CN115001964A - 一种管理防火墙的方法和装置 - Google Patents
一种管理防火墙的方法和装置 Download PDFInfo
- Publication number
- CN115001964A CN115001964A CN202210546619.7A CN202210546619A CN115001964A CN 115001964 A CN115001964 A CN 115001964A CN 202210546619 A CN202210546619 A CN 202210546619A CN 115001964 A CN115001964 A CN 115001964A
- Authority
- CN
- China
- Prior art keywords
- firewall
- access
- control matrix
- service access
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 58
- 239000011159 matrix material Substances 0.000 claims abstract description 92
- 238000013515 script Methods 0.000 claims abstract description 66
- 238000004590 computer program Methods 0.000 claims description 18
- 230000008569 process Effects 0.000 claims description 15
- 238000003860 storage Methods 0.000 claims description 14
- 238000012423 maintenance Methods 0.000 abstract description 12
- 238000010586 diagram Methods 0.000 description 15
- 238000007726 management method Methods 0.000 description 9
- 238000004364 calculation method Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 5
- 101100206192 Arabidopsis thaliana TCP22 gene Proteins 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 4
- 230000006978 adaptation Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 4
- 238000007667 floating Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 3
- 238000010276 construction Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000011981 development test Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0876—Aspects of the degree of configuration automation
- H04L41/0886—Fully automatic configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种管理防火墙的方法和装置,涉及网络安全技术领域。该方法的具体实施方式包括:根据第一访问关系控制矩阵和业务访问申请的源地址、目的地址和端口信息,判断所述业务访问申请是否符合安全规范;若是,则根据第二访问关系控制矩阵和所述业务访问申请的源地址和目的地址,确定所述业务访问申请所要经过的防火墙以及对应的安全域;根据所述业务访问申请的源地址、目的地址、端口、所要经过的防火墙以及对应的安全域信息,生成防火墙配置脚本。该实施方式能够解决策略配置工作量大、繁琐和维护成本高的技术问题。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种管理防火墙的方法和装置。
背景技术
随着目前大型金融机构基础设施转向多活数据中心建设、业务的敏捷开发上线,无论在数据中心建设、业务上线时都面临大量防火墙策略的开通,数据中心内各业务区、功能区之间均要求部署防火墙,同时为满足相关安全要求,防火墙往往使用不同品牌、不同架构进行部署。
现有防火墙访问策略开通通常使用人工配置,这种方式存在以下技术问题:
一、开通防火墙策略配置工作量大,策略开通时间长,影响开发测试及生产上线效率;二、网络规模逐渐扩大,随着多活数据中心逐步上线,不同数据中心间应用需要互访,策略开通需求大幅增加;三、防火墙配置操作不统一,不同运维人员容易根据个人习惯进行配置,不易标准化;四、策略开通往往需要经过多组防火墙,逐台登录设备进行配置,策略配置繁琐,人工配置容易出现配置错误及漏配情况;五、防火墙种类、版本及部署方式多样,配置方式差异大,维护成本高。
发明内容
有鉴于此,本发明实施例提供一种管理防火墙的方法和装置,以解决策略配置工作量大、繁琐和维护成本高的技术问题。
为实现上述目的,根据本发明实施例的一个方面,提供了一种管理防火墙的方法,包括:
根据第一访问关系控制矩阵和业务访问申请的源地址、目的地址和端口信息,判断所述业务访问申请是否符合安全规范;
若是,则根据第二访问关系控制矩阵和所述业务访问申请的源地址和目的地址,确定所述业务访问申请所要经过的防火墙以及对应的安全域;
根据所述业务访问申请的源地址、目的地址、端口、所要经过的防火墙以及对应的安全域信息,生成防火墙配置脚本;
其中,所述第一访问关系控制矩阵和所述第二访问关系控制矩阵中的行表示源地址集合,列表示目的地址集合,所述第一访问关系控制矩阵中的元素表示各个地址集合之间互访需要满足的安全规则,所述第二访问关系控制矩阵中的元素表示各个地址集合之间互访对应的防火墙和安全域信息。
可选地,根据第一访问关系控制矩阵和业务访问申请的源地址、目的地址和端口信息,判断所述业务访问申请是否符合安全规范,包括:
将业务访问申请的源地址和目的地址分别在第一访问关系控制矩阵的行和列中进行逐一匹配,从而在所述第一访问关系控制矩阵中定位出第一目标元素;
根据所述第一目标元素对应的各个地址集合之间互访需要满足的安全规则,判断所述业务访问申请是否符合安全规范。
可选地,所述安全规则包括禁止访问、禁止部分端口访问、允许访问或者允许部分端口访问。
可选地,根据第二访问关系控制矩阵和所述业务访问申请的源地址和目的地址,确定所述业务访问申请所要经过的防火墙以及对应的安全域,包括:
将所述业务访问申请的源地址和目的地址分别在第二访问关系控制矩阵的行和列中进行逐一匹配,从而在所述第二访问关系控制矩阵中定位出第二目标元素;
根据所述第二目标元素对应的防火墙和安全域信息,确定所述业务访问申请所要经过的防火墙以及对应的安全域。
可选地,所述防火墙和安全域信息包括不经过防火墙、经过一组防火墙以及对应的安全域或者经过多组防火墙以及对应的安全域。
可选地,根据所述业务访问申请的源地址、目的地址、端口、所要经过的防火墙以及对应的安全域信息,生成防火墙配置脚本,包括:
根据所述业务访问申请的源地址、目的地址、端口、所要经过的防火墙以及对应的安全域信息,并采用所述防火墙对应的脚本生成器,生成防火墙配置脚本;其中,所述脚本生成器中内置有配置基线。
可选地,根据所述业务访问申请的源地址、目的地址、端口、所要经过的防火墙以及对应的安全域信息,生成防火墙配置脚本之后,还包括:
将所述防火墙配置脚本推送至所要经过的防火墙,以使所述防火墙执行所述防火墙配置脚本;
接收所述防火墙返回的执行过程和执行结果。
另外,根据本发明实施例的另一个方面,提供了一种管理防火墙的装置,包括:
管理模块,用于根据第一访问关系控制矩阵和业务访问申请的源地址、目的地址和端口信息,判断所述业务访问申请是否符合安全规范;若是,则根据第二访问关系控制矩阵和所述业务访问申请的源地址和目的地址,确定所述业务访问申请所要经过的防火墙以及对应的安全域;
生成模块,用于根据所述业务访问申请的源地址、目的地址、端口、所要经过的防火墙以及对应的安全域信息,生成防火墙配置脚本;
其中,所述第一访问关系控制矩阵和所述第二访问关系控制矩阵中的行表示源地址集合,列表示目的地址集合,所述第一访问关系控制矩阵中的元素表示各个地址集合之间互访需要满足的安全规则,所述第二访问关系控制矩阵中的元素表示各个地址集合之间互访对应的防火墙和安全域信息。
可选地,所述管理模块还用于:
将业务访问申请的源地址和目的地址分别在第一访问关系控制矩阵的行和列中进行逐一匹配,从而在所述第一访问关系控制矩阵中定位出第一目标元素;
根据所述第一目标元素对应的各个地址集合之间互访需要满足的安全规则,判断所述业务访问申请是否符合安全规范。
可选地,所述安全规则包括禁止访问、禁止部分端口访问、允许访问或者允许部分端口访问。
可选地,所述管理模块还用于:
将所述业务访问申请的源地址和目的地址分别在第二访问关系控制矩阵的行和列中进行逐一匹配,从而在所述第二访问关系控制矩阵中定位出第二目标元素;
根据所述第二目标元素对应的防火墙和安全域信息,确定所述业务访问申请所要经过的防火墙以及对应的安全域。
可选地,所述防火墙和安全域信息包括不经过防火墙、经过一组防火墙以及对应的安全域或者经过多组防火墙以及对应的安全域。
可选地,所述生成模块还用于:
根据所述业务访问申请的源地址、目的地址、端口、所要经过的防火墙以及对应的安全域信息,并采用所述防火墙对应的脚本生成器,生成防火墙配置脚本;其中,所述脚本生成器中内置有配置基线。
可选地,还包括推送模块,用于:
将所述防火墙配置脚本推送至所要经过的防火墙,以使所述防火墙执行所述防火墙配置脚本;
接收所述防火墙返回的执行过程和执行结果。
根据本发明实施例的另一个方面,还提供了一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行时,所述一个或多个处理器实现上述任一实施例所述的方法。
根据本发明实施例的另一个方面,还提供了一种计算机可读介质,其上存储有计算机程序,所述程序被处理器执行时实现上述任一实施例所述的方法。
根据本发明实施例的另一个方面,还提供了一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现上述任一实施例所述的方法。
上述发明中的一个实施例具有如下优点或有益效果:因为采用基于访问关系控制矩阵判断业务访问申请是否符合安全规范、确定业务访问申请所要经过的防火墙以及对应的安全域,从而根据业务访问申请的源地址、目的地址、端口、所要经过的防火墙以及对应的安全域信息生成防火墙配置脚本的技术手段,所以克服了现有技术中策略配置工作量大、繁琐和维护成本高的技术问题。本发明实施例具有以下有益效果:一、可以脱离网络物理及逻辑拓扑,可屏蔽策略路由、浮动路由及虚拟化技术对转发路径计算的影响,支持复杂网络拓扑,可拓展性及灵活度高;二、实现逻辑简单,无需适配,开箱即用,占用资源少;三、安全风险低,无需对全网相关信息进行收集,可离线使用;四、显式确认业务开通所要配置的防火墙及安全域信息,无需实时计算,速度快,准确度高。
上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。其中:
图1是根据本发明实施例的管理防火墙的方法的主要流程的示意图;
图2是根据本发明实施例的第一访问关系控制矩阵的示意图;
图3是根据本发明实施例的第二访问关系控制矩阵的示意图;
图4是根据本发明一个可参考实施例的管理防火墙的方法的主要流程的示意图;
图5是根据本发明实施例的业务地址A访问业务地址B的SSH服务的示意图;
图6是根据本发明实施例的管理防火墙的装置的主要模块的示意图;
图7是适于用来实现本发明实施例的终端设备或服务器的计算机系统的结构示意图。
具体实施方式
以下结合附图对本发明的示范性实施例做出说明,其中包括本发明实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本发明的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
现有的防火墙策略自动开通方法往往使用基于全局网络拓扑结构、防火墙会话日志、防火墙及三层设备路由表进行访问路径画像,确认业务访问需求所要经过的防火墙以及对应的安全域。但是这种方式存在以下缺点:
一、需要与网络设备建立连接获取相关信息,存在安全及数据泄露风险;二、对现网中采用的策略路由、虚拟化技术(SDN网络、虚拟防火墙及VPN隔离)及部署方式(串联、旁挂)等场景需要做大量适配,无法做到开箱即用;三、工具需要收集大量信息进行计算,实现逻辑复杂,占用资源多,计算时间长,且容易出错;四、计算路径建立在实时更新信息的基础上,如存在多活数据中心、主备路由、浮动路由等涉及多条路径情况,易造成冗余路径上部署的防火墙策略漏配。
为解决人工配置防火墙策略及现有防火墙策略自动化开通方法使用基于全局网络拓扑结构、防火墙会话日志、防火墙及三层设备路由表进行访问路径画像存在的不足之处,本发明实施例提供了一种基于访问关系控制矩阵的自动化管理防火墙的方法。
图1是根据本发明实施例的管理防火墙的方法的主要流程的示意图。作为本发明的一个实施例,如图1所示,所述管理防火墙的方法可以包括:
步骤101,根据第一访问关系控制矩阵和业务访问申请的源地址、目的地址和端口信息,判断所述业务访问申请是否符合安全规范;若是,则执行步骤102;若否,则结束。
在该步骤中,首先获取业务访问申请的源地址、目的地址和端口信息,并进行输入格式合规性检查,以判断输入的源地址、目的地址及端口信息格式是否符合规范。如果地址和端口信息的填写格式不符合规范,则会发出相应提示后终止操作。如果地址和端口信息的填写格式符合规范,则根据第一访问关系控制矩阵和业务访问申请的源地址、目的地址和端口信息,判断所述业务访问申请是否符合安全规范;其中,所述第一访问关系控制矩阵中的行表示源地址地址集合,列表示目的地址集合,所述第一访问关系控制矩阵中的元素表示各个地址集合之间互访需要满足的安全规则。
可选地,所述安全规则包括禁止访问、禁止部分端口访问、允许访问或者允许部分端口访问。例如,第一访问关系控制矩阵如图2所示,示例性地,禁止访问UDP:53表示禁止部分端口访问,允许访问UDP:53和允许访问TCP:22表示允许部分端口访问。
具体地,对于业务访问申请的源地址、目的地址和端口信息进行第一访问关系控制矩阵匹配,判断业务访问申请是否符合安全规范,如果符合规范,则执行步骤102;如果不符合规范,则发出相应提示后终止操作。
可选地,步骤101可以包括:将业务访问申请的源地址和目的地址分别在第一访问关系控制矩阵的行和列中进行逐一匹配,从而在所述第一访问关系控制矩阵中定位出第一目标元素;根据所述第一目标元素对应的各个地址集合之间互访需要满足的安全规则,判断所述业务访问申请是否符合安全规范。如图2所示,对于不同地址集合之间的访问,矩阵内的行和列(地址集合X,地址集合Y)显式记录了是否可以互访,各个元素中记录的安全规则包括但不限于以下场景:禁止访问、禁止部分端口访问、允许访问和允许部分端口访问。如果根据业务访问申请的源地址和目的地址能够在第一访问关系控制矩阵内匹配到地址集合,则根据行和列对应的元素确定安全规则;如果根据业务访问申请的源地址和目的地址不在第一访问关系控制矩阵内的任何地址集合内,则发出相应提示后终止操作。
步骤102,根据第二访问关系控制矩阵和所述业务访问申请的源地址和目的地址,确定所述业务访问申请所要经过的防火墙以及对应的安全域。
如果业务访问申请符合安全规范,则根据第二访问关系控制矩阵和所述业务访问申请的源地址和目的地址,确定所述业务访问申请所要经过的防火墙以及对应的安全域。其中,所述第二访问关系控制矩阵中的元素表示各个地址集合之间互访对应的防火墙和安全域信息。
可选地,所述防火墙和安全域信息包括不经过防火墙、经过一组防火墙以及对应的安全域或者经过多组防火墙以及对应的安全域。例如,第二访问关系控制矩阵如图3所示,示例性地,防火墙A:源安全域ZONE1,目的安全域ZONE2表示经过一组防火墙以及对应的安全域,防火墙A:源安全域ZONE1,目的安全域ZONE5和防火墙B:源安全域ZONE3,目的安全域ZONE4表示经过多组防火墙以及对应的安全域。
可选地,步骤102可以包括:将所述业务访问申请的源地址和目的地址分别在第二访问关系控制矩阵的行和列中进行逐一匹配,从而在所述第二访问关系控制矩阵中定位出第二目标元素;根据所述第二目标元素对应的防火墙和安全域信息,确定所述业务访问申请所要经过的防火墙以及对应的安全域。如图3所示,对于不同地址集合之间的访问,矩阵内的行和列(地址集合X,地址集合Y)显式记录了防火墙和安全域信息,各个元素中记录的防火墙和安全域信息包括但不限于以下场景:不经过防火墙无需开通、经过一组防火墙和经过多组防火墙。对于业务访问申请的源地址和目的地址进行第二访问关系控制矩阵匹配,确定业务访问申请所要经过的防火墙以及对应的安全域。如果根据业务访问申请的源地址和目的地址能够在第二访问关系控制矩阵内匹配到地址集合,则根据行和列对应的元素确定业务访问申请所要经过的防火墙以及对应的安全域;如果根据业务访问申请的源地址和目的地址不在第二访问关系控制矩阵内的任何地址集合内,则发出相应提示后终止操作。
步骤103,根据所述业务访问申请的源地址、目的地址、端口、所要经过的防火墙以及对应的安全域信息,生成防火墙配置脚本。
由于每个防火墙的品牌可能不同,因此在生成防火墙配置脚本时,针对各个防火墙对应的配置基线,并根据业务访问申请的源地址、目的地址、端口、所要经过的防火墙以及对应的安全域信息,分别生成各个防火墙对应的防火墙配置脚本。
可选地,步骤103可以包括:根据所述业务访问申请的源地址、目的地址、端口、所要经过的防火墙以及对应的安全域信息,并采用所述防火墙对应的脚本生成器,生成防火墙配置脚本;其中,所述脚本生成器中内置有配置基线。由于不同品牌的防火墙的安全策略配置脚本在描述方式上存在差别,故预先设定各个品牌的防火墙对应的脚本生成器。然后根据业务访问申请的源地址、目的地址、端口、所要经过的防火墙以及对应的安全域信息通过对应脚本生成器生成防火墙配置脚本。
需要指出的是,由于不同品牌的防火墙的配置标准不同,因此不同品牌的防火墙对应的脚本生成器中内置的配置基线也会不同,采用防火墙对应的脚本生成器来生成配置脚本,可以保证防火墙能够顺利执行配置脚本。
可选地,在步骤103之后,还包括:将所述防火墙配置脚本推送至所要经过的防火墙,以使所述防火墙执行所述防火墙配置脚本;接收所述防火墙返回的执行过程和执行结果。将自动生成的防火墙配置脚本推送给的运维人员,由运维人员确认后,自动将防火墙配置脚本推送至相应防火墙。在推送过程中,实时显示配置脚本执行过程和执行结果,并将以上信息记录至文件保存。下发完成后,提示配置脚本推送成功。如出现异常,则发出相应提示后终止操作,异常信息包括但不限于防火墙设备不可达及设备登录认证失败。
根据上面所述的各种实施例,可以看出本发明实施例通过基于访问关系控制矩阵判断业务访问申请是否符合安全规范、确定业务访问申请所要经过的防火墙以及对应的安全域,从而根据业务访问申请的源地址、目的地址、端口、所要经过的防火墙以及对应的安全域信息生成防火墙配置脚本的技术手段,解决了现有技术中策略配置工作量大、繁琐和维护成本高的技术问题。本发明实施例具有以下有益效果:一、可以脱离网络物理及逻辑拓扑,可屏蔽策略路由、浮动路由及虚拟化技术对转发路径计算的影响,支持复杂网络拓扑,可拓展性及灵活度高;二、实现逻辑简单,无需适配,开箱即用,占用资源少;三、安全风险低,无需对全网相关信息进行收集,可离线使用;四、显式确认业务开通所要配置的防火墙及安全域信息,无需实时计算,速度快,准确度高。
图4是根据本发明一个可参考实施例的管理防火墙的方法的主要流程的示意图。以业务地址A(即源地址A)需要访问业务地址B(即目的地址B)的SSH服务(即TCP22端口)为例,详细描述本技术方案的实施过程来便于理解本技术方案的内容。如图4所示,包括以下步骤:
步骤401,判断业务访问申请的源地址、目的地址和端口信息是否符合格式规范;若是,则执行步骤402;若否,则结束。
首先,获取源地址A、目的地址B及目的端口TCP 22输入,根据IP地址及端口输入标准格式进行检查,确认输入格式是否符合标准。
在实际中,分析结果有如下几种:
源地址A格式不符合标准;
目的地址B格式不符合标准;
目的端口格式不符合标准;
源地址A、目的地址B及目的端口格式符合标准。
步骤402,根据第一访问关系控制矩阵和业务访问申请的源地址、目的地址和端口信息,判断所述业务访问申请是否符合安全规范;若是,则执行步骤403;若否,则结束。
如图2所示,将源地址A在第一访问关系控制矩阵中“行”进行逐一匹配,目的地址B在第一访问关系控制矩阵中“列”进行逐一匹配,源地址A和目的地址B在第一访问关系控制矩阵匹配后,根据矩阵(地址集合X,地址集合Y)中的元素判断源地址A和目的地址B之间的访问需求是否符合安全规范。
在实际中,分析结果有如下几种:
源地址A允许访问目的地址B的TCP22端口;
源地址A禁止访问目的地址B的TCP22端口;
源地址A或目的地址B不在任何地址集合内。
步骤403,根据第二访问关系控制矩阵和所述业务访问申请的源地址和目的地址,确定所述业务访问申请所要经过的防火墙以及对应的安全域。
如图3所示,将源地址A在第二访问关系控制矩阵中“行”进行逐一匹配,目的地址B在第二访问关系控制矩阵中“列”进行逐一匹配,源地址A和目的地址B在第二访问关系控制矩阵匹配后,根据矩阵(地址集合X,地址集合Y)中的元素判断源地址A和目的地址B之间的访问需求需要经过的防火墙及对应的安全域。
假设源地址A与地址集合A匹配,目的地址B与地址集合B匹配,那么对应的元素为防火墙A:源安全域ZONE1,目的安全域ZONE2;防火墙B:源安全域ZONE1,目的安全域ZONE2;防火墙C:源安全域ZONE3,目的安全域ZONE4。如图5所示,源地址A访问目的地址B存在有两条路径,路径1经过防火墙A,路径2经过防火墙B、广域网和防火墙C。以上,根据第二访问关系控制矩阵,可最终确认防火墙A、防火墙B、防火墙C以及对应的安全域。
在实际中,分析结果有如下几种:
源地址A和目的地址B之间需要经过的防火墙及对应安全域;
源地址A和目的地址B之间不需要经过防火墙,无需开通;
源地址A或目的地址B不在任何网段集合内。
步骤404,所述业务访问申请的源地址、目的地址、端口、所要经过的防火墙以及对应的安全域信息,并采用所述防火墙对应的脚本生成器,生成防火墙配置脚本;其中,所述脚本生成器中内置有配置基线。
使用预先设定的各个品牌的防火墙对应的脚本生成器,根据最终确认防火墙A、防火墙B、防火墙C以及对应的安全域,分别生成防火墙A、防火墙B和防火墙C的配置脚本。
步骤405,将所述防火墙配置脚本推送至所要经过的防火墙,以使所述防火墙执行所述防火墙配置脚本;接收所述防火墙返回的执行过程和执行结果。
将自动生成的防火墙配置脚本推送给的运维人员,由运维人员确认后,自动将防火墙配置脚本推送至防火墙A、防火墙B及防火墙C。在推送过程中,实时显示配置脚本执行过程和执行结果,并将以上信息记录至文件保存。
在实际中,执行结果有如下几种:
防火墙配置脚本推送成功;
出现异常,发出相应提示后终止操作,异常信息包括但不限于防火墙设备不可达及设备登录认证失败。
另外,在本发明一个可参考实施例中管理防火墙的方法的具体实施内容,在上面所述管理防火墙的方法中已经详细说明了,故在此重复内容不再说明。
图6是根据本发明实施例的管理防火墙的装置的主要模块的示意图。如图6所示,所述管理防火墙的装置600包括管理模块601和生成模块602;其中,管理模块601用于根据第一访问关系控制矩阵和业务访问申请的源地址、目的地址和端口信息,判断所述业务访问申请是否符合安全规范;若是,则根据第二访问关系控制矩阵和所述业务访问申请的源地址和目的地址,确定所述业务访问申请所要经过的防火墙以及对应的安全域;生成模块602用于根据所述业务访问申请的源地址、目的地址、端口、所要经过的防火墙以及对应的安全域信息,生成防火墙配置脚本;其中,所述第一访问关系控制矩阵和所述第二访问关系控制矩阵中的行表示源地址集合,列表示目的地址集合,所述第一访问关系控制矩阵中的元素表示各个地址集合之间互访需要满足的安全规则,所述第二访问关系控制矩阵中的元素表示各个地址集合之间互访对应的防火墙和安全域信息。
可选地,所述管理模块601还用于:
将业务访问申请的源地址和目的地址分别在第一访问关系控制矩阵的行和列中进行逐一匹配,从而在所述第一访问关系控制矩阵中定位出第一目标元素;
根据所述第一目标元素对应的各个地址集合之间互访需要满足的安全规则,判断所述业务访问申请是否符合安全规范。
可选地,所述安全规则包括禁止访问、禁止部分端口访问、允许访问或者允许部分端口访问。
可选地,所述管理模块601还用于:
将所述业务访问申请的源地址和目的地址分别在第二访问关系控制矩阵的行和列中进行逐一匹配,从而在所述第二访问关系控制矩阵中定位出第二目标元素;
根据所述第二目标元素对应的防火墙和安全域信息,确定所述业务访问申请所要经过的防火墙以及对应的安全域。
可选地,所述防火墙和安全域信息包括不经过防火墙、经过一组防火墙以及对应的安全域或者经过多组防火墙以及对应的安全域。
可选地,所述生成模块602还用于:
根据所述业务访问申请的源地址、目的地址、端口、所要经过的防火墙以及对应的安全域信息,并采用所述防火墙对应的脚本生成器,生成防火墙配置脚本;其中,所述脚本生成器中内置有配置基线。
可选地,还包括推送模块,用于:
将所述防火墙配置脚本推送至所要经过的防火墙,以使所述防火墙执行所述防火墙配置脚本;
接收所述防火墙返回的执行过程和执行结果。
需要说明的是,在本发明所述管理防火墙的装置的具体实施内容,在上面所述管理防火墙的方法中已经详细说明了,故在此重复内容不再说明。
下面参考图7,其示出了适于用来实现本发明实施例的终端设备的计算机系统700的结构示意图。图7示出的终端设备仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图7所示,计算机系统700包括中央处理单元(CPU)701,其可以根据存储在只读存储器(ROM)702中的程序或者从存储部分708加载到随机访问存储器(RAM)703中的程序而执行各种适当的动作和处理。在RAM 703中,还存储有系统700操作所需的各种程序和数据。CPU 701、ROM 702以及RAM 703通过总线704彼此相连。输入/输出(I/O)接口705也连接至总线704。
以下部件连接至I/O接口705:包括键盘、鼠标等的输入部分706;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分707;包括硬盘等的存储部分708;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分709。通信部分709经由诸如因特网的网络执行通信处理。驱动器710也根据需要连接至I/O接口705。可拆卸介质711,诸如磁盘、光盘、磁光盘、半导体存储器等,根据需要安装在驱动器710上,以便于从其上读出的计算机程序根据需要被安装入存储部分708。
特别地,根据本发明公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本发明公开的实施例包括一种计算机程序,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分709从网络上被下载和安装,和/或从可拆卸介质711被安装。在该计算机程序被中央处理单元(CPU)701执行时,执行本发明的系统中限定的上述功能。
需要说明的是,本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本发明各种实施例的系统、方法和计算机程序的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本发明实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中,例如,可以描述为:一种处理器包括管理模块和生成模块,其中,这些模块的名称在某种情况下并不构成对该模块本身的限定。
作为另一方面,本发明还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备中所包含的;也可以是单独存在,而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,该设备实现如下方法:根据第一访问关系控制矩阵和业务访问申请的源地址、目的地址和端口信息,判断所述业务访问申请是否符合安全规范;若是,则根据第二访问关系控制矩阵和所述业务访问申请的源地址和目的地址,确定所述业务访问申请所要经过的防火墙以及对应的安全域;根据所述业务访问申请的源地址、目的地址、端口、所要经过的防火墙以及对应的安全域信息,生成防火墙配置脚本。
作为另一方面,本发明实施例还提供了一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现上述任一实施例所述的方法。
根据本发明实施例的技术方案,因为采用基于访问关系控制矩阵判断业务访问申请是否符合安全规范、确定业务访问申请所要经过的防火墙以及对应的安全域,从而根据业务访问申请的源地址、目的地址、端口信息所要经过的防火墙以及对应的安全域生成防火墙配置脚本的技术手段,所以克服了现有技术中策略配置工作量大、繁琐和维护成本高的技术问题。本发明实施例具有以下有益效果:一、可以脱离网络物理及逻辑拓扑,可屏蔽策略路由、浮动路由及虚拟化技术对转发路径计算的影响,支持复杂网络拓扑,可拓展性及灵活度高;二、实现逻辑简单,无需适配,开箱即用,占用资源少;三、安全风险低,无需对全网相关信息进行收集,可离线使用;四、显式确认业务开通所要配置的防火墙及安全域信息,无需实时计算,速度快,准确度高。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,取决于设计要求和其他因素,可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。
Claims (11)
1.一种管理防火墙的方法,其特征在于,包括:
根据第一访问关系控制矩阵和业务访问申请的源地址、目的地址和端口信息,判断所述业务访问申请是否符合安全规范;
若是,则根据第二访问关系控制矩阵和所述业务访问申请的源地址和目的地址,确定所述业务访问申请所要经过的防火墙以及对应的安全域;
根据所述业务访问申请的源地址、目的地址、端口、所要经过的防火墙以及对应的安全域信息,生成防火墙配置脚本;
其中,所述第一访问关系控制矩阵和所述第二访问关系控制矩阵中的行表示源地址集合,列表示目的地址集合,所述第一访问关系控制矩阵中的元素表示各个地址集合之间互访需要满足的安全规则,所述第二访问关系控制矩阵中的元素表示各个地址集合之间互访对应的防火墙和安全域信息。
2.根据权利要求1所述的方法,其特征在于,根据第一访问关系控制矩阵和业务访问申请的源地址、目的地址和端口信息,判断所述业务访问申请是否符合安全规范,包括:
将业务访问申请的源地址和目的地址分别在第一访问关系控制矩阵的行和列中进行逐一匹配,从而在所述第一访问关系控制矩阵中定位出第一目标元素;
根据所述第一目标元素对应的各个地址集合之间互访需要满足的安全规则,判断所述业务访问申请是否符合安全规范。
3.根据权利要求1或2所述的方法,其特征在于,所述安全规则包括禁止访问、禁止部分端口访问、允许访问或者允许部分端口访问。
4.根据权利要求1所述的方法,其特征在于,根据第二访问关系控制矩阵和所述业务访问申请的源地址和目的地址,确定所述业务访问申请所要经过的防火墙以及对应的安全域,包括:
将所述业务访问申请的源地址和目的地址分别在第二访问关系控制矩阵的行和列中进行逐一匹配,从而在所述第二访问关系控制矩阵中定位出第二目标元素;
根据所述第二目标元素对应的防火墙和安全域信息,确定所述业务访问申请所要经过的防火墙以及对应的安全域。
5.根据权利要求1或4所述的方法,其特征在于,所述防火墙和安全域信息包括不经过防火墙、经过一组防火墙以及对应的安全域或者经过多组防火墙以及对应的安全域。
6.根据权利要求1所述的方法,其特征在于,根据所述业务访问申请的源地址、目的地址、端口、所要经过的防火墙以及对应的安全域信息,生成防火墙配置脚本,包括:
根据所述业务访问申请的源地址、目的地址、端口、所要经过的防火墙以及对应的安全域信息,并采用所述防火墙对应的脚本生成器,生成防火墙配置脚本;其中,所述脚本生成器中内置有配置基线。
7.根据权利要求1所述的方法,其特征在于,根据所述业务访问申请的源地址、目的地址、端口、所要经过的防火墙以及对应的安全域信息,生成防火墙配置脚本之后,还包括:
将所述防火墙配置脚本推送至所要经过的防火墙,以使所述防火墙执行所述防火墙配置脚本;
接收所述防火墙返回的执行过程和执行结果。
8.一种管理防火墙的装置,其特征在于,包括:
管理模块,用于根据第一访问关系控制矩阵和业务访问申请的源地址、目的地址和端口信息,判断所述业务访问申请是否符合安全规范;若是,则根据第二访问关系控制矩阵和所述业务访问申请的源地址和目的地址,确定所述业务访问申请所要经过的防火墙以及对应的安全域;
生成模块,用于根据所述业务访问申请的源地址、目的地址、端口、所要经过的防火墙以及对应的安全域信息,生成防火墙配置脚本;
其中,所述第一访问关系控制矩阵和所述第二访问关系控制矩阵中的行表示源地址集合,列表示目的地址集合,所述第一访问关系控制矩阵中的元素表示各个地址集合之间互访需要满足的安全规则,所述第二访问关系控制矩阵中的元素表示各个地址集合之间互访对应的防火墙和安全域信息。
9.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行时,所述一个或多个处理器实现如权利要求1-7中任一所述的方法。
10.一种计算机可读介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1-7中任一所述的方法。
11.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210546619.7A CN115001964B (zh) | 2022-05-19 | 2022-05-19 | 一种管理防火墙的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210546619.7A CN115001964B (zh) | 2022-05-19 | 2022-05-19 | 一种管理防火墙的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115001964A true CN115001964A (zh) | 2022-09-02 |
| CN115001964B CN115001964B (zh) | 2023-08-22 |
Family
ID=83027577
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210546619.7A Active CN115001964B (zh) | 2022-05-19 | 2022-05-19 | 一种管理防火墙的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115001964B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150074788A1 (en) * | 2012-06-29 | 2015-03-12 | Hangzhou H3C Technologies Co., Ltd. | Firewall Security Between Virtual Devices |
| CN109639743A (zh) * | 2018-12-13 | 2019-04-16 | 成都亚信网络安全产业技术研究院有限公司 | 一种防火墙策略检测方法及设备 |
| CN112351014A (zh) * | 2020-10-28 | 2021-02-09 | 武汉思普崚技术有限公司 | 一种安全域间防火墙安全策略合规基线管理方法及装置 |
| CN112491822A (zh) * | 2020-11-13 | 2021-03-12 | 中盈优创资讯科技有限公司 | 一种安全策略自动下发的方法及装置 |
| CN113162943A (zh) * | 2021-04-28 | 2021-07-23 | 中国工商银行股份有限公司 | 一种防火墙策略动态管理的方法、装置、设备和存储介质 |
| CN114021155A (zh) * | 2021-11-26 | 2022-02-08 | 国网四川省电力公司信息通信公司 | 一种企业网络安全域可视化管理与策略审计系统及方法 |
-
2022
- 2022-05-19 CN CN202210546619.7A patent/CN115001964B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150074788A1 (en) * | 2012-06-29 | 2015-03-12 | Hangzhou H3C Technologies Co., Ltd. | Firewall Security Between Virtual Devices |
| CN109639743A (zh) * | 2018-12-13 | 2019-04-16 | 成都亚信网络安全产业技术研究院有限公司 | 一种防火墙策略检测方法及设备 |
| CN112351014A (zh) * | 2020-10-28 | 2021-02-09 | 武汉思普崚技术有限公司 | 一种安全域间防火墙安全策略合规基线管理方法及装置 |
| CN112491822A (zh) * | 2020-11-13 | 2021-03-12 | 中盈优创资讯科技有限公司 | 一种安全策略自动下发的方法及装置 |
| CN113162943A (zh) * | 2021-04-28 | 2021-07-23 | 中国工商银行股份有限公司 | 一种防火墙策略动态管理的方法、装置、设备和存储介质 |
| CN114021155A (zh) * | 2021-11-26 | 2022-02-08 | 国网四川省电力公司信息通信公司 | 一种企业网络安全域可视化管理与策略审计系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115001964B (zh) | 2023-08-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11416373B2 (en) | Providing debug information on production containers using debug containers | |
| US9762599B2 (en) | Multi-node affinity-based examination for computer network security remediation | |
| US9560081B1 (en) | Data network microsegmentation | |
| US9703660B2 (en) | Testing a virtualized network function in a network | |
| US8813209B2 (en) | Automating network reconfiguration during migrations | |
| US9473369B2 (en) | Application topology based on network traffic | |
| US11811736B2 (en) | Generating network infastructure firewalls | |
| US20230052974A1 (en) | Distributed Routing Controllers for Multi-Region SDWAN | |
| CN114041276A (zh) | 屏蔽外部源地址的网络架构的安全策略实施和可见性 | |
| CN110798341B (zh) | 业务开通方法、装置及系统 | |
| US20170093665A1 (en) | Problem detection in a distributed digital network through distributed packet analysis | |
| CN110557281B (zh) | 基于cmdb和告警图谱的智能运维方法以及装置 | |
| US20240137278A1 (en) | Cloud migration data analysis method using system process information, and system thereof | |
| CN111970275B (zh) | 数据处理方法、装置、计算设备和介质 | |
| US11516138B2 (en) | Determining network flow direction | |
| US20230254287A1 (en) | Techniques for a virtual bootstrap environment in a distributed virtual private network | |
| CN115001964A (zh) | 一种管理防火墙的方法和装置 | |
| US11516088B1 (en) | Network configuration verification in computing systems | |
| CN114039860B (zh) | 一种用于快速构建服务器网络拓扑图的方法和系统 | |
| US11347623B1 (en) | Automated defect type based logging integration within source code | |
| CN113938399A (zh) | 专线开通方法及装置 | |
| US20200235993A1 (en) | Automatic network configuration in data protection operations | |
| US20230251888A1 (en) | Virtual bootstrap environment for building regional data centers | |
| US20240015072A1 (en) | Network configuration verification in computing systems | |
| CN116566732A (zh) | 防火墙策略有效性的确定方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |