CN113079128A - 信息封堵方法、装置、计算设备及计算机存储介质 - Google Patents
信息封堵方法、装置、计算设备及计算机存储介质 Download PDFInfo
- Publication number
- CN113079128A CN113079128A CN202010010904.8A CN202010010904A CN113079128A CN 113079128 A CN113079128 A CN 113079128A CN 202010010904 A CN202010010904 A CN 202010010904A CN 113079128 A CN113079128 A CN 113079128A
- Authority
- CN
- China
- Prior art keywords
- firewall
- target
- equipment
- address
- path
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例涉及信息安全技术领域,公开了一种信息封堵方法、装置、计算设备及计算机存储介质,该方法包括:获取源设备的访问信息,访问信息包含源设备的第一IP地址和源设备访问的目标设备的第二IP地址;如果第一IP地址为需要封堵的IP地址,则确定目标路径,目标路径为第一IP地址和第二IP地址间的路径;从目标路径上的设备中筛选出防火墙设备;确定目标路径上至少一个防火墙设备的目标安全域,目标安全域为目标路径上至少一个防火墙设备与其对应的下一跳设备的接口所对应的安全域;在预设的脚本库中确定与至少一个防火墙设备的目标安全域对应的封堵指令;将封堵指令下发至相应的防火墙设备。通过上述方式,本发明实施例实现了访问信息封堵。
Description
技术领域
本发明实施例涉及信息安全技术领域,具体涉及一种信息封堵方法、装置、计算设备及计算机存储介质。
背景技术
随着各行业信息化建设的不断深入,生产、业务支撑设备的网络结构越来越复杂,由此带来的防火墙数量日益增多,同时防火墙策略配置数量也爆发式增长。一旦运维人员操作不当,就会给整体设备运行带来极大的安全隐患,带来安全事故,影响设备的可靠运行。
目前实现信息封堵的防火墙策略是预先写入防火墙中的,防火墙策略与防火墙品牌相对应。当有新的防火墙设备接入信息传送网络时,需要根据新的防火墙设备的防火墙品牌重新定制,增加了人工成本。
发明内容
鉴于上述问题,本发明实施例提供了一种信息封堵方法、装置、计算设备及计算机存储介质,克服了上述问题或者至少部分地解决了上述问题。
根据本发明实施例的一个方面,提供了一种信息封堵方法,所述方法包括:
获取源设备的访问信息,所述访问信息包含所述源设备的第一IP地址和所述源设备访问的目标设备的第二IP地址;
如果所述第一IP地址为需要封堵的IP地址,则确定目标路径,所述目标路径为第一IP地址和第二IP地址间的路径;
从所述目标路径上的设备中筛选出防火墙设备;
确定所述目标路径上至少一个防火墙设备的目标安全域,所述目标安全域为所述目标路径上至少一个防火墙设备与其对应的下一跳设备的接口所对应的安全域;
在预设的脚本库中确定与所述至少一个防火墙设备的目标安全域对应的封堵指令,所述预设的脚本库中存储有封堵指令和目标安全域之间的对应关系,所述封堵指令用于使所述防火墙设备封堵所述访问信息;
将所述封堵指令下发至相应的防火墙设备。
可选的,如果所述第一IP地址为需要封堵的IP地址,则确定目标路径,包括:
如果所述源设备和所述目标设备间存在一条路径,则确定所述一条路径为目标路径;或者,
如果所述源设备和所述目标设备间存在多条路径,则确定所述多条路径中优先级最高的路径或者任一条路径为目标路径,其中,所述优先级最高的路径为:包括距离源设备的跳数最少但优先级最高的设备的路径。
可选的,如果所述源设备和所述目标设备间存在多条路径,则确定所述多条路径中优先级最高的路径为目标路径,包括:
确定至少一个设备组,每一个设备组中包含的所有设备与源设备的跳数相同;
按照设备组的跳数由小到大的顺序排序,所述设备组的跳数为所述设备组中的IP地址与所述第一IP地址之间的跳数;
根据排序后的设备组,依次比对每一设备组中各设备的优先级,所述优先级预先存储在设备的路由表中;
如果所述第一设备组中各设备的优先级不相同,则将所述第一设备组中优先级最高的设备所在的路径确定为目标路径;
如果所述第一设备组中各设备的优先级相同,则按照设备组的顺序,依次比对其他设备组中所包含设备的优先级,直到确定包括与源设备的跳数最少但优先级最高的设备的路径。
可选的,所述目标路径为非环路目标路径。
可选的,所述至少一个防火墙设备包括:距离所述源设备跳数最少的防火墙设备。
可选的,在将所述封堵指令下发至相应的防火墙设备之后,所述方法还包括:
如果接收所述防火墙设备发送的反馈信息,则确定所述封堵指令发送成功,其中,所述反馈信息用于指示所述防火墙设备成功接收到所述封堵指令;
如果在预设时间内没有接收到所述反馈信息,则再次向所述防火墙设备发送所述封堵指令。
可选的,在接收到所述防火墙设备发送的反馈信息之后,所述方法还包括:
如果接收到解封指令,则向所述至少一个防火墙设备发送删除指令,所述删除指令用于使所述防火墙设备删除所述封堵指令。
可选的,在获取源设备的访问信息之后,所述方法还包括:
将所述源设备的第一IP地址与预设的黑名单地址库匹配,如果所述第一IP地址包含在所述黑名单地址库中,则确定所述第一IP地址为需要封堵的IP地址。
根据本发明实施例的另一方面,提供了一种信息封堵装置,所述装置包括:
获取模块,用于获取源设备的访问信息,所述访问信息包含所述源设备的第一IP地址和所述源设备访问的目标设备的第二IP地址;
第一确定模块,用于当所述第一IP地址为需要封堵的IP地址时,确定目标路径,所述目标路径为所述第一IP地址和所述第二IP地址之间的路径;
筛选模块,用于从所述目标路径上筛选出防火墙设备;
第二确定模块,用于确定所述目标路径上至少一个防火墙设备的目标安全域,所述目标安全域为在所述目标路径上至少一个防火墙设备与其对应的下一跳设备的接口所对应的安全域;
第三确定模块,用于在预设的脚本库中确定与所述至少一个防火墙设备的目标安全域对应的封堵指令,所述预设的脚本库中存储有封堵指令和目标安全域之间的对应关系,所述封堵指令用于使所述防火墙设备封堵所述访问信息;
发送模块,用于将所述封堵指令下发至相应的防火墙设备,以使所述防火墙设备执行所述封堵指令。
根据本发明实施例的又一方面,提供了一种计算设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行上述的一种信息封堵方法。
根据本发明实施例的还一方面,提供了一种计算机存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使处理器执行上述的一种信息封堵方法。
本发明实施例通过源设备的访问信息定位源设备和目标设备;当源设备为需要封堵的设备时,根据源设备的第一IP地址和目标设备的第二IP地址确定目标路径,对目标路径上的防火墙设备下发封堵指令,从而拒绝源设备访问目标设备,保证了目标设备的安全性;此外,封堵指令是根据安全域生成的,相较于根据防火墙设备的防火墙品牌生成封堵指令,本发明实施例可以实现目标路径中所有防火墙设备的封堵指令统一生成。当有新的防火墙设备接入网络时,根据新接入的防火墙设备对应的目标安全域即可生成封堵指令,无需预先在防火墙中定制封堵指令,节约了人工成本。
上述说明仅是本发明实施例技术方案的概述,为了能够更清楚了解本发明实施例的技术手段,而可依照说明书的内容予以实施,并且为了让本发明实施例的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明实施例提供的一种信息封堵方法的流程图;
图2示出了本发明另一实施例提供的一种信息封堵方法中封堵目标路径的确定流程图;
图3示出了本发明实施例提供的一种信息封堵装置的功能框图;
图4示出了本发明实施例提供的一种计算设备的结构示意图。
具体实施方式
下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本发明,并且能够将本发明的范围完整的传达给本领域的技术人员。
图1示出了本发明实施例的一种信息封堵方法的流程图。如图1所示,该方法包括以下步骤:
步骤110:获取源设备的访问信息。
本发明实施例的执行主体是封堵指令下发系统。封堵指令下发系统用于生成并下发封堵指令,该封堵指令使防火墙设备对源设备的访问信息进行封堵。源设备是发起访问会话的设备。访问会话用于访问目标设备,目标设备即源设备发起访问会话时需要访问的设备。在源设备发起访问会话时,自动生成访问信息,访问信息中包含了源设备的第一IP地址和源设备访问的目标设备的第二IP地址。该访问信息经过多层路由转发至目标设备。
步骤120:如果第一IP地址为需要封堵的IP地址,则确定目标路径,该目标路径为第一IP地址和第二IP地址间的路径。
其中,在封堵指令下发系统中预设有黑名单地址库,在黑名单地址库中预先存储了需要封堵的IP地址。在封堵指令下发系统接收到访问信息后,根据访问信息中的第一IP地址在预设的黑名单地址库中进行匹配。如果黑名单地址库中存在一个IP地址和源设备的第一IP地址一致,则将该第一IP地址确定为需要封堵的IP地址。
其中,目标路径是根据每一个设备中预设的路由表确定的。路由表中存储有设备的IP地址和该设备的下一跳设备的IP地址。一个设备的IP地址可以对应于一个或多个下一跳设备的IP地址。目标路径是第一IP地址和第二IP地址之间的路径。如果源设备和目标设备之间存在一条路径,则该路径即为目标路径。例如,源设备为X,目标设备为Y,X的下一跳设备为A,A的下一跳设备为B,B的下一跳地址为Y,则第一IP地址和第二IP地址之间的目标路径为X-A-B-Y。
如果源设备和目标设备间存在多条路径,则确定多条路径中优先级最高的路径为目标路径。其中,优先级最高的路径为:包括距离源设备的跳数最少但优先级最高的设备的路径。其中,优先级预先存储在设备的路由表中。例如,第一IP地址和第二IP地址之间共有两条路径,分别为X-A-B-Y和X-A-C-Y,如果B的优先级大于C的优先级,则目标路径为X-A-B-Y。
步骤130:从目标路径上的设备中筛选出防火墙设备。
其中,目标路径上的设备是目标路径上所有IP地址对应的设备,一个IP地址对应一个设备。每一个设备有一个防火墙标识,该防火墙标识用于指示设备是否属于防火墙设备。本发明实施例并不限定防火墙标识的具体类型。在一种实施方式中,用0和1标识防火墙设备和非防火墙设备,0表示非防火墙设备,1表示防火墙设备。
步骤140:确定目标路径上的至少一个防火墙设备的目标安全域,该目标安全域为在目标路径上至少一个防火墙设备与其对应的下一跳设备的接口所对应的安全域。
一个防火墙设备有多个接口,每一个接口对应一个安全域,用于连接一个下一跳设备。根据目标路径上的至少一个防火墙设备与下一跳设备之间的连接关系确定防火墙设备的目标接口。目标接口为防火墙设备与其对应的下一跳设备的接口。根据该目标接口确定防火墙的目标安全域。目标安全域是目标接口对应的安全域。在一些实施例中,防火墙设备的接口和安全域存储在防火墙设备对应的路由表中,在确定防火墙设备的下一跳设备后,相应的从路由表中确定该防火墙设备与该下一跳设备对应的接口,该接口对应的安全域即为目标安全域。
值得说明的是,在确定目标路径上的防火墙设备时,可以确定目标路径上的一个防火墙设备,确定的一个防火墙设备为距离源设备跳数最少的防火墙设备。可选的,也可以确定目标路径上多个防火墙设备,多个防火墙设备包括距离源设备跳数最少的防火墙设备。例如,目标路径上共有四个防火墙设备,按照距离源设备的跳数从近到远的顺序依次标识为A、B、C、D,则在确定目标路径上的防火墙设备时,可以只确定一个防火墙设备A,也可以确定包含A的多个防火墙设备,例如,AB或AC或ABD或ABCD等。
步骤150:在预设的脚本库中确定与至少一个防火墙设备的目标安全域对应的封堵指令。
其中,预设的脚本库中存储有封堵指令和目标安全域之间的对应关系。一个目标安全域对应一条封堵指令。根据至少一个防火墙设备中每一个防火墙设备对应的目标安全域确定该目标安全域对应的封堵指令。封堵指令用于使防火墙设备封堵访问信息。
步骤160:将封堵指令下发至相应的防火墙设备。
其中,封堵指令下发至防火墙设备后,用于使防火墙设备对访问信息产生封堵。
本发明实施例通过源设备的访问信息定位源设备和目标设备;当源设备为需要封堵的设备时,根据源设备的第一IP地址和目标设备的第二IP地址确定目标路径,对于目标路径上的防火墙设备下发封堵指令,从而拒绝源设备访问目标设备,保证了目标设备的安全性;此外,封堵指令是根据安全域生成的,相较于根据防火墙设备的防火墙品牌生成封堵指令,本发明实施例可以实现目标路径中所有防火墙设备的封堵指令统一生成。当有新的防火墙设备接入网络时,根据新接入的防火墙设备对应的目标安全域即可生成封堵指令,无需预先在防火墙中定制封堵指令,节约了人工成本。
在一些实施例中,目标路径为多条,将多条路径中优先级最高的若干条路径确定为目标路径。如果多条路径的优先级相同,则多条路径均为目标路径。对于每一条目标路径分别执行步骤130~步骤160的方法,以在每一条目标路径上产生封堵,从而保证了封堵的可靠性。
在另外一些实施例中,将多条路径中的所有路径均确定为目标路径,对每一条路径均按照步骤130~步骤160的方法进行封堵,从而调高了封堵的可靠性。
上述任一实施例中的目标路径均为非环路路径。环路路径是一个循环的路径,例如,X-A-B-Y-X。当目标路径为环路路径时,访问信息在环路上循环传递,无法在下发至目标设备后终止,因此环路路径为无效路径,则在确定源设备和目标设备之间的路径时,可以通过预先设置一个规则,将环路路径排除。例如,预先设置的规则为:源设备和目标设备之间的路径上无相同的设备。或者在确定源设备和目标设备之间的所有路径后,将该路径删除。通过上述方式,避免了访问信息在环路上循环传递,保证了访问信息传送的有效性。
图2示出了本发明另一个实施例的一种信息封堵方法的流程图。在本发明实施例中,在根据步骤120确定目标路径之后,该方法包括以下步骤:
步骤210:确定至少一个设备组,每一个设备组中包含的所有设备与源设备的跳数相同。
设备组是根据所有目标路径上的所有设备的IP地址和源设备的第一IP地址之间的跳数生成的设备组合。每一个设备组中包含的设备个数与目标路径的条数相同。当目标路径为一条时,每一个设备组包含一个设备。以步骤120确定了两条目标路径为例对本发明实施例进行说明。假设两条目标路径分别为X-A-B-C-Y和X-D-E-F-Y,其中,X和Y分别表示源设备和目标设备,A-F为目标路径上排除源设备和目标设备之后的其他设备。在上述的两条路径中,A和D距离X的跳数相同,B和E距离X的跳数相同,C和F距离X的跳数相同。将距离X跳数相同的设备组成设备组,则根据上述两条目标路径组成的设备组分别为(A,D)、(B、E)和(C、F)。
步骤220:按照设备组的跳数由小到大的顺序排序。
其中,设备组的跳数是设备组中任意一个设备与源设备的跳数。例如,三组设备组(A,D)、(B、E)和(C,F)与源设备X之间的距离分别为一跳、两跳和三跳,则按照设备组的跳数由小到大的顺序排序之后,得到的排序后的设备组为(A,D)、(B,E)和(C,F)。
步骤230:根据排序后的设备组,依次比对每一设备组中各设备的优先级。
设备组中的每一个设备都有一个预设的优先级,该优先级用于表示当前设备被选择的可能性。优先级大的设备优先被选择传送访问信息。同一设备组中的设备的优先级可能相同也可能不同。在进行比对时,按照设备组的顺序依次进行比对。例如,排序后的设备组为(A,D)、(B,E)和(C,F),则在进行优先级比对时,首先比对(A,D)设备组中A和D的优先级,然后比对(B,E)设备组中B和E的优先级,最后比对(C,F)中C和F的优先级。
步骤240:判断第一设备组中各设备的优先级是否相同,若相同,则执行步骤250,若不相同,则执行步骤260。
其中,第一设备组为排序后的设备组中的第一个设备组。
步骤250:按照设备组的顺序,依次比对其他设备组中所包含设备的优先级,直到确定包括与源设备的跳数最少但优先级最高的设备的目标路径。
其中,设备组的顺序为设备组的优先级依次减小的顺序。例如,设备组的顺序为(A,D)、(B,E)和(C,F),则第一设备组为(A,D),如果第一设备组中的设备A和D的优先级相同,则依次比对B和E的优先级,如果B和E的优先级不相同,则将B和E中优先级较高的设备所在的路径确定为目标路径;如果B和E的优先级相同,则比对C和F的优先级,如果C和F的优先级相同,则C和F所在的路径均为目标路径。如果C和F的优先级不相同,则C和F中优先级较高的设备所在的路径为目标路径。
步骤260:将第一设备组中优先级最高的设备所在的路径确定为目标路径。
其中,排序后的设备组中第一个排序位置的设备组为第一设备组。例如,排序后的设备组为(A,D)、(B,E)和(C,F),在首先将(A,D)作为第一设备组,比对A和D的优先级,如果A和D的优先级不同,则将优先级较高的设备所在的目标路径确定为封堵目标路径。例如,如果A的优先级高于D,则目标路径为A所在的路径X-A-B-C-Y。
通过上述方式,根据不同路径上距离源设备的跳数组成多个设备组,根据每一个设备组中设备的优先级确定目标路径。通过上述方式,确定了目标路径,便于对目标路径上的防火墙设备进行封堵。
在一些实施例中,防火墙设备在接收到封堵指令后,向封堵指令下发系统发送反馈信息,该反馈信息用于指示防火墙设备成功接收到封堵指令。如果封堵指令下发系统在预设时间内没有接收到反馈信息,说明该封堵指令未成功到达防火墙设备,则封堵指令下发系统再次向防火墙设备发送封堵指令。通过上述方式,提高了封堵指令下发的可靠性,降低了设备的安全风险。
在一些实施例中,如果封堵指令下发系统接收到管理员下发的解封指令,则封堵指令下发系统向至少一个防火墙设备发送删除指令,该删除指令用于使防火墙设备删除封堵指令,以解除对访问信息的封堵。其中,管理员是封堵指令下发系统的管理员,可以对封堵指令下发系统进行调控。通过上述方式,实现了对访问信息的解封,避免有效访问信息被防火墙设备拦截,提高了访问信息下发的可靠性。
图3示出了本发明实施例的一种信息封堵装置的结构示意图。如图3所示,该装置包括:获取模块310、第一确定模块330、筛选模块340、第二确定模块350、第三确定模块360和发送模块370。获取模块310用于获取源设备的访问信息,所述访问信息包含所述源设备的第一IP地址和所述源设备访问的目标设备的第二IP地址。第一确定模块330,用于当所述第一IP地址为需要封堵的IP地址时,确定目标路径,所述目标路径为所述第一IP地址和所述第二IP地址间的路径。筛选模块340,用于从所述目标路径上筛选出防火墙设备。第二确定模块350,用于确定所述目标路径上至少一个防火墙设备的目标安全域,所述目标安全域为在所述目标路径上至少一个防火墙设备与其对应的下一跳设备的接口所对应的安全域。第三确定模块360,用于在预设的脚本库中确定与所述至少一个防火墙设备的目标安全域对应的封堵指令,所述预设的脚本库中存储有封堵指令和目标安全域之间的对应关系,所述封堵指令用于使所述防火墙设备封堵所述访问信息。发送模块370,用于将所述封堵指令下发至相应的防火墙设备。
在一种可选的方式中,第一确定模块330进一步用于:
当所述源设备和所述目标设备间存在一条路径时,则确定所述一条路径为目标路径;或者,
当所述源设备和所述目标设备间存在多条路径时,则确定所述多条路径中优先级最高的路径或者任一条路径为目标路径,其中,所述优先级最高的路径为:包括距离源设备的跳数最少但优先级最高的设备的路径。
可选的,如果所述源设备和所述目标设备间存在多条路径,第一确定模块330进一步用于:
确定至少一个设备组,每一个设备组中包含的所有设备与源设备的跳数相同;
按照设备组的跳数由小到大的顺序排序,所述设备组的跳数为所述设备组中的IP地址与所述第一IP地址之间的跳数;
根据排序后的设备组,依次比对每一设备组中各设备的优先级,所述优先级预先存储在设备的路由表中;
如果所述第一设备组中各设备的优先级不相同,则将所述第一设备组中优先级最高的设备所在的路径确定为目标路径;
如果所述第一设备组中各设备的优先级相同,则按照设备组的顺序,依次比对其他设备组中所包含设备的优先级,直到确定包括与源设备的跳数最少但优先级最高的设备的路径。
可选的,所述目标路径为非环路目标路径。
可选的,所述至少一个防火墙设备包括:距离所述源设备跳数最少的防火墙设备。
可选的,所述装置还包括:第四确定模块380,用于当接收所述防火墙设备发送的反馈信息,则确定所述封堵指令发送成功,其中,所述反馈信息用于指示所述防火墙设备成功接收到所述封堵指令;如果在预设时间内没有接收到所述反馈信息,则通过所述发送模块370再次向所述防火墙设备发送所述封堵指令。
可选的,所述装置还包括第一发送模块390,用于当接收到解封指令时,向所述至少一个防火墙设备发送删除指令,所述删除指令用于使所述防火墙设备删除所述封堵指令。
可选的,所述装置还包括匹配模块300,用于将所述源设备的第一IP地址与预设的黑名单地址库匹配,如果所述第一IP地址包含在所述黑名单地址库中,则确定所述第一IP地址为需要封堵的IP地址。
本发明实施例通过源设备的访问信息定位源设备和目标设备;当源设备为需要封堵的设备时,根据源设备的第一IP地址和目标设备的第二IP地址确定目标路径,对于目标路径上的防火墙设备下发封堵指令,从而拒绝源设备访问目标设备,保证了目标设备的安全性;此外,封堵指令是根据安全域生成的,相较于根据防火墙设备的防火墙品牌生成封堵指令,本发明实施例可以实现目标路径中所有防火墙设备的封堵指令统一生成。当有新的防火墙设备接入网络时,根据新接入的防火墙设备对应的目标安全域即可生成封堵指令,无需预先在防火墙中定制封堵指令,节约了人工成本。
本发明实施例提供了一种非易失性计算机存储介质,所述计算机存储介质存储有至少一可执行指令,该计算机可执行指令可执行上述任意方法实施例中的信息封堵方法。
图4示出了本发明实施例的计算设备结构示意图,本发明具体实施例并不对计算设备的具体实现做限定。
如图4所示,该计算设备可以包括:处理器(processor)402、通信接口(Communications Interface)404、存储器(memory)406、以及通信总线408。
其中:处理器402、通信接口404、以及存储器406通过通信总线408完成相互间的通信。通信接口404,用于与其它设备比如客户端或其它服务器等的网元通信。处理器402,用于执行程序410,具体可以执行上述用于信息封堵方法实施例中的相关步骤。
具体地,程序410可以包括程序代码,该程序代码包括计算机操作指令。
处理器402可能是中央处理器CPU,或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。计算设备包括的一个或多个处理器,可以是同一类型的处理器,如一个或多个CPU;也可以是不同类型的处理器,如一个或多个CPU以及一个或多个ASIC。
存储器406,用于存放程序410。存储器406可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
程序410具体可以用于使得处理器402执行图1中的步骤110~步骤160,图2中的步骤210~步骤260,以及实现图3中模块310~模块390的功能。
在此提供的算法或显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明实施例也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本发明并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明实施例的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。上述实施例中的步骤,除有特殊说明外,不应理解为对执行顺序的限定。
Claims (10)
1.一种信息封堵方法,其特征在于,所述方法包括:
获取源设备的访问信息,所述访问信息包含所述源设备的第一IP地址和所述源设备访问的目标设备的第二IP地址;
如果所述第一IP地址为需要封堵的IP地址,则确定目标路径,所述目标路径为所述第一IP地址和第二IP地址间的路径;
从所述目标路径上的设备中筛选出防火墙设备;
确定所述目标路径上至少一个防火墙设备的目标安全域,所述目标安全域为所述目标路径上至少一个防火墙设备与其对应的下一跳设备的接口所对应的安全域;
在预设的脚本库中确定与所述至少一个防火墙设备的目标安全域对应的封堵指令,所述预设的脚本库中存储有封堵指令和目标安全域之间的对应关系,所述封堵指令用于使所述防火墙设备封堵所述访问信息;
将所述封堵指令下发至相应的防火墙设备。
2.根据权利要求1所述的方法,其特征在于,如果所述第一IP地址为需要封堵的IP地址,则确定目标路径,包括:
如果所述源设备和所述目标设备间存在一条路径,则确定所述一条路径为目标路径;或者,
如果所述源设备和所述目标设备间存在多条路径,则确定所述多条路径中优先级最高的路径或者任一条路径为目标路径,其中,所述优先级最高的路径为:包括距离源设备的跳数最少但优先级最高的设备的路径,所述优先级预先存储在设备的路由表中。
3.根据权利要求2所述的方法,其特征在于,如果所述源设备和所述目标设备间存在多条路径,则确定所述多条路径中优先级最高的路径为目标路径,包括:
确定至少一个设备组,每一个设备组中包含的所有设备与源设备的跳数相同;
按照设备组的跳数由小到大的顺序排序,所述设备组的跳数为所述设备组中的任意一个设备与所述源设备的跳数;
根据排序后的设备组,依次比对每一设备组中各设备的优先级;
如果所述第一设备组中各设备的优先级不相同,则将所述第一设备组中优先级最高的设备所在的路径确定为目标路径;
如果第一设备组中各设备的优先级相同,则按照设备组的顺序,依次比对其他设备组中所包含设备的优先级,直到确定包括与源设备的跳数最少但优先级最高的设备的目标路径。
4.根据权利要求1所述的方法,其特征在于,所述目标路径为非环路路径。
5.根据权利要求1所述的方法,其特征在于,所述至少一个防火墙设备包括:距离所述源设备跳数最少的防火墙设备。
6.根据权利要求1-5任一项所述的方法,其特征在于,在将所述封堵指令下发至相应的防火墙设备之后,所述方法还包括:
如果接收到所述防火墙设备发送的反馈信息,则确定所述封堵指令发送成功,其中,所述反馈信息用于指示所述防火墙设备成功接收到所述封堵指令;
如果在预设时间内没有接收到所述反馈信息,则再次向所述防火墙设备发送所述封堵指令。
7.根据权利要求1-5任一项所述的方法,其特征在于,在接收到所述防火墙设备发送的反馈信息之后,所述方法还包括:
如果接收到解封指令,则向所述至少一个防火墙设备发送删除指令,所述删除指令用于使所述防火墙设备删除所述封堵指令。
8.根据权利要求1-5任一项所述的方法,其特征在于,在获取源设备的访问信息之后,所述方法还包括:
将所述源设备的第一IP地址与预设的黑名单地址库匹配,如果所述第一IP地址包含在所述黑名单地址库中,则确定所述第一IP地址为需要封堵的IP地址。
9.一种信息封堵装置,其特征在于,所述装置包括:
获取模块,用于获取源设备的访问信息,所述访问信息包含所述源设备的第一IP地址和所述源设备访问的目标设备的第二IP地址;
第一确定模块,用于当所述第一IP地址为需要封堵的IP地址时,则确定目标路径,所述目标路径为第一IP地址和第二IP地址间的路径;
筛选模块,用于从所述目标路径上筛选出防火墙设备;
第二确定模块,用于确定所述目标路径上至少一个防火墙设备的目标安全域,所述目标安全域为在所述目标路径上至少一个防火墙设备与其对应的下一跳设备的接口所对应的安全域;
第三确定模块,用于在预设的脚本库中确定与所述至少一个防火墙设备的目标安全域对应的封堵指令,所述预设的脚本库中存储有封堵指令和目标安全域之间的对应关系,所述封堵指令用于使所述防火墙设备封堵所述访问信息;
发送模块,用于将所述封堵指令下发至相应的防火墙设备。
10.一种计算设备,其特征在于,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行权利要求1-8任一项所述的一种信息封堵方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010010904.8A CN113079128B (zh) | 2020-01-06 | 2020-01-06 | 信息封堵方法、装置、计算设备及计算机存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010010904.8A CN113079128B (zh) | 2020-01-06 | 2020-01-06 | 信息封堵方法、装置、计算设备及计算机存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113079128A true CN113079128A (zh) | 2021-07-06 |
| CN113079128B CN113079128B (zh) | 2022-10-18 |
Family
ID=76609187
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010010904.8A Active CN113079128B (zh) | 2020-01-06 | 2020-01-06 | 信息封堵方法、装置、计算设备及计算机存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113079128B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115277251A (zh) * | 2022-09-23 | 2022-11-01 | 浙江鹏信信息科技股份有限公司 | 基于frr软件路由集群的ip封堵方法、系统及介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102710669A (zh) * | 2012-06-29 | 2012-10-03 | 杭州华三通信技术有限公司 | 一种防火墙策略控制的方法及装置 |
| CN103023707A (zh) * | 2012-12-28 | 2013-04-03 | 华为技术有限公司 | 一种策略配置的方法、管理服务器以及网络系统 |
| US20140068698A1 (en) * | 2012-08-31 | 2014-03-06 | International Business Machines Corporation | Automatically Recommending Firewall Rules During Enterprise Information Technology Transformation |
| CN104580078A (zh) * | 2013-10-15 | 2015-04-29 | 北京神州泰岳软件股份有限公司 | 一种网络访问控制方法和系统 |
| CN105592052A (zh) * | 2015-09-10 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种防火墙规则配置方法及装置 |
| CN108092979A (zh) * | 2017-12-20 | 2018-05-29 | 国家电网公司 | 一种防火墙策略处理方法及装置 |
| CN110535857A (zh) * | 2019-08-29 | 2019-12-03 | 中国工商银行股份有限公司 | 防护网络攻击的方法和装置 |
-
2020
- 2020-01-06 CN CN202010010904.8A patent/CN113079128B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102710669A (zh) * | 2012-06-29 | 2012-10-03 | 杭州华三通信技术有限公司 | 一种防火墙策略控制的方法及装置 |
| US20140068698A1 (en) * | 2012-08-31 | 2014-03-06 | International Business Machines Corporation | Automatically Recommending Firewall Rules During Enterprise Information Technology Transformation |
| CN103023707A (zh) * | 2012-12-28 | 2013-04-03 | 华为技术有限公司 | 一种策略配置的方法、管理服务器以及网络系统 |
| CN104580078A (zh) * | 2013-10-15 | 2015-04-29 | 北京神州泰岳软件股份有限公司 | 一种网络访问控制方法和系统 |
| CN105592052A (zh) * | 2015-09-10 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种防火墙规则配置方法及装置 |
| CN108092979A (zh) * | 2017-12-20 | 2018-05-29 | 国家电网公司 | 一种防火墙策略处理方法及装置 |
| CN110535857A (zh) * | 2019-08-29 | 2019-12-03 | 中国工商银行股份有限公司 | 防护网络攻击的方法和装置 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115277251A (zh) * | 2022-09-23 | 2022-11-01 | 浙江鹏信信息科技股份有限公司 | 基于frr软件路由集群的ip封堵方法、系统及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113079128B (zh) | 2022-10-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10630578B2 (en) | Systems and methods for software defined networking service function chaining | |
| EP3968607B1 (en) | Service invocation methods | |
| US11005760B2 (en) | Ensuring data locality for secure transmission of data | |
| CN110633175B (zh) | 基于微服务的多机房数据处理方法、电子设备及存储介质 | |
| CN114025021B (zh) | 一种跨Kubernetes集群的通信方法、系统、介质和电子设备 | |
| US7333430B2 (en) | Systems and methods for passing network traffic data | |
| JP6618610B2 (ja) | ルーティング管理 | |
| CN105939267B (zh) | 带外管理方法及装置 | |
| CN110673941A (zh) | 多机房中微服务的迁移方法、电子设备及存储介质 | |
| EP1589424A2 (en) | Vertical perimeter framework for providing application services in multi-CPU environments | |
| CN107517129B (zh) | 一种基于OpenStack配置设备上行接口的方法和装置 | |
| CN110324415B (zh) | 一种对等网络的路由实现方法、装置、设备和介质 | |
| CN113079128B (zh) | 信息封堵方法、装置、计算设备及计算机存储介质 | |
| CN111901317A (zh) | 一种访问控制策略处理方法、装置和设备 | |
| CN110602234A (zh) | 区块链网络节点管理方法、装置、设备以及存储介质 | |
| CN109698845B (zh) | 数据传输的方法、服务器、卸载卡及存储介质 | |
| CN106453088A (zh) | 一种静态路由配置方法及终端 | |
| CN112751724B (zh) | 检测链路状态的方法及装置 | |
| CN104506440B (zh) | 路由器的数据包发送方法和路由表修改方法 | |
| US9270756B2 (en) | Enhancing active link utilization in serial attached SCSI topologies | |
| CN111600833A (zh) | 网络操作系统及报文转发方法 | |
| CN112039712B (zh) | 在云服务器上进行卸载的方法、控制装置、存储介质 | |
| CN114911577A (zh) | 网络隔离规则的设置方法、装置、设备及存储介质 | |
| CN109672665B (zh) | 一种访问控制方法、装置、系统及计算机可读存储介质 | |
| CN113568863A (zh) | 数据传输方法、路由节点、众核系统、计算机可读介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |