CN105827649A - 防火墙策略的自动生成方法及系统 - Google Patents

防火墙策略的自动生成方法及系统 Download PDF

Info

Publication number
CN105827649A
CN105827649A CN201610338212.XA CN201610338212A CN105827649A CN 105827649 A CN105827649 A CN 105827649A CN 201610338212 A CN201610338212 A CN 201610338212A CN 105827649 A CN105827649 A CN 105827649A
Authority
CN
China
Prior art keywords
firewall
policy
fire wall
firewall policy
reservation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610338212.XA
Other languages
English (en)
Inventor
吴善鹏
郑晨
田国华
雷兵
朱志博
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Ctrip Business Co Ltd
Original Assignee
Shanghai Ctrip Business Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Ctrip Business Co Ltd filed Critical Shanghai Ctrip Business Co Ltd
Priority to CN201610338212.XA priority Critical patent/CN105827649A/zh
Publication of CN105827649A publication Critical patent/CN105827649A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种防火墙策略的自动生成方法及系统,方法包括:S1、获取策略申请信息,包括源地址、目的地址以及策略协议;S2、根据所述源地址及所述目的地址确定防火墙路径;S3、在所述防火墙路径的每个防火墙上查询是否已包含符合所述策略协议的防火墙策略,若是,则将所述防火墙从所述防火墙路径中删除,若否,则保留所述防火墙;S4、对于每个保留的防火墙,根据所述保留的防火墙的品牌生成对应的防火墙策略新建工艺;S5、根据生成的防火墙策略新建工艺调用与所述保留的防火墙的品牌对应的策略写入方法,将防火墙策略写入所述保留的防火墙中。本发明提高了防火墙管理和策略生成的效率,降低了策略生成的工作量。

Description

防火墙策略的自动生成方法及系统
技术领域
本发明涉及一种网络安全领域,特别是涉及一种防火墙策略的自动生成方法及系统。
背景技术
随着互联网技术的不断发展,在线网站的规模越来越大,防火墙作为网站的安全屏障,被大量的使用。随着防火墙数量和防火墙的品牌的增加,当网络安全工程师添加新的安全策略时,需要考虑在哪些防火墙上配置策略以及配置策略时的操作工艺。这样使得安全工程师的工作量成倍的增长并且增加了认为操作错误的可能性。现有的策略生成方法,主要是通过人工登录每台防火墙的管理界面进行操作,这样繁琐的操作方法,使得安全工程师的工作效率非常低下,策略配置时效性较差,增加了需求方的等待时长,同时也增加了出错的概率。
发明内容
本发明要解决的技术问题是为了克服现有技术中防火墙策略的生成需要通过人工登录每台防火墙的管理界面进行操作,导致工作效率低下、策略配置时效性差、增加了等待时长和出错概率的缺陷,提供一种防火墙策略的自动生成方法及系统。
本发明是通过下述技术方案来解决上述技术问题的:
本发明提供了一种防火墙策略的自动生成方法,其特点在于,包括以下步骤:
S1、获取策略申请信息,包括源地址、目的地址以及策略协议;
S2、根据所述源地址及所述目的地址确定防火墙路径;
S3、在所述防火墙路径的每个防火墙上查询是否已包含符合所述策略协议的防火墙策略,若是,则将所述防火墙从所述防火墙路径中删除,若否,则保留所述防火墙;
S4、对于每个保留的防火墙,根据所述保留的防火墙的品牌生成对应的防火墙策略新建工艺;
S5、根据生成的防火墙策略新建工艺调用与所述保留的防火墙的品牌对应的策略写入方法,将防火墙策略写入所述保留的防火墙中。
较佳地,步骤S5之后还包括:
S6、将写入所述保留的防火墙中的防火墙策略更新至防火墙策略信息库中。
较佳地,步骤S1中所述策略申请信息还包括端口。
本发明的目的在于还提供了一种防火墙策略的自动生成系统,其特点在于,包括:
信息获取模块,用于获取策略申请信息,包括源地址、目的地址以及策略协议;
路径确定模块,用于根据所述源地址及所述目的地址确定防火墙路径;
策略查询模块,用于在所述防火墙路径的每个防火墙上查询是否已包含符合所述策略协议的防火墙策略,若是,则将所述防火墙从所述防火墙路径中删除,若否,则保留所述防火墙;
工艺生成模块,用于对于每个保留的防火墙,根据所述保留的防火墙的品牌生成对应的防火墙策略新建工艺;
策略写入模块,用于根据生成的防火墙策略新建工艺调用与所述保留的防火墙的品牌对应的策略写入方法,将防火墙策略写入所述保留的防火墙中。
较佳地,所述自动生成系统还包括策略更新模块,用于将写入所述保留的防火墙中的防火墙策略更新至防火墙策略信息库中。
较佳地,所述策略申请信息还包括端口。
本发明的积极进步效果在于:本发明适用于大型网络环境中,在多台防火墙的情况下,对多种品牌的防火墙实现对应防火墙策略的生成和写入,对防火墙策略的生成进行集中式统一化的操作和管理,为防火墙策略生成工作提供了统一的接口,提高了防火墙管理和策略生成的效率,降低了策略生成的工作量,并且建立了标准化的策略生成模板,提高了策略生成的准确性。
附图说明
图1为本发明的较佳实施例的防火墙策略的自动生成方法的流程图。
图2为本发明的较佳实施例的防火墙策略的自动生成系统的模块示意图。
具体实施方式
下面通过实施例的方式进一步说明本发明,但并不因此将本发明限制在所述的实施例范围之中。
如图1所示,本发明的防火墙策略的自动生成方法包括以下步骤:
步骤101、获取策略申请信息,包括源地址(src_ip)、目的地址(dst_ip)、策略协议(protocol)以及端口(port);
步骤102、根据所述源地址(src_ip)及所述目的地址(dst_ip)确定防火墙路径;
具体可确定多个防火墙路径(firewall_1、firewall_2…),主要采取的方法是,利用路由匹配中的最长匹配方法,查询防火墙中的静态路由信息,来获得策略申请信息中的原地址和目的地址是否经过此防火墙,从而确定防火墙路径;
步骤103、在所述防火墙路径的每个防火墙上查询是否已包含符合所述策略协议的防火墙策略,若是,则将所述防火墙从所述防火墙路径中删除,若否,则保留所述防火墙;最后生成需要添加防火墙策略的防火墙路径,即由所有保留的防火墙组成;
步骤104、对于每个保留的防火墙,根据所述保留的防火墙的品牌生成对应的防火墙策略新建工艺;
具体可以遍历需要添加防火墙策略的防火墙路径中的每个防火墙,根据每个防火墙的品牌选择不同的策略工艺模板,生成与保留的防火墙的品牌相对应的防火墙策略新建工艺;
步骤105、根据生成的防火墙策略新建工艺调用与所述保留的防火墙的品牌对应的策略写入方法,将防火墙策略写入所述保留的防火墙中。
即对应不同品牌的防火墙,对应调用不同的策略写入方法,将防火墙策略写入每一个防火墙中。
步骤106、将写入所述保留的防火墙中的防火墙策略更新至防火墙策略信息库中。这样就使得防火墙策略信息库里的防火墙策略一直处于最新状态,使得防火墙策略的查询可以查到最新添加和更新的防火墙策略。
如图2所示,本发明的防火墙策略的自动生成系统包括信息获取模块1、路径确定模块2、策略查询模块3、工艺生成模块4、策略写入模块5以及策略更新模块6。
其中,所述信息获取模块1用于获取策略申请信息,包括源地址、目的地址、策略协议以及端口;所述路径确定模块2用于根据所述源地址及所述目的地址确定防火墙路径;具体可以使用匹配路由中的最长匹配方法,查询防火墙中的静态路由信息,来获得策略申请信息中的源地址和目的地址是否经过此防火墙;所述策略查询模块3用于在所述防火墙路径的每个防火墙上查询是否已包含符合所述策略协议的防火墙策略,若是,则将所述防火墙从所述防火墙路径中删除,若否,则保留所述防火墙;所述工艺生成模块4用于对于每个保留的防火墙,根据所述保留的防火墙的品牌生成对应的防火墙策略新建工艺;所述策略写入模块5用于根据生成的防火墙策略新建工艺调用与所述保留的防火墙的品牌对应的策略写入方法,将防火墙策略写入所述保留的防火墙中,使得防火墙策略生效,所述策略更新模块6用于将写入所述保留的防火墙中的防火墙策略更新至防火墙策略信息库中。
虽然以上描述了本发明的具体实施方式,但是本领域的技术人员应当理解,这些仅是举例说明,本发明的保护范围是由所附权利要求书限定的。本领域的技术人员在不背离本发明的原理和实质的前提下,可以对这些实施方式做出多种变更或修改,但这些变更和修改均落入本发明的保护范围。

Claims (6)

1.一种防火墙策略的自动生成方法,其特征在于,包括以下步骤:
S1、获取策略申请信息,包括源地址、目的地址以及策略协议;
S2、根据所述源地址及所述目的地址确定防火墙路径;
S3、在所述防火墙路径的每个防火墙上查询是否已包含符合所述策略协议的防火墙策略,若是,则将所述防火墙从所述防火墙路径中删除,若否,则保留所述防火墙;
S4、对于每个保留的防火墙,根据所述保留的防火墙的品牌生成对应的防火墙策略新建工艺;
S5、根据生成的防火墙策略新建工艺调用与所述保留的防火墙的品牌对应的策略写入方法,将防火墙策略写入所述保留的防火墙中。
2.如权利要求1所述的自动生成方法,其特征在于,步骤S5之后还包括:
S6、将写入所述保留的防火墙中的防火墙策略更新至防火墙策略信息库中。
3.如权利要求1所述的自动生成方法,其特征在于,步骤S1中所述策略申请信息还包括端口。
4.一种防火墙策略的自动生成系统,其特征在于,包括:
信息获取模块,用于获取策略申请信息,包括源地址、目的地址以及策略协议;
路径确定模块,用于根据所述源地址及所述目的地址确定防火墙路径;
策略查询模块,用于在所述防火墙路径的每个防火墙上查询是否已包含符合所述策略协议的防火墙策略,若是,则将所述防火墙从所述防火墙路径中删除,若否,则保留所述防火墙;
工艺生成模块,用于对于每个保留的防火墙,根据所述保留的防火墙的品牌生成对应的防火墙策略新建工艺;
策略写入模块,用于根据生成的防火墙策略新建工艺调用与所述保留的防火墙的品牌对应的策略写入方法,将防火墙策略写入所述保留的防火墙中。
5.如权利要求4所述的自动生成系统,其特征在于,所述自动生成系统还包括策略更新模块,用于将写入所述保留的防火墙中的防火墙策略更新至防火墙策略信息库中。
6.如权利要求4所述的自动生成系统,其特征在于,所述策略申请信息还包括端口。
CN201610338212.XA 2016-05-19 2016-05-19 防火墙策略的自动生成方法及系统 Pending CN105827649A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610338212.XA CN105827649A (zh) 2016-05-19 2016-05-19 防火墙策略的自动生成方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610338212.XA CN105827649A (zh) 2016-05-19 2016-05-19 防火墙策略的自动生成方法及系统

Publications (1)

Publication Number Publication Date
CN105827649A true CN105827649A (zh) 2016-08-03

Family

ID=56530168

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610338212.XA Pending CN105827649A (zh) 2016-05-19 2016-05-19 防火墙策略的自动生成方法及系统

Country Status (1)

Country Link
CN (1) CN105827649A (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108092979A (zh) * 2017-12-20 2018-05-29 国家电网公司 一种防火墙策略处理方法及装置
CN109600368A (zh) * 2018-12-07 2019-04-09 中盈优创资讯科技有限公司 一种确定防火墙策略的方法及装置
CN110430206A (zh) * 2019-08-13 2019-11-08 上海新炬网络技术有限公司 基于脚本模板化生成配置防火墙安全策略的方法
CN111193744A (zh) * 2019-12-31 2020-05-22 中信百信银行股份有限公司 防火墙策略查询、弹性伸缩方法及系统、设备、存储介质
CN111277586A (zh) * 2020-01-17 2020-06-12 武汉思普崚技术有限公司 一种防火墙安全策略的调整方法及装置
CN112839045A (zh) * 2021-01-14 2021-05-25 中盈优创资讯科技有限公司 对策略进行编排的实现方法及装置

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101714997A (zh) * 2010-01-15 2010-05-26 中国工商银行股份有限公司 防火墙策略生成方法、装置及系统
CN101771669A (zh) * 2008-12-30 2010-07-07 北京天融信网络安全技术有限公司 一种设置防火墙策略的方法和装置
CN201577106U (zh) * 2010-01-15 2010-09-08 中国工商银行股份有限公司 防火墙策略生成装置及系统
CN103023707A (zh) * 2012-12-28 2013-04-03 华为技术有限公司 一种策略配置的方法、管理服务器以及网络系统
US20130097692A1 (en) * 2011-10-17 2013-04-18 Mcafee, Inc. System and method for host-initiated firewall discovery in a network environment
CN104580078A (zh) * 2013-10-15 2015-04-29 北京神州泰岳软件股份有限公司 一种网络访问控制方法和系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101771669A (zh) * 2008-12-30 2010-07-07 北京天融信网络安全技术有限公司 一种设置防火墙策略的方法和装置
CN101714997A (zh) * 2010-01-15 2010-05-26 中国工商银行股份有限公司 防火墙策略生成方法、装置及系统
CN201577106U (zh) * 2010-01-15 2010-09-08 中国工商银行股份有限公司 防火墙策略生成装置及系统
US20130097692A1 (en) * 2011-10-17 2013-04-18 Mcafee, Inc. System and method for host-initiated firewall discovery in a network environment
CN103023707A (zh) * 2012-12-28 2013-04-03 华为技术有限公司 一种策略配置的方法、管理服务器以及网络系统
CN104580078A (zh) * 2013-10-15 2015-04-29 北京神州泰岳软件股份有限公司 一种网络访问控制方法和系统

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108092979A (zh) * 2017-12-20 2018-05-29 国家电网公司 一种防火墙策略处理方法及装置
CN109600368A (zh) * 2018-12-07 2019-04-09 中盈优创资讯科技有限公司 一种确定防火墙策略的方法及装置
CN109600368B (zh) * 2018-12-07 2021-04-13 中盈优创资讯科技有限公司 一种确定防火墙策略的方法及装置
CN110430206A (zh) * 2019-08-13 2019-11-08 上海新炬网络技术有限公司 基于脚本模板化生成配置防火墙安全策略的方法
CN110430206B (zh) * 2019-08-13 2022-03-01 上海新炬网络技术有限公司 基于脚本模板化生成配置防火墙安全策略的方法
CN111193744A (zh) * 2019-12-31 2020-05-22 中信百信银行股份有限公司 防火墙策略查询、弹性伸缩方法及系统、设备、存储介质
CN111193744B (zh) * 2019-12-31 2022-03-15 中信百信银行股份有限公司 防火墙策略查询、弹性伸缩方法及系统、设备、存储介质
CN111277586A (zh) * 2020-01-17 2020-06-12 武汉思普崚技术有限公司 一种防火墙安全策略的调整方法及装置
CN112839045A (zh) * 2021-01-14 2021-05-25 中盈优创资讯科技有限公司 对策略进行编排的实现方法及装置

Similar Documents

Publication Publication Date Title
CN105827649A (zh) 防火墙策略的自动生成方法及系统
US11102113B2 (en) Mapping of internet protocol addresses in a multi-cloud computing environment
US10331697B2 (en) Synchronization of data between systems
US10958723B2 (en) Cloud-end data multicast method and system, and computer device
CN111158384B (zh) 机器人建图方法、设备及存储介质
US20140067452A1 (en) Intelligent work management based on satellite navigation system data and network node data
AU2011349613B2 (en) Generating maps of private spaces using mobile computing device sensors
CN102831167B (zh) 图结构的xml处理方法及装置
WO2017215378A1 (zh) 软件定义网络、节点、路径计算方法、装置及存储介质
CN106790131B (zh) 一种参数修改方法、装置及分布式平台
CN103780686A (zh) 一种云组织内自定义申请审批流程的方法及系统
US20150347555A1 (en) Waterwheel sharding
CN105141702A (zh) 一种基于模型的混合云构造方法
US9996576B2 (en) Updating progression of performing computer system maintenance
CN105591872B (zh) 一种实现多数据中心互联的方法和装置
CN105681327B (zh) 防火墙策略的自动查询方法及系统
US8855015B2 (en) Techniques for generic pruning in a trill network
CN105765922A (zh) 流表项处理方法和装置
US11294959B2 (en) Data filtering and mining using multiple-level, composite-attribute tree-node diagrams
CN111259018A (zh) 生效验证方法、装置、电子设备及存储介质
US11876875B2 (en) Scalable fine-grained resource count metrics for cloud-based data catalog service
CN102316175B (zh) 全网中vsan与vlan映射关系的管理方法和装置
CN115695165A (zh) 一种防火墙自动运维方法、系统、电子设备及存储介质
CN105978881B (zh) ip地址所经过的防火墙的查询方法及系统
WO2016183732A1 (zh) 一种数据包转发方法和网络设备

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20160803