CN112787867B - 一种防火墙策略任务自动处理系统及方法 - Google Patents
一种防火墙策略任务自动处理系统及方法 Download PDFInfo
- Publication number
- CN112787867B CN112787867B CN202110098653.8A CN202110098653A CN112787867B CN 112787867 B CN112787867 B CN 112787867B CN 202110098653 A CN202110098653 A CN 202110098653A CN 112787867 B CN112787867 B CN 112787867B
- Authority
- CN
- China
- Prior art keywords
- request
- policy
- content
- firewall
- task
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0866—Checking the configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0876—Aspects of the degree of configuration automation
- H04L41/0886—Fully automatic configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种防火墙策略任务自动处理系统及方法,涉及流程自动化技术领域,包括:请求处理模块,用于获取至少一请求方发送的策略任务请求,并在策略任务请求处于已审批状态时,对策略任务请求进行处理得到策略任务请求包含的请求策略内容;策略配置模块,用于将请求策略内容与防火墙的当前配置信息进行比较,并根据比较结果进行防火墙策略配置得到相应的配置结果;配置验证模块,用于根据请求策略内容对配置结果进行验证得到验证结果,并将验证结果分别发送至请求方以及对应的至少一网络运维人员。有益效果是实现防火墙策略自动配置的同时能够有效避免重复性策略配置,降低了防火墙策略的配置错误率,减少了网络运维人员执行重复工作的时间。
Description
技术领域
本发明涉及流程自动化技术领域,尤其涉及一种防火墙策略任务自动处理系统及方法。
背景技术
防火墙是网络中部署广泛的安全网关产品,对用户信息系统的安全而言相当关键。防火墙的安全性基本是通过安全策略的配置来实现的。因此,防火墙安全策略配置的正确对防火墙的安全防护作用起着至关重要的作用。
随着企业的IT架构日益庞大,IT运维工作也日益复杂,业务数据中心部署防火墙、实施防火墙策略的工作越来越多。目前防火墙策略的开通以及变更通常由网络运维人员人工执行,在日常运维过程中,网络运维人员的大量精力花费在防火墙策略的开通及变更上,且在当前网络环境中资源数量巨大、IP地址数量庞大、IPv4地址与IPv6地址交叉使用等复杂的运维情境下,人工执行防火墙策略开通及变更不仅效率低下,且容易出错。
发明内容
针对现有技术中存在的问题,本发明提供一种防火墙策略任务自动处理系统,包括:
请求处理模块,用于获取至少一请求方发送的策略任务请求,并在所述策略任务请求处于已审批状态时,对所述策略任务请求进行处理得到所述策略任务请求包含的请求策略内容;
策略配置模块,连接所述请求处理模块,用于将所述请求策略内容与防火墙的当前配置信息进行比较,并根据比较结果进行防火墙策略配置得到相应的配置结果;
配置验证模块,分别连接所述请求处理模块和所述策略配置模块,用于根据所述请求策略内容对所述配置结果进行验证得到验证结果,并将所述验证结果分别发送至所述请求方以及对应的至少一网络运维人员。
优选的,处于所述已审批状态的所述策略任务请求关联有预设的状态标识;则所述请求处理模块包括:
状态判断单元,用于识别到所述状态标识时输出表示对应的所述策略任务请求处于所述已审批状态的第一判断结果,以及在未识别到所述状态标识时输出表示对应的所述策略任务请求处于未审批状态的第二判断结果;
请求缓存单元,连接所述状态判断单元,用于根据所述第二判断结果将对应的所述策略任务请求进行缓存;
所述状态判断单元对缓存的各所述策略任务请求的审批状态进行监控,以在监控结果表示识别到对应的所述状态标识时输出所述第一判断结果;
请求处理单元,连接所述状态判断单元,用于根据所述第一判断结果对相应的所述策略任务请求进行处理得到所述策略任务请求包含的请求策略内容。
优选的,所述请求处理单元包括:
第一处理子单元,用于提取得到所述策略任务请求中的需求内容;
判断子单元,连接所述第一处理子单元,用于在所有的所述需求内容均符合预设的内容标准时,将所述需求内容作为所述请求策略内容输出,以及存在所述需求内容不符合对应的所述内容标准时输出第三判断结果;
第二处理子单元,连接所述判断子单元,用于根据所述第三判断结果将所述需求内容处理成符合对应的所述内容标准的转换内容,将所述转换内容及对应的所述内容标准发送至所述请求方进行确认修改,并将接收到的所述请求方反馈的确认修改后的所述转换内容作为所述请求策略内容输出。
优选的,所述策略配置模块包括:
比较单元,用于将所述请求策略内容与防火墙的当前配置信息进行比较,并在比较结果表示所述当前配置信息未包含所述请求策略内容中的所有对象时输出第一比较结果,以及在所述比较结果表示所述当前配置信息未包含所述请求策略内容中的所有访问关系时输出第二比较结果;
第一配置单元,连接所述比较单元,用于根据所述第一比较结果配置所述当前配置信息未包含的所述请求策略内容中的所述对象,对所述对象进行命名得到对象名称;
第二配置单元,连接所述比较单元,用于根据所述第二比较结果配置所述当前配置信息未包含的所述请求策略内容中的所述访问关系,并对所述访问关系进行命名得到策略名称;
结果输出单元,分别连接所述第一配置单元和所述第二配置单元,用于将所述对象的配置结果和/或所述访问关系的配置结果作为所述配置结果输出。
优选的,所述配置验证模块根据所述请求策略进行访问测试以对所述配置结果进行验证。
本申请还提供一种防火墙策略任务自动处理方法,应用于上述的防火墙策略任务自动处理系统,包括:
步骤S1,所述防火墙策略任务自动处理系统获取至少一请求方发送的的策略任务请求,并在所述策略任务请求处于已审批状态时,对所述策略任务请求进行处理得到所述策略任务请求包含的请求策略内容;
步骤S2,所述防火墙策略任务自动处理系统将所述请求策略内容与防火墙的当前配置信息进行比较,并根据比较结果进行防火墙策略配置得到相应的配置结果;
步骤S3,所述防火墙策略任务自动处理系统根据所述请求策略内容对所述配置结果进行验证得到验证结果,并将所述验证结果分别发送至所述请求方以及对应的至少一网络运维人员。
优选的,处于所述已审批状态的所述策略任务请求关联有预设的状态标识;则所述步骤S1包括:
步骤S11,所述防火墙策略任务自动处理系统识别所述策略任务请求是否关联有所述状态标识:
若是,则表示对应的所述策略任务请求处于所述已审批状态,随后转向步骤S13;
若否,则表示对应的所述策略任务请求处于未审批状态,随后转向步骤S12;
步骤S12,所述防火墙策略任务自动处理系统将对应的所述策略任务请求进行缓存,随后返回所述步骤S11,以对缓存的各所述策略任务请求的审批状态进行监控;
步骤S13,所述防火墙策略任务自动处理系统对相应的所述策略任务请求进行处理得到所述策略任务请求包含的请求策略内容。
优选的,所述步骤S13包括:
步骤S131,所述防火墙策略任务自动处理系统提取得到所述策略任务请求中的需求内容;
步骤S132,所述防火墙策略任务自动处理系统判断是否所有的所述需求内容均符合预设的内容标准:
若是,则所述需求内容作为所述请求策略内容输出,随后转向所述步骤S2;
若否,则转向步骤S133;
步骤S133,所述防火墙策略任务自动处理系统将不符合对应的所述内容标准的所述需求内容处理成符合对应的所述内容标准的转换内容,将所述转换内容及对应的所述内容标准发送至所述请求方进行确认修改,并将接收到的所述请求方反馈的确认修改后的所述转换内容作为所述请求策略内容输出。
优选的,所述步骤S2包括:
步骤S21,所述防火墙策略任务自动处理系统判断所述当前配置信息中是否包含所述请求策略内容中的所有对象:
若是,则转向步骤S22;
若否,则转向步骤S23;
步骤S22,所述防火墙策略任务自动处理系统判断所述当前配置信息中是否包含所述请求策略内容中的所有访问关系:
若是,则退出;
若否,则转向步骤S24;
步骤S23,所述防火墙策略任务自动处理系统配置所述当前配置信息未包含的所述请求策略内容中的所述对象,对所述对象进行命名得到对象名称,随后返回所述步骤S22;
步骤S24,所述防火墙策略任务自动处理系统配置所述当前配置信息未包含的所述请求策略内容中的所述访问关系,并对所述访问关系进行命名得到策略名称;
步骤S25,所述防火墙策略任务自动处理系统将所述对象的配置结果和/或所述访问关系的配置结果作为所述配置结果输出。
优选的,所述步骤S3中,所述防火墙策略任务自动处理系统根据所述请求策略进行访问测试以对所述配置结果进行验证。
上述技术方案具有如下优点或有益效果:
1)能够对策略任务请求进行自动识别及处理以获取策略任务请求中包含的请求策略内容,进一步地通过将请求策略内容与当前配置信息进行比较从而进行防火墙策略配置,实现防火墙策略自动配置的同时能够有效避免重复性策略配置;
2)通过将验证结果分别发送至请求方和网络运维人员,便于请求方和网络运维人员及时获取自动策略配置的有效性,同时在验证结果表示配置结果未通过验证时,方便网络运维人员与请求方之间能够根据验证结果及时进行沟通处理;
3)提高了网络日常运维工作的工作效率,降低了防火墙策略的配置错误率;
4)减少了网络运维人员执行重复工作的时间,使其可以将更多的时间用在更深入的技术研究和配置优化工作中。
附图说明
图1为本发明的较佳的实施例中,一种防火墙策略任务自动处理系统的结构示意图;
图2为本发明的较佳的实施例中,一种防火墙策略任务自动处理方法的流程示意图;
图3为本发明的较佳的实施例中,策略任务请求的处理过程的流程示意图;
图4为本发明的较佳的实施例中,请求策略内容的获取过程的流程示意图;
图5为本发明的较佳的实施例中,策略配置过程的流程示意图。
具体实施方式
下面结合附图和具体实施例对本发明进行详细说明。本发明并不限定于该实施方式,只要符合本发明的主旨,则其他实施方式也可以属于本发明的范畴。
本发明的较佳的实施例中,基于现有技术中存在的上述问题,现提供一种防火墙策略任务自动处理系统,如图1所示,包括:
请求处理模块1,用于获取至少一请求方发送的策略任务请求,并在策略任务请求处于已审批状态时,对策略任务请求进行处理得到策略任务请求包含的请求策略内容;
策略配置模块2,连接请求处理模块1,用于将请求策略内容与防火墙的当前配置信息进行比较,并根据比较结果进行防火墙策略配置得到相应的配置结果;
配置验证模块3,分别连接请求处理模块1和策略配置模块2,用于根据请求策略内容对配置结果进行验证得到验证结果,并将验证结果分别发送至请求方以及对应的至少一网络运维人员。
具体地,本实施例中,本技术方案的防火墙策略任务自动处理系统,可以适用于华为主流的防火墙产品,并能够与在用的邮件系统以及工单系统兼容。上述请求方可以通过邮件方式将策略任务请求发送至邮件系统,本技术方案的防火墙策略任务自动处理系统可以对接邮件系统,并由邮件系统中获取上述策略任务请求;上述请求方也可以通过工单方式将策略任务请求发送至工单系统,本技术方案的防火墙策略任务自动处理系统可以对接工单系统,并由工单系统中获取上述策略任务请求。上述邮件系统或工单系统在接收到策略任务请求后,首先需要对该策略任务请求进行审批,已经审批通过的策略任务请求处于已审批状态,由于邮件系统或工单系统可能同时接收到多个策略任务请求,可能出现部分策略任务请求未及时审批的状态,则请求处理模块获取的策略任务请求可能会处于未审批状态,本实施例中,仅对处于审批状态的策略任务请求进行后续处理及策略配置,对处于未审批状态的策略任务请求暂时搁置。
进一步地,对于处于已审批状态的策略任务请求,需要对其进行内容的识别提取以得到策略任务请求包含的请求策略内容,在获取请求策略内容后,通过获取防火墙的当前配置信息进行比较,以根据比较结果进行防火墙策略配置得到相应的配置结果。上述比较结果有两种情况:一是当前配置信息完全覆盖请求策略内容,则说明请求策略内容与当前配置信息重复,即请求策略内容已经存在于当前配置信息中,此时,无需进行防火墙策略的配置,避免出现重复配置;二是当前配置信息未完全覆盖请求策略内容,该种情况中可以包含两小类情况:一是当前配置信息部分覆盖请求策略内容,此时,需要根据比较结果进行防火墙策略的变更;二是当前配置信息与请求策略内容没有交集,此时,需要根据比较结果进行防火墙策略的开通。
更进一步地,在上述防火墙策略配置完成后,进一步对配置结果进行验证,以确认配置结果的有效性,如请求策略内容中包括对象A和对象B,对应的访问关系为对象A能够访问对象B,在配置完成后,可以通过访问测试的方式验证是否能够实现对象A访问对象B,如果能够实现,说明验证通过,即配置结果是有效的,如果不能实现,说明验证未通过,即配置结果是无效的,此时需要网络运维人员进行人工干预处理。优选的,上述验证结果同时发送至请求方和网络运维人员,在验证未通过时,请求方和网络运维人员能够根据收到的验证结果及时进行沟通,以及时查找到配置结果无效的原因,并作出相应处理。通过将验证结果同时发送至请求方和网络运维人员,相较于仅将验证结果发送至网络运维人员进行查看,在需要与请求方进行信息确认时,如确认请求方发送的策略任务请求中的请求策略内容是否存在错误等,网络运维人员无需将验证结果转发至请求方,提高了沟通效率。
本发明的较佳的实施例中,处于已审批状态的策略任务请求关联有预设的状态标识;则请求处理模块1包括:
状态判断单元11,用于识别到状态标识时输出表示对应的策略任务请求处于已审批状态的第一判断结果,以及在未识别到状态标识时输出表示对应的策略任务请求处于未审批状态的第二判断结果;
请求缓存单元12,连接状态判断单元11,用于根据第二判断结果将对应的策略任务请求进行缓存;
状态判断单元11对缓存的各策略任务请求的审批状态进行监控,以在监控结果表示识别到对应的状态标识时输出第一判断结果;
请求处理单元13,连接状态判断单元11,用于根据第一判断结果对相应的策略任务请求进行处理得到策略任务请求包含的请求策略内容。
具体地,本实施例中,上述状态标识可以是预设的状态值,如已审批状态关联的状态值为1,未审批状态管理的状态值为0。通过识别状态标识确认对应的策略任务请求为已审批状态时,对策略任务请求进行处理得到对应包含的请求策略内容,而在识别状态表示策略任务请求处于未审批状态时,可以先将其进行缓存搁置,状态判断单元11可以采用轮询的方式对缓存搁置的各策略任务请求进行监控,在监控到对应的策略任务请求的审批状态为已审批状态时,对该策略任务请求进行处理得到对应的请求策略内容,以便对策略任务请求进行审批状态管理,避免未及时审批的策略任务请求被遗漏。
本发明的较佳的实施例中,请求处理单元13包括:
第一处理子单元131,用于提取得到策略任务请求中的需求内容;
判断子单元132,连接第一处理子单元131,用于在所有的需求内容均符合预设的内容标准时,将需求内容作为请求策略内容输出,以及存在需求内容不符合对应的内容标准时输出第三判断结果;
第二处理子单元133,连接判断子单元132,用于根据第三判断结果将需求内容处理成符合对应的内容标准的转换内容,将转换内容及对应的内容标准发送至请求方进行确认修改,并将接收到的请求方反馈的确认修改后的转换内容作为请求策略内容输出。
具体地,本实施例中,防火墙策略的配置需要的数据包括但不限于五元组信息,即IP地址、IP地址组、域名、域名组、应用协议,可以预先设置标准配置模块,该标准配置模板中可以包括具有预设内容标准的标准格式或标准描述语言,以便于后续进行防火墙策略配置。而策略任务请求中的需求内容可能会由于描述方式不同或者字段格式不同等存在不符合内容标准的情况,如在需求内容中以口语化的方式进行策略描述,在提取到该策略描述对应的需求内容时,需要对其进行包括但不限于语义转换以得到标准描述语言,即是将需求内容处理成符合对应的内容标准的转换内容,在处理后,以防止转换错误需要将转换内容以及对应的内容标准发送至请求方,请求方能够明确该需求内容的标准描述语言,并确认转换内容是否与原有的需求内容相符,若不相符可以根据对应的内容标准进行修改,确保最终得到的请求策略内容的正确性且符合预设内容标准。
本发明的较佳的实施例中,策略配置模块2包括:
比较单元21,用于将请求策略内容与防火墙的当前配置信息进行比较,并在比较结果表示当前配置信息未包含请求策略内容中的所有对象时输出第一比较结果,以及在比较结果表示当前配置信息未包含请求策略内容中的所有访问关系时输出第二比较结果;
第一配置单元22,连接比较单元21,用于根据第一比较结果配置当前配置信息未包含的请求策略内容中的对象,对对象进行命名得到对象名称;
第二配置单元23,连接比较单元21,用于根据第二比较结果配置当前配置信息未包含的请求策略内容中的访问关系,并对访问关系进行命名得到策略名称;
结果输出单元24,分别连接第一配置单元22和第二配置单元23,用于将对象的配置结果和/或访问关系的配置结果作为配置结果输出。
具体地,本实施例中,将请求策略内容与防火墙的当前配置信息进行比较,比较结果可以包括:一是无对象无策略,即当前配置信息未包含请求策略内容中的所有对象,显然也不会包含该对象的访问关系,此时需要同时配置对象和访问关系,即同时输出上述第一比较结果和第二比较结果;二是有对象无策略,即当前配置信息包含请求策略内容中的所有对象,但是未包含对应的访问关系,如当前配置信息包括对象A、对象B和对象C,其中,对象A能够访问对象B,对象B能够访问对象C,而请求策略内中包括对象A和对象C,其中,对象A能够访问对象C,此时,仅输出上述第二比较结果,即仅需要配置相应的访问关系;三是有对象有策略,即当前配置信息中包含请求策略内中的所有对象,但是未完全包含对应的访问关系,如当前配置信息包括对象A、对象B和对象C,其中,对象A能够访问对象B,对象A也能够访问对象C,而请求策略内中包括对象A、对象B和对象C,其中,对象A能够同时访问对象B和对象C,此时,仅输出上述第二比较结果,需要配置相应的访问关系,可以将当前配置信息中的两条访问关系进行合并成为一条新的访问关系,并进行策略命名;四是当前配置信息完全覆盖请求策略内容,此时,无需进行防火墙策略的配置,避免出现重复配置。
本发明的较佳的实施例中,配置验证模块3根据请求策略进行访问测试以对配置结果进行验证。
本申请还提供一种防火墙策略任务自动处理方法,应用于上述的防火墙策略任务自动处理系统,如图2所示,包括:
步骤S1,防火墙策略任务自动处理系统获取至少一请求方发送的的策略任务请求,并在策略任务请求处于已审批状态时,对策略任务请求进行处理得到策略任务请求包含的请求策略内容;
步骤S2,防火墙策略任务自动处理系统将请求策略内容与防火墙的当前配置信息进行比较,并根据比较结果进行防火墙策略配置得到相应的配置结果;
步骤S3,防火墙策略任务自动处理系统根据请求策略内容对配置结果进行验证得到验证结果,并将验证结果分别发送至请求方以及对应的至少一网络运维人员。
本发明的较佳的实施例中,处于已审批状态的策略任务请求关联有预设的状态标识;如图3所示,则步骤S1包括:
步骤S11,防火墙策略任务自动处理系统识别策略任务请求是否关联有状态标识:
若是,则表示对应的策略任务请求处于已审批状态,随后转向步骤S13;
若否,则表示对应的策略任务请求处于未审批状态,随后转向步骤S12;
步骤S12,防火墙策略任务自动处理系统将对应的策略任务请求进行缓存,随后返回步骤S11,以对缓存的各策略任务请求的审批状态进行监控;
步骤S13,防火墙策略任务自动处理系统对相应的策略任务请求进行处理得到策略任务请求包含的请求策略内容。
本发明的较佳的实施例中,如图4所示,步骤S13包括:
步骤S131,防火墙策略任务自动处理系统提取得到策略任务请求中的需求内容;
步骤S132,防火墙策略任务自动处理系统判断是否所有的需求内容均符合预设的内容标准:
若是,则需求内容作为请求策略内容输出,随后转向步骤S2;
若否,则转向步骤S133;
步骤S133,防火墙策略任务自动处理系统将不符合对应的内容标准的需求内容处理成符合对应的内容标准的转换内容,将转换内容及对应的内容标准发送至请求方进行确认修改,并将接收到的请求方反馈的确认修改后的转换内容作为请求策略内容输出。
本发明的较佳的实施例中,如图5所示,步骤S2包括:
步骤S21,防火墙策略任务自动处理系统判断当前配置信息中是否包含请求策略内容中的所有对象:
若是,则转向步骤S22;
若否,则转向步骤S23;
步骤S22,防火墙策略任务自动处理系统判断当前配置信息中是否包含请求策略内容中的所有访问关系:
若是,则退出;
若否,则转向步骤S24;
步骤S23,防火墙策略任务自动处理系统配置当前配置信息未包含的请求策略内容中的对象,对对象进行命名得到对象名称,随后返回步骤S22;
步骤S24,防火墙策略任务自动处理系统配置当前配置信息未包含的请求策略内容中的访问关系,并对访问关系进行命名得到策略名称;
步骤S25,防火墙策略任务自动处理系统将对象的配置结果和/或访问关系的配置结果作为配置结果输出。
本发明的较佳的实施例中,步骤S3中,防火墙策略任务自动处理系统根据请求策略进行访问测试以对配置结果进行验证。
以上所述仅为本发明较佳的实施例,并非因此限制本发明的实施方式及保护范围,对于本领域技术人员而言,应当能够意识到凡运用本说明书及图示内容所作出的等同替换和显而易见的变化所得到的方案,均应当包含在本发明的保护范围内。
Claims (9)
1.一种防火墙策略任务自动处理系统,其特征在于,包括:
请求处理模块,用于获取至少一请求方发送的策略任务请求,并在所述策略任务请求处于已审批状态时,对所述策略任务请求进行处理得到所述策略任务请求包含的请求策略内容;
策略配置模块,连接所述请求处理模块,用于将所述请求策略内容与防火墙的当前配置信息进行比较,并根据比较结果进行防火墙策略配置得到相应的配置结果;
配置验证模块,分别连接所述请求处理模块和所述策略配置模块,用于根据所述请求策略内容对所述配置结果进行验证得到验证结果,并将所述验证结果分别发送至所述请求方以及对应的至少一网络运维人员;
所述策略配置模块还包括:
比较单元,用于将所述请求策略内容与防火墙的当前配置信息进行比较,并在比较结果表示所述当前配置信息未包含所述请求策略内容中的所有对象时输出第一比较结果,以及在所述比较结果表示所述当前配置信息未包含所述请求策略内容中的所有访问关系时输出第二比较结果;
第一配置单元,连接所述比较单元,用于根据所述第一比较结果配置所述当前配置信息未包含的所述请求策略内容中的所述对象,对所述对象进行命名得到对象名称;
第二配置单元,连接所述比较单元,用于根据所述第二比较结果配置所述当前配置信息未包含的所述请求策略内容中的所述访问关系,并对所述访问关系进行命名得到策略名称;
结果输出单元,分别连接所述第一配置单元和所述第二配置单元,用于将所述对象的配置结果和/或所述访问关系的配置结果作为所述配置结果输出;
所述比较结果包括:无对象无策略、有对象无策略和有对象有策略三种;
当所述比较结果为无对象无策略时,同时输出所述第一比较结果和所述第二比较结果,以同时配置所述对象和所述访问关系;
当所述比较结果为有对象无策略时,仅输出所述第二比较结果以配置所述访问关系;
当所述比较结果为有对象有策略时,仅输出所述第二比较结果以重新配置所述访问关系。
2.根据权利要求1所述的防火墙策略任务自动处理系统,其特征在于,处于所述已审批状态的所述策略任务请求关联有预设的状态标识;则所述请求处理模块包括:
状态判断单元,用于识别到所述状态标识时输出表示对应的所述策略任务请求处于所述已审批状态的第一判断结果,以及在未识别到所述状态标识时输出表示对应的所述策略任务请求处于未审批状态的第二判断结果;
请求缓存单元,连接所述状态判断单元,用于根据所述第二判断结果将对应的所述策略任务请求进行缓存;
所述状态判断单元对缓存的各所述策略任务请求的审批状态进行监控,以在监控结果表示识别到对应的所述状态标识时输出所述第一判断结果;
请求处理单元,连接所述状态判断单元,用于根据所述第一判断结果对相应的所述策略任务请求进行处理得到所述策略任务请求包含的请求策略内容。
3.根据权利要求2所述的防火墙策略任务自动处理系统,其特征在于,所述请求处理单元包括:
第一处理子单元,用于提取得到所述策略任务请求中的需求内容;
判断子单元,连接所述第一处理子单元,用于在所有的所述需求内容均符合预设的内容标准时,将所述需求内容作为所述请求策略内容输出,以及存在所述需求内容不符合对应的所述内容标准时输出第三判断结果;
第二处理子单元,连接所述判断子单元,用于根据所述第三判断结果将所述需求内容处理成符合对应的所述内容标准的转换内容,将所述转换内容及对应的所述内容标准发送至所述请求方进行确认修改,并将接收到的所述请求方反馈的确认修改后的所述转换内容作为所述请求策略内容输出。
4.根据权利要求1所述的防火墙策略任务自动处理系统,其特征在于,所述配置验证模块根据所述请求策略进行访问测试以对所述配置结果进行验证。
5.一种防火墙策略任务自动处理方法,其特征在于,应用于如权利要求1-4中任意一项所述的防火墙策略任务自动处理系统,包括:
步骤S1,所述防火墙策略任务自动处理系统获取至少一请求方发送的的策略任务请求,并在所述策略任务请求处于已审批状态时,对所述策略任务请求进行处理得到所述策略任务请求包含的请求策略内容;
步骤S2,所述防火墙策略任务自动处理系统将所述请求策略内容与防火墙的当前配置信息进行比较,并根据比较结果进行防火墙策略配置得到相应的配置结果;
步骤S3,所述防火墙策略任务自动处理系统根据所述请求策略内容对所述配置结果进行验证得到验证结果,并将所述验证结果分别发送至所述请求方以及对应的至少一网络运维人员。
6.根据权利要求5所述的防火墙策略任务自动处理方法,其特征在于,处于所述已审批状态的所述策略任务请求关联有预设的状态标识;则所述步骤S1包括:
步骤S11,所述防火墙策略任务自动处理系统识别所述策略任务请求是否关联有所述状态标识:
若是,则表示对应的所述策略任务请求处于所述已审批状态,随后转向步骤S13;
若否,则表示对应的所述策略任务请求处于未审批状态,随后转向步骤S12;
步骤S12,所述防火墙策略任务自动处理系统将对应的所述策略任务请求进行缓存,随后返回所述步骤S11,以对缓存的各所述策略任务请求的审批状态进行监控;
步骤S13,所述防火墙策略任务自动处理系统对相应的所述策略任务请求进行处理得到所述策略任务请求包含的请求策略内容。
7.根据权利要求6所述的防火墙策略任务自动处理方法,其特征在于,所述步骤S13包括:
步骤S131,所述防火墙策略任务自动处理系统提取得到所述策略任务请求中的需求内容;
步骤S132,所述防火墙策略任务自动处理系统判断是否所有的所述需求内容均符合预设的内容标准:
若是,则所述需求内容作为所述请求策略内容输出,随后转向所述步骤S2;
若否,则转向步骤S133;
步骤S133,所述防火墙策略任务自动处理系统将不符合对应的所述内容标准的所述需求内容处理成符合对应的所述内容标准的转换内容,将所述转换内容及对应的所述内容标准发送至所述请求方进行确认修改,并将接收到的所述请求方反馈的确认修改后的所述转换内容作为所述请求策略内容输出。
8.根据权利要求5所述的防火墙策略任务自动处理方法,其特征在于,所述步骤S2包括:
步骤S21,所述防火墙策略任务自动处理系统判断所述当前配置信息中是否包含所述请求策略内容中的所有对象:
若是,则转向步骤S22;
若否,则转向步骤S23;
步骤S22,所述防火墙策略任务自动处理系统判断所述当前配置信息中是否包含所述请求策略内容中的所有访问关系:
若是,则退出;
若否,则转向步骤S24;
步骤S23,所述防火墙策略任务自动处理系统配置所述当前配置信息未包含的所述请求策略内容中的所述对象,对所述对象进行命名得到对象名称,随后返回所述步骤S22;
步骤S24,所述防火墙策略任务自动处理系统配置所述当前配置信息未包含的所述请求策略内容中的所述访问关系,并对所述访问关系进行命名得到策略名称;
步骤S25,所述防火墙策略任务自动处理系统将所述对象的配置结果和/或所述访问关系的配置结果作为所述配置结果输出。
9.根据权利要求5所述的防火墙策略任务自动处理方法,其特征在于,所述步骤S3中,所述防火墙策略任务自动处理系统根据所述请求策略进行访问测试以对所述配置结果进行验证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110098653.8A CN112787867B (zh) | 2021-01-25 | 2021-01-25 | 一种防火墙策略任务自动处理系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110098653.8A CN112787867B (zh) | 2021-01-25 | 2021-01-25 | 一种防火墙策略任务自动处理系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112787867A CN112787867A (zh) | 2021-05-11 |
| CN112787867B true CN112787867B (zh) | 2023-02-10 |
Family
ID=75759031
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110098653.8A Active CN112787867B (zh) | 2021-01-25 | 2021-01-25 | 一种防火墙策略任务自动处理系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112787867B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116094929B (zh) * | 2023-03-06 | 2023-06-27 | 天津金城银行股份有限公司 | 配置下发方法、装置、电子设备及计算机可读存储介质 |
| CN116846753B (zh) * | 2023-06-16 | 2024-10-11 | 广东保伦电子股份有限公司 | 一种程序自动添加防火墙策略的方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8621552B1 (en) * | 2007-05-22 | 2013-12-31 | Skybox Security Inc. | Method, a system, and a computer program product for managing access change assurance |
| CN105871930A (zh) * | 2016-06-21 | 2016-08-17 | 上海携程商务有限公司 | 基于应用的防火墙安全策略的自适应配置方法及系统 |
| CN109600368A (zh) * | 2018-12-07 | 2019-04-09 | 中盈优创资讯科技有限公司 | 一种确定防火墙策略的方法及装置 |
| CN111147528A (zh) * | 2020-04-03 | 2020-05-12 | 四川新网银行股份有限公司 | 管理网络安全策略的方法 |
| CN111935117A (zh) * | 2020-07-30 | 2020-11-13 | 平安科技(深圳)有限公司 | 防火墙策略的下发方法、装置、电子设备及存储介质 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7328451B2 (en) * | 2003-06-30 | 2008-02-05 | At&T Delaware Intellectual Property, Inc. | Network firewall policy configuration facilitation |
| CN102055735A (zh) * | 2009-11-04 | 2011-05-11 | 中国移动通信集团山东有限公司 | 防火墙访问控制策略的配置方法及装置 |
| US10587578B2 (en) * | 2016-12-19 | 2020-03-10 | Nicira, Inc. | Firewall rule management for hierarchical entities |
-
2021
- 2021-01-25 CN CN202110098653.8A patent/CN112787867B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8621552B1 (en) * | 2007-05-22 | 2013-12-31 | Skybox Security Inc. | Method, a system, and a computer program product for managing access change assurance |
| CN105871930A (zh) * | 2016-06-21 | 2016-08-17 | 上海携程商务有限公司 | 基于应用的防火墙安全策略的自适应配置方法及系统 |
| CN109600368A (zh) * | 2018-12-07 | 2019-04-09 | 中盈优创资讯科技有限公司 | 一种确定防火墙策略的方法及装置 |
| CN111147528A (zh) * | 2020-04-03 | 2020-05-12 | 四川新网银行股份有限公司 | 管理网络安全策略的方法 |
| CN111935117A (zh) * | 2020-07-30 | 2020-11-13 | 平安科技(深圳)有限公司 | 防火墙策略的下发方法、装置、电子设备及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 防火墙ACL规则合理性研究分析与应用;王萍等;《大众用电》;20171230;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112787867A (zh) | 2021-05-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112787867B (zh) | 一种防火墙策略任务自动处理系统及方法 | |
| US6131163A (en) | Network gateway mechanism having a protocol stack proxy | |
| CN112272158A (zh) | 一种数据代理方法、系统及代理服务器 | |
| US20090217353A1 (en) | Method, system and device for network access control supporting quarantine mode | |
| CN110138741A (zh) | 基于统一管理平台的微服务管理方法、装置和计算机设备 | |
| CN107294910B (zh) | 一种登录方法和服务器 | |
| CN111683162B (zh) | 一种基于流量识别的ip地址管理方法 | |
| CN104079683A (zh) | 一种授权域名服务器直接响应的域名解析方法及系统 | |
| US20050238033A1 (en) | Connection system, information supply apparatus, connection method and program | |
| CN113037744A (zh) | 一种基于交互式的安全事件剧本编排与处置方法及装置 | |
| CN107181785A (zh) | 执行请求指令的方法及相关的服务器 | |
| US8914339B2 (en) | Device for managing data filters | |
| US20030126241A1 (en) | Registration agent system, network system and program therefor | |
| CN109165513B (zh) | 系统配置信息的巡检方法、装置和服务器 | |
| CN111147468A (zh) | 用户接入方法、装置、电子设备及存储介质 | |
| CN113194099B (zh) | 一种数据代理方法及代理服务器 | |
| CN112887211B (zh) | 一种网际协议报文数据转发系统 | |
| CN112468549B (zh) | 一种服务器反向通信与管理的方法、设备及存储介质 | |
| CN102263837A (zh) | 一种域名系统dns解析方法及装置 | |
| CN111447273B (zh) | 云处理系统及基于云处理系统的数据处理方法 | |
| CN111538527A (zh) | 一种灰度发布的验证方法、装置、电子设备和存储介质 | |
| JPH09325927A (ja) | ネットワーク遠隔管理システム | |
| CN113347239B (zh) | 通信请求处理方法、装置、系统、电子设备及存储介质 | |
| CN113596105B (zh) | 内容的获取方法、边缘节点及计算机可读存储介质 | |
| CN113489773B (zh) | 数据接入方法、装置、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |