法律状态公告日
法律状态信息
法律状态
2019-05-03
授权
授权
2016-11-09
实质审查的生效 IPC(主分类):H04L29/06 申请日:20150202
实质审查的生效
2016-10-05
公开
公开
技术领域
本发明涉及信息安全领域,尤其涉及防火墙访问控制策略提出者的确定方法及装置。
背景技术
近些年各企事业单位对信息安全的重视度逐年提升,防火墙在企事业单位信息化建设中已起到至关重要的作用。防火墙通常设置在内部网络与外部网络之间,根据管理员设置的访问控制策略控制外部网络对内部网络的访问,从而避免内部网络免受来自外部网络的非法侵入。
在内部网络或外部网络发生变化时,管理员为防火墙设置的访问控制策略可能会发生失效。随着时间的推移,越来越多的失效访问控制策略会导致防火墙的性能日益下降。因此需要管理员及时对访问控制策略进行清理,删除失效访问控制策略。由于访问控制策略的复杂性,管理员在对访问控制策略进行清理时,需要采用人工梳理方式对逐一判断访问控制策略是否已经失效。
由于不同的访问控制策略通常是由不同的管理员所设置,因此只有访问控制策略的提出者才能准确知道该访问控制策略是否依然有效,其他管理员通常无法准确知道该访问控制策略是否依然有效。因此,管理员在对在清理访问控制策略时,只能根据经验判断不是由自己设置的访问控制策略是否依然有效。因此最好的办法就是找到访问控制策略的提出者,由访问控制策略的提出者进行处理。但是现有技术一般通过人工梳理的方式查找访问控制策略的提出者,这种人工查找的方式效率低,准确性差。
因此,亟需一种自动确定访问控制策略提出者的方法,以便于访问控制策略提出者可以安全有效地清理由自己设置的访问控制策略。
发明内容
本发明实施例提供了防火墙访问控制策略提出者的确定方法及装置,以满足确定访问控制策略的提出者的需求。
第一方面,本发明实施例提供了一种防火墙访问控制策略提出者的确定方法,该方法包括:将访问控制策略拆解为策略元素;从工单信息中查找出与所述策略元素相匹配的指定工单信息;从所述指定工单信息中获取发起者信息,所述发起者信息对应的发起者即为访问控制策略的提出者。
结合第一方面,在第一方面第一种可能的实现方式中,所述从工单信息中查找出与所述策略元素相匹配的指定工单信息包括:将所述策略元素转换为策略元素矩阵;将每一条工单信息分别转换为一个工单信息矩阵;从所述工单信息矩阵中查找出与所述策略元素矩阵相匹配的指定工单信息矩阵,所述指定工单信息矩阵对应的工单信息即为指定工单信息。
结合第一方面第一种可能的实现方式,在第一方面第二种可能的实现方式中,所述将所述策略元素转换为策略元素矩阵包括:将所述策略元素组合为策略元素组;生成以所述策略元素组为矩阵元素的所述策略元素矩阵。
结合第一方面第一种可能的实现方式,在第一方面第三种可能的实现方式中,采用如下方式将每一条所述工单信息分别转换为一个工单信息矩阵包括:从所述工单信息的指定指令段中提取出所述工单信息所包含的原始信息;采用预设转译规则将所述原始信息转译为信息元素;将所述信息元素组合为信息元素组;生成以所述信息元素组为矩阵元素的所述工单信息矩阵。
结合第一方面第一至三种可能的实现方式中任何一种,在第一方面第四种可能的实现方式中,所述从所述工单信息矩阵中查找出与所述策略元素矩阵相匹配的指定工单信息矩阵包括:从所述工单信息矩阵中查找出所述指定工单信息矩阵,所述指定工单信息矩阵的矩阵元素与所述策略元素矩阵的矩阵元素一致。
结合第一方面第一至三种可能的实现方式中任何一种,在第一方面第五种可能的实现方式中,所述从所述工单信息矩阵中查找出与所述策略元素矩阵相匹配的指定工单信息矩阵包括:从所述工单信息矩阵中查找出所述指定工单信息矩阵,所述指定工单信息矩阵的矩阵元素至少包含部分所述策略元素矩阵的矩阵元素。
第二方面,本发明实施例还提供了一种防火墙访问控制策略提出者的确定装置,所述装置包括:拆解单元,用于将访问控制策略拆解为策略元素;查找单元,用于从工单信息中查找出与所述策略元素相匹配的指定工单信息;确定单元,用于从所述指定工单信息中获取发起者信息,所述发起者信息对应的发起者即为访问控制策略的提出者。
结合第二方面,在第二方面第一种可能的实现方式中,所述查找单元包括:第一转换子单元,用于将所述策略元素转换为策略元素矩阵;第二转换子单元,用于将每一条工单信息分别转换为一个工单信息矩阵;匹配子单元,用于从所述工单信息矩阵中查找出与所述策略元素矩阵相匹配的指定工单信息矩阵,所述指定工单信息矩阵对应的工单信息即为指定工单信息。
结合第二方面第一种可能的实现方式,在第二方面第二种可能的实现方式中,所述匹配子单元,具体用于从所述工单信息矩阵中查找出所述指定工单信息矩阵,所述指定工单信息矩阵的矩阵元素与所述策略元素矩阵的矩阵元素一致。
结合第二方面第一种可能的实现方式,在第二方面第三种可能的实现方式中,所述匹配子单元,具体用于从所述工单信息矩阵中查找出所述指定工单信息矩阵,所述指定工单信息矩阵的矩阵元素至少包含部分所述策略元素矩阵的矩阵元素。
本发明实施例中,将访问控制策略拆解为策略元素;从工单信息中查找出与所述策略元素相匹配的指定工单信息;从所述指定工单信息中获取发起者信息,所述发起者信息对应的发起者即为访问控制策略的提出者。采用本发明实施例,可以利用工单信息与访问控制策略之间的对应关系,根据工单信息确定访问控制策略的提出者,从而可以满足确定访问控制策略的提出者的需求,便于访问控制策略的提出者可以安全有效地清理由自己设置的访问控制策略。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明防火墙访问控制策略提出者的确定方法一个实施例的流程图;
图2为本发明防火墙访问控制策略提出者的确定方法另一个实施例的流程图;
图3为本发明防火墙访问控制策略提出者的确定装置一个实施例的结构示意图。
具体实施方式
企事业单位在信息化建设中,除了会用到防火墙之外,通常还会用到工单系统。由于在同一个单位中,防火墙与工单系统同属于同一个信息系统,管理员在防火墙中设置访问控制策略时,工单系统会生成相应的工单信息以记录管理员设置访问控制策略的操作,因此工单系统中所保存的工单信息与防火墙的访问控制策略有很强的对应性。通常情况下工单信息的发起者即为该工单信息所对应访问控制策略的提出者,因此可以利用工单信息中的发起者信息确定访问控制策略的提出者。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参见图1,为本发明防火墙访问控制策略提出者的确定方法一个实施例的流程图,该方法包括如下步骤:
步骤101,将访问控制策略拆解为策略元素。
服务器可以首先获取访问控制策略,然后从所述访问控制策略中获取访问控制策略的策略元素,所述策略元素可以包括访问控制策略对应的源地址、源端口、目的地址、目的端口、协议类型及有效期等。
步骤102,从工单信息中查找出与所述策略元素相匹配的指定工单信息。
在获取到所述策略元素后,服务器可以从工单系统获取工单信息。工单信息通常也由若干信息元素构成。工单信息的信息元素包括工单信息对应的源地址、源端口、目的地址、目的端口、协议类型、有效期、工单号、发起者信息等。
由于工单信息记录了管理员设置访问控制策略的操作,因此工单信息中通常会至少包含一个与策略元素相匹配的指定工单信息。指定工单信息与策略元素相匹配该指定工单信息所包含的信息元素与所述策略元素包含的策略元素内容一致,或者所述信息元素包含所述策略元素的部分或全部。
为便于查找指定工单信息,服务器可以将所述策略元素转换为策略元素矩阵;并将每一条工单信息分别转换为一个工单信息矩阵;然后从所述工单信息矩阵中查找出与所述策略元素矩阵相匹配的指定工单信息矩阵,所述指定工单信息矩阵对应的工单信息即为指定工单信息。
在将策略元素转换为策略元素矩阵时,如果所述策略元素包括所述访问控制策略对应的源地址、源端口、目的地址、目的端口及协议类型等多种类型,服务器将所述策略元素组合为策略元素组;然后生成以所述策略元素组为矩阵元素的所述策略元素矩阵。
在将工单信息转换为工单信息矩阵时,服务器可以首先从所述工单信息的指定指令段中提取出所述工单信息所包含的原始信息;然后采用预设转译规则将所述原始信息转译为信息元素,所述信息元素包括所述工单信息应的源地址、源端口、目的地址、目的端口及协议类型;并将所述信息元素组合为信息元素组;最后再生成以所述信息元素组为矩阵元素的所述工单信息矩阵。
在确定指定工单信息矩阵时,如果某个工单信息矩阵的矩阵元素与所述策略元素矩阵的矩阵元素一致,那么可以将该工单信息矩阵作为指定工单信息矩阵。或者,如果某个工单信息矩阵的矩阵元素至少包含部分所述策略元素矩阵的矩阵元素,即该工单信息矩阵的矩阵元素与策略元素矩阵的矩阵元素之间有交集,那么也可以将该工单信息矩阵作为指定工单信息矩阵。
步骤103,从所述指定工单信息中获取发起者信息,所述发起者信息对应的发起者即为访问控制策略的提出者。
由于指定工单信息的内容中包含该指定工单信息的工单号及该指定工单信息的发起者信息等,因此服务器可以从所述指定工单信息中获取发起者信息。由于访问控制策略与工单信息具有对应性,在指定工单信息与策略元素相匹配时,可以认为指定工单信息的发起者即为访问控制策略的提出者,因此所述发起者信息对应的发起者即为访问控制策略的提出者。在此需要说明的是,当与策略元素相匹配的指定工单信息有多条时,可以认为每条工单信息的发起者都为访问控制策略的提出者。
在本实施例中,将访问控制策略拆解为策略元素;从工单信息中查找出与所述策略元素相匹配的指定工单信息;根据所述指定工单信息的内容确定所述指定工单信息的发起者,所述发起者即为访问控制策略的提出者。采用本实施,可以利用工单信息与访问控制策略之间的对应关系,根据工单信息确定访问控制策略的提出者,从而可以满足确定访问控制策略的提出者的需求,便于访问控制策略的提出者可以安全有效地清理由自己设置的访问控制策略。
参见图2,为本发明防火墙访问控制策略提出者的确定方法另一个实施例的流程图。下面结合图2对本发明防火墙访问控制策略提出者的确定方法做进一步说明。
步骤201,将访问控制策略拆解为策略元素。
服务器可以首先登陆防火墙并获取防火墙的访问控制列表(ACCESS CONTROL LIST,简称ACL),然后从ACL中获取需要查找提出者的访问控制策略。在获取到访问控制策略后,服务器可以首先将所述访问控制策略拆解为由所述访问控制策略对应策略元素。所述策略元素可以包含所述访问控制策略对应的地址、源端口、目的地址、目的端口、协议类型及有效期等多种类型。
由于所述访问控制策略通常为针对端口进行控制的策略,因此访问控制策略可能并不直接包含协议类型信息,因此在实际使用中可能需要通过端口/协议转换规则将访问控制策略中包含的源端口或目的端口转换为对应的协议信息。端口/协议转换规则可以如表1所示。
表1
一条访问控制策略可以包括一条或多条访问规则,根据访问控制策略所包含访问规则数量的不同,访问控制策略所对应的策略元素的数量也各不相同。策略元素组所包含的内容可以如表2所示,其中每一行表示一条访问规则所对应策略元素。
表2
步骤202,将所述策略元素转换为策略元素矩阵。
在获取到策略元素之后,服务器也可以直接生成以所述策略元素为矩阵元素的策略元素矩阵。
为了便于查找指定工单信息矩阵,在获取到所述策略元素后,服务器可以将所述策略元素组合为不同的策略元素组。根据策略元素类型选择的不同,所述策略元素组可以是访问控制策略对应的源地址、源端口、目的地址、目的端口及协议类型构成的策略五元组,或者,也可以是访问控制策略对应的源地址、源端口、目的地址、目的端口、协议类型及有效期构成的策略六元组。在所述策略元素组生成之后,服务器可以生成以所述策略元素组为矩阵元素的所述策略元素矩阵。具体过程在此就不再详述。
步骤203,将每一条工单信息分别转换为一个工单信息矩阵。
服务器可以首先登陆工单系统,并从工单系统中获取所有的工单信息。在从工单系统获取到工单信息后,服务器可以通过工单接口或提取工具提取工单信息所包含的信息元素,并生成有该信息元素构成的信息元素组。
由于工单信息通常以指令形式存在,因此服务器也可以首先从所述工单信息的指定指令段中提取出所述工单信息所包含的原始信息,然后采用预设转译规则将所述原始信息转译为信息元素。所述信息元素包括所述工单信息应的源地址、源端口、目的地址、目的端口及协议类型。在获取到所述信息元素后,可以将所述信息元素组合为信息元素组,并生成以所述信息元素组为矩阵元素的所述工单信息矩阵。
根据所选信息元素类型的不同,所述信息元素组可以是由工单信息对应的源地址、源端口、目的地址、目的端口及协议类型构成的信息五元组,或者,也可以是有工单信息对应的源地址、源端口、目的地址、目的端口、协议类型、工单号及发起者的信息七元组。在实际使用中,为了便于比对,可以将信息元素组设置为信息五元组,并将所述策略元素组设置为策略五元组。当工单信息不直接包含协议类型信息时,也可以采用表1所示的端口/协议转换规则将工单信息中包含的源端口或目的端口转换为对应的协议信息。
根据工单信息的不同,信息元素组的数量也各不相同。信息元素组所包含的内容可以如表3所示,其中每一行表示一个信息元素组。
表3
步骤204,从所述工单信息矩阵中查找出与所述策略元素矩阵相匹配的指定工单信息矩阵,所述指定工单信息矩阵对应的工单信息即为指定工单信息。
在从所述工单信息矩阵中查找与所述策略元素矩阵相匹配的指定工单信息矩阵时,可以采用逐一比对的方式,从所述工单信息矩阵中查找出与所述策略元素矩阵相匹配的指定工单信息矩阵。由于不同的工单信息矩阵包含的信息元素组不同,并且不同的策略元素矩阵所包含的策略元素组也不相同。因此可以采用精确匹配或关联匹配等不同的匹配方式确定指定工单信息矩阵。
在采用精确匹配方式确定指定工单信息矩阵时,如果某个工单信息矩阵的矩阵元素与所述策略元素矩阵的矩阵元素一致,那么可以将该工单信息矩阵作为指定工单信息矩阵。例如,当所述工单信息矩阵包含3个信息五元组,所述策略元素矩阵也包含3个特征五元组时,如果3个信息五元组与3个特征五元组的内容相同,则可以认为工单信息矩阵和策略元素矩阵精确匹配,该工单信息矩阵即为指定工单信息矩阵。
在采用关联匹配方式确定指定工单信息矩阵时,如果某个工单信息矩阵的矩阵元素至少包含部分所述策略元素矩阵的矩阵元素,即该工单信息矩阵的矩阵元素与策略元素矩阵的矩阵元素之间有交集,那么也可以将该工单信息矩阵作为指定工单信息矩阵。例如,当所述工单信息矩阵包含5个信息五元组,所述策略元素矩阵包含4个特征五元组时,如果4个信息五元组与4个特征五元组的内容相同,则可以认为工单信息矩阵策略元素矩阵关联匹配,该工单信息矩阵即为指定工单信息矩阵;如果2个信息五元组与2个特征五元组的内容相同,则也可以认为工单信息矩阵策略元素矩阵关联匹配,该工单信息矩阵即为指定工单信息矩阵。又如,当所述工单信息矩阵包含4个信息五元组,所述策略元素矩阵包含5个特征五元组时,如果2个信息五元组与2个特征五元组的内容相同,则也可以认为工单信息矩阵策略元素矩阵关联匹配,该工单信息矩阵即为指定工单信息矩阵。
步骤205,从所述指定工单信息中获取发起者信息,所述发起者信息对应的发起者即为访问控制策略的提出者。
在所述指定工单信息确定之后,服务器可以从指定工单信息中获取该指定工单信息发起者信息,所述发起者信息对应的发起者即为访问控制策略的提出者。具体过程在此就不再赘述。
采用本实施,不但可以利用工单信息与访问控制策略之间的对应关系,根据工单信息确定访问控制策略的提出者,而且采用矩阵匹配的形式可以更快的查找出访问控制策略的提出者。
参见图3,为本发明防火墙访问控制策略提出者的确定装置一个实施例的结构示意图。
如图3所示,所述装置包括:拆解单元301、查找单元302及确定单元303。
其中,拆解单元301,用于将访问控制策略拆解为策略元素;查找单元302,用于从工单信息中查找出与所述策略元素相匹配的指定工单信息;确定单元303,用于从所述指定工单信息中获取发起者信息,所述发起者信息对应的发起者即为访问控制策略的提出者。
可选的,所述查找单元302包括:第一转换子单元,用于将所述策略元素转换为策略元素矩阵;第二转换子单元,用于将每一条工单信息分别转换为一个工单信息矩阵;匹配子单元,用于从所述工单信息矩阵中查找出与所述策略元素矩阵相匹配的指定工单信息矩阵,所述指定工单信息矩阵对应的工单信息即为指定工单信息。
可选的,所述第一转换子单元,可以用于将所述策略元素组合为策略元素组;生成以所述策略元素组为矩阵元素的所述策略元素矩阵。
可选的,所述第二转换子单元,可以用于从所述工单信息的指定指令段中提取出所述工单信息所包含的原始信息;采用预设转译规则将所述原始信息转译为信息元素;将所述信息元素组合为信息元素组;生成以所述信息元素组为矩阵元素的所述工单信息矩阵。
可选的,所述匹配子单元,可以用于从所述工单信息矩阵中查找出所述指定工单信息矩阵,所述指定工单信息矩阵的矩阵元素与所述策略元素矩阵的矩阵元素一致。
可选的,所述匹配子单元,可以用于从所述工单信息矩阵中查找出所述指定工单信息矩阵,所述指定工单信息矩阵的矩阵元素至少包含部分所述策略元素矩阵的矩阵元素。
采用本实施,可以利用工单信息与访问控制策略之间的对应关系,根据工单信息确定访问控制策略的提出者,从而可以满足确定访问控制策略的提出者的需求,便于访问控制策略的提出者可以安全有效地清理由自己设置的访问控制策略。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述的本发明实施方式,并不构成对本发明保护范围的限定。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明的保护范围之内。
机译: 在TCP / IP Internet系统中配置防火墙的方法,该方法具有访问控制策略代理,以便使用源和目标资源之间的访问控制规则从外部域控制内部域。
机译: 在tcp / ip网际协议数据系统中进行防火墙集中配置的方法和机器,系统描述规范以源与目的资源之间的访问规则形式与访问控制策略分离
机译: 安全管理装置,安全通信设备,防火墙设置方法,防火墙设置程序和防火墙设置记录介质
