網(wǎng)絡(luò)流量控制設(shè)備及其安全策略配置方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域，尤其涉及一種網(wǎng)絡(luò)流量控制設(shè)備及其安全策略配置方法及裝置。
【背景技術(shù)】
[0002]安全策略是配置在網(wǎng)絡(luò)流量控制設(shè)備，例如網(wǎng)絡(luò)防火墻、安全網(wǎng)關(guān)或入侵檢測設(shè)備上，用于對(duì)數(shù)據(jù)流進(jìn)行轉(zhuǎn)發(fā)以及進(jìn)行內(nèi)容安全檢測的策略。安全策略中往往包含匹配條件和策略動(dòng)作，匹配條件是指用于判斷數(shù)據(jù)流是否與安全策略匹配的判斷條件；策略動(dòng)作是指在根據(jù)匹配條件判定數(shù)據(jù)流匹配安全策略的情況下要對(duì)數(shù)據(jù)流執(zhí)行的動(dòng)作，包括允許(permit)和禁止(forbidden)。
[0003]網(wǎng)絡(luò)流量控制設(shè)備能夠識(shí)別出數(shù)據(jù)流的屬性，并將數(shù)據(jù)流的屬性與安全策略的匹配條件進(jìn)行匹配。如果所有匹配條件都匹配，則此數(shù)據(jù)流成功匹配安全策略。數(shù)據(jù)流匹配安全策略后，設(shè)備將會(huì)執(zhí)行安全策略的策略動(dòng)作。
[0004]安全策略的匹配條件中可配置的參數(shù)比較多，包括源及目的安全區(qū)域、源及目的地址、用戶、服務(wù)、應(yīng)用、時(shí)間段等。這些參數(shù)可以通過不同的組合方式，來定義出具有相同性質(zhì)的數(shù)據(jù)流。例如，人力資源部的員工可以使用QQ應(yīng)用，則可以將該安全策略配置為:源=“人力資源部”;目的地=任意網(wǎng)絡(luò)(any);應(yīng)用=“QQ” ;動(dòng)作=“允許”。
[0005]通常，由管理員根據(jù)自身的經(jīng)驗(yàn)以及用戶反饋，來手動(dòng)配置和維護(hù)安全策略，這存在配置難度大且容易出錯(cuò)的問題。對(duì)于管理員的技能較低的中小企業(yè)來說，該問題尤為突出。

【發(fā)明內(nèi)容】

[0006]摶術(shù)問是頁
[0007]有鑒于此，本發(fā)明要解決的技術(shù)問題是，如何降低網(wǎng)絡(luò)流量控制設(shè)備上安全策略的配置難度以及出錯(cuò)概率。
[0008]解決方案
[0009]第一方面，提供了一種網(wǎng)絡(luò)流量控制設(shè)備上的安全策略配置方法，包括:
[0010]對(duì)輸入的數(shù)據(jù)流，識(shí)別所述數(shù)據(jù)流的源、目的地以及應(yīng)用類型，其中，所述源表示發(fā)出所述數(shù)據(jù)流的用戶或者用戶地址，所述數(shù)據(jù)流的目的地表示接收所述數(shù)據(jù)流的用戶地址、服務(wù)器地址或者公網(wǎng)地址，所述應(yīng)用類型表示所述數(shù)據(jù)流包括哪種應(yīng)用的數(shù)據(jù)；
[0011]基于預(yù)定的企業(yè)組織結(jié)構(gòu)執(zhí)行第一上溯處理以得到第一源上溯點(diǎn)以及第一目的地上溯點(diǎn)，其中，所述第一源上溯點(diǎn)為所述數(shù)據(jù)流的源表示的用戶所屬的部門、或者為所述數(shù)據(jù)流的源表示的用戶地址所屬的網(wǎng)段，所述第一目的地上溯點(diǎn)為所述數(shù)據(jù)流的目的地表示的用戶地址所屬的網(wǎng)段、為與所述數(shù)據(jù)流的目的地表示的服務(wù)器地址對(duì)應(yīng)的服務(wù)器、或者為與所述數(shù)據(jù)流的目的地表示的公網(wǎng)地址對(duì)應(yīng)的任意地址；
[0012]生成第一安全策略，所述第一安全策略的匹配條件中的源被配置為所述第一源上溯點(diǎn)、所述第一安全策略的匹配條件中的目的地被配置為所述第一目的地上溯點(diǎn)、所述第一安全策略的匹配條件中的應(yīng)用被配置為所述數(shù)據(jù)流的應(yīng)用類型。
[0013]在第一方面的第一種可能的實(shí)施方式中，在所述生成第一安全策略之后，還包括:
[0014]判斷所述網(wǎng)絡(luò)流量控制設(shè)備中是否存在第二安全策略，所述第二安全策略的匹配條件與所述第一安全策略的匹配條件相比僅源不同，并且所述第二安全策略的策略動(dòng)作與所述第一安全策略的策略動(dòng)作相同；
[0015]在判斷為存在所述第二安全策略的情況下，基于所述企業(yè)組織結(jié)構(gòu)執(zhí)行第二上溯處理以得到第二源上溯點(diǎn)，所述第二源上溯點(diǎn)為所述第一安全策略的源表示的部門與所述第二安全策略的源表示的部門共同所屬的上一級(jí)部門、或者為所述第一安全策略的源表示的網(wǎng)段與所述第二安全策略的源表示的網(wǎng)段共同所屬的上一級(jí)網(wǎng)段；
[0016]將所述第一安全策略的源更新為所述第二源上溯點(diǎn)，并刪除所述第二安全策略。
[0017]結(jié)合第一方面、或第一方的第一種可能的實(shí)現(xiàn)方式，在第一方面的第二種可能的實(shí)施方式中，在所述生成第一安全策略之后，還包括:
[0018]判斷所述網(wǎng)絡(luò)流量控制設(shè)備中是否存在第三安全策略，所述第三安全策略的匹配條件與所述第一安全策略的匹配條件相比僅目的地不同，并且所述第三安全策略的策略動(dòng)作與所述第一安全策略的策略動(dòng)作相同；
[0019]在判斷為存在所述第三安全策略的情況下，基于所述企業(yè)組織結(jié)構(gòu)執(zhí)行第三上溯處理以得到第二目的地上溯點(diǎn)，所述第二目的地上溯點(diǎn)為所述第一安全策略的目的地表示的網(wǎng)段與所述第三安全策略的目的地表示的網(wǎng)段共同所屬的上一級(jí)網(wǎng)段；
[0020]將所述第一安全策略的目的地更新為所述第二目的地上溯點(diǎn)，并刪除所述第三安全策略。
[0021]結(jié)合第一方面、或第一方面的上述任意一種可能的實(shí)現(xiàn)方式，在第一方面的第三種可能的實(shí)施方式中，在基于預(yù)定的企業(yè)組織結(jié)構(gòu)執(zhí)行第一上溯處理之后，還包括:將所述第一源上溯點(diǎn)、所述第一目的地上溯點(diǎn)以及所述數(shù)據(jù)流的應(yīng)用類型作為一條三元組信息存儲(chǔ)于存儲(chǔ)器中；
[0022]在所述生成第一安全策略之后，還包括:將包括所述第一源上溯點(diǎn)、所述第一目的地上溯點(diǎn)以及所述數(shù)據(jù)流的應(yīng)用類型的三元組信息從所述存儲(chǔ)器刪除；以及
[0023]在所述基于預(yù)定的企業(yè)組織結(jié)構(gòu)執(zhí)行第一上溯處理以得到第一源上溯點(diǎn)以及第一目的地上溯點(diǎn)之前，還包括:判斷所述存儲(chǔ)器中是否存在與所述數(shù)據(jù)流的源、目的地以及應(yīng)用類型匹配的三元組信息；
[0024]并且，在判斷為所述存儲(chǔ)器中不存在與所述數(shù)據(jù)流的源、目的地以及應(yīng)用類型匹配的三元組信息的情況下，執(zhí)行所述第一上溯處理。
[0025]第二方面，提供了一種網(wǎng)絡(luò)流量控制設(shè)備上的安全策略配置裝置，包括:
[0026]識(shí)別模塊，用于對(duì)輸入的數(shù)據(jù)流，識(shí)別所述數(shù)據(jù)流的源、目的地以及應(yīng)用類型，其中，所述源表示發(fā)出所述數(shù)據(jù)流的用戶或者用戶地址，所述數(shù)據(jù)流的目的地表示接收所述數(shù)據(jù)流的用戶地址、服務(wù)器地址或者公網(wǎng)地址，所述應(yīng)用類型表示所述數(shù)據(jù)流包括哪種應(yīng)用的數(shù)據(jù)；
[0027]第一上溯處理模塊，與所述識(shí)別模塊連接，用于基于預(yù)定的企業(yè)組織結(jié)構(gòu)執(zhí)行第一上溯處理以得到第一源上溯點(diǎn)以及第一目的地上溯點(diǎn)，其中，所述第一源上溯點(diǎn)為所述數(shù)據(jù)流的源表示的用戶所屬的部門、或者為所述數(shù)據(jù)流的源表示的用戶地址所屬的網(wǎng)段，所述第一目的地上溯點(diǎn)為所述數(shù)據(jù)流的目的地表示的用戶地址所屬的網(wǎng)段、為與所述數(shù)據(jù)流的目的地表示的服務(wù)器地址對(duì)應(yīng)的服務(wù)器、或者為與所述數(shù)據(jù)流的目的地表示的公網(wǎng)地址對(duì)應(yīng)的任意地址；
[0028]生成模塊，與所述第一上溯處理模塊連接，用于生成第一安全策略，所述第一安全策略的匹配條件中的源被配置為所述第一源上溯點(diǎn)、所述第一安全策略的匹配條件中的目的地被配置為所述第一目的地上溯點(diǎn)、所述第一安全策略的匹配條件中的應(yīng)用被配置為所述數(shù)據(jù)流的應(yīng)用類型。
[0029]在第二方面的第一種可能的實(shí)施方式中，該裝置還包括:
[0030]第一判斷模塊，與所述生成模塊連接，用于判斷所述網(wǎng)絡(luò)流量控制設(shè)備中是否存在第二安全策略，所述第二安全策略的匹配條件與所述第一安全策略的匹配條件相比僅源不同，并且所述第二安全策略的策略動(dòng)作與所述第一安全策略的策略動(dòng)作相同；
[0031]第二上溯處理模塊，與所述第一判斷模塊連接，用于在判斷為存在所述第二安全策略的情況下，基于所述企業(yè)組織結(jié)構(gòu)執(zhí)行第二上溯處理以得到第二源上溯點(diǎn)，所述第二源上溯點(diǎn)為所述第一安全策略的源表示的部門與所述第二安全策略的源表示的部門共同所屬的上一級(jí)部門、或者為所述第一安全策略的源表示的網(wǎng)段與所述第二安全策略的源表示的網(wǎng)段共同所屬的上一級(jí)網(wǎng)段；
[0032]更新模塊，與所述第二上溯處理模塊連接，用于將所述第一安全策略的源更新為所述第二源上溯點(diǎn)，并刪除所述第二安全策略。
[0033]結(jié)合第二方面、或第二方面的第一種可能的實(shí)現(xiàn)方式，在第二方面的第二種可能的實(shí)施方式中，該裝置還包括:
[0034]第二判斷模塊，與所述生成模塊連接，用于判斷所述網(wǎng)絡(luò)流量控制設(shè)備中是否存在第三安全策略，所述第三安全策略的匹配條件與所述第一安全策略的匹配條件相比僅目的地不同，并且所述第三安全策略的策略動(dòng)作與所述第一安全策略的策略動(dòng)作相同；
[0035]第三上溯處理模塊，與所述第二判斷模塊及所述更新模塊連接，用于在判斷為存在所述第三安全策略的情況下，基于所述企業(yè)組織結(jié)構(gòu)執(zhí)行第三上溯處理以得到第二目的地上溯點(diǎn)，所述第二目的地上溯點(diǎn)為所述第一安全策略的目的地表示的網(wǎng)段與所述第三安全策略的目的地表示的網(wǎng)段共同所屬的上一級(jí)網(wǎng)段；
[0036]所述更新模塊還被配置為，將所述第一安全策略的目的地更新為所述第二目的地上溯點(diǎn)，并刪除所述第三安全策略。
[0037]結(jié)合第二方面、或第二方面的上述任意一種可能的實(shí)現(xiàn)方式，在第二方面的第三種可能的實(shí)施方式中，該裝置還包括:
[0038]三元組生成模塊，與所述第一上溯處理模塊連接，用于向所述存儲(chǔ)器發(fā)送指令，在基于預(yù)定的企業(yè)組織結(jié)構(gòu)執(zhí)行第一上溯處理之后，將所述第一源上溯點(diǎn)、所述第一目的地上溯點(diǎn)以及所述數(shù)據(jù)流的應(yīng)用類型作為一條三元組信息存儲(chǔ)于存儲(chǔ)器中；并且，在所述生成第一安全策略之后，將包括所述第一源上溯點(diǎn)、所述第一目的地上溯點(diǎn)以及所述數(shù)據(jù)流的應(yīng)用類型的三元組信息從所述存儲(chǔ)器刪除；
[0039]三元組判斷模塊，與所述識(shí)別模塊及所述第一上溯處理模塊連接，用于在所述基于預(yù)定的企業(yè)組織結(jié)構(gòu)執(zhí)行第一上溯處理以得到第一源上溯點(diǎn)以及第一目的地上溯點(diǎn)之前，判斷所述存儲(chǔ)器中是否存在與所述數(shù)據(jù)流的源、目的地以及應(yīng)用類型匹配的三元組信息；并且，在判斷為所述存儲(chǔ)器中不存在與所述數(shù)據(jù)流的源、目的地以及應(yīng)用類型匹配的三元組信息的情況下，執(zhí)行所述第一上溯處理。
[0040]第三方面，提供一種網(wǎng)絡(luò)流量控制設(shè)備，包括存儲(chǔ)器、通信接口和處理器；
[0041 ] 所述存儲(chǔ)器用于存儲(chǔ)程序代碼；
[0042]所述處理器讀取所述存儲(chǔ)器中存儲(chǔ)的程序代碼，執(zhí)行:
[0043]對(duì)所述通信接口獲得的數(shù)據(jù)流，識(shí)別所述數(shù)據(jù)流的源、目的地以及應(yīng)用類型，其中，所述源表示發(fā)出所述數(shù)據(jù)流的用戶或者用戶地址，所述數(shù)據(jù)流的目的地表示接收