一種網絡訪問控制方法和系統(tǒng)的制作方法
【技術領域】
[0001]本發(fā)明涉及計算機網絡信息安全技術領域��,特別涉及一種網絡訪問控制方法和系統(tǒng)����。
【背景技術】
[0002]近年來,越來越多的企業(yè)和個人重視網絡訪問與數據的安全問題����,防火墻的應用率也隨之大幅提升。
[0003]現有技術中利用防火墻進行網絡訪問安全控制的方法主要包括如下步驟:
[0004]1��、用戶選取與需保護設備相匹配的防火墻設備�����,定位所需命令���;
[0005]2、用戶手工調整防火墻執(zhí)行命令中的參數�����,使之符合實際網絡環(huán)境;
[0006]3���、用于人工方式將防火墻按調整后的命令下發(fā)至防火墻上進行執(zhí)行�;
[0007]4�、返回的執(zhí)行結果,需人工進行核對與分析��;
[0008]5��、根據新設定的防火墻策略對網絡訪問進行安全控制�����。
[0009]但是���,基于現有的防火墻配置的設定方法有很大的局限性���,針對被管設備與被管網絡的防火墻可執(zhí)行命令需要人工進行二次調整,根據實際環(huán)境對防火墻命令腳本中的源地址�����、目的地址、端口等相關參數進行手工編輯�,編輯過后還需人工將命令下發(fā)至防火墻,執(zhí)行后再將返回結果進行匯總分析等工作��。當需執(zhí)行的命令眾多時�����,無疑增加了很多安全管理員的工作量��,同時也增大了出錯風險�,至于實現效率更是無法保證,因此�����,大大限制了采用防火墻實現網絡訪問安全控制的方案的進一步發(fā)展���。
【發(fā)明內容】
[0010]鑒于上述問題�,本發(fā)明實施例提供一種網絡訪問控制方法和系統(tǒng)�����,以解決目前存在的防火墻管理員對防火墻命令人工編寫�、人工下發(fā)��,導致多防火墻策略配置效率較低、準確性較差的問題��。
[0011]本發(fā)明實施例采用了如下技術方案:
[0012]本發(fā)明一個實施例提供了一種網絡訪問控制方法��,所述方法包括:
[0013]獲取需設定的防火墻策略需求信息�;
[0014]根據需求信息中的源地址和目標地址匹配得到需開通防火墻策略的目標防火墻設備,并根據目標防火墻設備品牌和/或型號選定對應的防火墻命令腳本模板����;
[0015]將所述需求信息中的策略參數自動填寫至所述防火墻命令腳本模版的相應參數位置處,生成可執(zhí)行的防火墻命令腳本�;
[0016]將所述可執(zhí)行的防火墻命令腳本自動下發(fā)至目標防火墻設備,并對防火墻按照新的策略自動進行配置�����;
[0017]根據設置后的新的防火墻策略對網絡訪問進行安全控制��。
[0018]所述根據需求信息中的源地址和目標地址匹配得到需開通防火墻策略的目標防火墻設備�����,并根據目標防火墻設備品牌和/或型號選定對應的防火墻命令腳本模板具體包括:
[0019]根據需求信息中的源地址和目標地址��,在預定的防火墻區(qū)域關系表中進行匹配,得到需開通防火墻策略的目標防火墻設備�;所述防火墻區(qū)域關系表中記載各防火墻設備所在區(qū)域的源地址和目標地址信息;
[0020]根據得到的目標防火墻設備���,獲取目標防火墻品牌和/或型號����;
[0021]在預置的針對不同品牌和/或型號的防火墻命令腳本模板中�,根據目標防火墻品牌和/或型號匹配對應的防火墻命令腳本模板。
[0022]所述生成可執(zhí)行的防火墻命令腳本后�����,還包括:生成該可執(zhí)行的防火墻命令腳本的下發(fā)工單�����;
[0023]所述將所述可執(zhí)行的防火墻命令腳本自動下發(fā)至目標防火墻設備���,并對防火墻按照新的策略自動進行配置具體包括:
[0024]采用仿真終端技術模擬連接目標防火墻設備�����;
[0025]通過執(zhí)行所述下發(fā)工單將可執(zhí)行的防火墻命令腳本下發(fā)至目標設備防火墻���;
[0026]通過執(zhí)行該可執(zhí)行的防火墻命令腳本對防火墻按照新的策略進行自動配置�。
[0027]所述將所述需求信息中的策略參數自動填寫至所述防火墻命令腳本模版的相應參數位置處的方法具體為:
[0028]利用自動填表算法將所述需求信息中的策略參數自動填寫至所述防火墻命令腳本模版的相應參數位置處�。
[0029]所述方法還包括:
[0030]利用工單監(jiān)管技術,監(jiān)控防火墻策略的配置過程�����,并反饋監(jiān)控結果����,供防火墻策略分析使用����。
[0031]所述獲取需設定的防火墻策略需求信息的方法包括:
[0032]接收輸入的防火墻策略需求信息;或
[0033]自動采集需設定的防火墻策略�,從其中自動提取需求信息。
[0034]另外��,本發(fā)明實施例還提供了一種網絡訪問系統(tǒng)�,所述系統(tǒng)包括:
[0035]獲取模塊,用于獲取需設定的防火墻策略需求信息�����;
[0036]模板選定模塊,用于根據需求信息中的源地址和目標地址匹配得到需開通防火墻策略的目標防火墻設備����,并根據目標防火墻設備品牌和/或型號選定對應的防火墻命令腳本模板;
[0037]可執(zhí)行腳本生成模塊���,用于將所述需求信息中的策略參數自動填寫至所述防火墻命令腳本模版的相應參數位置處���,生成可執(zhí)行的防火墻命令腳本;
[0038]下發(fā)配置模塊����,用于將所述可執(zhí)行的防火墻命令腳本自動下發(fā)至目標防火墻設備,并對防火墻按照新的策略自動進行配置���;
[0039]安全控制模塊�����,用于根據設置后的新的防火墻策略對網絡訪問進行安全控制���。
[0040]所述可執(zhí)行腳本生成模塊還包括:
[0041]工單生成單元,用于生成該可執(zhí)行的防火墻命令腳本的下發(fā)工單��;
[0042]所述下發(fā)配置模塊具體包括:
[0043]連接單元,用于采用仿真終端技術模擬連接目標防火墻設備�;
[0044]自動下發(fā)單元,用于通過執(zhí)行所述下發(fā)工單將可執(zhí)行的防火墻命令腳本下發(fā)至目標設備防火墻��;
[0045]自動配置單元��,用于通過執(zhí)行該可執(zhí)行的防火墻命令腳本對防火墻按照新的策略進行自動配置���;
[0046]所述下發(fā)配置模塊還包括:
[0047]自動監(jiān)控單元,用于利用工單監(jiān)管技術�,監(jiān)控防火墻策略的配置過程,并反饋監(jiān)控結果�,供防火墻策略分析使用。
[0048]所述可執(zhí)行腳本生成模塊具體用于:
[0049]利用自動填表算法將所述策略參數自動填寫至所述防火墻命令腳本模版的相應參數位置處��。
[0050]所述獲取模塊具體包括:
[0051]接收輸入單元���,用于接收輸入的防火墻策略需求信息��;或
[0052]自動提取單元��,用于自動采集需設定的防火墻策略�����,從其中自動提取需求信息�。
[0053]可見,本發(fā)明實施例提供一種網絡訪問控制方法和系統(tǒng)�,通過算法針對不同防火墻品牌、型號自動計算生成可執(zhí)行的防火墻命令腳本�����,將該可執(zhí)行的防火墻命令腳本下發(fā)到目標防火墻設備����,并自動對防火墻進行新策略的設置,最后根據設置后的新的防火墻策略對網絡訪問進行安全控制����,從而實現高效準確的防火墻策略自動配置方案,且能夠實現靈活的防火墻策略定制功能���,為網絡訪問控制提供更大的安全保證和靈活應用的基礎��。
[0054]進一步的�����,本發(fā)明實施例還包括生成可執(zhí)行的防火墻命令腳本的下發(fā)工單����;并采用仿真終端技術模擬連接目標設備,通過執(zhí)行所述下發(fā)工單將可執(zhí)行的防火墻命令腳本下發(fā)至目標設備防火墻�����,進一步提高防火墻策略自動配置的效率和準確率���。
【附圖說明】
[0055]圖1為本發(fā)明實施例提供的一種網絡訪問控制方法流程圖�����;
[0056]圖2為本發(fā)明實施例提供的一種網絡訪問控制系統(tǒng)結構框圖。
【具體實施方式】
[0057]為使本發(fā)明的目的�����、技術方案和優(yōu)點更加清楚�����,下面將結合附圖對本發(fā)明實施方式作進一步地詳細描述�。
[0058]本發(fā)明實施例能夠實現個性化的防火墻自動執(zhí)行功能,其中最大的技術難點就在于防火墻可執(zhí)行命令腳本的自動生成與自動下發(fā)執(zhí)行技術的攻破。整體思路:主要包括防火墻策略命令腳本自動生成過程和防火墻策略命令腳本自動下發(fā)執(zhí)行過程�,以及根據配置后的新的防火墻策略進行網絡訪問的安全控制。其中防火墻策略命令腳本自動生成過程具體包括:確定需求源地址����、需求目的地址、需求協議����、需求端口號等業(yè)務訪問需求信息;根據開通申請中包含的源�����、目的地址等需求信息從地址區(qū)域關系表����、區(qū)域防火墻設備關系表中獲取需要開通策略的防火墻設備;根據防火墻品牌�����、型號信息確定適用的命令腳本模板����;根據需求信息與模板信息