[发明专利]防火墙安全策略配置方法及管理装置

说明书

技术领域

本发明涉及网络安全技术，特别涉及一种防火墙安全策略配置方法及管 理装置。

背景技术

现代的防火墙体系不但是一个“入口的屏障”，还是几个网络的接入控制 点，所有经过被防火墙保护的网络的数据流都应该首先经过防火墙，使得防 火墙成为信息进入的关口，因此防火墙可以保护整个内部网络在Internet中的 安全。在每一个被防火墙分割的网络中，所有的计算机之间是被认为“可信 任的”，它们之间的通信可以不受防火墙的干涉。而在各个被防火墙分割的网 络之间，必须按照防火墙规定的“安全策略”进行互相的访问。因此，必须 通过对防火墙的安全策略进行配置，实现防火墙对网络的保护。为了对防火 墙的安全策略进行配置，现有技术中提出了两种解决方案：

1.管理装置提供针对单台防火墙的安全策略配置和下发功能，用户使用 该功能进行单台防火墙的安全策略人工配置，将安全策略相关的配置下发到 独立的防火墙上。

2.管理装置提供对多台防火墙使用策略包进行配置的功能，用户通过创 建策略包同时对多台防火墙下发安全策略配置。

在实现本发明的过程中，发明人发现现有技术至少存在如下问题：用户 进行单台防火墙的安全策略配置时，用户将需要对每一台防火墙进行配置和 下发操作，当管理网元数量较大时，将会带来很大的麻烦。用户通过创建策 略包对多台防火墙下发安全策略配置时，必须首先在管理装置中手工创建策 略包，然后才能使用策略包对防火墙进行下发。手工创建和编辑策略包的工 作即繁琐又易出错，并且如果一台防火墙上已经配置好了安全策略的信息， 管理装置却无法有效地利用这些信息。

发明内容

本发明实施例在于提供一种防火墙安全策略配置方法及管理装置，以实 现将单台防火墙的安全策略逆向还原为安全策略配置信息，为用户对源防火 墙/其他防火墙进行安全策略配置提供了便利。

本发明实施例提供一种防火墙安全策略配置方法，所述方法包括：获取 从源防火墙发来的包括最大报文速率、报文大小或开关参数的攻击防范配置 信息；获取从所述源防火墙发来的包括IP地址、端口号、网络协议及动作属 性的第一过滤规则信息；根据所述攻击防范配置信息及所述第一过滤规则信 息生成包含安全策略配置信息的策略包；根据所述策略包中的安全策略配置 信息对应的关联防火墙信息，将所述安全策略配置信息发送给关联防火墙。

本发明实施例还提供一种管理装置，所述装置包括：配置信息获取单元， 用于获取从源防火墙发来的包括最大报文速率、报文大小或开关参数的攻击 防范配置信息；规则信息获取单元，用于获取从所述源防火墙发来的包括IP 地址、端口号、网络协议及动作属性的第一过滤规则信息；策略包生成单元， 用于根据所述攻击防范配置信息及所述第一过滤规则信息生成包含安全策略 配置信息的策略包；信息发送单元，用于根据所述策略包中的安全策略配置 信息对应的关联防火墙信息，将所述安全策略配置信息发送给关联防火墙。

本发明实施例的有益技术效果，通过获取从源防火墙发来的包括最大报 文速率、报文大小或开关参数的攻击防范配置信息；获取从所述源防火墙发 来的包括IP地址、端口号、网络协议及动作属性的过滤规则信息；根据所述 攻击防范配置信息及所述过滤规则信息生成包含安全策略配置信息的策略 包；根据所述策略包中的安全策略配置信息对应的关联防火墙信息，将所述 安全策略配置信息发送给关联防火墙；从而实现将单台防火墙的安全策略逆 向还原为策略包，从而为用户对防火墙进行安全策略配置提供了便利。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实 施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下 面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲， 在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例的防火墙安全策略配置方法的流程示意图；

图2为管理装置独立于网络中防火墙设备的组网示意图；

图3为本发明另一实施例的防火墙安全策略配置方法的流程示意图；

图4为本发明实施例管理装置从防火墙上获取的一条过滤规则示意图；

图5为本发明实施例最大速率的攻击防范配置信息的示意图；