CN114640532B - 一种处理方法、装置及电子设备 - Google Patents
一种处理方法、装置及电子设备 Download PDFInfo
- Publication number
- CN114640532B CN114640532B CN202210319679.5A CN202210319679A CN114640532B CN 114640532 B CN114640532 B CN 114640532B CN 202210319679 A CN202210319679 A CN 202210319679A CN 114640532 B CN114640532 B CN 114640532B
- Authority
- CN
- China
- Prior art keywords
- firewall
- address
- target
- firewalls
- access request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种处理方法、装置及电子设备,所述方法包括:获取访问请求,根据访问请求确定各个目标IP地址;其中,目标IP地址至少包括源IP地址和目的IP地址;根据目标IP地址从防火墙数据库中确定出对应的目标防火墙,根据目标防火墙生成与访问请求对应的防火墙策略;其中,防火墙数据库中至少包括部分目标IP地址与防火墙的对应关系;其中,若存在与目标IP地址对应的多个防火墙,则根据目标IP地址基于学习表项获取多个防火墙的评价表征,根据评价表征从多个防火墙中确定目标防火墙;其中,学习表项通过采集防火墙策略中IP地址与防火墙的对应关系生成。本申请能够实现根据访问请求自动确定防火墙,实现防火墙策略的自动下发,正确率和处理效率高。
Description
技术领域
本申请涉及防火墙技术领域,特别涉及一种处理方法、装置及电子设备。
背景技术
在一个中大型企业的内部网络中,会布置有多个防火墙设备,包括有物理防火墙、虚拟防火墙。每台防火墙设备在网络中划分有一个或多个安全区域,每个安全区域会有多个网段。那么,多个网段位于不同的防护墙,并且网段变动是随时存在的,因而定位网段的所在防火墙就会十分困难。
开通满足用户需求的一条防火墙策略时,往往涉及到多套防火墙。现有的解决方案中,通过网络管理人员将各台防火墙和所维护的网段通过表格记录起来,在网段发生变动的时候,由网络管理人员维护更新表格,人工维护的情况下长时间会出现数据不准确。因此,在接收到用户提交开通防火墙策略的申请时,需由人工进行分析定位防火墙,处理效率低,且无法保障正确性,由此会给企业内部网络的安全性带来风险。
发明内容
本申请提供了一种处理方法、装置及电子设备,本申请实施例采用的技术方案如下:
第一方面,本申请实施例提供了一种处理方法,包括:
获取访问请求,根据所述访问请求确定各个目标IP地址;其中,所述目标IP地址至少包括源IP地址和目的IP地址;
根据所述目标IP地址从防火墙数据库中确定出对应的目标防火墙,根据所述目标防火墙生成与所述访问请求对应的防火墙策略;其中,所述防火墙数据库中至少包括部分目标IP地址与防火墙的对应关系;
其中,若存在与所述目标IP地址对应的多个防火墙,则根据所述目标IP地址基于学习表项获取所述多个防火墙的评价表征,根据所述评价表征从所述多个防火墙中确定所述目标防火墙;其中,所述学习表项通过采集所述防火墙策略中IP地址与防火墙的对应关系生成。
在一些实施例中,根据所述目标IP地址基于学习表项确定所述多个防火墙的评价表征,包括:
基于第一采样区间从所述学习表项中获取与所述目标IP地址及对应的子网段IP地址关联的数据样本;
基于所述数据样本获取各个防火墙相应的所述目标IP地址及对应的子网段IP地址的特征参数,基于所述特征参数利用预设算法计算所述多个防火墙的概率表征,以获取所述评价表征。
在一些实施例中,所述特征参数至少包括所述目标IP地址或对应的子网段IP地址在采样区间出现的频率、各IP地址的掩码。
在一些实施例中,所述方法还包括:
针对所述多个防火墙中的每个防火墙获取预设时间间隔获取第二采样区间内的多个评价表征,根据所述多个评价表征获取每个防火墙在第二采样区间内的变化趋势;
若所述变化趋势随时间增加呈现增加趋势时,则确定对应的防火墙为目标防火墙。
在一些实施例中,所述方法还包括:
若存在与所述源IP地址和所述目的IP地址各自对应的目标防火墙呈同步增加趋势的其他防火墙,则确定该其他防火墙为所述源IP地址和所述目的IP地址之间通信时需要通过的所述目标防火墙。
在一些实施例中,所述防火墙数据库的生成方式包括:
获取防火墙的标识信息;
根据防火墙的标识信息确定各个防火墙对应的特征信息,以构建对应的表项信息;其中,所述表项信息至少包括路由表项,以根据所述路由表项获取所述网段信息,从而根据各个防火墙及对应的网段信息建立IP地址与防火墙的对应关系。
在一些实施例中,所述方法还包括:
基于预设时间间隔根据所述防火墙的标识信息启动收集任务,收集各个防火墙对应的网段信息,以对防火墙对应的路由表项进行更新。
在一些实施例中,所述方法还包括:在采集所述防火墙策略中IP地址与防火墙的对应关系的过程中,所述学习表项通过记录相应的采集时间,生成相应的时间戳。
第二方面,本申请实施例还提供了一种处理装置,包括:
获取模块,配置为获取访问请求,根据所述访问请求确定各个目标IP地址;其中,所述目标IP地址至少包括源IP地址和目的IP地址;
生成模块,配置为根据所述目标IP地址从防火墙数据库中确定出所述源IP地址和所述目的IP地址之间通信时需要通过的目标防火墙,根据所述目标防火墙生成与所述访问请求对应的防火墙策略;其中,所述防火墙数据库中至少包括部分目标IP地址与防火墙的对应关系;
其中,若存在与所述目标IP地址对应的多个防火墙,则根据所述目标IP地址基于学习表项获取所述多个防火墙的评价表征,根据所述评价表征从所述多个防火墙中确定所述目标防火墙;其中,所述学习表项通过采集所述防火墙策略中IP地址与防火墙的对应关系生成。
第三方面,本申请实施例还提供了一种电子设备,至少包括存储器、处理器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时,执行如上任意实施例提供的处理方法的步骤。
本申请实施例中,通过获取用户的访问请求,根据访问请求确定各个目标IP地址,根据目标IP地址从防火墙数据库确定对应的目标防火墙,生成与访问请求对应的防火墙策略;同时利用学习表项学习和记录防火墙策略中IP地址与防火墙的对应关系,若目标IP地址对应多个防火墙无法确定目标防火墙时,则基于学习表项分别获取多个防火墙各自的评价表征来确定目标防火墙,以生成对应的防火墙策略进行下发,通过这种方法,能够实现根据访问请求自动确定防火墙,实现防火墙策略的自动下发,提高了确定防火墙的正确率,防火墙策略下发时处理效率高,从而能够尽快实现用户的访问请求,用户体验好。
附图说明
为了更清楚地说明本申请或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1示出了本申请实施例所提供的处理方法的流程图;
图2示出了本申请实施例的处理方法中用户与服务器的交互场景图;
图3示出了本申请实施例的处理方法中对防火墙进行评价的示意图;
图4示出了本申请实施例的处理方法中网段IP地址的评价表征相对于防火墙的变化趋势示意图;
图5示出了本申请实施例的处理方法中网段IP地址的评价表征相对于防火墙的另一变化趋势示意图;
图6示出了本申请实施例所提供的处理装置的结构示意图;
图7示出了本申请实施例所提供的电子设备的结构示意图。
具体实施方式
此处参考附图描述本申请的各种方案以及特征。
应理解的是,可以对此处申请的实施例做出各种修改。因此,上述说明书不应该视为限制,而仅是作为实施例的范例。本领域的技术人员将想到在本申请的范围和精神内的其他修改。
包含在说明书中并构成说明书的一部分的附图示出了本申请的实施例,并且与上面给出的对本申请的大致描述以及下面给出的对实施例的详细描述一起用于解释本申请的原理。
通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述,本申请的这些和其它特性将会变得显而易见。
还应当理解,尽管已经参照一些具体实例对本申请进行了描述,但本领域技术人员能够确定地实现本申请的很多其它等效形式,它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。
当结合附图时,鉴于以下详细说明,本申请的上述和其他方面、特征和优势将变得更为显而易见。
此后参照附图描述本申请的具体实施例;然而,应当理解,所申请的实施例仅仅是本申请的实例,其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本申请模糊不清。因此,本文所申请的具体的结构性和功能性细节并非意在限定,而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本申请。
本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”,其均可指代根据本申请的相同或不同实施例中的一个或多个。
在实际应用过程中,通常在一个中大型企业的内部网络中,网段的设置和防火墙相对于网段的对应布置会较为复杂。针对用户的访问请求下发防火墙策略时,需由网络管理人员根据经验查看网络拓扑,通过人工定位相应的防火墙进行下发防火墙策略,处理效率低,且容易出错。
为此,本申请提出一种处理方法,该方法能够通过自动学习实现防火墙的自动定位,以生成跟用户的访问请求对应的防火墙策略进行下发,提高了处理效率,降低了防火墙确定过程中的错误率。
第一方面,本申请实施例提供了一种处理方法,该方法可以应用于计算机电子设备中,该计算机设备可以通过独立的服务器或包括多个服务器的服务器集群来实现。图1示出了本申请实施例提供的处理方法的流程图,如图1所示,所述方法包括以下步骤:
S100,获取访问请求,根据所述访问请求确定各个目标IP地址;其中,所述目标IP地址至少包括源IP地址和目的IP地址。
其中,访问请求即用户提交的对目的IP地址进行访问的请求。在一些实际的应用中,用户可以通过手机、平板电脑、计算机等终端设备上的客户端向服务器提交访问请求。客户端可以是能够与服务器进行通信的应用程序,以能够发送访问请求,并能够被服务器接收和识别出用户所需访问的目的IP地址。
服务器接收到用户的访问请求后,根据访问请求确定用户的源IP地址,以及用户所需要访问的目的IP地址,从而获取各个目标IP地址,以便于后续根据目标IP地址下发相应的防火墙策略。示例性的,用户想要访问企业的某个IP地址时,通过计算机发出的访问请求,服务器接收该访问请求后,可以获取为该用户使用的计算机分配的IP地址,即确定访问请求的源IP地址。同时,用户发送的访问请求中包含了目的IP地址访问任务,从而服务器能够确定用户需要访问的目的IP地址。
S200,根据所述目标IP地址从防火墙数据库中确定出对应的目标防火墙,根据所述目标防火墙生成与所述访问请求对应的防火墙策略;其中,所述防火墙数据库中至少包括部分目标IP地址与防火墙的对应关系;
其中,若存在与所述目标IP地址对应的多个防火墙,则根据所述目标IP地址基于学习表项获取所述多个防火墙的评价表征,根据所述评价表征从所述多个防火墙中确定所述目标防火墙;其中,所述学习表项通过采集所述防火墙策略中IP地址与防火墙的对应关系生成。
本申请中,防火墙设备包括物理防火墙、虚拟防火墙等,每台防火墙中可以部署一个或多个安全区域,每个安全区域包括相应的网段。防火墙对与相应的网段进行连接和访问的数据进行保护,以保障内部网络数据的安全。
本步骤中,防火墙数据库包括IP地址与防火墙之间的对应关系,这样,服务器在确定目标IP地址后,在防火墙数据库中根据目标IP地址进行查找,以确定出相应的防火墙作为该目标IP地址所对应的目标防火墙。相应地,根据多个目标IP地址可以确定各自对应的多个目标防火墙,这样,根据多个目标防火墙即可以生成与访问请求对应的防火墙策略,从而进行下发这些目标防火墙,实现用户的访问请求。
但是,考虑到一个IP地址有可能会与两个或以上的防火墙相对应的情况,因此,若根据目标IP地址从防火墙数据库中查找到多个防火墙时,将无法确定与目标IP地址对应的目标防火墙,也就无法生成防火墙策略进行下发。为此,本申请实施例中,通过采集所述防火墙策略中IP地址与防火墙的对应关系生成学习表项。学习表项生成后可以作为防火墙数据库的一个表项存储防火墙数据库中,并根据每次下发的防火墙策略中的IP地址和防火墙的对应关系进行学习和更新。由此,基于学习表项的数据对与目标IP地址对应的多个防火墙分别进行评价,分别获取多个防火墙各自的评价表征,根据该评价表征从多个防火墙中确定与目标IP地址对应的目标防火墙。示例性的,目标IP地址对应第一防火墙、第二防火墙和第三防火墙时,从学习表项中查找到对应于目标IP地址时,第一防火墙作为防火墙策略中的目标防火墙下发过三次,则第一防火墙的评价表征可记为数值3;第二防火墙作为防火墙策略中的目标防火墙下发过二次,则第二防火墙的评价表征可记为数值2;第三防火墙作为防火墙策略中的目标防火墙下发过一次,则第三防火墙的评价表征可记为数值1;由此经过比较,可将第一防火墙作为目标IP地址的目标防火墙。当然,在实际的实施过程中,还可以结合采样区间及IP地址的掩码进行计算和评价,以更准确地确定出目标防火墙。
本申请实施例中,通过获取用户的访问请求,根据访问请求确定各个目标IP地址,根据目标IP地址从防火墙数据库确定对应的目标防火墙,生成与访问请求对应的防火墙策略;同时利用学习表项学习和记录防火墙策略中IP地址与防火墙的对应关系,若目标IP地址对应多个防火墙无法确定目标防火墙时,则基于学习表项分别获取多个防火墙各自的评价表征来确定目标防火墙,以生成对应的防火墙策略进行下发,通过这种方法,能够实现根据访问请求自动确定防火墙,实现防火墙策略的自动下发,提高了确定防火墙的正确率,防火墙策略下发时处理效率高,从而能够尽快实现用户的访问请求,用户体验好。
图2示出了本申请实施例中用户通过客户端与服务器进行交互的场景示意图。可以理解的是,图2中的终端设备、通信网络和服务器的形式、数目解决是适应性的,在实际应用中可以根据需求选择任意数目、任意形式的终端设备、通信网络和服务器,本申请对此不做限定。
示例场景请参见图2中所示,安装于终端设备1上的客户端A可以通过网络通信与服务器2进行通信连接。用户通过客户端A向服务器提交访问请求,服务器2接收到访问请求后,根据访问请求确定源IP地址和目标IP地址,以获取各个目标IP地址。之后,服务器再根据各个目标IP地址在防火墙数据库中进行查找,通过防火墙数据库中IP地址与防火墙的对应关系确定各个目标IP地址对应的目标防火墙,从而根据目标防火墙生成与所述访问关系对应的防火墙策略进行下发,以使用户能够实现与目标IP地址的连接和数据通信。
在一些实施例中,根据所述目标IP地址基于学习表项确定所述多个防火墙的评价表征,包括:
基于第一采样区间从所述学习表项中获取与所述目标IP地址及对应的子网段IP地址关联的数据样本;
基于所述数据样本获取各个防火墙相应的所述目标IP地址及对应的子网段IP地址的特征参数,基于所述特征参数利用预设算法计算所述多个防火墙的概率表征,以获取所述评价表征。
本实施例旨在针对目标IP地址所对应的多个防火墙进行评价,获取各自的评价表征。在一些具体实施过程中,第一采样区间可以根据实际情况或由技术人员根据经验进行设置,本申请对此不作限定。示例性的,第一采样区间可以设置为12小时或24小时,从而可以基于12小时或24小时内学习表项所记录的数据对多个防火墙进行评价。
为了确定目标IP地址对应的目标防火墙,考虑到该目标防火墙也是对目标IP地址所对应的子网段内的IP地址下发的防火墙策略中的目标防火墙,因此,基于第一采样区间进行数据样本筛选时,可以在学习表项中筛选与目标IP地址对应的部分数据样本,以及与目标IP地址对应的子网段IP地址对应的部分数据样本,以获取包括目标IP地址和子网段IP地址对应的全部数据样本来进行后续的评价。
获取包括目标IP地址和子网段IP地址对应的全部数据样本后,即可以基于该数据样本获取各个防火墙下目标IP地址和子网段IP地址的特征参数来进行计算。
在一些实施例中,所述特征参数至少包括所述目标IP地址或对应的子网段IP地址在采样区间出现的频率、各IP地址的掩码。本实施例中,目标IP地址或对应的子网段IP地址在采样区间出现的频率为目标IP地址或对应的子网段IP地址在采样区间出现的次数。
示例性的,目标IP地址所对应的防火墙包括防火墙1和防火墙2时,第一采样区间内防火墙1作为下发的防火墙策略中目标IP地址或子网段IP地址的目标防火墙次数,可作为防火墙1对应于各个IP地址的频率;同样的,第一采样区间内防火墙2作为下发的防火墙策略中目标IP地址或子网段IP地址的目标防火墙次数,可作为防火墙2对应于各个IP地址的频率。
掩码:即子网掩码(subnet mask),可以用来指明一个IP地址的哪些位标识的是主机所在的子网,以及哪些位标识的是主机的位掩码。子网掩码能够将某个IP地址划分成网络地址和主机地址两部分。当子网掩码为8位时,即255.0.0.0/8,子网占24位,可用IP数为2^24-2=16777214个;当子网掩码为24位时,即255.255.255.0/24,子网占8位,可用IP数为2^8-2=254个。可以看出,掩码的值越大,网段的掩码越长,其所能覆盖的IP地址的范围越小,则定位防火墙时的精度越高,在评价防火墙时权重越大。因此,可以将网段的掩码作为评价防火墙的特征参数。
在一些实际的应用中,预设算法可以采用公式(1)进行计算,以获取包括目标IP地址及子网段IP地址的各个IP地址在多个防火墙的分数。
分数=掩码*频率 (1)
然后利用公式(2)对同一个防火墙对应的各个IP地址的分数进行加和计算,利用加和后的总分作为该防火墙的评价表征。
总分=∑(各IP地址的分数) (2)
图3中示例性的提供了防火墙1和防火墙2的评价表征。如图3所示,目标IP地址为1.1.1.0/24,掩码为24位。目标IP地址所对应的子网段IP地址包括:1.1.1.2、1.1.1.3、1.1.1.8/30、1.1.1.16/28。其中,防火墙1下,对应于包括目标IP地址和子网段IP地址的各个IP地址在第一采样区间出现的次数分别为10、1、1、1、1、43、2、1,结合各个IP地址的掩码利用公式(1)可以计算出防火墙1对应的各个IP地址对应的分数,再利用公式(2)计算出防火墙1对应的各个IP地址的总分为0.16962963。防火墙2下,对应于包括目标IP地址和子网段IP地址的各个IP地址在第一采样区间出现的次数分别为1、1、1、2,结合各个IP地址的掩码利用公式(1)可以计算出防火墙2对应的各个IP地址对应的分数,再利用公式(2)可计算出防火墙2对应的各个IP地址的总分为0.014074074。由此,从两个总分可以看出目标IP地址1.1.1.0/24与防火墙1的关联关系较大,则可以将防火墙1确定为目标IP地址对应的目标防火墙。
在一些实施例中,所述方法还包括:
针对所述多个防火墙中的每个防火墙获取预设时间间隔获取第二采样区间内的多个评价表征,根据所述多个评价表征获取每个防火墙在第二采样区间内的变化趋势;
若所述变化趋势随时间增加呈现增加趋势时,则确定对应的防火墙为目标防火墙。
本申请实施例旨在获取各个防火墙的评价表征的变化趋势,以在该变化趋势发生变化时,根据变化后的变化趋势确定目标IP地址所对应的目标防火墙。本实施例中,第二采样区间可以根据实际情况或技术人员的经验进行设定。之后可以根据第二采样区间从学习表项中筛选出与目标IP地址及其对应的子网段IP地址相关的所有数据样本,再以一定间隔将该第二采样区间划分为多个时间区间,基于所筛选的数据样本在多个时间区间内的数据分别计算出目标IP地址对应于各个防火墙的总分,则根据不同时间区间的各个总分随时间的变化趋势可以得到目标IP地址对应于各个防火墙的变化趋势图。
示例性的,如图4和图5中所示,目标IP地址为1.1.1.0/24,第二采样区间可以设置为1小时。之后从学习表项中筛选出所选定的一个小时内与目标IP地址及其对应的子网段IP地址相关的所有数据样本,再以十分钟为间隔将该一个小时划分为六个时间区间,基于所筛选的数据样本在六个时间区间内的数据分别计算出目标IP地址对应于各个防火墙的总分,则根据各个总分随时间的变化趋势,可以得到图4和图5中所呈现的目标IP地址1.1.1.0/24随时间增加时对应于防火墙1至防火墙6的评价表征变化趋势图。其中,图4中通过第(1)-(6)这6个部分分别示出了目标IP地址1.1.1.0/24在第二采样区间中的不同时间采样时对应于不同防火墙的评价表征比较示意图,例如,从第(1)部分中可以看出,防火墙1对应于目标IP地址1.1.1.0/24的总分最高。图5根据图4示出了目标IP地址1.1.1.0/24在第二采样区间中的不同时间采样时对应于不同防火墙的评价表征的变化趋势,其中,防火墙1对应于曲线L1,防火墙2对应于曲线L2,防火墙3对应于曲线L3,防火墙4对应于曲线L4,防火墙5和防火墙6对应于曲线L5和L6,从图4中可以看出,防火墙5和防火墙6采样数据中总分一直保持一致,曲线L5和L6呈现重合状态。
可以看出,图5所示的趋势图中,防火墙3、4、5、6对应的曲线成一条直线,变化趋势呈现出无任何变化的状态;防火墙1对应的曲线在第二个采样点上升了一次后成直线型,在总体上其变化趋势呈现随时间增加不再增加的趋势;防火墙2对应的曲线在第三个采样点开始呈明显上升趋势,则其变化趋势呈现出随时间增加而增加的趋势。可以理解的是,若防火墙对应的网段IP地址没有发生变化的情况下,在学习表项记录的下发的防火墙策略中,该网段IP地址对应于该防火墙的得分趋势在总体上应该是平稳上升的。则根据图5中所示,目标IP地址1.1.1.0/24对应于防火墙1、3、4、5、6的评价表征随时间增加呈不再增加的趋势,而对应于防火墙2的评价表征随时间变化总体上呈现增加趋势,从第三个采样时间开始,目标IP地址1.1.1.0/24对应的防火墙发生了变化,此时其关联的防火墙从防火墙1变成了防火墙2,即,变化趋势随时间呈增加趋势的防火墙2为目标IP地址1.1.1.0/24对应的目标防火墙。
在一些实施例中,所述方法还包括:若存在与所述源IP地址和所述目的IP地址各自对应的目标防火墙呈同步增加趋势的其他防火墙,则确定该其他防火墙为所述源IP地址和所述目的IP地址之间通信时需要通过的所述目标防火墙。
本实施例旨在确定源IP地址和目的IP地址各自对应的目标防火墙后,对源IP地址和目的IP地址之间通信时需要通过的其他目标防火墙进行确定。本实施例中,在确定源IP地址和目的IP地址各自对应的两个目标防火墙后,可以基于这两个目标防火墙从学习表项中筛选相关联的全部数据样本,或筛选最近一个小时的历史时间内的部分数据样本,数据样本的筛选可以根据实际需要或技术人员的经验进行设定,这里仅作为示例,并不做限定。在筛选出的数据样本中进行查找,若存在一个防火墙与源IP地址之间呈增加趋势,同时与目的IP地址之间呈现出同样的增加趋势,则可以确定该防火墙为源IP地址和目的IP地址之间通信时需要通过的其他目标防火墙。生成防火墙策略时需加入该其他的目标防火墙,同时将防火墙策略下发至该其他的目标防火墙,以能够实现用户的访问请求。
在一些实施例中,为了生成所述防火墙数据库,包括以下步骤A1-A2:
A1,获取防火墙的标识信息;
A2,根据防火墙的标识信息确定各个防火墙对应的特征信息,以构建对应的表项信息;其中,所述表项信息至少包括路由表项,以根据所述路由表项获取所述网段信息,从而根据各个防火墙及对应的网段信息建立IP地址与防火墙的对应关系。
本申请实施例中,为了获取各个防火墙的特征信息,建立防火墙数据库,需先获取各个防火墙的标识信息,以对各个防火墙进行标识,再根据标识信息确定防火墙数据库所需的特征信息。确定所需的特征信息后,再利用相应的特征信息构建防火墙数据库中与各个防火墙对应的表项信息。
在一些实际的应用中,防火墙的标识信息包括防火墙品牌和设备型号、管理IP、接口配置账号等设备信息,以通过这些设备信息唯一地标识一个防火墙设备,并且能够在后续的步骤中通过管理IP和接口配置账号抓取防火墙对应的网段信息。
在一些实际的应用中,防火墙数据库中的多个表项信息中,至少包括路由表项,路由表项包含与防火墙对应的网段信息的路由关系,网段信息是由多个连续的IP地址组成的一个区间,从而根据防火墙数据库中能够路由表项能够建立IP地址与防火墙之间的对应关系。
在一些实施例中,为了使防火墙数据库中的数据能够持续保持准确,所述方法还包括按照一定时间间隔定时获取防火墙对应的网段信息,以对数据库中的数据进行定时更新,具体包括:基于预设时间间隔根据所述防火墙的标识信息启动收集任务,收集各个防火墙对应的网段信息,以对防火墙对应的路由表项进行更新。本实施例中,时间间隔可以根据技术人员的经验进行设定,示例性的,时间间隔可以设置为10分钟,即,每隔十分钟启动收集任务,收集各个防火墙对应的网段信息。在一些具体的实施中,为了增加网络的安全性,在不同的安全区域会布置不同品牌的防火墙,而每个品牌的厂商提供的防火墙会有不同的配置方法。因此,本实施例中,启动收集任务后,在获取防火墙对应的网段信息时,需根据防火墙的品牌等标识信息确定对应的接口配置账号。示例性的,根据防火墙的品牌信息确定该防火墙的接口为API接口、或NETCONF接口、或是SMNP接口等中的一个时,则可以登录该防火墙的管理IP,利用确定的接口配置账号通过该接口获取相关网段信息,以对该防火墙数据库的数据进行更新。同时,考虑到不同品牌的防火墙厂商在设置防火墙相关信息时,其采用的字段有可能不同,因此,需根据不同品牌的防火墙厂商所采用的字段信息设置相应的摸板,以对不同品牌的防火墙通过相应的摸板进行网段信息对应字段的提取。
在一些具体实施中,可以在获取相关网段信息后,利用路由选路的算法规则进行去重,例如根据通信质量或用户的需求指令或投递成功率等规则进行去重,过滤得到所需的网段信息,避免生成无效的防火墙策略。
在一些实施例中,所述方法还包括:在采集所述防火墙策略中IP地址与防火墙的对应关系的过程中,所述学习表项通过记录相应的采集时间,生成相应的时间戳。本实施例旨在对学习表项中记录的数据通过时间戳来增加有效性。本实施例中,考虑到服务器的本地时间是可以根据管理人员的调整而改变的,因而,学习表项所记录的数据的采集时间有可能是不可靠的,为此,在学习表项采集防火墙策略中IP地址与防火墙的对应关系后,通过服务器的通讯装置统一基于采集时间进行校准后分配对应的时间戳。示例性的,可以参考图3中所示,图3中防火墙1所在的表格中,时间所在的一列即对应于学习表项对该IP地址和防火墙的对应关系的采集时间,时间戳所在的一列为服务器基于采集时间进行校准后所分配的时间戳,由此,能够增加学习表项中的所采集的数据的有效性,进一步提高基于采样区间确定目标防火墙的正确率。
第二方面,本申请实施例还提供了一种处理装置,如图6所示,包括:
获取模块10,配置为获取访问请求,根据所述访问请求确定各个目标IP地址;其中,所述目标IP地址至少包括源IP地址和目的IP地址;
生成模块20,配置为根据所述目标IP地址从防火墙数据库中确定出所述源IP地址和所述目的IP地址之间通信时需要通过的目标防火墙,根据所述目标防火墙生成与所述访问请求对应的防火墙策略;其中,所述防火墙数据库中至少包括部分目标IP地址与防火墙的对应关系;
其中,若存在与所述目标IP地址对应的多个防火墙,则根据所述目标IP地址基于学习表项获取所述多个防火墙的评价表征,根据所述评价表征从所述多个防火墙中确定所述目标防火墙;其中,所述学习表项通过采集所述防火墙策略中IP地址与防火墙的对应关系生成。
本申请实施例中的所述处理装置,通过其配置的获取模块10和生成模块20,能够实现本申请任意实施例提供的处理方法的步骤,本实施例在此不再赘述。
第三方面,本申请实施例还提供了一种电子设备,至少包括存储器501、处理器502和总线(未图示),其中,该电子设备的结构示意图可以如图7所示,存储器501存储有处理器502可执行的机器可读指令,当电子设备运行时,处理器502与存储器501之间通过总线通信,所述机器可读指令被所述处理器执行时执行本申请任意实施例提供的处理方法的步骤。
由于本申请实施例所介绍的电子设备,为设置有实施本申请实施例所公开的处理方法的存储器的电子设备,故而基于本申请实施例所介绍的处理方法,本领域所属技术人员能够了解本申请实施例所介绍的电子设备的结构及变形,故而在此不再赘述。
附图中的流程图和框图,图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本邻域技术人员应当理解,本申请中所涉及的公开范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述公开构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
此外,虽然采用特定次序描绘了各操作,但是这不应当理解为要求这些操作以所示出的特定次序或以顺序次序执行来执行。在一定环境下,多任务和并行处理可能是有利的。同样地,虽然在上面论述中包含了若干具体实现细节,但是这些不应当被解释为对本申请的范围的限制。在单独的实施例的上下文中描述的某些特征还可以组合地实现在单个实施例中。相反地,在单个实施例的上下文中描述的各种特征也可以单独地或以任何合适的子组合的方式实现在多个实施例中。
尽管已经采用特定于结构特征和/或方法逻辑动作的语言描述了本主题,但是应当理解所附权利要求书中所限定的主题未必局限于上面描述的特定特征或动作。相反,上面所描述的特定特征和动作仅仅是实现权利要求书的示例形式。
以上实施例仅为本申请的示例性实施例,不用于限制本申请,本申请的保护范围由权利要求书限定。本领域技术人员可以在本申请的实质和保护范围内,对本申请做出各种修改或等同替换,这种修改或等同替换也应视为落在本申请的保护范围内。
Claims (10)
1.一种处理方法,其中,包括:
获取访问请求,根据所述访问请求确定各个目标IP地址;其中,所述目标IP地址至少包括源IP地址和目的IP地址;
根据所述目标IP地址从防火墙数据库中确定出对应的目标防火墙,根据所述目标防火墙生成与所述访问请求对应的防火墙策略;其中,所述防火墙数据库中至少包括部分目标IP地址与防火墙的对应关系;
其中,若存在与所述目标IP地址对应的多个防火墙,则根据所述目标IP地址基于学习表项获取所述多个防火墙的评价表征,根据所述评价表征从所述多个防火墙中确定所述目标防火墙;其中,所述学习表项通过采集所述防火墙策略中IP地址与防火墙的对应关系生成。
2.根据权利要求1所述的方法,其中,根据所述目标IP地址基于学习表项确定所述多个防火墙的评价表征,包括:
基于第一采样区间从所述学习表项中获取与所述目标IP地址及对应的子网段IP地址关联的数据样本;
基于所述数据样本获取各个防火墙相应的所述目标IP地址及对应的子网段IP地址的特征参数,基于所述特征参数利用预设算法计算所述多个防火墙的概率表征,以获取所述评价表征。
3.根据权利要求2所述的方法,其中,所述特征参数至少包括所述目标IP地址或对应的子网段IP地址在采样区间出现的频率、各IP地址的掩码。
4.根据权利要求1所述的方法,其中,还包括:
针对所述多个防火墙中的每个防火墙获取预设时间间隔获取第二采样区间内的多个评价表征,根据所述多个评价表征获取每个防火墙在第二采样区间内的变化趋势;
若所述变化趋势随时间增加呈现增加趋势时,则确定对应的防火墙为目标防火墙。
5.根据权利要求4所述的方法,其中,还包括:
若存在与所述源IP地址和所述目的IP地址各自对应的目标防火墙呈同步增加趋势的其他防火墙,则确定该其他防火墙为所述源IP地址和所述目的IP地址之间通信时需要通过的所述目标防火墙。
6.根据权利要求1所述的方法,其中,所述防火墙数据库的生成方式包括:
获取防火墙的标识信息;
根据防火墙的标识信息确定各个防火墙对应的特征信息,以构建对应的表项信息;其中,所述表项信息至少包括路由表项,以根据所述路由表项获取网段信息,从而根据各个防火墙及对应的网段信息建立IP地址与防火墙的对应关系。
7.根据权利要求6所述的方法,其中,还包括:
基于预设时间间隔根据所述防火墙的标识信息启动收集任务,收集各个防火墙对应的网段信息,以对防火墙对应的路由表项进行更新。
8.根据权利要求1-7中任一项所述的方法,其中,还包括:在采集所述防火墙策略中IP地址与防火墙的对应关系的过程中,所述学习表项通过记录相应的采集时间,生成相应的时间戳。
9.一种处理装置,其中,包括:
获取模块,配置为获取访问请求,根据所述访问请求确定各个目标IP地址;其中,所述目标IP地址至少包括源IP地址和目的IP地址;
生成模块,配置为根据所述目标IP地址从防火墙数据库中确定出所述源IP地址和所述目的IP地址之间通信时需要通过的目标防火墙,根据所述目标防火墙生成与所述访问请求对应的防火墙策略;其中,所述防火墙数据库中至少包括部分目标IP地址与防火墙的对应关系;
其中,若存在与所述目标IP地址对应的多个防火墙,则根据所述目标IP地址基于学习表项获取所述多个防火墙的评价表征,根据所述评价表征从所述多个防火墙中确定所述目标防火墙;其中,所述学习表项通过采集所述防火墙策略中IP地址与防火墙的对应关系生成。
10.一种电子设备,至少包括存储器、处理器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时,执行如权利要求1至8中任一项所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210319679.5A CN114640532B (zh) | 2022-03-29 | 2022-03-29 | 一种处理方法、装置及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210319679.5A CN114640532B (zh) | 2022-03-29 | 2022-03-29 | 一种处理方法、装置及电子设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114640532A CN114640532A (zh) | 2022-06-17 |
CN114640532B true CN114640532B (zh) | 2023-03-24 |
Family
ID=81951938
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210319679.5A Active CN114640532B (zh) | 2022-03-29 | 2022-03-29 | 一种处理方法、装置及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114640532B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117097565B (zh) * | 2023-10-18 | 2023-12-29 | 山东源鲁信息科技有限公司 | 一种基于业务系统构造策略模型的方法 |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101714997A (zh) * | 2010-01-15 | 2010-05-26 | 中国工商银行股份有限公司 | 防火墙策略生成方法、装置及系统 |
US8316435B1 (en) * | 2008-08-14 | 2012-11-20 | Juniper Networks, Inc. | Routing device having integrated MPLS-aware firewall with virtual security system support |
CN104580078A (zh) * | 2013-10-15 | 2015-04-29 | 北京神州泰岳软件股份有限公司 | 一种网络访问控制方法和系统 |
CN105978881A (zh) * | 2016-05-13 | 2016-09-28 | 上海携程商务有限公司 | ip地址所经过的防火墙的查询方法及系统 |
CN107579963A (zh) * | 2017-08-24 | 2018-01-12 | 南京南瑞集团公司 | 一种高性能的防火墙集群 |
CN111193744A (zh) * | 2019-12-31 | 2020-05-22 | 中信百信银行股份有限公司 | 防火墙策略查询、弹性伸缩方法及系统、设备、存储介质 |
WO2020140153A1 (en) * | 2019-01-04 | 2020-07-09 | Cybernetiq, Inc. | Visualizing firewall-permitted network paths for assessing security of network configuration |
CN111835794A (zh) * | 2020-09-17 | 2020-10-27 | 腾讯科技(深圳)有限公司 | 防火墙策略控制方法、装置、电子设备及存储介质 |
CN112866214A (zh) * | 2021-01-04 | 2021-05-28 | 广州品唯软件有限公司 | 防火墙策略下发方法、装置、计算机设备和存储介质 |
CN113542263A (zh) * | 2021-07-13 | 2021-10-22 | 中国工商银行股份有限公司 | 防火墙策略迁移方法及装置 |
CN113810429A (zh) * | 2021-11-16 | 2021-12-17 | 北京安博通科技股份有限公司 | 一种自动化策略开通的方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10341296B2 (en) * | 2013-09-13 | 2019-07-02 | Vmware, Inc. | Firewall configured with dynamic collaboration from network services in a virtual network environment |
US10645122B2 (en) * | 2018-05-22 | 2020-05-05 | Appviewx Inc. | System for monitoring and managing firewall devices and firewall management platforms |
-
2022
- 2022-03-29 CN CN202210319679.5A patent/CN114640532B/zh active Active
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8316435B1 (en) * | 2008-08-14 | 2012-11-20 | Juniper Networks, Inc. | Routing device having integrated MPLS-aware firewall with virtual security system support |
CN101714997A (zh) * | 2010-01-15 | 2010-05-26 | 中国工商银行股份有限公司 | 防火墙策略生成方法、装置及系统 |
CN104580078A (zh) * | 2013-10-15 | 2015-04-29 | 北京神州泰岳软件股份有限公司 | 一种网络访问控制方法和系统 |
CN105978881A (zh) * | 2016-05-13 | 2016-09-28 | 上海携程商务有限公司 | ip地址所经过的防火墙的查询方法及系统 |
CN107579963A (zh) * | 2017-08-24 | 2018-01-12 | 南京南瑞集团公司 | 一种高性能的防火墙集群 |
WO2020140153A1 (en) * | 2019-01-04 | 2020-07-09 | Cybernetiq, Inc. | Visualizing firewall-permitted network paths for assessing security of network configuration |
CN111193744A (zh) * | 2019-12-31 | 2020-05-22 | 中信百信银行股份有限公司 | 防火墙策略查询、弹性伸缩方法及系统、设备、存储介质 |
CN111835794A (zh) * | 2020-09-17 | 2020-10-27 | 腾讯科技(深圳)有限公司 | 防火墙策略控制方法、装置、电子设备及存储介质 |
CN112866214A (zh) * | 2021-01-04 | 2021-05-28 | 广州品唯软件有限公司 | 防火墙策略下发方法、装置、计算机设备和存储介质 |
CN113542263A (zh) * | 2021-07-13 | 2021-10-22 | 中国工商银行股份有限公司 | 防火墙策略迁移方法及装置 |
CN113810429A (zh) * | 2021-11-16 | 2021-12-17 | 北京安博通科技股份有限公司 | 一种自动化策略开通的方法 |
Non-Patent Citations (2)
Title |
---|
防火墙在传输网络中的吞吐量与管理问题及解决方案;段海新等;《计算机工程与应用》;20001109(第11期);全文 * |
防火墙规则的动态分配和散列表匹配算法;段海新等;《清华大学学报(自然科学版)》;20010130(第01期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN114640532A (zh) | 2022-06-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110719568B (zh) | 一种室内定位方法、装置、介质以及设备 | |
EP2336890A1 (en) | Root cause analysis method targeting information technology (it) device not to acquire event information, device and program | |
CN114640532B (zh) | 一种处理方法、装置及电子设备 | |
US20030120760A1 (en) | Method and apparatus for detecting changes to network elements | |
EP3067815A1 (en) | Access relationships in a computer system | |
CN110071829A (zh) | Dns隧道检测方法、装置及计算机可读存储介质 | |
CN110324327B (zh) | 基于特定企业域名数据的用户及服务器ip地址标定装置及方法 | |
CN111193744A (zh) | 防火墙策略查询、弹性伸缩方法及系统、设备、存储介质 | |
CN110062380A (zh) | 一种移动应用系统的连接访问请求安全检测方法 | |
CN111444075B (zh) | 一种自动发现关键影响力指标的方法 | |
CN109446791A (zh) | 新设备识别方法、装置、服务器及计算机可读存储介质 | |
CN111031025B (zh) | 一种自动化检测验证Webshell的方法及装置 | |
CN111355740A (zh) | 一种快速便捷检测防火墙配置的方法 | |
US7730170B2 (en) | Method and system for identifying network connected devices such as personal computers | |
CN116938683B (zh) | 一种基于网络安全异常检测的网络路径分析系统及方法 | |
JP5436309B2 (ja) | データ処理装置及びデータ処理方法及びプログラム | |
CN111414528A (zh) | 确定设备标识的方法、装置、存储介质及电子设备 | |
CN110602070A (zh) | 一种网络安全的自动配置管理系统及方法 | |
US11606271B2 (en) | Network directionality mapping system | |
CN114168166B (zh) | 一种室内智能无线接入设备的安装配置方法及系统 | |
CN113992507B (zh) | 确定缺省参数值的方法、装置、服务器及存储介质 | |
CN111142095B (zh) | 一种室内定位系统、方法和装置 | |
US7016808B2 (en) | Analyzing and servicing imaging devices | |
CN109688236A (zh) | Sinkhole域名处理方法及服务器 | |
CN110995465B (zh) | 信通点位全景视图信息运维方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |