[发明专利]基于防火墙策略的安全访问方法和系统

说明书

技术领域

本发明涉及计算机信息安全技术领域，特别涉及一种基于防火墙策略的安全访问方法和系统。

背景技术

随着信息科技的发展，网络信息安全问题越来越被重视，基于此，现有技术中利用防火墙来实现安全访问。防火墙策略是一系列具体的规则，任何需求的访问都要进行策略的匹配，只有匹配成功后才能安全的通过防火墙对设备进行访问，所以策略的制定对防火墙功能的发挥至关重要。

现有的防火墙策略的管理是由防火墙管理员根据访问需求对防火墙安全策略进行配置。策略配置后长期存在，无论访问需求是否发生改变，防火墙都一直处于开放状态，网络访问通路一直保持畅通。当有需对访问控制进行关闭时，防火墙策略管理员通过人为的操作控制，关闭防火墙策略以保证设备的安全性。在目标的系统升级或变更的情况下，需要新增和修改防火墙安全策略来保证需求可以正常的进行访问。

但是，随着网络及信息技术的发展，现有安全策略维护模式已经不能满足日常操作管理的需求。在实际使用中，随着业务的增长和调整，防火墙策略会积累到数千甚至上万条。如此复杂的访问控制策略，导致防火墙管理员很难甚至不敢对策略进行删除和优化，策略变动后很可能影响现网业务的运行。这种情况下，防火墙策略越积越多，无论访问需求是否发生改变，防火墙都一直处于开放状态，极大地降低了防火墙对于访问进行限制的效果。另外，由于防火墙的实现原理，过多的策略对防火墙性能造成了很大的压力。

需求能通过防火墙的服务协议访问目标设备，由于不能及时有效的控制防火墙策略对防火墙服务协议的关闭，使得访问目标设备后，防火墙服务协议处于开启状态，对设备的安全造成不可估量的威胁。在业务系统更新或下线的情况下，需要新增防火墙安全策略来保证需求的正常访问，导致相对应的安全策略失效过期，长时间不优化处理易造成防火墙策略变得庞大臃肿。在防火墙策略管理员及维护人员变更的情况下，手动配置防火墙策略会受到个人管理的习惯、安全策略使用倾向及网络需求变化的影响，导致防火墙上配置的策略变得越发混乱，出现重复甚至冲突失效也在所难免。因此，现有基于防火墙策略的访问技术，存在很多的安全漏洞，迫切需要提出一种新的解决方案，使得能够提高网络访问的安全性。

发明内容

鉴于上述问题，本发明实施例提供一种基于防火墙策略的安全访问方法和系统，能够在有访问需求时，根据需求访问的设备开通对应的防火墙，进行安全访问，从而达到提高网络访问安全性的目的。

本发明实施例采用了如下技术方案：

本发明一个实施例提供了一种基于防火墙策略的安全访问方法，所述方法包括：

当有访问需求时，匹配获得本次要访问的设备；

根据当前访问需求对所述设备按照访问需求开通对应的防火墙策略；

访问端通过开通的所述防火墙策略连接所述设备，进行安全访问。

所述方法还包括：

当访问结束后，修改所述设备的防火墙策略为关闭访问状态，禁止本次访问端及其它访问端对所述设备进行访问。

所述当有访问需求时，所述方法还包括：

对访问端进行身份验证，当判断所述访问端为合法时，执行所述匹配得到本次要访问的设备的步骤。

所述匹配获得本次要访问的设备具体包括：

根据访问请求中的起始IP地址、结束IP地址和访问端口匹配获得本次要访问的设备。

所述根据当前访问需求对所述设备按照访问需求开通对应的防火墙策略包括：

根据访问请求中的起始IP地址、结束IP地址、访问端口、请求来源和访问权限开通所述设备对应的防火墙策略。

判断访问结束的方法包括：

判断当接收到所述访问端访问结束时发送的取消策略命令时，确认为访问结束；

所述根据当前访问需求对所述设备按照访问需求开通对应的防火墙策略还包括：在开通的防火墙策略中设置本次访问的访问时间；则

所述判断访问结束的方法包括：

判断是否接收到所述访问端访问结束时发送的取消策略命令或所述访问时间结束通知；

当先接收到所述取消策略命令和访问时间结束通知两者中任一项，确定为访问结束。

另外，本发明实施例还提供了一种基于防火墙策略的安全访问系统，所述系统包括：

匹配模块，用于当有访问需求时，匹配获得本次要访问的设备；

开通模块，用于根据当前访问需求对所述设备按照访问需求开通对应的防火墙策略；

安全访问模块，用于访问端通过开通的所述防火墙策略连接所述设备，进行安全访问。