CN112291241A - 防火墙开墙方法、防火墙开墙装置及终端设备 - Google Patents
防火墙开墙方法、防火墙开墙装置及终端设备 Download PDFInfo
- Publication number
- CN112291241A CN112291241A CN202011180861.4A CN202011180861A CN112291241A CN 112291241 A CN112291241 A CN 112291241A CN 202011180861 A CN202011180861 A CN 202011180861A CN 112291241 A CN112291241 A CN 112291241A
- Authority
- CN
- China
- Prior art keywords
- calling
- opened
- firewall
- configuration items
- configuration item
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请适用于信息安全技术领域,提供了防火墙开墙方法、防火墙开墙装置、终端设备及存储介质,其中,一种防火墙开墙方法,包括:根据关于指定系统的配置项的架构信息,获取指定系统中的各个配置项之间的调用关系,其中,所述指定系统中包括至少两个配置项;从各个配置项的调用关系中,识别待开墙调用关系,其中,所述待开墙调用关系为待开通网络防火墙的调用关系;对待开墙配置项进行排序,获得排序结果,其中,所述待开墙配置项为所述待开墙调用关系所关联的配置项;根据所述排序结果,生成防火墙开墙请求;根据所述防火墙开墙请求,执行防火墙开墙操作。通过上述方法,可以提升设置防火墙的设置效率。
Description
技术领域
本申请涉及信息安全技术领域,尤其涉及防火墙开墙方法、防火墙开墙装置、终端设备及计算机可读存储介质。
背景技术
目前,各类应用系统中常常通过防火墙来保护信息安全。在应用系统中设置防火墙的方式往往是需要网络管理人员根据提交的具体需求,在应用系统中生成两个特定节点之间的防火墙,以保证该两个特定节点之间的信息安全。这一设置防火墙的方式的设置效率较低。
发明内容
有鉴于此,本申请实施例提供了防火墙开墙方法、防火墙开墙装置、终端设备及计算机可读存储介质,以提升设置防火墙的设置效率。
第一方面,本申请实施例提供了一种防火墙开墙方法,包括:
根据关于指定系统的配置项的架构信息,获取指定系统中的各个配置项之间的调用关系,其中,所述指定系统中包括至少两个配置项;
从各个配置项的调用关系中,识别待开墙调用关系,其中,所述待开墙调用关系为待开通网络防火墙的调用关系;
对待开墙配置项进行排序,获得排序结果,其中,所述待开墙配置项为所述待开墙调用关系所关联的配置项;
根据所述排序结果,生成防火墙开墙请求;
根据所述防火墙开墙请求,执行防火墙开墙操作。
第二方面,本申请实施例提供了一种防火墙开墙装置,包括:
获取模块,用于根据关于指定系统的配置项的架构信息,获取指定系统中的各个配置项之间的调用关系,其中,所述指定系统中包括至少两个配置项;
识别模块,用于从各个配置项的调用关系中,识别待开墙调用关系,其中,所述待开墙调用关系为待开通网络防火墙的调用关系;
排序模块,用于对待开墙配置项进行排序,获得排序结果,其中,所述待开墙配置项为所述待开墙调用关系所关联的配置项;
生成请求模块,用于根据所述排序结果,生成防火墙开墙请求;
执行模块,用于根据所述防火墙开墙请求,执行防火墙开墙操作。
第三方面,本申请实施例提供了一种终端设备,包括存储器、处理器、显示器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如第一方面所述的防火墙开墙方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面所述的防火墙开墙方法。
实施本申请实施例提供的防火墙开墙方法具有以下有益效果:通过本申请实施例,可以根据关于指定系统的配置项的架构信息,获取指定系统中的各个配置项之间的调用关系,其中,由于所述架构信息可以包含关于所述指定系统中的配置项的架构情况,因此,可以从所述架构信息中获知各个配置项的相互调用情况,从而快速高效地获取到所述指定系统中的各个配置项之间的调用关系;然后,从各个配置项的调用关系中,识别待开墙调用关系,再对待开墙配置项进行排序,获得排序结果,然后根据所述排序结果,生成防火墙开墙请求,可以从各个配置项的调用关系中,筛选出需要进行防火墙开墙操作的配置项,并获得关于需要进行防火墙开墙操作的配置项的防火墙开墙请求,然后可以根据所述防火墙开墙请求,执行防火墙开墙操作,从而提升了设置防火墙的效率。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本申请一实施例提供的一种防火墙开墙方法的流程示意图;
图2是本申请一实施例提供的步骤S102的一种流程示意图;
图3是本申请一实施例提供的一种防火墙开墙装置的结构示意图;
图4是本申请一实施例提供的终端设备的结构示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请实施例提供的防火墙开墙方法可以应用于服务器、台式电脑、手机、平板电脑、可穿戴设备、车载设备、增强现实(augmented reality,AR)/虚拟现实(virtualreality,VR)设备、笔记本电脑、超级移动个人计算机(ultra-mobile personal computer,UMPC)、上网本、个人数字助理(personal digital assistant,PDA)等终端设备上,本申请实施例对终端设备的具体类型不作任何限制。
请参阅图1,图1示出了本申请实施例提供的一种防火墙开墙方法的流程图。
如图1所示,本实施例提供的一种防火墙开墙方法可以包括:
步骤S101,根据关于指定系统的配置项的架构信息,获取指定系统中的各个配置项之间的调用关系,其中,所述指定系统中包括至少两个配置项。
本申请实施例中,所述指定系统的具体功能和对应的应用场景在此不作限定。示例性的,所述指定系统可以为社交应用系统、支付系统或者针对特定场景的管理系统(例如线上金融管理系统等等)。
所述配置项可以根据对应的指定系统的功能预先划分得到。其中,任一所述配置项可以用于实现所述指定系统的一组或者两组以上的功能,因此,本实施例中的一个配置项也可以认为是一个功能组件或者一个逻辑实体(Logical Entity)。每一个所述配置项可以对应一个硬件设备(如对应一个服务器),可以对应两个以上的硬件设备(如对应一个服务器集群)。
示例性的,所述指定系统可以为一个社交应用系统,各个所述配置项可以为所述社交应用系统中的各个功能组件,则所述社交应用系统中可以包括用于管理联系人的功能组件,该功能组件可以在服务器A中运行;此外,还可以包括管理朋友圈的功能组件,该功能组件可以在服务器B中运行;此外,还可以包括用于管理消息窗口的功能组件,该功能组件可以在服务器集群C中运行。
本申请实施例中,每一组调用关系中,可以标识有调用方(也称为上游)信息,以及被调用方(也称为下游)信息。
本申请实施例中,所述架构信息中,可以以通过诸如树形结构等结构化数据存储指定系统的功能接口、配置项以及信息交互关系。所述架构信息可以存储于配置管理数据库(Configuration Management Database,CMDB)中。
步骤S102,从各个配置项的调用关系中,识别待开墙调用关系,其中,所述待开墙调用关系为待开通网络防火墙的调用关系。
本申请实施例中,开墙指开通防火墙。所述待开墙调用关系指该调用关系可能需要执行开通防火墙的操作,以实现相关服务的调用。
其中,可以根据每一组调用关系中的调用方权限、被调用方权限、网络设置情况、服务器设置情况以及对应的变更情况等信息,从各个配置项的调用关系中,识别待开墙调用关系。
在一些实施例中,所述步骤S102具体包括:
步骤S201,根据各个配置项的调用关系,生成所述指定系统的当前调用关系列表,其中,所述当前调用关系列表中标识有每一组调用关系的调用方和被调用方;
步骤S202,若查找到历史调用关系列表,则从所述当前调用关系列表中,筛选出相对于所述历史调用关系列表的新增调用关系,并根据所述新增调用关系,确定待开墙调用关系;
步骤S203,若未查找到历史调用关系列表,则根据所述当前调用关系列表,确定待开墙调用关系。
其中,若查找到历史调用关系,则可以确定所述指定系统的架构进行了更新,此时,通过将该当前调用关系列表与所述历史调用关系列表进行比对,可以筛选出所述当前调用关系列表中相对于所述历史调用关系列表的新增调用关系,再进一步评估该新增调用关系是否为待开墙调用关系。示例性的,可以根据该新增调用关系中的调用方和被调用方的变更情况、权限等级、网络情况等等信息来确定该新增调用关系是否为待开墙调用关系。例如,若所述新增调用关系中的调用方的权限等级高于预设等级,和/或所述新增调用关系中的调用方的服务器集群IP和被调用方的F5负载均衡信息均已知,则可以确定该新增调用关系无需开墙也可以实现调用。
而在一些情况中,若未查找到历史调用关系列表,则可以认为是首次获取到所述指定系统所对应的调用关系,则可能所述指定系统中的各个配置项之间均未设置防火墙。因此,可以将当前调用关系列表中每一组调用关系确定为待开墙调用关系。
此时,可以通过查找历史调用关系列表,确定所述指定系统中的调用关系是初始版本的调用关系还是对指定系统更新后得到的调用关系,进而根据所述当前调用关系列表和相应的查找结果,快速高效地筛选出待开墙调用关系,避免了无效的重复查找操作。
在一些实施例中,所述从各个配置项的调用关系中,识别待开墙调用关系,包括:
针对每一组调用关系,根据所述调用关系的调用方信息和被调用方信息,识别待开墙调用关系,其中,所述调用方信息包括调用方名称、调用方IP地址和调用方端口信息,所述被调用方信息包括被调用方名称、被调用方端口信息和被调用方的负载均衡信息。
其中,所述网际互连协议(Internet Protocol,IP)地址可以包括诸如服务器IP或者服务器集群IP等。所述负载均衡信息可以为F5负载均衡信息。其中,负载均衡用于统一分配请求,以实现负载分担。对于服务器集群,所述负载均衡可以所单个重负载的运算分担到多台节点设备上做并行处理,每个节点设备处理结束后,将结果汇总并返回。对于Web服务器、FTP服务器、企业关键应用服务器等,所述负载均衡可以将大量的并发访问或数据流量分担到多台节点设备上分别处理,减少用户等待响应的时间。
在一些实施例中,在根据关于指定系统的配置项的架构信息,获取指定系统中的各个配置项之间的调用关系之前,还包括:
若接收到所述指定系统的架构更新信息,则根据所述架构更新信息,标识所述指定系统中的目标配置项,其中,所述目标配置项为所述架构更新信息所指示的出现更新的配置项;
所述从各个配置项的调用关系中,识别待开墙调用关系,包括:
从各个配置项之间的调用关系中,筛选出与所述目标配置项相关联的调用关系;
从与所述目标配置项相关联的调用关系中,识别待开墙调用关系。
本实施例中,所述目标配置项可以为新增的配置项,或者对应的硬件设备(如服务器等)出现变化的配置项。通过标识所述目标配置项,可以方便地识别出架构更新后的所述指定系统相对于架构更新前的指定系统所对应的配置项的变化情况,从而便于从中识别出指定系统中新增的调用关系,以识别出需要开墙的调用关系,即所述待开墙调用关系。
在一些实施例中,所述目标配置项为对应有新增的服务器的配置项;
所述从与所述目标配置项相关联的调用关系中,识别待开墙调用关系,包括:
对于每一个目标配置项,若所述目标配置项为已有的配置项,并且所述目标配置项所对应的新增的服务器为所述目标配置项的服务器集群中新增的服务器,则将所述目标配置项所对应的调用关系中,所述目标配置项为调用方的调用关系作为一个待开墙调用关系;
若所述目标配置项为新增的配置项,则确定所述待开墙调用关系中包括与所述目标配置项相关联的调用关系。
本申请实施例中,所述目标配置项对应有新增的服务器,而该新增的服务器可以为所述目标配置项所对应的服务器集群进行扩容而新增的,或者,也可以是新建所述目标配置项而新增的服务器。
下面以一个示例说明本申请实施例。
例如,在一种示例中,若所述目标配置项Y为已有的配置项,并且该目标配置项Y通过服务器集群来实现,而该服务器集群为当前已有的,此时,该服务器集群可以通过增加服务器来实现扩容。那么,若在架构更新前,已存在调用关系X-Y,其中所述目标配置项为被调用方,即为下游,配置项X为调用方,即上游,所述配置项X通过所述配置项Y所对应的服务器集群的F5负载均衡信息进行调用。
此时,在架构更新之后,该调用关系X-Y中,即使所述服务器集群内部增加了新的服务器,但是所述配置项X仍然可以通过所述配置项Y所对应的服务器集群的F5负载均衡信息进行调用。因此,调用关系X-Y可以沿用架构更新前的配置信息实现调用,而无需开墙。
而在另一种示例中,若在架构更新前,已存在调用关系Y-Z,其中所述目标配置项为调用方,即为上游,配置项Z为被调用方,即下游,所述配置项Y要通过服务器集群中增加的新的服务器根据所述配置项Z所对应的服务器集群的F5负载均衡信息对配置项Z进行调用,则需要提交关于该所述配置项Y的服务器集群中增加的新的服务器向所述配置项Z的开墙请求并通过后,才能实现所述配置项Y要通过服务器集群中增加的新的服务器对配置项Z的调用。因此,若任一所述目标配置项为已有的配置项,并且对应的新增的服务器为服务器集群进行扩容而新增的服务器,则将所述目标配置项所对应的调用关系中,所述目标配置项为调用方的调用关系Y-Z作为一个待开墙调用关系。
步骤S103,对待开墙配置项进行排序,获得排序结果,其中,所述待开墙配置项为所述待开墙调用关系所关联的配置项。
其中,示例性的,可以分别基于所述待开墙调用关系中的被调用方和调用方,对所述待开墙调用关系所涉及的各个配置项进行排序;或者,可以根据各个配置项的名称对所述待开墙调用关系所涉及的各个配置项进行排序;或者,也可以根据各个调用关系所涉及的开墙设置节点(如服务器等硬件设备节点)来进行排序,以使得所述排序结果中,开墙设置节点相同的待开墙调用关系可以连续排列。
在一些实施例中,所述对待开墙配置项进行排序,获得排序结果,包括:
根据所述待开墙配置项的名称对所述待开墙配置项进行排序,获得排序结果,其中,所述排序结果中,若任一待开墙配置项所关联的待开墙调用关系的个数为至少两个,则所述待开墙配置项所关联的待开墙调用关系连续排列。
本申请实施例中,若任一待开墙配置项所关联的待开墙调用关系的个数为至少两个,则所述待开墙配置项所关联的待开墙调用关系连续排列,可以使得所述排序结果中,同一配置项所涉及的待开墙调用关系可以连续排列,从而便于统计每一个配置项所涉及的待开墙调用关系,并提升后续处理的效率。
步骤S104,根据所述排序结果,生成防火墙开墙请求。
所述排序结果中,对于同一配置项,该配置项可能分别针对不同其他配置项的待开墙调用关系,并且,所述配置项可以为调用方或者被调用方,也可以在一些调用关系中作为调用方,而在一些调用关系中作为被调用方,因此,可以针对所述排序结果进行整理合并,获得分别针对所述排序结果中所涉及的各个配置项的防火墙开墙请求。
在一些实施例中,所述对待开墙配置项进行排序,获得排序结果,包括:
分别基于所述待开墙调用关系中的被调用方和调用方,对所述待开墙配置项进行排序,获得排序结果,其中,所述排序结果中包括根据所述待开墙调用关系中的调用方生成的上游排序结果,和根据所述待开墙调用关系中的被调用方生成的下游排序结果;
所述根据所述排序结果,生成防火墙开墙请求,包括:
分别对所述上游排序结果和下游排序结果进行合并,并根据合并结果生成防火墙开墙请求。
本申请实施例中,所述排序结果中包括根据所述待开墙调用关系中的调用方生成的上游排序结果,和根据所述待开墙调用关系中的被调用方生成的下游排序结果,从而便于识别防火墙开墙的方向。
例如,所述上游排序结果中,配置项A调用了配置项B,而下游排序结果中,配置项C和配置项D调用了配置项A,则所述防火墙开墙请求中,针对配置项A,可以包括3条开墙请求,包括配置项A向配置项的开墙请求,以及配置项C和配置项D向配置项A的开墙请求。
步骤S105,根据所述防火墙开墙请求,执行防火墙开墙操作。
本申请实施例中,所述防火墙开墙操作可以为根据防火墙开墙指令,设置所述指定系统中的防火墙,以调整特定配置项的权限等级、网络设置等。该特定配置项可以根据所述防火墙开墙请求中所携带的配置项信息来确定。其中,在一些示例中,也可以进一步获取对所述防火墙开墙请求的人工审核结果之后,根据该人工审核结果执行防火墙开墙操作。例如,所述防火墙开墙请求可以推送给特定运维人员处理节点,在获取到特定运维人员处理节点的确认反馈信息之后,再根据特定请求接口(如自定义的请求接口等)可将确认后的防火墙开墙请求发送至网络管理员节点,通过相关的网络管理员审核所述防火墙开墙请求,以确定是否开墙。在审核通过后,所述网络管理员可以根据所述防火墙开墙请求设置所述指定系统中的防火墙,从而进一步保证防火墙开墙操作的准确性。
通过本申请实施例,可以根据关于指定系统的配置项的架构信息,获取指定系统中的各个配置项之间的调用关系,其中,由于所述架构信息可以包含关于所述指定系统中的配置项的架构情况,因此,可以从所述架构信息中获知各个配置项的相互调用情况,从而快速高效地获取到所述指定系统中的各个配置项之间的调用关系;然后,从各个配置项的调用关系中,识别待开墙调用关系,再对待开墙配置项进行排序,获得排序结果,然后根据所述排序结果,生成防火墙开墙请求,可以从各个配置项的调用关系中,筛选出需要进行防火墙开墙操作的配置项,并获得关于需要进行防火墙开墙操作的配置项的防火墙开墙请求,然后可以根据所述防火墙开墙请求,执行防火墙开墙操作,从而提升了设置防火墙的效率。
请参阅图3,图3是本申请实施例提供的一种防火墙开墙装置的结构框图。本实施例中该终端设备包括的各单元用于执行上述各个防火墙开墙方法实施例中的各步骤。具体请参阅上述防火墙开墙方法所对应的实施例中的相关描述。为了便于说明,仅示出了与本实施例相关的部分。
参照图3,该防火墙开墙装置3包括:
获取模块301,用于根据关于指定系统的配置项的架构信息,获取指定系统中的各个配置项之间的调用关系,其中,所述指定系统中包括至少两个配置项;
识别模块302,用于从各个配置项的调用关系中,识别待开墙调用关系,其中,所述待开墙调用关系为待开通网络防火墙的调用关系;
排序模块303,用于对待开墙配置项进行排序,获得排序结果,其中,所述待开墙配置项为所述待开墙调用关系所关联的配置项;
生成请求模块304,用于根据所述排序结果,生成防火墙开墙请求;
执行模块305,用于根据所述防火墙开墙请求,执行防火墙开墙操作。
可选的,所述识别模块302具体包括:
生成单元,用于根据各个配置项的调用关系,生成所述指定系统的当前调用关系列表,其中,所述当前调用关系列表中标识有每一组调用关系的调用方和被调用方;
第一筛选单元,用于若查找到历史调用关系列表,则从所述当前调用关系列表中,筛选出相对于所述历史调用关系列表的新增调用关系,并根据所述新增调用关系,确定待开墙调用关系;
确定单元,用于若未查找到历史调用关系列表,则根据所述当前调用关系列表,确定待开墙调用关系。
可选的,所述防火墙开墙装置3还包括:
标识模块,用于若接收到所述指定系统的架构更新信息,则根据所述架构更新信息,标识所述指定系统中的目标配置项,其中,所述目标配置项为所述架构更新信息所指示的出现更新的配置项;
所述识别模块302具体包括:
第二筛选单元,用于从各个配置项之间的调用关系中,筛选出与所述目标配置项相关联的调用关系;
识别单元,用于从与所述目标配置项相关联的调用关系中,识别待开墙调用关系。
可选的,所述目标配置项为对应有新增的服务器的配置项;
所述识别单元具体包括:
处理子单元,用于对于每一个目标配置项,若所述目标配置项为已有的配置项,并且所述目标配置项所对应的新增的服务器为所述目标配置项的服务器集群中新增的服务器,则将所述目标配置项所对应的调用关系中,所述目标配置项为调用方的调用关系作为一个待开墙调用关系;
确定子单元,用于若所述目标配置项为新增的配置项,则确定所述待开墙调用关系中包括与所述目标配置项相关联的调用关系。
可选的,识别模块302具体用于:
针对每一组调用关系,根据所述调用关系的调用方信息和被调用方信息,识别待开墙调用关系,其中,所述调用方信息包括调用方名称、调用方IP地址和调用方端口信息,所述被调用方信息包括被调用方名称、被调用方端口信息和被调用方的负载均衡信息。
可选的,所述排序模块303具体用于:
分别基于所述待开墙调用关系中的被调用方和调用方,对所述待开墙配置项进行排序,获得排序结果,其中,所述排序结果中包括根据所述待开墙调用关系中的调用方生成的上游排序结果,和根据所述待开墙调用关系中的被调用方生成的下游排序结果;
所述生成请求模块304具体用于:
分别对所述上游排序结果和下游排序结果进行合并,并根据合并结果生成防火墙开墙请求。
可选的,所述排序模块303具体用于:
根据所述待开墙配置项的名称对所述待开墙配置项进行排序,获得排序结果,其中,所述排序结果中,若任一待开墙配置项所关联的待开墙调用关系的个数为至少两个,则所述待开墙配置项所关联的待开墙调用关系连续排列。
通过本申请实施例,可以根据关于指定系统的配置项的架构信息,获取指定系统中的各个配置项之间的调用关系,其中,由于所述架构信息可以包含关于所述指定系统中的配置项的架构情况,因此,可以从所述架构信息中获知各个配置项的相互调用情况,从而快速高效地获取到所述指定系统中的各个配置项之间的调用关系;然后,从各个配置项的调用关系中,识别待开墙调用关系,再对待开墙配置项进行排序,获得排序结果,然后根据所述排序结果,生成防火墙开墙请求,可以从各个配置项的调用关系中,筛选出需要进行防火墙开墙操作的配置项,并获得关于需要进行防火墙开墙操作的配置项的防火墙开墙请求,然后可以根据所述防火墙开墙请求,执行防火墙开墙操作,从而提升了设置防火墙的效率。
需要说明的是,上述装置/单元之间的信息交互、执行过程等内容,由于与本申请方法实施例基于同一构思,其具体功能及带来的技术效果,具体可参见方法实施例部分,此处不再赘述。
图4是本申请另一实施例提供的一种终端设备的结构框图。如图4所示,该实施例的终端设备4包括:处理器41、存储器42以及存储在所述存储器42中并可在所述处理器41上运行的计算机程序43,例如防火墙开墙方法的程序。处理器41执行所述计算机程序43时实现上述各个防火墙开墙方法各实施例中的步骤,例如图1所示的S101至S105,或者图2所示的S201至S203。或者,所述处理器41执行所述计算机程序43时实现上述图3对应的实施例中各单元的功能,例如,图3所示的单元301至305的功能,具体请参阅图3对应的实施例中的相关描述,此处不赘述。
示例性的,所述计算机程序43可以被分割成一个或多个单元,所述一个或者多个单元被存储在所述存储器42中,并由所述处理器41执行,以完成本申请。所述一个或多个单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述所述计算机程序43在所述终端设备40中的执行过程。例如,所述计算机程序43可以被分割成第一获取单元、第一确定单元、第一调整单元、第二调整单元以及执行单元,各单元具体功能如上所述。
所述终端设备可包括,但不仅限于,处理器41、存储器42。本领域技术人员可以理解,图4仅仅是终端设备4的示例,并不构成对终端设备4的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述转台设备还可以包括输入输出设备、网络接入设备、总线等。
所称处理器41可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
所述存储器42可以是所述终端设备4的内部存储单元,例如终端设备4的硬盘或内存。所述存储器42也可以是所述终端设备4的外部存储设备,例如所述终端设备4上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,所述存储器42还可以既包括所述终端设备4的内部存储单元也包括外部存储设备。所述存储器42用于存储所述计算机程序以及所述转台设备所需的其他程序和数据。所述存储器42还可以用于暂时地存储已经输出或者将要输出的数据。
本申请实施例中,上述处理器40执行上述计算机程序42以实现上述任意各个防火墙开墙方法实施例中的步骤时,可以根据关于指定系统的配置项的架构信息,获取指定系统中的各个配置项之间的调用关系,其中,由于所述架构信息可以包含关于所述指定系统中的配置项的架构情况,因此,可以从所述架构信息中获知各个配置项的相互调用情况,从而快速高效地获取到所述指定系统中的各个配置项之间的调用关系;然后,从各个配置项的调用关系中,识别待开墙调用关系,再对待开墙配置项进行排序,获得排序结果,然后根据所述排序结果,生成防火墙开墙请求,可以从各个配置项的调用关系中,筛选出需要进行防火墙开墙操作的配置项,并获得关于需要进行防火墙开墙操作的配置项的防火墙开墙请求,然后可以根据所述防火墙开墙请求,执行防火墙开墙操作,从而提升了设置防火墙的效率。
本申请实施例还提供了一种计算机可读存储介质,上述计算机可读存储介质存储有计算机程序,上述计算机程序被处理器执行时实现可实现上述各个防火墙开墙方法实施例中的步骤。
本申请实施例提供了一种计算机程序产品,当计算机程序产品在终端设备上运行时,使得终端设备执行时实现可实现上述各个防火墙开墙方法实施例中的步骤。
以上所述实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围,均应包含在本申请的保护范围之内。
Claims (10)
1.一种防火墙开墙方法,其特征在于,包括:
根据关于指定系统的配置项的架构信息,获取指定系统中的各个配置项之间的调用关系,其中,所述指定系统中包括至少两个配置项;
从各个配置项的调用关系中,识别待开墙调用关系,其中,所述待开墙调用关系为待开通网络防火墙的调用关系;
对待开墙配置项进行排序,获得排序结果,其中,所述待开墙配置项为所述待开墙调用关系所关联的配置项;
根据所述排序结果,生成防火墙开墙请求;
根据所述防火墙开墙请求,执行防火墙开墙操作。
2.如权利要求1所述的防火墙开墙方法,其特征在于,所述从各个配置项的调用关系中,识别待开墙调用关系,包括:
根据各个配置项的调用关系,生成所述指定系统的当前调用关系列表,其中,所述当前调用关系列表中标识有每一组调用关系的调用方和被调用方;
若查找到历史调用关系列表,则从所述当前调用关系列表中,筛选出相对于所述历史调用关系列表的新增调用关系,并根据所述新增调用关系,确定待开墙调用关系;
若未查找到历史调用关系列表,则根据所述当前调用关系列表,确定待开墙调用关系。
3.如权利要求1所述的防火墙开墙方法,其特征在于,在根据关于指定系统的配置项的架构信息,获取指定系统中的各个配置项之间的调用关系之前,还包括:
若接收到所述指定系统的架构更新信息,则根据所述架构更新信息,标识所述指定系统中的目标配置项,其中,所述目标配置项为所述架构更新信息所指示的出现更新的配置项;
所述从各个配置项的调用关系中,识别待开墙调用关系,包括:
从各个配置项之间的调用关系中,筛选出与所述目标配置项相关联的调用关系;
从与所述目标配置项相关联的调用关系中,识别待开墙调用关系。
4.如权利要求3所述的防火墙开墙方法,其特征在于,所述目标配置项为对应有新增的服务器的配置项;
所述从与所述目标配置项相关联的调用关系中,识别待开墙调用关系,包括:
对于每一个目标配置项,若所述目标配置项为已有的配置项,并且所述目标配置项所对应的新增的服务器为所述目标配置项的服务器集群中新增的服务器,则将所述目标配置项所对应的调用关系中,所述目标配置项为调用方的调用关系作为一个待开墙调用关系;
若所述目标配置项为新增的配置项,则确定所述待开墙调用关系中包括与所述目标配置项相关联的调用关系。
5.如权利要求1所述的防火墙开墙方法,其特征在于,所述从各个配置项的调用关系中,识别待开墙调用关系,包括:
针对每一组调用关系,根据所述调用关系的调用方信息和被调用方信息,识别待开墙调用关系,其中,所述调用方信息包括调用方名称、调用方IP地址和调用方端口信息,所述被调用方信息包括被调用方名称、被调用方端口信息和被调用方的负载均衡信息。
6.如权利要求1至5任意一项所述的防火墙开墙方法,其特征在于,所述对待开墙配置项进行排序,获得排序结果,包括:
分别基于所述待开墙调用关系中的被调用方和调用方,对所述待开墙配置项进行排序,获得排序结果,其中,所述排序结果中包括根据所述待开墙调用关系中的调用方生成的上游排序结果,和根据所述待开墙调用关系中的被调用方生成的下游排序结果;
所述根据所述排序结果,生成防火墙开墙请求,包括:
分别对所述上游排序结果和下游排序结果进行合并,并根据合并结果生成防火墙开墙请求。
7.如权利要求1至5任意一项所述的防火墙开墙方法,其特征在于,所述对待开墙配置项进行排序,获得排序结果,包括:
根据所述待开墙配置项的名称对所述待开墙配置项进行排序,获得排序结果,其中,所述排序结果中,若任一待开墙配置项所关联的待开墙调用关系的个数为至少两个,则所述待开墙配置项所关联的待开墙调用关系连续排列。
8.一种防火墙开墙装置,其特征在于,包括:
获取模块,用于根据关于指定系统的配置项的架构信息,获取指定系统中的各个配置项之间的调用关系,其中,所述指定系统中包括至少两个配置项;
识别模块,用于从各个配置项的调用关系中,识别待开墙调用关系,其中,所述待开墙调用关系为待开通网络防火墙的调用关系;
排序模块,用于对待开墙配置项进行排序,获得排序结果,其中,所述待开墙配置项为所述待开墙调用关系所关联的配置项;
生成请求模块,用于根据所述排序结果,生成防火墙开墙请求;
执行模块,用于根据所述防火墙开墙请求,执行防火墙开墙操作。
9.一种终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述的防火墙开墙方法。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的防火墙开墙方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011180861.4A CN112291241A (zh) | 2020-10-29 | 2020-10-29 | 防火墙开墙方法、防火墙开墙装置及终端设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011180861.4A CN112291241A (zh) | 2020-10-29 | 2020-10-29 | 防火墙开墙方法、防火墙开墙装置及终端设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112291241A true CN112291241A (zh) | 2021-01-29 |
Family
ID=74352386
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011180861.4A Withdrawn CN112291241A (zh) | 2020-10-29 | 2020-10-29 | 防火墙开墙方法、防火墙开墙装置及终端设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112291241A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112995169A (zh) * | 2021-02-22 | 2021-06-18 | 中国工商银行股份有限公司 | 防火墙部署方法和装置 |
-
2020
- 2020-10-29 CN CN202011180861.4A patent/CN112291241A/zh not_active Withdrawn
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112995169A (zh) * | 2021-02-22 | 2021-06-18 | 中国工商银行股份有限公司 | 防火墙部署方法和装置 |
| CN112995169B (zh) * | 2021-02-22 | 2022-12-06 | 中国工商银行股份有限公司 | 防火墙部署方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10601911B2 (en) | Partitioning of a blockchain ledger | |
| US11823178B2 (en) | Optimization of high volume transaction performance on a blockchain | |
| CN110661658B (zh) | 一种区块链网络的节点管理方法、装置及计算机存储介质 | |
| US10749791B2 (en) | System for rerouting electronic data transmissions based on generated solution data models | |
| CN110543448A (zh) | 数据同步方法、装置、设备及计算机可读存储介质 | |
| CN101345694A (zh) | 一种快速查找定位和匹配访问控制列表的方法 | |
| CN111639309B (zh) | 一种数据处理方法、装置、节点设备及存储介质 | |
| US11362997B2 (en) | Real-time policy rule evaluation with multistage processing | |
| CN111464487B (zh) | 访问控制方法、装置及系统 | |
| CN104618304A (zh) | 数据处理方法及数据处理系统 | |
| WO2023040453A1 (zh) | 一种交易信息处理方法及装置 | |
| CN112860953A (zh) | 图数据库的数据导入方法、装置、设备及存储介质 | |
| CN110336813B (zh) | 一种访问控制方法、装置、设备及存储介质 | |
| CN115238247A (zh) | 基于零信任数据访问控制系统的数据处理方法 | |
| CN107832446A (zh) | 一种配置项信息的搜索方法及计算设备 | |
| CN112291241A (zh) | 防火墙开墙方法、防火墙开墙装置及终端设备 | |
| CN112037055A (zh) | 交易处理方法、装置、电子设备及可读存储介质 | |
| CN116151631A (zh) | 一种业务决策处理系统、一种业务决策处理方法和装置 | |
| CN114978686A (zh) | 数字资产上链方法及装置 | |
| CN113961600A (zh) | 一种数据查询方法、装置、计算机设备及存储介质 | |
| US10970406B2 (en) | System for mitigating exposure associated with identified unmanaged devices in a network using solution data modelling | |
| US10977283B2 (en) | System for mitigating intentional and unintentional exposure using solution data modelling | |
| US20230153457A1 (en) | Privacy data management in distributed computing systems | |
| US20230153450A1 (en) | Privacy data management in distributed computing systems | |
| CN110209666B (zh) | 一种数据存储方法及终端设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20210129 |
|
| WW01 | Invention patent application withdrawn after publication |