網絡安全策略的處理系統及處理方法與流程

2023-10-19 12:02:38

本發明涉及一種網絡安全技術領域，特別是涉及一種網絡安全策略的處理系統及處理方法。

背景技術：

隨著網際網路的發展，數據中心的網絡安全防護越來越複雜，網絡安全策略配置越來越複雜，人工配置越來越困難。現有的網絡安全策略管理方法無法滿足伺服器快速上線的實際需求，並且人工維護成本過高。

技術實現要素：

本發明要解決的技術問題是為了克服現有技術中網絡安全策略管理方法無法滿足伺服器快速上線的實際需求並且人工維護成本過高的缺陷，提供一種網絡安全策略的處理系統及處理方法。

本發明是通過下述技術方案來解決上述技術問題的：

本發明提供了一種網絡安全策略的處理系統，其特點在於，包括：

IP(網絡之間互連的協議)地址發送模塊，用於在伺服器上線或網絡發生改變時，將伺服器的IP位址發送出去；

流量學習模塊，用於接收所述IP位址，將所述IP位址對應的網絡安全策略設置為全部放行策略，並開始進行流量學習，收集所述IP位址的所有流量信息；

提取模塊，用於根據收集的每條流量信息提取源IP位址、目的IP位址、目的埠以及協議以生成基礎安全策略；

第一合併模塊，用於將目的IP位址、目的埠以及協議均相同的基礎安全策略進行源IP位址合併，以生成包括源IP組、目的IP位址、目的埠以及協議的初始安全策略；

第二合併模塊，用於將源IP組、目的埠以及協議均相同的初始安全策略進行目的IP位址合併，以生成包括源IP組、目的IP組、目的埠以及協議的最終安全策略；

處理模塊，用於將所述最終安全策略發送至網絡安全設備中，並刪除所述流量學習模塊設置的全部放行策略。

較佳地，所述流量學習模塊還用於設置流量學習時間。

較佳地，所述IP位址發送模塊還用於在伺服器下線時將下線伺服器的IP位址發送至所述流量學習模塊，所述流量學習模塊還用於調用所述處理模塊刪除所有與所述下線伺服器的IP位址相關的網絡安全策略。

本發明的目的在於還提供了一種網絡安全策略的處理方法，其特點在於，其利用上述的處理系統實現，包括以下步驟：

S1、所述IP位址發送模塊在伺服器上線或網絡發生改變時，將伺服器的IP位址發送出去；

S2、所述流量學習模塊接收所述IP位址，將所述IP位址對應的網絡安全策略設置為全部放行策略，並開始進行流量學習，收集所述IP位址的所有流量信息；

S3、所述提取模塊根據收集的每條流量信息提取源IP位址、目的IP位址、目的埠以及協議以生成基礎安全策略；

S4、所述第一合併模塊將目的IP位址、目的埠以及協議均相同的基礎安全策略進行源IP位址合併，以生成包括源IP組、目的IP位址、目的埠以及協議的初始安全策略；

S5、所述第二合併模塊將源IP組、目的埠以及協議均相同的初始安全策略進行目的IP位址合併，以生成包括源IP組、目的IP組、目的埠以及協議的最終安全策略；

S6、所述處理模塊將所述最終安全策略發送至網絡安全設備中，並刪除所述流量學習模塊設置的全部放行策略。

較佳地，步驟S2中所述流量學習模塊還設置流量學習時間。

較佳地，所述處理方法還包括：

所述IP位址發送模塊在伺服器下線時將下線伺服器的IP位址發送至所述流量學習模塊，所述流量學習模塊調用所述處理模塊刪除所有與所述下線伺服器的IP位址相關的網絡安全策略。

本發明的積極進步效果在於：本發明通過流量學習的方式自動生成網絡安全策略，策略的配置全程都不需要人工進行參與，實現了全自動的配置，實現了安全配置的智能化，免去了人工配置的複雜度，提高了網絡安全配置的效率，實現了安全策略的智能化配置。

附圖說明

圖1為本發明的較佳實施例的網絡安全策略的處理系統的模塊示意圖。

圖2為本發明的較佳實施例的網絡安全策略的處理方法的流程圖。

具體實施方式

下面通過實施例的方式進一步說明本發明，但並不因此將本發明限制在所述的實施例範圍之中。

如圖1所示，本發明的網絡安全策略的處理系統包括IP位址發送模塊1、流量學習模塊2、提取模塊3、第一合併模塊4、第二合併模塊5以及處理模塊6。

其中，所述IP位址發送模塊會在伺服器上線或者網絡發生改變時，將伺服器的IP位址(即新增的IP位址或者發生變更的IP位址)發送至所述流量學習模塊2；

所述流量學習模塊2在接收到所述IP位址後，則將所述IP位址對應的網絡安全策略設置為全部放行策略，即對所述IP位址開啟全通策略；並且開始進行流量學習，設置一學習時間，然後收集在所述學習時間內所述IP位址的所有流量信息；

所述提取模塊3根據所述流量學習模塊2收集的每條流量信息提取源IP位址、目的IP位址、目的埠以及協議以生成基礎安全策略，即每條流量信息可以生成一個基礎安全策略，所述基礎安全策略均包括源IP位址、目的IP位址、目的埠以及協議；

所述第一合併模塊4會將目的IP位址、目的埠以及協議均相同的基礎安全策略進行源IP位址合併，以生成包括源IP組、目的IP位址、目的埠以及協議的初始安全策略；即，所述初始安全策略中包括的目的IP位址、目的埠以及協議均相同，所述源IP組表示包括多個不同的源IP位址；

所述第二合併模塊5會將源IP組、目的埠以及協議均相同的初始安全策略進行目的IP位址合併，以生成包括源IP組、目的IP組、目的埠以及協議的最終安全策略；即所述最終安全策略中包括的源IP組、目的埠以及協議均相同，所述目的IP組表示包括多個不同的目的IP位址；

所述處理模塊6則將所述最終安全策略發送至網絡安全設備中，並刪除所述流量學習模塊2設置的全部放行策略，即將所述IP位址的全通策略進行刪除。

其中，在本發明的具體實施過程中，所述IP位址發送模塊1還用於在伺服器下線時將下線伺服器的IP位址發送至所述流量學習模塊2，所述流量學習模塊2還用於調用所述處理模塊6刪除所有與所述下線伺服器的IP位址相關的網絡安全策略。

本發明通過伺服器上線或者伺服器網絡發生變更將變更的IP位址的網絡安全策略默認先放行，然後通過學習指定時間範圍內的流量的方式，相應的流量進行轉換、合併，最終形成對應的網絡安全策略規則信息；本發明通過學習的方式，使得網絡安全策略的生成不需要人工進行配置，策略配置實現了全程自動化。

本發明還提供了一種網絡安全策略的處理方法，利用上述的網絡安全策略的處理系統實現，如圖2所示，本發明的網絡安全策略的處理方法包括以下步驟：

步驟101、所述IP位址發送模塊在伺服器上線或網絡發生改變時，將伺服器的IP位址發送出去；

步驟102、所述流量學習模塊接收所述IP位址，將所述IP位址對應的網絡安全策略設置為全部放行策略，並開始進行流量學習，收集所述IP位址的所有流量信息；

步驟103、所述提取模塊根據收集的每條流量信息提取源IP位址、目的IP位址、目的埠以及協議以生成基礎安全策略；

步驟104、所述第一合併模塊將目的IP位址、目的埠以及協議均相同的基礎安全策略進行源IP位址合併，以生成包括源IP組、目的IP位址、目的埠以及協議的初始安全策略；

步驟105、所述第二合併模塊將源IP組、目的埠以及協議均相同的初始安全策略進行目的IP位址合併，以生成包括源IP組、目的IP組、目的埠以及協議的最終安全策略；

步驟106、所述處理模塊將所述最終安全策略發送至網絡安全設備中，並刪除所述流量學習模塊設置的全部放行策略。

其中，步驟S2中所述流量學習模塊還設置流量學習時間。

並且優選地，所述處理方法還可以包括：

所述IP位址發送模塊在伺服器下線時將下線伺服器的IP位址發送至所述流量學習模塊，所述流量學習模塊調用所述處理模塊刪除所有與所述下線伺服器的IP位址相關的網絡安全策略。

雖然以上描述了本發明的具體實施方式，但是本領域的技術人員應當理解，這些僅是舉例說明，本發明的保護範圍是由所附權利要求書限定的。本領域的技術人員在不背離本發明的原理和實質的前提下，可以對這些實施方式做出多種變更或修改，但這些變更和修改均落入本發明的保護範圍。