技術(shù)領(lǐng)域

本發(fā)明涉及互聯(lián)網(wǎng)、復(fù)雜網(wǎng)絡(luò)環(huán)境下的防火墻安全審計(jì)技術(shù)，特別涉及基于多級(jí)的防火墻策略審計(jì)和優(yōu)化。

背景技術(shù)

防火墻是保護(hù)網(wǎng)絡(luò)系統(tǒng)安全最基本也是最主要的設(shè)備，其基本功能是控制數(shù)據(jù)流在網(wǎng)絡(luò)不同信任區(qū)域之間的走向。近些年來(lái)，隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，網(wǎng)絡(luò)中的防火墻的數(shù)量正在逐步增加，管理與維護(hù)這些防火墻的難度不斷增大。與此同時(shí)針對(duì)網(wǎng)絡(luò)的攻擊不斷升級(jí)，因此為了保證防火墻的配置及其訪問策略安全合理，對(duì)于防火墻訪問控制策略的審計(jì)要求越來(lái)越高。

但是，由于網(wǎng)絡(luò)設(shè)備的使用者對(duì)網(wǎng)絡(luò)訪問的需求各不相同，導(dǎo)致防火墻的配置上出現(xiàn)很多問題，例如人員配置疏忽、配置錯(cuò)誤等現(xiàn)象，這些均影響了設(shè)備的使用效率；同時(shí)，部署在防火墻上的訪問控制規(guī)則數(shù)量也隨著業(yè)務(wù)系統(tǒng)的變化與擴(kuò)張不斷增加，大量冗余、無(wú)效的訪問控制規(guī)則會(huì)導(dǎo)致設(shè)備性能下降，并帶來(lái)一系列安全隱患。另外，在防火墻的長(zhǎng)期使用過程中，由于網(wǎng)絡(luò)環(huán)境變化、管理者或操作員的不斷更換，受每個(gè)人管理習(xí)慣、安全策略使用傾向及網(wǎng)絡(luò)需求變化影響，防火墻的配置策略及網(wǎng)絡(luò)的安全連通性變得混亂，降低了設(shè)備工作效率，并對(duì)網(wǎng)絡(luò)優(yōu)化產(chǎn)生了很大的影響。

因此需要開發(fā)一種防火墻策略審計(jì)優(yōu)化系統(tǒng)，能夠在復(fù)雜的網(wǎng)絡(luò)環(huán)境下，根據(jù)防火墻的配置文件檢測(cè)當(dāng)前網(wǎng)絡(luò)設(shè)備的運(yùn)行情況，詳細(xì)梳理其安全防范策略，審計(jì)出其中存在的不安全的配置，去除防火墻的冗余策略，合并相關(guān)策略、并能對(duì)配置錯(cuò)誤的策略進(jìn)行檢測(cè)與提示。該系統(tǒng)為檢測(cè)分析和了解系統(tǒng)當(dāng)前的安全狀況提供有力證據(jù)，能保證防火墻正常、高效的工作，有效降低公司對(duì)防火墻的維護(hù)難度與成本、提升設(shè)備性能、減少管理維護(hù)失誤帶來(lái)的安全隱患。

所以現(xiàn)在的網(wǎng)絡(luò)在復(fù)雜的網(wǎng)絡(luò)環(huán)境下面臨增加了更多具有挑戰(zhàn)的安全問題，尤其是網(wǎng)絡(luò)中防火墻的多級(jí)化，使得對(duì)于防火墻安全策略的審計(jì)顯得更加具有重要性。

發(fā)明內(nèi)容

本發(fā)明實(shí)施例提供了一種復(fù)雜網(wǎng)絡(luò)環(huán)境下的防火墻策略審計(jì)系統(tǒng)，用以在復(fù)雜的網(wǎng)絡(luò)環(huán)境下，根據(jù)防火墻的配置文件檢測(cè)當(dāng)前網(wǎng)絡(luò)設(shè)備的運(yùn)行狀況，詳細(xì)梳理其安全防范策略，審計(jì)出其中存在的不安全的配置，有效降低公司對(duì)防火墻的維護(hù)難度與成本、提升設(shè)備性能、減少管理維護(hù)失誤帶來(lái)的安全隱患。

一種復(fù)雜網(wǎng)絡(luò)環(huán)境下的防火墻策略審計(jì)系統(tǒng)包括：

系統(tǒng)利用SNMP協(xié)議和路由表等網(wǎng)絡(luò)信息自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)中所有活動(dòng)防火墻節(jié)點(diǎn)以及其之間的連接關(guān)系信息，并在此基礎(chǔ)上繪制出網(wǎng)絡(luò)拓?fù)鋱D。同時(shí)，允許網(wǎng)絡(luò)管理員再按照實(shí)際網(wǎng)絡(luò)中的拓?fù)淝闆r手動(dòng)修正自動(dòng)發(fā)現(xiàn)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，以防止某些設(shè)備不能自動(dòng)發(fā)現(xiàn)或者發(fā)現(xiàn)了不存在的設(shè)備的問題。

一種復(fù)雜網(wǎng)絡(luò)環(huán)境下的防火墻策略審計(jì)系統(tǒng)包括：

防火墻的配置文件獲取有兩種方法，一是在線獲取的方式，系統(tǒng)通過SSH的方式訪問防火墻并收集配置文件，這一方式需要防火墻設(shè)備的用戶名密碼信息進(jìn)行認(rèn)證登錄；二是離線導(dǎo)入的方式，由用戶手動(dòng)導(dǎo)入防火墻的配置文件。

一種復(fù)雜網(wǎng)絡(luò)環(huán)境下的防火墻策略審計(jì)系統(tǒng)包括：

本系統(tǒng)的配置解析模塊包含命令庫(kù)和解析器兩部分。

命令庫(kù)中存放著不同廠商防火墻配置命令的格式文件，在執(zhí)行配置解析時(shí)，將配置文件中的配置信息讀出后，解析器根據(jù)防火墻的品牌調(diào)用相應(yīng)的命令庫(kù)文件，執(zhí)行配置解析操作，將其轉(zhuǎn)換為系統(tǒng)可識(shí)別的信息，并存儲(chǔ)在數(shù)據(jù)庫(kù)中。

一種復(fù)雜網(wǎng)絡(luò)環(huán)境下的防火墻策略審計(jì)系統(tǒng)包括：

系統(tǒng)的審計(jì)模塊包含審計(jì)任務(wù)管理與策略優(yōu)化管理兩部分。

審計(jì)任務(wù)管理包括單級(jí)防火墻配置審計(jì)，多級(jí)防火墻配置審計(jì)。單級(jí)防火墻配置審計(jì)包括常規(guī)配置審計(jì)、策略冗佘審計(jì)和策略沖突審計(jì)。多級(jí)防火墻配置審計(jì)是指對(duì)兩級(jí)防火墻的配置文件進(jìn)行策略的冗余、沖突的審計(jì)。

策略優(yōu)化管理模塊由策略優(yōu)化和策略下發(fā)兩部分組成，其中策略優(yōu)化是指系統(tǒng)將審計(jì)任務(wù)生成的審計(jì)報(bào)告以及相應(yīng)的解決方案，提交給網(wǎng)絡(luò)管理員，由其親自判斷審計(jì)報(bào)告中的哪些問題是需要修正的，并在前臺(tái)頁(yè)面上根據(jù)系統(tǒng)的提示選擇相應(yīng)字段的信息作為修改配置命令的參數(shù)，通過策略下發(fā)模塊發(fā)送。策略下發(fā)是指管理員將修改完成的策略以命令的形式輸入到系統(tǒng)中再通過命令下發(fā)器發(fā)送給目標(biāo)防火墻，從而達(dá)到對(duì)防火墻訪問控制策略的優(yōu)化。

一種復(fù)雜網(wǎng)絡(luò)環(huán)境下的防火墻策略審計(jì)系統(tǒng)包括：

防火墻策略審計(jì)基線可配置，用戶可以選擇需要的條目進(jìn)行安全性檢測(cè)。并且該部分留有接口，允許用戶進(jìn)行審計(jì)策略的自定義添加。

一種復(fù)雜網(wǎng)絡(luò)環(huán)境下的防火墻策略審計(jì)系統(tǒng)包括：