CN115208671B - 防火墙配置方法、装置、电子设备和存储介质 - Google Patents
防火墙配置方法、装置、电子设备和存储介质 Download PDFInfo
- Publication number
- CN115208671B CN115208671B CN202210836949.XA CN202210836949A CN115208671B CN 115208671 B CN115208671 B CN 115208671B CN 202210836949 A CN202210836949 A CN 202210836949A CN 115208671 B CN115208671 B CN 115208671B
- Authority
- CN
- China
- Prior art keywords
- command line
- firewall
- execution sequence
- sequence number
- policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 43
- 238000013507 mapping Methods 0.000 claims description 34
- 238000001514 detection method Methods 0.000 claims description 15
- 238000004458 analytical method Methods 0.000 claims description 14
- 238000012512 characterization method Methods 0.000 claims description 8
- 238000004891 communication Methods 0.000 claims description 8
- 238000004590 computer program Methods 0.000 claims description 7
- 230000008569 process Effects 0.000 description 12
- 238000012545 processing Methods 0.000 description 8
- 238000012423 maintenance Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种防火墙配置方法、装置、电子设备和存储介质,所述方法应用于态势感知平台,所述态势感知平台与防火墙连接,所述态势感知平台上预设有多种用于对防火墙进行配置的策略模板,所述方法包括:获取待配置参数;从所述预设的多种策略模板中确定待配置策略模板;基于所述待配置参数和所述待配置策略模板对防火墙进行配置,用以解决现有态势感知平台对防火墙进行策略配置时可扩展性及灵活性较低的问题。
Description
技术领域
本申请涉及网络安全领域,具体而言,涉及一种防火墙配置方法、装置、电子设备和存储介质。
背景技术
在各种大型企业中,网络环境中会部署多台防火墙用于流量过滤,同时部署一台态势感知平台用来接入上述防火墙的流量进行威胁分析检测,分析流量后针对检测出的威胁对防火墙配置策略等进行修改。目前比较常用方法是在态势感知平台上对防火墙进行配置策略下发。
目前态势感知平台对防火墙进行配置策略下发时,通常是在态势感知平台上定制化开发防火墙的配置策略,以代码的形式固化在态势感知平台上。
在实际应用过程中,同一个企业部署的多台防火墙的厂家、型号可能不同,在对各种不同种类的防火墙进行策略配置时,配置策略的代码也会不同。因此,当有新的防火墙接入态势感知平台、对已接入的防火墙的配置策略进行变更或对已接入的防火墙增加新的配置策略时,需要在态势感知平台上重新定制化开发相应的配置策略,无法实现灵活扩展适配。
发明内容
本申请实施例的目的在于提供一种防火墙配置方法、装置、电子设备和存储介质,用以解决现有态势感知平台对防火墙进行策略配置时可扩展性及灵活性较低的问题。
第一方面,本发明提供一种防火墙配置方法,应用于态势感知平台,所述态势感知平台与防火墙连接,所述态势感知平台上预设有多种用于对防火墙进行配置的策略模板,所述方法包括:获取待配置参数;从所述预设的多种策略模板中确定待配置策略模板;基于所述待配置参数和所述待配置策略模板对防火墙进行配置。
在上述实现过程中,通过态势感知平台上预设有多种用于对防火墙进行配置的策略模板,当有新的防火墙接入态势感知平台、对已接入的防火墙的配置策略进行变更或对已接入的防火墙增加新的配置策略时,获取对防火墙待配置策略相关的待配置参数,直接从预设的多种策略模板中确定待配置策略模板,基于待配置参数和确定出的待配置策略模板对防火墙进行配置,无需重新定制化开发配置策略,提高了态势感知平台对防火墙进行策略配置时的可扩展性及灵活性。
在可选的实施方式中,所述待配置策略模板包括命令行,所述命令行包括关键字段,所述基于所述待配置参数和所述待配置策略模板对防火墙进行配置,包括:将所述待配置策略模板中的命令行的关键字段的值替换为所述待配置参数,确定目标待配置策略;根据所述目标待配置策略对所述防火墙进行配置。
在上述实现过程中,通过将待配置策略模板中的命令行的关键字段的值替换为所述待配置参数,即可在态势感知平台上自动、快速地确定用于对防火墙进行配置的目标待配置策略,无需重新定制化开发相应的配置策略,减少了开发难度、节约了时间,提高了态势感知平台对防火墙进行策略配置时的可扩展性及灵活性。
在可选的实施方式中,当所述目标待配置策略包括多条命令行时,所述根据所述目标待配置策略对所述防火墙进行配置,包括:依次获取所述目标待配置策略中未执行的命令行中执行序号最小的命令行;其中,每条所述命令行对应一个执行序号,所述命令行对应执行序号越小,表征该命令行的执行顺序越靠前;将所述执行序号最小的命令行下发至所述防火墙;当获取到所述防火墙生成的表征配置完成所述执行序号最小的命令行的返回值时,将所述执行序号最小的命令行标记为已执行状态,直至所述目标待配置策略中不存在未执行的命令行。
在上述实现过程中,在对防火墙进行配置时,每条命令行对应一个执行序号,在获取到防火墙生成的表征完成执行命令行的返回值后再执行下一条命令行。通过上述方式,既能保证各行命令行能依次执行,也能确保每条命令行正常执行。
在可选的实施方式中,所述待配置策略模板包括命令行,所述命令行包括关键字段,所述基于所述待配置参数和所述待配置策略模板对防火墙进行配置,包括:依次获取所述待配置策略模板中未执行的命令行中执行序号最小的命令行;其中,每条所述命令行对应一个执行序号,所述命令行对应执行序号越小,表征该命令行的执行顺序越靠前;将所述执行序号最小的命令行中的关键字段的值替换为所述待配置参数;将替换后的执行序号最小的命令行下发至所述防火墙;当获取到所述防火墙生成的表征配置完成所述替换后的执行序号最小的命令行的返回值时,将所述替换后的执行序号最小的命令行标记为已执行状态,直至所述目标待配置策略中不存在未执行的命令行。
在上述实现过程中,无需预先对待配置策略模板中的命令行的关键字段的值进行替换,在下发命令行时对命令行的关键字段的值进行替换,提高处理效率。
在可选的实施方式中,所述态势感知平台上预设有待配置参数的类型与多种策略模板的第一映射关系,和/或,所述态势感知平台上预设有防火墙的型号与多种策略模板的第二映射关系,所述从所述预设的多种策略模板中确定待配置策略模板,包括:根据所述待配置参数的类型和所述第一映射关系确定所述待配置策略模板;和/或,根据所述防火墙的型号与所述第二映射关系确定所述待配置策略模板。
在上述实现过程中,通过根据待配置参数的类型和第一映射关系确定所述待配置策略模板;和/或根据防火墙的型号与第二映射关系确定待配置策略模板,态势感知平台可以自动地确定出待配置策略模板,提高处理效率,减轻运维负担。
在可选的实施方式中,所述获取待配置参数,包括:根据当前网络环境中的威胁分析检测情况确定所述待配置参数。
在上述实现过程中,根据当前网络环境中的威胁分析检测情况确定待配置参数,以便后续根据该待配置参数对防火墙进行配置,可以及时对威胁事件进行处理,提高防火墙的防护能力,进而提高网络环境的安全性。
第二方面,本发明提供一种防火墙配置装置,配置于态势感知平台,所述态势感知平台与防火墙连接,所述态势感知平台上预设有多种用于对防火墙进行配置的策略模板,所述装置包括:获取模块,用于获取待配置参数;确定模块,用于从所述预设的多种策略模板中确定待配置策略模板;配置模块,用于基于所述待配置参数和所述待配置策略模板对防火墙进行配置。
在可选的实施方式中,所述待配置策略模板包括命令行,所述命令行包括关键字段,所述配置模块具体用于将所述待配置策略模板中的命令行的关键字段的值替换为所述待配置参数,确定目标待配置策略;根据所述目标待配置策略对所述防火墙进行配置。
在可选的实施方式中,当所述目标待配置策略包括多条命令行时,所述配置模块具体用于依次获取所述目标待配置策略中未执行的命令行中执行序号最小的命令行;其中,每条所述命令行对应一个执行序号,所述命令行对应执行序号越小,表征该命令行的执行顺序越靠前;将所述执行序号最小的命令行下发至所述防火墙;当获取到所述防火墙生成的表征配置完成所述执行序号最小的命令行的返回值时,将所述执行序号最小的命令行标记为已执行状态,直至所述目标待配置策略中不存在未执行的命令行。
在可选的实施方式中,所述待配置策略模板包括命令行,所述命令行包括关键字段,所述配置模块具体用于依次获取所述待配置策略模板中未执行的命令行中执行序号最小的命令行;其中,每条所述命令行对应一个执行序号,所述命令行对应执行序号越小,表征该命令行的执行顺序越靠前;将所述执行序号最小的命令行中的关键字段的值替换为所述待配置参数;将替换后的执行序号最小的命令行下发至所述防火墙;当获取到所述防火墙生成的表征配置完成所述替换后的执行序号最小的命令行的返回值时,将所述替换后的执行序号最小的命令行标记为已执行状态,直至所述目标待配置策略中不存在未执行的命令行。
在可选的实施方式中,所述态势感知平台上预设有待配置参数的类型与多种策略模板的第一映射关系,和/或,所述态势感知平台上预设有防火墙的型号与多种策略模板的第二映射关系,所述确定模块具体用于根据所述待配置参数的类型和所述第一映射关系确定所述待配置策略模板;和/或,根据所述防火墙的型号与所述第二映射关系确定所述待配置策略模板。
在可选的实施方式中,所述获取模块具体用于根据当前网络环境中的威胁分析检测情况确定所述待配置参数。
第三方面,本发明提供一种电子设备,所述电子设备包括:处理器、存储器和总线;
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的计算机程序指令,所述处理器调用所述计算机程序指令能够执行如前述实施方式中任一项所述的方法。
第四方面,本发明提供一种计算机可读存储介质,所述计算机可读存储介质存储计算机程序指令,所述计算机程序指令被计算机运行时,使所述计算机执行如前述实施方式中任一项所述的方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种防火墙配置方法的流程图;
图2为本申请实施例提供的一种防火墙配置装置的结构框图;
图3为本申请实施例的电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
实施例一:
为了解决现有态势感知平台对防火墙进行策略配置时可扩展性及灵活性较低的问题,本申请实施例中提供了一种防火墙配置方法。请参照图1,图1为本申请实施例提供的一种防火墙配置方法的流程图,该防火墙配置方法应用于态势感知平台,态势感知平台与防火墙连接,该防火墙配置方法可以包括如下内容:
步骤S101:获取待配置参数。
步骤S102:从预设的多种策略模板中确定待配置策略模板。
步骤S103:基于待配置参数和待配置策略模板对防火墙进行配置。
本申请实施例中,态势感知平台与防火墙网络可达,态势感知平台可以通过安全外壳协议(Secure Shell,SSH)访问防火墙。防火墙基于SSH协议接入态势感知平台时,态势感知平台为防火墙配置IP地址、端口、用户名、密码等信息。
态势感知平台上预设有多种用于对防火墙进行配置的策略模板,在需要对防火墙进行策略配置时,态势感知平台首先获取待配置参数,并从预设的多种策略模板中选出待配置策略模板,基于获取到的待配置参数和待配置策略模板对防火墙进行配置。
策略模板支持动态扩展和更新。当加入新的防火墙设备时,在态势感知平台上增加新的策略模板;当已有防火墙的版本更新或是要添加新的配置策略时,对该防火墙对应的策略模板的内容进行动态更新。
在对态势感知平台上的策略模板进行动态扩展和更新的方式有多种。在一些实施方式中,态势感知平台可以从云端的策略模板库中获取需要更新或添加的策略模板。在另一些实施方式中,态势感知平台可以提供交互界面,接收运维人员人工输入的需要更新或添加的策略模板。
需要说明的是,本申请实施例提供的防火墙配置方法可以应用于多种场景。例如,当新型号的防火墙接入态势感知平台时,需要对新型号的防火墙进行策略配置;对于已经接入态势感知平台的防火墙,由于网络环境发生变化或是检测到网络威胁时,需要对防火墙上已经下发的策略进行更改或是增加新的策略。
可以理解,上述应用场景仅为本申请实施例提供的一些示例,本申请对此不做具体限定。本申请实施例提供的防火墙配置方法可以应用于各种需要对防火墙的策略进行调整或是下发新的策略的场景。
在上述实现过程中,通过态势感知平台上预设有多种用于对防火墙进行配置的策略模板,当有新的防火墙接入态势感知平台、对已接入的防火墙的配置策略进行变更或对已接入的防火墙增加新的配置策略时,获取对防火墙待配置策略相关的待配置参数,直接从预设的多种策略模板中确定待配置策略模板,基于待配置参数和确定出的待配置策略模板对防火墙进行配置,无需重新定制化开发配置策略,提高了态势感知平台对防火墙进行策略配置时的可扩展性及灵活性。
下面对上述步骤进行详细介绍。
步骤S101:获取待配置参数。
本申请实施例中,待配置参数为对防火墙进行配置时的相关参数。当需要对防火墙进行策略配置时,首先要获取与此次配置相关的待配置参数。
其中,获取待配置参数的方式有多种。
作为一种可选的实施方式,待配置参数可以由运维人员人工输入至态势感知平台。态势感知平台上可以提供一输入界面,当运维人员需要对某台防火墙进行配置时,将待配置参数手动输入至态势感知平台中。
作为另一种可选的实施方式,上述步骤S101可以包括如下步骤:
根据当前网络环境中的威胁分析检测情况确定待配置参数。
本申请实施例中,当前网络环境中的威胁分析检测情况可以通过多种方式确定。
在一些实施方式中,态势感知平台对当前网络环境的流量信息进行威胁分析检测,当确定存在威胁事件时,根据威胁事件确定待配置参数。
例如,某一个外网设备频繁地访问一个内网设备,态势感知平台经过威胁分析检测将该外网设备列入访问黑名单,需要向防火墙下发IP阻断策略,禁止该外网设备访问内网。于是,将该外网设备的IP地址作为待配置参数。
在另一些实施方式中,接收其他设备发送的当前网络环境中的威胁分析检测情况,根据当前网络环境中的威胁分析检测情况确定待配置参数。其中,其他设备可以为运维人员的操作终端、用于对网络环境进行安全检测的服务器等。
可以理解,待配置参数与下发至防火墙上的策略相关。例如,若下发至防火墙的策略为限制内网设备访问外网服务器,待配置参数可以为外网服务器的IP地址、MAC地址或端口号等;若下发至防火墙的策略为屏蔽来自某一网络设备的访问请求,待配置参数为该网络设备的IP地址、MAC地址或端口号等。本申请对待配置参数的具体值不做具体限定。
在上述实现过程中,根据当前网络环境中的威胁分析检测情况确定待配置参数,以便后续根据该待配置参数对防火墙进行配置,可以及时对威胁事件进行处理,提高防火墙的防护能力,进而提高网络环境的安全性。
步骤S102:从预设的多种策略模板中确定待配置策略模板。
本申请实施例中,当需要对防火墙进行策略配置时,态势感知平台上预设的多种策略模板中确定待配置策略模板。
其中,确定待配置策略模板的方式有多种。
作为一种可选的实施方式,待配置策略模板可以由运维人员人工选择确定。与获取待配置参数类似,态势感知平台上可以提供选择界面,当运维人员需要对某台防火墙进行配置时,从态势感知平台上预设的多种策略模板中选择待配置策略模板。
作为另一种可选的实施方式,上述步骤S102可以包括如下步骤:
根据待配置参数的类型和第一映射关系确定待配置策略模板;
和/或,根据防火墙的型号与第二映射关系确定待配置策略模板。
本申请实施例中,态势感知平台上预设有待配置参数的类型与多种策略模板的第一映射关系,和/或,态势感知平台上预设有防火墙的型号与多种策略模板的第二映射关系。
待配置参数的类型可以有多种,例如:IP地址、MAC地址、端口号等。态势感知平台获取待配置参数后,确定待配置参数的类型,根据待配置参数的类型和第一映射关系确定待配置策略模板。
举例来说,第一映射关系可以为:当待配置参数的类型为IP地址时,对应策略模板1;当待配置参数的类型为MAC地址时,对应策略模板2;当待配置参数的类型为端口号时,对应策略模板3。
考虑到态势感知平台上可以支持多种不同型号的防火墙,态势感知平台可以根据将要配置的防火墙的型号和第二映射关系确定待配置策略模板。
举例来说,第二映射关系可以为:当防火墙的型号为A时,对应策略模板4;当防火墙的型号为B时,对应策略模板5;当防火墙的型号为C时,对应策略模板6。
进一步地,当态势感知平台上支持多种不同型号的防火墙且存在多种待配置参数的类型时,态势感知平台可以根据待配置参数的类型、将要配置的防火墙的型号、第一映射关系和第二映射关系确定待配置策略模板。
在上述实现过程中,通过根据待配置参数的类型和第一映射关系确定所述待配置策略模板;和/或根据防火墙的型号与第二映射关系确定待配置策略模板,态势感知平台可以自动地确定出待配置策略模板,提高处理效率,减轻运维负担。
步骤S103:基于待配置参数和待配置策略模板对防火墙进行配置。
本申请实施例中,在确定待配置参数和待配置策略模板后,态势感知平台基于二者对待配置参数和待配置策略模板对防火墙进行配置。
为方便理解本方案,对策略模板进行介绍。
策略模板包括命令行。命令行的数量根据防火墙要下发的策略及防火墙支持的控制协议决定,一个策略模板可以包括一条命令行或多条命令行。
命令行中包括普通字段和关键字段。普通字段中的值为命令行中的常量信息,由防火墙支持的控制协议决定。关键字段中的值与待配置参数对应,在不同的使用场景下,关键字段中的值需要结合实际应用场景确定,因此,在构建策略模板时,关键字段中的值为预设的字符串。在后续根据策略模板对防火墙进行配置时,需要将关键字段中的值替换为待配置参数,从而实现对防火墙的配置。
可以理解,一个命令行中关键字段的种类可以为一个或多个,根据防火墙支持的控制协议确定。相应的,策略模板中关键字段的种类个数与采用该策略模板进行防火墙配置时,待配置参数的种类个数一致。
作为一种可选的实施方式中,上述步骤S102可以包括如下步骤:
第一步,将待配置策略模板中的命令行的关键字段的值替换为待配置参数,确定目标待配置策略。
第二步,根据目标待配置策略对防火墙进行配置。
本申请实施例中,在确定待配置参数和待配置策略模板后,首先将待配置策略模板中的命令行的关键字段的值替换为待配置参数,得到目标待配置策略。然后将目标待配置策略下发到防火墙上,防火墙执行目标待配置策略中的命令行,对防火墙进行配置。
根据前述内容可知,待配置策略模板中的命令行可以包括一行或多行。相应的,在将待配置策略模板中的命令行的关键字段的值替换为待配置参数后,确定的目标待配置策略中的命令行也可以包括一行或多行。
若目标待配置策略中的命令行为一行,将该命令行下发至防火墙,防火墙执行该命令行,即可实现对防火墙进行配置。
若目标待配置策略中的命令行为多行,为了保证各行命令行能依次执行,且考虑到有些命令行之间存在调用关系(即下一条命令行在执行时需要调用前一条命令行执行完成的相关内容),上述第二步可以通过如下方式实现:
步骤1,依次获取目标待配置策略中未执行的命令行中执行序号最小的命令行;其中,每条命令行对应一个执行序号,命令行对应执行序号越小,表征该命令行的执行顺序越靠前。
步骤2,将执行序号最小的命令行下发至防火墙。
步骤3,当获取到防火墙生成的表征配置完成执行序号最小的命令行的返回值时,将执行序号最小的命令行标记为已执行状态,直至目标待配置策略中不存在未执行的命令行。
以下结合一个具体示例对上述步骤1-3进行说明。
目标待配置策略中包括3条命令行,命令行A、B和C,在配置防火墙时依次执行命令行A、B和C。根据命令行的执行先后顺序,命令行A的执行序号为1,命令行B的执行序号为2,命令行C的执行序号为3。首先从3条命令行中选出执行序号最小的命令行,即命令行A,将命令行A下发至防火墙。防火墙执行命令行A,当获取到防火墙生成的表征配置完成命令行A的返回值时,将命令行A标记为已执行状态。此时,未执行的命令行为命令行B和命令行C,命令行为B的执行序号最小,将命令行B下发至防火墙。防火墙执行命令行B,当获取到防火墙生成的表征配置完成命令行B的返回值时,将命令行B标记为已执行状态。此时,未执行的命令行只剩下命令行C,将命令行C下发至防火墙。防火墙执行命令行C,当获取到防火墙生成的表征配置完成命令行C的返回值时,将命令行C标记为已执行状态。此时,目标待配置策略中不存在未执行的命令行,则表示完成防火墙配置。
在上述实现过程中,在对防火墙进行配置时,每条命令行对应一个执行序号,在获取到防火墙生成的表征完成执行命令行的返回值后再执行下一条命令行。通过上述方式,既能保证各行命令行能依次执行,也能确保每条命令行正常执行。
作为一种可选的实施方式中,上述步骤S102可以包括如下步骤:
步骤1,依次获取待配置策略模板中未执行的命令行中执行序号最小的命令行;其中,每条命令行对应一个执行序号,命令行对应执行序号越小,表征该命令行的执行顺序越靠前。
步骤2,将执行序号最小的命令行中的关键字段的值替换为待配置参数。
步骤3,将替换后的执行序号最小的命令行下发至防火墙。
步骤4,当获取到防火墙生成的表征配置完成替换后的执行序号最小的命令行的返回值时,将替换后的执行序号最小的命令行标记为已执行状态,直至目标待配置策略中不存在未执行的命令行。
本实施例中,在确定待配置参数和待配置策略模板后,依次获取待配置策略模板中未执行的命令行中执行序号最小的命令行,然后将该命令行中的关键字段的值替换为待配置参数,然后将替换后的命令行下发到防火墙,后续步骤与上一实施方式类似,为使说明书简洁,在此不做赘述。
可以理解,本实施方式与上一实施方式在执行方式上类似,区别在于将待配置策略模板中的命令行的关键字段的值替换为待配置参数是时间点不同。上一实施方式中,先整体将待配置策略模板中每条命令行的关键字段的值替换为待配置参数,确定目标待配置策略,然后将目标待配置策略依次下发到防火墙中。本实施方式从待配置策略模板中依次获取命令行,每获取一条命令行,将该命令行的关键字段的值替换为待配置参数,然后下发到防火墙中。
在上述实现过程中,无需预先对待配置策略模板中的命令行的关键字段的值进行替换,在下发命令行时对命令行的关键字段的值进行替换,提高处理效率。
实施例二:
基于同一发明构思,本申请实施例中还提供一种防火墙配置装置。请参阅图2,图2为本申请实施例提供的一种防火墙配置装置的结构框图,该防火墙配置装置200配置于态势感知平台,态势感知平台与防火墙连接,态势感知平台上预设有多种用于对防火墙进行配置的策略模板,该防火墙配置装置200可以包括:
获取模块201,用于获取待配置参数;
确定模块202,用于从所述预设的多种策略模板中确定待配置策略模板;
配置模块203,用于基于所述待配置参数和所述待配置策略模板对防火墙进行配置。
在可选的实施方式中,所述待配置策略模板包括命令行,所述命令行包括关键字段,所述配置模块203具体用于将所述待配置策略模板中的命令行的关键字段的值替换为所述待配置参数,确定目标待配置策略;根据所述目标待配置策略对所述防火墙进行配置。
在可选的实施方式中,当所述目标待配置策略包括多条命令行时,所述配置模块203具体用于依次获取所述目标待配置策略中未执行的命令行中执行序号最小的命令行;其中,每条所述命令行对应一个执行序号,所述命令行对应执行序号越小,表征该命令行的执行顺序越靠前;将所述执行序号最小的命令行下发至所述防火墙;当获取到所述防火墙生成的表征配置完成所述执行序号最小的命令行的返回值时,将所述执行序号最小的命令行标记为已执行状态,直至所述目标待配置策略中不存在未执行的命令行。
在可选的实施方式中,所述待配置策略模板包括命令行,所述命令行包括关键字段,所述配置模块203具体用于依次获取所述待配置策略模板中未执行的命令行中执行序号最小的命令行;其中,每条所述命令行对应一个执行序号,所述命令行对应执行序号越小,表征该命令行的执行顺序越靠前;将所述执行序号最小的命令行中的关键字段的值替换为所述待配置参数;将替换后的执行序号最小的命令行下发至所述防火墙;当获取到所述防火墙生成的表征配置完成所述替换后的执行序号最小的命令行的返回值时,将所述替换后的执行序号最小的命令行标记为已执行状态,直至所述目标待配置策略中不存在未执行的命令行。
在可选的实施方式中,所述态势感知平台上预设有待配置参数的类型与多种策略模板的第一映射关系,和/或,所述态势感知平台上预设有防火墙的型号与多种策略模板的第二映射关系,所述确定模块202具体用于根据所述待配置参数的类型和所述第一映射关系确定所述待配置策略模板;和/或,根据所述防火墙的型号与所述第二映射关系确定所述待配置策略模板。
在可选的实施方式中,所述获取模块201具体用于根据当前网络环境中的威胁分析检测情况确定所述待配置参数。
请参阅图3,图3为本申请实施例的电子设备300的结构示意图,该电子设备300包括:至少一个处理器301,至少一个通信接口302,至少一个存储器303和至少一个总线304。其中,总线304用于实现这些组件直接的连接通信,通信接口302用于与其他节点设备进行信令或数据的通信,存储器303存储有处理器301可执行的机器可读指令。当电子设备300运行时,处理器301与存储器303之间通过总线304通信,机器可读指令被处理器301调用时执行如上述防火墙配置方法。
处理器301可以是一种集成电路芯片,具有信号处理能力。上述处理器301可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(NetworkProcessor,NP)等;还可以是数字信号处理器(Digital Signal Processing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。其可以实现或者执行本申请实施例中公开的各种方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器303可以包括但不限于随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。
可以理解,图3所示的结构仅为示意,电子设备300还可包括比图3中所示更多或者更少的组件,或者具有与图3所示不同的配置。图3中所示的各组件可以采用硬件、软件或其组合实现。于本申请实施例中,电子设备300可以是,但不限于台式机、笔记本电脑、智能手机、智能穿戴设备、车载设备等实体设备,还可以是虚拟机等虚拟设备。另外,电子设备300也不一定是单台设备,还可以是多台设备的组合,例如服务器集群,等等。
此外,本申请实施例还提供一种计算机可读存储介质,该计算机存储介质上存储有计算机程序,该计算机程序被计算机运行时,执行如上述实施例中的防火墙配置方法。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
需要说明的是,功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种防火墙配置方法,其特征在于,应用于态势感知平台,所述态势感知平台与防火墙连接,所述态势感知平台上预设有多种用于对防火墙进行配置的策略模板,所述态势感知平台上支持多种不同型号的防火墙,所述态势感知平台上预设有待配置参数的类型与多种所述策略模板的第一映射关系,所述态势感知平台上预设有防火墙的型号与多种所述策略模板的第二映射关系,所述方法包括:
获取待配置参数;所述待配置参数的类型包括:IP地址、MAC地址、端口号;
从多种所述策略模板中确定待配置策略模板;
基于所述待配置参数和所述待配置策略模板对防火墙进行配置;
所述从多种所述策略模板中确定待配置策略模板,包括:
根据所述待配置参数的类型和所述第一映射关系确定所述待配置策略模板;
根据所述防火墙的型号与所述第二映射关系确定所述待配置策略模板;
所述待配置策略模板包括命令行,所述命令行包括关键字段,所述基于所述待配置参数和所述待配置策略模板对防火墙进行配置,包括:
将所述待配置策略模板中的命令行的关键字段的值替换为所述待配置参数,确定目标待配置策略;
根据所述目标待配置策略对所述防火墙进行配置。
2.根据权利要求1所述的方法,其特征在于,当所述目标待配置策略包括多条命令行时,所述根据所述目标待配置策略对所述防火墙进行配置,包括:
依次获取所述目标待配置策略中未执行的命令行中执行序号最小的命令行;其中,每条所述命令行对应一个执行序号,所述命令行对应执行序号越小,表征该命令行的执行顺序越靠前;
将所述执行序号最小的命令行下发至所述防火墙;
当获取到所述防火墙生成的表征配置完成所述执行序号最小的命令行的返回值时,将所述执行序号最小的命令行标记为已执行状态,直至所述目标待配置策略中不存在未执行的命令行。
3.根据权利要求1所述的方法,其特征在于,所述待配置策略模板包括命令行,所述命令行包括关键字段,所述基于所述待配置参数和所述待配置策略模板对防火墙进行配置,包括:
依次获取所述待配置策略模板中未执行的命令行中执行序号最小的命令行;其中,每条所述命令行对应一个执行序号,所述命令行对应执行序号越小,表征该命令行的执行顺序越靠前;
将所述执行序号最小的命令行中的关键字段的值替换为所述待配置参数;
将替换后的执行序号最小的命令行下发至所述防火墙;
当获取到所述防火墙生成的表征配置完成所述替换后的执行序号最小的命令行的返回值时,将所述替换后的执行序号最小的命令行标记为已执行状态,直至所述目标待配置策略中不存在未执行的命令行。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述获取待配置参数,包括:
根据当前网络环境中的威胁分析检测情况确定所述待配置参数。
5.一种防火墙配置装置,其特征在于,配置于态势感知平台,所述态势感知平台与防火墙连接,所述态势感知平台上预设有多种用于对防火墙进行配置的策略模板,所述态势感知平台上支持多种不同型号的防火墙,所述态势感知平台上预设有待配置参数的类型与多种所述策略模板的第一映射关系,所述态势感知平台上预设有防火墙的型号与多种所述策略模板的第二映射关系,所述装置包括:
获取模块,用于获取待配置参数;所述待配置参数的类型包括:IP地址、MAC地址、端口号;
确定模块,用于从多种所述策略模板中确定待配置策略模板;根据所述待配置参数的类型和所述第一映射关系确定所述待配置策略模板;根据所述防火墙的型号与所述第二映射关系确定所述待配置策略模板;
配置模块,用于基于所述待配置参数和所述待配置策略模板对防火墙进行配置;所述待配置策略模板包括命令行,所述命令行包括关键字段;将所述待配置策略模板中的命令行的关键字段的值替换为所述待配置参数,确定目标待配置策略;根据所述目标待配置策略对所述防火墙进行配置。
6.根据权利要求5所述的装置,其特征在于,当所述目标待配置策略包括多条命令行时,所述配置模块用于依次获取所述目标待配置策略中未执行的命令行中执行序号最小的命令行;其中,每条所述命令行对应一个执行序号,所述命令行对应执行序号越小,表征该命令行的执行顺序越靠前;将所述执行序号最小的命令行下发至所述防火墙;当获取到所述防火墙生成的表征配置完成所述执行序号最小的命令行的返回值时,将所述执行序号最小的命令行标记为已执行状态,直至所述目标待配置策略中不存在未执行的命令行。
7.根据权利要求5所述的装置,其特征在于,所述待配置策略模板包括命令行,所述命令行包括关键字段,所述配置模块用于依次获取所述待配置策略模板中未执行的命令行中执行序号最小的命令行;其中,每条所述命令行对应一个执行序号,所述命令行对应执行序号越小,表征该命令行的执行顺序越靠前;将所述执行序号最小的命令行中的关键字段的值替换为所述待配置参数;将替换后的执行序号最小的命令行下发至所述防火墙;当获取到所述防火墙生成的表征配置完成所述替换后的执行序号最小的命令行的返回值时,将所述替换后的执行序号最小的命令行标记为已执行状态,直至所述目标待配置策略中不存在未执行的命令行。
8.根据权利要求5-7任一项所述的装置,其特征在于,所述获取模块用于根据当前网络环境中的威胁分析检测情况确定所述待配置参数。
9.一种电子设备,其特征在于,所述电子设备包括:处理器、存储器和总线;
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的计算机程序指令,所述处理器调用所述计算机程序指令能够执行如权利要求1-4中任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储计算机程序指令,所述计算机程序指令被计算机运行时,使所述计算机执行如权利要求1-4中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210836949.XA CN115208671B (zh) | 2022-07-15 | 2022-07-15 | 防火墙配置方法、装置、电子设备和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210836949.XA CN115208671B (zh) | 2022-07-15 | 2022-07-15 | 防火墙配置方法、装置、电子设备和存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115208671A CN115208671A (zh) | 2022-10-18 |
CN115208671B true CN115208671B (zh) | 2024-07-26 |
Family
ID=83582258
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210836949.XA Active CN115208671B (zh) | 2022-07-15 | 2022-07-15 | 防火墙配置方法、装置、电子设备和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115208671B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117596139B (zh) * | 2024-01-18 | 2024-05-31 | 银联数据服务有限公司 | 一种防火墙的配置命令生成方法及装置 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10771506B1 (en) * | 2017-07-31 | 2020-09-08 | Juniper Networks, Inc. | Deployment of a security policy based on network topology and device capability |
WO2020232785A1 (zh) * | 2019-05-22 | 2020-11-26 | 中国科学院信息工程研究所 | 一种设备安全策略的配置方法及装置 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7805382B2 (en) * | 2005-04-11 | 2010-09-28 | Mkt10, Inc. | Match-based employment system and method |
CN104580078B (zh) * | 2013-10-15 | 2018-04-17 | 北京神州泰岳软件股份有限公司 | 一种网络访问控制方法和系统 |
WO2017151375A1 (en) * | 2016-02-29 | 2017-09-08 | Level 3 Communications, Llc | Systems and methods for dynamic firewall policy configuration |
US11095614B2 (en) * | 2019-05-14 | 2021-08-17 | ColorTokens, Inc. | Configuring hostname based firewall policies |
CN110445770B (zh) * | 2019-07-18 | 2022-07-22 | 平安科技(深圳)有限公司 | 网络攻击源定位及防护方法、电子设备及计算机存储介质 |
CN111262879B (zh) * | 2020-02-13 | 2022-05-24 | 武汉思普崚技术有限公司 | 一种基于仿真路径分析的防火墙安全策略开通方法及装置 |
CN112383507B (zh) * | 2020-10-16 | 2023-07-11 | 深圳力维智联技术有限公司 | 防火墙策略管理方法、装置、系统与计算机可读存储介质 |
CN114257426B (zh) * | 2021-12-09 | 2024-05-03 | 山石网科通信技术股份有限公司 | 背景流量生成方法、装置、电子设备和存储介质 |
-
2022
- 2022-07-15 CN CN202210836949.XA patent/CN115208671B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10771506B1 (en) * | 2017-07-31 | 2020-09-08 | Juniper Networks, Inc. | Deployment of a security policy based on network topology and device capability |
WO2020232785A1 (zh) * | 2019-05-22 | 2020-11-26 | 中国科学院信息工程研究所 | 一种设备安全策略的配置方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN115208671A (zh) | 2022-10-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110535777B (zh) | 访问请求控制方法、装置、电子设备以及可读存储介质 | |
WO2021012568A1 (zh) | 一种数据处理方法及相关设备 | |
US11190407B2 (en) | Internet of things device discovery and configuration | |
US20070005320A1 (en) | Model-based configuration management | |
CN112653618B (zh) | 微服务应用api端点的网关注册方法及装置 | |
JP5106625B2 (ja) | ファイアウォールを構成する方法、システム、およびコンピュータ・プログラム | |
CN110543327B (zh) | 业务组件复用方法、装置、计算机设备及存储介质 | |
US11630660B2 (en) | Firmware management | |
CN113872951B (zh) | 混合云安全策略下发方法、装置、电子设备和存储介质 | |
CN111131221A (zh) | 接口校验的装置、方法及存储介质 | |
CN110780918B (zh) | 中间件容器处理方法、装置、电子设备及存储介质 | |
US11941127B2 (en) | Firmware password management | |
CN115208671B (zh) | 防火墙配置方法、装置、电子设备和存储介质 | |
CN112860953A (zh) | 图数据库的数据导入方法、装置、设备及存储介质 | |
CN112363935A (zh) | 数据联调方法、装置、电子设备及存储介质 | |
CN113312669B (zh) | 密码同步方法、设备及存储介质 | |
CN114253579A (zh) | 一种基于白名单机制的软件更新方法、装置及介质 | |
EP3843361A1 (en) | Resource configuration method and apparatus, and storage medium | |
CN114257426B (zh) | 背景流量生成方法、装置、电子设备和存储介质 | |
CN115208689A (zh) | 基于零信任的访问控制方法、装置及设备 | |
CN112417402B (zh) | 权限控制方法、权限控制装置、权限控制设备及存储介质 | |
CN109783156B (zh) | 一种应用的启动控制方法及装置 | |
CN114124524A (zh) | 一种云平台权限设置方法、装置、终端设备及存储介质 | |
CN113760450A (zh) | 私有云虚拟机自动安全管理方法、装置、终端及存储介质 | |
CN112350856A (zh) | 分布式服务签退方法及设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |