CN111835794A - 防火墙策略控制方法、装置、电子设备及存储介质 - Google Patents
防火墙策略控制方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN111835794A CN111835794A CN202010979609.3A CN202010979609A CN111835794A CN 111835794 A CN111835794 A CN 111835794A CN 202010979609 A CN202010979609 A CN 202010979609A CN 111835794 A CN111835794 A CN 111835794A
- Authority
- CN
- China
- Prior art keywords
- firewall
- service module
- server
- network
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2457—Query processing with adaptation to user needs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0876—Aspects of the degree of configuration automation
- H04L41/0886—Fully automatic configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0889—Techniques to speed-up the configuration process
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请涉及网络安全管理技术领域,公开了一种防火墙策略控制方法、装置、电子设备及存储介质,用于对网络中防火墙策略进行控制,提高防火墙策略下发效率,降低防火墙策略配置的出错率,避免网络遭受攻击,提升防护能力,方法包括:获取待配置的模块调用关系,模块调用关系包括第一业务模块和第二业务模块之间的调用关系;基于网络的网络结构描述数据,筛选出第一业务模块所在的第一服务器和第二业务模块所在的第二服务器之间通信时需要通过的目标防火墙,其中,网络结构描述数据用于描述网络中各个防火墙与至少两个服务器之间的通信连接关系;基于目标防火墙的策略配置语法和模块调用关系,生成相应的防火墙策略配置脚本,并下发至目标防火墙。
Description
技术领域
本申请涉及网络安全管理技术领域,尤其涉及一种防火墙策略控制方法、装置、电子设备及存储介质。
背景技术
通常在大型企业内部网络中,网络架构及防火墙的部署也相对复杂,通过防火墙将网络划分为不同的安全域,同时为增加安全性,会在不同安全域部署不同品牌的防火墙。当A系统的功能实现依赖于B系统时,若A系统的服务器与B系统的服务器之间的网络通道上有部署防火墙,此时需要用户提交开通防火墙策略的申请,然后由网络管理人员基于申请内容评估需要在哪些防火墙上执行配置防火墙策略,并根据防火墙厂商提供的语法手动编写防火墙配置脚本,将编写的配置脚本下发到对应的防火墙,使得A系统的服务器可顺利通过防火墙访问B系统的服务器。但是,现有的人工定位防火墙以及人工编写防火墙配置脚本的方式,处理效率低且易出错。
发明内容
本申请实施例提供一种防火墙策略控制方法、装置、电子设备及存储介质,提高了防火墙策略下发效率,降低了防火墙策略配置的出错率。
一方面,本申请一实施例提供了一种防火墙策略控制方法,用于对网络中防火墙的防火墙策略进行控制,所述网络包括至少两个服务器,每个服务器中运行至少一个业务模块,包括:
获取待配置的模块调用关系,所述模块调用关系包括第一业务模块和第二业务模块之间的调用关系;
基于所述网络的网络结构描述数据,筛选出所述第一业务模块所在的第一服务器和所述第二业务模块所在的第二服务器之间通信时需要通过的目标防火墙,其中,所述网络结构描述数据用于描述所述网络中各个防火墙与所述至少两个服务器之间的通信连接关系;
基于所述目标防火墙的策略配置语法和所述模块调用关系,生成相应的防火墙策略配置脚本,并下发至所述目标防火墙。
一方面,本申请一实施例提供了一种防火墙策略控制装置,用于对网络中防火墙的防火墙策略进行控制,所述网络包括至少两个服务器,每个服务器中运行至少一个业务模块,包括:
获取单元,用于获取待配置的模块调用关系,所述模块调用关系包括第一业务模块和第二业务模块之间的调用关系;
定位单元,用于基于所述网络的网络结构描述数据,筛选出所述第一业务模块所在的第一服务器和所述第二业务模块所在的第二服务器之间通信时需要通过的目标防火墙,其中,所述网络结构描述数据用于描述所述网络中各个防火墙与所述至少两个服务器之间的通信连接关系;
下发单元,用于基于所述目标防火墙的策略配置语法和所述模块调用关系,生成相应的防火墙策略配置脚本,并下发至所述目标防火墙。
可选地,所述网络结构描述数据包括每个防火墙的路由表,每个防火墙的路由表包括防火墙的端口和网段的路由关系,所述定位单元,具体用于:
获取所述第一业务模块所在的第一服务器的第一地址信息和所述第二业务模块所在的第二服务器的第二地址信息;
针对任一防火墙,从所述任一防火墙的路由表包含的网段中,筛选出与所述第一地址信息匹配的第一网段以及与所述第二地址信息匹配的第二网段,若所述第一网段在所述任一防火墙的路由表中对应的端口与所述第二网段在所述任一防火墙的路由表中对应的端口不一致,则将所述任一防火墙确定为目标防火墙。
可选地,所述定位单元,具体用于:
从所述任一防火墙的路由表包含的网段中,筛选出所述第一地址信息所属的候选网段,将掩码最长的候选网段确定为与所述第一地址信息匹配的第一网段;
从所述任一防火墙的路由表包含的网段中,筛选出所述第二地址信息所属的候选网段,将掩码最长的候选网段确定为与所述第二地址信息匹配的第二网段。
可选地,所述装置还包括存储单元,用于:
将所述目标防火墙的防火墙标识和所述防火墙策略配置脚本的脚本标识,作为所述第一服务器的已配置信息,存储到所述第一业务模块的已配置列表中;
将所述目标防火墙的防火墙标识和所述防火墙策略配置脚本的脚本标识,作为所述第二服务器的已配置信息,存储到所述第一业务模块的已配置列表中。
可选地,所述装置还包括删除单元,用于:
响应针对任一业务模块的服务器删除操作,获得被删除服务器在所述任一业务模块的已配置列表中的已配置信息;
基于获得的已配置信息中的防火墙标识和脚本标识,删除相应的防火墙中相应的防火墙策略配置脚本。
可选地,所述装置还包括新增单元,用于:
响应针对任一业务模块的服务器新增操作,获得新增服务器的第三地址信息;
获取与所述任一业务模块具有调用关系的业务模块所在服务器的第四地址信息;
针对所述网络中的任一防火墙,若所述第三地址信息在所述任一防火墙中对应的端口和所述第四地址信息在所述任一防火墙中对应的端口不一致,则基于所述任一防火墙的策略配置语法和所述任一业务模块对应的模块调用关系,生成相应的防火墙策略配置脚本,并下发至所述任一防火墙。
可选地,所述装置还包括更新单元,用于:
定期从所述网络中获取各个防火墙的路由表;
基于发生变化的路由表以及相应的模块调用关系,重新筛选出模块调用关系对应的目标防火墙;
基于重新筛选出的目标防火墙的策略配置语法和所述模块调用关系,生成相应的防火墙策略配置脚本,并下发至所述重新筛选出的目标防火墙。
一方面,本申请一实施例提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,处理器执行计算机程序时实现上述任一种方法的步骤。
一方面,本申请一实施例提供了一种计算机可读存储介质,其上存储有计算机程序指令,该计算机程序指令被处理器执行时实现上述任一种方法的步骤。
一方面,本申请一实施例提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述任一种TCP传输性能的控制的各种可选实现方式中提供的方法。
本申请实施例提供的防火墙策略控制方法、装置、电子设备及存储介质,基于网络结构描述数据和模块调用关系,可自动定位出各个业务模块所在的服务器之间通信时需要经过的防火墙,并自动生成相应的防火墙策略配置脚本下发至对应的防火墙,实现待配置防火墙的自动定位和防火墙策略的自动下发,提高了防火墙策略下发效率,降低了策略开通过程中的出错率。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,显而易见地,下面所介绍的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的防火墙策略控制方法的应用场景示意图;
图2为本申请一实施例提供的防火墙策略控制方法的流程示意图;
图3为本申请一实施例提供的模块调用关系和策略映射逻辑的示意图;
图4为本申请一实施例提供的部分防火墙的路由表的示意图;
图5为本申请一实施例提供的确定目标防火墙的流程示意图;
图6为本申请一实施例提供的业务模块A对应的已配置列表;
图7为本申请一实施例提供的为某一业务模块新增服务器时的防火墙策略控制方法的示意图;
图8为本申请一实施例提供的为某一业务模块新增服务器时更新防火墙策略的示意图;
图9为本申请一实施例提供的防火墙策略控制装置的结构示意图;
图10为本申请一实施例提供的电子设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。
为了方便理解,下面对本申请实施例中涉及的名词进行解释:
云技术(Cloud technology)是指在广域网或局域网内将硬件、软件、网络等系列资源统一起来,实现数据的计算、储存、处理和共享的一种托管技术。
云技术(Cloud technology)基于云计算商业模式应用的网络技术、信息技术、整合技术、管理平台技术、应用技术等的总称,可以组成资源池,按需所用,灵活便利。云计算技术将变成重要支撑。技术网络系统的后台服务需要大量的计算、存储资源,如视频网站、图片类网站和更多的门户网站。伴随着互联网行业的高度发展和应用,将来每个物品都有可能存在自己的识别标志,都需要传输到后台系统进行逻辑处理,不同程度级别的数据将会分开处理,各类行业数据皆需要强大的系统后盾支撑,只能通过云计算来实现。云安全(Cloud Security) 是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。云安全融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,并发送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
云安全主要研究方向包括:1. 云计算安全,主要研究如何保障云自身及云上各种应用的安全,包括云计算机系统安全、用户数据的安全存储与隔离、用户接入认证、信息传输安全、网络攻击防护、合规审计等;2. 安全基础设施的云化,主要研究如何采用云计算新建与整合安全基础设施资源,优化安全防护机制,包括通过云计算技术构建超大规模安全事件、信息采集与处理平台,实现对海量信息的采集与关联分析,提升全网安全事件把控能力及风险控制能力;3. 云安全服务,主要研究各种基于云计算平台为用户提供的安全服务,如防病毒服务等。
防火墙:是一个由计算机硬件和软件组成的系统,部署于网络边界,是内部网络和外部网络之前的连接桥梁,同时对进出网络边界的数据进行保护,防止恶意入侵、恶意代码的传播等,保障内部网络数据的安全。防火墙技术是建立在网络技术和信息安全技术基础上的应用性安全技术,几乎所有的企业内部网络与外部网络(如因特网)相连接的边界设都会放置防火墙,防火墙能够起到安全过滤和安全隔离外网攻击、入侵等有害的网络安全信息和行为。
网络结构描述数据:是描述网络中各个防火墙与至少两个服务器之间的通信连接关系的数据。例如服务器A通过防火墙FW1与服务器B通信,服务器C通过防火墙FW2与服务器B通信。
网段(network segment):指从多个连续不间断的IP地址组成的一个区间,一个网络中的IP地址可被分成多个网段来提高性能。例如,10.1.1.0~10.1.1.255可以是一个网段,10.2.1.0~10.2.1.255可以是一个网段。
掩码:即子网掩码(subnet mask),又叫网络掩码、地址掩码、子网络遮罩,它是一种用来指明一个IP地址的哪些位标识的是主机所在的子网,以及哪些位标识的是主机的位掩码。子网掩码不能单独存在,它必须结合IP地址一起使用。子网掩码只有一个作用,就是将某个IP地址划分成网络地址和主机地址两部分。当子网掩码为8位时,即255.0.0.0/8,子网占24位,可用IP数为2^24-2=16777214个;当子网掩码为24位时,即255.255.255.0/24,子网占8位,可用IP数为2^8-2=254个。
客户端(Client)或称为用户端,是指与服务器相对应,为客户提供本地服务的程序。除了一些只在本地运行的应用程序之外,一般安装在普通的客户机上,需要与服务端互相配合运行。因特网发展以后,较常用的用户端包括了如万维网使用的网页浏览器,收寄电子邮件时的电子邮件客户端,以及即时通讯的客户端软件等。对于这一类应用程序,需要网络中有相应的服务器和服务程序来提供相应的服务,如数据库服务,电子邮件服务等等,这样在客户机和服务器端,需要建立特定的通信连接,来保证应用程序的正常运行。
附图中的任何元素数量均用于示例而非限制,以及任何命名都仅用于区分,而不具有任何限制含义。
在具体实践过程中,通常在大型企业内部网络中,网络架构及防火墙的部署也相对复杂,通过防火墙将整个网络划分为不同的安全域,同时为增加安全性,会在不同安全域部署不同品牌的防火墙,策略的实施需进行防火墙策略配置的定位、不同品牌防火墙策略配置语法的转译,人工执行效率较低,容易出错,导致策略下发效率低。此外,针对防火墙策略的开通申请会有严格的把控流程,但在业务模块下线或业务迁移过程中,往往缺少相应的配套流程或者系统把控,通常只能通过流程规范约束或定期梳理的方式删除无效策略,防火墙策略运营维护成本高,效果不理想,容易导致无效策略积累,增加了系统存储负担,同时降低了系统的安全性,例如服务器A中的业务模块a和服务器B中的业务模块b下线后,服务器A、B之间就不需要进行通信,如果未及时删除允许服务器A、B之间通信的防火墙策略,服务器A、B之间仍可以进行通信,会带来安全隐患,尤其是在互联网场景中应用系统迭代快,随着无效策略的累积,最终导致整个防火墙系统形同虚设。
为此,本申请提供了一种防火墙策略控制方法,用于对网络中防火墙的防火墙策略进行控制,该网络包括至少两个服务器,且每个服务器中运行至少一个业务模块,上述防火墙策略控制方法具体包括以下步骤:获取待配置的模块调用关系,模块调用关系包括第一业务模块和第二业务模块之间的调用关系;基于网络的网络结构描述数据,筛选出第一业务模块所在的第一服务器和第二业务模块所在的第二服务器之间通信时需要通过的目标防火墙,其中,网络结构描述数据用于描述网络中各个防火墙与至少两个服务器之间的通信连接关系;基于目标防火墙的策略配置语法和模块调用关系,生成相应的防火墙策略配置脚本,并下发至目标防火墙。基于网络结构描述数据和模块调用关系,可自动定位出各个业务模块所在的服务器之间通信时需要经过的防火墙,并自动生成相应的防火墙策略配置脚本下发至对应的防火墙,实现待配置防火墙的自动定位和防火墙策略的自动下发,提高了防火墙策略下发效率,降低了策略开通过程中的出错率。此外,对已配置的防火墙策略、模块调用关系以及业务模块与服务器的关系进行统一管理,在业务模块下线或更新时,基于上述信息快速定位到业务模块对应的防火墙策略配置脚本,并自动更新防火墙策略,实现防火墙策略的全生命周期管理,可以有效规避无效策略累积,提高网络系统的安全性。
在介绍完本申请实施例的设计思想之后,下面对本申请实施例的技术方案能够适用的应用场景做一些简单介绍,需要说明的是,以下介绍的应用场景仅用于说明本申请实施例而非限定。在具体实施时,可以根据实际需要灵活地应用本申请实施例提供的技术方案。
参考图1,其为本申请实施例提供的防火墙策略控制方法的应用场景示意图。该应用场景包括多个服务器1011组成的网络101、防火墙管理系统102和登录防火墙管理系统102的客户端103,其中服务器之间部署有防火墙1012,防火墙管理系统102包括调用关系管理模块1021、策略管理模块1022、配置管理数据库(Configuration Management Database,CMDB)1023和网络描述数据库1024。其中,配置管理数据库1023中存储有网络101中各个业务模块分别对应的服务器,一个业务模块可对应一个或多个服务器,即一个业务模块可在一个或多个服务器上运行,具体实施时,可以由业务管理人员通过客户端103配置业务模块和服务器之间的对应关系,并存储到配置管理数据库1023中,或者可以由配置管理数据库1023主动从各个服务器1011中采集配置数据,通过分析采集的数据获得各个服务器中运行的业务模块,从而获得业务模块和服务器之间的对应关系。网络描述数据库1024中存储有网络101中各个防火墙和各个服务器之间的通信连接关系,即网络结构描述数据。调用关系管理模块1021基于业务模块和服务器之间的对应关系,将业务模块之间的模块调用关系转译成网络中服务器之间的通信关系,从而生成防火墙开通申请。策略管理模块1022基于防火墙开通申请,确定出需要配置的目标防火墙,生成相应的防火墙策略配置脚本,并下发至目标防火墙,使得业务模块之间可顺利通过防火墙实现通信。其中,服务器1011可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能平台等基础云计算服务的云服务器。终端可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表等,但并不局限于此。终端以及服务器可以通过有线或无线通信方式进行直接或间接地连接,本申请在此不做限制。
具体实施时,业务管理人员可通过客户端103配置业务模块之间的模块调用关系,调用关系管理模块1021获取用户配置的模块调用关系,先基于配置管理数据库1023中存储的配置业务模块和服务器之间的对应关系,确定模块调用关系中每个业务模块对应的服务器;然后,策略管理模块1022基于网络描述数据库1024中的网络结构描述数据,筛选出上述模块调用关系中的业务模块对应的服务器之间通信时需要通过的目标防火墙,实现待配置的目标防火墙的自动定位,基于目标防火墙的策略配置语法和模块调用关系,生成相应的防火墙策略配置脚本,并下发至目标防火墙,完成防火墙策略配置脚本的自动生成以及自动下发操作。
当然,本申请实施例提供的方法并不限用于图1所示的应用场景中,还可以用于其它可能的应用场景,本申请实施例并不进行限制。对于图1所示的应用场景的各个设备所能实现的功能将在后续的方法实施例中一并进行描述,在此先不过多赘述。
为进一步说明本申请实施例提供的技术方案,下面结合附图以及具体实施方式对此进行详细的说明。虽然本申请实施例提供了如下述实施例或附图所示的方法操作步骤,但基于常规或者无需创造性的劳动在所述方法中可以包括更多或者更少的操作步骤。在逻辑上不存在必要因果关系的步骤中,这些步骤的执行顺序不限于本申请实施例提供的执行顺序。
下面结合图1所示的应用场景,对本申请实施例提供的技术方案进行说明。
参考图2,本申请实施例提供一种防火墙策略控制方法,用于对网络中防火墙的防火墙策略进行控制,可应用于图1所示的防火墙管理系统102,具体包括以下步骤:
S201、获取待配置的模块调用关系,该模块调用关系包括第一业务模块和第二业务模块之间的调用关系。
其中,网络中包括至少两个服务器,服务器之间部署有防火墙,以将网络隔离成多个安全域,每个服务器中可运行至少一个业务模块,一个业务模块也可以同时部署在多个服务器内。
其中,第一业务模块可以是任一业务模块,第二业务模块为与第一业务模块具有调用关系的任一业务模块。第一业务模块和第二业务模块之间的调用关系可以是:第一业务模块调用第二业务模块、第二业务模块调用第一业务模块,或者第一业务模块和第一业务模块之间可相互调用。例如,业务模块a上线提供服务时需要依赖业务模块b,则业务模块a和业务模块b之间的调用关系为:业务模块a调用业务模块b;或者,一个业务模块提供了多种服务功能,业务模块a上线提供服务时需要依赖业务模块b的c服务,则业务模块a和业务模块b之间的调用关系为:业务模块a调用业务模块b的c服务。
S202、基于网络的网络结构描述数据,筛选出第一业务模块所在的第一服务器和第二业务模块所在的第二服务器之间通信时需要通过的目标防火墙。
其中,网络结构描述数据用于描述网络中各个防火墙与各个服务器之间的通信连接关系,例如服务器A通过防火墙FW1与服务器B通信,服务器C通过防火墙FW2与服务器B通信。
具体实施时,可以由业务管理人员在业务上线时配置业务模块和服务器之间的对应关系,并将配置的对应关系存储到配置管理数据库中;或者可以由配置管理数据库定期从网络的各个服务器中采集配置数据,通过分析采集的数据获得各个服务器中运行的业务模块,从而获得业务模块和服务器之间的对应关系。参考图3,可通过配置管理数据库存储网络中的各个业务模块和各个服务器之间的对应关系,每个业务模块对应一个地址组,地址组中存储有业务模块对应的至少一个服务器的IP地址,以方便进行目标防火墙的定位以及策略配置。
当第一业务模块运行在多个服务器中时,可获得多个第一服务器,当第二业务模块运行在多个服务器中时,可获取多个第二服务器,确定出多个第一服务器中的任一第一服务器与多个第二服务器中的任一第二服务器通信时需要通过的防火墙,作为目标防火墙。例如,服务器A、B中运行有第一业务模块,服务器C、D、E中运行有业务模块C,则将服务器A分别和服务器C、D、E之间的防火墙确定为目标防火墙,将服务器B分别和服务器C、D、E之间的防火墙确定为目标防火墙,可确定出6个目标防火墙,若服务器A和服务器C之间不能通信,则可确定出5个目标防火墙。
S203、基于目标防火墙的策略配置语法和模块调用关系,生成相应的防火墙策略配置脚本,并下发至目标防火墙。
具体实施时,为了增加网络安全性,会在不同的安全域部署不同品牌的防火墙,每个防火墙厂商提供的防火墙具有不同的策略配置语法,为此,可预先根据各个防火墙厂商的策略配置语法,生成策略配置模板。使用时,确定目标防火墙对应的防火墙厂商,获取该防火墙厂商对应的策略配置模板,然后,基于模块调用关系,确定模块调用关系中的源业务模块和目的业务模块,并确定源业务模块对应的源IP地址和目的业务模块对应的目的IP地址,将源IP地址和目的IP地址填写到目标防火墙的策略配置模板中,获得需要下发到目标防火墙中的防火墙策略配置脚本,该防火墙策略配置脚本用于开通源IP地址对应的服务器和目的IP地址对应的服务器之间的目标防火墙,使得源IP地址对应的服务器可访问目的IP地址对应的服务器。
例如,业务模块a上线提供服务时需要依赖业务模块b,则业务模块a和业务模块b之间的调用关系为:业务模块a调用业务模块b,即业务模块a为源业务模块,业务模块b为目的业务模块。业务模块a部署在服务器A中,业务模块b部署在服务器B中,获得服务器A的IP地址作为源IP地址,获得服务器B的IP地址作为目的IP地址,基于网络结构描述数据,确定服务器A和服务器B之间的防火墙为FW1,将防火墙FW1确定为目标防火墙,获得防火墙FW1的策略配置模板,将源IP地址和目的IP地址填入策略配置模板中的对应位置,得到防火墙策略配置脚本并下发至防火墙FW1中,这样业务模块a即可通过防火墙FW1调用业务模块b。
以图3为例,业务模块a上线提供服务时需要依赖业务模块b的c服务,则业务模块a和业务模块b之间的调用关系为:业务模块a调用业务模块b的c服务,即业务模块a为源业务模块,业务模块b为目的业务模块。业务模块a部署在服务器A中,业务模块b部署在服务器B中,c服务对应服务器B提供的端口80,获得服务器A的IP地址作为源IP地址,获得服务器B的IP地址作为目的IP地址,并获得访问服务器B的C端口使用的协议以及端口80的端口信息。基于网络结构描述数据,确定服务器A和服务器B之间的防火墙为FW1,将防火墙FW1确定为目标防火墙,获得防火墙FW1的策略配置模板,将源IP地址、目的IP地址、访问服务器B的C端口使用的协议以及端口80的端口信息填入策略配置模板中的对应位置,得到防火墙策略配置脚本并下发至防火墙FW1中,这样业务模块a即可通过防火墙FW1调用业务模块b的c服务。
本申请实施例的防火墙策略控制方法,基于网络结构描述数据和模块调用关系,可自动定位出各个业务模块所在的服务器之间通信时需要经过的防火墙,并自动生成相应的防火墙策略配置脚本下发至对应的防火墙,实现待配置防火墙的自动定位和防火墙策略的自动下发,提高了防火墙策略下发效率,降低了策略开通过程中的出错率。尤其是在使用云技术的场景中,可通过防火墙隔离开云网络中的各组服务器,降低云网络中的设备遭受攻击的几率,并通过防火墙策略控制方法对云网络中的大量的防火墙进行自动配置更新,大大提升运行效率。
具体实施时,网络结构描述数据包括每个防火墙的路由表,每个防火墙的路由表包括防火墙的端口和网段的路由关系。以图4为例,防火墙FW1的端口1对应的网段为10.1.1.0/24,其中“24”为掩码,即防火墙FW1的端口1对应的IP地址的范围为10.1.1.0~10.1.1.255;防火墙FW1的端口4对应的网段为10.0.0.0/8,其中“8”为掩码,即防火墙FW1的端口4对应的IP地址的范围为10.0.0.0~10.255.255.255;防火墙FW2的端口1对应的网段为10.2.1.0/24,其中“24”为掩码,即防火墙FW2的端口1对应的IP地址的范围为10.2.1.0~10.2.1.255;防火墙FW2的端口2对应的网段为10.2.2.0/24,即防火墙FW2的端口2对应的IP地址的范围为10.2.2.0~10.2.2.255。具体地,当网络架构布设完成后,各个防火墙的路由表即可确定,可直接采集防火墙中的路由表,获得网络的网络结构描述数据。
基于此,参考图5,步骤S202具体包括以下步骤:
S501、获取第一业务模块所在的第一服务器的第一地址信息和第二业务模块所在的第二服务器的第二地址信息。
具体实施时,可基于配置管理数据库中每个业务模块对应的地址组,获得各个业务模块所在的服务器。
S502、针对网络中的任一防火墙,从任一防火墙的路由表包含的网段中,筛选出与第一地址信息匹配的第一网段以及与第二地址信息匹配的第二网段,若第一网段在任一防火墙的路由表中对应的端口与第二网段在任一防火墙的路由表中对应的端口不一致,则将任一防火墙确定为目标防火墙。
具体实施时,若第一网段在防火墙的路由表中对应的端口与第二网段在该防火墙的路由表中对应的端口不一致,则代表第一服务器与第二服务器通信时必须通过该防火墙,此时将该防火墙确定为目标防火墙,即需要对该防火墙下发防火墙策略。若第一网段在防火墙的路由表中对应的端口与第二网段在该防火墙的路由表中对应的端口一致,则代表第一服务器与第二服务器通信时不经过该防火墙,即该防火墙不是目标防火墙。若第一服务器的第一地址信息不在该防火墙的路由表的任一网段中,或者第二服务器的第二地址信息不在该防火墙的路由表的任一网段中,表明该防火墙不是目标防火墙。
具体实施时,步骤S502具体包括:从任一防火墙的路由表包含的网段中,筛选出第一地址信息所属的候选网段,将掩码最长的候选网段确定为与第一地址信息匹配的第一网段;从任一防火墙的路由表包含的网段中,筛选出第二地址信息所属的候选网段,将掩码最长的候选网段确定为与第二地址信息匹配的第二网段;若第一网段在任一防火墙的路由表中对应的端口与第二网段在任一防火墙的路由表中对应的端口不一致,则将任一防火墙确定为目标防火墙。
其中,网段的掩码越长,网段覆盖的IP地址的范围越小,定位精度越高,因此,选取掩码最长的候选网段作为服务器对应的目标网段,可提高目标防火墙的定位精度。
例如,业务模块a运行在服务器A中,业务模块b运行在服务器B中。服务器A的地址信息为10.1.1.1,服务器B的地址信息为10.1.2.2,参考图4中的路由表,服务器A的IP地址10.1.1.1落在防火墙FW1的端口1对应的网段中,服务器A的IP地址10.1.1.1落在防火墙FW1的端口2对应的网段中,因此,防火墙FW1为目标防火墙,基于业务模块a和业务模块b之间的模块调用关系、以及防火墙FW1的策略配置语法,生成相应的防火墙策略脚本,并下发到防火墙FW1中。
通过判断模块调用关系中的第一业务模块所在的第一服务器和第二业务模块所在的第二服务器在同一防火墙中是否对应不同的端口,快速定位需要配置的目标防火墙,并自动生成配置脚本下发,使得业务管理人员只需要维护简单的模块调用关系即可实现防火墙策略的自动定位和下发,提高了防火墙策略下发效率,降低了策略开通过程中的出错率。
在上述任一实施方式的基础上,为了更加高效地定位到网络中任一业务模块关联的目标防火墙以及在目标防火墙中配置的防火墙策略配置脚本,为每个业务模块配置了一个已配置列表,该已配置列表用于存储该业务模块关联的目标防火墙的防火墙标识、以及在该业务模块关联的目标防火墙配置的防火墙策略配置脚本的脚本标识,其中,在网络中配置的防火墙策略配置脚本都具有唯一的脚本标识。以图6所示的业务模块A对应的已配置列表为例,业务模块A部署在3个服务器中,针对服务器10.1.1.1,其对应的已配置信息中包括:已在防火墙FW1中配置了脚本1、脚本4,已在防火墙FW2中配置了脚本5;针对服务器10.1.1.2,其对应的已配置信息中包括:已在防火墙FW2中配置了脚本2;针对服务器10.1.2.1,其对应的已配置信息中包括:已在防火墙FW3中配置了脚本3。
基于此,在图2所示的防火墙策略控制方法的基础上,本申请实施例的防火墙策略控制方法还包括如下步骤:将目标防火墙的防火墙标识和防火墙策略配置脚本的脚本标识,作为与第一服务器关联的已配置信息,存储到第一业务模块的已配置列表中;将目标防火墙的防火墙标识和防火墙策略配置脚本的脚本标识,作为与第二服务器关联的已配置信息,存储到第一业务模块的已配置列表中。
通过各个业务模块的已配置列表,存储各个业务模块对应的目标防火墙和在目标防火墙中配置的防火墙策略配置脚本,使得后续业务发生更新时,可基于业务模块的已配置列表,快速定位到业务模块对应的防火墙策略配置脚本,并自动更新防火墙策略,实现防火墙策略的全生命周期管理,可以有效规避无效策略的累积,提高网络系统的安全性。
具体实施时,业务管理人员可通过客户端登录防火墙管理系统,对业务模块对应的服务器进行配置,例如增加业务模块对应的服务器、或者删除业务模块对应的服务器。
具体地,本申请实施例的防火墙策略控制方法还包括如下步骤:响应针对任一业务模块的服务器删除操作,获得被删除服务器在任一业务模块的已配置列表中的已配置信息;基于获得的已配置信息中的防火墙标识和脚本标识,删除相应的防火墙中相应的防火墙策略配置脚本。
例如,业务管理人员删除了业务模块a对应的服务器10.1.1.1;调用关系管理模块响应针对业务模块a的服务器删除操作,获得被删除服务器10.1.1.1在业务模块A的已配置列表中的已配置信息:“防火墙FW1:脚本1、脚本4”和“防火墙FW2:脚本5”,即可获知需要删除防火墙FW1中的脚本1和脚本4,删除防火墙FW2中的脚本5;策略管理模块基于获得的已配置信息中的防火墙标识和脚本标识,删除防火墙FW1中的脚本1和脚本4,删除防火墙FW2中的脚本5。
基于业务模块的已配置列表,可快速定位到业务模块对应的被删除服务器的策略配置脚本并删除,可以有效规避无效策略累积,提高网络系统的安全性。
具体地,参考图7,当业务管理人员为某一业务模块新增一个服务器时,本申请实施例的防火墙策略控制方法还包括如下步骤:
S701、响应针对任一业务模块的服务器新增操作,获得新增服务器的第三地址信息。
具体实施时,业务管理人员可通过防火墙管理系统提供的客户端为任一业务模块新增一个服务器,调用关系管理模块响应针对任一业务模块的服务器新增操作,获得新增服务器的第三地址信息。其中,第三地址信息可以是业务管理人员通过客户端手动输入的新增服务器的IP地址,或者客户端可以向用户显示网络中可选择的服务器以及对应的IP地址,将用户选择的服务器作为新增服务器,并获得新增服务器的IP地址。
具体实施时,网络中各个服务器的信息可存储在网络描述数据库中。当为某一业务模块和某一服务器配置了对应关系后,调用关系管理模块可从网络描述数据库中获取该服务器对应的IP地址,将该业务模块和该服务器对应的IP地址关联存储到配置管理数据库中,方便后续调用,例如在业务模块的已配置列表中添加新增服务器对应的行。
S702、获取与任一业务模块具有调用关系的业务模块所在服务器的第四地址信息。
具体实施时,调用关系管理模块从配置管理数据库中调取任一业务模块对应的模块调用关系,从这些模块调用关系中获取与任一业务模块具有调用关系的业务模块,并获取这些业务模块所在服务器的IP地址。后续将与任一业务模块具有调用关系的业务模块所在服务器,称为第四服务器。
S703、针对网络中的任一防火墙,若第三地址信息在任一防火墙中对应的端口和第四地址信息在任一防火墙中对应的端口不一致,则基于任一防火墙的策略配置语法和任一业务模块对应的模块调用关系,生成相应的防火墙策略配置脚本,并下发至任一防火墙。
上述步骤S703的具体实施方式可参考步骤S502。具体地,步骤S703包括:从任一防火墙的路由表包含的网段中,筛选出第三地址信息所属的候选网段,将掩码最长的候选网段确定为与第三地址信息匹配的第三网段;从任一防火墙的路由表包含的网段中,筛选出第四地址信息所属的候选网段,将掩码最长的候选网段确定为与第四地址信息匹配的第四网段;若第三网段在任一防火墙的路由表中对应的端口与第四网段在任一防火墙的路由表中对应的端口不一致,则将任一防火墙确定为目标防火墙,基于该目标防火墙的策略配置语法和对应的模块调用关系,生成相应的防火墙策略配置脚本,并下发至该目标防火墙。其中,若第三网段在防火墙的路由表中对应的端口与第四网段在该防火墙的路由表中对应的端口不一致,则代表新增服务器与第四服务器通信时必须通过该防火墙,此时将该防火墙确定为目标防火墙,即需要对该防火墙下发防火墙策略。若第三网段在防火墙的路由表中对应的端口与第四网段在该防火墙的路由表中对应的端口一致,则代表新增服务器与第四服务器时不经过该防火墙,即该防火墙不是目标防火墙。若新增服务器的地址信息不在该防火墙的路由表的任一网段中,或者第四服务器的地址信息不在该防火墙的路由表的任一网段中,表明该防火墙不是目标防火墙。
基于图7所示的方式下发防火墙策略配置脚本后,将目标防火墙以及为目标防火墙下发的防火墙策略配置脚本关联存储到配置管理数据库中对应的业务模块的已配置列表中。
参考图8,以业务模块a为例,假设业务模块a涉及的模块调用关系包括:业务模块a调用业务模块b,业务模块a调用业务模块d,业务模块a对应的服务器包括:服务器10.1.1.1、服务器10.1.1.2,业务模块b对应的服务器包括:服务器10.2.1.1、服务器10.2.1.2、服务器10.2.2.1,业务模块d对应的服务器为:10.3.1.1、服务器10.3.1.2。由于业务模块a业务流量的增长,需要为业务模块a新增一个服务器,假设新增的服务器为服务器10.1.2.1,调用关系管理模块响应针对业务模块a的服务器新增操作,获得新增服务器的地址信息10.1.2.1,并从配置管理数据库中调取业务模块a对应的模块调用关系:业务模块a调用业务模块b,业务模块d调用业务模块a,从这些模块调用关系中获取与业务模块a具有调用关系的业务模块b和业务模块d,并获取业务模块b对应的服务器的地址信息和业务模块d对应的服务器的地址信息。基于网络的网络结构描述数据,确定业务模块a的新增服务器与业务模块b的各个服务器之间通信时需要通过防火墙,以及新增服务器与业务模块d的各个服务器之间通信时需要通过防火墙,例如,新增服务器10.1.2.1和业务模块b的服务器10.2.1.1之间通信时需要通过的防火墙为FW1,则基于防火墙FW1的策略配置语法、以及业务模块a和业务模块b之间的调用关系,生成相应的防火墙策略配置脚本,并下发至防火墙FW1,以使得新增服务器10.1.2.1能够通过防火墙FW1访问服务器10.2.1.1。
当某一业务模块对应的服务器的信息发生变化(增加或减少服务器)时,调用关系管理模块会自动关联配置管理数据库中,业务模块的服务器信息以及模块调用关系,自动对防火墙策略进行更新,确保网络中防火墙配置的准确性。
在上述任一实施方式的基础上,防火墙管理系统会定期更新网络描述数据库中的路由表,并基于更新后的路由表,更新网络中的防火墙策略。例如,在网络中新增或删除服务器后会更新路由表,或者新增或删除防火墙后会更新路由表,或者网络连接关系发生变化后也会更新路由表,如服务器之间的连接关系发生变化或者防火墙的部署位置发生变化。
基于此,本申请实施例的防火墙策略控制方法还包括如下步骤:定期从网络中获取各个防火墙的路由表;基于发生变化的路由表以及相应的模块调用关系,重新筛选出模块调用关系对应的目标防火墙;基于重新筛选出的目标防火墙的策略配置语法和模块调用关系,生成相应的防火墙策略配置脚本,并下发至重新筛选出的目标防火墙。
具体实施时,防火墙管理系统会将定期获取的路由表与网络描述数据库中的路由表进行对比,若相同,则不作任何操作;若不相同,则需要确定出发生变化的路由表,以及路由表中变化的内容,并对网络描述数据库中的路由表进行更新,例如防火墙FW1的路由表发生了变化,则将网络描述数据库中防火墙FW1的路由表替换为最新获取的防火墙FW1的路由表。
具体地,若防火墙的路由表中新增了与防火墙连接的服务器,则确定是否有业务模块与该服务器关联,即是否有业务模块在该服务器中运行,若否,则暂时不用对防火墙策略进行更新;若是,则确定与该服务器对应的业务模块,基于该业务模块的模块调用关系,确定目标防火墙,生成相应的防火墙策略配置脚本并下发至目标防火墙,上述过程相当于为该业务模块新增一个服务器,具体实施方式可参考图7,不再赘述。
具体地,若删除了防火墙的路由表中的服务器,则确定是否有业务模块与该服务器关联,若否,则不用对防火墙策略进行更新;若是,则确定出被删除服务器对应的业务模块,针对被删除服务器对应的每个业务模块,从该业务模块的已配置列表中获得被删除服务器对应的已配置信息,基于获得的已配置信息中的防火墙标识和脚本标识,删除相应的防火墙中相应的防火墙策略配置脚本。
具体地,若获取到新增防火墙的路由表,则确定已有的模块调用关系中的业务模块之间在通信时是否需要通过新增防火墙,若否,则暂时不用对网络中的防火墙策略进行更新;若是,则需要基于新增防火墙的路由表以及已有的模块调用关系,筛选出通信时需要经过新增防火墙的模块调用关系;基于新增防火墙的策略配置语法和筛选出的模块调用关系,生成相应的防火墙策略配置脚本,并下发至新增防火墙。
具体地,若删除了网络中的某个防火墙时,可遍历各个业务模块的已配置列表,删除已配置列表中与该被删除防火墙关联的防火墙标识和脚本标识。
则确定已有的模块调用关系中的业务模块之间在通信时是否需要通过新增防火墙,若否,则暂时不用对网络中的防火墙策略进行更新;若是,则需要基于新增防火墙的路由表以及已有的模块调用关系,筛选出通信时需要经过新增防火墙的模块调用关系;基于新增防火墙的策略配置语法和筛选出的模块调用关系,生成相应的防火墙策略配置脚本,并下发至新增防火墙。
当网络结构发生变化时,防火墙策略控制系统会自动关联配置管理数据库中的信息以及路由表的信息,自动对网络中的防火墙策略进行更新,确保网络中防火墙配置的准确性。
如图9所示,基于与上述防火墙策略控制方法相同的发明构思,本申请实施例还提供了一种防火墙策略控制装置90,包括获取单元901、定位单元902和下发单元903。
获取单元901,用于获取待配置的模块调用关系,模块调用关系包括第一业务模块和第二业务模块之间的调用关系;
定位单元902,用于基于网络的网络结构描述数据,筛选出第一业务模块所在的第一服务器和第二业务模块所在的第二服务器之间通信时需要通过的目标防火墙,其中,网络结构描述数据用于描述网络中各个防火墙与至少两个服务器之间的通信连接关系;
下发单元903,用于基于目标防火墙的策略配置语法和模块调用关系,生成相应的防火墙策略配置脚本,并下发至目标防火墙。
可选地,网络结构描述数据包括每个防火墙的路由表,每个防火墙的路由表包括防火墙的端口和网段的路由关系,定位单元902,具体用于:
获取第一业务模块所在的第一服务器的第一地址信息和第二业务模块所在的第二服务器的第二地址信息;
针对任一防火墙,从任一防火墙的路由表包含的网段中,筛选出与第一地址信息匹配的第一网段以及与第二地址信息匹配的第二网段,若第一网段在任一防火墙的路由表中对应的端口与第二网段在任一防火墙的路由表中对应的端口不一致,则将任一防火墙确定为目标防火墙。
可选地,定位单元902,具体用于:
从任一防火墙的路由表包含的网段中,筛选出第一地址信息所属的候选网段,将掩码最长的候选网段确定为与第一地址信息匹配的第一网段;
从任一防火墙的路由表包含的网段中,筛选出第二地址信息所属的候选网段,将掩码最长的候选网段确定为与第二地址信息匹配的第二网段。
可选地,防火墙策略控制装置90还包括存储单元,用于:
将目标防火墙的防火墙标识和防火墙策略配置脚本的脚本标识,作为第一服务器的已配置信息,存储到第一业务模块的已配置列表中;
将目标防火墙的防火墙标识和防火墙策略配置脚本的脚本标识,作为第二服务器的已配置信息,存储到第一业务模块的已配置列表中。
可选地,防火墙策略控制装置90还包括删除单元,用于:
响应针对任一业务模块的服务器删除操作,获得被删除服务器在任一业务模块的已配置列表中的已配置信息;
基于获得的已配置信息中的防火墙标识和脚本标识,删除相应的防火墙中相应的防火墙策略配置脚本。
可选地,防火墙策略控制装置90还包括新增单元,用于:
响应针对任一业务模块的服务器新增操作,获得新增服务器的第三地址信息;
获取与任一业务模块具有调用关系的业务模块所在服务器的第四地址信息;
针对网络中的任一防火墙,若第三地址信息在任一防火墙中对应的端口和第四地址信息在任一防火墙中对应的端口不一致,则基于任一防火墙的策略配置语法和任一业务模块对应的模块调用关系,生成相应的防火墙策略配置脚本,并下发至任一防火墙。
可选地,防火墙策略控制装置90还包括更新单元,用于:
定期从网络中获取各个防火墙的路由表;
基于发生变化的路由表以及相应的模块调用关系,重新筛选出模块调用关系对应的目标防火墙;
基于重新筛选出的目标防火墙的策略配置语法和模块调用关系,生成相应的防火墙策略配置脚本,并下发至重新筛选出的目标防火墙。
本申请实施例提的防火墙策略控制装置与上述防火墙策略控制方法采用了相同的发明构思,能够取得相同的有益效果,在此不再赘述。
基于与上述防火墙策略控制方法相同的发明构思,本申请实施例还提供了一种电子设备,如图10所示,该电子设备100可以包括处理器1001和存储器1002。
处理器1001可以是通用处理器,例如中央处理器(CPU)、数字信号处理器(DigitalSignal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
存储器1002作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器可以包括至少一种类型的存储介质,例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(Random Access Memory,RAM)、静态随机访问存储器(Static Random Access Memory,SRAM)、可编程只读存储器(Programmable Read Only Memory,PROM)、只读存储器(Read Only Memory,ROM)、带电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、磁性存储器、磁盘、光盘等等。存储器是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。本申请实施例中的存储器1002还可以是电路或者其它任意能够实现存储功能的装置,用于存储程序指令和/或数据。
本申请实施例提供了一种计算机可读存储介质,用于储存为上述电子设备所用的计算机程序指令,其包含用于执行上述防火墙策略控制方法的程序。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;上述计算机存储介质可以是计算机能够存取的任何可用介质或数据存储设备,包括但不限于:移动存储设备、随机存取存储器(RAM,Random Access Memory)、磁性存储器(例如软盘、硬盘、磁带、磁光盘(MO)等)、光学存储器(例如CD、DVD、BD、HVD等)、以及半导体存储器(例如ROM、EPROM、EEPROM、非易失性存储器(NAND FLASH)、固态硬盘(SSD))等各种可以存储程序代码的介质。
或者,本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、随机存取存储器(RAM,Random Access Memory)、磁性存储器(例如软盘、硬盘、磁带、磁光盘(MO)等)、光学存储器(例如CD、DVD、BD、HVD等)、以及半导体存储器(例如ROM、EPROM、EEPROM、非易失性存储器(NAND FLASH)、固态硬盘(SSD))等各种可以存储程序代码的介质。
以上实施例仅用以对本申请的技术方案进行了详细介绍,但以上实施例的说明只是用于帮助理解本申请实施例的方法,不应理解为对本申请实施例的限制。本技术领域的技术人员可轻易想到的变化或替换,都应涵盖在本申请实施例的保护范围之内。
Claims (15)
1.一种防火墙策略控制方法,用于对网络中防火墙的防火墙策略进行控制,所述网络包括至少两个服务器,每个服务器中运行至少一个业务模块,其特征在于,包括:
获取待配置的模块调用关系,所述模块调用关系包括第一业务模块和第二业务模块之间的调用关系;
基于所述网络的网络结构描述数据,筛选出所述第一业务模块所在的第一服务器和所述第二业务模块所在的第二服务器之间通信时需要通过的目标防火墙,其中,所述网络结构描述数据用于描述所述网络中各个防火墙与所述至少两个服务器之间的通信连接关系;
基于所述目标防火墙的策略配置语法和所述模块调用关系,生成相应的防火墙策略配置脚本,并下发至所述目标防火墙。
2.根据权利要求1所述的方法,其特征在于,所述网络结构描述数据包括每个防火墙的路由表,每个防火墙的路由表包括防火墙的端口和网段的路由关系,所述基于所述网络的网络结构描述数据,筛选出所述第一业务模块所在的第一服务器和所述第二业务模块所在的第二服务器之间通信时需要通过的目标防火墙,具体包括:
获取所述第一业务模块所在的第一服务器的第一地址信息和所述第二业务模块所在的第二服务器的第二地址信息;
针对任一防火墙,从所述任一防火墙的路由表包含的网段中,筛选出与所述第一地址信息匹配的第一网段以及与所述第二地址信息匹配的第二网段,若所述第一网段在所述任一防火墙的路由表中对应的端口与所述第二网段在所述任一防火墙的路由表中对应的端口不一致,则将所述任一防火墙确定为目标防火墙。
3.根据权利要求2所述的方法,其特征在于,所述从所述任一防火墙的路由表包含的网段中,筛选出与所述第一地址信息匹配的第一网段以及与所述第二地址信息匹配的第二网段,具体包括:
从所述任一防火墙的路由表包含的网段中,筛选出所述第一地址信息所属的候选网段,将掩码最长的候选网段确定为与所述第一地址信息匹配的第一网段;
从所述任一防火墙的路由表包含的网段中,筛选出所述第二地址信息所属的候选网段,将掩码最长的候选网段确定为与所述第二地址信息匹配的第二网段。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述方法还包括:
将所述目标防火墙的防火墙标识和所述防火墙策略配置脚本的脚本标识,作为所述第一服务器的已配置信息,存储到所述第一业务模块的已配置列表中;
将所述目标防火墙的防火墙标识和所述防火墙策略配置脚本的脚本标识,作为所述第二服务器的已配置信息,存储到所述第一业务模块的已配置列表中。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
响应针对任一业务模块的服务器删除操作,获得被删除服务器在所述任一业务模块的已配置列表中的已配置信息;
基于获得的已配置信息中的防火墙标识和脚本标识,删除相应的防火墙中相应的防火墙策略配置脚本。
6.根据权利要求4所述的方法,其特征在于,所述方法还包括:
响应针对任一业务模块的服务器新增操作,获得新增服务器的第三地址信息;
获取与所述任一业务模块具有调用关系的业务模块所在服务器的第四地址信息;
针对所述网络中的任一防火墙,若所述第三地址信息在所述任一防火墙中对应的端口和所述第四地址信息在所述任一防火墙中对应的端口不一致,则基于所述任一防火墙的策略配置语法和所述任一业务模块对应的模块调用关系,生成相应的防火墙策略配置脚本,并下发至所述任一防火墙。
7.根据权利要求2或3所述的方法,其特征在于,所述方法还包括:
定期从所述网络中获取各个防火墙的路由表;
基于发生变化的路由表以及相应的模块调用关系,重新筛选出模块调用关系对应的目标防火墙;
基于重新筛选出的目标防火墙的策略配置语法和所述模块调用关系,生成相应的防火墙策略配置脚本,并下发至所述重新筛选出的目标防火墙。
8.一种防火墙策略控制装置,用于对网络中防火墙的防火墙策略进行控制,所述网络包括至少两个服务器,每个服务器中运行至少一个业务模块,其特征在于,包括:
获取单元,用于获取待配置的模块调用关系,所述模块调用关系包括第一业务模块和第二业务模块之间的调用关系;
定位单元,用于基于所述网络的网络结构描述数据,筛选出所述第一业务模块所在的第一服务器和所述第二业务模块所在的第二服务器之间通信时需要通过的目标防火墙,其中,所述网络结构描述数据用于描述所述网络中各个防火墙与所述至少两个服务器之间的通信连接关系;
下发单元,用于基于所述目标防火墙的策略配置语法和所述模块调用关系,生成相应的防火墙策略配置脚本,并下发至所述目标防火墙。
9.根据权利要求8所述的装置,其特征在于,所述网络结构描述数据包括每个防火墙的路由表,每个防火墙的路由表包括防火墙的端口和网段的路由关系,所述定位单元,具体用于:
获取所述第一业务模块所在的第一服务器的第一地址信息和所述第二业务模块所在的第二服务器的第二地址信息;
针对任一防火墙,从所述任一防火墙的路由表包含的网段中,筛选出与所述第一地址信息匹配的第一网段以及与所述第二地址信息匹配的第二网段,若所述第一网段在所述任一防火墙的路由表中对应的端口与所述第二网段在所述任一防火墙的路由表中对应的端口不一致,则将所述任一防火墙确定为目标防火墙。
10.根据权利要求9所述的装置,其特征在于,所述定位单元,具体用于:
从所述任一防火墙的路由表包含的网段中,筛选出所述第一地址信息所属的候选网段,将掩码最长的候选网段确定为与所述第一地址信息匹配的第一网段;
从所述任一防火墙的路由表包含的网段中,筛选出所述第二地址信息所属的候选网段,将掩码最长的候选网段确定为与所述第二地址信息匹配的第二网段。
11.根据权利要求8至10任一项所述的装置,其特征在于,所述装置还包括存储单元,用于:
将所述目标防火墙的防火墙标识和所述防火墙策略配置脚本的脚本标识,作为所述第一服务器的已配置信息,存储到所述第一业务模块的已配置列表中;
将所述目标防火墙的防火墙标识和所述防火墙策略配置脚本的脚本标识,作为所述第二服务器的已配置信息,存储到所述第一业务模块的已配置列表中。
12.根据权利要求11所述的装置,其特征在于,所述装置还包括删除单元,用于:
响应针对任一业务模块的服务器删除操作,获得被删除服务器在所述任一业务模块的已配置列表中的已配置信息;
基于获得的已配置信息中的防火墙标识和脚本标识,删除相应的防火墙中相应的防火墙策略配置脚本。
13.根据权利要求11所述的装置,其特征在于,所述装置还包括新增单元,用于:
响应针对任一业务模块的服务器新增操作,获得新增服务器的第三地址信息;
获取与所述任一业务模块具有调用关系的业务模块所在服务器的第四地址信息;
针对所述网络中的任一防火墙,若所述第三地址信息在所述任一防火墙中对应的端口和所述第四地址信息在所述任一防火墙中对应的端口不一致,则基于所述任一防火墙的策略配置语法和所述任一业务模块对应的模块调用关系,生成相应的防火墙策略配置脚本,并下发至所述任一防火墙。
14.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7任一项所述方法的步骤。
15.一种计算机可读存储介质,其上存储有计算机程序指令,其特征在于,该计算机程序指令被处理器执行时实现权利要求1至7任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010979609.3A CN111835794B (zh) | 2020-09-17 | 2020-09-17 | 防火墙策略控制方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010979609.3A CN111835794B (zh) | 2020-09-17 | 2020-09-17 | 防火墙策略控制方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111835794A true CN111835794A (zh) | 2020-10-27 |
| CN111835794B CN111835794B (zh) | 2021-01-05 |
Family
ID=72918495
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010979609.3A Active CN111835794B (zh) | 2020-09-17 | 2020-09-17 | 防火墙策略控制方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111835794B (zh) |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112350868A (zh) * | 2020-11-06 | 2021-02-09 | 平安科技(深圳)有限公司 | 开墙处理方法、装置、服务器、系统及可读存储介质 |
| CN112511439A (zh) * | 2020-11-25 | 2021-03-16 | 杭州迪普科技股份有限公司 | 数据转发方法、装置、设备及计算机可读存储介质 |
| CN112671861A (zh) * | 2020-12-15 | 2021-04-16 | 交控科技股份有限公司 | 提升微服务系统安全性的方法及装置 |
| CN112804221A (zh) * | 2020-12-30 | 2021-05-14 | 北京天融信网络安全技术有限公司 | 防火墙规则处理方法、装置、网络设备及可读存储介质 |
| CN112866214A (zh) * | 2021-01-04 | 2021-05-28 | 广州品唯软件有限公司 | 防火墙策略下发方法、装置、计算机设备和存储介质 |
| CN112995169A (zh) * | 2021-02-22 | 2021-06-18 | 中国工商银行股份有限公司 | 防火墙部署方法和装置 |
| CN113055391A (zh) * | 2021-03-25 | 2021-06-29 | 建信金融科技有限责任公司 | 防火墙更换时策略配置转换的方法和装置 |
| CN113489701A (zh) * | 2021-06-29 | 2021-10-08 | 深信服科技股份有限公司 | 防火墙配置方法、系统、设备 |
| CN114338391A (zh) * | 2021-12-28 | 2022-04-12 | 奇安信科技集团股份有限公司 | 一种防火墙的迁移配置方法及装置 |
| CN114553691A (zh) * | 2022-04-28 | 2022-05-27 | 广东电网有限责任公司东莞供电局 | 创建网络配置模板及网络配置的方法、装置和设备 |
| CN114640532A (zh) * | 2022-03-29 | 2022-06-17 | 联想(北京)有限公司 | 一种处理方法、装置及电子设备 |
| CN114640522A (zh) * | 2022-03-18 | 2022-06-17 | 广东润联信息技术有限公司 | 防火墙安全策略的处理方法、装置、设备及存储介质 |
| CN115225307A (zh) * | 2022-05-12 | 2022-10-21 | 马上消费金融股份有限公司 | 一种防火墙管理方法、系统、电子设备和存储介质 |
| CN115766177A (zh) * | 2022-11-08 | 2023-03-07 | 广西电网有限责任公司 | 一种网络爬虫防火墙策略自动梳理方法及相关装置 |
| CN115766278A (zh) * | 2022-12-06 | 2023-03-07 | 深圳市天源景云科技有限公司 | 防火墙策略生成方法、装置、设备及存储介质 |
| CN116016185A (zh) * | 2022-12-27 | 2023-04-25 | 重庆富民银行股份有限公司 | 一种防火墙策略自动下发方法 |
| CN117097565A (zh) * | 2023-10-18 | 2023-11-21 | 山东源鲁信息科技有限公司 | 一种基于业务系统构造策略模型的方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102025735A (zh) * | 2010-12-08 | 2011-04-20 | 北京航空航天大学 | 基于防御策略的Linux分布式网络防火墙系统 |
| CN103023707A (zh) * | 2012-12-28 | 2013-04-03 | 华为技术有限公司 | 一种策略配置的方法、管理服务器以及网络系统 |
| CN104065630A (zh) * | 2013-03-22 | 2014-09-24 | 清华大学 | 一种面向IPv6网络的假冒源地址报文探测方法 |
| CN104580078A (zh) * | 2013-10-15 | 2015-04-29 | 北京神州泰岳软件股份有限公司 | 一种网络访问控制方法和系统 |
| CN108092979A (zh) * | 2017-12-20 | 2018-05-29 | 国家电网公司 | 一种防火墙策略处理方法及装置 |
| CN108683632A (zh) * | 2018-04-04 | 2018-10-19 | 山石网科通信技术有限公司 | 防火墙安全策略调整方法及装置 |
| CN109299855A (zh) * | 2018-08-24 | 2019-02-01 | 国网天津市电力公司 | 一种电力信息通信调度系统及其调度方法 |
-
2020
- 2020-09-17 CN CN202010979609.3A patent/CN111835794B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102025735A (zh) * | 2010-12-08 | 2011-04-20 | 北京航空航天大学 | 基于防御策略的Linux分布式网络防火墙系统 |
| CN103023707A (zh) * | 2012-12-28 | 2013-04-03 | 华为技术有限公司 | 一种策略配置的方法、管理服务器以及网络系统 |
| CN104065630A (zh) * | 2013-03-22 | 2014-09-24 | 清华大学 | 一种面向IPv6网络的假冒源地址报文探测方法 |
| CN104580078A (zh) * | 2013-10-15 | 2015-04-29 | 北京神州泰岳软件股份有限公司 | 一种网络访问控制方法和系统 |
| CN108092979A (zh) * | 2017-12-20 | 2018-05-29 | 国家电网公司 | 一种防火墙策略处理方法及装置 |
| CN108683632A (zh) * | 2018-04-04 | 2018-10-19 | 山石网科通信技术有限公司 | 防火墙安全策略调整方法及装置 |
| CN109299855A (zh) * | 2018-08-24 | 2019-02-01 | 国网天津市电力公司 | 一种电力信息通信调度系统及其调度方法 |
Cited By (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112350868B (zh) * | 2020-11-06 | 2023-04-18 | 平安科技(深圳)有限公司 | 开墙处理方法、装置、服务器、系统及可读存储介质 |
| CN112350868A (zh) * | 2020-11-06 | 2021-02-09 | 平安科技(深圳)有限公司 | 开墙处理方法、装置、服务器、系统及可读存储介质 |
| CN112511439A (zh) * | 2020-11-25 | 2021-03-16 | 杭州迪普科技股份有限公司 | 数据转发方法、装置、设备及计算机可读存储介质 |
| CN112671861A (zh) * | 2020-12-15 | 2021-04-16 | 交控科技股份有限公司 | 提升微服务系统安全性的方法及装置 |
| CN112671861B (zh) * | 2020-12-15 | 2023-03-24 | 交控科技股份有限公司 | 提升微服务系统安全性的方法及装置 |
| CN112804221A (zh) * | 2020-12-30 | 2021-05-14 | 北京天融信网络安全技术有限公司 | 防火墙规则处理方法、装置、网络设备及可读存储介质 |
| CN112804221B (zh) * | 2020-12-30 | 2022-11-15 | 北京天融信网络安全技术有限公司 | 防火墙规则处理方法、装置、网络设备及可读存储介质 |
| CN112866214A (zh) * | 2021-01-04 | 2021-05-28 | 广州品唯软件有限公司 | 防火墙策略下发方法、装置、计算机设备和存储介质 |
| CN112995169A (zh) * | 2021-02-22 | 2021-06-18 | 中国工商银行股份有限公司 | 防火墙部署方法和装置 |
| CN113055391A (zh) * | 2021-03-25 | 2021-06-29 | 建信金融科技有限责任公司 | 防火墙更换时策略配置转换的方法和装置 |
| CN113489701B (zh) * | 2021-06-29 | 2022-09-30 | 深信服科技股份有限公司 | 防火墙配置方法、系统、设备 |
| CN113489701A (zh) * | 2021-06-29 | 2021-10-08 | 深信服科技股份有限公司 | 防火墙配置方法、系统、设备 |
| CN114338391A (zh) * | 2021-12-28 | 2022-04-12 | 奇安信科技集团股份有限公司 | 一种防火墙的迁移配置方法及装置 |
| CN114640522B (zh) * | 2022-03-18 | 2024-04-16 | 华润智算科技(广东)有限公司 | 防火墙安全策略的处理方法、装置、设备及存储介质 |
| CN114640522A (zh) * | 2022-03-18 | 2022-06-17 | 广东润联信息技术有限公司 | 防火墙安全策略的处理方法、装置、设备及存储介质 |
| CN114640532B (zh) * | 2022-03-29 | 2023-03-24 | 联想(北京)有限公司 | 一种处理方法、装置及电子设备 |
| CN114640532A (zh) * | 2022-03-29 | 2022-06-17 | 联想(北京)有限公司 | 一种处理方法、装置及电子设备 |
| CN114553691B (zh) * | 2022-04-28 | 2022-07-29 | 广东电网有限责任公司东莞供电局 | 创建网络配置模板及网络配置的方法、装置和设备 |
| CN114553691A (zh) * | 2022-04-28 | 2022-05-27 | 广东电网有限责任公司东莞供电局 | 创建网络配置模板及网络配置的方法、装置和设备 |
| CN115225307A (zh) * | 2022-05-12 | 2022-10-21 | 马上消费金融股份有限公司 | 一种防火墙管理方法、系统、电子设备和存储介质 |
| CN115766177A (zh) * | 2022-11-08 | 2023-03-07 | 广西电网有限责任公司 | 一种网络爬虫防火墙策略自动梳理方法及相关装置 |
| CN115766278A (zh) * | 2022-12-06 | 2023-03-07 | 深圳市天源景云科技有限公司 | 防火墙策略生成方法、装置、设备及存储介质 |
| CN115766278B (zh) * | 2022-12-06 | 2023-08-15 | 深圳市宜嘉科技有限公司 | 防火墙策略生成方法、装置、设备及存储介质 |
| CN116016185A (zh) * | 2022-12-27 | 2023-04-25 | 重庆富民银行股份有限公司 | 一种防火墙策略自动下发方法 |
| CN117097565A (zh) * | 2023-10-18 | 2023-11-21 | 山东源鲁信息科技有限公司 | 一种基于业务系统构造策略模型的方法 |
| CN117097565B (zh) * | 2023-10-18 | 2023-12-29 | 山东源鲁信息科技有限公司 | 一种基于业务系统构造策略模型的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111835794B (zh) | 2021-01-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111835794B (zh) | 防火墙策略控制方法、装置、电子设备及存储介质 | |
| US11023301B1 (en) | Unified API platform | |
| US9762599B2 (en) | Multi-node affinity-based examination for computer network security remediation | |
| US10805171B1 (en) | Understanding network entity relationships using emulation based continuous learning | |
| US9104864B2 (en) | Threat detection through the accumulated detection of threat characteristics | |
| US11265291B2 (en) | Malicious packet filtering by a hypervisor | |
| US10686807B2 (en) | Intrusion detection system | |
| US9338187B1 (en) | Modeling user working time using authentication events within an enterprise network | |
| US10320833B2 (en) | System and method for detecting creation of malicious new user accounts by an attacker | |
| US20110055923A1 (en) | Hierarchical statistical model of internet reputation | |
| US10565372B1 (en) | Subscription-based multi-tenant threat intelligence service | |
| US11539590B2 (en) | Detect impact of network maintenance in software defined infrastructure | |
| EP3646549A1 (en) | Firewall configuration manager | |
| US10826756B2 (en) | Automatic generation of threat remediation steps by crowd sourcing security solutions | |
| US20210099472A1 (en) | Enforcing threat policy actions based on network addresses of host threats | |
| US11509694B1 (en) | Methods and systems for network device reconfigurations | |
| US11240205B1 (en) | Implementing rules in firewalls | |
| US20210344701A1 (en) | System and method for detection promotion | |
| US20180183818A1 (en) | Real-time application state monitoring, white list profile instantiation, behavioral detection and automatic cyber attack defense (bushido) | |
| US11228491B1 (en) | System and method for distributed cluster configuration monitoring and management | |
| US20220311791A1 (en) | Systems and methods for low latency stateful threat detection and mitigation | |
| US11588678B2 (en) | Generating incident response action recommendations using anonymized action implementation data | |
| US20200364076A1 (en) | Agentless Personal Network Firewall in Virtualized Datacenters | |
| US20210037061A1 (en) | Managing machine learned security for computer program products | |
| US20240031411A1 (en) | Threat analytics and dynamic compliance in security policies |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |