基于應(yīng)用的防火墻安全策略的自適應(yīng)配置方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種基于應(yīng)用的防火墻安全策略的自適應(yīng)配置方法及系統(tǒng),方法包括:S1�����、建立協(xié)議庫,協(xié)議庫中包括預(yù)定義的協(xié)議�����,協(xié)議包含IP協(xié)議類型及端口信息�����;S2�����、建立不同的應(yīng)用組�,每個應(yīng)用組包括提供同一網(wǎng)絡(luò)服務(wù)的所有服務(wù)器的IP;S3�����、對應(yīng)用組添加訪問規(guī)則�����,訪問規(guī)則包括源應(yīng)用組��、目的應(yīng)用組以及協(xié)議,協(xié)議允許源應(yīng)用組訪問目的應(yīng)用組����;S4�、根據(jù)訪問規(guī)則生成防火墻安全策略并記錄訪問規(guī)則和防火墻安全策略的對應(yīng)關(guān)系,防火墻安全策略包括源應(yīng)用組的IP�、目的應(yīng)用組的IP、協(xié)議以及端口信息�;S5、將防火墻安全策略自動下發(fā)至防火墻中進(jìn)行配置���。本發(fā)明簡化了安全策略的維護(hù)工作��,實(shí)現(xiàn)了安全策略的自動化配置��。
【專利說明】
基于應(yīng)用的防火墻安全策略的自適應(yīng)配置方法及系統(tǒng)
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及一種基于應(yīng)用的防火墻安全策略的自適應(yīng)配置方法及系統(tǒng)��。
【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)的發(fā)展���,數(shù)據(jù)中心不同服務(wù)器之間的網(wǎng)絡(luò)安全防護(hù)越來越復(fù)雜,傳統(tǒng)的安全策略配置往往采用的是人工進(jìn)行配置�。但是隨著服務(wù)器的增多,應(yīng)用的增加�,網(wǎng)絡(luò)安全策略配置越來越復(fù)雜����,人工配置越來越困難���、安全策略開通周期變長?��,F(xiàn)有的安全策略管理方法無法滿足服務(wù)器快速上線的實(shí)際需求,并且人工維護(hù)成本過高����。
【發(fā)明內(nèi)容】
[0003]本發(fā)明要解決的技術(shù)問題是為了克服現(xiàn)有技術(shù)中安全策略配置采用人工配置導(dǎo)致無法滿足服務(wù)器快速上線的實(shí)際需求,并且人工維護(hù)成本過高的缺陷��,提供一種基于應(yīng)用的防火墻安全策略的自適應(yīng)配置方法及系統(tǒng)��。
[0004]本發(fā)明是通過下述技術(shù)方案來解決上述技術(shù)問題的:
[0005]本發(fā)明提供了一種基于應(yīng)用的防火墻安全策略的自適應(yīng)配置方法���,其特點(diǎn)在于����,包括以下步驟:
[0006]S1�����、建立協(xié)議庫,所述協(xié)議庫中包括預(yù)定義的協(xié)議�,所述協(xié)議包含IP協(xié)議類型及端口 ?目息;
[0007]S2、建立不同的應(yīng)用組��,每個應(yīng)用組包括提供同一網(wǎng)絡(luò)服務(wù)的所有服務(wù)器的IP;
[0008]S3�、對應(yīng)用組添加訪問規(guī)則���,所述訪問規(guī)則包括源應(yīng)用組��、目的應(yīng)用組以及協(xié)議�����,所述協(xié)議用于允許所述源應(yīng)用組訪問所述目的應(yīng)用組�;
[0009]S4����、根據(jù)訪問規(guī)則生成防火墻安全策略并記錄訪問規(guī)則和防火墻安全策略的對應(yīng)關(guān)系,所述防火墻安全策略包括源應(yīng)用組的IP���、目的應(yīng)用組的IP����、協(xié)議以及端口信息;
[0010]&�����、將防火墻安全策略自動下發(fā)至防火墻中進(jìn)行配置�。
[0011 ] 較佳地,步驟SdP S5之間還包括:
[0012]當(dāng)新增一個應(yīng)用組時�,掃描新增的應(yīng)用組對應(yīng)的所有訪問規(guī)則,重新根據(jù)訪問規(guī)則生成新的防火墻安全策略或者修改已生成的防火墻安全策略���。
[0013]較佳地���,步驟SjPS5之間還包括:
[0014]當(dāng)應(yīng)用組添加或刪除一個服務(wù)器時,掃描所述應(yīng)用組的所有訪問規(guī)則���,重新根據(jù)訪問規(guī)則生成新的防火墻安全策略或者修改已生成的防火墻安全策略�。
[0015]較佳地�����,步驟SjP S5之間還包括:
[0016]當(dāng)訪問規(guī)則發(fā)生改變時���,重新根據(jù)改變后的訪問規(guī)則生成新的防火墻安全策略或者修改已生成的防火墻安全策略��。
[0017]較佳地����,步驟S3中所述訪問規(guī)則包括多個協(xié)議,和/或��,步驟S4中根據(jù)一條訪問規(guī)則生成多個防火墻安全策略����。
[0018]本發(fā)明的目的在于還提供了一種基于應(yīng)用的防火墻安全策略的自適應(yīng)配置系統(tǒng)���,其特點(diǎn)在于���,包括:
[0019]協(xié)議庫建立模塊,用于建立協(xié)議庫����,所述協(xié)議庫中包括預(yù)定義的協(xié)議,所述協(xié)議包含IP協(xié)議類型及端口信息����;
[0020]應(yīng)用組建立模塊,用于建立不同的應(yīng)用組,每個應(yīng)用組包括提供同一網(wǎng)絡(luò)服務(wù)的所有服務(wù)器的IP;
[0021]訪問規(guī)則添加模塊���,用于對應(yīng)用組添加訪問規(guī)則�,所述訪問規(guī)則包括源應(yīng)用組����、目的應(yīng)用組以及協(xié)議,所述協(xié)議用于允許所述源應(yīng)用組訪問所述目的應(yīng)用組�����;
[0022]安全策略生成模塊��,用于根據(jù)訪問規(guī)則生成防火墻安全策略并記錄訪問規(guī)則和防火墻安全策略的對應(yīng)關(guān)系����,所述防火墻安全策略包括源應(yīng)用組的IP、目的應(yīng)用組的IP���、協(xié)議以及端口信息���;
[0023]安全策略自動下發(fā)模塊,用于將防火墻安全策略自動下發(fā)至防火墻中進(jìn)行配置�����。
[0024]較佳地,當(dāng)新增一個應(yīng)用組時�����,所述安全策略生成模塊還用于掃描新增的應(yīng)用組對應(yīng)的所有訪問規(guī)則��,重新根據(jù)訪問規(guī)則生成新的防火墻安全策略或者修改已生成的防火墻安全策略���。
[0025]較佳地�,當(dāng)應(yīng)用組添加或刪除一個服務(wù)器時��,所述安全策略生成模塊還用于掃描所述應(yīng)用組的所有訪問規(guī)則����,重新根據(jù)訪問規(guī)則生成新的防火墻安全策略或者修改已生成的防火墻安全策略��。
[0026]較佳地����,當(dāng)訪問規(guī)則發(fā)生改變時,所述安全策略生成模塊還用于重新根據(jù)改變后的訪問規(guī)則生成新的防火墻安全策略或者修改已生成的防火墻安全策略��。
[0027]較佳地,所述訪問規(guī)則包括多個協(xié)議��,和/或��,所述安全策略生成模塊用于根據(jù)一條訪問規(guī)則生成多個防火墻安全策略�。
[0028]本發(fā)明的積極進(jìn)步效果在于:本發(fā)明采用以應(yīng)用為基礎(chǔ)、定義協(xié)議以及訪問規(guī)則的方式來實(shí)現(xiàn)網(wǎng)絡(luò)防火墻策略的自動化管理�����,并且可以根據(jù)訪問規(guī)則�、協(xié)議、應(yīng)用組的變化自動的適配相應(yīng)的防火墻安全策略�����,從而簡化了安全策略的維護(hù)工作��,并且實(shí)現(xiàn)了安全策略的自動化配置���,提高了安全策略變更的效率���。
【附圖說明】
[0029]圖1為本發(fā)明的較佳實(shí)施例的基于應(yīng)用的防火墻安全策略的自適應(yīng)配置系統(tǒng)的模塊不意圖O
[0030]圖2為本發(fā)明的較佳實(shí)施例的基于應(yīng)用的防火墻安全策略的自適應(yīng)配置方法的流程圖。
【具體實(shí)施方式】
[0031]下面通過實(shí)施例的方式進(jìn)一步說明本發(fā)明�,但并不因此將本發(fā)明限制在所述的實(shí)施例范圍之中��。
[0032]如圖1所示��,本發(fā)明的基于應(yīng)用的防火墻安全策略的自適應(yīng)配置系統(tǒng)包括協(xié)議庫建立模塊1����、應(yīng)用組建立模塊2�、訪問規(guī)則添加模塊3、安全策略生成模塊4以及安全策略自動下發(fā)模塊5�����。
[0033]所述協(xié)議庫建立模塊I用于根據(jù)網(wǎng)絡(luò)環(huán)境建立協(xié)議庫��,所述協(xié)議庫中包括預(yù)定義的協(xié)議�����,所述協(xié)議包含IP協(xié)議類型及端口信息�����;
[0034]所述應(yīng)用組建立模塊2用于建立不同的應(yīng)用組���,每個應(yīng)用組包括提供同一網(wǎng)絡(luò)服務(wù)的所有服務(wù)器的IP;具體可先定義應(yīng)用組���,根據(jù)不同的網(wǎng)絡(luò)服務(wù)定義不同的應(yīng)用組,并將提供相同網(wǎng)絡(luò)服務(wù)的所有服務(wù)器劃分在同一個應(yīng)用組���,然后再將符合應(yīng)用組要求的所有服務(wù)器的IP地址添加到相應(yīng)的應(yīng)用組中�����;
[0035]所述訪問規(guī)則添加模塊3則對應(yīng)用組添加訪問規(guī)則���,所述訪問規(guī)則包括源應(yīng)用組、目的應(yīng)用組以及協(xié)議(協(xié)議的數(shù)量可以是多個)���,所述協(xié)議用于允許所述源應(yīng)用組訪問所述目的應(yīng)用組���;
[0036]所述安全策略生成模塊4會根據(jù)訪問規(guī)則生成防火墻安全策略并記錄訪問規(guī)則和防火墻安全策略的對應(yīng)關(guān)系,所述防火墻安全策略包括源應(yīng)用組的IP����、目的應(yīng)用組的IP、協(xié)議以及端口信息;其中�����,一個訪問規(guī)則可以對應(yīng)生成多條防火墻安全策略;
[0037]所述安全策略自動下發(fā)模塊5則將防火墻安全策略自動下發(fā)至防火墻中進(jìn)行配置�����。
[0038]在本發(fā)明中�,優(yōu)選地,當(dāng)協(xié)議��、應(yīng)用組或者訪問規(guī)則發(fā)生改變時��,所述安全策略生成模塊4會重新生成新的防火墻安全策略����,具體地,
[0039]當(dāng)新增一個應(yīng)用組時�,所述安全策略生成模塊還用于掃描新增的應(yīng)用組對應(yīng)的所有訪問規(guī)則,重新根據(jù)訪問規(guī)則生成新的防火墻安全策略或者修改已生成的防火墻安全策略���;
[0040]當(dāng)應(yīng)用組添加或刪除一個服務(wù)器時����,所述安全策略生成模塊還用于掃描所述應(yīng)用組的所有訪問規(guī)則����,重新根據(jù)訪問規(guī)則生成新的防火墻安全策略或者修改已生成的防火墻安全策略;
[0041]當(dāng)訪問規(guī)則發(fā)生改變(包括協(xié)議發(fā)生改變的情況)時���,所述安全策略生成模塊還用于重新根據(jù)改變后的訪問規(guī)則生成新的防火墻安全策略或者修改已生成的防火墻安全策略�����;
[0042]而所述安全策略自動下發(fā)模塊5則會將新的防火墻安全策略同步下發(fā)到防火墻等安全設(shè)備中進(jìn)行自適應(yīng)的配置����。
[0043]如圖2所示��,本發(fā)明的基于應(yīng)用的防火墻安全策略的自適應(yīng)配置方法包括以下步驟:
[0044]步驟11��、建立協(xié)議庫�����,所述協(xié)議庫中包括預(yù)定義的協(xié)議�,所述協(xié)議包含IP協(xié)議類型及端口信息;
[0045]步驟102�、建立不同的應(yīng)用組,每個應(yīng)用組包括提供同一網(wǎng)絡(luò)服務(wù)的所有服務(wù)器的IP;
[0046]步驟103����、對應(yīng)用組添加訪問規(guī)則��,所述訪問規(guī)則包括源應(yīng)用組�、目的應(yīng)用組以及協(xié)議��,所述協(xié)議用于允許所述源應(yīng)用組訪問所述目的應(yīng)用組�����;
[0047]步驟104��、根據(jù)訪問規(guī)則生成防火墻安全策略并記錄訪問規(guī)則和防火墻安全策略的對應(yīng)關(guān)系�,所述防火墻安全策略包括源應(yīng)用組的IP、目的應(yīng)用組的IP�、協(xié)議以及端口信息;
[0048]步驟105、將防火墻安全策略自動下發(fā)至防火墻中進(jìn)行配置�����。
[0049 ]其中�,在本發(fā)明的自適應(yīng)配置方法中,在步驟104和步驟105之間還可以包括:
[0050]當(dāng)新增一個應(yīng)用組時��,掃描新增的應(yīng)用組對應(yīng)的所有訪問規(guī)則�����,重新根據(jù)訪問規(guī)則生成新的防火墻安全策略或者修改已生成的防火墻安全策略;
[0051]當(dāng)應(yīng)用組添加或刪除一個服務(wù)器時���,掃描所述應(yīng)用組的所有訪問規(guī)則,重新根據(jù)訪問規(guī)則生成新的防火墻安全策略或者修改已生成的防火墻安全策略�����;
[0052]當(dāng)訪問規(guī)則發(fā)生改變(包括協(xié)議發(fā)生改變的情況)時�����,重新根據(jù)改變后的訪問規(guī)則生成新的防火墻安全策略或者修改已生成的防火墻安全策略��;
[0053]從而在本發(fā)明的自定義配置方法中���,當(dāng)協(xié)議�����、應(yīng)用組或者訪問規(guī)則發(fā)生改變時���,會重新生成新的防火墻安全策略并將新的防火墻安全策略同步下發(fā)到防火墻等安全設(shè)備中進(jìn)行自適應(yīng)的配置�。
[0054]本發(fā)明將提供相同服務(wù)的應(yīng)用服務(wù)器組建一個應(yīng)用組�����,根據(jù)定義好的協(xié)議建立訪問規(guī)則��,從而防火墻管理員只需要維護(hù)協(xié)議和應(yīng)用組的訪問規(guī)則即可���,降低管理的復(fù)雜度�;并且本發(fā)明通過安全策略自動生成和安全策略自動下發(fā)的方式�,結(jié)合自動檢測協(xié)議、應(yīng)用組及訪問規(guī)則��,當(dāng)任意一個發(fā)生變化時自動同步地生成新的防火墻安全策略并下發(fā)到防火墻中進(jìn)行自適應(yīng)配置��,從而實(shí)現(xiàn)了安全策略的實(shí)時更新����,提升了防火墻安全策略對服務(wù)器上線速度的影響。從而本發(fā)明實(shí)現(xiàn)了應(yīng)用上線時�����,防火墻安全策略能夠進(jìn)行自動的快速配置�,在本發(fā)明中���,當(dāng)添加應(yīng)用或增加服務(wù)器應(yīng)用時,防火墻可以根據(jù)變化自動進(jìn)行安全策略的適配���,實(shí)現(xiàn)安全策略的自適應(yīng)配置���,加快了應(yīng)用服務(wù)的上線速度�����,降低了安全策略配置的復(fù)雜度�,并降低了人工維護(hù)的成本。
[0055]雖然以上描述了本發(fā)明的【具體實(shí)施方式】���,但是本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解�����,這些僅是舉例說明���,本發(fā)明的保護(hù)范圍是由所附權(quán)利要求書限定的。本領(lǐng)域的技術(shù)人員在不背離本發(fā)明的原理和實(shí)質(zhì)的前提下�,可以對這些實(shí)施方式做出多種變更或修改���,但這些變更和修改均落入本發(fā)明的保護(hù)范圍。
【主權(quán)項(xiàng)】
1.一種基于應(yīng)用的防火墻安全策略的自適應(yīng)配置方法�����,其特征在于�����,包括以下步驟: S1�、建立協(xié)議庫,所述協(xié)議庫中包括預(yù)定義的協(xié)議����,所述協(xié)議包含IP協(xié)議類型及端口信息; &、建立不同的應(yīng)用組����,每個應(yīng)用組包括提供同一網(wǎng)絡(luò)服務(wù)的所有服務(wù)器的IP; 53、對應(yīng)用組添加訪問規(guī)則�����,所述訪問規(guī)則包括源應(yīng)用組�����、目的應(yīng)用組以及協(xié)議,所述協(xié)議用于允許所述源應(yīng)用組訪問所述目的應(yīng)用組��; 54�、根據(jù)訪問規(guī)則生成防火墻安全策略并記錄訪問規(guī)則和防火墻安全策略的對應(yīng)關(guān)系,所述防火墻安全策略包括源應(yīng)用組的IP����、目的應(yīng)用組的IP、協(xié)議以及端口信息�����; s5���、將防火墻安全策略自動下發(fā)至防火墻中進(jìn)行配置。2.如權(quán)利要求1所述的自適應(yīng)配置方法�,其特征在于,步驟S4和S5之間還包括: 當(dāng)新增一個應(yīng)用組時�,掃描新增的應(yīng)用組對應(yīng)的所有訪問規(guī)則,重新根據(jù)訪問規(guī)則生成新的防火墻安全策略或者修改已生成的防火墻安全策略��。3.如權(quán)利要求1所述的自適應(yīng)配置方法�����,其特征在于,步驟S4和S5之間還包括: 當(dāng)應(yīng)用組添加或刪除一個服務(wù)器時�,掃描所述應(yīng)用組的所有訪問規(guī)則,重新根據(jù)訪問規(guī)則生成新的防火墻安全策略或者修改已生成的防火墻安全策略�。4.如權(quán)利要求1所述的自適應(yīng)配置方法,其特征在于��,步驟S4和S5之間還包括: 當(dāng)訪問規(guī)則發(fā)生改變時�����,重新根據(jù)改變后的訪問規(guī)則生成新的防火墻安全策略或者修改已生成的防火墻安全策略�。5.如權(quán)利要求1-4中任意一項(xiàng)所述的自適應(yīng)配置方法,其特征在于�����,步驟S3中所述訪問規(guī)則包括多個協(xié)議����,和/或,步驟S4中根據(jù)一條訪問規(guī)則生成多個防火墻安全策略�。6.一種基于應(yīng)用的防火墻安全策略的自適應(yīng)配置系統(tǒng),其特征在于,包括: 協(xié)議庫建立模塊�����,用于建立協(xié)議庫���,所述協(xié)議庫中包括預(yù)定義的協(xié)議�����,所述協(xié)議包含IP協(xié)議類型及端口信息��; 應(yīng)用組建立模塊���,用于建立不同的應(yīng)用組,每個應(yīng)用組包括提供同一網(wǎng)絡(luò)服務(wù)的所有服務(wù)器的IP; 訪問規(guī)則添加模塊�,用于對應(yīng)用組添加訪問規(guī)則,所述訪問規(guī)則包括源應(yīng)用組�����、目的應(yīng)用組以及協(xié)議�����,所述協(xié)議用于允許所述源應(yīng)用組訪問所述目的應(yīng)用組��; 安全策略生成模塊�,用于根據(jù)訪問規(guī)則生成防火墻安全策略并記錄訪問規(guī)則和防火墻安全策略的對應(yīng)關(guān)系,所述防火墻安全策略包括源應(yīng)用組的IP�����、目的應(yīng)用組的IP���、協(xié)議以及端口信息���; 安全策略自動下發(fā)模塊,用于將防火墻安全策略自動下發(fā)至防火墻中進(jìn)行配置�����。7.如權(quán)利要求6所述的自適應(yīng)配置系統(tǒng)��,其特征在于�����,當(dāng)新增一個應(yīng)用組時��,所述安全策略生成模塊還用于掃描新增的應(yīng)用組對應(yīng)的所有訪問規(guī)則,重新根據(jù)訪問規(guī)則生成新的防火墻安全策略或者修改已生成的防火墻安全策略���。8.如權(quán)利要求6所述的自適應(yīng)配置系統(tǒng)��,其特征在于�����,當(dāng)應(yīng)用組添加或刪除一個服務(wù)器時���,所述安全策略生成模塊還用于掃描所述應(yīng)用組的所有訪問規(guī)則,重新根據(jù)訪問規(guī)則生成新的防火墻安全策略或者修改已生成的防火墻安全策略�����。9.如權(quán)利要求6所述的自適應(yīng)配置系統(tǒng)�����,其特征在于����,當(dāng)訪問規(guī)則發(fā)生改變時���,所述安全策略生成模塊還用于重新根據(jù)改變后的訪問規(guī)則生成新的防火墻安全策略或者修改已生成的防火墻安全策略�����。10.如權(quán)利要求6-9中任意一項(xiàng)所述的自適應(yīng)配置系統(tǒng)��,其特征在于��,所述訪問規(guī)則包括多個協(xié)議��,和/或�,所述安全策略生成模塊用于根據(jù)一條訪問規(guī)則生成多個防火墻安全策略。
【文檔編號】H04L29/06GK105871930SQ201610453096
【公開日】2016年8月17日
【申請日】2016年6月21日
【發(fā)明人】施堅(jiān)松, 朱志博, 雷兵
【申請人】上海攜程商務(wù)有限公司