CN112383507B - 防火墙策略管理方法、装置、系统与计算机可读存储介质 - Google Patents
防火墙策略管理方法、装置、系统与计算机可读存储介质 Download PDFInfo
- Publication number
- CN112383507B CN112383507B CN202011114813.5A CN202011114813A CN112383507B CN 112383507 B CN112383507 B CN 112383507B CN 202011114813 A CN202011114813 A CN 202011114813A CN 112383507 B CN112383507 B CN 112383507B
- Authority
- CN
- China
- Prior art keywords
- configuration
- policy
- equipment
- firewall policy
- firewall
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Abstract
本发明公开了一种防火墙策略管理方法,包括:若接收到配置指令,则获取所述配置指令携带的标识信息,并确定所述标识信息对应的待配置设备;获取所述配置指令中的防火墙策略,并对所述防火墙策略进行解析,得到解析后的设备策略;基于所述设备策略,对所述待配置设备进行配置。本发明还公开了一种防火墙策略管理装置、系统和计算机可读存储介质。本发明不需要运维人员登录到每个设备,并手动执行防火墙策略的配置指令,而是通过系统对待配置设备进行防火墙策略的配置,提高了防火墙策略的使用率,也即,提高了设备的安全性。
Description
技术领域
本发明涉及设备安全技术领域,尤其涉及防火墙策略管理方法、装置、系统与计算机可读存储介质。
背景技术
在运维和安全行业,解决设备安全问题是重中之重,目前市面上存在多种应对安全问题的方法,其中,通过手工配置设备的防火墙策略是成本较低、针对性较强、可靠性较强的的重要方法。
但是,通过手工配置设备的防火墙策略,在大规模、高频次配置策略的情况下,运维人员需要登录到每个需要配置策略的设备上,并手动执行配置命令,很容易导致操作失误,造成工作损失,也就使得防火墙策略在日常工作中使用率不高,甚至关闭设备上的防火墙策略,导致设备安全的风险极高。
发明内容
本发明的主要目的在于提出一种防火墙策略管理方法、装置、设备与计算机可读存储介质,旨在提高设备的安全性。
为实现上述目的,本发明提供一种防火墙策略管理方法,所述防火墙策略管理方法包括如下步骤:
若接收到配置指令,则获取所述配置指令携带的标识信息,并确定所述标识信息对应的待配置设备;
获取所述配置指令中的防火墙策略,并对所述防火墙策略进行解析,得到解析后的设备策略;
基于所述设备策略,对所述待配置设备进行配置。
优选地,所述对所述防火墙策略进行解析的步骤包括:
获取所述待配置设备对应的第一解析规则,并基于所述第一解析规则,对所述防火墙策略进行解析。
优选地,所述基于所述设备策略,对所述待配置设备进行配置的步骤包括:
获取所述待配置设备正在生效的策略信息,将所述策略信息转入历史记录表中保存;
基于所述设备策略,对所述待配置设备执行配置操作,得到对应的操作结果;
获取所述防火墙策略对应的第二解析规则,基于所述第二解析规则,对所述操作结果进行解析,得到第一配置结果,并将所述第一配置结果保存到所述待配置设备的执行日志中。
优选地,所述防火墙策略管理方法还包括:
若接收到修改指令,则获取所述修改指令携带的第一标识信息,并确定所述第一标识信息对应的目标设备;
将所述目标设备正在生效的策略信息转入历史记录表中保存,并基于所述修改指令,对所述策略信息进行修改,得到修改后的目标策略;
基于所述目标策略,对所述目标设备进行配置,得到对应的第二配置结果,并将所述第二配置结果保存到所述目标设备的执行日志中。
优选地,所述防火墙策略管理方法还包括:
若接收到回滚指令,则获取所述回滚指令中的回滚策略和第二标识信息,并确定所述第二标识信息对应的回滚设备;
将所述回滚设备正在生效的策略信息转入历史记录表中保存,并基于所述回滚策略,对所述回滚设备进行配置,得到第三配置结果;
将所述第三配置结果保存到所述回滚设备对应的执行日志中。
优选地,所述防火墙策略管理方法还包括:
若接收到日志查询请求,则获取所述日志查询请求携带的第三标识信息,并确定所述第三标识信息对应的查询设备;
获取所述查询设备对应的执行日志,并将所述执行日志返回给发送所述日志查询请求的终端。
优选地,所述若接收到配置指令,则获取所述配置指令携带的标识信息,并确定所述标识信息对应的待配置设备的步骤之前,所述防火墙策略管理方法还包括:
获取当前运行设备的策略信息,并将所述策略信息反馈给用户。
此外,为实现上述目的,本发明还提供一种防火墙策略管理装置,所述防火墙策略管理装置包括:
设备确定模块,用于若接收到配置指令,则获取所述配置指令携带的标识信息,并确定所述标识信息对应的待配置设备;
策略解析模块,用于获取所述配置指令中的防火墙策略,并对所述防火墙策略进行解析,得到解析后的设备策略;
策略配置模块,用于基于所述设备策略,对所述待配置设备进行配置。
优选地,所述策略解析模块还用于:
获取所述待配置设备对应的第一解析规则,并基于所述第一解析规则,对所述防火墙策略进行解析。
优选地,所述策略配置模块还用于:
获取所述待配置设备正在生效的策略信息,将所述策略信息转入历史记录表中保存;
基于所述设备策略,对所述待配置设备执行配置操作,得到对应的操作结果;
获取所述防火墙策略对应的第二解析规则,基于所述第二解析规则,对所述操作结果进行解析,得到第一配置结果,并将所述第一配置结果保存到所述待配置设备的执行日志中。
优选地,所述防火墙策略管理装置还包括策略修改模块,所述策略修改模块用于:
若接收到修改指令,则获取所述修改指令携带的第一标识信息,并确定所述第一标识信息对应的目标设备;
将所述目标设备正在生效的策略信息转入历史记录表中保存,并基于所述修改指令,对所述策略信息进行修改,得到修改后的目标策略;
基于所述目标策略,对所述目标设备进行配置,得到对应的第二配置结果,并将所述第二配置结果保存到所述目标设备的执行日志中。
优选地,所述防火墙策略管理装置还包括策略回滚模块,所述策略回滚模块用于:
若接收到回滚指令,则获取所述回滚指令中的回滚策略和第二标识信息,并确定所述第二标识信息对应的回滚设备;
将所述回滚设备正在生效的策略信息转入历史记录表中保存,并基于所述回滚策略,对所述回滚设备进行配置,得到第三配置结果;
将所述第三配置结果保存到所述回滚设备对应的执行日志中。
优选地,所述防火墙策略管理装置还包括日志查询模块,所述日志查询模块用于:
若接收到日志查询请求,则获取所述日志查询请求携带的第三标识信息,并确定所述第三标识信息对应的查询设备;
获取所述查询设备对应的执行日志,并将所述执行日志返回给发送所述日志查询请求的终端。
优选地,所述防火墙策略管理装置还包括策略反馈模块,所述策略反馈模块用于:
获取当前运行设备的策略信息,并将所述策略信息反馈给用户。
此外,为实现上述目的,本发明还提供一种防火墙策略管理设备,所述防火墙策略管理设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的防火墙策略管理程序,所述防火墙策略管理程序被所述处理器执行时实现如上所述的防火墙策略管理方法的步骤。
此外,为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有防火墙策略管理程序,所述防火墙策略管理程序被处理器执行时实现如上所述的防火墙策略管理方法的步骤。
本发明提出的防火墙策略管理方法,若接收到配置指令,则获取所述配置指令携带的标识信息,并确定所述标识信息对应的待配置设备;获取所述配置指令中的防火墙策略,并对所述防火墙策略进行解析,得到解析后的设备策略;基于所述设备策略,对所述待配置设备进行配置。本发明不需要运维人员登录到每个设备,并手动执行防火墙策略的配置指令,而是通过系统对待配置设备进行防火墙策略的配置,提高了防火墙策略的使用率,也即,提高了设备的安全性。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的系统结构示意图;
图2是本发明防火墙策略管理方法第一实施例的流程示意图;
图3是本发明防火墙策略管理方法第二实施例的流程示意图;
图4是本发明防火墙策略管理装置较佳实施例的功能模块示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
如图1所示,图1是本发明实施例方案涉及的硬件运行环境的系统结构示意图。
本发明实施例系统可以是平台服务器或管理服务器等,包括策略执行模块、策略展示模块、策略管理模块、策略模板管理模块、策略下发模块、策略回滚模块、策略存储模块等。
如图1所示,该系统可以包括:处理器1001,例如CPU,网络接口1004,用户接口1003,存储器1005,通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的系统结构并不构成对系统的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及防火墙策略管理程序。
其中,操作系统是管理和控制防火墙策略管理设备与软件资源的程序,支持网络通信模块、用户接口模块、防火墙策略管理程序以及其他程序或软件的运行;网络通信模块用于管理和控制网络接口1002;用户接口模块用于管理和控制用户接口1003。
在图1所示的防火墙策略管理系统中,所述防火墙策略管理系统通过处理器1001调用存储器1005中存储的防火墙策略管理程序,并执行下述防火墙策略管理方法各个实施例中的操作。
基于上述硬件结构,提出本发明防火墙策略管理方法实施例。
参照图2,图2为本发明防火墙策略管理方法第一实施例的流程示意图,所述方法包括:
步骤S10,若接收到配置指令,则获取所述配置指令携带的标识信息,并确定所述标识信息对应的待配置设备;
本实施例的防火墙策略管理方法运用于管理不同设备的防火墙策略管理系统中,为描述方便,防火墙策略管理系统以策略管理系统简称。在本实施例中,策略管理系统包括包括策略执行模块、策略展示模块、策略下发模块、策略回滚模块、策略存储模块等,其中,策略执行模块,用于解析设备已有策略,并向策略管理系统上报,同时执行策略管理系统下发的策略执行命令并返回结果;策略展示模块用于展示所有接入设备的在线状态及正在生效的防火墙策略;策略下发模块用于将配置好的策略下发到单个或多个设备上;策略存储模块,用于存储策略执行日志,提供策略执行结果。
目前,对设备进行防火墙策略的配置,首先需要运维人员熟悉各种防火墙的配置方法及命令,门槛较高;其次,如果运维人员面临大规模、高频次设置策略的情况下,需要登录到每个需要配置策略的设备上,并进行手动执行配置命令,很容易因为疲劳和重复工作导致操作失误,造成一定的工作损失,因此导致运维人员在日常工作中不常启用防火墙策略,甚至关闭设备的防火墙策略,导致设备的安全风险极高。
在本实施例中,当策略管理系统接收到用户在预设终端下发的配置指令时,则获取配置指令携带的标识信息,并根据标识信息确定需要进行策略配置的待配置设备,其中,标识信息包括目标设备的端口、IP、IP段、设备MAC地址等。可以理解的,每个设备都有与之对应的标识信息,也即,根据标识信息能唯一确定对应的设备,因此,可通过获取配置指令中的标识信息来确定对应的待配置设备。
需要说明的是,本实施例的待配置设备可以是一台或者多台;若待配置设备有多台,可以是同一类型的多台设备,也可以是不同类型的多台设备。
进一步地,在步骤S10之前,所述防火墙策略管理方法还包括:
步骤a1,获取当前运行设备的策略信息,并将所述策略信息反馈给用户;
在本实施例中,策略管理系统还包括策略执行模块,但是,该策略执行模块运行在接入策略管理系统的设备上,策略执行模块通过获取设备当前已配置的策略,也即,获取策略的运行状态,以及正在生效的策略,并通过策略执行模块对策略进行解析,得到当前运行设备的策略信息。可以理解的,由于策略管理系统用于管理不同类型的设备,因此,策略执行模块获取到设备当前已配置的策略之后,还需要对策略进行解析,才能被策略管理系统识别并接收,然后由策略管理系统将接收到的策略信息反馈给用户,在具体实施时,可通过将策略信息展示在用户登录的终端上反馈给用户,也可通过语音播报的方式反馈给用户,从而使得用户了解设备已配置的策略,方便用户根据策略信息在终端上发起配置指令。
步骤a2,在所述策略信息反馈完成后,接收用户输入的防火墙策略的配置信息,以及所述防火墙策略对应的设备信息,所述设备信息包括设备的标识信息。
在本实施例中,策略管理系统对设备进行配置之前,需要用户在预设终端输入待配置的防火墙策略的配置信息,得到待配置的防火墙策略,并输入该防火墙策略的设备信息,其中,设备信息包括标识信息,也即,可通过标识信息确定需要配置该防火墙策略的待配置设备。
步骤S20,获取所述配置指令中的防火墙策略,并对所述防火墙策略进行解析,得到解析后的设备策略;
在本实施例中,配置指令中还包含待配置的防火墙策略,要通过策略执行模块对防火墙策略进行解析,以得到待配置设备能够识别的设备策略。
进一步地,步骤S20包括:
步骤b,获取所述待配置设备对应的第一解析规则,并基于所述第一解析规则,对所述防火墙策略进行解析。
在本实施例中,由于策略管理系统下发的防火墙策略不能被所有接入系统的待配置设备识别,因此,需要获取第一解析规则,其中,第一解析规则可以是待配置设备遵循的协议,再根据待配置设备的第一解析规则,对待配置的防火墙策略进行解析,从而得到待配置设备所能识别的设备策略。
步骤S30,基于所述设备策略,对所述待配置设备进行配置。
在本实施例中,策略管理系统通过运行在设备上的策略执行模块,根据解析后的设备策略,对待配置设备进行配置。
具体的,步骤S30包括:
步骤c1,获取所述待配置设备正在生效的策略信息,将所述策略信息转入历史记录表中保存;
在本实施例中,为了便于策略系统的管理,在对待配置设备进行配置之前,需要通过策略执行模块获取待配置设备正在生效的策略信息,将策略信息转入待配置设备的历史记录表中保存,是为了对待配置设备的策略信息进行归档备份,也就是说,将策略信息转入待配置设备的历史记录表中保存,待配置设备正在生效的策略不会发生变化。
步骤c2,基于所述设备策略,对所述待配置设备执行配置操作,得到对应的操作结果;
在本实施例中,策略执行模块通过对待配置设备执行设备策略的配置操作,并返回对应的操作结果至待配置设备,因此,操作结果是待配置设备能够识别的,其中,操作结果包括待配置设备对应的配置执行时间、执行结果等,执行结果包括配置成功,或者配置失败和配置失败的原因等。
步骤c3,获取所述防火墙策略对应的第二解析规则,基于所述第二解析规则,对所述操作结果进行解析,得到第一配置结果,并将所述第一配置结果保存到所述待配置设备的执行日志中。
在本实施例中,为了便于溯源管理,还需要通过策略执行模块获取防火墙策略对应的第二解析规则,其中,第二解析规则可以是策略管理系统对应的管理终端所遵循的协议,然后根据第二解析规则,对操作结果进行解析,得到第一配置结果,再将第一配置结果保存到待配置设备的执行日志中,从而将待配置设备的执行日志保存到策略管理系统的数据库中。在具体实施时,若第一配置结果提示配置成功,则说明策略执行模块已将该待配置设备原本已配置的策略,更新为最新配置的设备策略。若第一配置结果提示配置失败,可能是对应的待配置设备上正在生效的策略与最新配置的设备策略是一样的,可以理解的,在接收到配置指令之前,虽然用户已经了解设备已配置的策略,但是,还是无法避免对待配置设备进行重复配置的问题,因此导致配置失败。若配置结果提示配置失败,还可能是在对待配置设备进行配置的过程中,由于网络中断或者设备断电,导致策略管理系统接收到第一配置结果的时间超出了预设时间,从而导致配置失败。在具体实施时,可事先部署一个超时机制,来判断策略管理系统接收到第一配置结果的时间是否超出了预设时间。
需要说明的是,若是第一配置结果提示配置失败,那么,待配置设备正在生效的防火墙策略还是原来的策略;只有配置成功,才会将待配置设备当前的策略更新为最新配置的设备策略。
本实施例的防火墙策略管理方法,若接收到配置指令,则获取所述配置指令携带的标识信息,并确定所述标识信息对应的待配置设备;获取所述配置指令中的防火墙策略,并对所述防火墙策略进行解析,得到解析后的设备策略;基于所述设备策略,对所述待配置设备进行配置。本发明不需要运维人员登录到每个设备,并手动执行防火墙策略的配置指令,而是通过系统对待配置设备进行防火墙策略的配置,提高了防火墙策略的使用率,也即,提高了设备的安全性。
进一步地,基于本发明防火墙策略管理方法第一实施例,提出本发明防火墙策略管理方法第二实施例。
参照图3,防火墙策略管理方法的第二实施例与防火墙策略管理方法的第一实施例的区别在于,所述防火墙策略管理方法还包括:
步骤d,若接收到批量配置指令,则确定所述批量配置指令对应的模板策略,并确定所述模板策略对应的多个配置设备;
在本实施例中,策略管理系统还包括策略模板管理模块,用于将已有策略配置为策略模板,为大批量策略执行提供便利。由于批量配置指令中包含进行批量配置的模板策略,以及对应设备的标识信息,因此,可通过获取批量配置指令中的标识信息,确定需要配置该模板策略的配置设备。在具体实施时,用户可在显示界面上选择策略管理系统中已有的策略作为模板策略,也可在预设终端新建一个防火墙策略作为模板策略,并通过预设终端上显示的设备列表以及设备信息,选择配置模板策略的多个配置设备。
需要说明的是,多个配置设备可以是同一类型的多个设备,也可以是不同类型的多个设备。
步骤e,获取所述配置设备的原有策略,并将所述原有策略分别转入对应的历史记录表中;
在本实施例中,为了方便策略管理系统对不同设备的防火墙策略进行溯源管理,执行批量配置指令之前,需要对配置设备的原有策略进行归档备份,也即,需要先获取配置设备的原有策略,并将原有策略分别转入对应的历史记录表中。
步骤f,执行所述批量配置指令,并将各所述配置设备返回的执行结果保存到执行日志中。
在本实施例中,执行批量配置指令,包括将模板策略发送至各个配置设备,也即,向每个配置设备发送模板策略的配置指令,并通过运行在各个配置设备上的策略执行模块,执行模板策略的配置指令,然后将返回的执行结果保存到各个配置设备的执行日志中,其中,执行模板策略的配置指令的方法与第一实施例中对待配置设备进行配置的方法类似,此处不再赘述。
本实施例的防火墙策略管理方法,通过确定批量配置指令对应的模板策略和多个配置设备,再执行批量配置指令,并将返回的执行结果保存到各个配置设备对应的执行日志中,实现了对多个设备或者多种不同设备的防火墙策略进行统一的批量配置管理,大幅度降低了运维人员的工作量和工作难度,提高了防火墙策略的配置效率。
进一步地,基于本发明防火墙策略管理方法第一、第二实施例,提出本发明防火墙策略管理方法第三实施例。
防火墙策略管理方法的第三实施例与防火墙策略管理方法的第一、第二实施例的区别在于,所述防火墙策略管理方法还包括:
步骤g,若接收到修改指令,则获取所述修改指令携带的第一标识信息,并确定所述第一标识信息对应的目标设备;
在本实施例中,策略管理系统还包括策略修改模块,用于对策略进行增、删、改、查,并标注本次修改原因,便于后期运维管理。当策略管理系统接收到修改指令时,可通过获取修改指令对应的第一标识信息,并根据第一标识信息来确定需要进行策略修改的一个或多个目标设备。
步骤h,将所述目标设备正在生效的策略信息转入历史记录表中保存,并基于所述修改指令,对所述策略信息进行修改,得到修改后的目标策略;
在本实施例中,将目标设备原有的策略信息保存到对应的历史记录表中,以进行归档备份,通过执行修改指令,对目标设备的策略信息进行修改,也即,对目标设备的策略信息进行增、删、改、查,从而得到修改后的目标策略。
步骤i,基于所述目标策略,对所述目标设备进行配置,得到对应的第二配置结果,并将所述第二配置结果保存到所述目标设备的执行日志中。
在本实施例中,根据目标策略对目标设备进行配置的方法与第一实施例中对待配置设备进行配置的方法类似,此处不再赘述。同理地,策略管理系统接收到的第二配置结果也包含了输入修改指令的用户信息、修改原因、修改时间等。若第二配置结果提示配置成功,则说明目标设备的策略信息已被更新为目标策略;若第二配置结果提示配置失败,也需要将配置失败的原因、时间等信息保存到目标设备的执行日志中。
本实施例的防火墙策略管理方法,通过对目标设备的策略信息进行修改,得到对应的目标策略,并将目标设备配置目标策略得到的第二配置结果,保存到对应的执行日志中,提供了策略信息修改的日志记录功能,便于运维人员溯源管理。
进一步地,基于本发明防火墙策略管理方法第一、第二、第三实施例,提出本发明防火墙策略管理方法第四实施例。
防火墙策略管理方法的第四施例与防火墙策略管理方法的第一、第二、第三实施例的区别在于,所述防火墙策略管理方法还包括:
步骤j,若接收到回滚指令,则获取所述回滚指令中的回滚策略和第二标识信息,并确定所述第二标识信息对应的回滚设备;
在本实施例中,通过运维人员手动配置防火墙策略的过程中,如果操作错误,则需要手动执行纠错命令进行策略回滚,进一步加大了运维的工作难度。回滚指令包含待配置的回滚策略,以及第二标识信息,根据第二标识信息确定回滚设备的方法与根据第一标识信息确定目标设备的方法类似,此处不再赘述。
步骤k,将所述回滚设备正在生效的策略信息转入历史记录表中保存,并基于所述回滚策略,对所述回滚设备进行配置,得到第三配置结果;
在本实施例中,为了归档备份,需要将回滚设备正在生效的策略信息转入历史记录表中保存,根据回滚策略对回滚设备进行配置的方法与第一实施例对待配置设备进行配置的方法类似,此处不再赘述。
步骤l,将所述第三配置结果保存到所述回滚设备对应的执行日志中。
在本实施例中,为了便于策略管理系统进行溯源管理,需要将第三配置结果保存到回滚设备对应的执行日志中。
本实施例的防火墙策略管理方法,通过对回滚设备进行回滚操作,将回滚设备正在生效的策略信息转换为回滚策略,提供策略回滚功能,并记录对应的配置结果,降低了运维人员配置防火墙策略的错误率。
进一步地,基于本发明防火墙策略管理方法第一、第二、第三、第四实施例,提出本发明防火墙策略管理方法第五实施例。
防火墙策略管理方法的第五施例与防火墙策略管理方法的第一、第二、第三、第四实施例的区别在于,所述防火墙策略管理方法还包括:
步骤m,若接收到日志查询请求,则获取所述日志查询请求携带的第三标识信息,并确定所述第三标识信息对应的查询设备;
在本实施例中,确定查询设备的方法与确定待配置设备的方法类似,此处不再赘述。在具体实施时,用户登录的终端对应的显示界面上提供日志查询功能,用户可通过输入策略配置的时间段、某个防火墙策略等关键词或关键字进行模糊查询,也可输入设备的IP、IP段、MAC地址等进行精确查询,以查找到符合检索要求的查询设备。
步骤n获取所述查询设备对应的执行日志,并将所述执行日志返回给发送所述日志查询请求的终端。
在本实施例中,策略管理系统从数据库中获取查询设备对应的执行日志,并将执行日志返回给发送日志查询请求的终端,具体的,可将执行日志展示在终端的显示界面上,也可通过语音播报功能返回给终端。
需要说明的是,当接收到日志查询请求时,策略管理系统也可默认按照时间降序的顺序,将最新配置策略的设备以及对应的执行日志返回给发送该日志查询请求的终端。
本实施例的防火墙管理方法,提供日志查询功能,将获取到的执行日志返回给对应的终端,使得用户可通过执行日志,直观地获取设备执行失败的原因。
本发明还提供一种防火墙策略管理装置。参照图4,本发明防火墙策略管理装置包括:
设备确定模块10,用于若接收到配置指令,则获取所述配置指令携带的标识信息,并确定所述标识信息对应的待配置设备;
策略解析模块20,用于获取所述配置指令中的防火墙策略,并对所述防火墙策略进行解析,得到解析后的设备策略;
策略配置模块30,用于基于所述设备策略,对所述待配置设备进行配置。
优选地,所述策略解析模块还用于:
获取所述待配置设备对应的第一解析规则,并基于所述第一解析规则,对所述防火墙策略进行解析。
优选地,所述策略配置模块还用于:
获取所述待配置设备正在生效的策略信息,将所述策略信息转入历史记录表中保存;
基于所述设备策略,对所述待配置设备执行配置操作,得到对应的操作结果;
获取所述防火墙策略对应的第二解析规则,基于所述第二解析规则,对所述操作结果进行解析,得到第一配置结果,并将所述第一配置结果保存到所述待配置设备的执行日志中。
优选地,所述防火墙策略管理装置还包括策略修改模块,所述策略修改模块用于:
若接收到修改指令,则获取所述修改指令携带的第一标识信息,并确定所述第一标识信息对应的目标设备;
将所述目标设备正在生效的策略信息转入历史记录表中保存,并基于所述修改指令,对所述策略信息进行修改,得到修改后的目标策略;
基于所述目标策略,对所述目标设备进行配置,得到对应的第二配置结果,并将所述第二配置结果保存到所述目标设备的执行日志中。
优选地,所述防火墙策略管理装置还包括策略回滚模块,所述策略回滚模块用于:
若接收到回滚指令,则获取所述回滚指令中的回滚策略和第二标识信息,并确定所述第二标识信息对应的回滚设备;
将所述回滚设备正在生效的策略信息转入历史记录表中保存,并基于所述回滚策略,对所述回滚设备进行配置,得到第三配置结果;
将所述第三配置结果保存到所述回滚设备对应的执行日志中。
优选地,所述防火墙策略管理装置还包括日志查询模块,所述日志查询模块用于:
若接收到日志查询请求,则获取所述日志查询请求携带的第三标识信息,并确定所述第三标识信息对应的查询设备;
获取所述查询设备对应的执行日志,并将所述执行日志返回预设查询终端。
优选地,所述防火墙策略管理装置还包括策略反馈模块,所述策略反馈模块用于:
获取当前运行设备的策略信息,并将所述策略信息反馈给用户。
本发明还提供一种计算机可读存储介质。
本发明计算机可读存储介质上存储有防火墙策略管理程序,所述防火墙策略管理程序被处理器执行时实现如上所述的防火墙策略管理方法的步骤。
其中,在所述处理器上运行的防火墙策略管理程序被执行时所实现的方法可参照本发明防火墙策略管理方法各个实施例,此处不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者设备中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书与附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (9)
1.一种防火墙策略管理方法,其特征在于,所述方法包括如下步骤:
若接收到配置指令,则获取所述配置指令携带的标识信息,并确定所述标识信息对应的待配置设备;
获取所述配置指令中的防火墙策略,并对所述防火墙策略进行解析,得到解析后的设备策略;
基于所述设备策略,对所述待配置设备进行配置;
所述基于所述设备策略,对所述待配置设备进行配置的步骤包括:
获取所述待配置设备正在生效的策略信息,将所述策略信息转入历史记录表中保存;
基于所述设备策略,对所述待配置设备执行配置操作,得到对应的操作结果,所述操作结果包括:所述待配置设备对应的配置执行时间和执行结果,所述执行结果包括配置成功或者配置失败;
获取所述防火墙策略对应的第二解析规则,基于所述第二解析规则,对所述操作结果进行解析,得到第一配置结果,并将所述第一配置结果保存到所述待配置设备的执行日志中;
其中,在所述第一配置结果提示配置失败时,所述待配置设备保持正在生效的策略信息;在所述第一配置结果提示配置成功时,待配置设备当前的策略更新为最新配置的设备策略。
2.如权利要求1所述的防火墙策略管理方法,其特征在于,所述对所述防火墙策略进行解析的步骤包括:
获取所述待配置设备对应的第一解析规则,并基于所述第一解析规则,对所述防火墙策略进行解析。
3.如权利要求1所述的防火墙策略管理方法,其特征在于,所述防火墙策略管理方法还包括:
若接收到修改指令,则获取所述修改指令携带的第一标识信息,并确定所述第一标识信息对应的目标设备;
将所述目标设备正在生效的策略信息转入历史记录表中保存,并基于所述修改指令,对所述策略信息进行修改,得到修改后的目标策略;
基于所述目标策略,对所述目标设备进行配置,得到对应的第二配置结果,并将所述第二配置结果保存到所述目标设备的执行日志中。
4.如权利要求1所述的防火墙策略管理方法,其特征在于,所述防火墙策略管理方法还包括:
若接收到回滚指令,则获取所述回滚指令中的回滚策略和第二标识信息,并确定所述第二标识信息对应的回滚设备;
将所述回滚设备正在生效的策略信息转入历史记录表中保存,并基于所述回滚策略,对所述回滚设备进行配置,得到第三配置结果;
将所述第三配置结果保存到所述回滚设备对应的执行日志中。
5.如权利要求1所述的防火墙策略管理方法,其特征在于,所述防火墙策略管理方法还包括:
若接收到日志查询请求,则获取所述日志查询请求携带的第三标识信息,并确定所述第三标识信息对应的查询设备;
获取所述查询设备对应的执行日志,并将所述执行日志返回给发送所述日志查询请求的终端。
6.如权利要求1或2所述的防火墙策略管理方法,其特征在于,所述若接收到配置指令,则获取所述配置指令携带的标识信息,并确定所述标识信息对应的待配置设备的步骤之前,所述防火墙策略管理方法还包括:
获取当前运行设备的策略信息,并将所述策略信息反馈给用户。
7.一种的防火墙策略管理装置,其特征在于,所述的防火墙策略管理装置包括:
设备确定模块,用于若接收到配置指令,则获取所述配置指令携带的标识信息,并确定所述标识信息对应的待配置设备;
策略解析模块,用于获取所述配置指令中的防火墙策略,并对所述防火墙策略进行解析,得到解析后的设备策略;
策略配置模块,用于基于所述设备策略,对所述待配置设备进行配置;
所述策略配置模块,还用于:
获取所述待配置设备正在生效的策略信息,将所述策略信息转入历史记录表中保存;
基于所述设备策略,对所述待配置设备执行配置操作,得到对应的操作结果,所述操作结果包括:所述待配置设备对应的配置执行时间和执行结果,所述执行结果包括配置成功或者配置失败;
获取所述防火墙策略对应的第二解析规则,基于所述第二解析规则,对所述操作结果进行解析,得到第一配置结果,并将所述第一配置结果保存到所述待配置设备的执行日志中;
其中,在所述第一配置结果提示配置失败时,所述待配置设备保持正在生效的策略信息;在所述第一配置结果提示配置成功时,待配置设备当前的策略更新为最新配置的设备策略。
8.一种防火墙策略管理系统,其特征在于,所述防火墙策略管理系统包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的防火墙策略管理程序,所述防火墙策略管理程序被所述处理器执行时实现如权利要求1至6中任一项所述的防火墙策略管理方法的步骤。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有防火墙策略管理程序,所述防火墙策略管理程序被处理器执行时实现如权利要求1至6中任一项所述的防火墙策略管理方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011114813.5A CN112383507B (zh) | 2020-10-16 | 2020-10-16 | 防火墙策略管理方法、装置、系统与计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011114813.5A CN112383507B (zh) | 2020-10-16 | 2020-10-16 | 防火墙策略管理方法、装置、系统与计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112383507A CN112383507A (zh) | 2021-02-19 |
| CN112383507B true CN112383507B (zh) | 2023-07-11 |
Family
ID=74581606
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011114813.5A Active CN112383507B (zh) | 2020-10-16 | 2020-10-16 | 防火墙策略管理方法、装置、系统与计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112383507B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114679295B (zh) * | 2022-01-26 | 2023-05-26 | 杭州迪普科技股份有限公司 | 防火墙安全配置方法及装置 |
| CN115208671A (zh) * | 2022-07-15 | 2022-10-18 | 山石网科通信技术股份有限公司 | 防火墙配置方法、装置、电子设备和存储介质 |
| CN115766278B (zh) * | 2022-12-06 | 2023-08-15 | 深圳市宜嘉科技有限公司 | 防火墙策略生成方法、装置、设备及存储介质 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104580078B (zh) * | 2013-10-15 | 2018-04-17 | 北京神州泰岳软件股份有限公司 | 一种网络访问控制方法和系统 |
| US10462104B2 (en) * | 2016-02-29 | 2019-10-29 | Level 3 Communications, Llc | Systems and methods for dynamic firewall policy configuration |
| CN108092979B (zh) * | 2017-12-20 | 2021-05-28 | 国家电网公司 | 一种防火墙策略处理方法及装置 |
| CN107948205B (zh) * | 2017-12-31 | 2020-10-27 | 中国移动通信集团江苏有限公司 | 防火墙策略生成方法、装置、设备及介质 |
| CN108429743A (zh) * | 2018-02-28 | 2018-08-21 | 新华三信息安全技术有限公司 | 一种安全策略配置方法、系统、域控服务器及防火墙设备 |
| CN110430206B (zh) * | 2019-08-13 | 2022-03-01 | 上海新炬网络技术有限公司 | 基于脚本模板化生成配置防火墙安全策略的方法 |
-
2020
- 2020-10-16 CN CN202011114813.5A patent/CN112383507B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN112383507A (zh) | 2021-02-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112383507B (zh) | 防火墙策略管理方法、装置、系统与计算机可读存储介质 | |
| JP4890794B2 (ja) | ネットワークを監査するためのシステムおよび方法 | |
| CN110069572B (zh) | 基于大数据平台的hive任务调度方法、装置、设备及存储介质 | |
| US8732261B2 (en) | Apparatus and methods of a zero single point of failure load balancer | |
| JP5075736B2 (ja) | 仮想サーバのシステム障害回復方法及びそのシステム | |
| TWI740901B (zh) | 執行資料恢復操作的方法及裝置 | |
| CN101098248B (zh) | 一种基于配置描述文件实现通用网络管理的方法及系统 | |
| US10887171B2 (en) | Routing configuration method of view files, storage medium, terminal device and apparatus | |
| US20070124005A1 (en) | Interfacing between a command line interface-based application program and a remote network device | |
| CN113946358A (zh) | 一种基于车辆管理系统的自动驾驶车辆软件远程升级方法 | |
| US20240070026A1 (en) | Method For Remote Upgrade and Rollback of Unmanned Aerial Vehicle (UAV) Software | |
| CN113138794A (zh) | 一种代码版本的管理方法和管理系统 | |
| CN117389843B (zh) | 一种智能运维系统、方法、电子设备及存储介质 | |
| CN109189403B (zh) | 操作系统os批量安装方法、装置和网络设备 | |
| US20080178182A1 (en) | Work state returning apparatus, work state returning method, and computer product | |
| US9207928B2 (en) | Computer-readable medium, apparatus, and methods of automatic capability installation | |
| CN111367725A (zh) | 异步任务的在线监控方法、前端控制系统和业务响应平台 | |
| CN111488157A (zh) | 一种服务器装机系统及方法 | |
| CN115629784A (zh) | 更新机台文件的方法、系统、设备及计算机可读存储介质 | |
| CN104462106A (zh) | 数据更新方法及系统 | |
| JP4863126B2 (ja) | サーバ監視システム及びサーバ監視方法 | |
| CN110932896A (zh) | 日志倒排索引的创建方法、装置、设备及可读存储介质 | |
| JP2012230721A (ja) | 仮想サーバのシステム障害回復方法及びそのシステム | |
| CN113992739B (zh) | 一种局域网ota固件升级装置、方法及系统 | |
| CN116886691B (zh) | 一种文件管理控制方法、装置、系统及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |