本发明创造涉及计算机网络领域,具体一种利用防火墙“开放权限过大策略”规则命中的流量日志对防火墙中“开放权限过大策略”规则全自动优化的方法。
背景技术:
1、防火墙是有一种网络安全设备,它通过制定规则来决定哪些网络流量可以通过,哪些需要被阻止或监控,有效地监控了内部网和外部网的任何活动,保证了内部网络的安全。随着企业业务的发展,企业防火墙策略规则也随之增多,大概率会存在一些不合规的“开放权限过大策略”规则,“开放权限过大策略”规则指的是在网络安全管理中,策略规则或访问控制规则设置过于宽泛或宽松,未能有效限制对网络资源和系统的访问权限。这种情况下,未经授权的用户、设备或程序有可能获取到不应该访问的网络资源,从而增加了网络系统遭受未经授权访问、恶意活动或数据泄露等安全风险的可能性。“开放权限过大策略”规则可以分为源ip地址、目标ip地址、目标协议端口任意一种“开放权限过大策略”规则的情况,或者大于其中任何一种情况的策略规则。防火墙中“开放权限过大策略”规则属于不合规的防火墙策略规则,是审计部门重点审计部分。优化防火墙“开放权限过大策略”规则的方法多为人工为主,既耗时间又不准确,甚至少数网络管理者干脆就不去理会,任其存在。防火墙“开放权限过大网策略”规则长期存在危害较大,企业可能会遭受到网络攻击,给企业造成损失。
技术实现思路
1、本发明创造通过一种利用防火墙“开放权限过大策略”规则命中的流量日志对防火墙中“开放权限过大策略”规则全自动优化的方法,解决了现有技术中存在的人工劳动强度大、工作效率低、准确性能低的技术问题。
2、本发明创造是通过以下技术方案来实现的:一种利用防火墙“开放权限过大策略”规则命中的流量日志对防火墙“开放权限过大策略”规则进行全自动优化的方法,其步骤为:
3、s1.设置防火墙“开放权限过大策略”规则命中的流量日志单次采集周期数值λts、采集总周期数值λtt、源ip地址和目标ip地址的优化规则数值λa、λb、λc,先将单次采集周期数值λts收集到的防火墙“开放权限过大策略”规则命中的流量日志,上传至防火墙策略优化服务器,再删除此次采集周期数值λts命中的流量日志,重新接收新的“开放权限过大策略”规则命中的流量日志。
4、s2.提取防火墙“开放权限过大策略”规则命中的流量日志关键元素,构成新的防火墙策略规则记录:每一条有效防火墙策略规则命中的流量日志表示一条网络真实访问记录,提取流量日志关键元素分别为:32位源ip地址、源安全区域、32位目标ip地址、目标协议端口4个关键元素;先将4个关键元素组成一条记录,再去掉重复记录,然后在每条不重复的记录上添加一个按当前时间加数字构成的防火墙策略规则名称,组成一条完整的防火墙策略规则记录,所述防火墙策略规则记录内包含的5个元素为:[策略名称,源ip地址,源安全区域,目标ip地址,目标协议端口]。
5、s3.优化流量日志源ip地址:
6、s3-1.拆分出32位源ip地址:将s2中得到的防火墙策略规则记录中“源安全区域、32位目标ip地址、目标协议端口”合并成一个“python编程语言”字符串数据类型格式:[“策略名称a”,“源ip地址a”,“源安全区域a、目标ip地址a、目标协议端口a”];再将多条防火墙策略规则记录按照“源安全区域、目标ip地址、目标协议端口”组成的字符串分组,将组内一个或者多个32位源ip地址元素合并成一个“python编程语言”列表数据类型格式,只保留组内一个策略名称和去掉重复的“源安全区域、目标ip地址、目标协议端口”组成的字符串,每个32位源ip地址添加子网掩码,构成标准的ip地址格式,得到完整的防火墙策略规则数据表:[“策略名称a”,[“32位源ip地址1+子网掩码,32位源ip地址2+子网掩码,……,32位源ip地址m+子网掩码”],“源安全区域a、目标ip地址a、目标协议端口a”],将该数据表命名为“src_ip_a”。
7、s3-2.合并去重复源ip地址:从数据库源ip地址优化策略数据表"src_ip_opti"中提取数据,与数据表"src_ip_a"相加,构成数据表"src_ip_b",将数据表"src_ip_b"按照s3-1步骤操作,构成数据表"src_ip_c"。
8、s3-3.源ip地址添加网段优化:
9、s3-3-1.预设源ip地址添加网段优化数值:预设添加c类网段优化规则数值λc、添加b类网段优化规则数值λb、添加a类网段优化规则数值λa,所述的a类网段、b类网段、c类网段为标准的ip地址分类。
10、s3-3-2.源ip地址合理性、合规性优化:
11、当"src_ip_c"中同一分组内有数量k个前24位相同的32位源ip地址,当k<λc时,将不做32位源ip地址添加网段优化,防火墙策略规则记录中源ip地址为实际32位源ip地址。
12、当"src_ip_c"中同一分组内有数量k个前24位相同的32位源ip地址,当λc≤k<3λc,同一分组内添加一个前24位相同的c类网段,如果存在多个数量k类的32位源ip地址,就添加多个前24位相同的c类网段,构成数据表"src_ip_d"。
13、当"src_ip_d"中同一分组内有数量l个前24位相同的32位源ip地址,当3λc≤l时,同一分组内添加一个前16位相同的b类网段,如果存在多个数量l类的32位源ip地址,就添加多个前16位相同的b类网段,构成数据表"src_ip_e"。
14、当"src_ip_e"中同一分组内有数量m个前16位相同的c类网段,当λb≤m时,同一分组内添加一个前16位相同的b类网段,如果存在多个数量m类的c类网段,就添加多个前16位相同的b类网段,构成数据表"src_ip_f"。
15、当"src_ip_f"中同一分组内有数量n个前8位相同的b类网段,当λa≤n时,同一分组内添加一个前8位相同的a类网段,如果存在多个数量n类的b类网段,就添加多个前8位相同的a类网段,构成数据表"src_ip_g"。
16、s3-4.源ip地址包含关系去重与存储:利用ip地址计算模块,对数据表"src_ip_g"中32位源ip地址、网段包含关系去重复优化,如数据表中同时存在前24位相同的32位源ip地址和前24位相同的c类网段时,保留c类网段,删除32位源ip地址;保留b类网段、a类网段的方法与保留c类网段方法相同;将包含关系去重后的数据表命名为"src_ip_h",更新数据库源ip地址优化策略数据表"src_ip_opti":先清空数据库中源ip地址优化策略数据表"src_ip_opti"信息,再将数据表"src_ip_h"信息写入数据库源ip地址优化策略数据表"src_ip_opti"中。
17、s4.优化流量日志目标ip地址;优化流量日志目标ip地址的方法与优化流量日志源ip地址的方法相同;将最后得到的数据表更新数据库目标ip地址优化策略数据表"dst_ip_opti"。
18、s5.优化流量日志目标协议端口;
19、s5-1.从数据库目标ip地址优化策略数据表"dst_ip_opti"中提取数据,将“源安全区域、源ip地址、目标ip地址”合并成一个“python编程语言”字符串数据类型格式,再按照“源安全区域、源ip地址、目标ip地址”组成的字符串分组,将组内1个或者多个目标协议端口合并成一个“python编程语言”列表数据类型格式,并且保留一个策略名称和去掉重复的“源安全区域、源ip地址、目标ip地址”组成的字符串,得到数据表:[“策略名称i”,[“目标协议端口1”,“目标协议端口2”,……,“目标协议端口j”],“源安全区域i、源ip地址i//源ip地址i+1//……//源ip地址i+j、目标ip地址i//目标ip地址i+1//……//目标ip地址i+j”],将该数据表命名为“pro_port_a”。
20、s5-2.拆分数据表“pro_port_a”中多个协议端口、多目标ip地址防火墙策略规则:指当目标协议端口优化计数器p数值小于采集总周期数值λtt时,将数据表"pro_port_a"中多个协议端口的策略规则拆分成多个单协议端口策略规则,构成数据表"pro_port_b";再将数据表"pro_port_b"中单协议端口策略规则中多个目标ip地址策略规则拆分单协议端口、单个目标ip地址策略规则,构成数据表"pro_port_c";所述目标协议端口优化计数器p,初始值为0,每执行一次优化程序,p数值就累加一次。
21、s5-3.更新数据库源ip地址优化数据表“src_ip_opti”:先清空数据库源ip地址优化数据表“src_ip_opti”,将数据表"pro_port_c"重新写入到数据库源ip地址优化数据表“src_ip_opti”中;删除防火墙策略优化服务器硬盘上“开放权限过大策略”规则命中的流量日志文件。
22、s6.重新执行“开放权限过大策略”规则优化程序:重新获得“开放权限过大策略”规则命中的流量日志;再次执行“开放权限过大策略”规则优化程序。
23、s7.生成防火墙策略规则配置文件,自动登录防火墙下发策略规则配置:当目标协议端口优化计数器p大于采集总周期数值λtt时,将优化目标协议端口得到的数据表"pro_port_a"数据,利用jinja2模块模板语言,自动生成防火墙策略规则配置文件,利用netmiko模块,自动登录防火墙下发策略规则记录,删除防火墙“开放权限过大策略”规则记录,完成全自动优化防火墙“开放权限过大策略”规则操作。
24、本发明创造的有益效果为:本发明创造通过获取防火墙中存在“开放权限过大策略”真实流量日志,全自动智能分析、优化网络防火墙“开放权限过大策略”规则有效流量日志,在保证原有访问业务正常访问的情况下,自动生成合理、合规防火墙策略规则配置下发到防火墙,并且删除“开放权限过大策略”规则,每次全自动优化“开放权限过大策略”规则处理时间从原来人工优化的几个小时,缩短为程序自动执行的几十秒钟时间,人力成本几乎为0,实现了从人工优化到全程自动优化的重大跨越,极大地提高了防火墙运维效率。解决了企业长期以来面临的防火墙策略规则不合规问题顽疾,使企业防火墙策略规则配置更合理、合规,提高了企业对防火墙的管理能力,这对于企业提升网络安全防护水平和运营管理效率具有重要意义,具有广阔的应用前景和商业价值。
1.一种利用防火墙“开放权限过大策略”规则命中的流量日志对防火墙中“开放权限过大策略”规则全自动优化的方法,其特征在于,其步骤为:
2.根据权利要求1所述的一种利用防火墙“开放权限过大策略”规则命中的流量日志对防火墙中“开放权限过大策略”规则进行全自动优化的方法,其特征在于,所述的优化流量日志目标ip地址的方法与优化流量日志源ip地址的方法相同;将最后得到的数据表更新数据库目标ip地址优化策略数据表"dst_ip_opti"。
3.根据权利要求1所述的一种利用防火墙“开放权限过大策略”规则命中的流量日志对防火墙中“开放权限过大策略”规则进行全自动优化的方法,其特征在于,所述的s5具体方法为:
