CN105681327B - 防火墙策略的自动查询方法及系统 - Google Patents

防火墙策略的自动查询方法及系统 Download PDF

Info

Publication number
CN105681327B
CN105681327B CN201610108935.0A CN201610108935A CN105681327B CN 105681327 B CN105681327 B CN 105681327B CN 201610108935 A CN201610108935 A CN 201610108935A CN 105681327 B CN105681327 B CN 105681327B
Authority
CN
China
Prior art keywords
firewall policy
firewall
array
target
information library
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610108935.0A
Other languages
English (en)
Other versions
CN105681327A (zh
Inventor
吴善鹏
郑晨
田国华
雷兵
朱志博
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Ctrip Business Co Ltd
Original Assignee
Shanghai Ctrip Business Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Ctrip Business Co Ltd filed Critical Shanghai Ctrip Business Co Ltd
Priority to CN201610108935.0A priority Critical patent/CN105681327B/zh
Publication of CN105681327A publication Critical patent/CN105681327A/zh
Application granted granted Critical
Publication of CN105681327B publication Critical patent/CN105681327B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种防火墙策略的自动查询方法及系统,方法包括:S1、构建防火墙策略信息库;S2、设置查询条件,包括目标源地址、目标目的地址及目标服务数据;S3、从防火墙策略信息库中获取一条防火墙策略;S4、判断获取的防火墙策略的源地址数组、目标地址数组、服务数组中是否分别包含目标源地址、目标目的地址、目标服务数据,若是,执行S5,若否,返回S3;S5、将获取的防火墙策略保存至查询结果集;S6、判断获取的防火墙策略是否为防火墙策略信息库中的最后一条,若是,执行S7,若否,返回S3;S7、输出所述查询结果集。本发明实现对防火墙策略进行集中式统一化的管理,提高了防火墙策略查询的效率。

Description

防火墙策略的自动查询方法及系统
技术领域
本发明涉及一种网络安全技术领域,特别是涉及一种防火墙策略的自动查询方法及系统。
背景技术
随着互联网技术的不断发展,在线网站的规模越来越大,防火墙作为网站的安全屏障被大量的使用。防火墙数量的增加以及防火墙中安全策略条目的增加,导致安全工程师的工作量成倍的增长,要从多台防火墙的大量安全策略中查询出是否存在某条安全策略就变得非常困难。现有的查询防火墙策略的方法,主要是通过人工登录每台防火墙的查询界面进行防火墙策略检索,这样繁琐的查询方法,使得安全工程师的工作效率非常低下,增加了出错的概率。
发明内容
本发明要解决的技术问题是为了克服现有技术中查询防火墙策略的方法主要通过人工登录每台防火墙的查询界面进行查询,导致工作量成倍增加、工作效率非常低下的缺陷,提供一种防火墙策略的自动查询方法及系统。
本发明是通过下述技术方案来解决上述技术问题的:
本发明提供了一种防火墙策略的自动查询方法,其特点在于,包括以下步骤:
S1、构建防火墙策略信息库,所述防火墙策略信息库中存储有多个防火墙策略,每个防火墙策略均包括源地址数组、目的地址数组以及服务数组;
S2、设置查询条件,所述查询条件包括目标源地址、目标目的地址以及目标服务数据;
S3、按照设定顺序从所述防火墙策略信息库中获取一条防火墙策略;
S4、判断获取的所述防火墙策略的源地址数组中是否包含所述目标源地址、目的地址数组中是否包含所述目标目的地址且服务数组中是否包含所述目标服务数据,若是,则执行步骤S5,若否,则返回步骤S3
S5、将获取的所述防火墙策略保存至查询结果集;
S6、判断获取的所述防火墙策略是否为所述防火墙策略信息库中的最后一条防火墙策略,若是,则执行步骤S7,若否,则返回步骤S3
S7、输出所述查询结果集。
较佳地,步骤S1中,每个防火墙策略还包括动作类型以及防火墙名称。
较佳地,步骤S3中通过统一查询接口从所述防火墙策略信息库中获取防火墙策略。
本发明的目的在于还提供了一种防火墙策略的自动查询系统,其特点在于,包括:
构建模块,用于构建防火墙策略信息库,所述防火墙策略信息库中存储有多个防火墙策略,每个防火墙策略均包括源地址数组、目的地址数组以及服务数组;
设置模块,用于设置查询条件,所述查询条件包括目标源地址、目标目的地址以及目标服务数据;
获取模块,用于按照设定顺序从所述防火墙策略信息库中获取一条防火墙策略;
第一判断模块,用于判断获取的所述防火墙策略的源地址数组中是否包含所述目标源地址、目的地址数组中是否包含所述目标目的地址且服务数组中是否包含所述目标服务数据,若是,则调用一存储模块,若否,则调用所述获取模块;
所述存储模块用于将获取的所述防火墙策略保存至查询结果集;
第二判断模块,用于判断获取的所述防火墙策略是否为所述防火墙策略信息库中的最后一条防火墙策略,若是,则调用一输出模块,若否,则调用所述获取模块;
所述输出模块用于输出所述查询结果集。
较佳地,每个防火墙策略还包括动作类型以及防火墙名称。
较佳地,所述获取模块通过统一查询接口从所述防火墙策略信息库中获取防火墙策略。
本发明的积极进步效果在于:本发明实现了在大型网络环境中,对防火墙策略进行集中式统一化的管理,为防火墙策略的查询工作提供了统一的查询接口提高了防火墙的管理效率,降低了防火墙策略查询的工作量,提高了防火墙策略查询的效率以及准确性。
附图说明
图1为本发明的较佳实施例的防火墙策略的自动查询方法的流程图。
图2为本发明的较佳实施例的防火墙策略的自动查询系统的模块示意图。
具体实施方式
下面通过实施例的方式进一步说明本发明,但并不因此将本发明限制在所述的实施例范围之中。
如图1所示,本发明的防火墙策略的自动查询方法包括以下步骤:
步骤101、构建防火墙策略信息库,所述防火墙策略信息库中存储有多个防火墙策略,每个防火墙策略均包括源地址数组(sources)、目的地址数组(destinations)以及服务数组(services);优选地,每个防火墙策略还包括动作类型(action)以及防火墙名称(name);
步骤102、设置查询条件,所述查询条件包括目标源地址(scr_ip)、目标目的地址(dst_ip)以及目标服务数据(service);具体的查询条件可由用户根据需要设置并输入;
步骤103、按照设定顺序从所述防火墙策略信息库中获取一条防火墙策略;其中,设定顺序可由用户根据需要进行预设,步骤103中具体可以通过统一查询接口从所述防火墙策略信息库中获取防火墙策略;
步骤104、判断获取的所述防火墙策略的源地址数组中是否包含所述目标源地址、目的地址数组中是否包含所述目标目的地址且服务数组中是否包含所述目标服务数据,若是,则执行步骤105,若否,则返回步骤103;
在步骤104中,需要分别对获取的所述防火墙策略的源地址数组、目标地址数组以及服务数组进行判断,具体为判断源地址数组中是否包含所述目标源地址、目的地址数组中是否包含所述目标目的地址且服务数组中是否包含所述目标服务数据,只有在上述三个判断均为是时,才表明获取的所述防火墙策略符合查询条件,此时即执行步骤105,否则,上述三个判断只要有至少一个判断为否,就说明获取的所述防火墙策略不符合查询条件,此时则返回步骤103重新获取一个新的防火墙策略进行判断;
步骤105、将获取的所述防火墙策略保存至查询结果集;其中查询结果集即为存储获取的所述防火墙策略的集合,所述查询结果集的具体形式可以为数据库等;
步骤106、判断获取的所述防火墙策略是否为所述防火墙策略信息库中的最后一条防火墙策略,若是,则说明所述防火墙策略信息库中的每个防火墙策略均已被获取和查询一遍,此时执行步骤107,若否,则说明所述防火墙策略信息库中还有未被获取和查询的防火墙策略,此时则返回步骤103;
步骤107、返回并输出所述查询结果集。
本发明实现了在多台防火墙的情况下,对防火墙策略进行集中式统一化的查询操作,提供了统一的查询接口,降低了防火墙策略查询的工作量,提高了防火墙策略查询的效率。
如图2所示,本发明的防火墙策略的自动查询系统包括构建模块1、设置模块2、获取模块3、第一判断模块4、存储模块5、第二判断模块6以及输出模块7;
其中,所述构建模块1用于构建防火墙策略信息库,所述防火墙策略信息库中存储有多个防火墙策略,每个防火墙策略均包括源地址数组、目的地址数组以及服务数组;优选地还可以包括动作类型以及防火墙名称;
所述设置模块2用于设置查询条件,所述查询条件包括目标源地址、目标目的地址以及目标服务数据;
所述获取模块3用于按照设定顺序从所述防火墙策略信息库中获取一条防火墙策略;
所述第一判断模块4用于判断获取的所述防火墙策略的源地址数组中是否包含所述目标源地址、目的地址数组中是否包含所述目标目的地址且服务数组中是否包含所述目标服务数据,若是,则调用所述存储模块5,若否,则调用所述获取模块;
所述存储模块5用于将获取的所述防火墙策略保存至查询结果集;
所述第二判断模块6用于判断获取的所述防火墙策略是否为所述防火墙策略信息库中的最后一条防火墙策略,若是,则调用所述输出模块7,若否,则调用所述获取模块;
所述输出模块7用于输出所述查询结果集。
虽然以上描述了本发明的具体实施方式,但是本领域的技术人员应当理解,这些仅是举例说明,本发明的保护范围是由所附权利要求书限定的。本领域的技术人员在不背离本发明的原理和实质的前提下,可以对这些实施方式做出多种变更或修改,但这些变更和修改均落入本发明的保护范围。

Claims (4)

1.一种防火墙策略的自动查询方法,其特征在于,包括以下步骤:
S1、构建防火墙策略信息库,所述防火墙策略信息库中存储有多台防火墙的防火墙策略,每个防火墙策略均包括源地址数组、目的地址数组以及服务数组;
S2、设置查询条件,所述查询条件包括目标源地址、目标目的地址以及目标服务数据;
S3、按照设定顺序从所述防火墙策略信息库中获取一条防火墙策略;
S4、判断获取的所述防火墙策略的源地址数组中是否包含所述目标源地址、目的地址数组中是否包含所述目标目的地址且服务数组中是否包含所述目标服务数据,若是,则执行步骤S5,若否,则返回步骤S3
S5、将获取的所述防火墙策略保存至查询结果集;
S6、判断获取的所述防火墙策略是否为所述防火墙策略信息库中的最后一条防火墙策略,若是,则执行步骤S7,若否,则返回步骤S3
S7、输出所述查询结果集;
步骤S3中通过统一查询接口从所述防火墙策略信息库中获取防火墙策略。
2.如权利要求1所述的自动查询方法,其特征在于,步骤S1中,每个防火墙策略还包括动作类型以及防火墙名称。
3.一种防火墙策略的自动查询系统,其特征在于,包括:
构建模块,用于构建防火墙策略信息库,所述防火墙策略信息库中存储有多台防火墙的防火墙策略,每个防火墙策略均包括源地址数组、目的地址数组以及服务数组;
设置模块,用于设置查询条件,所述查询条件包括目标源地址、目标目的地址以及目标服务数据;
获取模块,用于按照设定顺序从所述防火墙策略信息库中获取一条防火墙策略;
第一判断模块,用于判断获取的所述防火墙策略的源地址数组中是否包含所述目标源地址、目的地址数组中是否包含所述目标目的地址且服务数组中是否包含所述目标服务数据,若是,则调用一存储模块,若否,则调用所述获取模块;
所述存储模块用于将获取的所述防火墙策略保存至查询结果集;
第二判断模块,用于判断获取的所述防火墙策略是否为所述防火墙策略信息库中的最后一条防火墙策略,若是,则调用一输出模块,若否,则调用所述获取模块;
所述输出模块用于输出所述查询结果集;
所述获取模块通过统一查询接口从所述防火墙策略信息库中获取防火墙策略。
4.如权利要求3所述的自动查询系统,其特征在于,每个防火墙策略还包括动作类型以及防火墙名称。
CN201610108935.0A 2016-02-26 2016-02-26 防火墙策略的自动查询方法及系统 Active CN105681327B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610108935.0A CN105681327B (zh) 2016-02-26 2016-02-26 防火墙策略的自动查询方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610108935.0A CN105681327B (zh) 2016-02-26 2016-02-26 防火墙策略的自动查询方法及系统

Publications (2)

Publication Number Publication Date
CN105681327A CN105681327A (zh) 2016-06-15
CN105681327B true CN105681327B (zh) 2019-05-31

Family

ID=56305159

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610108935.0A Active CN105681327B (zh) 2016-02-26 2016-02-26 防火墙策略的自动查询方法及系统

Country Status (1)

Country Link
CN (1) CN105681327B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105871930A (zh) * 2016-06-21 2016-08-17 上海携程商务有限公司 基于应用的防火墙安全策略的自适应配置方法及系统
CN105959331B (zh) * 2016-07-19 2019-03-12 上海携程商务有限公司 防火墙策略的优化方法及装置
CN111193744B (zh) * 2019-12-31 2022-03-15 中信百信银行股份有限公司 防火墙策略查询、弹性伸缩方法及系统、设备、存储介质

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101355415B (zh) * 2007-07-26 2010-12-01 万能 实现网络终端安全接入公共网络的方法和系统
CN101714997B (zh) * 2010-01-15 2012-11-28 中国工商银行股份有限公司 防火墙策略生成方法、装置及系统
CN103051629B (zh) * 2012-12-24 2017-02-08 华为技术有限公司 一种基于软件定义网络中数据处理的系统、方法和节点
CN104580078B (zh) * 2013-10-15 2018-04-17 北京神州泰岳软件股份有限公司 一种网络访问控制方法和系统
CN104954335A (zh) * 2014-03-27 2015-09-30 中国移动通信集团安徽有限公司 一种阻断高风险网络入侵的方法及系统

Also Published As

Publication number Publication date
CN105681327A (zh) 2016-06-15

Similar Documents

Publication Publication Date Title
US11755371B1 (en) Data intake and query system with distributed data acquisition, indexing and search
CN109376532A (zh) 基于elk日志采集分析的电力网络安全监测方法及系统
US20140157417A1 (en) Methods and systems for architecture-centric threat modeling, analysis and visualization
CN110334274A (zh) 信息推送方法、装置、计算机设备和存储介质
US10185771B2 (en) Method and system for scheduling web crawlers according to keyword search
CN105681327B (zh) 防火墙策略的自动查询方法及系统
CN105556554A (zh) 多个设备相关性
CN106982251B (zh) 基于移动设备的勘查项目野外工作数据上报方法及系统
CN107391092B (zh) 自动部署关联软件的方法和系统
CN109614433A (zh) 业务系统间数据血缘的识别方法、装置、设备及存储介质
CN106251114B (zh) 应用中实现审批的方法和装置
US20210201909A1 (en) Index suggestion engine for relational databases
CN105718307B (zh) 进程管理方法及进程管理装置
CN104184601B (zh) 用户在线时长的获取方法及装置
CN115794839B (zh) 基于Php+Mysql体系的数据归集方法、计算机设备及存储介质
CN105827649A (zh) 防火墙策略的自动生成方法及系统
CN103235918B (zh) 可信文件的收集方法及系统
CN105141699B (zh) 应用程序的控制方法及装置
CN116128231A (zh) 一种企业服务系统及搭建方法
CN112217657B (zh) 基于sd-wan系统的数据传输方法、数据处理方法、设备和介质
CN110611591B (zh) 一种网络拓扑建立方法及装置
CN106411638A (zh) 一种云监控系统中监控数据的处理方法及系统
US9917858B2 (en) Honey user
KR20210106896A (ko) 보안 통제 관리 시스템 및 그 방법
CN108833368A (zh) 一种网络空间漏洞归并平台系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant