[发明专利]一种网络访问控制方法和系统

说明书

技术领域

本发明涉及计算机网络信息安全技术领域，特别涉及一种网络访问控制方法和系统。

背景技术

近年来，越来越多的企业和个人重视网络访问与数据的安全问题，防火墙的应用率也随之大幅提升。

现有技术中利用防火墙进行网络访问安全控制的方法主要包括如下步骤：

1、用户选取与需保护设备相匹配的防火墙设备，定位所需命令；

2、用户手工调整防火墙执行命令中的参数，使之符合实际网络环境；

3、用于人工方式将防火墙按调整后的命令下发至防火墙上进行执行；

4、返回的执行结果，需人工进行核对与分析；

5、根据新设定的防火墙策略对网络访问进行安全控制。

但是，基于现有的防火墙配置的设定方法有很大的局限性，针对被管设备与被管网络的防火墙可执行命令需要人工进行二次调整，根据实际环境对防火墙命令脚本中的源地址、目的地址、端口等相关参数进行手工编辑，编辑过后还需人工将命令下发至防火墙，执行后再将返回结果进行汇总分析等工作。当需执行的命令众多时，无疑增加了很多安全管理员的工作量，同时也增大了出错风险，至于实现效率更是无法保证，因此，大大限制了采用防火墙实现网络访问安全控制的方案的进一步发展。

发明内容

鉴于上述问题，本发明实施例提供一种网络访问控制方法和系统，以解决目前存在的防火墙管理员对防火墙命令人工编写、人工下发，导致多防火墙策略配置效率较低、准确性较差的问题。

本发明实施例采用了如下技术方案：

本发明一个实施例提供了一种网络访问控制方法，所述方法包括：

获取需设定的防火墙策略需求信息；

根据需求信息中的源地址和目标地址匹配得到需开通防火墙策略的目标防火墙设备，并根据目标防火墙设备品牌和/或型号选定对应的防火墙命令脚本模板；

将所述需求信息中的策略参数自动填写至所述防火墙命令脚本模版的相应参数位置处，生成可执行的防火墙命令脚本；

将所述可执行的防火墙命令脚本自动下发至目标防火墙设备，并对防火墙按照新的策略自动进行配置；

根据设置后的新的防火墙策略对网络访问进行安全控制。

所述根据需求信息中的源地址和目标地址匹配得到需开通防火墙策略的目标防火墙设备，并根据目标防火墙设备品牌和/或型号选定对应的防火墙命令脚本模板具体包括：

根据需求信息中的源地址和目标地址，在预定的防火墙区域关系表中进行匹配，得到需开通防火墙策略的目标防火墙设备；所述防火墙区域关系表中记载各防火墙设备所在区域的源地址和目标地址信息；

根据得到的目标防火墙设备，获取目标防火墙品牌和/或型号；

在预置的针对不同品牌和/或型号的防火墙命令脚本模板中，根据目标防火墙品牌和/或型号匹配对应的防火墙命令脚本模板。

所述生成可执行的防火墙命令脚本后，还包括：生成该可执行的防火墙命令脚本的下发工单；

所述将所述可执行的防火墙命令脚本自动下发至目标防火墙设备，并对防火墙按照新的策略自动进行配置具体包括：

采用仿真终端技术模拟连接目标防火墙设备；

通过执行所述下发工单将可执行的防火墙命令脚本下发至目标设备防火墙；

通过执行该可执行的防火墙命令脚本对防火墙按照新的策略进行自动配置。

所述将所述需求信息中的策略参数自动填写至所述防火墙命令脚本模版的相应参数位置处的方法具体为：

利用自动填表算法将所述需求信息中的策略参数自动填写至所述防火墙命令脚本模版的相应参数位置处。

所述方法还包括：

利用工单监管技术，监控防火墙策略的配置过程，并反馈监控结果，供防火墙策略分析使用。

所述获取需设定的防火墙策略需求信息的方法包括：

接收输入的防火墙策略需求信息；或

自动采集需设定的防火墙策略，从其中自动提取需求信息。

另外，本发明实施例还提供了一种网络访问系统，所述系统包括：

获取模块，用于获取需设定的防火墙策略需求信息；

模板选定模块，用于根据需求信息中的源地址和目标地址匹配得到需开通防火墙策略的目标防火墙设备，并根据目标防火墙设备品牌和/或型号选定对应的防火墙命令脚本模板；

可执行脚本生成模块，用于将所述需求信息中的策略参数自动填写至所述防火墙命令脚本模版的相应参数位置处，生成可执行的防火墙命令脚本；