CN109361711A - 防火墙配置方法、装置、电子设备及计算机可读介质 - Google Patents
防火墙配置方法、装置、电子设备及计算机可读介质 Download PDFInfo
- Publication number
- CN109361711A CN109361711A CN201811535254.8A CN201811535254A CN109361711A CN 109361711 A CN109361711 A CN 109361711A CN 201811535254 A CN201811535254 A CN 201811535254A CN 109361711 A CN109361711 A CN 109361711A
- Authority
- CN
- China
- Prior art keywords
- configuration
- port
- firewall
- mark
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1036—Load balancing of requests to servers for services different from user content provisioning, e.g. load balancing across domain name servers
Abstract
本公开涉及一种防火墙配置方法、装置、电子设备及计算机可读介质。该方法包括:将配置文件进行预处理以生成配置数据;根据预定规则由配置数据中依次提取端口地址、端口标识,以及访问逻辑;根据所述端口地址、所述端口标识,以及所述访问逻辑生成防火墙配置指令;以及根据配置指令自动进行防火墙配置。本公开涉及的防火墙配置方法、装置、电子设备及计算机可读介质,能够节约防火墙配置的时间成本,提升防火墙配置的效率,同时提高防火墙配置工作的可靠性。
Description
技术领域
本公开涉及计算机信息处理领域,具体而言,涉及一种防火墙配置方法、装置、电子设备及计算机可读介质。
背景技术
由于现在网络信息的发达,越来越多的企业选择开展网络办公处理服务和电商业务,随着网络数据的大量增加,企业经常选择在本公司内部网络和外部互联网之间部署边界防火墙,边界防火墙可用于对公司内部用户进行权限控制,边界防火墙还可用于对外部互联网中的病毒数据进行风险隔离,边界防火墙会经常接收到其他部门因业务发展带来的变更防火墙配置的需求。防火墙的管理员接到需求后,需要将用户的需求转化为防火墙配置命令,然后对防火墙的配置进行变更。
目前防火墙配置的技术手段主要为通过人工逐条进行配置,暂无自动化手段代替人工操作。现防火墙日常运维中采用web界面或命令行手工进行权限配置,有如下弊端:
防火墙配置的全过程都是人工完成,人工审核用户权限时间长,而且无法避免人工失误;防火墙配置时候占用的人工成本高,多为重复工作,时间长,效率低下,单靠人工操作,很难满足需求;用户需求的工单开通过程和结果记录通过手工记录,费时费力;同时,目前第三方机关机构为了监督方便,经常要求防火墙管理员将防火墙的开通过程进行日志记录,以满足日后审计,而通过人工记录的方式,会存在数据不准确或者数据篡改的弊端。
因此,需要一种新的防火墙配置方法、装置、电子设备及计算机可读介质。
在所述背景技术部分公开的上述信息仅用于加强对本公开的背景的理解,因此它可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
有鉴于此,本公开提供一种防火墙配置方法、装置、电子设备及计算机可读介质,能够节约防火墙配置的时间成本,提升防火墙配置的效率,同时提高防火墙配置工作的可靠性。
本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
根据本公开的一方面,提出一种防火墙配置方法,该方法包括:将配置文件进行预处理以生成配置数据;根据预定规则由配置数据中依次提取端口地址、端口标识,以及访问逻辑;根据所述端口地址、所述端口标识,以及所述访问逻辑生成防火墙配置指令;以及根据配置指令自动进行防火墙配置。
在本公开的一种示例性实施例中,将配置文件进行预处理以生成配置数据,包括:由工单文件中提取配置文件;解析所述所述配置文件的格式;以及在解析后的配置文件的格式正确时,通过所述配置文件生成配置数据。
在本公开的一种示例性实施例中,由工单文件中提取配置文件之前,还包括:实时监控所述工单文件的状态;以及在所述工单文件的状态变更时,获取所述工单文件。
在本公开的一种示例性实施例中,根据预定规则由配置数据中依次提取端口地址、端口标识,以及访问逻辑,包括:依次获取所述配置数据的标题行及对应的标题列;以及在标题行及对应的标题列中获取所述端口地址、所述端口标识,以及所述访问逻辑;其中,所述端口地址包括:本端口地址与目标端口地址;所述端口标识包括:本端口开放端口的标识与目标端口开放端口的标识、负载均衡端口标识;所述访问逻辑包括:申请访问方向与申请权限时长。
在本公开的一种示例性实施例中,根据所述端口地址、所述端口标识,以及所述访问逻辑生成防火墙配置指令,包括:判断所述端口地址是否满足预设规则;以及在满足所述预设规则时,根据所述端口地址的状态与所述端口标识、所述访问逻辑生成防火墙配置指令。
在本公开的一种示例性实施例中,判断所述所述端口地址是否满足预设规则,包括:判断所述端口地址是否为公网地址。
在本公开的一种示例性实施例中,还包括:记录所述防火墙配置的过程数据;以及根据所述过程数据更新所述工单文件。
根据本公开的一方面,提出一种防火墙配置装置,该装置包括:数据获取模块,用于将配置文件进行预处理以生成配置数据;数据提取模块,用于根据预定规则由配置数据中依次提取端口地址、端口标识,以及访问逻辑;指令模块,用于根据所述端口地址、所述端口标识,以及所述访问逻辑生成防火墙配置指令;以及配置模块,用于根据配置指令自动进行防火墙配置。
根据本公开的一方面,提出一种电子设备,该电子设备包括:一个或多个处理器;存储装置,用于存储一个或多个程序;当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现如上文的方法。
根据本公开的一方面,提出一种计算机可读介质,其上存储有计算机程序,该程序被处理器执行时实现如上文中的方法。
根据本公开的防火墙配置方法、装置、电子设备及计算机可读介质,根据预定规则由配置数据中依次提取端口地址、端口标识,以及访问逻辑;通过上述数据自动生成防火墙配置指令;以及根据配置指令自动进行防火墙配置能够节约防火墙配置的时间成本,提升防火墙配置的效率,同时提高防火墙配置工作的可靠性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本公开。
附图说明
通过参照附图详细描述其示例实施例,本公开的上述和其它目标、特征及优点将变得更加显而易见。下面描述的附图仅仅是本公开的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据一示例性实施例示出的一种防火墙配置方法及装置的系统框图。
图2是根据一示例性实施例示出的一种防火墙配置方法的流程图。
图3是根据另一示例性实施例示出的一种防火墙配置方法的示意图。
图4是根据另一示例性实施例示出的一种防火墙配置方法的流程图。
图5是根据另一示例性实施例示出的一种防火墙配置方法的流程图。
图6是根据一示例性实施例示出的一种防火墙配置装置的框图。
图7是根据另一示例性实施例示出的一种防火墙配置装置的框图。
图8是根据一示例性实施例示出的一种电子设备的框图。
图9是根据一示例性实施例示出一种计算机可读存储介质示意图。
具体实施方式
现在将参考附图更全面地描述示例实施例。然而,示例实施例能够以多种形式实施,且不应被理解为限于在此阐述的实施例;相反,提供这些实施例使得本公开将全面和完整,并将示例实施例的构思全面地传达给本领域的技术人员。在图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。
此外,所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中,提供许多具体细节从而给出对本公开的实施例的充分理解。然而,本领域技术人员将意识到,可以实践本公开的技术方案而没有特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知方法、装置、实现或者操作以避免模糊本公开的各方面。
附图中所示的方框图仅仅是功能实体,不一定必须与物理上独立的实体相对应。即,可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
附图中所示的流程图仅是示例性说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解,而有的操作/步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。
应理解,虽然本文中可能使用术语第一、第二、第三等来描述各种组件,但这些组件不应受这些术语限制。这些术语乃用以区分一组件与另一组件。因此,下文论述的第一组件可称为第二组件而不偏离本公开概念的教示。如本文中所使用,术语“及/或”包括相关联的列出项目中的任一个及一或多者的所有组合。
本领域技术人员可以理解,附图只是示例实施例的示意图,附图中的模块或流程并不一定是实施本公开所必须的,因此不能用于限制本公开的保护范围。
防火墙可视为一种IP封包过滤器,运作在底层的TCP/IP协议堆栈上。可以以枚举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙(病毒除外,防火墙不能防止病毒侵入)。这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。
在防火墙需求不断增加的情况下,目前技术,很难满足及时有效的满足防火墙配置需求。迫切需要一个自动化工具代替手工执行,可以实现快速,准确完成将工单系统中的需求转换成防火墙正确配置,并下发的到防火墙,完成防火墙权限开通。并有完整的日志记录及开通工单统计表。本公开就是基于以上的目的产生的。
下面结合具体的实施例,对本公开的详细内容进行描述:
图1是根据一示例性实施例示出的一种防火墙配置方法及装置的系统框图。
如图1所示,系统架构100可以包括终端设备101、102、防火墙103,网络104和服务器105。网络104用以在终端设备101、102、防火墙103,和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备101、102通过网络104与防火墙103,进行交互,防火墙对终端设备101、102的数据访问需求处理,并将终端设备101、102的数据访问需求发送给服务器105交互,以便终端设备101、102与服务器105之间接收或发送消息等。终端设备101、102上可以安装有各种通讯客户端应用,例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等。
终端设备101、102可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
防火墙103可以是路由器,也可以是个人主机、主系统和一批主系统,专门把网络或子网同那些可能被子网外的主系统滥用的协议和服务隔绝。防火墙系统通常位于等级较高的网关如网点与Internet的连接处,同时防火墙系统可以位于等级较低的网关,以便为某些数量较少的主系统或子网提供保护。
服务器105可以是提供各种服务的服务器,例如对用户利用终端设备101、102所访问的网络提供数据支持的后台服务器。服务器105可以对用户请求信息进行处理,并将处理结果反馈给防火墙103,由防火墙103再转发给终端设备101、102。
用户可通过终端设备101、102对防火墙103的执行规则进行配置,用户还可以通过其他系统对防火墙103的预留的专用接口对执行规则进行配置,本申请不以此为限。
终端设备101、102可例如将配置文件进行预处理以生成配置数据;终端设备101、102可例如根据预定规则由配置数据中依次提取端口地址、端口标识,以及访问逻辑;终端设备101、102可例如根据所述端口地址、所述端口标识,以及所述访问逻辑生成防火墙配置指令;以及终端设备101、102可例如根据配置指令自动进行防火墙配置。
终端设备101、102还可例如记录所述防火墙配置的过程数据;以及根据所述过程数据更新所述工单文件。
防火墙103可例如将配置文件进行预处理以生成配置数据;防火墙103可例如根据预定规则由配置数据中依次提取端口地址、端口标识,以及访问逻辑;防火墙103可例如根据所述端口地址、所述端口标识,以及所述访问逻辑生成防火墙配置指令;以及防火墙103可例如根据配置指令自动进行防火墙配置。
防火墙103还可例如记录所述防火墙配置的过程数据;以及根据所述过程数据更新所述工单文件。
终端设备101、102与防火墙103可以是一个实体的服务器,还可例如为多个服务器组成,需要说明的是,本公开实施例所提供的防火墙配置可以由终端设备101、102和/或防火墙103执行,相应地,防火墙配置装置可以设置于终端设备101、102和/或防火墙103中。而提供给用户进行提出网络浏览需求的请求端一般位于终端设备101、102中。
根据本公开的防火墙配置方法及装置,根据预定规则由配置数据中依次提取端口地址、端口标识,以及访问逻辑;通过上述数据自动生成防火墙配置指令;以及根据配置指令自动进行防火墙配置能够节约防火墙配置的时间成本,提升防火墙配置的效率,同时提高防火墙配置工作的可靠性。
图2是根据一示例性实施例示出的一种防火墙配置方法的流程图。防火墙配置方法20至少包括步骤S202至S208。
如图2所示,在S202中,将配置文件进行预处理以生成配置数据。其中,配置文件可例如为csv(Comma-Separated Values,逗号分隔值)格式文件。
图3是根据另一示例性实施例示出的一种防火墙配置方法的示意图如图3所示,工单文件可例如为CSV格式文件。其中,CSV格式文件以纯文本形式存储表格数据(数字和文本)。纯文本意味着该文件是一个字符序列,不含必须像二进制数字那样被解读的数据。CSV文件由任意数目的记录组成,记录间以某种换行符分隔;每条记录由字段组成,字段间的分隔符是其它字符或字符串,最常见的是逗号或制表符。通常,所有记录都有完全相同的字段序列。通常都是纯文本文件。CSV格式文件可使用WORDPAD或是记事本(NOTE)来开启,或者先另存新档后用EXCEL开启,也是方法之一。
在一个实施例中,将配置文件进行预处理以生成配置数据,可包括:由工单文件中提取配置文件;解析所述所述配置文件的格式;以及在解析后的配置文件的格式正确时,通过所述配置文件生成配置数据。其中,工单文件可为CSV格式文件,还可例如为其他形式的文件,可例如为EXCEL,TXT格式文件等等,本申请不以此为限。可例如通过工单文件中提取字符串生成CSV格式的配置文件。
在一个实施例中,当述配置文件为CSV格式时,可通过如下方式解析所述配置文件,生成配置数据:
通过pattern分割各字段,进而判断各个字段的格式是否正确,在各个字段的格式正确时,通过所述配置文件生成配置数据。
逐字符读取,在读取字符之后判断,各个字段的格式是否正确,在各个字段的格式正确时,通过所述配置文件生成配置数据。
在一个实施例中,由工单文件中提取配置文件之前,还包括:实时监控所述工单文件的状态;以及在所述工单文件的状态变更时,获取所述工单文件。可例如,业务需求部门通过工单系统提交防火墙开通需求并审批通过。用户可通过工单系统进行工单文件的更改,可实时检测工单系统中工单状态,如果工单状态的话,将工单标识符设置为key=1,此时代表工单系统中有新工单出现,可读取工单文件自动进行后续的处理。
在S204中,根据预定规则由配置数据中依次提取端口地址、端口标识,以及访问逻辑。其中,所述端口地址包括:本端口地址与目标端口地址;所述端口标识包括:本端口开放端口的标识与目标端口开放端口的标识、负载均衡端口标识;所述访问逻辑包括:申请访问方向与申请权限时长。
在一个实施例中,根据预定规则由配置数据中依次提取端口地址、端口标识,以及访问逻辑,包括:依次获取所述配置数据的标题行及对应的标题列;以及在标题行及对应的标题列中获取所述端口地址、所述端口标识,以及所述访问逻辑。
具体可例如:确认标题行及具体标题对应列的位置,标题可例如为:“本端IP地址”“对端IP地址”“对端TCP端口”“对端UDP端口”“负载均衡端口”“权限开放时长”。标题可例如还可包括:“申请原因及功能描述”,“其他”信息等。
还可例如:在读取信息时,通过行中的标志位判断是否为数据中一行的行末,在行末时,标识位tab为0,在tab不等于0时继续读取数据。
还可例如:根据标题位置,确定待读取的数据的位置,进而获取出文件中的网络权限具体信息:“本端IP地址”“对端IP地址”“对端TCP端口”“对端UDP端口”“负载均衡端口”“权限开放时长”。
在S206中,根据所述端口地址、所述端口标识,以及所述访问逻辑生成防火墙配置指令。可例如,判断所述端口地址是否满足预设规则;以及在满足所述预设规则时,根据所述端口地址的状态与所述端口标识、所述访问逻辑生成防火墙配置指令。
在一个实施例中,判断所述所述端口地址是否满足预设规则,包括:判断所述端口地址为公网地址时,是否满足第一预设规则;以及判断所述端口地址为内网地址时,是否满足第二预设规则。具体可例如,判断权限内容的有效性:可例如首先确定“本端IP地址”,“对端IP地址”对应的地址为公网ip,还是内网ip。
在一个实施例中,对端IP地址是公网ip,访问对端IP地址为内网ip,即为公网访问内网的情况,则防火墙命令为untrust访问trust;
在一个实施例中,对端IP地址是内网ip,访问对端IP地址也为内网ip,则是内网ip访问内网ip,则防火墙命令为trust访问trust;
在一个实施例中,对端IP地址是公网ip,访问对端IP地址也为公网ip,则是公网ip访问公网ip,则判定为无效规则,本条规则不需要进行防火墙配置。
在S208中,根据配置指令自动进行防火墙配置。根据所述端口地址的状态与所述端口标识、所述访问逻辑生成防火墙配置指令。防火墙配置指令可例如如下:
Set Security policies from-zone untrust rule 089 match source-address*.135.68.173
Set Security policies from-zone untrust rule 089 match destination-address*.76.164.29
Set Security policies from-zone untrust rule 089 match applicationjunos-http
Set Security policies from-zone untrust rule 089 match applicationjunos-ping
Set Security policies from-zone untrust rule 089 then permint
可将上述命令自动下发权限到防火墙,以自动进行防火墙配置。防火墙通过配置可以实现网络隔离和业务系统网络权限访问控制。
与当前费时、费力手工进行防火墙配置工作,本公开的防火墙配置方法可自动读取工单中的配置,自动转化和校验防火墙命令,并自动下发到防火墙并确保配置生效,有效提高处理效率,节约时间成本,效率提升率高于5倍,并随着单次策略数量增加,提升效率增加。
本公开的防火墙配置方法,还能够提高配置工作的可靠性,明显减少手工操作带来的问题和失误。同时具备自动记录开通工单过程及工单开通统计表,满足日后审计及监管机构检查,本发明很好的解决了提升防火墙配置工作效率的问题。
应清楚地理解,本公开描述了如何形成和使用特定示例,但本公开的原理不限于这些示例的任何细节。相反,基于本公开公开的内容的教导,这些原理能够应用于许多其它实施例。
图4是根据另一示例性实施例示出的一种防火墙配置方法的流程图。图4所示的防火墙配置方法40是对图2所示的流程的进一步的详细描述。
如图4所示,在S402中,检测到工单系统中工单状态更新。检测工单系统中工单状态,如果工单状态有更新,可例如key=1,代表有新工单出现,进行读取。
在S404中,读取工单。可依据“工单号”进行顺序读取。
在S406中,判断文件路径是否正确。文件路径例如为:“\home\工单号\”。
在S408中,读取文件。读取权限文件。
在S410中,解析文件格式并判断格式是否正确。判断文件格式是否正确,可例如是否为.csv格式。
在S412中,确定标题行、标题列。分析表格,确认标题行及具体标题对应列的位置:“本端IP地址”“对端IP地址”“对端TCP端口”“对端UDP端口”“负载均衡端口”“权限开放时长”“申请原因及功能描述”。
在S414中,判断是否为行末。可例如,tab不等于0时代表不为行末,可继续读取。
在S416中,获取配置数据。取出文件中的网络权限具体信息:“本端IP地址”“对端IP地址”“对端TCP端口”“对端UDP端口”“负载均衡端口”“权限开放时长”。
在S418中,判断端口地址是否满足预设规则。可例如通过判断“本端IP地址”,“对端IP地址”对应的数据,判断本端口与对端口是公网ip,还是内网ip。如是公网ip访问内网ip,则防火墙命令为untrust访问trust,如是内网ip访问内网ip,则是trust访问trust,,如是公网ip访问公网ip,则判定为无效。
在S420中,生成具体配置指令。
在S422中,配置指令发送至防火墙以进行配置。
在一个实施例中,本公开的方法还包括:记录所述防火墙配置的过程数据;以及根据所述过程数据更新所述工单文件。
图5是根据另一示例性实施例示出的一种防火墙配置方法的流程图。图5所示的防火墙配置方法50详细的描述了“记录所述防火墙配置的过程数据;以及根据所述过程数据更新所述工单文件”的相关内容。
如图5所示,在S502中,配置指令发送至防火墙以进行配置。
在S504中,检查配置是否生效。检测防火墙返回结果,如是“done”,防火墙配置成功。
在S506中,确认生效。校验程序执行步骤,确认执行成功。
在S508中,记录防火墙配置过程。记录本系统执行过程,包括判定过程,读取过程,配置过程。
在S510中,记录开通时间、工单号、权限内容。
在S512中,更新权利开通统计表。返回到工单系统此工单权限开通状态,更新工单状态commit=1;更新权限开通统计表,将工单号,时间,内容,申请人,审批人更新到权限开通统计表中。
在S514中,返回执行结果。
本公开的防火墙配置方法,可以自动检测工单系统中已完成审批的权限工单,进行文件读取,校验文件格式,内容,语法的有效性,并循环读取,读取后进行防火墙命令自动转换,转换后自动下发到防火墙进行配置,并在下发后进行配置检测,已达到防火墙权限确实生效。生效后进行全过程记录,进行工单开通时间,单号,权限内容的记录。记录后返回工单开通结果到工单系统,并更新权限开通统计表,返回系统执行结果。
本公开的防火墙配置方法,能够分析需求文件的方法及过程,以及数据信息合法性的校验。还能够自动,高效的代替人工操作,自动完成防火墙配置转换;
本公开的防火墙配置方法,具有配置自动读取、下发到防火墙功能;还具备自动记录日志和工单开通统计表的功能。
本领域技术人员可以理解实现上述实施例的全部或部分步骤被实现为由CPU执行的计算机程序。在该计算机程序被CPU执行时,执行本公开提供的上述方法所限定的上述功能。所述的程序可以存储于一种计算机可读存储介质中,该存储介质可以是只读存储器,磁盘或光盘等。
此外,需要注意的是,上述附图仅是根据本公开示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
下述为本公开装置实施例,可以用于执行本公开方法实施例。对于本公开装置实施例中未披露的细节,请参照本公开方法实施例。
图6是根据一示例性实施例示出的一种防火墙配置装置的框图。防火墙配置装置60包括:数据获取模块602,数据提取模块604,指令模块606,以及配置模块608。
数据获取模块602用于将配置文件进行预处理以生成配置数据;其中,数据获取模块602还包括:配置文件单元用于由工单文件中提取配置文件;解析单元用于解析所述所述配置文件的格式;以及配置数据单元用于在解析后的配置文件的格式正确时,通过所述配置文件生成配置数据。
数据提取模块604用于根据预定规则由配置数据中依次提取端口地址、端口标识以及访问逻辑;其中,所述端口地址包括:本端口地址与目标端口地址;所述端口标识包括:本端口开放端口的标识与目标端口开放端口的标识、负载均衡端口标识;所述访问逻辑包括:申请访问方向与申请权限时长。
其中,数据提取模块604还包括:提取单元,用于依次获取所述配置数据的标题行及对应的标题列;端口单元,用于在标题行及对应的标题列中获取所述端口地址、所述端口标识,以及所述访问逻辑;
指令模块606用于根据所述端口地址、所述端口标识,以及所述访问逻辑生成防火墙配置指令;可包括:判断单元,用于判断所述端口地址是否满足预设规则;以及设置单元,用于在满足所述预设规则时,根据所述端口地址的状态与所述端口标识、所述访问逻辑生成防火墙配置指令。
配置模块608用于根据配置指令自动进行防火墙配置。
图7是根据另一示例性实施例示出的一种防火墙配置装置的框图。防火墙配置装置70在防火墙配置装置60的基础上,还包括:监控模块702,记录模块704。
监控模块702用于实时监控所述工单文件的状态;以及在所述工单文件的状态变更时,获取所述工单文件。
记录模块704用于记录所述防火墙配置的过程数据;以及根据所述过程数据更新所述工单文件。
根据本公开的防火墙配置装置,根据预定规则由配置数据中依次提取端口地址、端口标识,以及访问逻辑;通过上述数据自动生成防火墙配置指令;以及根据配置指令自动进行防火墙配置能够节约防火墙配置的时间成本,提升防火墙配置的效率,同时提高防火墙配置工作的可靠性。
图8是根据一示例性实施例示出的一种电子设备的框图。
下面参照图8来描述根据本公开的这种实施方式的电子设备200。图8显示的电子设备200仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图8所示,电子设备200以通用计算设备的形式表现。电子设备200的组件可以包括但不限于:至少一个处理单元210、至少一个存储单元220、连接不同系统组件(包括存储单元220和处理单元210)的总线230、显示单元240等。
其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元210执行,使得所述处理单元210执行本说明书上述电子处方流转处理方法部分中描述的根据本公开各种示例性实施方式的步骤。例如,所述处理单元210可以执行如图2,图4,图5中所示的步骤。
所述存储单元220可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)2201和/或高速缓存存储单元2202,还可以进一步包括只读存储单元(ROM)2203。
所述存储单元220还可以包括具有一组(至少一个)程序模块2205的程序/实用工具2204,这样的程序模块2205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线230可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备200也可以与一个或多个外部设备300(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备200交互的设备通信,和/或与使得该电子设备200能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口250进行。并且,电子设备200还可以通过网络适配器260与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器260可以通过总线230与电子设备200的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备200使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、或者网络设备等)执行根据本公开实施方式的上述方法。
图9示意性示出本公开示例性实施例中一种计算机可读存储介质示意图。
参考图9所示,描述了根据本公开的实施方式的用于实现上述方法的程序产品400,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本公开的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
所述计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本公开操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该计算机可读介质实现如下功能:将配置文件进行预处理以生成配置数据;根据预定规则由配置数据中依次提取端口地址、端口标识,以及访问逻辑;根据所述端口地址、所述端口标识,以及所述访问逻辑生成防火墙配置指令;以及根据配置指令自动进行防火墙配置。
本领域技术人员可以理解上述各模块可以按照实施例的描述分布于装置中,也可以进行相应变化唯一不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施例的描述,本领域的技术人员易于理解,这里描述的示例实施例可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施例的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施例的方法。
以上具体地示出和描述了本公开的示例性实施例。应可理解的是,本公开不限于这里描述的详细结构、设置方式或实现方法;相反,本公开意图涵盖包含在所附权利要求的精神和范围内的各种修改和等效设置。
此外,本说明书说明书附图所示出的结构、比例、大小等,均仅用以配合说明书所公开的内容,以供本领域技术人员了解与阅读,并非用以限定本公开可实施的限定条件,故不具技术上的实质意义,任何结构的修饰、比例关系的改变或大小的调整,在不影响本公开所能产生的技术效果及所能实现的目的下,均应仍落在本公开所公开的技术内容得能涵盖的范围内。同时,本说明书中所引用的如“上”、“第一”、“第二”及“一”等的用语,也仅为便于叙述的明了,而非用以限定本公开可实施的范围,其相对关系的改变或调整,在无实质变更技术内容下,当也视为本公开可实施的范畴。
Claims (10)
1.一种防火墙配置方法,其特征在于,包括:
将配置文件进行预处理以生成配置数据;
根据预定规则由配置数据中依次提取端口地址、端口标识,以及访问逻辑;
根据所述端口地址、所述端口标识,以及所述访问逻辑生成防火墙配置指令;以及
根据配置指令自动进行防火墙配置。
2.如权利要求1所述的方法,其特征在于,将配置文件进行预处理以生成配置数据,包括:
由工单文件中提取配置文件;
解析所述所述配置文件的格式;以及
在解析后的配置文件的格式正确时,通过所述配置文件生成配置数据。
3.如权利要求2所述的方法,其特征在于,在由工单文件中提取配置文件之前,所述方法还包括:
实时监控所述工单文件的状态;以及
在所述工单文件的状态变更时,获取所述工单文件。
4.如权利要求2所述的方法,其特征在于,所述方法还包括:
记录所述防火墙配置的过程数据;以及
根据所述过程数据更新所述工单文件。
5.如权利要求1所述的方法,其特征在于,根据预定规则由配置数据中依次提取端口地址、端口标识,以及访问逻辑,包括:
依次获取所述配置数据的标题行及对应的标题列;以及
在标题行及对应的标题列中获取所述端口地址、所述端口标识,以及所述访问逻辑;
其中,所述端口地址包括:本端口地址与目标端口地址;
所述端口标识包括:本端口开放端口的标识与目标端口开放端口的标识、负载均衡端口标识;
所述访问逻辑包括:申请访问方向与申请权限时长。
6.如权利要求1所述的方法,其特征在于,根据所述端口地址、所述端口标识,以及所述访问逻辑生成防火墙配置指令,包括:
判断所述端口地址是否满足预设规则;以及
在满足所述预设规则时,根据所述端口地址的状态与所述端口标识、所述访问逻辑生成防火墙配置指令。
7.如权利要求6所述的方法,其特征在于,判断所述所述端口地址是否满足预设规则,包括:
判断所述端口地址为公网地址时,是否满足第一预设规则;以及
判断所述端口地址为内网地址时,是否满足第二预设规则。
8.一种防火墙配置装置,其特征在于,包括:
数据获取模块,用于将配置文件进行预处理以生成配置数据;
数据提取模块,用于根据预定规则由配置数据中依次提取端口地址、端口标识,以及访问逻辑;
指令模块,用于根据所述端口地址、所述端口标识,以及所述访问逻辑生成防火墙配置指令;以及
配置模块,用于根据配置指令自动进行防火墙配置。
9.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-7中任一所述的方法。
10.一种计算机可读介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1-7中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811535254.8A CN109361711B (zh) | 2018-12-14 | 2018-12-14 | 防火墙配置方法、装置、电子设备及计算机可读介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811535254.8A CN109361711B (zh) | 2018-12-14 | 2018-12-14 | 防火墙配置方法、装置、电子设备及计算机可读介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109361711A true CN109361711A (zh) | 2019-02-19 |
| CN109361711B CN109361711B (zh) | 2021-10-29 |
Family
ID=65329644
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811535254.8A Active CN109361711B (zh) | 2018-12-14 | 2018-12-14 | 防火墙配置方法、装置、电子设备及计算机可读介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109361711B (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109962914A (zh) * | 2019-03-12 | 2019-07-02 | 杭州迪普科技股份有限公司 | 一种防火墙配置方法及装置 |
| CN110213256A (zh) * | 2019-05-28 | 2019-09-06 | 哈尔滨工程大学 | 一种基于生产者消费者模式的防火墙控制方法 |
| CN110347592A (zh) * | 2019-06-26 | 2019-10-18 | 武汉思普崚技术有限公司 | 一种防火墙的测试条目配置方法、设备及存储介质 |
| CN110493064A (zh) * | 2019-08-30 | 2019-11-22 | 深圳壹账通智能科技有限公司 | 防火墙管理方法、装置、计算机设备和存储介质 |
| CN110912916A (zh) * | 2019-11-29 | 2020-03-24 | 杭州安恒信息技术股份有限公司 | 一种web应用防火墙配置同步方法、装置、设备、介质 |
| CN112230848A (zh) * | 2020-10-10 | 2021-01-15 | 上海拿森汽车电子有限公司 | 一种nvm自动配置方法、装置和设备 |
| CN113660118A (zh) * | 2021-08-12 | 2021-11-16 | 中国工商银行股份有限公司 | 一种自动化网络变更方法、装置、设备及存储介质 |
| CN113691488A (zh) * | 2020-05-19 | 2021-11-23 | 奇安信科技集团股份有限公司 | 由防火墙设备执行的访问控制方法、装置、设备以及介质 |
| CN114301638A (zh) * | 2021-12-13 | 2022-04-08 | 山石网科通信技术股份有限公司 | 防火墙规则复现的方法和装置、存储介质及处理器 |
| US11546301B2 (en) | 2019-09-13 | 2023-01-03 | Oracle International Corporation | Method and apparatus for autonomous firewall rule management |
| CN116094929A (zh) * | 2023-03-06 | 2023-05-09 | 天津金城银行股份有限公司 | 配置下发方法、装置、电子设备及计算机可读存储介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102257787A (zh) * | 2008-12-17 | 2011-11-23 | Abb研究有限公司 | 网络分析 |
| CN102523212A (zh) * | 2011-12-13 | 2012-06-27 | 北京天融信科技有限公司 | 一种可自动调整防火墙系统测试流量的方法和装置 |
| CN104580078A (zh) * | 2013-10-15 | 2015-04-29 | 北京神州泰岳软件股份有限公司 | 一种网络访问控制方法和系统 |
| CN105471907A (zh) * | 2015-12-31 | 2016-04-06 | 云南大学 | 一种基于Openflow的虚拟防火墙传输控制方法及系统 |
| CN105871930A (zh) * | 2016-06-21 | 2016-08-17 | 上海携程商务有限公司 | 基于应用的防火墙安全策略的自适应配置方法及系统 |
| CN106453071A (zh) * | 2016-12-22 | 2017-02-22 | 南京因泰莱电器股份有限公司 | 一种符合iec61850标准的电力智能网关 |
| CN107888621A (zh) * | 2017-12-14 | 2018-04-06 | 新华三技术有限公司 | 防火墙管理方法、装置及防火墙堆叠系统 |
| CN107948205A (zh) * | 2017-12-31 | 2018-04-20 | 中国移动通信集团江苏有限公司 | 防火墙策略生成方法、装置、设备及介质 |
| CN108600198A (zh) * | 2018-04-04 | 2018-09-28 | 北京百悟科技有限公司 | 防火墙的访问控制方法、装置、计算机存储介质及终端 |
-
2018
- 2018-12-14 CN CN201811535254.8A patent/CN109361711B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102257787A (zh) * | 2008-12-17 | 2011-11-23 | Abb研究有限公司 | 网络分析 |
| CN102523212A (zh) * | 2011-12-13 | 2012-06-27 | 北京天融信科技有限公司 | 一种可自动调整防火墙系统测试流量的方法和装置 |
| CN104580078A (zh) * | 2013-10-15 | 2015-04-29 | 北京神州泰岳软件股份有限公司 | 一种网络访问控制方法和系统 |
| CN105471907A (zh) * | 2015-12-31 | 2016-04-06 | 云南大学 | 一种基于Openflow的虚拟防火墙传输控制方法及系统 |
| CN105871930A (zh) * | 2016-06-21 | 2016-08-17 | 上海携程商务有限公司 | 基于应用的防火墙安全策略的自适应配置方法及系统 |
| CN106453071A (zh) * | 2016-12-22 | 2017-02-22 | 南京因泰莱电器股份有限公司 | 一种符合iec61850标准的电力智能网关 |
| CN107888621A (zh) * | 2017-12-14 | 2018-04-06 | 新华三技术有限公司 | 防火墙管理方法、装置及防火墙堆叠系统 |
| CN107948205A (zh) * | 2017-12-31 | 2018-04-20 | 中国移动通信集团江苏有限公司 | 防火墙策略生成方法、装置、设备及介质 |
| CN108600198A (zh) * | 2018-04-04 | 2018-09-28 | 北京百悟科技有限公司 | 防火墙的访问控制方法、装置、计算机存储介质及终端 |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109962914B (zh) * | 2019-03-12 | 2021-07-23 | 杭州迪普科技股份有限公司 | 一种防火墙配置方法及装置 |
| CN109962914A (zh) * | 2019-03-12 | 2019-07-02 | 杭州迪普科技股份有限公司 | 一种防火墙配置方法及装置 |
| CN110213256A (zh) * | 2019-05-28 | 2019-09-06 | 哈尔滨工程大学 | 一种基于生产者消费者模式的防火墙控制方法 |
| CN110213256B (zh) * | 2019-05-28 | 2021-09-28 | 哈尔滨工程大学 | 一种基于生产者消费者模式的防火墙控制方法 |
| CN110347592A (zh) * | 2019-06-26 | 2019-10-18 | 武汉思普崚技术有限公司 | 一种防火墙的测试条目配置方法、设备及存储介质 |
| CN110493064A (zh) * | 2019-08-30 | 2019-11-22 | 深圳壹账通智能科技有限公司 | 防火墙管理方法、装置、计算机设备和存储介质 |
| US11546301B2 (en) | 2019-09-13 | 2023-01-03 | Oracle International Corporation | Method and apparatus for autonomous firewall rule management |
| CN110912916A (zh) * | 2019-11-29 | 2020-03-24 | 杭州安恒信息技术股份有限公司 | 一种web应用防火墙配置同步方法、装置、设备、介质 |
| CN113691488A (zh) * | 2020-05-19 | 2021-11-23 | 奇安信科技集团股份有限公司 | 由防火墙设备执行的访问控制方法、装置、设备以及介质 |
| CN112230848A (zh) * | 2020-10-10 | 2021-01-15 | 上海拿森汽车电子有限公司 | 一种nvm自动配置方法、装置和设备 |
| CN112230848B (zh) * | 2020-10-10 | 2023-12-22 | 上海拿森汽车电子有限公司 | 一种nvm自动配置方法、装置和设备 |
| CN113660118A (zh) * | 2021-08-12 | 2021-11-16 | 中国工商银行股份有限公司 | 一种自动化网络变更方法、装置、设备及存储介质 |
| CN114301638A (zh) * | 2021-12-13 | 2022-04-08 | 山石网科通信技术股份有限公司 | 防火墙规则复现的方法和装置、存储介质及处理器 |
| CN114301638B (zh) * | 2021-12-13 | 2024-02-06 | 山石网科通信技术股份有限公司 | 防火墙规则复现的方法和装置、存储介质及处理器 |
| CN116094929A (zh) * | 2023-03-06 | 2023-05-09 | 天津金城银行股份有限公司 | 配置下发方法、装置、电子设备及计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109361711B (zh) | 2021-10-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109361711A (zh) | 防火墙配置方法、装置、电子设备及计算机可读介质 | |
| CN104253812B (zh) | 委托用于web服务的认证 | |
| CN109543463A (zh) | 数据安全访问方法、装置、计算机设备及存储介质 | |
| CN104113549A (zh) | 一种平台授权方法、平台服务端及应用客户端和系统 | |
| CN110535971A (zh) | 基于区块链的接口配置处理方法、装置、设备及存储介质 | |
| CN108153858A (zh) | 信息推送方法、装置、存储介质和计算机设备 | |
| CN111221739A (zh) | 业务测试方法、装置和系统 | |
| CN108292133A (zh) | 用于在工业控制系统内识别已泄密设备的系统和方法 | |
| US20080021696A1 (en) | System and method of providing a fast path link for an identified set of data | |
| CN109995523B (zh) | 激活码管理方法及装置、激活码生成方法及装置 | |
| KR102361227B1 (ko) | 인스턴트 메세지의 자연어 인식을 통한 스마트 계약 장치 및 그 방법 | |
| JP2021519960A (ja) | ウェブトラフィックデータを処理および管理するシステム、装置、および方法 | |
| CN110866265A (zh) | 一种基于区块链的数据存储方法、设备及存储介质 | |
| CN109947408A (zh) | 消息推送方法及装置、存储介质和电子设备 | |
| CN102946396B (zh) | 用户代理装置、宿主网站服务器和用户认证方法 | |
| CN103678964A (zh) | 移动终端、密码输入方法及系统 | |
| CN104021124A (zh) | 用于处理网页数据的方法、装置和系统 | |
| JP2019510326A (ja) | インターネットポータルシステムとその使用方法 | |
| CN107431693A (zh) | 消息发送方真实性验证 | |
| CN116956326A (zh) | 权限数据的处理方法、装置、计算机设备及存储介质 | |
| CN110020360A (zh) | 用户行为特征提取的方法,系统及服务器 | |
| CN113810340A (zh) | 数据上报方法、装置、设备及计算机可读存储介质 | |
| CN111526039A (zh) | 电子设备开局方法、装置、电子设备及计算机可读介质 | |
| CN103413190A (zh) | 操作票的实时审核系统及方法 | |
| CN116346660A (zh) | 基于依赖替换服务的数据处理方法、装置、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |