CN105592052A - 一种防火墙规则配置方法及装置 - Google Patents

Abstract

本申请提供一种防火墙规则配置方法及装置，应用于网管设备上，该方法包括：获取认证服务器上预先配置的用户信息；创建基于所述用户信息的防火墙规则；向防火墙设备下发已创建的防火墙规则；当用户上线时，根据所述用户的用户信息将所述用户对应的IP地址添加到已下发的防火墙规则中。通过本申请可降低防火墙规则配置和维护的工作量，提升防火墙系统的工作效率。

Description

一种防火墙规则配置方法及装置

技术领域

本申请涉及网络通信技术领域，尤其涉及一种防火墙规则配置方法及装置。

背景技术

防火墙作为一种网络安全系统，按照下发的防火墙规则控制网络流量是否可以通过防火墙设备，防火墙规则通常由网管设备进行配置并下发。

由于防火墙设备仅支持基于IP(InternetProtocol，网际协议)地址的防火墙规则，因此，目前的网管设备也仅基于用户的IP地址进行防火墙规则配置，当用户较多时，基于IP地址进行防火墙规则配置的可操作性变差。

而且，该配置方式只能体现IP地址与防火墙规则的对应关系，无法直观体现用户信息。当用户的IP地址发生变化时，网络管理员需查询用户与IP地址的对应关系，再对该用户的防火墙规则进行修改，无疑增加了网络管理员的维护工作量。

发明内容

有鉴于此，本申请提供一种防火墙规则配置方法及装置。

具体地，本申请是通过如下技术方案实现的：

本申请提供一种防火墙规则配置方法，应用于网管设备上，该方法包括：

获取认证服务器上预先配置的用户信息；

创建基于所述用户信息的防火墙规则；

向防火墙设备下发已创建的防火墙规则；

当用户上线时，根据所述用户的用户信息将所述用户对应的IP地址添加到已下发的防火墙规则中。

本申请还提供一种防火墙规则配置装置，应用于网管设备上，该装置包括：

获取单元，用于获取认证服务器上预先配置的用户信息；

创建单元，用于创建基于所述用户信息的防火墙规则；

下发单元，用于向防火墙设备下发已创建的防火墙规则；

添加单元，用于当用户上线时，根据所述用户的用户信息将所述用户对应的IP地址添加到已下发的防火墙规则中。

由以上描述可以看出，本申请利用网络中普遍存在的认证服务器获取预先配置的用户信息，建立基于用户信息的防火墙规则，并在用户上线时，根据用户的用户信息将该用户对应的IP地址添加到已下发的防火墙规则中。通过本申请可降低防火墙规则配置和维护的工作量，提升防火墙系统的工作效率。

附图说明

图1是本申请一示例性实施例示出的防火墙系统示意图；

图2是本申请一示例性实施例示出的一种防火墙规则配置方法流程图；

图3是本申请一示例性实施例示出的一种防火墙规则配置装置所在设备的基础硬件结构示意图；

图4是本申请一示例性实施例示出的一种防火墙规则配置装置的结构示意图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

图1所示为防火墙系统示意图。其中，User1～User3为用户，PC1～PC3为用户访问网络所使用的客户端设备，FW为防火墙设备，SS为用户拟访问的资源服务器，ND为网管设备，RS为认证服务器。客户端设备与服务器位于防火墙设备两侧，网管设备负责配置防火墙规则，并将防火墙规则下发给防火墙设备，防火墙设备根据下发的防火墙规则控制(允许或禁止)用户使用客户端设备访问资源服务器。认证服务器负责对接入网络的用户进行身份认证。

现有技术方案采用基于IP地址的防火墙规则配置方式。例如，假设，图1中User1、User2为非财务人员，SS为公司财务部的服务器，公司禁止非财务人员访问财务部服务器，则网络管理员在网管设备上进行如下规则配置：禁止源IP地址为192.168.1.10目的IP地址为10.6.1.2的访问；禁止源IP地址为192.168.1.20目的IP地址为10.6.1.2的访问。该基于IP地址的配置方式随着用户的不断增加(IP地址增加)，配置工作量也会增加，可操作性差。此外，当用户的IP地址发生变化时，需要人工查询用户与IP地址的对应关系，从而更改对应的防火墙规则，可见，该技术方案的维护成本也很高。

针对上述问题，本申请实施例提出一种防火墙规则配置方法，该方法利用网络中普遍存在的认证服务器获取预先配置的用户信息，建立基于用户信息的防火墙规则，并在用户上线时，根据用户的用户信息将该用户对应的IP地址添加到已下发的防火墙规则中。

参见图2，为本申请防火墙规则配置方法的一个实施例流程图，该实施例对防火墙规则的配置过程进行描述。

步骤201，获取认证服务器上预先配置的用户信息。

为了保证网络的安全性，大部分的网络系统中都会部署安全认证系统，对接入网络的用户身份进行认证。本申请实施例正是利用该安全认证系统实现本申请的防火墙规则配置。

具体为，在安全认证系统的认证服务器中预先配置允许接入网络的用户的用户信息，该用户信息可以包括用户名以及该用户所属用户分组的用户分组名。例如，假设，某企业员工User1(用户名)，该员工为研发部员工，因此，该员工所属用户分组为研发部，对应的用户分组名为R&DGroup。

网管设备通过与认证服务器进行信息交互，例如，可通过WebService(网络服务)接口，从认证服务器上获取上述预先配置的用户信息。

步骤202，创建基于所述用户信息的防火墙规则。

防火墙规则通常包括源域、目的域、源IP地址组、目的IP地址组、服务组、动作(允许或禁止)等信息。本申请实施例利用步骤201获取的用户信息配置防火墙规则。

具体为，创建安全域，将对应的防火墙设备接口添加到安全域中。例如，假设User1～User3为研发部员工，公司禁止研发部员工访问财务部服务器(SS服务器)，因此，可创建两个安全域，研发部域(域名为R&DDomain)和财务部域(域名为FinanceDomain)。研发部域对应的防火墙设备接口为GE1/0/4，财务部域对应的防火墙设备接口为GE1/0/3，分别添加到对应安全域中。

创建IP地址组，同一IP地址组内的成员适用同一防火墙规则。本申请实施例根据步骤201获取的用户信息创建对应的IP地址组，该IP地址组的成员信息为用户信息。该用户信息可以为用户名或用户分组名。例如，创建研发部对应的IP地址组(R&DIPGroup)，该IP地址组可以引用用户名(User1\User2\User3)或用户分组名(R&DUserGroup)。当IP地址组的成员信息为用户分组名时，表示该用户分组下的所有用户均采用同一防火墙规则。此外，如图1所示，创建财务部服务器对应的IP地址组(FinanceServerIPGroup)，该IP地址组的成员为SS服务器。由于服务器的IP地址相对固定，且服务器的数量相对较少，因此，可直接将服务器IP地址配置在网管设备中。

在完成安全域及IP地址组的创建后，可根据安全需求创建对应的防火墙规则。例如，公司的安全需求为禁止研发部人员访问财务部服务器，则根据该安全需求创建如下防火墙规则：源域为R&DDomain，目的域为FinanceDomain、源IP地址组为R&DIPGroup、目的IP地址组为FinanceServerIPGroup、服务组为AnyService(任意服务)、动作为Deny(禁止)。

步骤203，向防火墙设备下发已创建的防火墙规则。

将步骤202创建的防火墙规则下发给防火墙设备。其中，对于引用已配置IP地址的网络设备(例如，在网管设备上直接配置SS服务器的IP地址)的防火墙规则，在下发防火墙规则时，直接将网络设备的IP地址下发给防火墙设备。而对于IP地址容易发生变化的用户，通过前述步骤201～步骤203无法获取到用户对应的IP地址，可执行步骤204以完成防火墙规则的配置。

步骤204，当用户上线时，根据所述用户的用户信息将所述用户对应的IP地址添加到已下发的防火墙规则中。

当用户上线时，认证服务器向网管设备发送用户上线报文，该用户上线报文中包含上线用户的用户信息以及对应的IP地址。

在前述描述中已介绍根据用户信息创建IP地址组以及根据IP地址组生成防火墙规则的过程，网管设备会记录用户信息、IP地址组以及防火墙规则的引用关系，因此，网管设备可根据上线用户的用户信息，查询引用该用户信息的IP地址组以及引用该IP地址组的防火墙规则。

在确定了对应的防火墙规则后，访问防火墙设备，例如，可通过NetConf(NetworkConfigurationProtocol，网络配置协议)接口访问防火墙设备，配置已下发到防火墙设备中的防火墙规则。本申请实施例中，网管设备通过访问防火墙设备将上线用户对应的IP地址添加到已下发的防火墙规则的IP地址组中，其中，该已下发的防火墙规则为位于防火墙设备中的与已查询到的防火墙规则一致的防火墙规则，即通过网管设备直接配置防火墙设备中的防火墙规则。

当用户下线时，网管设备同样可以根据用户的用户信息删除已下发的防火墙规则中用户对应的IP地址。具体为，接收认证服务器在用户下线时发送的用户下线报文，该用户下线报文中包含该下线用户的用户信息以及对应的IP地址。网管设备根据已记录的用户信息、IP地址组以及防火墙规则的引用关系，查询引用该下线用户的用户信息的IP地址组以及引用该IP地址组的防火墙规则。在确定了引用该下线用户的用户信息的防火墙规则后，访问防火墙设备，从已下发的防火墙规则的IP地址组中删除该下线用户对应的IP地址，其中，该已下发的防火墙规则为位于防火墙设备中的与已查询到的防火墙规则一致的防火墙规则。

从上述描述可以看出，本申请实施例利用大部分组网中普遍部署的认证系统，实现防火墙规则的自动配置和维护，降低了网络管理人员的工作量，提高了防火墙系统的工作效率。

此外，当网管设备启动日志功能时，可接收防火墙设备上报的防火墙日志。该防火墙日志用于记录防火墙设备对经过它的数据报文所执行的具体操作，例如，拦截某源IP地址到目的IP地址的报文。

当防火墙日志中的IP地址为上线用户对应的IP地址时，网管设备可根据在用户上线时记录的用户信息与IP地址的对应关系，获取上线用户的用户信息，将用户信息添加到防火墙日志中，从而使网络管理员更加直观的感知防火墙设备的运行状态，例如，哪一位用户发起攻击或被攻击。

现仍以图1为例，详细介绍防火墙规则配置过程。

如前所示，假设User1～User3为研发部员工，公司禁止研发部员工访问财务部服务器(SS服务器)，则防火墙规则配置过程如下。

创建安全域，研发部域(域名为R&DDomain)和财务部域(域名为FinanceDomain)。将防火墙设备接口GE1/0/4添加到研发部域，防火墙设备接口GE1/0/3添加到财务部域。

从认证服务器获取预先配置的研发部人员的用户信息，该用户信息包括研发部分组名(R&DGroup)和研发部人员的用户名(User1\User2\User3)。

创建IP地址组，研发部IP地址组(R&DIPGroup)和财务部IP地址组(FinanceServerIPGroup)。研发部IP地址组引用用户分组名(R&DUserGroup)，财务部IP地址组引用SS服务器，同时，网管设备(ND)上配置SS服务器的IP地址10.6.1.2。

根据公司的安全需求禁止研发部员工访问财务部服务器(SS服务器)，因此，创建如下防火墙规则：源域为R&DDomain，目的域为FinanceDomain、源IP地址组为R&DIPGroup、目的IP地址组为FinanceServerIPGroup、服务组为AnyService(任意服务)、动作为Deny(禁止)。

将上述防火墙规则(以下简称规则1)下发给防火墙设备FW，同时，记录用户信息、IP地址组以及防火墙规则的引用关系，如表1所示，该表仅为示例性说明。

表1

当User1上线时，认证服务器(RS服务器)向网管设备发送用户上线报文，该用户上线报文中携带User1的用户名(User1)和User1所使用客户端设备PC1的IP地址(192.168.1.10)。网管设备可根据User1的用户名查询表1找到引用该用户信息的防火墙规则以及IP地址组信息。

网管设备通过NetConf接口访问防火墙设备，将User1对应的IP地址(192.168.1.10)添加到防火墙设备中规则1的IP地址组(R&DIPGroup)中，从而完成针对User1的防火墙规则的配置。

同理，User2和User3上线时，采用同样的方式完成的防火墙规则的配置。

当User1下线时，认证服务器(RS服务器)向网管设备发送用户下线报文，该用户下线报文中携带User1的用户名(User1)和User1所使用客户端设备PC1的IP地址(192.168.1.10)。网管设备同样根据User1的用户名查询表1找到引用该用户信息的防火墙规则以及IP地址组信息。

然后，通过NetConf接口访问防火墙设备，从防火墙设备中规则1的IP地址组(R&DIPGroup)中删除User1对应的IP地址(192.168.1.10)，从而完成针对User1的防火墙规则的删除。

此外，网管设备可接收防火墙设备上报的防火墙日志，如表2所示，该表仅为示例性说明。

时间	源IP地址	目的IP地址	事件	操作
					2015-08-17 10:55:00	192.168.1.10	10.6.1.2	攻击	拦截

表2

网络管理员无法直观的获知哪一位用户发起了攻击或被攻击。本申请中，由于网管设备在用户上线时可以从认证服务器获取用户信息和对应的IP地址信息，因此，可记录用户信息和IP地址的对应关系，如表3所示。

用户信息	IP地址
		User1	192.168.1.10
User2	192.168.1.20
		User3	192.168.1.30

表3

同时，网管设备中已配置了SS服务器的IP地址10.6.1.2，因此，网管设备可通过IP地址查找到对应的用户信息，在表2所示的防火墙日志中添加用户信息，生成表4所示防火墙日志。

时间

源用户名

源IP地址

目的用户名

目的IP地址

事件

操作

2015-08-17 10:55:00

User1

192.168.1.10

SS服务器

10.6.1.2

攻击

拦截

表4

可见，通过表4网络管理员可直观地获知防火墙设备的运行状态。

与前述防火墙规则配置方法的实施例相对应，本申请还提供了防火墙规则配置装置的实施例。

本申请防火墙规则配置装置的实施例可以应用在网管设备上。装置实施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。以软件实现为例，作为一个逻辑意义上的装置，是通过其所在设备的处理器运行存储器中对应的计算机程序指令形成的。从硬件层面而言，如图3所示，为本申请防火墙规则配置装置所在设备的一种硬件结构图，除了图3所示的处理器、网络接口、以及存储器之外，实施例中装置所在的设备通常根据该设备的实际功能，还可以包括其他硬件，对此不再赘述。

请参考图4，为本申请一个实施例中的防火墙规则配置装置的结构示意图。该防火墙规则配置装置包括获取单元401、创建单元402、下发单元403以及添加单元404，其中：

获取单元401，用于获取认证服务器上预先配置的用户信息；

创建单元402，用于创建基于所述用户信息的防火墙规则；

下发单元403，用于向防火墙设备下发已创建的防火墙规则；

添加单元404，用于当用户上线时，根据所述用户的用户信息将所述用户对应的IP地址添加到已下发的防火墙规则中。

进一步地，

所述创建单元402，具体用于创建安全域，将对应的防火墙设备的接口添加到所述安全域中；创建IP地址组，所述IP地址组引用所述用户信息；根据安全需求创建对应的防火墙规则，所述防火墙规则中包含已创建的安全域和IP地址组。

进一步地，

所述添加单元404，具体用于接收所述认证服务器在用户上线时发送的用户上线报文，所述用户上线报文中包含所述用户的用户信息以及对应的IP地址；查询引用所述用户信息的IP地址组；查询引用所述IP地址组的防火墙规则；将所述用户对应的IP地址添加到已下发的防火墙规则的IP地址组中，所述已下发的防火墙规则为位于所述防火墙设备中的与已查询到的防火墙规则一致的防火墙规则。

进一步地，所述装置还包括：

删除单元，用于当用户下线时，接收所述认证服务器发送的用户下线报文，所述用户下线报文中包含所述用户的用户信息以及对应的IP地址；查询引用所述用户信息的IP地址组；查询引用所述IP地址组的防火墙规则；从已下发的防火墙规则的IP地址组中删除所述用户对应的IP地址，所述已下发的防火墙规则为位于所述防火墙设备中的与已查询到的防火墙规则一致的防火墙规则。

进一步地，所述装置还包括：

处理单元，用于接收所述防火墙设备上报的防火墙日志，所述防火墙日志中包含所述用户对应的IP地址；根据所述用户对应的IP地址获取所述用户的用户信息，所述网管设备已在用户上线时记录所述用户的用户信息与IP地址的对应关系；在所述防火墙日志中添加所述IP地址对应的用户信息。

上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。

Claims (10)

1.一种防火墙规则配置方法，应用于网管设备上，其特征在于，该方法包括：

获取认证服务器上预先配置的用户信息；

创建基于所述用户信息的防火墙规则；

向防火墙设备下发已创建的防火墙规则；

当用户上线时，根据所述用户的用户信息将所述用户对应的IP地址添加到已下发的防火墙规则中。

2.如权利要求1所述的方法，其特征在于，所述创建基于所述用户信息的防火墙规则，包括：

创建安全域，将对应的防火墙设备的接口添加到所述安全域中；

创建IP地址组，所述IP地址组引用所述用户信息；

根据安全需求创建对应的防火墙规则，所述防火墙规则中包含已创建的安全域和IP地址组。

3.如权利要求1或2所述的方法，其特征在于，所述根据所述用户的用户信息将所述用户对应的IP地址添加到已下发的防火墙规则中，包括：

接收所述认证服务器在用户上线时发送的用户上线报文，所述用户上线报文中包含所述用户的用户信息以及对应的IP地址；

查询引用所述用户信息的IP地址组；

查询引用所述IP地址组的防火墙规则；

将所述用户对应的IP地址添加到已下发的防火墙规则的IP地址组中，所述已下发的防火墙规则为位于所述防火墙设备中的与已查询到的防火墙规则一致的防火墙规则。

4.如权利要求1所述的方法，其特征在于，所述方法还包括：

当用户下线时，接收所述认证服务器发送的用户下线报文，所述用户下线报文中包含所述用户的用户信息以及对应的IP地址；

查询引用所述用户信息的IP地址组；

查询引用所述IP地址组的防火墙规则；

从已下发的防火墙规则的IP地址组中删除所述用户对应的IP地址，所述已下发的防火墙规则为位于所述防火墙设备中的与已查询到的防火墙规则一致的防火墙规则。

5.如权利要求1所述的方法，其特征在于，所述方法还包括：

接收所述防火墙设备上报的防火墙日志，所述防火墙日志中包含所述用户对应的IP地址；

根据所述用户对应的IP地址获取所述用户的用户信息，所述网管设备已在用户上线时记录所述用户的用户信息与IP地址的对应关系；

在所述防火墙日志中添加所述IP地址对应的用户信息。

6.一种防火墙规则配置装置，应用于网管设备上，其特征在于，该装置包括：

获取单元，用于获取认证服务器上预先配置的用户信息；

创建单元，用于创建基于所述用户信息的防火墙规则；

下发单元，用于向防火墙设备下发已创建的防火墙规则；

添加单元，用于当用户上线时，根据所述用户的用户信息将所述用户对应的IP地址添加到已下发的防火墙规则中。

7.如权利要求6所述的装置，其特征在于：

所述创建单元，具体用于创建安全域，将对应的防火墙设备的接口添加到所述安全域中；创建IP地址组，所述IP地址组引用所述用户信息；根据安全需求创建对应的防火墙规则，所述防火墙规则中包含已创建的安全域和IP地址组。

8.如权利要求6或7所述的装置，其特征在于：

所述添加单元，具体用于接收所述认证服务器在用户上线时发送的用户上线报文，所述用户上线报文中包含所述用户的用户信息以及对应的IP地址；查询引用所述用户信息的IP地址组；查询引用所述IP地址组的防火墙规则；将所述用户对应的IP地址添加到已下发的防火墙规则的IP地址组中，所述已下发的防火墙规则为位于所述防火墙设备中的与已查询到的防火墙规则一致的防火墙规则。

9.如权利要求6所述的装置，其特征在于，所述装置还包括：

删除单元，用于当用户下线时，接收所述认证服务器发送的用户下线报文，所述用户下线报文中包含所述用户的用户信息以及对应的IP地址；查询引用所述用户信息的IP地址组；查询引用所述IP地址组的防火墙规则；从已下发的防火墙规则的IP地址组中删除所述用户对应的IP地址，所述已下发的防火墙规则为位于所述防火墙设备中的与已查询到的防火墙规则一致的防火墙规则。

10.如权利要求6所述的装置，其特征在于，所述装置还包括：

处理单元，用于接收所述防火墙设备上报的防火墙日志，所述防火墙日志中包含所述用户对应的IP地址；根据所述用户对应的IP地址获取所述用户的用户信息，所述网管设备已在用户上线时记录所述用户的用户信息与IP地址的对应关系；在所述防火墙日志中添加所述IP地址对应的用户信息。