基于防火墙策略的安全访问方法和系统

摘要

本发明公开了一种基于防火墙策略的安全访问方法和系统，涉及计算机信息安全技术领域。通过按需动态开通的配置可避免管理员因习惯或不可预期的失误导致防火墙策略的配置问题及危险性。进一步的，需求访问设备后，防火墙根据防火墙策略指令关闭服务访问的状态，有效保护设备防止外来不符合服务协议的访问及入侵。通过防火墙策略动态的开关配置，对防火墙的服务协议进行开关，减少管理员人为操作，以免因操作失误而造成损失。针对每次网络安全检查实现防火墙安全策略与设备一对一的安全配置方法，使访问需求形成一个访问周期，在访问需求到访问再到访问结束形成了一个安全的闭环，实时有效的保护目标设备抵御网络威胁。

说明书

技术领域

本发明涉及计算机信息安全技术领域，特别涉及一种基于防火墙策略的安全访问方法和系统。

背景技术

随着信息科技的发展，网络信息安全问题越来越被重视，基于此，现有技术中利用防火墙来实现安全访问。防火墙策略是一系列具体的规则，任何需求的访问都要进行策略的匹配，只有匹配成功后才能安全的通过防火墙对设备进行访问，所以策略的制定对防火墙功能的发挥至关重要。

现有的防火墙策略的管理是由防火墙管理员根据访问需求对防火墙安全策略进行配置。策略配置后长期存在，无论访问需求是否发生改变，防火墙都一直处于开放状态，网络访问通路一直保持畅通。当有需对访问控制进行关闭时，防火墙策略管理员通过人为的操作控制，关闭防火墙策略以保证设备的安全性。在目标的系统升级或变更的情况下，需要新增和修改防火墙安全策略来保证需求可以正常的进行访问。

但是，随着网络及信息技术的发展，现有安全策略维护模式已经不能满足日常操作管理的需求。在实际使用中，随着业务的增长和调整，防火墙策略会积累到数千甚至上万条。如此复杂的访问控制策略，导致防火墙管理员很难甚至不敢对策略进行删除和优化，策略变动后很可能影响现网业务的运行。这种情况下，防火墙策略越积越多，无论访问需求是否发生改变，防火墙都一直处于开放状态，极大地降低了防火墙对于访问进行限制的效果。另外，由于防火墙的实现原理，过多的策略对防火墙性能造成了很大的压力。

需求能通过防火墙的服务协议访问目标设备，由于不能及时有效的控制防火墙策略对防火墙服务协议的关闭，使得访问目标设备后，防火墙服务协议处于开启状态，对设备的安全造成不可估量的威胁。在业务系统更新或下线的情况下，需要新增防火墙安全策略来保证需求的正常访问，导致相对应的安全策略失效过期，长时间不优化处理易造成防火墙策略变得庞大臃肿。在防火墙策略管理员及维护人员变更的情况下，手动配置防火墙策略会受到个人管理的习惯、安全策略使用倾向及网络需求变化的影响，导致防火墙上配置的策略变得越发混乱，出现重复甚至冲突失效也在所难免。因此，现有基于防火墙策略的访问技术，存在很多的安全漏洞，迫切需要提出一种新的解决方案，使得能够提高网络访问的安全性。

发明内容

鉴于上述问题，本发明实施例提供一种基于防火墙策略的安全访问方法和系统，能够在有访问需求时，根据需求访问的设备开通对应的防火墙，进行安全访问，从而达到提高网络访问安全性的目的。

本发明实施例采用了如下技术方案：

本发明一个实施例提供了一种基于防火墙策略的安全访问方法，所述方法包括：

当有访问需求时，匹配获得本次要访问的设备；

根据当前访问需求对所述设备按照访问需求开通对应的防火墙策略；

访问端通过开通的所述防火墙策略连接所述设备，进行安全访问。

所述方法还包括：

当访问结束后，修改所述设备的防火墙策略为关闭访问状态，禁止本次访问端及其它访问端对所述设备进行访问。

所述当有访问需求时，所述方法还包括：

对访问端进行身份验证，当判断所述访问端为合法时，执行所述匹配得到本次要访问的设备的步骤。

所述匹配获得本次要访问的设备具体包括：

根据访问请求中的起始IP地址、结束IP地址和访问端口匹配获得本次要访问的设备。

所述根据当前访问需求对所述设备按照访问需求开通对应的防火墙策略包括：

根据访问请求中的起始IP地址、结束IP地址、访问端口、请求来源和访问权限开通所述设备对应的防火墙策略。

判断访问结束的方法包括：

判断当接收到所述访问端访问结束时发送的取消策略命令时，确认为访问结束；

所述根据当前访问需求对所述设备按照访问需求开通对应的防火墙策略还包括：在开通的防火墙策略中设置本次访问的访问时间；则

所述判断访问结束的方法包括：

判断是否接收到所述访问端访问结束时发送的取消策略命令或所述访问时间结束通知；

当先接收到所述取消策略命令和访问时间结束通知两者中任一项，确定为访问结束。

另外，本发明实施例还提供了一种基于防火墙策略的安全访问系统，所述系统包括：

匹配模块，用于当有访问需求时，匹配获得本次要访问的设备；

开通模块，用于根据当前访问需求对所述设备按照访问需求开通对应的防火墙策略；

安全访问模块，用于访问端通过开通的所述防火墙策略连接所述设备，进行安全访问。

所述系统还包括：

关闭模块，用于当访问结束后，修改所述设备的防火墙策略为关闭访问状态，禁止本次访问端及其它访问端对所述设备进行访问。

所述匹配模块具体用于：当有访问需求时，根据访问请求中的起始IP地址、结束IP地址和访问端口匹配获得本次要访问的设备；

所述匹配模块还包括：

验证单元，用于当有访问需求时，对访问端进行身份验证，当判断所述访问端为合法时，再匹配获得本次要访问的设备；

所述开通模块，具体用于根据访问请求中的起始IP地址、结束IP地址、访问端口、请求来源和访问权限开通所述设备对应的防火墙策略。

所述系统还包括：

访问结束确定模块，用于确定访问结束；

所述访问结束确定模块具体用于，判断当接收到所述访问端访问结束时发送的取消策略命令时，确认为访问结束；

所述开通模块，还用于在开通的防火墙策略中设置本次访问的访问时间；则

所述访问结束确定模块具体用于，判断是否接收到所述访问端访问结束时发送的取消策略命令或所述访问时间结束通知；当先接收到所述取消策略命令和访问时间结束通知两者中任一项，确定为访问结束。

可见，本发明实施例提供一种基于防火墙策略的安全访问方法和系统，当有访问需求时，匹配得到本次要访问的设备，根据当前访问需求对所述设备按照访问需求开通对应的防火墙策略，访问端通过开通的所述防火墙策略连接所述设备，进行安全访问。本发明实施例弥补了企业现有防火墙策略维护的不足，有效控制防火墙策略因为系统变更而导致的策略臃肿的现象，满足企业防火墙安全防护的要求。通过按需动态开通的配置可避免管理人员因为习惯或不可预期的失误所导致防火墙策略的配置问题及危险性。

进一步的，需求访问设备后，防火墙根据防火墙策略指令关闭服务访问的状态，有效保护设备防止外来的不符合服务协议的访问及入侵。通过防火墙策略动态的开关配置，按需自动执行防火墙策略配置的命令，对防火墙的服务协议进行开关，减少管理员的人为操作，以免因操作失误而造成损失。针对每次的网络安全检查实现防火墙安全策略与设备一对一的安全配置方法，使访问需求形成一个访问周期，在访问需求到访问再到访问结束形成了一个安全的闭环，实时有效的保护目标设备抵御网络威胁。

附图说明

图1为本发明实施例提供的一种基于防火墙策略的安全访问方法流程图；

图2为本发明实施例提供的基于防火墙策略的安全访问方法中开通防火墙策略的具体实例流程图；

图3为本发明实施例提供的一种基于防火墙策略的安全访问系统结构框图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步地详细描述。

本发明实施例针对目标设备不能进行有效的访问需求而催生的方法及系统。当有新的访问需求时，会通过防火墙策略的配置模板与所有设备防火墙的网络地址进行匹配，匹配成功后，需求可访问操作该设备，而其他的设备的防火墙仍处于安全策略以外的服务配置状态（关闭状态），在目标设备被访问时，其他设备防火墙处于拒绝服务状态使其不受任何影响，防止其他威胁的入侵。在需求访问结束后，防火墙策略可以按需求或按时间访问关闭策略，既使防火墙拒绝本次访问之后的所有访问请求。保护设备在访问后不受到其它访问需求的影响。有效避免了人工操作习惯造成的防火墙安全策略配置的失误，形成自动一体化安全访问策略。

参见图1，本发明实施例提供一种基于防火墙策略的安全访问方法，具体包括如下步骤：

S101：当有访问需求时，匹配获得本次要访问的设备。

为了进一步提高访问安全性，本发明一个实施例中，当有访问需求时，所述方法还包括：

对访问端进行身份验证，当判断所述访问端为合法时，执行所述匹配得到本次要访问的设备的步骤。

也就是说，对验证需求访问方的身份进行验证，查看访问是否为合法请求，避免未授权系统或人员非法开通对设备的访问通路。

在具体实施中，本步骤中的匹配获得本次要访问的设备具体可以为：

根据访问请求中的起始IP地址、结束IP地址和访问端口等匹配获得本次要访问的设备。

S102：根据当前访问需求对所述设备按照访问需求开通对应的防火墙策略。

在具体实施中，在本发明一个实施例中，上述根据当前访问需求对所述设备按照访问需求开通对应的防火墙策略可以具体为：

根据访问请求中的起始IP地址、结束IP地址、访问端口、请求来源和访问权限等开通所述设备对应的防火墙策略。

具体的，执行匹配开通策略的命令集来开通防火墙，防火墙开通命令逐台登录到防火墙上进行开通配置，防火墙开通命令执行完后退出当前防火墙所在设备。

S103：访问端通过开通的所述防火墙策略连接所述设备，进行安全访问。

优选的，本发明实施例的另一优选实施例中还包括如下步骤：

S104：当访问结束后，修改所述设备的防火墙策略为关闭访问状态，禁止本次访问端及其它访问端对所述设备进行访问。

也就是说，防火墙策略的动态开关控制防火墙是否允许服务访问是本发明的一个重要技术关键点，通过防火墙策略的动态开关控制，在有服务要进行访问时，自动开通对应的防火墙策略，允许上述服务进行安全访问，而同时其它设备防火墙处于关闭状态，即处于拒绝服务状态，不允许服务进行访问，以提高安全性。并在访问结束后，自动关闭对应的防火墙策略，

在本发明的一个实施例中，判断访问结束的方法可以是：

判断当接收到所述访问端访问结束时发送的取消策略命令时，确认为访问结束。

也就是说，首先，根据需求方对执行完访问的设备进行取消策略命令集的需求，执行匹配取消命令集，通过对起始IP、结束IP、访问端口、时间及请求来源的匹配进行取消。

然后，执行匹配取消策略命令集来关闭防火墙相应策略，防火墙关闭命令逐台登录到防火墙上进行关闭配置，防火墙关闭命令执行完后退出当前防火墙所在设备。

作为另一种实现方式，上述根据当前访问需求对所述设备按照访问需求开通对应的防火墙策略还包括：在开通的防火墙策略中设置本次访问的访问时间。

则相应的，判断访问结束的方法可以包括如下子步骤：

判断是否接收到所述访问端访问结束时发送的取消策略命令或所述访问时间结束通知；

当先接收到所述取消策略命令和访问时间结束通知两者中任一项，确定为访问结束。

也就是说，判断访问端访问结束时发送的取消策略命令和访问时间结束通知先接收到哪个，则以现接收到的为准，确认此时为访问结束。

若先接收到的是访问时间结束通知，则根据超时或限制访问的时间配置，需按照时间的方式执行匹配取消策略命令集,通过对起始IP、结束IP、访问端口、时间及请求来源的匹配进行取消；然后执行匹配取消策略命令集来关闭防火墙相应策略，防火墙关闭命令逐台登录到防火墙上进行关闭配置，防火墙关闭命令执行完后退出当前防火墙所在设备。

若先接收的是访问端访问结束时发送的取消策略命令，则根据需求方对执行完访问的设备进行取消策略命令集的需求，执行匹配取消命令集，通过对起始IP、结束IP、访问端口、时间及请求来源的匹配进行取消。然后，执行匹配取消策略命令集来关闭防火墙相应策略，防火墙关闭命令逐台登录到防火墙上进行关闭配置，防火墙关闭命令执行完后退出当前防火墙所在设备。

可见，本发明实施例提供一种基于防火墙策略的安全访问方法，当有访问需求时，匹配得到本次要访问的设备，根据当前访问需求对所述设备按照访问需求开通对应的防火墙策略，访问端通过开通的所述防火墙策略连接所述设备，进行安全访问。本发明实施例弥补了企业现有防火墙策略维护的不足，有效控制防火墙策略因为系统变更而导致的策略臃肿的现象，满足企业防火墙安全防护的要求。通过按需动态开通的配置可避免管理人员因为习惯或不可预期的失误所导致防火墙策略的配置问题及危险性。

进一步的，需求访问设备后，防火墙根据防火墙策略指令关闭服务访问的状态，有效保护设备防止外来的不符合服务协议的访问及入侵。通过防火墙策略动态的开关配置，按需自动执行防火墙策略配置的命令，对防火墙的服务协议进行开关，减少管理员的人为操作，以免因操作失误而造成损失。针对每次的网络安全检查实现防火墙安全策略与设备一对一的安全配置方法，使访问需求形成一个访问周期，在访问需求到访问再到访问结束形成了一个安全的闭环，实时有效的保护目标设备抵御网络威胁。

参见图2，为本发明实施例提供的基于防火墙策略的安全访问方法中开通防火墙策略的一具体实施例。具体包括如下步骤：

201对验证需求访问方的身份进行验证，查看访问是否为合法请求，避免未授权系统或人员非法开通对设备的访问通路。

202匹配执行开通策略命令集，通过对起始IP、结束IP、访问端口、时间及请求来源进行匹配开通。

203逐台登录到防火墙上，执行匹配开通策略的命令集来开通防火墙，命令执行完后退出。

204向访问需求方反馈策略已开通，由需求方根据自己需求进行操作。

参见图3，本发明实施例提供一种基于防火墙策略的安全访问系统，所述系统包括：

匹配模块301，用于当有访问需求时，匹配获得本次要访问的设备；

开通模块302，用于根据当前访问需求对所述设备按照访问需求开通对应的防火墙策略；

安全访问模块303，用于访问端通过开通的所述防火墙策略连接所述设备，进行安全访问。

优选的，为了进一步提高访问的安全性，所述系统还包括：

关闭模块304，用于当访问结束后，修改所述设备的防火墙策略为关闭访问状态，禁止本次访问端及其它访问端对所述设备进行访问。

具体的，所述匹配模块具体用于：当有访问需求时，根据访问请求中的起始IP地址、结束IP地址和访问端口匹配获得本次要访问的设备。

进一步的，所述匹配模块还包括：

验证单元，用于当有访问需求时，对访问端进行身份验证，当判断所述访问端为合法时，再匹配获得本次要访问的设备。

在具体实施中，所述开通模块，具体用于根据访问请求中的起始IP地址、结束IP地址、访问端口、请求来源和访问权限开通所述设备对应的防火墙策略。

优选的，所述系统还包括访问结束确定模块，用于确定访问结束。

在本发明的一个实施例中，所述访问结束确定模块具体用于，判断当接收到所述访问端访问结束时发送的取消策略命令时，确认为访问结束。

在本发明的另一实施例中，所述开通模块，还用于在开通的防火墙策略中设置本次访问的访问时间。

则所述访问结束确定模块具体用于，判断是否接收到所述访问端访问结束时发送的取消策略命令或所述访问时间结束通知；当先接收到所述取消策略命令和访问时间结束通知两者中任一项，确定为访问结束。

需要说明的是，本发明系统实施例中的各个模块或者单元的工作原理和处理过程可以参见上述图1-图2所示方法实施例中的相关描述，此处不再赘述。

可见，本发明实施例提供一种基于防火墙策略的安全访问系统，当有访问需求时，匹配得到本次要访问的设备，根据当前访问需求对所述设备按照访问需求开通对应的防火墙策略，访问端通过开通的所述防火墙策略连接所述设备，进行安全访问。本发明实施例弥补了企业现有防火墙策略维护的不足，有效控制防火墙策略因为系统变更而导致的策略臃肿的现象，满足企业防火墙安全防护的要求。通过按需动态开通的配置可避免管理人员因为习惯或不可预期的失误所导致防火墙策略的配置问题及危险性。

进一步的，需求访问设备后，防火墙根据防火墙策略指令关闭服务访问的状态，有效保护设备防止外来的不符合服务协议的访问及入侵。通过防火墙策略动态的开关配置，按需自动执行防火墙策略配置的命令，对防火墙的服务协议进行开关，减少管理员的人为操作，以免因操作失误而造成损失。针对每次的网络安全检查实现防火墙安全策略与设备一对一的安全配置方法，使访问需求形成一个访问周期，在访问需求到访问再到访问结束形成了一个安全的闭环，实时有效的保护目标设备抵御网络威胁。

为了便于清楚描述本发明实施例的技术方案，在发明的实施例中，采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分，本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定。

本领域普通技术人员可以理解，实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，所述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，包括如下步骤：（方法的步骤），所述的存储介质，如：ROM/RAM、磁碟、光盘等。

以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本发明的保护范围内。