CN111586022A - 防火墙开墙验证方法、电子装置、计算机设备及存储介质 - Google Patents
防火墙开墙验证方法、电子装置、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN111586022A CN111586022A CN202010361316.9A CN202010361316A CN111586022A CN 111586022 A CN111586022 A CN 111586022A CN 202010361316 A CN202010361316 A CN 202010361316A CN 111586022 A CN111586022 A CN 111586022A
- Authority
- CN
- China
- Prior art keywords
- firewall
- request
- network
- terminal
- response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012795 verification Methods 0.000 title claims abstract description 71
- 238000000034 method Methods 0.000 title claims abstract description 66
- 230000004044 response Effects 0.000 claims abstract description 76
- 230000006854 communication Effects 0.000 claims description 41
- 238000004891 communication Methods 0.000 claims description 40
- 238000012544 monitoring process Methods 0.000 claims description 17
- 238000004590 computer program Methods 0.000 claims description 12
- 238000012545 processing Methods 0.000 claims description 6
- 238000012216 screening Methods 0.000 claims description 5
- 230000008569 process Effects 0.000 abstract description 11
- 238000005516 engineering process Methods 0.000 abstract description 2
- 230000000116 mitigating effect Effects 0.000 abstract 1
- 238000007726 management method Methods 0.000 description 27
- 238000010586 diagram Methods 0.000 description 6
- 238000012423 maintenance Methods 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 3
- 230000001419 dependent effect Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005111 flow chemistry technique Methods 0.000 description 1
- 230000008570 general process Effects 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000002035 prolonged effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及信息安全领域,揭示一种防火墙开墙验证方法、装置、计算机设备及存储介质,包括:请求端向响应端发送任务调用请求;判断所述请求端与所述响应端是否处于网络打通状态,若否,则请求端向管理端发送网络打通请求;判断所述请求端是否满足依赖项,若是,则管理端采集请求端和响应端的网络信息;管理端根据采集到的所述请求端和响应端的网络信息生成对应的防火墙策略,并配置到相应的防火墙上。本发明通过在网络打通之前设置依赖项检查判断,提高了网络打通的概率,降低了验证缓解失败的概率,通过依赖检查、策略下发验证过程自动化缩短了开墙的流程周期。此外,本发明还涉及区块链技术,请求端和响应端的网络信息可存储于区块链中。
Description
技术领域
本发明涉及信息安全领域,涉及一种防火墙开墙验证方法、电子装置、计算机设备及存储介质。
背景技术
当前大型互联网公司,为了保证IT网络环境的安全性与稳定性,网络架构都会采取隔离式网络;然而,一个软件系统的不同模块之间的互相调用,或者不同系统之间的互相调用,都需要跨越不同网段,因此会诞生大量的网络打通的需求。一般打通网络的流程如下:
1、按照公司IT运营规范,运维人员发起申请打通网络的流程,流程内容需包括源ip(调用方),目的ip(被调用方),目的端口,TCP或UDP协议。
2、流程还需经过审批才能到处理环节。
3、网络管理人员根据流程内容,制作网络打通的策略配置,然后通过手动或者工具,将制作好的策略配置到对应的防火墙上,然后回复处理完成。
4、运维人员看到流程处理完成,登录到机器上验证,验证通过即ok,否则继续联系网络管理员操作,直到验证源ip到目的ip端口网络开通。
上述网络打通流程存在以下缺陷:
1、人力成本:这类网络打通的操作,一般在晚上处理,如果需要当天打通网络,运维人员需要晚上值守到网络管理员处理完成,然后验证至通过。
2、时间成本:可能由于路由不通,或者目的端服务未正常启动,导致验证失败,然后重复沟通,甚至需要再走一个添加路由或者其他的流程,导致网络打通周期加长。
发明内容
本发明是通过下述技术方案来解决上述技术问题:
一种防火墙开墙验证方法,包括以下步骤:
请求端向响应端发送任务调用请求;
判断所述请求端与所述响应端是否处于网络打通状态,若否,则进入下一步;
请求端向管理端发送网络打通请求;请求端向管理端发送请求端和响应端的网络信息,所述网络信息包括源IP、目的IP、源端口、目的端口、通信协议,所述源IP为请求端IP,所述目的IP为响应端IP;
判断所述请求端是否满足依赖项,若是,则进入下一步;
管理端采集请求端和响应端的网络信息;
管理端根据采集到的所述请求端和响应端的网络信息生成对应的防火墙策略,并配置到相应的防火墙上。
较佳地,所述判断所述请求端与所述响应端是否处于网络打通状态包括:
采集所述请求端和所述响应端的网络信息,所述请求端和所述响应端的网络信息存储于区块链中,根据所述请求端和所述响应端的网络信息判断是否需要打通网络。
较佳地,所述依赖项包括路由依赖和监听依赖,所述路由依赖包括请求端服务器到响应端服务器是否有路由,所述监听依赖包括所述请求端到响应端的目的端口是否处于监听状态。
较佳地,所述管理端根据采集到的所述请求端和响应端的网络信息生成对应的防火墙策略,包括如下步骤:
获取防火墙的策略生成请求,所述策略生成请求包括防火墙策略所针对的源IP地址、目的IP地址、源端口、目的端口、通信协议;根据所述策略生成请求,调用预设的第一策略生成方法;
根据策略生成请求和第一策略生成方法,生成第一防火墙策略;
根据所述防火墙的属性信息,调用预设的第二策略生成方法;
根据第二策略生成方法以及属性信息,将第一防火墙策略转为与所述防火墙属性信息相匹配的第二防火墙策略。
较佳地,所述管理端根据采集到的所述请求端和响应端的网络信息生成对应的防火墙策略,并配置到相应的防火墙上包括:
根据防火墙的型号、源IP、目的IP、目的端口、通信协议生成与防火墙型号对应的防火墙策略;
查询防火墙的网络信息;
筛选与所述防火墙的网络信息相匹配的防火墙策略;
将所述防火墙策略下发至所述相匹配的防火墙上。
较佳地,所述方法还包括以下步骤:
管理端对配置好的防火墙策略进行验证,若验证成功,则发送验证成功信息至请求端;该步骤包括:管理端或用户端通过源IP访问目的IP,验证防火墙策略是否验证成功。
本发明还公开了一种防火墙开墙验证装置,包括:
调用模块,用于请求端向响应端发送任务调用请求;
网络判断模块,用于判断所述请求端与所述响应端是否处于网络打通状态;
信息采集模块,用于采集所述请求端和所述响应端的网络信息;
依赖判断模块,用于判断所述请求端是否满足依赖项;
网络打通模块,用于根据采集到的网路信息生成对应的防火墙策略并配置到相应的防火墙上。
较佳地,所述输出处理装置还包括防火墙验证模块,用于验证配置好的防火墙策略是否开墙成功。
本发明还公开了一种计算机设备,包括存储器和处理器,所述存储器上存储有计算机程序,所述计算机程序被所述处理器执行时实现如上所述的防火墙开墙验证方法的步骤。
本发明还公开了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序可被至少一个处理器所执行,以实现如上所述的防火墙开墙验证方法的步骤。
本发明的积极进步效果在于:
1、在网络打通之前设置依赖项判断,只有满足所有依赖项后才能进行网络打通,提高了网络打通的概率,降低了验证环节失败的概率;
2、依赖检查、下方策略、策略验证整个过程都是自动化处理,大大缩短了整个网络打通的周期,提高开墙效率。
附图说明
图1示出了本发明防火墙开墙验证方法实施例一的流程图。
图2示出了本发明防火墙开墙验证方法实施例一的流程图。
图3示出了本发明防火墙开墙验证装置第一实施例的结构图。
图4示出了本发明防火墙开墙验证装置第二实施例的结构图。
图5示出了本发明计算机设备一实施例的硬件架构示意图。
具体实施方式
下面通过实施例的方式进一步说明本发明,但并不因此将本发明限制在所述的实施例范围之中。
首先,本发明提出一种防火墙开墙验证方法。
在实施例一中,如图1所示,所述防火墙开墙验证方法包括如下步骤:
步骤1、请求端向响应端发送任务调用请求;
请求端上安装了某个软件系统的第一模块和网络打通应用程序,响应端上安装了某个软件系统的第二模块和网络打通程序,当请求端在利用第一模块进行任务时,可以向响应端的第二模块发送任务调用请求。请求端和响应端之间的任务调用还可以包括不同系统之间的互相调用。
步骤2、判断所述请求端与响应端是否处于网络打通状态,若否,则进入步骤3;
采集所述请求端和响应端的网络信息,根据所述请求端和响应端的网络信息判断是否需要打通网络。
当请求端向响应端发送任务调用请求后,若该请求被响应端拒绝,则需进一步判断请求端与响应端之间的网络是否处于打通状态,若未处于打通状态,则在再次发起任务调用请求之前先进行网络打通。
请求端通过网络打通应用程序获取第一模块的日志文件,从日志文件中获取请求端网络信息,同时获取第二模块的日志文件,从日志文件中获取响应端网络信息,根据请求端网络信息和响应端网络信息判断是否需要打通网络。
请求端通过网络打通应用程序读取第一模块的日志文件,日志文件中记录了第一模块向第二模块发送的任务调用请求以及调用请求对应的网络信息,其中调用请求可以是TCP、HTTP或UCP协议,调用请求对应的网络信息包括请求端对应的IP地址、端口、网段等,网络打通应用程序在日志文件中读取请求端网络信息和响应端网络信息,若两者的网段信息不同,则请求端和响应端处于网络未打通状态,需要进行网络打通。
步骤3、请求端向管理端发送网络打通请求;
当需要打通请求端和响应端之间的网络时,请求端向管理端发送网络打通请求,包括请求端和响应端之间的网络打通信息,所述网络打通信息包括源IP、目的IP、目的端口、源端口、通信协议,其中通信协议可以为TCP或UCP协议。管理端为网络管理人员操作终端,用于配置网络的相关信息,请求端登录网络打通登录页面,请求端的网络打通应用程序根据网络打通信息生成网络打通请求,网络打通应用程序可以通过与网络打通信息对应的参数生成网络打通请求,或者调用函数,将网络打通信息自动录入网络打通申请页面中。
请求端通过网络打通应用程序将生成的网络打通请求发送给管理端,其中源IP为请求端IP,目的IP为响应端IP,目的端口为响应端网络连接的端口信息,源端口为请求端网络连接的端口信息,TCP或UCP协议为请求端和响应端之间的通信协议。
步骤4、判断请求端是否满足依赖项,若是,则进入步骤5;
所述依赖项包括路由依赖和监听依赖,其中路由依赖包括源服务器到目的服务器是否有路由,监听依赖包括请求端到响应端的目的端口是否处于监听状态,若源服务器到目的服务器有路由以及目的端口处于监听状态,则满足依赖项。依赖项的配置可以根据实际需要在依赖管理页面进行依赖点的增删。
两个终端之间网络端口打通,不但要在防火墙上配置放行策略,还需要在打通之前满足依赖项,本实施例中的网络打通依赖包括:源服务器到目的服务器是否有路由以及目的端口是否处于监听状态,即路由依赖和监听依赖,其中源服务器为请求端服务器,目的服务器为响应端服务器。
路由依赖的判断包括:1)采集数据,包括源IP、源IP主机上的专用用户名、目的IP和目的端口,2)根据采集的源IP获取对应的密码;3)根据专用用户名和密码登录源IP主机;4)ping目的IP;5)获取ping命令的反馈结果;6)根据反馈结果判断路由依赖是否满足。其中源IP为请求端IP,源IP主机为请求端主机,专用用户名为请求端专用开墙用户名,目的IP为响应端IP,将源IP设为参数,根据该参数调用密码管理系统,获取源IP对应的密码,根据专用用户名和获取的密码登录源IP主机,ping目的IP,根据ping命令的返回结果,返回0表示路由是通的,即满足依赖项,否则不满足该依赖项。
监听依赖验证包括:远程登录到目的IP主机,执行echo</dev/tcp/127.0.0.1/目的端口;echo$?,执行结果返回0表示目的端口是正常监听状态,满足监听依赖,否则不满足该依赖项。管理端通过远程登录目的IP主机,检查目的端口是否满足监听状态,从而判断是否满足监听依赖项。
在用户发起网络打通流程时,管理端要先检查依赖情况,其中任何一个依赖项不满足,并在页面显示不通过的依赖点,待用户解决后,用户可以重新发起检查之前不通过的依赖点,只有当所有依赖点都检查通过时,才能继续发起网络打通流程。通过设置依赖项检查,提前排除路由或监听问题,避免因路由依赖或监听依赖不满足导致网路打通无法进行,提高了网络打通的效率。
步骤5、管理端采集请求端和响应端的网络信息
网络信息包括源IP、目的IP、目的端口、源端口、通信协议。
需要强调的是,为进一步保证上述请求端和响应端的网络信息的私密和安全性,上述请求端和响应端的网络信息还可以存储于一区块链的节点中。
步骤6、管理端根据采集到的所述请求端和响应端的网络信息生成对应的防火墙策略,并配置到相应的防火墙上;
根据防火墙的型号、源IP、目的IP、目的端口、通信协议生成与防火墙属性信息对应的防火墙策略,通过远程API的方式配置到请求端和响应端之间的防火墙上。查询现有的防火墙类型,不同防火墙类型对应不同的格式,根据流程信息中的源IP、目的IP、源端口、目的端口、通信协议形成具体的防火墙策略,根据服务器设备是否支持,若支持,则通过API调用方式配置,不支持的话,通过人工手动调动,登录设备,执行防火墙策略命令。
防火墙策略的生成包括如下步骤:
获取防火墙的策略生成请求,所述策略生成请求包括防火墙策略所针对的源IP地址、目的IP地址、源端口、目的端口、通信协议;
根据所述策略生成请求,调用预设的第一策略生成方法;在该实施例中,可通过API、命令行或远程过程调用调用第一策略生成方法。
根据策略生成请求和第一策略生成方法,生成第一防火墙策略;
获取防火墙的属性信息,所述属性信息包括防火墙设备的属性信息,如防火墙的品牌、所属类型等;管理端可以通过读取防火墙的配置文件获取相应的属性信息。
根据所述防火墙的属性信息,调用预设的第二策略生成方法;生成的防火墙策略应与实际使用该策略的防火墙的属性相匹配,否则,可能导致该防火墙设备无法识别该防火墙策略,导致策略不可用,可以通过第二策略生成方法将防火墙策略的格式转换为与防火墙设备的属性信息相适配的格式。在该实施例中,可以通过API、命令行或远程过程调用来调用第二策略生成方法。
根据第二策略生成方法以及属性信息,将第一防火墙策略转为与所述防火墙属性信息相匹配的第二防火墙策略。第二策略生成方法可以根据预设的不同格式之间的映射规则,将第一防火墙策略转换为第二防火墙策略。
在其他实施方式中,在将防火墙策略配置到防火墙之前,还可包括如下步骤:
根据防火墙的型号、源IP、目的IP、目的端口、通信协议生成与防火墙型号对应的防火墙策略;
查询防火墙的网络信息;
获取预设的匹配策略,所述匹配策略存储所述网络配置项及其关联的防火墙策略;
筛选与所述防火墙的网络信息相匹配的防火墙策略;根据所述网络信息和匹配策略,确定与所述防火墙的网络信息相匹配的防火墙策略;
将上述防火墙策略下发至相匹配的防火墙上。
其中防火墙的网络信息包括:所属网段、网络区域,筛选与防火墙的网络信息匹配的防火墙策略包括:筛选防火墙策略上的源IP和目的IP,使其与防火墙的网络信息相一致。
其中匹配策略的生成可通过二叉树模型生成:
初始化外层二叉树,将所述源端口配置项添加到所述外层二叉树中;可通过对源端口配置项进行形式转换,得到源端口对应的网段,根据所述网段确定外层二叉树中的外层节点;
将源端口配置项对应的目的端口配置和防火墙策略关联到源端口配置项对应的外层节点上;外层二叉树的外层节点上记录源端口配置项,外层节点的内部规则链上同时记录了源端口配置项对应的目的端口配置项和防火墙策略。
遍历外层二叉树,对于所述外层节点,继承所述外层节点的祖先节点中存储的目的端口配置项和防火墙策略。当外层二叉树上某外层节点的内部规则链不为空时,该外层节点需继承祖先节点上记录的防火墙策略的规则编号与目的端口配置项。
在实施例二中,基于实施例一的基础上,如图2所示,所述的防火墙开墙验证方法还包括如下步骤:
步骤7、管理端对配置好的防火墙策略进行验证,若验证失败,则进入步骤8,若验证成功,则发送验证成功信息至请求端;
管理端或用户端通过源IP访问目的IP,验证防火墙策略是否验证成功,根据源IP和源IP开墙用户,获取开墙用户密码,远程登录到源IP主机,执行echo</dev/tcp/目的ip/目的端口;echo$?,执行结果返回0表示开墙验证成功,否则不通过,需要手动处理开墙,直至验证通过。包括以下步骤:
管理端检测到防火墙策略验证请求时,根据源IP和源IP开墙用户,获取开墙用户密码;
管理端对源IP主机执行远程登录操作;
IP源主机远程登录成功后,管理端将防火墙策略验证请求中的防火墙策略发送至对应IP源主机进行验证;即执行echo</dev/tcp/目的ip/目的端口;echo$?,执行结果返回0表示开墙验证成功。
另外一种验证方式,将系统内置验证脚本下发至源IP服务器,执行验证脚本,并获取执行结果,根据执行结果判断验证是否成功。
步骤8、管理端读取日志,提出失败原因,返回步骤7。
从系统自动生成的日志文件中读取未开启的端口信息,开启端口,重新进入步骤7进行验证。
其次,本发明提出了一种防火墙开墙验证装置,所述装置20可以被分割为一个或者多个模块。
例如,图3示出了所述防火墙开墙验证装置20第一实施例的结构图,该实施例中,所述装置20可以被分割为调用模块201、网络判断模块202、信息采集模块203、依赖判断模块204和网络打通模块205。以下描述将具体介绍所述模块201-206的具体功能。
调用模块201,用于请求端向响应端发送任务调用请求;请求端上安装了某个软件系统的第一模块和网络打通应用程序,响应端上安装了某个软件系统的第二模块和网络打通程序,当请求端在利用第一模块进行任务时,可以通过调用模块201向响应端的第二模块发送任务调用请求。请求端和响应端之间的任务调用还可以包括不同系统之间的互相调用。
网络判断模块202,用于判断所述请求端与所述响应端是否处于网络打通状态;网络判断模块202通过网络打通应用程序读取第一模块的日志文件,日志文件中记录了第一模块向第二模块发送的任务调用请求以及调用请求对应的网络信息,其中调用请求可以是TCP、HTTP或UCP协议,调用请求对应的网络信息包括请求端对应的IP地址、端口、网段等,网络打通应用程序在日志文件中读取请求端网络信息和响应端网络信息,若两者的网段信息不同,则请求端和响应端处于网络未打通状态,需要进行网络打通。
信息采集模块203,用于采集所述请求端和所述响应端的网络信息;网络信息包括源IP、目的IP、目的端口、通信协议。
依赖判断模块204,用于判断所述请求端是否满足依赖项;依赖判断模块204通过判断源服务器到目的服务器是否有路由以及目的端口是否处于监听状态,即路由依赖和监听依赖,从而判断所述请求端是否满足依赖项。
网络打通模块205,用于根据采集到的网路信息生成对应的防火墙策略并配置到相应的防火墙上。网络打通模块205根据请求端和响应端的网络信息从防火墙模型库里筛选对应的防火墙模型,根据所述防火墙模型和网络信息生成防火墙策略,通过远程API的方式配置到请求端和响应端之间的防火墙上。查询现有的防火墙模型,不同防火墙模型对应不同的格式,根据流程信息中的源IP、目的IP、目的端口、通信协议形成具体的防火墙策略,根据服务器设备是否支持,若支持,则通过API调用方式配置,不支持的话,通过人工手动调动,登录设备,执行防火墙策略命令。
图4示出了所述防火墙开墙验证装置20第二实施例的结构图。
除了上述模块外,所述防火墙开墙验证装置20还包括防火墙验证模块206,用于验证配置好的防火墙策略是否开墙成功。防火墙验证模块206根据源IP和源IP开墙用户,获取开墙用户密码,远程登录到源IP主机,执行echo</dev/tcp/目的ip/目的端口;echo$?,执行结果返回0表示开墙验证成功,否则不通过,需要手动处理开墙,直至验证通过。另外一种验证方式,将系统内置验证脚本下发至源IP服务器,执行验证脚本,并获取执行结果,根据执行结果判断验证是否成功。
再次,本发明还提出来一种计算机设备。
参阅图5所示,是本发明计算机设备一实施例的硬件架构示意图。本实施例中,所述计算机设备2是一种能够按照事先设定或者存储的指令,自动进行数值计算和/或信息处理的设备。例如,可以是智能手机、平板电脑、笔记本电脑、台式计算机、机架式服务器、刀片式服务器、塔式服务器或机柜式服务器(包括独立的服务器,或者多个服务器所组成的服务器集群)等。如图所示,所述计算机设备2至少包括,但不限于,可通过系统总线相互通信连接存储器21、处理器22以及网络接口23。其中:
所述存储器21至少包括一种类型的计算机可读存储介质,所述可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,所述存储器21可以是所述计算机设备2的内部存储单元,例如该计算机设备2的硬盘或内存。在另一些实施例中,所述存储器21也可以是所述计算机设备2的外部存储设备,例如该计算机设备2上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。当然,所述存储器21还可以既包括所述计算机设备2的内部存储单元也包括其外部存储设备。本实施例中,所述存储器21通常用于存储安装于所述计算机设备2的操作系统和各类应用软件,例如用于实现所述防火墙自动开墙验证方法的计算机程序等。此外,所述存储器21还可以用于暂时地存储已经输出或者将要输出的各类数据。
所述处理器22在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他防火墙自动开墙验证芯片。该处理器22通常用于控制所述计算机设备2的总体操作,例如执行与所述计算机设备2进行数据交互或者通信相关的控制和处理等。本实施例中,所述处理器22用于运行所述存储器21中存储的程序代码或者处理数据,例如运行用于实现所述防火墙自动开墙验证方法的计算机程序等。
所述网络接口23可包括无线网络接口或有线网络接口,该网络接口23通常用于在所述计算机设备2与其他计算机设备之间建立通信连接。例如,所述网络接口23用于通过网络将所述计算机设备2与外部终端相连,在所述计算机设备2与外部终端之间的建立数据传输通道和通信连接等。所述网络可以是企业内部网(Intranet)、互联网(Internet)、全球移动通讯系统(Global System of Mobile communication,GSM)、宽带码分多址(WidebandCode Division Multiple Access,WCDMA)、4G网络、5G网络、蓝牙(Bluetooth)、Wi-Fi等无线或有线网络。
需要指出的是,图5仅示出了具有组件21-23的计算机设备2,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。在本实施例中,存储于存储器21中的用于实现所述防火墙开墙验证方法的计算机程序可以被一个或多个处理器(本实施例为处理器22)所执行,以完成以下步骤的操作:
此外,本发明一种计算机可读存储介质,所述计算机可读存储介质为非易失性可读存储介质,其内存储有计算机程序,所述计算机程序可被至少一个处理器所执行,以实现上述防火墙开墙验证方法或装置的操作。
其中,计算机可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,计算机可读存储介质可以是计算机设备的内部存储单元,例如该计算机设备的硬盘或内存。在另一些实施例中,计算机可读存储介质也可以是计算机设备的外部存储设备,例如该计算机设备上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。当然,计算机可读存储介质还可以既包括计算机设备的内部存储单元也包括其外部存储设备。本实施例中,计算机可读存储介质通常用于存储安装于计算机设备的操作系统和各类应用软件,例如前述用于实现所述防火墙开墙验证方法的计算机程序等。此外,计算机可读存储介质还可以用于暂时地存储已经输出或者将要输出的各类数据。本发明所指区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain),本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了一批次网络交易的信息,用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层等。
虽然以上描述了本发明的具体实施方式,但是本领域的技术人员应当理解,这仅是举例说明,本发明的保护范围是由所附权利要求书限定的。本领域的技术人员在不背离本发明的原理和实质的前提下,可以对这些实施方式做出多种变更或修改,但这些变更和修改均落入本发明的保护范围。
Claims (10)
1.一种防火墙开墙验证方法,其特征在于,包括以下步骤:
请求端向响应端发送任务调用请求;
判断所述请求端与所述响应端是否处于网络打通状态,若否,则进入下一步;
请求端向管理端发送网络打通请求;请求端向管理端发送请求端和响应端的网络信息,所述网络信息包括源IP、目的IP、源端口、目的端口、通信协议,所述源IP为请求端IP,所述目的IP为响应端IP;
判断所述请求端是否满足依赖项,若是,则进入下一步;
管理端采集请求端和响应端的网络信息;
管理端根据采集到的所述请求端和响应端的网络信息生成对应的防火墙策略,并配置到相应的防火墙上。
2.根据权利要求1所述的方法,其特征在于:所述判断所述请求端与所述响应端是否处于网络打通状态包括:
采集所述请求端和所述响应端的网络信息,所述请求端和所述响应端的网络信息存储于区块链中,根据所述请求端和所述响应端的网络信息判断是否需要打通网络。
3.根据权利要求1所述的方法,其特征在于:所述依赖项包括路由依赖和监听依赖,所述路由依赖包括请求端服务器到响应端服务器是否有路由,所述监听依赖包括所述请求端到响应端的目的端口是否处于监听状态。
4.根据权利要求1所述的方法,其特征在于:所述管理端根据采集到的所述请求端和响应端的网络信息生成对应的防火墙策略,包括如下步骤:
获取防火墙的策略生成请求,所述策略生成请求包括防火墙策略所针对的源IP、目的IP、源端口、目的端口、通信协议;根据所述策略生成请求,调用预设的第一策略生成方法;
根据策略生成请求和第一策略生成方法,生成第一防火墙策略;
根据所述防火墙的属性信息,调用预设的第二策略生成方法;
根据第二策略生成方法以及属性信息,将第一防火墙策略转为与所述防火墙属性信息相匹配的第二防火墙策略。
5.根据权利要求1所述的方法,其特征在于:所述管理端根据采集到的所述请求端和响应端的网络信息生成对应的防火墙策略,并配置到相应的防火墙上包括:
根据防火墙的型号、源IP、目的IP、目的端口、通信协议生成与防火墙型号对应的防火墙策略;
查询防火墙的网络信息;
筛选与所述防火墙的网络信息相匹配的防火墙策略;
将所述防火墙策略下发至所述相匹配的防火墙上。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括以下步骤:
管理端对配置好的防火墙策略进行验证,若验证成功,则发送验证成功信息至请求端;该步骤包括:管理端或用户端通过源IP访问目的IP,验证防火墙策略是否验证成功。
7.一种防火墙开墙验证装置,其特征在于,包括:
调用模块,用于请求端向响应端发送任务调用请求;
网络判断模块,用于判断所述请求端与所述响应端是否处于网络打通状态;
信息采集模块,用于采集所述请求端和所述响应端的网络信息;
依赖判断模块,用于判断所述请求端是否满足依赖项;
网络打通模块,用于根据采集到的网路信息生成对应的防火墙策略并配置到相应的防火墙上。
8.根据权利要求7所述的装置,其特征在于:所述输出处理装置还包括防火墙验证模块,用于验证配置好的防火墙策略是否开墙成功。
9.一种计算机设备,包括存储器和处理器,其特征在于:所述存储器上存储有计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1-6中任一项所述的防火墙开墙验证方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序可被至少一个处理器所执行,以实现如权利要求1-6中任一项所述的防火墙开墙验证方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010361316.9A CN111586022A (zh) | 2020-04-30 | 2020-04-30 | 防火墙开墙验证方法、电子装置、计算机设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010361316.9A CN111586022A (zh) | 2020-04-30 | 2020-04-30 | 防火墙开墙验证方法、电子装置、计算机设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111586022A true CN111586022A (zh) | 2020-08-25 |
Family
ID=72114280
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010361316.9A Pending CN111586022A (zh) | 2020-04-30 | 2020-04-30 | 防火墙开墙验证方法、电子装置、计算机设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111586022A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112350868A (zh) * | 2020-11-06 | 2021-02-09 | 平安科技(深圳)有限公司 | 开墙处理方法、装置、服务器、系统及可读存储介质 |
CN113965374A (zh) * | 2021-10-20 | 2022-01-21 | 平安普惠企业管理有限公司 | 基于内网的防火墙验证方法及存储介质 |
CN116094929A (zh) * | 2023-03-06 | 2023-05-09 | 天津金城银行股份有限公司 | 配置下发方法、装置、电子设备及计算机可读存储介质 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150358282A1 (en) * | 2014-06-04 | 2015-12-10 | Bank Of America Corporation | Firewall Policy Browser |
US20190097975A1 (en) * | 2017-09-28 | 2019-03-28 | L3 Technologies, Inc. | Host process and memory separation |
CN109561087A (zh) * | 2018-11-28 | 2019-04-02 | 南京中孚信息技术有限公司 | 防火墙穿透方法及系统 |
US20190173736A1 (en) * | 2017-12-05 | 2019-06-06 | Cisco Technology, Inc. | Cross-domain assurance |
CN110336834A (zh) * | 2019-07-31 | 2019-10-15 | 中国工商银行股份有限公司 | 用于防火墙策略的处理方法和装置 |
CN110661811A (zh) * | 2019-10-10 | 2020-01-07 | 国网山东省电力公司信息通信公司 | 一种防火墙策略管理方法及装置 |
CN110677383A (zh) * | 2019-08-22 | 2020-01-10 | 平安科技(深圳)有限公司 | 防火墙开墙方法、装置、存储介质及计算机设备 |
-
2020
- 2020-04-30 CN CN202010361316.9A patent/CN111586022A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150358282A1 (en) * | 2014-06-04 | 2015-12-10 | Bank Of America Corporation | Firewall Policy Browser |
US20190097975A1 (en) * | 2017-09-28 | 2019-03-28 | L3 Technologies, Inc. | Host process and memory separation |
US20190173736A1 (en) * | 2017-12-05 | 2019-06-06 | Cisco Technology, Inc. | Cross-domain assurance |
CN109561087A (zh) * | 2018-11-28 | 2019-04-02 | 南京中孚信息技术有限公司 | 防火墙穿透方法及系统 |
CN110336834A (zh) * | 2019-07-31 | 2019-10-15 | 中国工商银行股份有限公司 | 用于防火墙策略的处理方法和装置 |
CN110677383A (zh) * | 2019-08-22 | 2020-01-10 | 平安科技(深圳)有限公司 | 防火墙开墙方法、装置、存储介质及计算机设备 |
CN110661811A (zh) * | 2019-10-10 | 2020-01-07 | 国网山东省电力公司信息通信公司 | 一种防火墙策略管理方法及装置 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112350868A (zh) * | 2020-11-06 | 2021-02-09 | 平安科技(深圳)有限公司 | 开墙处理方法、装置、服务器、系统及可读存储介质 |
WO2022095367A1 (zh) * | 2020-11-06 | 2022-05-12 | 平安科技(深圳)有限公司 | 开墙处理方法、装置、服务器、系统及可读存储介质 |
CN112350868B (zh) * | 2020-11-06 | 2023-04-18 | 平安科技(深圳)有限公司 | 开墙处理方法、装置、服务器、系统及可读存储介质 |
CN113965374A (zh) * | 2021-10-20 | 2022-01-21 | 平安普惠企业管理有限公司 | 基于内网的防火墙验证方法及存储介质 |
CN116094929A (zh) * | 2023-03-06 | 2023-05-09 | 天津金城银行股份有限公司 | 配置下发方法、装置、电子设备及计算机可读存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110427785B (zh) | 设备指纹的获取方法和装置、存储介质及电子装置 | |
CN111586022A (zh) | 防火墙开墙验证方法、电子装置、计算机设备及存储介质 | |
CN108418787B (zh) | 企业资源计划数据的采集方法、终端设备及介质 | |
CN112527484B (zh) | 工作流断点续跑方法、装置、计算机设备及可读存储介质 | |
CN110932918B (zh) | 日志数据采集方法、装置及存储介质 | |
CN110222535B (zh) | 区块链配置文件的处理装置、方法及存储介质 | |
WO2019051948A1 (zh) | 监控数据的处理方法、设备、服务器及存储介质 | |
CN106656927A (zh) | 将Linux账号加入AD域的方法及装置 | |
CN113190287A (zh) | 外部设备对接方法、装置、计算机设备及可读存储介质 | |
CN111651140B (zh) | 基于工作流的服务方法及装置 | |
CN112181836A (zh) | 测试用例生成方法、系统、设备及存储介质 | |
CN116957764A (zh) | 一种账户数据处理方法、装置、电子设备及存储介质 | |
JP2021144639A (ja) | 資産情報管理システム、及び資産情報管理方法 | |
CN111338644A (zh) | 任务脚本部署方法及系统 | |
EP4130982A1 (en) | Network-based solution module deployment platform | |
CN111506641A (zh) | 数据管理方法、数据采集平台、数据管理系统及存储介质 | |
CN113810379B (zh) | 一种异常处理方法及多服务系统 | |
CN115048187A (zh) | 一种基于Operator的pvc文件导入方法、设备及存储介质 | |
CN111447080B (zh) | 私有网络去中心化控制方法、装置及计算机可读存储介质 | |
US11381404B2 (en) | Trusted platform module attestation flow over simple authentication and security layer with multiple symmetric key identification | |
CN113867778A (zh) | 一种镜像文件的生成方法、装置、电子设备及存储介质 | |
CN113656378A (zh) | 一种服务器管理方法、装置、介质 | |
CN114531253A (zh) | 一种威胁情报生成方法、设备、系统及存储介质 | |
US20190116198A1 (en) | Method For Model Checking On The Design Of Security checking software Of Safety-critical Distributed Storage System | |
EP2869245A2 (en) | Service modeling and execution |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
AD01 | Patent right deemed abandoned |
Effective date of abandoning: 20240209 |
|
AD01 | Patent right deemed abandoned |