CN105282099A - 防火墙命令的生成方法和装置 - Google Patents
防火墙命令的生成方法和装置 Download PDFInfo
- Publication number
- CN105282099A CN105282099A CN201410293167.1A CN201410293167A CN105282099A CN 105282099 A CN105282099 A CN 105282099A CN 201410293167 A CN201410293167 A CN 201410293167A CN 105282099 A CN105282099 A CN 105282099A
- Authority
- CN
- China
- Prior art keywords
- address
- order
- source
- compartment wall
- fire compartment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种防火墙命令的生成方法和装置。其中,该防火墙命令的生成方法包括:采用获取IP地址,其中,IP地址包括源IP地址和目的IP地址。获取服务端口号。获取防火墙命令的模型信息。以及按照模型信息根据源IP地址、目的IP地址和服务端口号生成防火墙命令,其中,防火墙命令允许源IP地址访问目的IP地址的服务端口号。通过本发明,解决了现有技术中利用后台命令维护防火墙时效率较低的问题,进而达到了提高维护防火墙效率的效果。
Description
技术领域
本发明涉及防火墙领域,具体而言,涉及一种防火墙命令的生成方法和装置。
背景技术
在利用防火墙对网络进行维护时,需要针对不同的IP地址设置不同的策略,现有的防火墙维护通常在web页面进行操作,在处理较多的策略时较为复杂。因此,在进行维护时需要利用后台命令进行操作,但是,由于运维人员知识水平的差异,部分运维人员不会利用后台命令对防火墙进行维护,导致利用后台命令维护防火墙时的效率较低。
针对现有技术中利用后台命令维护防火墙时效率较低的问题,目前尚未提出有效的解决方案。
发明内容
本发明的主要目的在于提供一种防火墙命令的生成方法和装置,以解决现有技术中利用后台命令维护防火墙时效率较低的问题。
为了实现上述目的,根据本发明的一个方面,提供了一种防火墙命令的生成方法。根据本发明的防火墙命令的生成方法包括:获取IP地址,其中,所述IP地址包括源IP地址和目的IP地址;获取服务端口号;获取防火墙命令的模型信息;以及按照所述模型信息根据所述源IP地址、所述目的IP地址和所述服务端口号生成所述防火墙命令。
进一步地,按照所述模型信息根据所述源IP地址、所述目的IP地址和所述服务端口号生成所述防火墙命令包括:根据所述源IP地址生成源IP地址命令;根据所述目的IP地址生成目的IP地址命令;根据所述服务端口号生成服务端口命令;以及按照所述模型信息根据所述源IP地址命令、所述目的IP地址命令和所述服务端口命令生成所述防火墙命令。
进一步地,在按照所述模型信息根据所述源IP地址命令、所述目的IP地址命令和所述服务端口命令生成所述防火墙命令之前,所述生成方法还包括:判断是否存在与所述源IP地址属性相同的源IP地址组,如果存在与所述源IP地址属性相同的源IP地址组,则将所述源IP地址加入所述源IP地址组,如果不存在,则建立新源IP地址组;判断是否存在与所述目的IP地址属性相同的目的IP地址组,如果存在与所述目的IP地址属性相同的目的IP地址组,则将所述目的IP地址加入所述目的IP地址组,如果不存在,则创建新目的IP地址组;以及判断是否存在与所述服务端口号属性相同的服务组,如果存在与所述服务端口号属性相同的服务组,则将所述服务端口号加入所述服务组,如果不存在,则创建新服务组。
进一步地,所述生成方法还包括:获取时间信息,其中,所述时间信息用于限制所述源IP地址访问所述目的IP地址的时间;按照所述模型信息根据所述IP地址、所述服务端口号和所述时间信息生成所述防火墙命令,其中,在生成所述防火墙命令之前,根据所述时间信息生成时间命令。
进一步地,在生成所述防火墙命令之后,所述生成方法还包括:选择所述源IP地址、所述目的IP地址、所述服务端口号和所述时间信息中任意一项或者多项,得到选择信息;根据所述选择信息生成相应的命令。以及利用生成的命令修正所述防火墙命令。
为了实现上述目的,根据本发明的另一方面,提供了一种防火墙命令的生成装置。根据本发明的防火墙命令的生成装置包括:地址获取单元,用于获取IP地址,其中,所述IP地址包括源IP地址和目的IP地址;端口获取单元,用于获取服务端口号;模型获取单元,用于获取防火墙命令的模型信息;以及生成单元,用于按照所述模型信息根据所述源IP地址、所述目的IP地址和所述服务端口号生成所述防火墙命令,其中,所述防火墙命令允许所述源IP地址访问所述目的IP地址的所述服务端口号。
进一步地,所述生成单元包括:源IP地址生成模块,用于根据所述源IP地址生成源IP地址命令。目的IP地址生成模块,用于根据所述目的IP地址生成目的IP地址命令;端口生成模块,用于根据所述服务端口号生成服务端口命令;以及命令生成模块,用于按照所述模型信息根据所述源IP地址命令、所述目的IP地址命令和所述服务端口命令生成所述防火墙命令。
进一步地,所述生成装置还包括:第一判断单元,用于在按照所述模型信息根据所述源IP地址命令、所述目的IP地址命令和所述服务端口命令生成所述防火墙命令之前,判断是否存在与所述源IP地址属性相同的源IP地址组,如果存在与所述源IP地址属性相同的源IP地址组,则将所述源IP地址加入所述源IP地址组,如果不存在,则创建源IP地址组;第二判断单元,用于判断是否存在与所述目的IP地址属性相同的目的IP地址组,如果存在与所述目的IP地址属性相同的目的IP地址组,则将所述目的IP地址加入所述目的IP地址组,如果不存在,则创建目的IP地址组;以及第三判断单元,用于判断是否存在与所述服务端口号属性相同的服务组,如果存在与所述服务端口号属性相同的服务组,则将所述服务端口号加入所述服务组,如果不存在,则创建服务组。
进一步地,所述生成装置还包括:时间获取单元,用于获取时间信息,其中,所述时间信息用于限制所述源IP地址访问所述目的IP地址的时间,其中,所述生成单元还用于按照所述模型信息根据所述IP地址、所述服务端口号和所述时间信息生成所述防火墙命令,其中,在生成所述防火墙命令之前,根据所述时间信息生成时间命令。
进一步地,所述生成装置还包括:选择单元,用于在生成所述防火墙命令之后,选择所述源IP地址、所述目的IP地址、所述服务端口号和所述时间信息中任意一项或者多项,得到选择信息。命令生成单元,用于根据所述选择信息生成相应的命令。以及修正单元,用于利用生成的命令修正所述防火墙命令。
通过本发明,采用获取IP地址,其中,IP地址包括源IP地址和目的IP地址。获取服务端口号。获取防火墙命令的模型信息;以及按照模型信息根据源IP地址、目的IP地址和服务端口号生成防火墙命令,利用模型信息即可自动生成防火墙命令,无需技术人员逐个编写防火墙命令,解决了现有技术中利用后台命令维护防火墙时效率较低的问题,进而达到了提高维护防火墙效率的效果。
附图说明
构成本申请的一部分的附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的防火墙命令的生成方法的流程图;
图2是根据本发明优选实施例的防火墙命令的生成方法的流程图;以及
图3是根据本发明实施例的防火墙命令的生成装置的示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
本发明实施例提供了一种防火墙命令的生成方法。
图1是根据本发明实施例的防火墙命令的生成方法的流程图。如图所示,该防火墙命令的生成方法包括如下步骤:
步骤S102,获取IP地址,其中,IP地址包括源IP地址和目的IP地址。
步骤S104,获取服务端口号。
步骤S106,获取防火墙命令的模型信息。
步骤S108,按照模型信息根据源IP地址、目的IP地址和服务端口号生成防火墙命令,其中,防火墙命令允许源IP地址访问目的IP地址的服务端口号。
防火墙能够用来使得能够访问目的IP地址的源IP地址对目的IP地址进行访问,阻挡不能访问目的IP地址的源IP地址,从而起到阻挡恶意源IP地址访问目的IP地址的作用。在利用防火墙来保证网络安全时,首先要知道防火墙允许哪些源IP地址能够通过防火墙访问目的IP地址,其次要知道防火墙允许源IP地址访问目的IP地址的哪个服务端口号,即配置防火墙的安全策略。那么,在配置防火墙时,需要告知防火墙能够访问目的IP地址的源IP地址,以及源IP地址访问的服务端口号,也就是生成防火墙命令。
在生成防火墙命令之前,要获取源IP地址、目的IP地址和服务端口号,由于生成的防火墙命令为后台命令,具有一定的规则,所以在生成防火墙命令之前还需要获取防火墙命令的模型信息,按照获取的模型信息并根据源IP地址、目的IP地址和服务端口号生成防火墙命令,生成的防火墙命令能够允许源IP地址访问目的IP地址的服务端口号。例如,用户的IP地址为192.168.1.254,要访问的目标为百度,则目标IP地址为百度的IP地址,即202.108.22.5,例如百度的服务端口号为80,那么,生成的防火墙命令为允许IP地址为192.168.1.254的用户访问IP地址为202.108.22.5的服务端口号80。
通过上述实施例,在获取生成防火墙命令的源IP地址、目的IP地址和服务端口号之后,按照防火墙命令模型信息即可生成防火墙命令,无需人工编写防火墙命令,能够突破技术人员知识技能的限制,在获得源IP地址、目的IP地址和服务端口号之后就能生成相应的防火墙命令,解决了现有技术中利用后台命令维护防火墙时效率较低的问题,进而达到了提高维护防火墙效率的效果。
优选地,为了便于生成防火墙命令,按照模型信息根据源IP地址、目的IP地址和服务端口号生成防火墙命令包括:根据源IP地址生成源IP地址命令。根据目的IP地址生成目的IP地址命令。根据服务端口号生成服务端口命令。以及按照模型信息根据源IP地址命令、目的IP地址命令和服务端口命令生成防火墙命令。即分别针对源IP地址、目的IP地址和服务端口号生成相应的命令,并利用生成的命令按照模型信息生成防火墙命令。
例如,针对源IP地址生成源IP地址命令,针对目的IP地址生成目的IP地址命令,针对服务端口号生成服务端口命令,然后结合生成的上述三个命令按照模型信息生成防火墙命令。
优选地,为了避免系统针对众多的IP地址和服务端口号生成过多的防火墙命令,需要对属性相同的IP地址存储在同一个IP组内,对属性相同的服务端口号存储在同一个服务组内,从而使得利用相同防火墙命令的IP地址和服务器端口号无需再重新生成防火墙命令,则在确定在按照模型信息根据源IP地址命令、目的IP地址命令和服务端口命令生成防火墙命令之前,该生成方法还包括:判断是否存在与源IP地址属性相同的源IP地址组,如果存在与源IP地址属性相同的源IP地址组,则将源IP地址加入源IP地址组,如果不存在,则建立新源IP地址组。判断是否存在与目的IP地址属性相同的目的IP地址组,如果存在与目的IP地址属性相同的目的IP地址组,则将目的IP地址加入目的IP地址组,如果不存在,则创建新目的IP地址组。以及判断是否存在与服务端口号属性相同的服务组,如果存在与服务端口号属性相同的服务组,则将服务端口号加入服务组,如果不存在,则创建新服务组。
例如,地区A的源IP地址处于同一个源IP地址组中,如果需要允许地区A中的用户C的源IP地址访问目的IP地址时,则将用户C的IP地址加入到该源IP地址组中,如果不存在地区A的源IP地址组,可以新建地区A的源IP地址组。
同理,例如,目的IP地址为网站A的所有网页的IP地址,则将所有网页的IP地址保存在目的IP地址组A中,则该目的IP地址组A中的所有目的IP地址都能够通过相同的防火墙命令来确定能够访问这些目的IP地址的源IP地址。
同理,例如,服务端口号属性相同的服务组中存储由多个服务端口号,则该组中的所有服务端口号遵循相同的防火墙命令。
通过上述实施例,按照属性信息对源IP地址、目的IP地址和服务端口号进行分组,同一个组内的所有元素都遵循相同的防火墙命令,避免了重复生成相同的防火墙命令,提高了生成防火墙命令的效率,从而提高了对防火墙进行运维的效率。
进一步地,该防火墙命令的生成方法还包括:获取时间信息,其中,时间信息用于限制源IP地址访问目的IP地址的时间。按照模型信息根据IP地址、服务端口号和时间信息生成防火墙命令,其中,在生成防火墙命令之前,根据时间信息生成时间命令。
按照本发明实施例中的防火墙命令的生成方法不仅能够使得防火墙允许某些源IP地址访问某些目的IP地址,还可以规定在哪个时间段哪个源IP地址能够访问目的IP地址。例如,获取的时间信息为允许访问的时间为7:00-19:00,则在分别获取源IP地址、目的IP地址和服务端口号之后,按照模型信息结合时间信息生成防火墙命令,生成的防火墙命令允许源IP地址在7:00-19:00的时间段内访问目的IP地址的服务端口号。
进一步地,在生成防火墙命令之后,生成方法还包括:选择源IP地址、目的IP地址、服务端口号和时间信息中任意一项或者多项,得到选择信息。根据选择信息生成相应的命令。以及利用生成的命令修正防火墙命令。
在已经具有防火墙命令的情况下,如果只是更改源IP地址、目的IP地址、服务端口号和时间信息中的某一项或者多项信息,为了提高生成防火墙命令的效率,可以针对源IP地址、目的IP地址、服务端口号和时间信息中的某一项或者多项信息生成相应的命令,并根据生成的命令修正防火墙命令。例如,需要添加一个源IP地址,而目的IP地址、服务端口号和时间信息均不更改,则只需根据源IP地址生成源IP地址命令,再根据源IP地址命令和已经存在的目的IP地址命令、服务端口号命令和时间信息命令生成防火墙命令。
通过上述实施例,可以在仅需更改源IP地址、目的IP地址、服务端口号和时间信息中的某一项或者多项信息时,选择需要更改的信息生成相应的命令,即可利用生成的相应的命令得到新的防火墙命令,从而避免对所有的信息都生成命令再得到防火墙命令,提高了对防火墙进行运维的效率。
以下结合图2对本发明实施例的防火墙命令生成方法进行说明,如图所示,在生成防火墙命令之前,可以选择1-ip地址、选择2-服务和选择3-时间,在选择1-ip地址之后,输入ip地址,然后生成ip地址命令行代码,并判断是否需要新建ip地址组,如果需要建立则新建组,如果不需要新建ip地址组,则将ip加入组;在选择2-服务后,输入服务目的端口范围,然后生成服务命令行代码,并判断是否需要新建服务组,如果需要则新建组,如果不需要则将服务加入组;在选择3-时间后,输入开始时间、结束时间,并生成时间命令行代码,在生成上述命令之后,还可以返回开始部分选择4-策略,输入方向from*to*,即输入源IP地址和目的IP地址,服务端口号及时间,即可生成防火墙命令。上述步骤可以在防火墙命令生成软件上执行,可以选择1和选择2生成防火墙命令,还可以选择1、选择和选择3生成防火墙命令,另外,还可以选择1或选择2或选择3仅生成相应地命令(即命令行代码),将生成的某一个或多个命令输入选择4-策略中,以修正已有的防火墙命令。优选地,上述实施例中的IP地址和服务端口号等可以批量导入,即可批量生成防火墙命令。因此,可以提高对防火墙进行运维的效率。
本发明实施例还提供了一种防火墙命令的生成装置。
图3是根据本发明实施例的防火墙命令的生成装置的示意图。如图所示,该生成装置包括地址获取单元10、端口获取单元20、模型获取单元30和生成单元40。
地址获取单元10用于获取IP地址,其中,IP地址包括源IP地址和目的IP地址。
端口获取单元20用于获取服务端口号。
模型获取单元30用于获取防火墙命令的模型信息。
生成单元40用于按照模型信息根据源IP地址、目的IP地址和服务端口号生成防火墙命令,其中,防火墙命令允许源IP地址访问目的IP地址的服务端口号。
防火墙能够用来使得能够访问目的IP地址的源IP地址对目的IP地址进行访问,阻挡不能访问目的IP地址的源IP地址,从而起到阻挡恶意源IP地址访问目的IP地址的作用。在利用防火墙来保证网络安全时,首先要知道防火墙允许哪些源IP地址能够通过防火墙访问目的IP地址,其次要知道防火墙允许源IP地址访问目的IP地址的哪个服务端口号,即配置防火墙的安全策略。那么,在配置防火墙时,需要告知防火墙能够访问目的IP地址的源IP地址,以及源IP地址访问的服务端口号,也就是生成防火墙命令。
在生成防火墙命令之前,要获取源IP地址、目的IP地址和服务端口号,由于生成的防火墙命令为后台命令,具有一定的规则,所以在生成防火墙命令之前还需要获取防火墙命令的模型信息,按照获取的模型信息并根据源IP地址、目的IP地址和服务端口号生成防火墙命令,生成的防火墙命令能够允许源IP地址访问目的IP地址的服务端口号。例如,用户的IP地址为192.168.1.254,要访问的目标为百度,则目标IP地址为百度的IP地址,即202.108.22.5,例如百度的服务端口号为80,那么,生成的防火墙命令为允许IP地址为192.168.1.254的用户访问IP地址为202.108.22.5的服务端口号80。
通过上述实施例,在获取生成防火墙命令的源IP地址、目的IP地址和服务端口号之后,按照防火墙命令模型信息即可生成防火墙命令,无需人工编写防火墙命令,能够突破技术人员知识技能的限制,在获得源IP地址、目的IP地址和服务端口号之后就能生成相应的防火墙命令,解决了现有技术中利用后台命令维护防火墙时效率较低的问题,进而达到了提高维护防火墙效率的效果。
优选地,为了便于生成防火墙命令,生成单元包括:源IP地址生成模块,用于根据源IP地址生成源IP地址命令。目的IP地址生成模块,用于根据目的IP地址生成目的IP地址命令。端口生成模块,用于根据服务端口号生成服务端口命令。以及命令生成模块,用于按照模型信息根据源IP地址命令、目的IP地址命令和服务端口命令生成防火墙命令。
例如,针对源IP地址生成源IP地址命令,针对目的IP地址生成目的IP地址命令,针对服务端口号生成服务端口命令,然后结合生成的上述三个命令按照模型信息生成防火墙命令。
优选地,为了避免系统针对众多的IP地址和服务端口号生成过多的防火墙命令,需要对属性相同的IP地址存储在同一个IP组内,对属性相同的服务端口号存储在同一个服务组内,从而使得利用相同防火墙命令的IP地址和服务器端口号无需再重新生成防火墙命令,则在确定在按照模型信息根据源IP地址命令、目的IP地址命令和服务端口命令生成防火墙命令之前,该生成装置还包括:第一判断单元,用于在按照模型信息根据源IP地址命令、目的IP地址命令和服务端口命令生成防火墙命令之前,判断是否存在与源IP地址属性相同的源IP地址组,如果存在与源IP地址属性相同的源IP地址组,则将源IP地址加入源IP地址组,如果不存在,则创建源IP地址组。第二判断单元,用于判断是否存在与目的IP地址属性相同的目的IP地址组,如果存在与目的IP地址属性相同的目的IP地址组,则将目的IP地址加入目的IP地址组,如果不存在,则创建目的IP地址组。以及第三判断单元,用于判断是否存在与服务端口号属性相同的服务组,如果存在与服务端口号属性相同的服务组,则将服务端口号加入服务组,如果不存在,则创建服务组。
例如,地区A的源IP地址处于同一个源IP地址组中,如果需要允许地区A中的用户C的源IP地址访问目的IP地址时,则将用户C的IP地址加入到该源IP地址组中,如果不存在地区A的源IP地址组,可以新建地区A的源IP地址组。
同理,例如,目的IP地址为网站A的所有网页的IP地址,则将所有网页的IP地址保存在目的IP地址组A中,则该目的IP地址组A中的所有目的IP地址都能够通过相同的防火墙命令来确定能够访问这些目的IP地址的源IP地址。
同理,例如,服务端口号属性相同的服务组中存储由多个服务端口号,则该组中的所有服务端口号遵循相同的防火墙命令。
通过上述实施例,按照属性信息对源IP地址、目的IP地址和服务端口号进行分组,同一个组内的所有元素都遵循相同的防火墙命令,避免了重复生成相同的防火墙命令,提高了生成防火墙命令的效率,从而提高了对防火墙进行运维的效率。
进一步地,该防火墙命令的生成装置还包括:时间获取单元,用于获取时间信息,其中,时间信息用于限制源IP地址访问目的IP地址的时间,其中,生成单元还用于按照模型信息根据IP地址、服务端口号和时间信息生成防火墙命令,其中,在生成防火墙命令之前,根据时间信息生成时间命令。
按照本发明实施例中的防火墙命令的生成方法不仅能够使得防火墙允许某些源IP地址访问某些目的IP地址,还可以规定在哪个时间段哪个源IP地址能够访问目的IP地址。例如,获取的时间信息为允许访问的时间为7:00-19:00,则在分别获取源IP地址、目的IP地址和服务端口号之后,按照模型信息结合时间信息生成防火墙命令,生成的防火墙命令允许源IP地址在7:00-19:00的时间段内访问目的IP地址的服务端口号。
进一步地,该生成装置还包括:选择单元,用于在生成防火墙命令之后,选择源IP地址、目的IP地址、服务端口号和时间信息中任意一项或者多项,得到选择信息。命令生成单元,用于根据选择信息生成相应的命令。以及修正单元,用于利用生成的命令修正防火墙命令。
在已经具有防火墙命令的情况下,如果只是更改源IP地址、目的IP地址、服务端口号和时间信息中的某一项或者多项信息,为了提高生成防火墙命令的效率,可以针对源IP地址、目的IP地址、服务端口号和时间信息中的某一项或者多项信息生成相应的命令,并根据生成的命令修正防火墙命令。例如,需要添加一个源IP地址,而目的IP地址、服务端口号和时间信息均不更改,则只需根据源IP地址生成源IP地址命令,再根据源IP地址命令和已经存在的目的IP地址命令、服务端口号命令和时间信息命令生成防火墙命令。
通过上述实施例,可以在仅需更改源IP地址、目的IP地址、服务端口号和时间信息中的某一项或者多项信息时,选择需要更改的信息生成相应的命令,即可利用生成的相应的命令得到新的防火墙命令,从而避免对所有的信息都生成命令再得到防火墙命令,提高了对防火墙进行运维的效率。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种防火墙命令的生成方法,其特征在于,包括:
获取IP地址,其中,所述IP地址包括源IP地址和目的IP地址;
获取服务端口号;
获取防火墙命令的模型信息;以及
按照所述模型信息根据所述源IP地址、所述目的IP地址和所述服务端口号生成所述防火墙命令。
2.根据权利要求1所述的方法,其特征在于,按照所述模型信息根据所述源IP地址、所述目的IP地址和所述服务端口号生成所述防火墙命令包括:
根据所述源IP地址生成源IP地址命令;
根据所述目的IP地址生成目的IP地址命令;
根据所述服务端口号生成服务端口命令;以及
按照所述模型信息根据所述源IP地址命令、所述目的IP地址命令和所述服务端口命令生成所述防火墙命令。
3.根据权利要求2所述的方法,其特征在于,在按照所述模型信息根据所述源IP地址命令、所述目的IP地址命令和所述服务端口命令生成所述防火墙命令之前,所述方法还包括:
判断是否存在与所述源IP地址属性相同的源IP地址组,如果存在与所述源IP地址属性相同的源IP地址组,则将所述源IP地址加入所述源IP地址组,如果不存在,则建立新源IP地址组;
判断是否存在与所述目的IP地址属性相同的目的IP地址组,如果存在与所述目的IP地址属性相同的目的IP地址组,则将所述目的IP地址加入所述目的IP地址组,如果不存在,则创建新目的IP地址组;以及
判断是否存在与所述服务端口号属性相同的服务组,如果存在与所述服务端口号属性相同的服务组,则将所述服务端口号加入所述服务组,如果不存在,则创建新服务组。
4.根据权利要求1所述的方法,其特征在于,所述生成方法还包括:
获取时间信息,其中,所述时间信息用于限制所述源IP地址访问所述目的IP地址的时间;
按照所述模型信息根据所述IP地址、所述服务端口号和所述时间信息生成所述防火墙命令,其中,在生成所述防火墙命令之前,根据所述时间信息生成时间命令。
5.根据权利要求4所述的方法,其特征在于,在生成所述防火墙命令之后,所述生成方法还包括:
选择所述源IP地址、所述目的IP地址、所述服务端口号和所述时间信息中任意一项或者多项,得到选择信息;
根据所述选择信息生成相应的命令;以及
利用生成的命令修正所述防火墙命令。
6.一种防火墙命令的生成装置,其特征在于,
地址获取单元,用于获取IP地址,其中,所述IP地址包括源IP地址和目的IP地址;
端口获取单元,用于获取服务端口号;
模型获取单元,用于获取防火墙命令的模型信息;以及
生成单元,用于按照所述模型信息根据所述源IP地址、所述目的IP地址和所述服务端口号生成所述防火墙命令,其中,所述防火墙命令允许所述源IP地址访问所述目的IP地址的所述服务端口号。
7.根据权利要求6所述的装置,其特征在于,所述生成单元包括:
源IP地址生成模块,用于根据所述源IP地址生成源IP地址命令;
目的IP地址生成模块,用于根据所述目的IP地址生成目的IP地址命令;
端口生成模块,用于根据所述服务端口号生成服务端口命令;以及
命令生成模块,用于按照所述模型信息根据所述源IP地址命令、所述目的IP地址命令和所述服务端口命令生成所述防火墙命令。
8.根据权利要求7所述的装置,其特征在于,所述生成装置还包括:
第一判断单元,用于在按照所述模型信息根据所述源IP地址命令、所述目的IP地址命令和所述服务端口命令生成所述防火墙命令之前,判断是否存在与所述源IP地址属性相同的源IP地址组,如果存在与所述源IP地址属性相同的源IP地址组,则将所述源IP地址加入所述源IP地址组,如果不存在,则创建源IP地址组;
第二判断单元,用于判断是否存在与所述目的IP地址属性相同的目的IP地址组,如果存在与所述目的IP地址属性相同的目的IP地址组,则将所述目的IP地址加入所述目的IP地址组,如果不存在,则创建目的IP地址组;以及
第三判断单元,用于判断是否存在与所述服务端口号属性相同的服务组,如果存在与所述服务端口号属性相同的服务组,则将所述服务端口号加入所述服务组,如果不存在,则创建服务组。
9.根据权利要求6所述的装置,其特征在于,所述生成装置还包括:
时间获取单元,用于获取时间信息,其中,所述时间信息用于限制所述源IP地址访问所述目的IP地址的时间,其中,
所述生成单元还用于按照所述模型信息根据所述IP地址、所述服务端口号和所述时间信息生成所述防火墙命令,其中,在生成所述防火墙命令之前,根据所述时间信息生成时间命令。
10.根据权利要求9所述的装置,其特征在于,所述生成装置还包括:
选择单元,用于在生成所述防火墙命令之后,选择所述源IP地址、所述目的IP地址、所述服务端口号和所述时间信息中任意一项或者多项,得到选择信息;
命令生成单元,用于根据所述选择信息生成相应的命令;以及
修正单元,用于利用生成的命令修正所述防火墙命令。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410293167.1A CN105282099B (zh) | 2014-06-25 | 2014-06-25 | 防火墙命令的生成方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410293167.1A CN105282099B (zh) | 2014-06-25 | 2014-06-25 | 防火墙命令的生成方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105282099A true CN105282099A (zh) | 2016-01-27 |
| CN105282099B CN105282099B (zh) | 2019-04-12 |
Family
ID=55150438
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410293167.1A Active CN105282099B (zh) | 2014-06-25 | 2014-06-25 | 防火墙命令的生成方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105282099B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109088886A (zh) * | 2018-09-29 | 2018-12-25 | 郑州云海信息技术有限公司 | 在防火墙上监控策略的管理方法和装置 |
| CN110430206A (zh) * | 2019-08-13 | 2019-11-08 | 上海新炬网络技术有限公司 | 基于脚本模板化生成配置防火墙安全策略的方法 |
| CN114884692A (zh) * | 2022-03-31 | 2022-08-09 | 中国工商银行股份有限公司 | 网络访问控制方法及装置 |
| CN115225307A (zh) * | 2022-05-12 | 2022-10-21 | 马上消费金融股份有限公司 | 一种防火墙管理方法、系统、电子设备和存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101582900A (zh) * | 2009-06-24 | 2009-11-18 | 成都市华为赛门铁克科技有限公司 | 防火墙安全策略配置方法及管理装置 |
| CN101771669A (zh) * | 2008-12-30 | 2010-07-07 | 北京天融信网络安全技术有限公司 | 一种设置防火墙策略的方法和装置 |
| CN201577106U (zh) * | 2010-01-15 | 2010-09-08 | 中国工商银行股份有限公司 | 防火墙策略生成装置及系统 |
-
2014
- 2014-06-25 CN CN201410293167.1A patent/CN105282099B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101771669A (zh) * | 2008-12-30 | 2010-07-07 | 北京天融信网络安全技术有限公司 | 一种设置防火墙策略的方法和装置 |
| CN101582900A (zh) * | 2009-06-24 | 2009-11-18 | 成都市华为赛门铁克科技有限公司 | 防火墙安全策略配置方法及管理装置 |
| CN201577106U (zh) * | 2010-01-15 | 2010-09-08 | 中国工商银行股份有限公司 | 防火墙策略生成装置及系统 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109088886A (zh) * | 2018-09-29 | 2018-12-25 | 郑州云海信息技术有限公司 | 在防火墙上监控策略的管理方法和装置 |
| CN110430206A (zh) * | 2019-08-13 | 2019-11-08 | 上海新炬网络技术有限公司 | 基于脚本模板化生成配置防火墙安全策略的方法 |
| CN114884692A (zh) * | 2022-03-31 | 2022-08-09 | 中国工商银行股份有限公司 | 网络访问控制方法及装置 |
| CN114884692B (zh) * | 2022-03-31 | 2024-01-30 | 中国工商银行股份有限公司 | 网络访问控制方法及装置 |
| CN115225307A (zh) * | 2022-05-12 | 2022-10-21 | 马上消费金融股份有限公司 | 一种防火墙管理方法、系统、电子设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105282099B (zh) | 2019-04-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9712551B2 (en) | Methods and systems for architecture-centric threat modeling, analysis and visualization | |
| US11184151B2 (en) | Devices for providing a set of cryptographically secured and filtered and sorted transaction data sets of a block of a blockchain | |
| CN102426602B (zh) | 范围化数据库连接 | |
| US10504025B2 (en) | Parallel processing of data by multiple semantic reasoning engines | |
| JP6870203B2 (ja) | フィールドデバイスコミッショニングシステムおよび方法 | |
| US20130275908A1 (en) | Mapping between hierarchies in an industrial automation system | |
| CN105812326B (zh) | 一种异构防火墙策略的集中控制方法和系统 | |
| CN105871930A (zh) | 基于应用的防火墙安全策略的自适应配置方法及系统 | |
| CN102857493A (zh) | 内容过滤方法和装置 | |
| CN109086182A (zh) | 数据库自动告警的方法及终端设备 | |
| CN105074692A (zh) | 使用基于逻辑多维标签的策略模型的分布式网络管理系统 | |
| WO2017034917A1 (en) | Object-relation user interface for viewing security configurations of network security devices | |
| CN105282099A (zh) | 防火墙命令的生成方法和装置 | |
| CN110650037B (zh) | 异构网络设备配置方法及装置 | |
| CN105765901B (zh) | 智能防火墙访问规则 | |
| CN103324713B (zh) | 多级服务器中的数据处理方法、装置和数据处理系统 | |
| CN104135507A (zh) | 一种防盗链的方法和装置 | |
| CN111224963A (zh) | 网络靶场任务复盘方法、系统、电子设备及存储介质 | |
| CN106301892A (zh) | 基于Apache Ambari的Hue服务部署及配置和监控办法 | |
| CN103701822A (zh) | 访问控制方法 | |
| CN106648568B (zh) | 在表格上添加复选框的方法和装置 | |
| CN107306247A (zh) | 资源访问控制方法及装置 | |
| CN104461741B (zh) | 基于图形设备接口的计算设备优化方法及装置 | |
| Wang et al. | Variable Neighbourhood Search and Mathematical Programming for Just‐in‐Time Job‐Shop Scheduling Problem | |
| CN107918860A (zh) | 工程方法、系统和计算机程序产品 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |