一种防火墙安全策略配置方法和装置、以及防火墙

摘要

本申请公开的防火墙安全策略配置方法和装置、以及防火墙，从网络环境中获取数据包，分析数据包，得到协议信息和数据信息，将数据信息与资产模型库进行匹配，得到资产信息，将资产信息和协议信息，与策略模型库进行匹配，得到与资产信息和协议信息对应的防火墙安全策略。通过资产模型库对资产进行识别，通过策略模型库获取资产信息和协议信息对应的防火墙安全策略，自动配置防火墙安全策略，避免防火墙安全策略配置中出现策略遗漏、策略错误和策略冗余等问题。

说明书

技术领域

本申请涉及网络安全领域，更具体地说，涉及一种防火墙安全策略配置方法和装置、以及防火墙。

背景技术

工业网络环境中部署防火墙时，需要针对网络环境中的协议和资产配置防火墙安全策略。目前的防火墙安全策略都是手动配置的，通过对网络环境中的数据进行提取分析，根据分析结果制定人员手动进行防火墙安全策略的配置。在防火墙安全策略的制定过程中，需要制定人员熟悉协议和资产的漏洞和缺陷，并针对协议和资产的漏洞和缺陷进行防火墙安全策略配置。但是，手动配置的过程，由于人为因素，容易出现策略遗漏、策略错误和策略冗余等问题。

发明内容

有鉴于词，本申请提出一种防火墙安全策略配置方法和装置、以及防火墙，欲实现自动配置防火墙安全策略，避免防火墙安全策略配置中出现策略遗漏、策略错误和策略冗余等问题。

为了实现上述目的，现提出的方案如下：

一种防火墙安全策略配置方法，基于资产模型库和策略模型库，所述资产模型库包含资产信息，所述策略模型库包含资产信息和协议信息，与防火墙安全策略的对应关系，所述方法包括：

从网络环境中获取数据包；

分析所述数据包，得到协议信息和数据信息；

将所述数据信息与所述资产模型库进行匹配，得到资产信息；

将所述资产信息和所述协议信息，与所述策略模型库进行匹配，得到与所述资产信息和协议信息对应的防火墙安全策略。

优选的，所述得到资产信息后，还包括：

对资产行为进行归结，生成记录信息。

优选的，所述生成记录信息后，还包括：

根据所述记录信息监控资产行为，若所述资产行为与所述记录信息不同，发出反馈信息。

优选的，所述反馈信息包括：阻断或告警。

一种防火墙安全策略配置装置，包括：

数据包获取单元，用于从网络环境中获取数据包；

数据包分析单元，用于分析所述数据包，得到协议信息和数据信息；

资产信息识别单元，用于将所述数据信息与资产模型库进行匹配，得到资产信息，所述资产模型库包含资产信息；

安全策略配置单元，用于将所述资产信息和所述协议信息，与策略模型库进行匹配，得到与所述资产信息和协议信息对应的防火墙安全策略，所述策略模型库包含资产信息和协议信息，与防火墙安全策略的对应关系。

优选的，还包括：

资产行为归结单元，用于对资产行为进行归结，生成记录信息。

优选的，还包括：

资产行为管理单元，用于根据所述记录信息监控资产行为，若所述资产行为与所述记录信息不同，发出反馈信息。

一种防火墙，包括所述的防火墙安全策略配置装置。

优选的，还包括：

开关单元，用于开启和关闭所述防火请安全策略配置装置。。

从上述的技术方案可以看出，本申请提出的防火墙安全策略配置方法和装置、以及防火墙，通过资产模型库对资产进行识别，通过策略模型库获取资产信息和协议信息对应的防火墙安全策略，自动配置防火墙安全策略，避 免防火墙安全策略配置中出现策略遗漏、策略错误和策略冗余等问题。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本实施例公开的一种防火墙安全策略配置方法流程图；

图2为本实施例公开的另一种防火墙安全策略配置方法流程图；

图3为本实施例公开的一种防火墙安全策略配置装置示意图；

图4为本实施例公开的另一种防火墙安全策略配置装置示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

本申请公开的防火墙安全策略的配置方案，通过资产模型库对网络环境中的资产进行识别，通过策略模型库获取资产和协议对应的防火墙安全策略，自动配置防火墙安全策略，避免防火墙安全策略配置中出现策略遗漏、策略错误和策略冗余等问题。

本实施例公开一种防火墙安全策略配置方法，该方法的实现基于资产模型库和策略模型库，资产模型库包含所有的资产信息，用于识别数据中的资产信息；策略模型库包含资产信息与防火墙安全策略的对应关系，以及协议信息与防火墙安全策略的对应关系，用于根据资产信息和协议信息生成防火墙安全策略。参见图1所示的流程图，本实施例公开的防火墙安全策略配置 方法包括：

步骤S11：从网络环境中获取数据包。对网卡识别、资产类型请求和资产的运行服务等获取数据包。

步骤S12：分析从网络环境中获取的数据包，得到协议信息和数据信息。

分析获取的数据包，得到包含资产信息的数据信息和资产的运行协议信息。例如：包含Q-Series设备信息的数据信息，以及Q-Series设备运行的协议信息MELSOFT-TCP、MELSOFT-UDP。

步骤S13：将经过分析得到的数据信息与预置的资产模型库进行匹配，得到资产信息。

资产模型库包含所有的资产信息，数据信息包含某个资产信息，通过将模型数据库中的所有资产信息依此与数据信息进行匹配，就可以识别数据信息中包含的资产信息。

步骤S14：将匹配得到的资产信息和分析数据包得到的协议信息，与预置的策略模型库进行匹配，得到与资产信息和协议信息对应的防火墙安全策略。

根据策略模型库中的资产信息与防火墙安全策略的对应关系，以及协议信息与防火墙安全策略的对应关系，得到与资产信息和协议信息对应的防火墙安全策略，例如ABB控制器，运行协议为AC800M_MODBUS，自动生成针对资产ABB控制器和协议AC800M_MODBUS的防火墙安全策略。对资产形成防护，且对资产运行的协议进行防护。与协议对应的防火墙安全策略，能够对一些非正常协议进行告警或者过滤，不能对接收并运行该协议的资产进行防护；但是，资产信息对应的防火墙安全策略，实现对资产的防护。

本申请提出的防火墙安全策略配置方法，通过资产模型库对资产进行识别，通过策略模型库获取资产信息和协议信息对应的防火墙安全策略，自动配置防火墙安全策略，避免防火墙安全策略配置中出现策略遗漏、策略错误和策略冗余等问题。

本实施例公开另一种防火墙安全策略配置方法，通过对资产行为进行归 结，并生成记录信息，进而对风险行为进行阻断或告警。参见图2所示，本实施例公开的防火墙安全策略配置方法包括：

步骤S11：从网络环境中获取数据包。

步骤S12：分析从网络环境中获取的数据包，得到协议信息和数据信息。

步骤S13：将经过分析得到的数据信息与预置的资产模型库进行匹配，得到资产信息。

步骤S21：对资产行为进行归结，生成记录信息。

得到资产信息后，将资产信息，协议信息，以及资产的行为进行分析归结。例如在某个时间点，进行一次数据采集、控制操作和操作内容，对应MODBUS读线圈、写线圈和写线圈的值。通过一段时间对资产行为进行记录和分析，生成一个记录信息，

步骤S22：根据生成的记录信息监控资产行为，若资产行为与记录信息不同，发出反馈信息。

记录信息生成后，将记录信息作为资产的安全行为对资产的日常行为进行监控，如果在某个时间段内，资产行为与记录信息产生差异，可以进行阻断或告警，并记录日志。

步骤S14：将匹配得到的资产信息和分析数据包得到的协议信息，与预置的策略模型库进行匹配，得到与资产信息和协议信息对应的防火墙安全策略。

本实施例公开的防火墙安全策略配置方法，通过对资产行为进行归结，并生成记录信息，进而对风险行为进行阻断或告警。

本实施例公开一种防火墙安全策略配置装置，参见图3所示，包括：

数据包获取单元101，用于从网络环境中获取数据包；

数据包分析单元102，用于分析所述数据包，得到协议信息和数据信息；

资产信息识别单元103，用于将所述数据信息与资产模型库进行匹配，得到资产信息，所述资产模型库包含资产信息；

安全策略配置单元104，用于将所述资产信息和所述协议信息，与策略模 型库进行匹配，得到与所述资产信息和协议信息对应的防火墙安全策略，所述策略模型库包含资产信息和协议信息，与防火墙安全策略的对应关系。

本实施例公开另一种防火墙安全策略配置装置，参见图4所示，包括：数据包获取单元101，数据包分析单元102，资产信息识别单元103，安全策略配置单元104和资产行为归结单元201，以及和/或资产行为管理单元202

资产行为归结单元201，用于对资产行为进行归结，生成记录信息。

资产行为管理单元202，用于根据所述记录信息监测资产行为，若所述资产行为与所述记录信息不同，发出反馈信息。

本实施例公开一种防火墙，包括上述公开的一种防火墙安全策略配置装置。

还可以包括开关单元，用于开启和关闭防火请安全策略配置装置。防火墙开启防火墙安全策略配置装置后，通过对网络环境中的数据进行收集，并对收集到的数据进行分析，自动生成防火墙安全策略。

对于装置实施例而言，由于其基本相应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其 他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下，在其它实施例中实现。因此，本申请将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。