CN111193744A - 防火墙策略查询、弹性伸缩方法及系统、设备、存储介质 - Google Patents
防火墙策略查询、弹性伸缩方法及系统、设备、存储介质 Download PDFInfo
- Publication number
- CN111193744A CN111193744A CN201911421089.8A CN201911421089A CN111193744A CN 111193744 A CN111193744 A CN 111193744A CN 201911421089 A CN201911421089 A CN 201911421089A CN 111193744 A CN111193744 A CN 111193744A
- Authority
- CN
- China
- Prior art keywords
- firewall
- address
- policy
- strategy
- query
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种防火墙策略查询、弹性伸缩方法及系统、设备、存储介质,防火墙策略查询方法,包括:S1.获取防火墙策略配置信息,将所述防火墙配置信息解析为标准化格式数据,构建防火墙策略信息库;S2.根据查询信息,自动判断所述防火墙配置信息中的源IP地址、目的IP地址所属安全区域,以及自动判所述断源IP地址、所述目的IP地址流量途径防火墙设备;S3.自动计算所述查询信息与防火墙策略的策略相关性;并根据所述策略相关性反馈查询结果。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种防火墙策略查询、弹性伸缩方法及系统、设备、存储介质。
背景技术
防火墙是一种保护计算机网络安全的技术性措施,它通过在网络边界上建立相应的网络通信监控系统来隔离内部和外部网络,以阻挡来自外部的网络入侵。防火墙策略是指防火墙所要参照的规定、规则、要求或者过滤条款,策略信息一般包括源IP地址、目的IP地址、协议、目的端口等信息。防火墙需要根据防火墙策略放行或者阻断经过防火墙的数据流,因此防火墙对于区域间访问控制、安全隔离具有着重要的作用。
随着网络规模的增长和业务的不断调整,安全区域划分越来越多,防火墙上的安全策略也越来越复杂,一个主机可能涉及很多安全策略,比如哪些IP地址能访问这台主机,这台主机又能访问哪些目的IP地址,并且这些安全策略会分布在不同防火墙上。另一方面,一般地防火墙上会开通很多区域间或IP地址段间的默认放行或阻断策略,如果这台主机在上述区域内或IP地址段内,上述默认策略也是这台主机的相关策略,因此和这台主机相关的防火墙策略会有很多。如果需要查询某一台主机所涉及的防火墙策略,需要人工或自动遍历所有防火墙的策略,并判断这台主机是否会命中这条策略。
随着业务的增长或业务量的激增,应用服务器的弹性伸缩需求越发强烈,对应服务器的安全策略也需要弹性伸缩,在防火墙策略扩容、回收时,需要首先查询对应服务器的相关策略,筛选与应用扩容相关的安全策略,并手动或自动地修改原有防火墙策略,可见现有的方法存在如下问题:
1.策略查询效率低:如果只提供一个IP地址,需要查询这个IP所有相关防火墙策略时,通常需要遍历所有防火墙的所有策略,每台防火墙至少有成百上千条策略,并且需要判断相关性,策略查询效率较低。
2.策略查询结果不精确,存在大量非强相关的策略:在判断一个IP是否命中一条策略时,一般仅会判断上述IP是否在这条策略的源IP地址范围内,或目的IP地址范围内,这样往往会匹配到较多区域间或地址段间默认策略,导致查询结果较多,存在大量查询者并不关心的策略,查询结果意义不大。
3.防火墙策略弹性伸缩效率低:当一个IP地址对应的应用需要扩容,那么这个IP地址相关的防火墙策略也需要弹性扩容,增加新扩容的节点IP地址,该过程包括查询原有IP地址强相关防火墙策略,并基于查询结果修改防火墙策略,人工方式毋庸置疑效率很低,已有的自动方式受限于策略查询结果的精确性。因此当前防火墙策略弹性伸缩效率较低。
发明内容
本发明的目的在于提供一种防火墙策略查询、弹性伸缩方法及系统、设备、存储介质,实现防火墙策略快速查询。
本发明的另一个目的在于提供一种防火墙策略查询、弹性伸缩方法及系统、设备、存储介质,提高防火墙策略调整效率。
本发明的一个方案是一种防火墙策略查询方法,包括:
S1.获取防火墙策略配置信息,将所述防火墙配置信息解析为标准化格式数据,构建防火墙策略信息库;
S2.根据查询信息,自动判断所述防火墙配置信息中的源IP地址、目的IP地址所属安全区域,以及自动判所述断源IP地址、所述目的IP地址流量途径防火墙设备;
S3.自动计算所述查询信息与防火墙策略的策略相关性;并根据所述策略相关性反馈查询结果。
根据本发明的方案,步骤S1中,获取防火墙策略配置信息的步骤中包括:通过自动化程序向防火墙发送查看防火墙配置指令,并保存配置到本地;或通过FTP方式,向防火墙发送FTP备份指令,并保存防火墙配置信息到FTP服务器;
将所述防火墙配置信息解析为标准化格式数据的步骤中包括:将不同型号防火墙的配置信息,转换为标准化格式的数据,其中,所述配置信息包括:防火墙的访问控制策略,地址转换策略,定义的地址、地址组、服务,所述标准化格式的数据包括:源IP地址、目的IP地址、服务、动作,所述源IP地址和所述目的IP地址支持的类型格式包括主机、范围、子网;
构建防火墙策略信息库的步骤中包括:定期获取各个区域防火墙配置信息,并将各个区域防火墙配置信息均解析为标准化格式数据,形成各个区域防火墙策略信息数据库。
根据本发明的方案,步骤S2中,所述查询信息为查询防火墙策略时提供的IP地址信息;
自动判断所述防火墙配置信息中的源IP地址、目的IP地址所属安全区域的步骤中包括:预先配置各个安全区域地址段,判断所述源IP地址、所述目的IP地址是否在安全区域地址段内,并反馈所述源IP地址、所述目的IP地址所属安全区域。
自动判所述断源IP地址、所述目的IP地址流量途径防火墙设备的步骤中包括:预先配置各个安全区域间互访时途径防火墙清单,根据所述源IP地址、所述目的IP地址所属安全区域的判断结果,自动反馈所述源IP地址、所述目的IP地址流量途径防火墙设备。
根据本发明的方案,步骤S3中,自动计算所述查询信息与防火墙策略的策略相关性;并根据所述策略相关性反馈查询结果的步骤中包括:
S31.自动计算所述查询信息在所述防火墙策略的源IP地址或目的IP地址中的占比;
S32.将所述占比作为策略相关性,并根据所述策略相关性反馈查询结果。
根据本发明的方案,步骤S31中包括:计算所述防火墙策略中所述源IP地址或所述目的IP地址中成员的IP个数,并计算所述查询信息在所述源IP地址或所述目的IP地址个数中的占比;
步骤S32中包括:当所述查询信息在防火墙策略源IP地址或者目的IP地址范围内时,将所述防火墙策略判断为相关策略;预先配置相关性阈值;当策略相关性大于阈值时,将所述防火墙策略判断为强相关策略;反馈查询到的所有所述强相关策略及所述相关策略。
本发明的另一个方案是一种基于所述的防火墙策略查询方法的防火墙策略弹性伸缩方法,包括:
S01.获取现有服务器的防火墙策略的弹性伸缩需求;
S02.根据所述弹性伸缩需求,基于所述防火墙策略查询方法自动查询所述服务器中的所有强相关策略;
S03.自动进行防火墙策略变更,对所述防火墙策略进行弹性伸缩。
根据本发明的方案,步骤S01中,所述弹性伸缩需求为对所述服务器的防火墙策略进行扩容或回收所述服务器的IP地址;
步骤S02中,查询所述服务器的所有强相关防火墙策略,反馈查询结果,其中包括防火墙设备信息、防火墙策略ID、源IP地址或目的IP地址属性、详细策略信息;
步骤S03中,根据所述查询结果中的防火墙设备信息、防火墙策略ID,查找要修改的防火墙策略;根据所述源IP地址或目的IP地址属性,自动修改所述防火墙策略的源IP地址或目的IP地址成员。
本发明的再一个方案是一种用于防火墙策略查询、弹性伸缩的系统,包括策略扩容模块、策略查询模块、策略数据更新模块、防火墙执行模块,其中:
所述策略扩容模块,用于提供扩容接口,自动查询被扩容IP地址相关防火墙策略,根据查询结果请求修改防火墙策略,反馈执行结果,并更新防火墙策略信息库;
所述策略查询模块,用于提供防火墙策略查询接口,自动判断查询IP所属安全区域、流量途径的防火墙设备,自动调用策略查询接口,计算相关性,并反馈查询结果;
所述策略数据更新模块,用于定时获取防火墙配置文件,将所述防火墙配置信息解析为标准化格式数据,构建防火墙策略信息库;
所述防火墙执行模块,用于执行防火墙配置备份、防火墙策略修改指令;
所述自动调用策略查询接口采用前述的防火墙策略查询方法,查询现有服务器的所有强相关防火墙策略;反馈查询结果,其中包括防火墙设备信息、防火墙策略ID、源地址或目的地址属性、详细策略信息。
本发明的再一个方案是一种用于防火墙策略查询、弹性伸缩的设备,包括:处理器、存储介质和总线,所述存储介质存储有所述处理器可执行的机器可读指令,当所述设备运行时,所述处理器与所述存储介质之间通过所述总线通信,所述处理器执行所述机器可读指令,以执行前述的方法的步骤。
本发明的再一个方案是一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行前述的方法的步骤。
根据上述方案,通过获取防火墙策略配置信息,构建防火墙策略信息库,提供基于相关性的防火墙策略快速查询方法,并根据服务器伸缩需求,自动进行防火墙策略变更,实现防火墙策略的弹性伸缩。
根据上述方案,本发明可解决当服务器需要快速扩容、回收时,快速自动查询该服务器所有相关防火墙策略,并自动弹性伸缩对应防火墙策略,大幅提高防火墙策略调整效率。
根据上述方案,可解决当服务器需要快速扩容、回收时,可快速自动查询所有相关防火墙策略,并自动伸缩对应防火墙策略。
附图说明
图1是用于本发明的防火墙策略查询方法的步骤框图。
图2是用于本发明的防火墙策略查询、弹性伸缩方法的系统流程图。
具体实施方式
下面结合附图和具体实施方式对本发明作详细地描述,实施方式不能在此一一赘述,但本发明的实施方式并不因此限定于以下实施方式。
图1是用于本发明的防火墙策略查询方法的步骤框图。如图1所示,本发明的一种防火墙策略查询方法,包括:
S1.获取防火墙策略配置信息,将防火墙配置信息解析为标准化格式数据,构建防火墙策略信息库;
S2.根据查询信息,自动判断防火墙配置信息中的源IP地址、目的IP地址所属安全区域,以及自动判断源IP地址、目的IP地址流量途径防火墙设备;
S3.自动计算查询信息与防火墙策略的策略相关性;并根据策略相关性反馈查询结果。
根据本发明的方案,获取防火墙策略配置信息的步骤进一步包括:通过自动化程序向防火墙发送查看防火墙配置指令,并保存配置到本地;或通过FTP方式,向防火墙发送FTP备份指令,并保存防火墙配置信息到FTP服务器。
将防火墙配置信息解析为标准化格式数据的步骤进一步包括:将不同型号防火墙的访问控制策略,地址转换策略,定义的地址、地址组、服务等配置信息,转换为源IP地址、目的IP地址、服务、动作等标准化格式的数据。其中源IP地址和目的IP地址支持主机、范围、子网等类型格式。
构建防火墙策略信息库的步骤进一步包括:定期获取各个区域防火墙配置信息,并将各个区域防火墙配置信息均解析为标准化格式数据,形成各个区域防火墙策略信息数据库。
根据本发明的方案,前述的查询信息,指查询防火墙策略时需要提供的IP地址信息,包括源IP地址或者目的IP地址中至少一个,或者不区分源、目的IP地址,仅提供一个IP地址信息。
自动判断防火墙配置信息中的源IP地址、目的IP地址所属安全区域的步骤进一步包括:预先配置各个安全区域地址段,判断源IP地址或目的IP地址是否在安全区域地址段内,并反馈上述IP地址所属安全区域。
自动判断源IP地址、目的IP地址流量途径防火墙设备的步骤进一步包括:预先配置各个安全区域间互访时途径防火墙清单,根据源地址、目的地址所属安全区域判断结果,自动反馈源地址、目的地址流量途径防火墙设备。
根据本发明的方案,自动计算所述查询信息与防火墙策略的策略相关性;并根据所述策略相关性反馈查询结果的步骤中包括:
S31.自动计算查询信息在防火墙策略的源IP地址或目的IP地址中的占比。在本实施方式中,计算防火墙策略中源IP地址或目的IP地址中成员的IP个数,并计算查询IP在源IP地址或目的IP地址个数中的占比,所述IP地址支持主机、范围、子网等格式;
S32.将占比作为策略相关性,并根据策略相关性反馈查询结果。在本实施方式中,当查询IP在防火墙策略源IP或者目的IP范围内时,将上述防火墙策略判断为相关策略;预先配置相关性阈值;当策略相关性大于阈值时,将上述策略判断为强相关策略;反馈查询到的所有强相关策略及相关策略。
根据本发明的另一个方案,一种基于前述的防火墙策略查询方法的防火墙策略弹性伸缩方法,包括:
S01.获取现有服务器的防火墙策略的弹性伸缩需求;
S02.根据弹性伸缩需求,基于防火墙策略查询方法自动查询服务器中的所有强相关策略;
S03.自动进行防火墙策略变更,对所述防火墙策略进行弹性伸缩。
在本实施方式中,服务器的防火墙策略的弹性伸缩需求进一步包括:提供一台现有服务器的IP地址;以上述服务器为模板扩容服务器或回收服务器的IP地址。
在本实施方式中,自动查询服务器所有强相关策略的步骤进一步包括:使用本发明提供的防火墙策略查询方法,查询现有服务器的所有强相关防火墙策略;反馈查询结果,包括防火墙设备信息、防火墙策略ID、源地址或目的地址属性、详细策略信息等。
在本实施方式中,自动进行防火墙策略变更的步骤进一步包括:根据上述防火墙策略查询结果的防火墙设备信息、防火墙策略ID,查找要修改的防火墙策略;根据源地址或目的地址属性,自动修改上述防火墙策略的源地址或目的地址成员。
图2是用于本发明的防火墙策略查询、弹性伸缩方法的系统流程图。如图2所示,本发明的一种用于防火墙策略查询、弹性伸缩的系统,包括策略扩容模块、策略查询模块、策略数据更新模块、防火墙执行模块,其中:
策略扩容模块,用于提供扩容接口,自动查询被扩容IP地址相关防火墙策略,根据查询结果请求修改防火墙策略,反馈执行结果,并更新防火墙策略信息库;
策略查询模块,用于提供防火墙策略查询接口,自动判断查询IP所属安全区域、流量途径的防火墙设备,自动调用策略查询接口,计算相关性,并反馈查询结果;
策略数据更新模块,用于定时获取防火墙配置文件,将防火墙配置信息解析为标准化格式数据,构建防火墙策略信息库;
防火墙执行模块,用于执行防火墙配置备份、防火墙策略修改指令;
自动调用策略查询接口采用前述的防火墙策略查询方法,查询现有服务器的所有强相关防火墙策略;反馈查询结果,其中包括防火墙设备信息、防火墙策略ID、源地址或目的地址属性、详细策略信息。
以下结合附图对本申请进行进一步的说明。
如图2所示,具体包括以下几个功能模块:策略扩容模块、策略查询模块、策略数据更新模块、防火墙执行模块。防火墙策略查询功能和策略扩容功能基于Restful API方式对外提供服务,可以分别被独立调用。
如图2所示,策略扩容模块进一步包括:步骤2-1提供扩容接口,步骤2-2自动查询防火墙相关策略,步骤2-3根据查询结果请求修改防火墙,步骤2-4反馈执行结果,步骤2-5更新防火墙策略信息库。
上述步骤2-1中,扩容接口可用于服务器扩容、回收时,自动增加、删除防火墙策略场景。上述接口请求参数中包括:请求类型、请求动作(增加或删除)、原服务器IP(被扩容的服务器IP,以下简称IP A)、新服务器IP(新扩容的服务器IP,以下简称IP B),上述新服务器IP可以为单个主机或多个主机IP地址。上述接口响应参数中包括:执行结果、执行结果描述、子任务执行情况(反馈每个防火墙具体执行情况)。
上述步骤2-2中,自动调用策略查询接口,查询IP A的防火墙策略,并从查询结果中选取强相关性策略清单,上述强相关策略的属性进一步包括:防火墙设备信息、防火墙策略ID、相关性数值、源地址或目的地址属性、防火墙策略详细内容等。
上述步骤2-3中,进一步根据查询到的IP A的强相关策略清单,调用防火墙策略修改接口,请求修改清单中的所有防火墙策略,每条策略根据源地址或目的地址属性,修改策略的源地址或目的地址成员,增加或删除IP B。
上述步骤2-4至2-5中,用于接收策略修改执行结果,并同步更新防火墙策略信息库。
如图2所示,策略查询模块进一步包括:步骤3-1提供策略接口,步骤3-2初步自动判断,步骤3-3查询防火墙策略信息库,步骤3-4计算相关性,步骤3-5反馈查询结果。
上述步骤3-1中,防火墙策略查询功能,支持ACL(访问控制列表)策略精确查询,ACL、NAT(网络地址转换)策略模糊、全量查询,详细功能及说明如下:
(1)ACL精确查询,需要填写全源目地址、服务,用于查询连通性,并反馈相关策略。
(2)ACL模糊查询,源IP、目的IP或任意方向IP仅填写一个即可,服务选填,用于查询与搜索IP所有相关策略,并反馈强相关策略。
(3)NAT模糊查询,源目IP至少填写一个,服务选填,需要选择防火墙,支持SNAT、DNAT、双向NAT或全部NAT,用于查询IP相关NAT策略,并反馈强相关策略。
(4)全量ACL、NAT策略查询,需要选择防火墙,用于查询该防火墙全量策略。
(5)IP支持单IP、范围、子网类型查询,服务端口号支持单个及范围。
上述步骤3-2中,初步自动判断的步骤进一步包括:自动校验查询IP格式的准确性,自动判断源IP或目的IP的所属区域,自动判断源IP到目的IP的流量途径防火墙设备。
优选的,通过自动判断步骤,可以最大简化查询需要输入的信息,并且对需要查询的防火墙设备进行了筛选,大幅降低了需要查询的防火墙策略数量,因此可以提高查询效率。
上述步骤3-3中,会根据筛选后的防火墙设备信息,查询对应防火墙策略库。
上述步骤3-4中,计算相关的步骤进一步包括:根据查询结果,逐条判断查询IP是否在该策略的源IP地址或目的IP地址范围内,如果在范围内,则认为当前策略为相关策略;自动计算查询IP地址在防火墙策略源IP地址或目的IP地址中的占比,将上述占比作为策略相关性。
在本实施方式中,相关性计算方法包括:计算防火墙策略中源IP地址或目的IP地址中成员的IP个数,并计算查询IP在源IP地址或目的IP地址个数中的占比,源IP地址和目的IP地址支持主机、范围、子网等格式。如果策略中源IP或目的IP包含多个子集,相关性为查询IP在各个子集中的占比之和。
上述步骤3-5中,用于反馈查询结果。响应内容包括查询结果标识、涉及防火墙信息、强相关策略、所有相关策略等。
如图2所示,策略数据更新功能模块进一步包括:步骤4-1定时获取防火墙配置,步骤4-2解析防火墙配置策略信息,步骤4-3更新防火墙策略信息库。
上述步骤4-1中,定时获取所有防火墙的配置信息,如每天一次;本实施例中部分防火墙通过自动化程序向防火墙发送查看防火墙配置指令,并保存配置到自动化程序本地;部分防火墙通过FTP方式,向防火墙发送FTP备份指令,并保存防火墙配置信息到FTP服务器。
上述步骤4-2中,解析策略的步骤进一步包括:通过读取防火墙配置文件,编写解析脚本,用于支持不同型号的防火墙;解析定义的主机、范围、子网等格式地址策略;解析定义的地址组策略;解析定义的服务;解析定义的服务组;解析定义的访问控制策略;解析定义的地址转换策略;将访问控制策略或地址转换策略转换为源IP地址、目的IP地址、服务、动作等标准化格式的数据。
在本实施方式中,源IP地址或目的IP地址需要存储为主机格式、范围格式、子网格式,或多种格式的集合。
上述步骤4-3中,解析后的防火墙策略需要更新到数据库中,构建成防火墙策略信息库,用于查询策略。
所述防火墙执行功能模块进一步包括:步骤5-1备份配置,步骤5-2修改防火墙策略。
在本实施方式中,上述步骤5-1、5-2中防火墙配置备份、命令执行功能可以通过编写自动化程序下发到防火墙执行,例如本实施例中基于Python的Netmiko模块二次开发实现。
上述步骤5-2中,根据步骤2-3请求信息中的防火墙设备信息、防火墙策略ID,查找要修改的防火墙策略;根据源地址或目的地址属性,自动新增地址集,修改上述防火墙策略的源地址或目的地址成员。
在本实施方式中,新增地址集名称命令可以采用特殊字符串进行标识,例如ABC_KR_001等,便于多次扩容时,直接修改该地址集成员即可,不必再新建成员。
优选的,在上述修改防火墙配置过程中,如果防火墙为多台,采用主备或双活模式部署时,应注意修改后策略的一直性,需要开启防火墙配置同步,或同时修改多台防火墙的配置。
根据本发明的再一个方案,本发明的一种用于防火墙策略查询、弹性伸缩的设备,包括:处理器、存储介质和总线,存储介质存储有处理器可执行的机器可读指令,当设备运行时,处理器与所述存储介质之间通过总线通信,处理器执行机器可读指令,以执行前述的方法的步骤。
根据本发明的再一个方案,本发明的一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器运行时执行前述的方法的步骤。
上述内容仅为本发明的具体方案的例子,对于其中未详尽描述的设备和结构,应当理解为采取本领域已有的通用设备及通用方法来予以实施。
以上所述仅为本发明的一个方案而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种防火墙策略查询方法,包括:
S1.获取防火墙策略配置信息,将所述防火墙配置信息解析为标准化格式数据,构建防火墙策略信息库;
S2.根据查询信息,自动判断所述防火墙配置信息中的源IP地址、目的IP地址所属安全区域,以及自动判所述断源IP地址、所述目的IP地址流量途径防火墙设备;
S3.自动计算所述查询信息与防火墙策略的策略相关性;并根据所述策略相关性反馈查询结果。
2.根据权利要求1所述的防火墙策略查询方法,其特征在于,步骤S1中,获取防火墙策略配置信息的步骤中包括:通过自动化程序向防火墙发送查看防火墙配置指令,并保存配置到本地;或通过FTP方式,向防火墙发送FTP备份指令,并保存防火墙配置信息到FTP服务器;
将所述防火墙配置信息解析为标准化格式数据的步骤中包括:将不同型号防火墙的配置信息,转换为标准化格式的数据,其中,所述配置信息包括:防火墙的访问控制策略,地址转换策略,定义的地址、地址组、服务,所述标准化格式的数据包括:源IP地址、目的IP地址、服务、动作,所述源IP地址和所述目的IP地址支持的类型格式包括主机、范围、子网;
构建防火墙策略信息库的步骤中包括:定期获取各个区域防火墙配置信息,并将各个区域防火墙配置信息均解析为标准化格式数据,形成各个区域防火墙策略信息数据库。
3.根据权利要求2所述的防火墙策略查询方法,其特征在于,步骤S2中,所述查询信息为查询防火墙策略时提供的IP地址信息;
自动判断所述防火墙配置信息中的源IP地址、目的IP地址所属安全区域的步骤中包括:预先配置各个安全区域地址段,判断所述源IP地址、所述目的IP地址是否在安全区域地址段内,并反馈所述源IP地址、所述目的IP地址所属安全区域。
自动判所述断源IP地址、所述目的IP地址流量途径防火墙设备的步骤中包括:预先配置各个安全区域间互访时途径防火墙清单,根据所述源IP地址、所述目的IP地址所属安全区域的判断结果,自动反馈所述源IP地址、所述目的IP地址流量途径防火墙设备。
4.根据权利要求3所述的防火墙策略查询方法,其特征在于,步骤S3中,自动计算所述查询信息与防火墙策略的策略相关性;并根据所述策略相关性反馈查询结果的步骤中包括:
S31.自动计算所述查询信息在所述防火墙策略的源IP地址或目的IP地址中的占比;
S32.将所述占比作为策略相关性,并根据所述策略相关性反馈查询结果。
5.根据权利要求4所述的防火墙策略查询方法,其特征在于,步骤S31中包括:计算所述防火墙策略中所述源IP地址或所述目的IP地址中成员的IP个数,并计算所述查询信息在所述源IP地址或所述目的IP地址个数中的占比;
步骤S32中包括:当所述查询信息在防火墙策略源IP地址或者目的IP地址范围内时,将所述防火墙策略判断为相关策略;预先配置相关性阈值;当策略相关性大于阈值时,将所述防火墙策略判断为强相关策略;反馈查询到的所有所述强相关策略及所述相关策略。
6.一种基于权利要求1至5任一项所述的防火墙策略查询方法的防火墙策略弹性伸缩方法,包括:
S01.获取现有服务器的防火墙策略的弹性伸缩需求;
S02.根据所述弹性伸缩需求,基于所述防火墙策略查询方法自动查询所述服务器中的所有强相关策略;
S03.自动进行防火墙策略变更,对所述防火墙策略进行弹性伸缩。
7.根据权利要求6所述的防火墙策略弹性伸缩方法,其特征在于,步骤S01中,所述弹性伸缩需求为对所述服务器的防火墙策略进行扩容或回收所述服务器的IP地址;
步骤S02中,查询所述服务器的所有强相关防火墙策略,反馈查询结果,其中包括防火墙设备信息、防火墙策略ID、源IP地址或目的IP地址属性、详细策略信息;
步骤S03中,根据所述查询结果中的防火墙设备信息、防火墙策略ID,查找要修改的防火墙策略;根据所述源IP地址或目的IP地址属性,自动修改所述防火墙策略的源IP地址或目的IP地址成员。
8.一种用于防火墙策略查询、弹性伸缩的系统,其特征在于,包括策略扩容模块、策略查询模块、策略数据更新模块、防火墙执行模块,其中:
所述策略扩容模块,用于提供扩容接口,自动查询被扩容IP地址相关防火墙策略,根据查询结果请求修改防火墙策略,反馈执行结果,并更新防火墙策略信息库;
所述策略查询模块,用于提供防火墙策略查询接口,自动判断查询IP所属安全区域、流量途径的防火墙设备,自动调用策略查询接口,计算相关性,并反馈查询结果;
所述策略数据更新模块,用于定时获取防火墙配置文件,将所述防火墙配置信息解析为标准化格式数据,构建防火墙策略信息库;
所述防火墙执行模块,用于执行防火墙配置备份、防火墙策略修改指令;
所述自动调用策略查询接口采用权利要求1至5中任一项所述的防火墙策略查询方法,查询现有服务器的所有强相关防火墙策略;反馈查询结果,其中包括防火墙设备信息、防火墙策略ID、源地址或目的地址属性、详细策略信息。
9.一种用于防火墙策略查询、弹性伸缩的设备,其特征在于,包括:处理器、存储介质和总线,所述存储介质存储有所述处理器可执行的机器可读指令,当所述设备运行时,所述处理器与所述存储介质之间通过所述总线通信,所述处理器执行所述机器可读指令,以执行权利要求1至7任一项所述的方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行权利要求1至7任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911421089.8A CN111193744B (zh) | 2019-12-31 | 2019-12-31 | 防火墙策略查询、弹性伸缩方法及系统、设备、存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911421089.8A CN111193744B (zh) | 2019-12-31 | 2019-12-31 | 防火墙策略查询、弹性伸缩方法及系统、设备、存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111193744A true CN111193744A (zh) | 2020-05-22 |
| CN111193744B CN111193744B (zh) | 2022-03-15 |
Family
ID=70708036
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911421089.8A Active CN111193744B (zh) | 2019-12-31 | 2019-12-31 | 防火墙策略查询、弹性伸缩方法及系统、设备、存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111193744B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111711635A (zh) * | 2020-06-23 | 2020-09-25 | 平安银行股份有限公司 | 防火墙开墙方法、装置、计算机设备及存储介质 |
| CN111970275A (zh) * | 2020-08-14 | 2020-11-20 | 中国工商银行股份有限公司 | 数据处理方法、装置、计算设备和介质 |
| CN112333139A (zh) * | 2020-08-21 | 2021-02-05 | 国家电网有限公司 | 防火墙防护提升方法、装置、设备及可读存储介质 |
| CN112350868A (zh) * | 2020-11-06 | 2021-02-09 | 平安科技(深圳)有限公司 | 开墙处理方法、装置、服务器、系统及可读存储介质 |
| CN114640532A (zh) * | 2022-03-29 | 2022-06-17 | 联想(北京)有限公司 | 一种处理方法、装置及电子设备 |
| CN115225407A (zh) * | 2022-08-03 | 2022-10-21 | 平安银行股份有限公司 | 防火墙信息处理方法、系统、电子装置及存储介质 |
| CN115277232A (zh) * | 2022-07-31 | 2022-11-01 | 招商局金融科技有限公司 | 安全策略回收方法和装置 |
| CN116094929A (zh) * | 2023-03-06 | 2023-05-09 | 天津金城银行股份有限公司 | 配置下发方法、装置、电子设备及计算机可读存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7016980B1 (en) * | 2000-01-18 | 2006-03-21 | Lucent Technologies Inc. | Method and apparatus for analyzing one or more firewalls |
| CN105681327A (zh) * | 2016-02-26 | 2016-06-15 | 上海携程商务有限公司 | 防火墙策略的自动查询方法及系统 |
| CN105721188A (zh) * | 2014-12-04 | 2016-06-29 | 北京神州泰岳信息安全技术有限公司 | 防火墙策略核查方法及系统 |
| CN105827649A (zh) * | 2016-05-19 | 2016-08-03 | 上海携程商务有限公司 | 防火墙策略的自动生成方法及系统 |
| CN105959331A (zh) * | 2016-07-19 | 2016-09-21 | 上海携程商务有限公司 | 防火墙策略的优化方法及装置 |
-
2019
- 2019-12-31 CN CN201911421089.8A patent/CN111193744B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7016980B1 (en) * | 2000-01-18 | 2006-03-21 | Lucent Technologies Inc. | Method and apparatus for analyzing one or more firewalls |
| CN105721188A (zh) * | 2014-12-04 | 2016-06-29 | 北京神州泰岳信息安全技术有限公司 | 防火墙策略核查方法及系统 |
| CN105681327A (zh) * | 2016-02-26 | 2016-06-15 | 上海携程商务有限公司 | 防火墙策略的自动查询方法及系统 |
| CN105827649A (zh) * | 2016-05-19 | 2016-08-03 | 上海携程商务有限公司 | 防火墙策略的自动生成方法及系统 |
| CN105959331A (zh) * | 2016-07-19 | 2016-09-21 | 上海携程商务有限公司 | 防火墙策略的优化方法及装置 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111711635B (zh) * | 2020-06-23 | 2024-03-26 | 平安银行股份有限公司 | 防火墙开墙方法、装置、计算机设备及存储介质 |
| CN111711635A (zh) * | 2020-06-23 | 2020-09-25 | 平安银行股份有限公司 | 防火墙开墙方法、装置、计算机设备及存储介质 |
| CN111970275A (zh) * | 2020-08-14 | 2020-11-20 | 中国工商银行股份有限公司 | 数据处理方法、装置、计算设备和介质 |
| CN112333139A (zh) * | 2020-08-21 | 2021-02-05 | 国家电网有限公司 | 防火墙防护提升方法、装置、设备及可读存储介质 |
| CN112350868B (zh) * | 2020-11-06 | 2023-04-18 | 平安科技(深圳)有限公司 | 开墙处理方法、装置、服务器、系统及可读存储介质 |
| CN112350868A (zh) * | 2020-11-06 | 2021-02-09 | 平安科技(深圳)有限公司 | 开墙处理方法、装置、服务器、系统及可读存储介质 |
| CN114640532A (zh) * | 2022-03-29 | 2022-06-17 | 联想(北京)有限公司 | 一种处理方法、装置及电子设备 |
| CN114640532B (zh) * | 2022-03-29 | 2023-03-24 | 联想(北京)有限公司 | 一种处理方法、装置及电子设备 |
| CN115277232A (zh) * | 2022-07-31 | 2022-11-01 | 招商局金融科技有限公司 | 安全策略回收方法和装置 |
| CN115277232B (zh) * | 2022-07-31 | 2024-02-06 | 招商局金融科技有限公司 | 安全策略回收方法和装置 |
| CN115225407A (zh) * | 2022-08-03 | 2022-10-21 | 平安银行股份有限公司 | 防火墙信息处理方法、系统、电子装置及存储介质 |
| CN116094929A (zh) * | 2023-03-06 | 2023-05-09 | 天津金城银行股份有限公司 | 配置下发方法、装置、电子设备及计算机可读存储介质 |
| CN116094929B (zh) * | 2023-03-06 | 2023-06-27 | 天津金城银行股份有限公司 | 配置下发方法、装置、电子设备及计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111193744B (zh) | 2022-03-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111193744B (zh) | 防火墙策略查询、弹性伸缩方法及系统、设备、存储介质 | |
| CN108093094B (zh) | 数据库实例访问方法、装置、系统、存储介质和设备 | |
| CN106878262B (zh) | 报文检测方法及装置、建立本地威胁情报库的方法及装置 | |
| US8515907B2 (en) | Apparatus, and associated method, for synchronizing directory services | |
| US11461267B2 (en) | Method, device and computer readable medium for accessing files | |
| US11689458B2 (en) | Control device, control method, and program | |
| JP2011199623A (ja) | ネットワーク管理装置、ネットワーク管理方法及びネットワーク管理プログラム | |
| CN114024886B (zh) | 跨资源池的网络互通方法、电子设备及可读存储介质 | |
| JP2009217426A (ja) | 情報処理装置、リソース同定プログラム、リソース同定方法 | |
| CN112445828A (zh) | 工业互联网标识解析递归查询路由方法、装置及计算机可读存储介质 | |
| CN115048188A (zh) | 容器的网络隔离控制系统、方法、电子设备及存储介质 | |
| CN111083054A (zh) | 路由配置处理方法、装置、计算机设备和存储介质 | |
| CN107124479A (zh) | 一种基于基数树的域名多线路智能解析方法 | |
| CN106021339A (zh) | 面向资源树的语义查询方法及系统 | |
| US7398310B1 (en) | Method and system for tracking entities in a computer network | |
| CN110597782B (zh) | 数据库动态切换方法、装置、计算机设备和存储介质 | |
| CN106533816B (zh) | 一种调整dns配置的方法及装置 | |
| CN112187963B (zh) | 分布式哈希表实现方法、计算机装置和存储介质 | |
| CN114244555A (zh) | 一种安全策略的调整方法 | |
| CN107704462B (zh) | 资源的元数据维护方法、设备及存储装置 | |
| CN111147618B (zh) | 一种通信方法、装置、电子设备和存储介质 | |
| CN113691423B (zh) | 数据流转路径的绘制方法、装置、存储介质及电子设备 | |
| CN108984780A (zh) | 基于支持重复键值树数据结构管理数据的方法和装置 | |
| US11528189B1 (en) | Network device identification and categorization using behavioral fingerprints | |
| CN105610809A (zh) | 网络准入控制的方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |