[发明专利]一种复杂网络环境下的防火墙策略审计系统

权利要求书

1.一种复杂网络环境下的防火墙策略审计系统，其特征在于，该方法包括：

在复杂网络下的网络拓扑自动发现和配置采集方法，防火墙配置文件的结构化解析和存储方法，基于单级和多级的策略审计算法，按照一定的算法定义冗余和不安全的规则，并能提供出优化和修改建议以及实现修改后的配置下发。

2.如权利要求1所述的方法，其特征在于，基于SNMP协议实现网络拓扑自动发现；

自动发现网络拓扑图的应用程序分为服务器和客户端两个部分，服务器通过访问网络设备维护的管理信息库(MIB)而获取网络系统中网关、子网以及它们之间的连接情况；客户端通过与服务器建立Socket获取拓扑信息，并根据这些信息基于开源的拓扑图实现类包完成对网络拓扑图的构造。

3.如权利要求2所述的方法，其特征在于，允许手动对自动发现的网络拓扑结构进行修正；

基于自动发现的结果，网络管理员再按照实际网络中的拓扑情况手动修正网络拓扑结构，以防止某些设备不能自动发现或者发现了不存在的设备。

4.如权利要求1所述的方法，其特征在于，系统支持两种配置文件获取方式；

一是在线获取的方式，系统通过SSH的方式访问防火墙并收集配置文件，二是离线导入的方式，由用户手动导入防火墙的配置文件。

5.如权利要求1所述的方法，其特征在于，本系统的配置解析模块包含命令库和解析器两部分；

命令库中存放着不同厂商防火墙配置命令的格式文件，在执行配置解析时，将配置文件中的配置信息读出后，解析器根据防火墙的品牌调用相应的命令库文件，执行配置解析操作，将其转换为系统可识别的信息，并存储在数据库中。

6.如权利要求1所述的方法，其特征在于，支持单级和多级防火墙的审计；

单级防火墙配置审计包括常规配置审计、策略冗余审计和策略冲突审计，多级防火墙配置审计包括对两级防火墙的配置文件进行策略冗余、冲突的审计；

如果检测到了冗余冲突，系统会给出具体是哪些策略出现了冲突，以报表的形式呈现审计结果，以柱状图、饼状图显示不同种类问题的比例的数量，并给出相应的解决方案。

7.如权利要求6所述的方法，其特征在于，防火墙策略审计基线可配置，允许只选取其中需要审计的条目进行安全性检测。并且该部分留有接口，允许用户进行审计策略的自定义添加。

8.如权利要求1所述的方法，其特征在于，将修改完成的策略以命令的形式输入到系统中再通过命令下发器发送给目标防火墙；

在下发之前首先通过连通性判断器对更改策略后的网络的连通状态进行预判，如果出现由于更改策略产生的网络不通的情况应出现提示信息，告知管理员，等得到管理员的肯定回答后便进行策略下发；

当下发过程中出现意外或者其他原因导致下发失败时，灾难恢复器会记录相应的失败原因，并通知网络中所有防火墙恢复之前已经备份的策略数据。