买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：交通银行股份有限公司辽宁省分行

摘要：一种利用防火墙“开放权限过大策略”规则命中的流量日志对防火墙中“开放权限过大策略”规则全自动优化的方法，本发明设置防火墙流量日志采集周期，提取关键元素，针对关键元素中的源地址、目标地址和协议端口进行优化，将优化后的策略规则配置自动下发至防火墙，再删除防火墙中“开放权限过大策略”规则，实现全自动优化企业防火墙中“开放权限过大策略”规则的方法。本发明用自动化程序替代人工操作，全部过程不需人工参与，节省运维人员的时间和精力，提高工作效率。使企业防火墙达到精细化管理要求和协议端口最小授权原则，解决企业中运维防火墙的难点和痛点，提高企业对防火墙的管理能力，对企业的网络安全和运营管理具有重要意义。

主权项：1.一种利用防火墙“开放权限过大策略”规则命中的流量日志对防火墙中“开放权限过大策略”规则全自动优化的方法，其特征在于，其步骤为：s1.设置防火墙“开放权限过大策略”规则命中的流量日志单次采集周期数值λTS、采集总周期数值λTT、源IP地址和目标IP地址的优化规则数值λA、λB、λC，先将单次采集周期数值λTS收集到的防火墙“开放权限过大策略”规则命中的流量日志，上传至防火墙策略优化服务器，再删除此次采集周期数值λTS命中的流量日志，重新接收新的“开放权限过大策略”规则命中的流量日志；s2.提取防火墙“开放权限过大策略”规则命中的流量日志关键元素，构成新的防火墙策略规则记录：每一条有效防火墙策略规则命中的流量日志表示一条网络真实访问记录，提取流量日志关键元素分别为：32位源IP地址、源安全区域、32位目标IP地址、目标协议端口4个关键元素；先将4个关键元素组成一条记录，再去掉重复记录，然后在每条不重复的记录上添加一个按当前时间加数字构成的防火墙策略规则名称，组成一条完整的防火墙策略规则记录，所述防火墙策略规则记录内包含的5个元素为：[策略名称，源IP地址，源安全区域，目标IP地址，目标协议端口]；s3.优化流量日志源IP地址：s3-1.拆分出32位源IP地址：将s2中得到的防火墙策略规则记录中“源安全区域、32位目标IP地址、目标协议端口”合并成一个“python编程语言”字符串数据类型格式：[“策略名称a”，“源IP地址a”，“源安全区域a、目标IP地址a、目标协议端口a”]；再将多条防火墙策略规则记录按照“源安全区域、目标IP地址、目标协议端口”组成的字符串分组，将组内一个或者多个32位源IP地址元素合并成一个“python编程语言”列表数据类型格式，只保留组内一个策略名称和去掉重复的“源安全区域、目标IP地址、目标协议端口”组成的字符串，每个32位源IP地址添加子网掩码，构成标准的IP地址格式，得到完整的防火墙策略规则数据表：[“策略名称a”，[“32位源IP地址1+子网掩码，32位源IP地址2+子网掩码，……，32位源IP地址m+子网掩码”]，“源安全区域a、目标IP地址a、目标协议端口a”]，将该数据表命名为“SRC_IP_A”；s3-2.合并去重复源IP地址：从数据库源IP地址优化策略数据表"SRC_IP_OPTI"中提取数据，与数据表"SRC_IP_A"相加，构成数据表"SRC_IP_B"，将数据表"SRC_IP_B"按照s3-1步骤操作，构成数据表"SRC_IP_C"；s3-3.源IP地址添加网段优化：s3-3-1.预设源IP地址添加网段优化数值：预设添加C类网段优化规则数值λC、添加B类网段优化规则数值λB、添加A类网段优化规则数值λA，所述的A类网段、B类网段、C类网段为标准的IP地址分类；s3-3-2.源IP地址合理性、合规性优化：当"SRC_IP_C"中同一分组内有数量K个前24位相同的32位源IP地址，当K＜λC时，将不做32位源IP地址添加网段优化，防火墙策略规则记录中源IP地址为实际32位源IP地址；当"SRC_IP_C"中同一分组内有数量K个前24位相同的32位源IP地址，当λC≤K＜3λC，同一分组内添加一个前24位相同的C类网段，如果存在多个数量K类的32位源IP地址，就添加多个前24位相同的C类网段，构成数据表"SRC_IP_D"；当"SRC_IP_D"中同一分组内有数量L个前24位相同的32位源IP地址，当3λC≤L时，同一分组内添加一个前16位相同的B类网段，如果存在多个数量L类的32位源IP地址，就添加多个前16位相同的B类网段，构成数据表"SRC_IP_E"；当"SRC_IP_E"中同一分组内有数量M个前16位相同的C类网段，当λB≤M时，同一分组内添加一个前16位相同的B类网段，如果存在多个数量M类的C类网段，就添加多个前16位相同的B类网段，构成数据表"SRC_IP_F"；当"SRC_IP_F"中同一分组内有数量N个前8位相同的B类网段，当λA≤N时，同一分组内添加一个前8位相同的A类网段，如果存在多个数量N类的B类网段，就添加多个前8位相同的A类网段，构成数据表"SRC_IP_G"；s3-4.源IP地址包含关系去重与存储：利用IP地址计算模块，对数据表"SRC_IP_G"中32位源IP地址、网段包含关系去重复优化，如数据表中同时存在前24位相同的32位源IP地址和前24位相同的C类网段时，保留C类网段，删除32位源IP地址；保留B类网段、A类网段的方法与保留C类网段方法相同；将包含关系去重后的数据表命名为"SRC_IP_H"，更新数据库源IP地址优化策略数据表"SRC_IP_OPTI"：先清空数据库中源IP地址优化策略数据表"SRC_IP_OPTI"信息，再将数据表"SRC_IP_H"信息写入数据库源IP地址优化策略数据表"SRC_IP_OPTI"中；s4.优化流量日志目标IP地址；s5.优化流量日志目标协议端口；s6.重新执行“开放权限过大策略”规则优化程序：重新获得“开放权限过大策略”规则命中的流量日志；再次执行“开放权限过大策略”规则优化程序；s7.生成防火墙策略规则配置文件，自动登录防火墙下发策略规则配置：当目标协议端口优化计数器P大于采集总周期数值λTT时，将优化目标协议端口得到的数据表"PRO_PORT_A"数据，利用jinja2模块模板语言，自动生成防火墙策略规则配置文件，利用netmiko模块，自动登录防火墙下发防火墙策略规则记录，删除防火墙“开放权限过大策略”规则记录，完成全自动优化防火墙“开放权限过大策略”规则操作。

全文数据：

权利要求：

百度查询： 交通银行股份有限公司辽宁省分行 一种利用防火墙“开放权限过大策略”规则命中的流量日志对防火墙中“开放权限过大策略”规则全自动优化的方法