CN108900543A - 管理防火墙规则的方法和装置 - Google Patents
管理防火墙规则的方法和装置 Download PDFInfo
- Publication number
- CN108900543A CN108900543A CN201810913034.8A CN201810913034A CN108900543A CN 108900543 A CN108900543 A CN 108900543A CN 201810913034 A CN201810913034 A CN 201810913034A CN 108900543 A CN108900543 A CN 108900543A
- Authority
- CN
- China
- Prior art keywords
- configuration item
- firewall rule
- content information
- request message
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种管理防火墙规则的方法和装置。所述方法包括:当接收到用户设置防火墙规则的请求消息后,根据所述请求消息,获取本地已存储的防火墙规则中配置项的内容信息;输出所述配置项的内容信息;记录所述用户对所述配置项中内容信息的选择结果;根据所述选择结果,生成新的防火墙规则。
Description
技术领域
本发明涉及信息处理领域,尤指一种管理防火墙规则的方法和装置。
背景技术
防火墙是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,是一种获取安全性方法的形象说法,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。
在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。其作为一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。
在设置防火墙规则时,目前规则的设置方式为手动录入协议、源/目的地址和源/目的端口,容易出错,且操作比较繁冗。
发明内容
为了解决上述技术问题,本发明提供了一种管理防火墙规则的方法和装置,提高防火墙规则的设置效率。
为了达到本发明目的,本发明提供了一种管理防火墙规则的方法,包括:
当接收到用户设置防火墙规则的请求消息后,根据所述请求消息,获取本地已存储的防火墙规则中配置项的内容信息;
输出所述配置项的内容信息;
记录所述用户对所述配置项中内容信息的选择结果;
根据所述选择结果,生成新的防火墙规则。
其中,所述方法还具有如下特点:所述防火墙规则中配置项包括对象组配置项和服务组配置项;其中:
对象组配置项包括名称和IP地址;
服务组配置项包括名称和协议;或者,源端口和目的端口中至少一个与名称和协议。
其中,所述方法还具有如下特点:所述根据所述请求消息,获取本地已存储的防火墙规则中配置项的内容信息之前,所述方法还包括:
将本地存储已存储的防火墙规则中的内容信息按照防火墙规则中的配置项进行分类,并将分类结果按照所述配置项进行分别保存。
其中,所述方法还具有如下特点:所述根据所述请求消息,获取本地已存储的防火墙规则中配置项的内容信息,包括:
获取应用所述请求消息创建的防火墙规则的对象的描述信息;
根据所述对象的描述信息,确定需获取的目标配置项;
从本地已存储的防火墙规则中,获取所述目标配置项的内容信息。
其中,所述方法还具有如下特点:所述根据所述选择结果,生成新的防火墙规则之后,所述方法还包括:
判断所述新的防火墙规则中各配置项的内容是否有本地未保存的内容;
如果有,则将该未记录的内容信息更新到对应的配置项的记录文件中。
一种管理防火墙规则的装置,包括:
获取模块,用于当接收到用户设置防火墙规则的请求消息后,根据所述请求消息,获取本地已存储的防火墙规则中配置项的内容信息;
输出模块,用于输出所述配置项的内容信息;
记录模块,用于记录所述用户对所述配置项中内容信息的选择结果;
生成模块,用于根据所述选择结果,生成新的防火墙规则。
其中,所述装置还具有如下特点:所述防火墙规则中配置项包括对象组配置项和服务组配置项;其中:
对象组配置项包括名称和IP地址;
服务组配置项包括名称和协议;或者,源端口和目的端口中至少一个与名称和协议。
其中,所述装置还具有如下特点:所述装置还包括:
存储模块,用于在获取本地已存储的防火墙规则中配置项的内容信息之前,将本地存储已存储的防火墙规则中的内容信息按照防火墙规则中的配置项进行分类,并将分类结果按照所述配置项进行分别保存。
其中,所述装置还具有如下特点:所述获取模块包括:
第一获取单元,用于获取应用所述请求消息创建的防火墙规则的对象的描述信息;
确定单元,用于根据所述对象的描述信息,确定需获取的目标配置项;
第二获取单元,用于从本地已存储的防火墙规则中,获取所述目标配置项的内容信息。
其中,所述装置还具有如下特点:所述装置还包括:
判断模块,用于在生成新的防火墙规则之后,判断所述新的防火墙规则中各配置项的内容是否有本地未保存的内容;
更新模块,用于如果有,则将该未记录的内容信息更新到对应的配置项的记录文件中。
本发明提供的实施例,当接收到用户设置防火墙规则的请求消息后,获取本地已存储的防火墙规则中配置项的内容信息,输出配置项的内容信息,供用户根据该内容信息进行选择,并记录所述用户对所述配置项中内容信息的选择结果,减少了手动输入的内容,再依照选择结果,生成新的防火墙规则,有效的复用了已录入数据,简化了操作,提升了用户体验。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明技术方案的进一步理解,并且构成说明书的一部分,与本申请的实施例一起用于解释本发明的技术方案,并不构成对本发明技术方案的限制。
图1为本发明提供的管理防火墙规则的方法的流程图;
图2为本发明提供的管理防火墙规则的装置的结构图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1为本发明提供的管理防火墙规则的方法的流程图。图1所示方法包括:
步骤101、当接收到用户设置防火墙规则的请求消息后,根据所述请求消息,获取本地已存储的防火墙规则中配置项的内容信息;
其中,请求消息可以为检测到用户点击规则设备选项等操作来检测。
为了方便配置项的管理,根据应用该防火墙规则的对象不同,分为对象组和服务组。其中:
一个对象组可以包含多个对象,每个对象包含名称和IP两个属性;
一个服务组可以包含多组服务,每个服务包含名称、协议、源端口和目的端口4个属性,其中,部分协议没有源端口和目的端口两个属性,如ICMP(Internet ControlMessage Protocol,Internet控制报文协议)。
其中,所述防火墙规则中配置项包括所述防火墙规则中配置项包括对象组配置项和服务组配置项;其中:
对象组配置项包括名称和IP地址;
服务组配置项包括名称和协议;或者,源端口和目的端口中至少一个与名称和协议。
在配置对象组合服务组后,在接收到创建防火墙规则的请求后,具体实现方式如下:
获取应用所述请求消息创建的防火墙规则的对象的描述信息;
根据所述对象的描述信息,确定需获取的目标配置项;
从本地已存储的防火墙规则中,获取所述目标配置项的内容信息。
具体的,根据请求设置的对象的描述信息,确定用户请求设置的是对象组或者服务组;根据确定结果,确定该组所需的目标配置项,进而获取对应配置项的内容信息。
在实际应用中,可以在创建规则页面,选择源地址、目的地址和服务组。其中,源地址和目的地址从对象组中选择,服务从服务组中选择。
当然,为了方便对各配置项的数据进行管理,所述根据所述请求消息,获取本地已存储的防火墙规则中配置项的内容信息之前,所述方法还包括:
将本地存储已存储的防火墙规则中的内容信息按照防火墙规则中的配置项进行分类,并将分类结果按照所述配置项进行分别保存。
例如,将对象组配置项中的名称信息和IP地址信息分开存储,方便内容的管理,为后续的内容读取和增加操作提供便利。
步骤102、输出所述配置项的内容信息;
在本步骤中,根据用户设置的配置项信息,可以依次显示该配置项已存储的内容信息,供用户选择。
步骤103、记录所述用户对所述配置项中内容信息的选择结果;
步骤104、根据所述选择结果,生成新的防火墙规则。
在本步骤中,用户还可以自行输入本地未记录的信息,完善该防火墙规则的设置。
由于在创建新的防火墙规则时,允许用户自行输入信息,为保证用户输入的信息还可以供其他用户在后续进一步使用,在根据所述选择结果,生成新的防火墙规则之后,所述方法还包括:
判断所述新的防火墙规则中各配置项的内容是否有本地未保存的内容;
如果有,则将该未记录的内容信息更新到对应的配置项的记录文件中。
其中,判断操作可以通过本次创建的防火墙规则中的哪些配置项内容是通过用户手动输入的,将用户手动输入的内容增加到该内容对应的配置项的记录文件中。
由上可以看出,本发明引入对象服务组的概念,对象服务组中包含了协议、源/目的地址和源/目的端口。创建规则时只需要选择相应的对象服务组即可。这样达到了数据的复用,不需要每次创建规则都把协议、源/目的地址和源/目的端口再输一遍。利用对象服务组将协议、源/目的地址和源/目的端口这些可能会重复使用的数据保存下来,然后创建防火墙规则的时候选择相应的对象服务组,从而完成防火墙规则的创建。
本发明提供的方法实施例,当接收到用户设置防火墙规则的请求消息后,获取本地已存储的防火墙规则中配置项的内容信息,输出配置项的内容信息,供用户根据该内容信息进行选择,并记录所述用户对所述配置项中内容信息的选择结果,减少了手动输入的内容,再依照选择结果,生成新的防火墙规则,有效的复用了已录入数据,简化了操作,提升了用户体验。
图2为本发明提供的管理防火墙规则的装置的结构图。图2所示装置包括:
获取模块201,用于当接收到用户设置防火墙规则的请求消息后,根据所述请求消息,获取本地已存储的防火墙规则中配置项的内容信息;
输出模块202,用于输出所述配置项的内容信息;
记录模块203,用于记录所述用户对所述配置项中内容信息的选择结果;
生成模块204,用于根据所述选择结果,生成新的防火墙规则。
在本发明提供的一个装置实施例中,所述防火墙规则中配置项包括源地址信息、目的地址信息、源端口信息、目的端口信息和通信协议中的至少一个。
在本发明提供的一个装置实施例中,所述装置还包括:
存储模块,用于在获取本地已存储的防火墙规则中配置项的内容信息之前,将本地存储已存储的防火墙规则中的内容信息按照防火墙规则中的配置项进行分类,并将分类结果按照所述配置项进行分别保存。
在本发明提供的一个装置实施例中,所述获取模块201包括:
第一获取单元,用于获取应用所述请求消息创建的防火墙规则的对象的描述信息;
确定单元,用于根据所述对象的描述信息,确定需获取的目标配置项;
第二获取单元,用于从本地已存储的防火墙规则中,获取所述目标配置项的内容信息。
在本发明提供的一个装置实施例中,所述装置还包括:
判断模块,用于在生成新的防火墙规则之后,判断所述新的防火墙规则中各配置项的内容是否有本地未保存的内容;
更新模块,用于如果有,则将该未记录的内容信息更新到对应的配置项的记录文件中。
本发明提供的装置实施例,当接收到用户设置防火墙规则的请求消息后,获取本地已存储的防火墙规则中配置项的内容信息,输出配置项的内容信息,供用户根据该内容信息进行选择,并记录所述用户对所述配置项中内容信息的选择结果,减少了手动输入的内容,再依照选择结果,生成新的防火墙规则,有效的复用了已录入数据,简化了操作,提升了用户体验。
本领域普通技术人员可以理解上述实施例的全部或部分步骤可以使用计算机程序流程来实现,所述计算机程序可以存储于一计算机可读存储介质中,所述计算机程序在相应的硬件平台上(如系统、设备、装置、器件等)执行,在执行时,包括方法实施例的步骤之一或其组合。
可选地,上述实施例的全部或部分步骤也可以使用集成电路来实现,这些步骤可以被分别制作成一个个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
上述实施例中的各装置/功能模块/功能单元可以采用通用的计算装置来实现,它们可以集中在单个的计算装置上,也可以分布在多个计算装置所组成的网络上。
上述实施例中的各装置/功能模块/功能单元以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。上述提到的计算机可读取存储介质可以是只读存储器,磁盘或光盘等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求所述的保护范围为准。
Claims (10)
1.一种管理防火墙规则的方法,其特征在于,包括:
当接收到用户设置防火墙规则的请求消息后,根据所述请求消息,获取本地已存储的防火墙规则中配置项的内容信息;
输出所述配置项的内容信息;
记录所述用户对所述配置项中内容信息的选择结果;
根据所述选择结果,生成新的防火墙规则。
2.根据权利要求1所述的方法,其特征在于:
所述防火墙规则中配置项包括对象组配置项和服务组配置项;其中:
对象组配置项包括名称和IP地址;
服务组配置项包括名称和协议;或者,源端口和目的端口中至少一个与名称和协议。
3.根据权利要求1所述的方法,其特征在于,所述根据所述请求消息,获取本地已存储的防火墙规则中配置项的内容信息之前,所述方法还包括:
将本地存储已存储的防火墙规则中的内容信息按照防火墙规则中的配置项进行分类,并将分类结果按照所述配置项进行分别保存。
4.根据权利要求1至3任一所述的方法,其特征在于,所述根据所述请求消息,获取本地已存储的防火墙规则中配置项的内容信息,包括:
获取应用所述请求消息创建的防火墙规则的对象的描述信息;
根据所述对象的描述信息,确定需获取的目标配置项;
从本地已存储的防火墙规则中,获取所述目标配置项的内容信息。
5.根据权利要求3所述的方法,其特征在于,所述根据所述选择结果,生成新的防火墙规则之后,所述方法还包括:
判断所述新的防火墙规则中各配置项的内容是否有本地未保存的内容;
如果有,则将该未记录的内容信息更新到对应的配置项的记录文件中。
6.一种管理防火墙规则的装置,其特征在于,包括:
获取模块,用于当接收到用户设置防火墙规则的请求消息后,根据所述请求消息,获取本地已存储的防火墙规则中配置项的内容信息;
输出模块,用于输出所述配置项的内容信息;
记录模块,用于记录所述用户对所述配置项中内容信息的选择结果;
生成模块,用于根据所述选择结果,生成新的防火墙规则。
7.根据权利要求6所述的装置,其特征在于:
所述防火墙规则中配置项包括对象组配置项和服务组配置项;其中:
对象组配置项包括名称和IP地址;
服务组配置项包括名称和协议;或者,源端口和目的端口中至少一个与名称和协议。
8.根据权利要求6所述的装置,其特征在于,所述装置还包括:
存储模块,用于在获取本地已存储的防火墙规则中配置项的内容信息之前,将本地存储已存储的防火墙规则中的内容信息按照防火墙规则中的配置项进行分类,并将分类结果按照所述配置项进行分别保存。
9.根据权利要求6至8任一所述的装置,其特征在于,所述获取模块包括:
第一获取单元,用于获取应用所述请求消息创建的防火墙规则的对象的描述信息;
确定单元,用于根据所述对象的描述信息,确定需获取的目标配置项;
第二获取单元,用于从本地已存储的防火墙规则中,获取所述目标配置项的内容信息。
10.根据权利要求8所述的装置,其特征在于,所述装置还包括:
判断模块,用于在生成新的防火墙规则之后,判断所述新的防火墙规则中各配置项的内容是否有本地未保存的内容;
更新模块,用于如果有,则将该未记录的内容信息更新到对应的配置项的记录文件中。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810913034.8A CN108900543A (zh) | 2018-08-13 | 2018-08-13 | 管理防火墙规则的方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810913034.8A CN108900543A (zh) | 2018-08-13 | 2018-08-13 | 管理防火墙规则的方法和装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108900543A true CN108900543A (zh) | 2018-11-27 |
Family
ID=64354875
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810913034.8A Pending CN108900543A (zh) | 2018-08-13 | 2018-08-13 | 管理防火墙规则的方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108900543A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110336834A (zh) * | 2019-07-31 | 2019-10-15 | 中国工商银行股份有限公司 | 用于防火墙策略的处理方法和装置 |
CN112217773A (zh) * | 2019-07-11 | 2021-01-12 | 中移(苏州)软件技术有限公司 | 一种防火墙规则处理方法、装置及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101753369A (zh) * | 2008-12-03 | 2010-06-23 | 北京天融信网络安全技术有限公司 | 一种检测防火墙规则冲突的方法及装置 |
US20130117837A1 (en) * | 2008-08-20 | 2013-05-09 | Juniper Networks, Inc. | Fast update filter |
CN105635108A (zh) * | 2014-11-26 | 2016-06-01 | 洛克威尔自动控制技术股份有限公司 | 具有应用包分类器的防火墙 |
CN105871930A (zh) * | 2016-06-21 | 2016-08-17 | 上海携程商务有限公司 | 基于应用的防火墙安全策略的自适应配置方法及系统 |
CN106506559A (zh) * | 2016-12-29 | 2017-03-15 | 北京奇虎科技有限公司 | 访问行为控制方法及装置 |
-
2018
- 2018-08-13 CN CN201810913034.8A patent/CN108900543A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130117837A1 (en) * | 2008-08-20 | 2013-05-09 | Juniper Networks, Inc. | Fast update filter |
CN101753369A (zh) * | 2008-12-03 | 2010-06-23 | 北京天融信网络安全技术有限公司 | 一种检测防火墙规则冲突的方法及装置 |
CN105635108A (zh) * | 2014-11-26 | 2016-06-01 | 洛克威尔自动控制技术股份有限公司 | 具有应用包分类器的防火墙 |
CN105871930A (zh) * | 2016-06-21 | 2016-08-17 | 上海携程商务有限公司 | 基于应用的防火墙安全策略的自适应配置方法及系统 |
CN106506559A (zh) * | 2016-12-29 | 2017-03-15 | 北京奇虎科技有限公司 | 访问行为控制方法及装置 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112217773A (zh) * | 2019-07-11 | 2021-01-12 | 中移(苏州)软件技术有限公司 | 一种防火墙规则处理方法、装置及存储介质 |
CN112217773B (zh) * | 2019-07-11 | 2022-07-01 | 中移(苏州)软件技术有限公司 | 一种防火墙规则处理方法、装置及存储介质 |
CN110336834A (zh) * | 2019-07-31 | 2019-10-15 | 中国工商银行股份有限公司 | 用于防火墙策略的处理方法和装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9769210B2 (en) | Classification of security policies across multiple security products | |
US10116702B2 (en) | Security policy unification across different security products | |
US9680875B2 (en) | Security policy unification across different security products | |
CN1972297B (zh) | 用于基于策略的内容过滤的计算机系统与方法 | |
CN100384191C (zh) | 基于策略的网络体系结构 | |
US8789140B2 (en) | System and method for interfacing with heterogeneous network data gathering tools | |
EP1639781B1 (en) | Security checking program for communication between networks | |
EP3449598B1 (en) | A data driven orchestrated network with installation control using a light weight distributed controller | |
US9571524B2 (en) | Creation of security policy templates and security policies based on the templates | |
CN105684391A (zh) | 基于标签的访问控制规则的自动生成 | |
CN104506351B (zh) | 在线全自动配置合规性安全审计方法及系统 | |
CN110661670A (zh) | 一种网络设备配置管理方法及装置 | |
US9521167B2 (en) | Generalized security policy user interface | |
CN106844489A (zh) | 一种文件操作方法、装置以及系统 | |
CN105847307A (zh) | 一体化运维方法及系统 | |
CN108900543A (zh) | 管理防火墙规则的方法和装置 | |
US10511493B1 (en) | Apparatus and method for managing digital identities | |
Al-Fedaghi et al. | Network architecture as a thinging machine | |
CN107517121A (zh) | 设备配置方法及装置 | |
CN102197363B (zh) | 用于选择和配置默认存储区的设备及对应方法 | |
US11470083B2 (en) | Device integration for a network access control server based on device mappings and testing verification | |
Cisco | Populating the Network Topology Tree | |
Rivera et al. | Polanco: Enforcing natural language network policies | |
EP3866040A1 (en) | Security policy unification across different security products | |
US10873607B1 (en) | Logical network abstraction for network access control |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20181127 |