CN114362983A - 一种防火墙策略管理方法、装置、计算机设备和存储介质 - Google Patents
一种防火墙策略管理方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN114362983A CN114362983A CN202011086166.1A CN202011086166A CN114362983A CN 114362983 A CN114362983 A CN 114362983A CN 202011086166 A CN202011086166 A CN 202011086166A CN 114362983 A CN114362983 A CN 114362983A
- Authority
- CN
- China
- Prior art keywords
- policy
- firewall
- firewall policy
- request
- instruction
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明实施例提供了一种防火墙策略管理方法、装置、计算机设备和存储介质。本发明实施例提供的技术方案中,获取防火墙策略请求;根据防火墙策略请求,生成防火墙策略和策略指令;将防火墙策略和策略指令发送至管理平台,以供管理平台按照策略指令管理防火墙策略,可以提高防火墙策略管理的可靠性和安全性。
Description
【技术领域】
本发明涉及网络安全技术领域,尤其涉及一种防火墙策略管理方法、装置、计算机设备和存储介质。
【背景技术】
近年来随着云计算系统在电信运营商侧生产系统落地生根,管理主机日益增多,如何更安全、高效的管理主机设备间的防火墙策略显得愈发重要。现有防火墙策略管理方案,完全处于人工邮件方式确认以及人工线下执行指令的管理模式,若人工操作较为频繁,容易出现操作失误的情况,不能保证对防火墙策略管理的可靠性和安全性。
【发明内容】
有鉴于此,本发明实施例提供了一种防火墙策略管理方法、装置、计算机设备和存储介质,可以提高防火墙策略管理的可靠性和安全性。
一方面,本发明实施例提供了一种防火墙策略管理方法,所述方法包括:
获取防火墙策略请求;
根据防火墙策略请求,生成防火墙策略和策略指令;
将防火墙策略和策略指令发送至管理平台,以供管理平台按照策略指令管理防火墙策略。
可选地,防火墙策略请求包括开通请求;
在获取防火墙策略请求之后,还包括:
对开通请求进行解析,解析出源地址和目标地址;
通过指定算法对源地址和目标地址进行验证;
若对源地址和目标地址验证通过,向用户终端发送授权码请求;
接收用户终端发送的授权码;
判断接收的授权码与存储的授权码是否相同;
若判断出接收的授权码与存储的授权码相同,将防火墙策略的状态设置为待设置状态,并继续执行根据防火墙策略请求,生成防火墙策略和策略指令的步骤。
可选地,防火墙策略请求包括开通请求;若防火墙策略请求包括开通请求,策略指令包括开通指令,防火墙策略包括防火墙开通策略;
根据防火墙策略请求,生成防火墙策略和策略指令,包括:
对开通请求进行解析,生成开通指令、开通源地址、开通目标端口号和开通目标地址;
根据开通源地址、开通目标端口号和开通目标地址,查询出防火墙开通策略。
可选地,防火墙策略请求包括变更请求;若防火墙策略请求包括变更请求,策略指令包括二次变更指令,防火墙策略包括防火墙变更策略;
根据防火墙策略请求,生成防火墙策略和策略指令,包括:
对变更请求进行解析,生成二次变更指令和变更目标地址;
根据变更目标地址,查询出防火墙变更策略。
可选地,防火墙策略请求包括下线请求;若防火墙策略请求包括下线请求,策略指令包括下线指令,防火墙策略包括防火墙下线策略;
根据防火墙策略请求,生成防火墙策略和策略指令,包括:
对下线请求进行解析,生成下线指令和下线源地址;
根据下线源地址,查询出防火墙下线策略。
可选地,防火墙策略包括防火墙下线策略,策略指令包括下线指令;
将防火墙策略和策略指令发送至管理平台,以供管理平台按照策略指令管理防火墙策略,包括:
将防火墙下线策略和下线指令发送至管理平台,以供管理平台按照下线指令删除防火墙下线策略。
可选地,在将防火墙策略和策略指令发送至管理平台之后,还包括:
接收管理平台发送的管理成功消息;
根据管理成功消息,更新防火墙策略的状态。
另一方面,本发明实施例提供了一种防火墙策略管理装置,包括:
获取单元,用于获取防火墙策略请求;
生成单元,用于根据防火墙策略请求,生成防火墙策略和策略指令;
发送单元,用于将防火墙策略和策略指令发送至管理平台,以供管理平台按照策略指令管理防火墙策略。
另一方面,本发明实施例提供了一种存储介质,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行上述防火墙策略管理方法。
另一方面,本发明实施例提供了一种计算机设备,包括存储器和处理器,所述存储器用于存储包括程序指令的信息,所述处理器用于控制程序指令的执行,其特征在于,所述程序指令被处理器加载并执行时实现上述防火墙策略管理方法。
本发明实施例的方案中,获取防火墙策略请求;根据防火墙策略请求,生成防火墙策略和策略指令;将防火墙策略和策略指令发送至管理平台,以供管理平台按照策略指令管理防火墙策略,可以提高防火墙策略管理的可靠性和安全性。
【附图说明】
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明实施例提供的一种防火墙策略管理系统的架构图;
图2为本发明实施例提供的一种防火墙策略管理方法的流程图;
图3为本发明实施例提供的一种开通防火墙策略的流程图;
图4为本发明实施例提供的一种二次变更防火墙策略的流程图;
图5为本发明实施例提供的一种下线防火墙策略的流程图;
图6为本发明实施例提供的一种防火墙策略管理装置的结构示意图;
图7为本发明实施例提供的一种计算机设备的示意图。
【具体实施方式】
为了更好的理解本发明的技术方案,下面结合附图对本发明实施例进行详细描述。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。
应当理解,本文中使用的术语“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
应当理解,尽管在本发明实施例中可能采用术语第一、第二等来描述设定阈值,但这些设定阈值不应限于这些术语。这些术语仅用来将设定阈值彼此区分开。例如,在不脱离本发明实施例范围的情况下,第一设定阈值也可以被称为第二设定阈值,类似地,第二设定阈值也可以被称为第一设定阈值。
以管理平台为SaltStack平台为例,图1为本发明实施例提供的一种防火墙策略管理系统的架构图,如图1所示,该系统包括:主机1、SaltStack平台2、防火墙策略调度引擎3、用户终端4和消息接口5。其中,主机1与SaltStack平台2通过消息接口5通信连接;SaltStack平台2与防火墙策略调度引擎3通过消息接口5通信连接;防火墙策略调度引擎3与用户终端4通过消息接口5通信连接。
主机1为开通防火墙策略、更改防火墙策略或下线防火墙策略的配置网络对象。
SaltStack平台2包括SaltStack客户端21和SalStack服务端22。SaltStack服务端22用于接收到策略指令,并通过消息接口5将策略指令发送至SaltStack客户端21;SaltStack客户端21还包括执行接口,以执行接口为cmd.run接口23为例,如图1所示,SaltStack客户端21通过cmd.run接口23执行策略指令,使用cmd.run接口23执行策略指令,使得防火墙策略的管理过程更加安全和高效。
防火墙策略调度引擎3包括分析处理器31、开通处理器32和下线处理器33。分析处理器31用于对防火墙策略请求进行解析和验证;开通处理器32用于将开通指令、二次变更指令、防火墙开通策略和防火墙变更策略发送至SaltStack平台2,并接收SaltStack平台2发送的管理成功消息,开通处理器32还用于根据管理成功消息更新防火墙策略的状态;下线处理器33用于将下线指令和防火墙下线策略发送至SaltStack平台2,并接收SaltStack平台2发送的管理成功消息,下线处理器33还用于根据管理成功消息更新防火墙策略的状态。
用户终端4用于接收用户输入的工单,并将该工单通过消息接口5发送至防火墙策略调度引擎3,以使防火墙策略调度引擎3根据该工单获取到防火墙策略请求。
消息接口5用于在主机1、SalStack平台2、防火墙策略调度引擎3和用户终端4之间传递的防火墙策略的消息;还用于为用户提供查询防火墙策略的查询接口,即:用户可以通过消息接口5查询防火墙策略。
本发明实施例提供的防火墙策略管理系统以防火墙策略调度引擎3为核心,且主机1、SaltStack平台2、防火墙策略调度引擎3和用户终端4之间通过消息接口5协同通信,将防火墙策略的生命周期映射至防火墙策略管理系统,通过对防火墙策略开通、二次变更、下线操作的全流程管控实现云计算与网络安全环境下的防火墙策略的自动化管理。
本发明实施例提供的防火墙策略管理系统还用于执行下述图2、图3、图4或图5所示的方法,在此不再赘述。
本发明实施例提供的技术方案中,获取防火墙策略请求;根据防火墙策略请求,生成防火墙策略和策略指令;将防火墙策略和策略指令发送至管理平台,以供管理平台按照策略指令管理防火墙策略,可以提高防火墙策略管理的可靠性和安全性。
图2为本发明实施例提供的一种防火墙策略管理方法的流程图,如图2所示,该方法包括:
步骤101、获取防火墙策略请求。
步骤102、根据防火墙策略请求,生成防火墙策略和策略指令。
步骤103、将防火墙策略和策略指令发送至管理平台,以供管理平台按照策略指令管理防火墙策略。
本发明实施例提供的技术方案中,获取防火墙策略请求;根据防火墙策略请求,生成防火墙策略和策略指令;将防火墙策略和策略指令发送至管理平台,以供管理平台按照策略指令管理防火墙策略,可以提高防火墙策略管理的可靠性和安全性。
图3为本发明实施例提供的一种开通防火墙策略的流程图,如图3所示,该方法包括:
步骤201、获取防火墙策略请求,防火墙策略请求包括开通请求。
本发明实施例中,各步骤由防火墙策略调度引擎执行。
本发明实施例中,用户可以通过用户终端填写开通防火墙策略的工单,并通过消息接口将该工单提交至防火墙策略调度引擎,使得防火墙策略调度引擎获取到该开通请求。作为另一种可选方案,管理员也可以通过后台操作直接向防火墙策略调度引擎输入开通请求。
本发明实施例中,用户通过填写工单使得防火墙策略调度引擎获取到开通请求,将开通防火墙策略与工单进行紧密结合,可以对开通防火墙策略的操作行为进行追溯,便于管理。
步骤202、对开通请求进行解析,解析出源地址和目标地址。
本发明实施例中,防火墙策略调度引擎包括分析处理器。
本发明实施例中,分析处理器对开通请求进行解析,解析出源地址、源端口号、目标地址和目标端口号。其中,源地址为源端主机的网际互连协议(InternetProtocol,简称:IP)地址,目标地址为目标主机的IP地址。
步骤203、通过指定算法对源地址和目标地址进行验证,若验证通过,执行步骤204;若验证不通过,流程结束。
作为一种可选方案,指定算法包括IP段比对算法。具体地,以指定算法为IP段比对算法为例,判断源地址和目标地址是否为同源地址,若输出1值,表明验证通过,执行步骤204;若输出0值,表明验证不通过,流程结束。
例如:源地址为172.21.13.14,目标地址为172.21.13.15,则源地址和目标地址为同源地址。
例如:源地址为172.21.13.14,目标地址为172.21.17.14,则源地址和目标地址不是同源地址。
进一步地,设置有重要地址列表,重要地址列表中的地址为重要主机的地址,规定该地址指示的重要主机不能开通防火墙。判断重要地址列表是否包括目标地址,若是,表明验证不通过,流程结束;若否,表明验证通过,执行步骤204。
步骤204、向用户终端发送授权码请求。
本发明实施例中,用户终端为授权人的用户终端。
本发明实施例中,授权码存储于本地,以便于后续对用户终端发送的授权码进行比较。
作为一种可选方案,授权码为短信验证码,即:向授权人的用户终端发送短信验证码并请求用户将短信验证码输入至用户终端。
步骤205、接收用户终端发送的授权码。
本发明实施例中,用户终端发送的授权码为用户输入至用户终端的授权码。
步骤206、判断接收的授权码与存储的授权码是否相同,若是,执行步骤207;若否,流程结束。
本发明实施例中,分析处理器若判断出接收的授权码与存储的授权码相同,表明此次开通防火墙策略的操作是经过授权人确认的,继续执行步骤207;若判断出接收的授权码与存储的授权码不同,表明此次开通防火墙策略的操作未经过授权人确认,不能保证防火墙策略开通的安全性。流程结束。
本发明实施例中,通过验证授权码对开通防火墙策略的操作进行二次确认,仅有授权人授予授权码后才可以开通防火墙策略,防止未授权人员随意开通或更改防火墙策略,可以保证防火墙策略安全开通。
步骤207、将防火墙策略的状态设置为待设置状态。
本发明实施例中,当对开通防火墙策略的操作进行二次确认后,分析处理器将防火墙策略的状态设置为带设置状态。
步骤208、对开通请求进行解析,生成开通指令、开通源地址、开通目标端口号和开通目标地址。
本发明实施例中,分析处理器对开通请求进行解析,解析出开通源地址、开通源端口号、开通目标地址和开通目标端口号。
本发明实施例中,若防火墙策略请求包括开通请求,则策略指令包括开通指令。其中,开通指令为分析处理器对开通请求编译生成的指令。
步骤209、根据开通源地址、开通目标端口号和开通目标地址,查询出防火墙开通策略。
本发明实施例中,若防火墙策略请求包括开通请求,防火墙策略包括防火墙开通策略。
本发明实施例中,设置有防火墙策略表,防火墙策略表包括多个防火墙策略和每个防火墙策略的状态。其中,一个防火墙策略对应一个标识组,该标识组为源地址、目标地址和目标端口号的组合。
步骤210、将防火墙开通策略和开通指令发送至管理平台,以供管理平台按照开通指令开通防火墙开通策略。
本发明实施例中,防火墙策略调度引擎还包括开通处理器。分析处理器调用开通处理器,开通处理器通过消息接口将防火墙开通策略和开通指令发送至管理平台。
本发明实施例中,管理平台为SaltStack平台,SaltStack平台包括SaltStack客户端和SaltStack服务端。SaltStack服务端接收到开通指令后,通过消息接口将开通指令发送至SaltStack客户端,SaltStack客户端通过执行接口执行开通指令,完成对防火墙开通策略的开通。其中,执行接口为cmd.run接口,使用cmd.run接口执行开通指令,使得开通过程更加安全和高效。
本发明实施例中,SaltStack平台对开通指令的执行过程是自动的,全程无需人工干预,能够实现防火墙策略自动开通。
步骤211、接收管理平台发送的管理成功消息。
本发明实施例中,开通处理器接收管理平台发送的管理成功消息。
本发明实施例中,若防火墙策略请求包括开通请求,则管理成功消息包括开通成功消息。
本发明实施例中,SaltStack客户端完成防火墙策略自动开通后,向SaltStack服务端发送开通成功消息;SaltStack服务端通过消息接口向开通处理器发送开通成功消息。
步骤212、根据管理成功消息,更新防火墙策略的状态。
本发明实施例中,当管理成功消息包括开通成功消息时,开通处理器将防火墙策略的状态更新为已设置状态。
本发明实施例中,自动开通防火墙策略,可以提高防火墙策略的开通效率,提高开通过程中的安全性和可靠性。
图4为本发明实施例提供的一种二次变更防火墙策略的流程图,如图4所示,该方法包括:
步骤301、获取防火墙策略请求,防火墙策略请求包括变更请求。
本发明实施例中,用户可以通过用户终端填写变更防火墙策略的工单,并通过消息接口将该工单提交至防火墙策略调度引擎,使得防火墙策略调度引擎获取到该变更请求。作为另一种可选方案,管理员也可以通过后台操作直接向防火墙策略调度引擎输入变更请求。
本发明实施例中,用户通过填写工单使得防火墙策略调度引擎获取到变更请求,将变更防火墙策略与工单进行紧密结合,可以对变更防火墙策略的操作行为进行追溯,便于管理。
步骤302、对变更请求进行解析,生成二次变更指令和变更目标地址。
本发明实施例中,若防火墙策略请求包括变更请求,策略指令包括二次变更指令。其中,二次变更指令为分析处理器对变更请求编译生成的指令。
本发明实施例中,分析处理器对变更请求进行解析,解析出变更源地址、变更源端口号、变更目标地址和变更目标端口号。
本发明实施例中,二次变更是指防火墙策略相比于防火墙开通策略发生变化,变更次数可以为多次,统称为二次变更。
进一步地,当获取到多个变更请求时,分析处理器根据解析出的变更源地址、变更源端口号、变更目标地址和变更目标端口号将多个变更请求进行合并排序。合并排序包括去重合并和归类合并。具体地,每个变更请求对应一个变更源地址、一个变更源端口号、变更目标地址和变更目标端口号。去重合并包括从多个变更请求中筛选出对应相同变更目标地址且对应相同的变更目标端口号的变更请求,并将对应相同变更目标地址且对应相同的变更目标端口号的变更请求合并为一个变更请求。归类合并包括从多个变更请求中筛选出对应相同变更目标地址且对应不同的变更目标端口号的变更请求,并将对应相同变更目标地址且对应不同的变更目标端口号的变更请求合并为一类,并按照变更端口号对变更请求进行排序,生成有序的变更请求。
本发明实施例中,对多个变更请求进行合并排序,可以在后续查询防火墙变更策略并进行防火墙策略变更的步骤中节约资源,提升防火墙策略的管理性能。
步骤303、根据变更目标地址,查询出防火墙变更策略。
本发明实施例中,若防火墙策略请求包括变更请求,防火墙策略包括防火墙变更策略。
本发明实施例中,分析处理器根据变更目标地址,从防火墙策略表中查询出对应的防火墙变更策略。
步骤304、将防火墙变更策略和二次变更指令发送至管理平台,以供管理平台按照二次变更指令和防火墙变更策略更新当前防火墙策略。
本发明实施例中,分析处理器调用开通处理器,开通处理器通过消息接口将防火墙变更策略和二次变更指令发送至管理平台。
本发明实施例中,管理平台为SaltStack平台,SaltStack平台包括SaltStack客户端和SaltStack服务端。SaltStack服务端接收到二次变更指令后,通过消息接口将二次变更指令发送至SaltStack客户端,SaltStack客户端通过执行接口执行二次变更指令,将当前的防火墙策略更新为防火墙变更策略,完成对防火墙变更策略的更新。其中,执行接口为cmd.run接口,使用cmd.run接口执行二次变更指令,使得变更过程更加安全和高效。
本发明实施例中,SaltStack平台对二次变更指令的执行过程是自动的,全程无需人工干预,能够实现防火墙策略自动变更。
步骤305、接收管理平台发送的管理成功消息。
本发明实施例中,开通处理器接收管理平台发送的管理成功消息。
本发明实施例中,若防火墙策略请求包括变更请求,则管理成功消息包括变更成功消息。
本发明实施例中,SaltStack客户端完成防火墙策略自动变更后,向SaltStack服务端发送变更成功消息;SaltStack服务端通过消息接口向开通处理器发送变更成功消息。
步骤306、根据管理成功消息,更新防火墙策略的状态。
本发明实施例中,当管理成功消息包括变更成功消息时,开通处理器将防火墙策略的状态更新为二次变更状态。
本发明实施例中,自动变更防火墙策略,可以提高防火墙策略的变更效率,提高变更过程中的安全性和可靠性。
图5为本发明实施例提供的一种下线防火墙策略的流程图,如图5所示,该方法包括:
步骤401、获取防火墙策略请求,防火墙策略请求包括下线请求。
本发明实施例中,配置管理数据库(Configuration Management Database,简称:CMDB)将下线主机的下线请求发送至防火墙策略调度引擎,使得防火墙策略调度引擎获取到该下线请求。作为另一种可选方案,管理员也可以通过后台操作直接向防火墙策略调度引擎输入下线请求。
步骤402、对下线请求进行解析,生成下线指令和下线源地址。
本发明实施例中,若防火墙策略请求包括下线请求,策略指令包括下线指令。其中,下线指令为分析处理器对下线请求编译生成的指令。
本发明实施例中,分析处理器对下线请求进行解析,解析出下线源地址、下线源端口号、下线目标地址和下线目标端口号。
步骤403、根据下线源地址,查询出防火墙下线策略。
本发明实施例中,若防火墙策略请求包括下线请求,防火墙策略包括防火墙下线策略。
本发明实施例中,分析处理器根据下线源地址,从防火墙策略表中查询出对应的防火墙下线策略。
步骤404、将防火墙下线策略和下线指令发送至管理平台,以供管理平台按照下线指令删除防火墙下线策略。
本发明实施例中,防火墙策略调度引擎还包括下线处理器。分析处理器调用下线处理器,下线处理器通过消息接口将防火墙下线策略和下线指令发送至管理平台。
本发明实施例中,管理平台为SaltStack平台,SaltStack平台包括SaltStack客户端和SaltStack服务端。SaltStack服务端接收到下线指令后,通过消息接口将下线指令发送至SaltStack客户端,SaltStack客户端通过执行接口执行下线指令,将防火墙下线策略删除,完成对防火墙下线策略的下线。其中,执行接口为cmd.run接口,使用cmd.run接口执行下线指令,使得下线过程更加安全和高效。
本发明实施例中,SaltStack平台对下线指令的执行过程是自动的,全程无需人工干预,能够实现防火墙策略自动下线。
步骤405、接收管理平台发送的管理成功消息。
本发明实施例中,下线处理器接收管理平台发送的管理成功消息。
本发明实施例中,若防火墙策略请求包括下线请求,则管理成功消息包括下线成功消息。
本发明实施例中,SaltStack客户端完成防火墙策略自动下线后,向SaltStack服务端发送下线成功消息;SaltStack服务端通过消息接口向下线处理器发送下线成功消息。
步骤406、根据管理成功消息,更新防火墙策略的状态。
本发明实施例中,当管理成功消息包括下线成功消息时,下线处理器将防火墙策略的状态更新为下线状态。
本发明实施例中,自动下线防火墙策略,可以提高防火墙策略的下线效率,防止主机下线导致策略常驻问题,提高下线过程中的安全性和可靠性。
本发明实施例提供的防火墙策略管理方法的技术方案中,获取防火墙策略请求;根据防火墙策略请求,生成防火墙策略和策略指令;将防火墙策略和策略指令发送至管理平台,以供管理平台按照策略指令管理防火墙策略,可以提高防火墙策略管理的可靠性和安全性。
图6为本发明实施例提供的一种防火墙策略管理装置的结构示意图,该装置用于执行上述防火墙策略管理方法,如图6所示,该装置包括:获取单元41、生成单元42和发送单元43。
获取单元41用于获取防火墙策略请求。
生成单元42用于根据防火墙策略请求,生成防火墙策略和策略指令。
发送单元43用于将防火墙策略和策略指令发送至管理平台,以供管理平台按照策略指令管理防火墙策略。
本发明实施例中,该装置还包括:解析单元44、验证单元45、接收单元46、判断单元47和设置单元48。
解析单元44用于对开通请求进行解析,解析出源地址和目标地址。
验证单元45用于通过指定算法对源地址和目标地址进行验证。
发送单元43还用于若验证单元45对源地址和目标地址验证通过,向用户终端发送授权码请求。
接收单元46用于接收用户终端发送的授权码。
判断单元47用于判断接收的授权码与存储的授权码是否相同。
设置单元48用于若判断单元47判断出接收的授权码与存储的授权码相同,将防火墙策略的状态设置为待设置状态,并触发生成单元42继续执行根据防火墙策略请求,生成防火墙策略和策略指令的步骤。
本发明实施例中,生成单元42具体用于对开通请求进行解析,生成开通指令、开通源地址、开通目标端口号和开通目标地址;根据开通源地址、开通目标端口号和开通目标地址,查询出防火墙开通策略。
本发明实施例中,生成单元42具体用于对变更请求进行解析,生成二次变更指令和变更目标地址;根据变更目标地址,查询出防火墙变更策略。
本发明实施例中,生成单元42具体用于对下线请求进行解析,生成下线指令和下线源地址;根据下线源地址,查询出防火墙下线策略。
本发明实施例中,发送单元43具体用于将防火墙下线策略和下线指令发送至管理平台,以供管理平台按照下线指令删除防火墙下线策略。
本发明实施例中,该装置还包括更新单元49。
接收单元46还用于接收管理平台发送的管理成功消息。
更新单元49用于根据管理成功消息,更新防火墙策略的状态。
本发明实施例的方案中,获取防火墙策略请求;根据防火墙策略请求,生成防火墙策略和策略指令;将防火墙策略和策略指令发送至管理平台,以供管理平台按照策略指令管理防火墙策略,可以提高防火墙策略管理的可靠性和安全性。
本发明实施例提供了一种存储介质,存储介质包括存储的程序,其中,在程序运行时控制存储介质所在设备执行上述防火墙策略管理方法的实施例的各步骤,具体描述可参见上述防火墙策略管理方法的实施例。
本发明实施例提供了一种计算机设备,包括存储器和处理器,存储器用于存储包括程序指令的信息,处理器用于控制程序指令的执行,程序指令被处理器加载并执行时实现上述防火墙策略管理方法的实施例的各步骤,具体描述可参见上述防火墙策略管理方法的实施例。
图7为本发明实施例提供的一种计算机设备的示意图。如图7所示,该实施例的计算机设备50包括:处理器51、存储器52以及存储在存储52中并可在处理器51上运行的计算机程序53,该计算机程序53被处理器51执行时实现实施例中的应用于防火墙策略管理方法,为避免重复,此处不一一赘述。或者,该计算机程序被处理器51执行时实现实施例中应用于防火墙策略管理装置中各模型/单元的功能,为避免重复,此处不一一赘述。
计算机设备50包括,但不仅限于,处理器51、存储器52。本领域技术人员可以理解,图7仅仅是计算机设备50的示例,并不构成对计算机设备50的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如计算机设备还可以包括输入输出设备、网络接入设备、总线等。
所称处理器51可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器52可以是计算机设备50的内部存储单元,例如计算机设备50的硬盘或内存。存储器52也可以是计算机设备50的外部存储设备,例如计算机设备30上配备的插接式硬盘,智能存储(Smart Media,SM)卡,安全数字(Secure Digital,SD)卡,闪存卡(FlashCard)等。进一步地,存储器52还可以既包括计算机设备50的内部存储单元也包括外部存储设备。存储器52用于存储计算机程序以及计算机设备所需的其他程序和数据。存储器52还可以用于暂时地存储已经输出或者将要输出的数据。
在本发明所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (10)
1.一种防火墙策略管理方法,其特征在于,所述方法包括:
获取防火墙策略请求;
根据所述防火墙策略请求,生成防火墙策略和策略指令;
将所述防火墙策略和所述策略指令发送至管理平台,以供所述管理平台按照所述策略指令管理所述防火墙策略。
2.根据权利要求1所述的方法,其特征在于,所述防火墙策略请求包括开通请求;
在所述获取防火墙策略请求之后,还包括:
对所述开通请求进行解析,解析出源地址和目标地址;
通过指定算法对所述源地址和所述目标地址进行验证;
若对所述源地址和所述目标地址验证通过,向用户终端发送授权码请求;
接收所述用户终端发送的授权码;
判断接收的授权码与存储的授权码是否相同;
若判断出所述接收的授权码与所述存储的授权码相同,将所述防火墙策略的状态设置为待设置状态,并继续执行所述根据所述防火墙策略请求,生成防火墙策略和策略指令的步骤。
3.根据权利要求1所述的方法,其特征在于,所述防火墙策略请求包括开通请求;若所述防火墙策略请求包括开通请求,所述策略指令包括开通指令,所述防火墙策略包括防火墙开通策略;
所述根据所述防火墙策略请求,生成防火墙策略和策略指令,包括:
对所述开通请求进行解析,生成所述开通指令、开通源地址、开通目标端口号和开通目标地址;
根据所述开通源地址、所述开通目标端口号和所述开通目标地址,查询出所述防火墙开通策略。
4.根据权利要求1所述的方法,其特征在于,所述防火墙策略请求包括变更请求;若所述防火墙策略请求包括变更请求,所述策略指令包括二次变更指令,所述防火墙策略包括防火墙变更策略;
所述根据所述防火墙策略请求,生成防火墙策略和策略指令,包括:
对所述变更请求进行解析,生成所述二次变更指令和变更目标地址;
根据所述变更目标地址,查询出所述防火墙变更策略。
5.根据权利要求1所述的方法,其特征在于,所述防火墙策略请求包括下线请求;若所述防火墙策略请求包括下线请求,所述策略指令包括下线指令,所述防火墙策略包括防火墙下线策略;
所述根据所述防火墙策略请求,生成防火墙策略和策略指令,包括:
对所述下线请求进行解析,生成所述下线指令和下线源地址;
根据所述下线源地址,查询出所述防火墙下线策略。
6.根据权利要求1所述的方法,其特征在于,所述防火墙策略包括防火墙下线策略,所述策略指令包括下线指令;
所述将所述防火墙策略和所述策略指令发送至管理平台,以供所述管理平台按照所述策略指令管理所述防火墙策略,包括:
将所述防火墙下线策略和所述下线指令发送至所述管理平台,以供所述管理平台按照所述下线指令删除所述防火墙下线策略。
7.根据权利要求1所述的方法,其特征在于,在所述将所述防火墙策略和所述策略指令发送至管理平台之后,还包括:
接收所述管理平台发送的管理成功消息;
根据所述管理成功消息,更新所述防火墙策略的状态。
8.一种防火墙策略管理装置,其特征在于,所述装置包括:
获取单元,用于获取防火墙策略请求;
生成单元,用于根据所述防火墙策略请求,生成防火墙策略和策略指令;
发送单元,用于将所述防火墙策略和所述策略指令发送至管理平台,以供所述管理平台按照所述策略指令管理所述防火墙策略。
9.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行权利要求1至7中任意一项所述的防火墙策略管理方法。
10.一种计算机设备,包括存储器和处理器,所述存储器用于存储包括程序指令的信息,所述处理器用于控制程序指令的执行,其特征在于,所述程序指令被处理器加载并执行时实现权利要求1至7任意一项所述的防火墙策略管理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011086166.1A CN114362983A (zh) | 2020-10-12 | 2020-10-12 | 一种防火墙策略管理方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011086166.1A CN114362983A (zh) | 2020-10-12 | 2020-10-12 | 一种防火墙策略管理方法、装置、计算机设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114362983A true CN114362983A (zh) | 2022-04-15 |
Family
ID=81089461
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011086166.1A Pending CN114362983A (zh) | 2020-10-12 | 2020-10-12 | 一种防火墙策略管理方法、装置、计算机设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114362983A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114978678A (zh) * | 2022-05-20 | 2022-08-30 | 中国工商银行股份有限公司 | 防火墙策略变更方法、装置、计算机设备和存储介质 |
| CN115225307A (zh) * | 2022-05-12 | 2022-10-21 | 马上消费金融股份有限公司 | 一种防火墙管理方法、系统、电子设备和存储介质 |
| CN116866091A (zh) * | 2023-09-05 | 2023-10-10 | 中国电子信息产业集团有限公司第六研究所 | 一种防火墙防护系统、方法、电子设备及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20050122343A (ko) * | 2004-06-24 | 2005-12-29 | 엑서스테크놀러지 주식회사 | 네트워크 통합 관리 시스템 |
| CN103561002A (zh) * | 2013-10-22 | 2014-02-05 | 北京神州泰岳软件股份有限公司 | 基于防火墙策略的安全访问方法和系统 |
| CN110336834A (zh) * | 2019-07-31 | 2019-10-15 | 中国工商银行股份有限公司 | 用于防火墙策略的处理方法和装置 |
| CN110365697A (zh) * | 2019-07-26 | 2019-10-22 | 新华三大数据技术有限公司 | 一种虚拟防火墙设置方法、装置、电子设备及存储介质 |
| CN110661670A (zh) * | 2019-10-21 | 2020-01-07 | 中国民航信息网络股份有限公司 | 一种网络设备配置管理方法及装置 |
| CN110677383A (zh) * | 2019-08-22 | 2020-01-10 | 平安科技(深圳)有限公司 | 防火墙开墙方法、装置、存储介质及计算机设备 |
| CN111711635A (zh) * | 2020-06-23 | 2020-09-25 | 平安银行股份有限公司 | 防火墙开墙方法、装置、计算机设备及存储介质 |
-
2020
- 2020-10-12 CN CN202011086166.1A patent/CN114362983A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20050122343A (ko) * | 2004-06-24 | 2005-12-29 | 엑서스테크놀러지 주식회사 | 네트워크 통합 관리 시스템 |
| CN103561002A (zh) * | 2013-10-22 | 2014-02-05 | 北京神州泰岳软件股份有限公司 | 基于防火墙策略的安全访问方法和系统 |
| CN110365697A (zh) * | 2019-07-26 | 2019-10-22 | 新华三大数据技术有限公司 | 一种虚拟防火墙设置方法、装置、电子设备及存储介质 |
| CN110336834A (zh) * | 2019-07-31 | 2019-10-15 | 中国工商银行股份有限公司 | 用于防火墙策略的处理方法和装置 |
| CN110677383A (zh) * | 2019-08-22 | 2020-01-10 | 平安科技(深圳)有限公司 | 防火墙开墙方法、装置、存储介质及计算机设备 |
| CN110661670A (zh) * | 2019-10-21 | 2020-01-07 | 中国民航信息网络股份有限公司 | 一种网络设备配置管理方法及装置 |
| CN111711635A (zh) * | 2020-06-23 | 2020-09-25 | 平安银行股份有限公司 | 防火墙开墙方法、装置、计算机设备及存储介质 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115225307A (zh) * | 2022-05-12 | 2022-10-21 | 马上消费金融股份有限公司 | 一种防火墙管理方法、系统、电子设备和存储介质 |
| CN114978678A (zh) * | 2022-05-20 | 2022-08-30 | 中国工商银行股份有限公司 | 防火墙策略变更方法、装置、计算机设备和存储介质 |
| CN114978678B (zh) * | 2022-05-20 | 2024-02-20 | 中国工商银行股份有限公司 | 防火墙策略变更方法、装置、计算机设备和存储介质 |
| CN116866091A (zh) * | 2023-09-05 | 2023-10-10 | 中国电子信息产业集团有限公司第六研究所 | 一种防火墙防护系统、方法、电子设备及存储介质 |
| CN116866091B (zh) * | 2023-09-05 | 2023-11-07 | 中国电子信息产业集团有限公司第六研究所 | 一种防火墙防护系统、方法、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108549580B (zh) | 自动部署Kubernetes从节点的方法及终端设备 | |
| CN114362983A (zh) | 一种防火墙策略管理方法、装置、计算机设备和存储介质 | |
| CN108566290B (zh) | 服务配置管理方法、系统、存储介质和服务器 | |
| CN110545260A (zh) | 一种基于拟态构造的云管理平台构建方法 | |
| US9003389B2 (en) | Generating an encoded package profile based on executing host processes | |
| CN110597531B (zh) | 分布式的模块升级方法、装置及存储介质 | |
| CN109144559B (zh) | 一种更新数据包的推送方法及服务器 | |
| US11928449B2 (en) | Information processing method, device, apparatus and system, medium, andprogram | |
| WO2017185992A1 (zh) | 一种请求消息传输方法及装置 | |
| WO2022033079A1 (zh) | 一种皮基站配置方法、装置、存储介质和电子装置 | |
| CN115665265B (zh) | 请求处理方法、装置、设备、存储介质及系统 | |
| CN111935195A (zh) | 分布式系统管理方法、装置、存储介质和分布式管理系统 | |
| CN108053288B (zh) | 一种业务编排下发的方法及装置 | |
| CN108600149A (zh) | 云计算高可用性集群资源管理方法 | |
| CN109472124B (zh) | 接口使用权限的匹配方法、装置、设备及介质 | |
| CN110351333B (zh) | 一种具备验证机制的请求队列方法及系统 | |
| CN110022310B (zh) | 基于云计算开放网络操作系统的授权方法及装置 | |
| CN113032054A (zh) | 一种服务执行方法、装置、存储介质及电子装置 | |
| CN111210505A (zh) | 3d模型加载方法、服务器、存储介质、处理器 | |
| CN113691575A (zh) | 通信方法、装置及系统 | |
| CN117130759B (zh) | 仿真引擎的启停控制方法、装置及仿真系统 | |
| CN117478570B (zh) | 基于容器化技术的设备测试方法、装置及存储介质 | |
| WO2023226830A1 (zh) | 网络切片处理方法、装置、电子设备及存储介质 | |
| CN116662938B (zh) | 基于容器集群管理系统的授权方法、应用运行方法及装置 | |
| CN113055412B (zh) | 样本收集方法、装置、系统、计算机设备和可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |