔积。
12.如权利要求8所述装置,其特征在于,所述第二确定单元具体用于:
根据下列公式确定所述第X防火墙间的防火墙策略异常权重:
其中,W′X为第X防火墙间的防火墙策略异常权重,M'Xi为第X防火墙访问控制策略中第i条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中所有防火墙策略的异常程度,NX为第X防火墙访问控制策略中包括的防火墙策略总数。
13.如权利要求12所述装置,其特征在于,所述第二确定单元还用于:
所述第X防火墙访问控制策略中任一条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中所有防火墙策略的异常程度根据如下公式确定的:
其中,MX为第X防火墙访问控制策略中任一条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中所有防火墙策略的异常程度,NY为与第x防火墙紧邻的第Y防火墙访问控制策略中包括的防火墙策略总数,W′ir为第X防火墙访问控制策略中第i条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中任一条防火墙策略的异常程度权重。
14.如权利要求13所述装置,其特征在于,所述第二确定单元还用于:
如果Fx,Fy∈Domain1,Fy为Fx的父级,FxRA[filter]=FyRB[filter],若FxRA[action]≠FyRB[action],则防火墙Fx的RA被Fy的RB覆盖,确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第B条防火墙策略的异常程度权重为W1;或
如果Fx,Fy∈Domain1,Fy为Fx的父级,若FxRA[action]≠FyRB[action],则防火墙Fx的RA被Fy的RB覆盖,确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第B条防火墙策略的异常程度权重为W1;或
如果Fx,Fy∈Domain1,Fy为Fx的父级,FxRA[filter]=FyRB[filter],若FxRA[action]=FyRB[action],则防火墙Fx的RA与Fy的RB冗余,确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第B条防火墙策略的异常程度权重为W2;或
如果Fx,Fy∈Domain1,Fy为Fx的父级,若FxRA[action]=FyRB[action],则防火墙Fx的RA与Fy的RB冗余,确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第B条防火墙策略的异常程度权重为W2;或
如果Fx,Fy∈Domain1,Fy为Fx的父级,FxRA[action]≠FyRB[action]则称FxRA与FyRB关联不规则,确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第B条防火墙策略的异常程度权重为W3;
其中,R[filter]为防火墙控制策略中一条防火墙策略的过滤部分;R[action]为防火墙控制策略中一条防火墙策略的动作部分;domain∈{1,2,3,4,…,+∞}。
15.一种防火墙访问控制策略查错***,其特征在于,包括:
采集端,用于采集防火墙防火访问控制策略,获取第X防火墙访问控制策 略及所述第X防火墙的紧邻防火墙的防火墙访问控制策略,并发送给中央处理服务器;
访问控制策略基线数据库,用于为所述中央处理服务器提供防火墙策略异常权重算法及防火墙间的防火墙策略异常权重算法,并存储所述中央处理服务器确定的所述第X防火墙策略异常权重及所述第X防火墙间的防火墙策略异常权重。
CN201410690385.9A 2014-11-25 2014-11-25 一种防火墙访问控制策略查错方法、装置及*** Active CN105704093B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410690385.9A CN105704093B (zh) 2014-11-25 2014-11-25 一种防火墙访问控制策略查错方法、装置及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410690385.9A CN105704093B (zh) 2014-11-25 2014-11-25 一种防火墙访问控制策略查错方法、装置及***

Publications (2)

Publication Number Publication Date
CN105704093A CN105704093A (zh) 2016-06-22
CN105704093B true CN105704093B (zh) 2018-06-12

Family

ID=56942213

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410690385.9A Active CN105704093B (zh) 2014-11-25 2014-11-25 一种防火墙访问控制策略查错方法、装置及***

Country Status (1)

Country Link
CN (1) CN105704093B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105704093B (zh) * 2014-11-25 2018-06-12 ***通信集团设计院有限公司 一种防火墙访问控制策略查错方法、装置及***
CN107948205B (zh) * 2017-12-31 2020-10-27 ***通信集团江苏有限公司 防火墙策略生成方法、装置、设备及介质
CN109120448B (zh) * 2018-08-24 2020-05-05 武汉思普崚技术有限公司 一种告警方法及***
CN111698199A (zh) * 2020-04-13 2020-09-22 国网浙江省电力有限公司杭州供电公司 防火墙监控方法及装置
CN112351014B (zh) * 2020-10-28 2022-06-07 武汉思普崚技术有限公司 一种安全域间防火墙安全策略合规基线管理方法及装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103368976A (zh) * 2013-07-31 2013-10-23 电子科技大学 一种基于攻击图邻接矩阵的网络安全评估装置
CN103825876A (zh) * 2013-11-07 2014-05-28 北京安码科技有限公司 一种复杂网络环境下的防火墙策略审计***
CN103905407A (zh) * 2012-12-28 2014-07-02 ***通信集团公司 一种防火墙访问控制策略的分析方法及装置
CN104092676A (zh) * 2014-06-30 2014-10-08 复旦大学 面向云数据中心环境防火墙即服务的并行防火墙规则异常检测的方法
CN105704093A (zh) * 2014-11-25 2016-06-22 ***通信集团设计院有限公司 一种防火墙访问控制策略查错方法、装置及***

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2005328336B2 (en) * 2004-12-22 2011-09-15 Wake Forest University Method, systems, and computer program products for implementing function-parallel network firewall
AU2006230171B2 (en) * 2005-03-28 2012-06-21 Wake Forest University Methods, systems, and computer program products for network firewall policy optimization
US20090300748A1 (en) * 2008-06-02 2009-12-03 Secure Computing Corporation Rule combination in a firewall

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103905407A (zh) * 2012-12-28 2014-07-02 ***通信集团公司 一种防火墙访问控制策略的分析方法及装置
CN103368976A (zh) * 2013-07-31 2013-10-23 电子科技大学 一种基于攻击图邻接矩阵的网络安全评估装置
CN103825876A (zh) * 2013-11-07 2014-05-28 北京安码科技有限公司 一种复杂网络环境下的防火墙策略审计***
CN104092676A (zh) * 2014-06-30 2014-10-08 复旦大学 面向云数据中心环境防火墙即服务的并行防火墙规则异常检测的方法
CN105704093A (zh) * 2014-11-25 2016-06-22 ***通信集团设计院有限公司 一种防火墙访问控制策略查错方法、装置及***

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
Discovery of policy anomalies in distributed firewalls;ALSHAER Ehab S等;《IEEE INFOOCOM 2004》;20041231;第4卷;全文 *
分布式防火墙策略异常检测算法的研究;张丽;《中国优秀硕士学位论文全文数据库 信息科技辑》;20071215(第06期);全文 *
基于DFSQL实现分布式防火墙策略异常检测与分析;邓宝龙等;《计算机与数字工程》;20121020;第40卷(第10期);全文 *

Also Published As

Publication number Publication date
CN105704093A (zh) 2016-06-22

Similar Documents

Publication Publication Date Title
JP7222036B2 (ja) モデルトレーニングシステムおよび方法および記憶媒体
CN105704093B (zh) 一种防火墙访问控制策略查错方法、装置及***
CN109729180A (zh) 全体系智慧社区平台
CN110086825B (zh) 一种无人机电力巡检数据安全传输***和方法
CN107925589A (zh) 将远程设备管理属性分发给服务节点以用于服务规则处理
CN105721420B (zh) 访问权限控制方法和反向代理服务器
CN112398860A (zh) 一种安全控制的方法和装置
CN106027463B (zh) 一种数据传输的方法
CN109565500A (zh) 按需安全性架构
US20040030915A1 (en) Access restriction control device and method
CN108259432A (zh) 一种api调用的管理方法、设备及***
CN109040037A (zh) 一种基于策略和规则的安全审计***
CN103250383A (zh) 终端、控制设备、通信方法、通信***、通信模块、程序、以及信息处理设备
CN105516091B (zh) 一种基于sdn控制器的安全流过滤器及过滤方法
DE112017007393T5 (de) System und verfahren für netzwerkvorrichtungssicherheits- und vertrauenswertbestimmung
CN110798459B (zh) 一种基于安全功能虚拟化的多安全节点联动防御方法
CN101931613A (zh) 集中认证方法和集中认证***
CN104158767A (zh) 一种网络准入装置及方法
CN106027466B (zh) 一种身份证云认证***及读卡***
CN104796383B (zh) 一种终端信息防篡改的方法和装置
CN105991647A (zh) 一种数据传输的方法
CN106101054A (zh) 一种多***的单点登录方法和集中管控***
CN106789986A (zh) 监控设备认证方法及装置
CN100438427C (zh) 网络控制方法和设备
CN116232770B (zh) 一种基于sdn控制器的企业网络安全防护***及方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant