网络安全策略的处理系统及处理方法与流程

本发明涉及一种网络安全技术领域，特别是涉及一种网络安全策略的处理系统及处理方法。

背景技术：

随着互联网的发展，数据中心的网络安全防护越来越复杂，网络安全策略配置越来越复杂，人工配置越来越困难。现有的网络安全策略管理方法无法满足服务器快速上线的实际需求，并且人工维护成本过高。

技术实现要素：

本发明要解决的技术问题是为了克服现有技术中网络安全策略管理方法无法满足服务器快速上线的实际需求并且人工维护成本过高的缺陷，提供一种网络安全策略的处理系统及处理方法。

本发明是通过下述技术方案来解决上述技术问题的：

本发明提供了一种网络安全策略的处理系统，其特点在于，包括：

IP(网络之间互连的协议)地址发送模块，用于在服务器上线或网络发生改变时，将服务器的IP地址发送出去；

流量学习模块，用于接收所述IP地址，将所述IP地址对应的网络安全策略设置为全部放行策略，并开始进行流量学习，收集所述IP地址的所有流量信息；

提取模块，用于根据收集的每条流量信息提取源IP地址、目的IP地址、目的端口以及协议以生成基础安全策略；

第一合并模块，用于将目的IP地址、目的端口以及协议均相同的基础安全策略进行源IP地址合并，以生成包括源IP组、目的IP地址、目的端口以及协议的初始安全策略；

第二合并模块，用于将源IP组、目的端口以及协议均相同的初始安全策略进行目的IP地址合并，以生成包括源IP组、目的IP组、目的端口以及协议的最终安全策略；

处理模块，用于将所述最终安全策略发送至网络安全设备中，并删除所述流量学习模块设置的全部放行策略。

较佳地，所述流量学习模块还用于设置流量学习时间。

较佳地，所述IP地址发送模块还用于在服务器下线时将下线服务器的IP地址发送至所述流量学习模块，所述流量学习模块还用于调用所述处理模块删除所有与所述下线服务器的IP地址相关的网络安全策略。

本发明的目的在于还提供了一种网络安全策略的处理方法，其特点在于，其利用上述的处理系统实现，包括以下步骤：

S₁、所述IP地址发送模块在服务器上线或网络发生改变时，将服务器的IP地址发送出去；

S₂、所述流量学习模块接收所述IP地址，将所述IP地址对应的网络安全策略设置为全部放行策略，并开始进行流量学习，收集所述IP地址的所有流量信息；

S₃、所述提取模块根据收集的每条流量信息提取源IP地址、目的IP地址、目的端口以及协议以生成基础安全策略；

S₄、所述第一合并模块将目的IP地址、目的端口以及协议均相同的基础安全策略进行源IP地址合并，以生成包括源IP组、目的IP地址、目的端口以及协议的初始安全策略；

S₅、所述第二合并模块将源IP组、目的端口以及协议均相同的初始安全策略进行目的IP地址合并，以生成包括源IP组、目的IP组、目的端口以及协议的最终安全策略；

S₆、所述处理模块将所述最终安全策略发送至网络安全设备中，并删除所述流量学习模块设置的全部放行策略。

较佳地，步骤S₂中所述流量学习模块还设置流量学习时间。

较佳地，所述处理方法还包括：

所述IP地址发送模块在服务器下线时将下线服务器的IP地址发送至所述流量学习模块，所述流量学习模块调用所述处理模块删除所有与所述下线服务器的IP地址相关的网络安全策略。

本发明的积极进步效果在于：本发明通过流量学习的方式自动生成网络安全策略，策略的配置全程都不需要人工进行参与，实现了全自动的配置，实现了安全配置的智能化，免去了人工配置的复杂度，提高了网络安全配置的效率，实现了安全策略的智能化配置。

附图说明

图1为本发明的较佳实施例的网络安全策略的处理系统的模块示意图。

图2为本发明的较佳实施例的网络安全策略的处理方法的流程图。

具体实施方式

下面通过实施例的方式进一步说明本发明，但并不因此将本发明限制在所述的实施例范围之中。

如图1所示，本发明的网络安全策略的处理系统包括IP地址发送模块1、流量学习模块2、提取模块3、第一合并模块4、第二合并模块5以及处理模块6。

其中，所述IP地址发送模块会在服务器上线或者网络发生改变时，将服务器的IP地址(即新增的IP地址或者发生变更的IP地址)发送至所述流量学习模块2；

所述流量学习模块2在接收到所述IP地址后，则将所述IP地址对应的网络安全策略设置为全部放行策略，即对所述IP地址开启全通策略；并且开始进行流量学习，设置一学习时间，然后收集在所述学习时间内所述IP地址的所有流量信息；

所述提取模块3根据所述流量学习模块2收集的每条流量信息提取源IP地址、目的IP地址、目的端口以及协议以生成基础安全策略，即每条流量信息可以生成一个基础安全策略，所述基础安全策略均包括源IP地址、目的IP地址、目的端口以及协议；

所述第一合并模块4会将目的IP地址、目的端口以及协议均相同的基础安全策略进行源IP地址合并，以生成包括源IP组、目的IP地址、目的端口以及协议的初始安全策略；即，所述初始安全策略中包括的目的IP地址、目的端口以及协议均相同，所述源IP组表示包括多个不同的源IP地址；

所述第二合并模块5会将源IP组、目的端口以及协议均相同的初始安全策略进行目的IP地址合并，以生成包括源IP组、目的IP组、目的端口以及协议的最终安全策略；即所述最终安全策略中包括的源IP组、目的端口以及协议均相同，所述目的IP组表示包括多个不同的目的IP地址；

所述处理模块6则将所述最终安全策略发送至网络安全设备中，并删除所述流量学习模块2设置的全部放行策略，即将所述IP地址的全通策略进行删除。

其中，在本发明的具体实施过程中，所述IP地址发送模块1还用于在服务器下线时将下线服务器的IP地址发送至所述流量学习模块2，所述流量学习模块2还用于调用所述处理模块6删除所有与所述下线服务器的IP地址相关的网络安全策略。

本发明通过服务器上线或者服务器网络发生变更将变更的IP地址的网络安全策略默认先放行，然后通过学习指定时间范围内的流量的方式，相应的流量进行转换、合并，最终形成对应的网络安全策略规则信息；本发明通过学习的方式，使得网络安全策略的生成不需要人工进行配置，策略配置实现了全程自动化。

本发明还提供了一种网络安全策略的处理方法，利用上述的网络安全策略的处理系统实现，如图2所示，本发明的网络安全策略的处理方法包括以下步骤：

步骤101、所述IP地址发送模块在服务器上线或网络发生改变时，将服务器的IP地址发送出去；

步骤102、所述流量学习模块接收所述IP地址，将所述IP地址对应的网络安全策略设置为全部放行策略，并开始进行流量学习，收集所述IP地址的所有流量信息；

步骤103、所述提取模块根据收集的每条流量信息提取源IP地址、目的IP地址、目的端口以及协议以生成基础安全策略；

步骤104、所述第一合并模块将目的IP地址、目的端口以及协议均相同的基础安全策略进行源IP地址合并，以生成包括源IP组、目的IP地址、目的端口以及协议的初始安全策略；

步骤105、所述第二合并模块将源IP组、目的端口以及协议均相同的初始安全策略进行目的IP地址合并，以生成包括源IP组、目的IP组、目的端口以及协议的最终安全策略；

步骤106、所述处理模块将所述最终安全策略发送至网络安全设备中，并删除所述流量学习模块设置的全部放行策略。

其中，步骤S₂中所述流量学习模块还设置流量学习时间。

并且优选地，所述处理方法还可以包括：

所述IP地址发送模块在服务器下线时将下线服务器的IP地址发送至所述流量学习模块，所述流量学习模块调用所述处理模块删除所有与所述下线服务器的IP地址相关的网络安全策略。

虽然以上描述了本发明的具体实施方式，但是本领域的技术人员应当理解，这些仅是举例说明，本发明的保护范围是由所附权利要求书限定的。本领域的技术人员在不背离本发明的原理和实质的前提下，可以对这些实施方式做出多种变更或修改，但这些变更和修改均落入本发明的保护范围。