(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111476126.2 (22)申请日 2021.12.0 6 (71)申请人 南京乔天自动化科技有限公司 地址 210000 江苏省南京市江宁区东 山街 道石羊路9 9号 (72)发明人 王磊　 (74)专利代理 机构 北京中建联合知识产权代理 事务所(普通 合伙) 11004 代理人 刘湘舟　王晓艳 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种防火墙策略监控分析系统 (57)摘要 本发明涉及防火墙领域， 且公开了一种防火 墙策略监控分析系统， 包括核心管理模块， 用于 总控全局， 可对防火墙进行分组管理， 作为发送 运行指令的中心控制端； 信息采集模块， 用于采 集网络中的镜像数据及防火墙的配置， 对厂商防 火墙设备策略信息进行抓取， 用作策略分析的基 础数据； 分析模块， 用于进行针对防火墙策略文 件的静态与动态 研究， 对网络中已有的防火墙策 略进行梳理， 对采集所得的流量数据和防火墙配 置数据进行分析， 提供策略如何优化的合理化和 可操作性建议。 通过采用旁路分布式部署方式采 集流量， 支持自动梳理防火墙策略， 若防火墙策 略配置不合理、 包含any或者有冲突与有过变更， 及时进行告警， 可对分析数据、 告警数据和处理 数据核验。 权利要求书2页 说明书6页 附图3页 CN 114268469 A 2022.04.01 CN 114268469 A 1.一种防火墙策略监控分析系统， 其特 征在于， 包括： 核心管理模块 （1） ， 用于总控全局， 可对防火墙进行分组管理， 作为发送运行指令的中 心控制端； 信息采集模块 （2） ， 用于采集网络中的镜像数据及防火墙的配置， 对厂商防火墙设备策 略信息进行抓取， 用作策略分析的基础数据； 分析模块 （3） ， 用于进行针对防火墙策略文件的静态与动态研究， 对网络中已有的防火 墙策略进行梳理， 对采集所得的流量数据和防火墙配置数据进行分析， 提供策略如何优化 的合理化和可操作性建议； 存储模块 （4） ， 用于存 储解析而得的数据信息， 建立数据库， 支持后台信息读取与撰写； 处理模块 （5） ， 用于运行处理指令， 针对分析结果， 依据策略优化的建议， 进行合理方案 的运行； 展示模块 （6） ， 用于展示各项数据处 理结果， 进行 数值的呈现； 导入模块 （7） ， 用于编辑 导入防火墙的配置方式； 对比模块 （8） ， 用于比对防火墙策略配置方式， 进行 方案比较， 标识变化部分； 警示模块 （9） ， 用于为管理端上传警报信息， 触发 警报机制后， 即使 进行指令的发送。 2.根据权利要求1所述的一种防火墙策略监控分析系统， 其特征在于： 所述分析模块 （3） 通过无线网络交互连接有分离模块 （12） ： 用于对过期策略进 行剔除， 从数据库中予以删 除。 3.根据权利要求1所述的一种防火墙策略监控分析系统， 其特征在于： 所述分析模块 （3） 中梳理而得的防火墙策略包括： 冲突策略、 交叉策略、 冗余策略、 命中策略、 宽松策略、 可 删除策略、 可合并策略、 可拆分策略、 不活跃 策略、 过期策略、 被覆盖策略； 其中， 冲突策略包括一条策略的源地址对象、 目的地址对象、 服务对象、 时间对象完全 包含或等于另外一条 策略的地址对象、 服 务对象、 时间对象， 并且动作相反； 交叉策略包括动作相反的两条策略的源地址对象、 目的地址对象、 服务对象、 时间对象 有一项或多 项产生了交集； 冗余策略包括一条低优先级策略完全包含高优先级另外一条策略并且动作相同， 高优 先级被包 含的策略属于 冗余策略； 命中策略包括已命中采集到的流 量的防火墙策略； 宽松策略包括 一条策略大于 镜像流量命中的范围且 超过一定的阈值。 4.根据权利要求1所述的一种防火墙策略监控分析系统， 其特征在于： 所述分析模块 （3） 中针对防火墙策 略文件的动态分析技术， 基于流量分析， 以分析结果为NAT环境下的策 略与流量关联分析提供依据。 5.根据权利要求1所述的一种防火墙策略监控分析系统， 其特征在于： 所述展示模块 （6） 中数据的展示内容包括： 防火墙策略梳理结果、 报表呈报、 配置对比呈现， 告警结果呈 现。 6.根据权利要求1所述的一种防火墙策略监控分析系统， 其特征在于： 所述导入模块 （7） 中的编辑 导入防火墙的配置方式的实施形式包括： 人工手动导入与程序自动导入。 7.根据权利要求1所述的一种防火墙策略监控分析系统， 其特征在于： 所述警示模块 （9） 中的警报触发因素包括： 策略连通 性、 策略变更、 Deny策略、 策略到期、 重要 端口；权　利　要　求　书 1/2 页 2 CN 114268469 A 2其中， 策略连通性的分析， 将策略设置为连通性基线策略， 当基线策略出现删除、 改变 和冲突的情况时， 系统产生策略连通 性告警； 策略变更的监控， 当同一防火墙策略发生变更时， 系统产生策略变更告警； Deny策略的监控， 当系统分析到防火墙的Deny策略被命中时， 上报Deny策略告警； 策略到期的分析， 针对快过期的策略进行告警， 当到期时间小于配置的告警天数时， 就 会产生告警， 起到提醒 管理员的目的； 重要端口的监控， 对于网络中的重点端口进行监控， 并设置此重要端口为禁用端口， 当 某条策略开启了用户指定的端口时， 系统会上报禁用端口告警。 8.根据权利要求1所述的一种防火墙策略监控分析系统， 其特征在于： 所述警示模块 （9） 通过无线网络交互连接有实时更新模块 （13） ： 对分析数据、 处理数据、 告警数据进行即 时刷新， 显示更新时间。 9.根据权利要求9所述的一种防火墙策略监控分析系统， 其特征在于： 所述警示模块 （9） 通过无线网络交互连接有记录模块 （10） ： 将策略分析结果、 处理方案和警示结果生 成报 表， 并支持压缩 包的格式进行 下载保存。 10.根据权利要求1所述的一种防火墙策略监控分析系统， 其特征在于： 所述记录模块 （10） 通过无线网络交互连接有审查模块 （11） ： 对记录所得的报表数据进行后台核验， 方式 为人工和机检相结合。权　利　要　求　书 2/2 页 3 CN 114268469 A 3