CN111049801B - 一种防火墙策略检测方法 - Google Patents
一种防火墙策略检测方法 Download PDFInfo
- Publication number
- CN111049801B CN111049801B CN201911121211.XA CN201911121211A CN111049801B CN 111049801 B CN111049801 B CN 111049801B CN 201911121211 A CN201911121211 A CN 201911121211A CN 111049801 B CN111049801 B CN 111049801B
- Authority
- CN
- China
- Prior art keywords
- firewall
- address
- policy
- field
- detection method
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/50—Testing arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及信息安全的技术领域,更具体地,涉及一种防火墙策略检测方法,包括以下步骤:S10.构建防火墙策略数据库和防火墙日志文件,分析防火墙可视化页面的地址簿信息、策略配置信息以及端口信息的记录和显示方式;S20.提取策略配置信息中配置的IP地址,并将IP地址转化为特有数值或数值范围,满足告警规则时告警;S30.分析步骤S10中防火墙日志文件记录方式,分析防火墙日志文件中每个字段存储信息的含义并进行分类,将字段分类写入防火墙策略数据库中;S40.将防火墙策略数据库存储于终端,以用于显示和查询策略配置信息。本发明能够快速全面地获取防火墙策略配置信息,且可实现快速查询;将IP地址转化为特有数值,利用数值比对提高计算机策略识别速度。
Description
技术领域
本发明涉及信息安全的技术领域,更具体地,涉及一种防火墙策略检测方法。
背景技术
当前,信息安全已经引起了人们的广泛重视,其中数据安全是信息安全中非常重要的环节,而局域网安全则主要依靠防火墙来实施管理和控制。近几年,网络信息安全防护的关键点之一就是访问控制,防火墙中不允许冗余策略存留、不允许配置过宽的地址段、不允许配置过宽的端口、全面封堵高危端口等。加之企业级防火墙内配置的访问策略数以百计,人工检测排查策略配置情况耗时耗力,错查漏查的情况时有发生,影响网络稳定和信息***安全运行。
现阶段,防火墙策略检测与问题排查主要存在以下问题:(1)防火墙中配置使用的网络访问策略多达几百条,大部分防火墙在配置访问策略前都要求管理员为源IP地址、目的IP地址命名,故一旦管理员需要根据IP进行策略查询时,就需要在策略命名和策略配置页面反复切换,时间和精力消耗较大,人力成本高,当要排查多个地址时,很容易出现差错;(2)防火墙在策略被命中时会自行对命中次数做统计,如果某策略失效,策略命中数会显示为零;根据信息安全要求,工作人员每月需对防火墙重启并切换;切换重启后,防火墙的策略命中数量统计就会清零;导致有效策略和失效策略无法区分,这些访问策略关系全局生产网络运行,影响重大;(3)防火墙日志输出的每一条日志信息都存在较多的字段,每日产生的信息数据量巨大,且日志文件为文本文档格式,不利于防火墙日志查询及分析。
发明内容
本发明的目的在于克服现有技术的不足,提供一种防火墙策略检测方法,能够快速地获取防火墙配置数据,同时获取策略信息和策略命中数,可将防火墙信息完整导出,可实现防火墙策略配置的快速检测。
为解决上述技术问题,本发明采用的技术方案是:
提供一种防火墙策略检测方法,包括以下步骤:
S10.构建防火墙策略数据库和防火墙日志文件,分析防火墙可视化页面的地址簿信息、策略配置信息以及端口信息的记录和显示方式,建立防火墙数据提取模式;
S20.利用爬虫工具和步骤S10中所述防火墙策略数据库的匹配功能,提取所述策略配置信息中配置的IP地址,并将IP地址转化为特有数值或数值范围,在所述特有数值或数值范围满足告警规则时告警;
S30.分析步骤S10中所述防火墙日志文件记录方式,分析防火墙日志文件中每个字段存储信息的含义并进行分类,将字段分类写入防火墙策略数据库中;
S40.将防火墙策略数据库存储于终端,以用于显示和查询策略配置信息。
本发明的防火墙策略检测方法,能够快速全面地获取策略ID、命中数、源地址名称、源地址IP、源端口、目的地址名称、目的地址IP、目的端口等防火墙配置数据,自动匹配后完整地呈现在一张表格上,同时可通过任意信息实现快速查询;将IP地址转化为特有数值或数值范围,利用数值比对,从而提高计算机策略识别速度。
优选地,步骤S10按以下步骤进行:利用爬虫技术定时登录防火墙抓取防火墙数据,所述防火墙数据包括策略ID、命中数、源地址名称、源地址IP、源接口、目的地址名称、目的地址IP以及目的端口;将所述防火墙数据相互匹配后显示于一张表格上并导出。
优选地,步骤S20按以下步骤进行:
S21.提取所述策略配置信息中配置的IP地址,并对所述IP地址进行判断:若为单个IP地址,则直接进行计算;若为IP地址段,则提取IP地址段中的最小值与最大值;
S22.计算提取所述IP地址的数值,并对所述数值进行编号;
S23.对步骤S22中所述数值进行求和转化得到IP转化值;
S24.遍历所有IP地址进行IP地址转化得到转化值N,将任意两IP地址的转化值N1、N2进行比对,若满足下列规则则告警:当N1、N2为单个地址时,若满足N1=N2则告警;当N1为单个地址、N2为地址段时,若满足N2min≤N1≤N2max则告警;当N1、N2均为地址段时,若满足
或
则告警。
优选地,步骤S22中,根据IPV4地址的特征,每一个IPV4地址为4字节,32位二进制,以“.”进行分割,则表示为IPV4=(P1.P2.P3.P4),通过去点提取的方式提取出4组8位二进制数转化而来的十进制数字,提取的数值分别表示为P1、P2、P3、P4,且0≤P1、P2、P3、P4≤256。
优选地,步骤S22中,为第一步计算出来的4组数值P1、P2、P3、P4设置位数值编号i,分别表示为:i(P1)=0,i(P2)=1,i(P3)=2,i(P4)=3。
优选地,步骤S23中,按以下公式对所述数值进行求和转化得到IP转化值:∑N=P/256×2563-i,N为转化值,P为IP地址提取值,i为地址提取值编号。
优选地,步骤S30按以下步骤进行:导入防火墙日志文件,拆分日志字段,按照字段类别归集存储于防火墙策略数据库中。
优选地,利用脚本对防火墙日志文件按照字段分类。
优选地,所述字段类别包括包括数值类别、字符串类别及日期类别,可拆分为date字段、src字段、dst字段、Sport字段及smac字段。
优选地,步骤S40中,在查询策略配置信息时,采用匹配关键字的方式查询。
与现有技术相比,本发明的有益效果是:
本发明的防火墙策略检测方法,能够快速全面地获取策略ID、命中数、源地址名称、源地址IP、源端口、目的地址名称、目的地址IP、目的端口等防火墙配置数据,自动匹配后完整地呈现在一张表格上,同时可通过任意信息实现快速查询;且本发明将IP地址转化为特有数值或数值范围,利用数值比对判断告警条件,从而提高策略识别速度。
附图说明
图1为防火墙策略抓取检测流程图;
图2为防火墙日志文件查询流程图。
具体实施方式
下面结合具体实施方式对本发明作进一步的说明。
实施例
如图1至图2所示为本发明的防火墙策略检测方法的实施例,包括以下步骤:
S10.构建防火墙策略数据库和防火墙日志文件,分析防火墙可视化页面的地址簿信息、策略配置信息以及端口信息的记录和显示方式,建立防火墙数据提取模式;
S20.利用爬虫工具和步骤S10中防火墙策略数据库的匹配功能,提取策略配置信息中配置的IP地址,并将IP地址转化为特有数值或数值范围,在特有数值或数值范围满足告警规则时告警;
S30.分析步骤S10中防火墙日志文件记录方式,分析防火墙日志文件中每个字段存储信息的含义并进行分类,将字段分类写入防火墙策略数据库中;
S40.将防火墙策略数据库存储于终端,以用于显示和查询策略配置信息。
其中,步骤S10按以下步骤进行:利用爬虫技术定时登录防火墙抓取防火墙数据,防火墙数据包括策略ID、命中数、源地址名称、源地址IP、源接口、目的地址名称、目的地址IP以及目的端口;将防火墙数据相互匹配后显示于一张表格上并导出。
步骤S20按以下步骤进行:
S21.提取策略配置信息中配置的IP地址,并对IP地址进行判断:若为单个IP地址,则直接进行计算;若为IP地址段,则提取IP地址段中的最小值与最大值;
S22.计算提取IP地址的数值,并对数值进行编号;
S23.对步骤S22中数值进行求和转化得到IP转化值;
S24.遍历所有IP地址进行IP地址转化得到转化值N,将任意两IP地址的转化值N1、N2并进行比对,若满足下列规则则告警:当N1、N2为单个地址时,若满足N1=N2则告警;当N1为单个地址、N2为地址段时,若满足N2min≤N1≤N2max则告警;当N1、N2均为地址段时,若满足
或
则告警。
步骤S22中,根据IPV4地址的特征,每一个IPV4地址为4字节,32位二进制,以“.”进行分割,则表示为IPV4=(P1.P2.P3.P4),通过去点提取的方式提取出4组8位二进制数转化而来的十进制数字,实现代码为:ipBytes=ip.Split('.'),提取的数值分别表示为P1、P2、P3、P4,且0≤P1、P2、P3、P4≤256。
步骤S22中,为第一步计算出来的4组数值P1、P2、P3、P4设置位数值编号i,分别表示为:i(P1)=0,i(P2)=1,i(P3)=2,i(P4)=3。
步骤S23中,按以下公式对数值进行求和转化得到IP转化值:∑N=P/256×2563-i,N为转化值,P为IP地址提取值,i为地址提取值编号。在C#上实现该公式的核心代码为:
步骤S30按以下步骤进行:导入防火墙日志文件,拆分日志字段,按照字段类别归集存储于防火墙策略数据库中。其中,利用脚本对防火墙日志文件按照字段分类;字段类别包括数值类别、字符串类别及日期类别,可拆分为date字段、src字段、dst字段、Sport字段及smac字段。
步骤S40中,在查询策略配置信息时,采用匹配关键字的方式查询。本领域技术人员可开发基于c#/winform的桌面工具,在工具在桌面上打开,可便捷地实现各防火墙信息的查询及显示。
经过以上步骤,能够快速地获取防火墙配置数据,同时获取策略信息和策略命中数,可将防火墙信息完整导出,且可实现防火墙策略配置的快速检测。
显然,本发明的上述实施例仅仅是为清楚地说明本发明所作的举例,而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明权利要求的保护范围之内。
Claims (9)
1.一种防火墙策略检测方法,其特征在于,包括以下步骤:
S10.构建防火墙策略数据库和防火墙日志文件,分析防火墙可视化页面的地址簿信息、策略配置信息以及端口信息的记录和显示方式,建立防火墙数据提取模式;
S20.利用爬虫工具和步骤S10中所述防火墙策略数据库的匹配功能,提取所述策略配置信息中配置的IP地址,并将IP地址转化为特有数值或数值范围,在所述特有数值或数值范围满足告警规则时告警;
S30.分析步骤S10中所述防火墙日志文件记录方式,分析防火墙日志文件中每个字段存储信息的含义并进行分类,将字段分类写入防火墙策略数据库中;
S40.将防火墙策略数据库存储于终端,以用于显示和查询策略配置信息;
步骤S20按以下步骤进行:
S21.提取所述策略配置信息中配置的IP地址,并对所述IP地址进行判断:若为单个IP地址,则直接进行计算;若为IP地址段,则提取IP地址段中的最小值与最大值;
S22.计算提取所述IP地址的数值,并对所述数值进行编号;
S23.对步骤S22中所述数值进行求和转化得到IP转化值;
S24.遍历所有IP地址,进行IP地址转化得到转化值N,将任意两IP地址的转化值N1、N2进行比对,若满足下列规则则告警:当N1、N2为单个地址时,若满足N1=N2则告警;当N1为单个地址、N2为地址段时,若满足N2min≤N1≤N2max则告警;当N1、N2均为地址段时,若满足
或
则告警。
2.根据权利要求1所述的防火墙策略检测方法,其特征在于,步骤S10按以下步骤进行:利用爬虫技术定时登录防火墙抓取防火墙数据,所述防火墙数据包括策略ID、命中数、源地址名称、源地址IP、源接口、目的地址名称、目的地址IP以及目的端口;将所述防火墙数据相互匹配后显示于一张表格上并导出。
3.根据权利要求1所述的防火墙策略检测方法,其特征在于,步骤S22中,根据IPV4地址的特征,每一个IPV4地址为4字节,32位二进制,以“.”进行分割,则表示为IPV4=(P1.P2.P3.P4),通过去点提取的方式提取出4组8位二进制数转化而来的十进制数字,提取的数值分别表示为P1、P2、P3、P4,且0≤P1、P2、P3、P4≤256。
4.根据权利要求3所述的防火墙策略检测方法,其特征在于,步骤S22中,为第一步计算出来的4组数值P1、P2、P3、P4设置位数值编号i,分别表示为:i(P1)=0,i(P2)=1,i(P3)=2,i(P4)=3。
5.根据权利要求4所述的防火墙策略检测方法,其特征在于,步骤S23中,按以下公式对所述数值进行求和转化得到IP转化值:∑N=P/256×2563-i,N为转化值,P为IP地址提取值,i为地址提取值编号。
6.根据权利要求1至5任一项所述的防火墙策略检测方法,其特征在于,步骤S30按以下步骤进行:导入防火墙日志文件,拆分日志字段,按照字段类别归集存储于防火墙策略数据库中。
7.根据权利要求6所述的防火墙策略检测方法,其特征在于,利用脚本对防火墙日志文件按照字段分类。
8.根据权利要求7所述的防火墙策略检测方法,其特征在于,所述字段类别包括数值类别、字符串类别及日期类别。
9.根据权利要求7所述的防火墙策略检测方法,其特征在于,步骤S40中,在查询策略配置信息时,采用匹配关键字的方式查询。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911121211.XA CN111049801B (zh) | 2019-11-15 | 2019-11-15 | 一种防火墙策略检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911121211.XA CN111049801B (zh) | 2019-11-15 | 2019-11-15 | 一种防火墙策略检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111049801A CN111049801A (zh) | 2020-04-21 |
| CN111049801B true CN111049801B (zh) | 2022-02-11 |
Family
ID=70232105
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911121211.XA Active CN111049801B (zh) | 2019-11-15 | 2019-11-15 | 一种防火墙策略检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111049801B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111970275B (zh) * | 2020-08-14 | 2022-10-11 | 中国工商银行股份有限公司 | 数据处理方法、装置、计算设备和介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103577307A (zh) * | 2013-11-07 | 2014-02-12 | 浙江中烟工业有限责任公司 | 基于xml规则模型的防火墙日志自动提取与分析方法 |
| CN104270384A (zh) * | 2014-10-20 | 2015-01-07 | 山石网科通信技术有限公司 | 防火墙策略冗余检测方法及装置 |
| CN105721188A (zh) * | 2014-12-04 | 2016-06-29 | 北京神州泰岳信息安全技术有限公司 | 防火墙策略核查方法及*** |
| CN110430159A (zh) * | 2019-06-20 | 2019-11-08 | 国网辽宁省电力有限公司信息通信分公司 | 一种平台服务器防火墙策略开放范围过大预警方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008080430A1 (en) * | 2006-12-29 | 2008-07-10 | Telecom Italia S.P.A. | METHOD AND SYSTEM FOR ENFORCING SECURITY POLICIES IN MANETs |
| US8365272B2 (en) * | 2007-05-30 | 2013-01-29 | Yoggie Security Systems Ltd. | System and method for providing network and computer firewall protection with dynamic address isolation to a device |
-
2019
- 2019-11-15 CN CN201911121211.XA patent/CN111049801B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103577307A (zh) * | 2013-11-07 | 2014-02-12 | 浙江中烟工业有限责任公司 | 基于xml规则模型的防火墙日志自动提取与分析方法 |
| CN104270384A (zh) * | 2014-10-20 | 2015-01-07 | 山石网科通信技术有限公司 | 防火墙策略冗余检测方法及装置 |
| CN105721188A (zh) * | 2014-12-04 | 2016-06-29 | 北京神州泰岳信息安全技术有限公司 | 防火墙策略核查方法及*** |
| CN110430159A (zh) * | 2019-06-20 | 2019-11-08 | 国网辽宁省电力有限公司信息通信分公司 | 一种平台服务器防火墙策略开放范围过大预警方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111049801A (zh) | 2020-04-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108874927B (zh) | 基于超图和随机森林的入侵检测方法 | |
| CN112866023B (zh) | 网络检测、模型训练方法、装置、设备及存储介质 | |
| CN109510737A (zh) | 协议接口测试方法、装置、计算机设备和存储介质 | |
| CN104168288A (zh) | 一种基于协议逆向解析的自动化漏洞挖掘***及方法 | |
| JP2022118108A (ja) | ログ監査方法、装置、電子機器、媒体およびコンピュータプログラム | |
| CN111800404B (zh) | 一种对恶意域名的识别方法、装置以及存储介质 | |
| CN115021997B (zh) | 一种基于机器学习的网络入侵检测*** | |
| WO2018075819A1 (en) | Universal link to extract and classify log data | |
| CN113706100B (zh) | 配电网物联终端设备实时探测识别方法与*** | |
| CN109088903A (zh) | 一种基于流式的网络异常流量检测方法 | |
| CN111274218A (zh) | 一种电力信息***多源日志数据处理方法 | |
| CN114386100A (zh) | 一种公有云用户敏感数据管理方法 | |
| CN111049801B (zh) | 一种防火墙策略检测方法 | |
| CN1223941C (zh) | 一种基于相关特征聚类的层次入侵检测*** | |
| Harbola et al. | Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set | |
| CN111274056B (zh) | 智能电能表故障库的自学习方法与装置 | |
| CN110008701A (zh) | 基于elf文件特征的静态检测规则提取方法及检测方法 | |
| CN103455754A (zh) | 一种基于正则表达式的恶意搜索关键词识别方法 | |
| CN114969450B (zh) | 一种用户行为分析方法、装置、设备及存储介质 | |
| EP4020887B1 (en) | Method and apparatus for detecting anomalies of a dns traffic | |
| Dong et al. | Traffic Characteristic Map-based Intrusion Detection Model for Industrial Internet. | |
| KR20200070775A (ko) | 이기종 시스템의 보안정보 정규화 장치 및 방법 | |
| CN114024701A (zh) | 域名检测方法、装置及通信*** | |
| CN112887324A (zh) | 电力监控***的网络安全装置的策略配置管理*** | |
| WO2021123924A1 (en) | Log analyzer for fault detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |