CN115225407A - 防火墙信息处理方法、系统、电子装置及存储介质 - Google Patents
防火墙信息处理方法、系统、电子装置及存储介质 Download PDFInfo
- Publication number
- CN115225407A CN115225407A CN202210928466.2A CN202210928466A CN115225407A CN 115225407 A CN115225407 A CN 115225407A CN 202210928466 A CN202210928466 A CN 202210928466A CN 115225407 A CN115225407 A CN 115225407A
- Authority
- CN
- China
- Prior art keywords
- firewall
- information
- source data
- application
- database
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000010365 information processing Effects 0.000 title claims abstract description 47
- 238000003672 processing method Methods 0.000 title claims abstract description 22
- 238000012545 processing Methods 0.000 claims abstract description 32
- 238000000034 method Methods 0.000 claims abstract description 24
- 230000006870 function Effects 0.000 claims description 17
- 238000004140 cleaning Methods 0.000 claims description 11
- 238000012216 screening Methods 0.000 claims description 11
- 238000005516 engineering process Methods 0.000 abstract description 10
- 238000009795 derivation Methods 0.000 description 12
- 238000010586 diagram Methods 0.000 description 10
- 238000012423 maintenance Methods 0.000 description 9
- 240000007087 Apium graveolens Species 0.000 description 6
- 235000015849 Apium graveolens Dulce Group Nutrition 0.000 description 6
- 235000010591 Appio Nutrition 0.000 description 6
- 238000011161 development Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 239000013589 supplement Substances 0.000 description 4
- 238000012795 verification Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 238000004590 computer program Methods 0.000 description 3
- 238000013075 data extraction Methods 0.000 description 3
- 230000007547 defect Effects 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 206010063385 Intellectualisation Diseases 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000008094 contradictory effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012827 research and development Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/21—Design, administration or maintenance of databases
- G06F16/215—Improving data quality; Data cleansing, e.g. de-duplication, removing invalid entries or correcting typographical errors
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/22—Indexing; Data structures therefor; Storage structures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Software Systems (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请涉及一种防火墙技术,公开了一种防火墙信息处理方法,该方法包括:获取基础信息源数据和防火墙源数据,进行预定处理后保存至数据库;向客户端提供多维度的防火墙信息查询功能,当接收到客户端端的查询请求时,根据所述查询请求从所述数据库中获取相应的信息返回至客户端;当接收到用户端的防火墙信息导出请求时,根据所述导出请求从所述数据库中获取相应的信息,并按预定格式导出后返回至客户端。本申请还提供一种防火墙信息处理系统、电子装置及计算机可读存储介质。本申请能够方便、敏捷的进行防火墙信息的查询和导出、防火墙关系的扩容开通,提升工作效率,节省处理时间。
Description
技术领域
本申请涉及防火墙技术,尤其涉及一种防火墙信息处理方法、系统、电子装置及计算机可读存储介质。
背景技术
随着近几年DevOps(Development和Operations的组合词,过程、方法与系统的统称)平台的发展和流行,IT(Internet Technology,互联网技术)公司越来越重视“软件开发人员(Dev)”和“IT运维技术人员(Ops)”之间沟通合作的文化、运动或惯例。通过自动化“软件交付”和“架构变更”的流程,来使得构建、测试、发布软件能够更加地快捷、频繁和可靠。其中,当新节点(服务器)扩容上线时,需要进行防火墙的开通。
但是,现有传统的防火墙开通系统无法方便、敏捷的进行防火墙信息的查询和导出(例如想查询一个应用和IP的开通历史,无法搜索到,也无法进行应用的访问关系导出)、防火墙关系的扩容开通,增加了开发和运维的重复工作。
发明内容
有鉴于此,本申请提出一种防火墙信息处理方法、系统、电子装置及计算机可读存储介质,以解决以上技术问题。
首先,为实现上述目的,本申请提出一种防火墙信息处理方法,该方法包括:
获取基础信息源数据和防火墙源数据,进行预定处理后保存至数据库;
向客户端提供多维度的防火墙信息查询功能,当接收到客户端端的查询请求时,根据所述查询请求从所述数据库中获取相应的信息返回至客户端;
当接收到用户端的防火墙信息导出请求时,根据所述导出请求从所述数据库中获取相应的信息,并按预定格式导出后返回至客户端。
可选地,所述方法还包括:
接收客户端开通新防火墙的申请,对防火墙申请信息通过防火墙系统的接口自动提交开通,并同步进行所述预定处理后保存至所述数据库。
可选地,所述获取基础信息源数据和防火墙源数据,进行预定处理后保存至数据库包括:
获取预定范围的基础信息源数据,并进行数据格式化和清洗后,得到基础资源信息,保存至数据库中;
定时获取防火墙源数据,并根据所述基础资源信息进行筛选后,得到防火墙信息,保存至数据库中。
可选地,所述获取基础信息源数据和防火墙源数据,进行预定处理后保存至数据库还包括:
根据所述基础资源信息和所述防火墙信息生成所述预定范围内的应用防火墙访问关系画像。
可选地,所述基础信息源数据包括预定范围内的子系统、应用、服务器信息;所述防火墙源数据包括各种防火墙系统中的防火墙开通数据。
可选地,所述维度包括应用编号、IP地址。
可选地,所述对防火墙申请信息通过防火墙系统的接口自动提交开通,并同步进行所述预定处理后保存至所述数据库包括:
从所述开通申请中获取防火墙申请信息;
通过对接防火墙系统的接口,将所述防火墙申请信息自动提交至所述防火墙系统进行开通;
处理所述防火墙申请信息得到新增基础资源信息和新增防火墙信息,保存至所述数据库中。
此外,为实现上述目的,本申请还提供一种防火墙信息处理系统,所述系统包括:
获取模块,用于获取基础信息源数据和防火墙源数据,进行预定处理后保存至数据库;
查询模块,用于向客户端提供多维度的防火墙信息查询功能,当接收到客户端端的查询请求时,根据所述查询请求从所述数据库中获取相应的信息返回至客户端;
导出模块,用于当接收到用户端的防火墙信息导出请求时,根据所述导出请求从所述数据库中获取相应的信息,并按预定格式导出后返回至客户端。
进一步地,为实现上述目的,本申请还提供一种电子装置,包括存储器、处理器,所述存储器上存储有可在所述处理器上运行的防火墙信息处理程序,所述防火墙信息处理程序被所述处理器执行时实现如上述的防火墙信息处理方法的步骤。
进一步地,为实现上述目的,本申请还提供一种计算机可读存储介质,所述计算机可读存储介质存储有防火墙信息处理程序,所述防火墙信息处理程序可被至少一个处理器执行,以使所述至少一个处理器执行如上述的防火墙信息处理方法的步骤。
相较于现有技术,本申请所提出的防火墙信息处理方法、系统、电子装置及计算机可读存储介质,可以结合行内现有CMS系统中的子系统、APP、服务器节点信息和防火墙系统中的防火墙开通数据,提取源数据后进行数据清洗和格式化落地(写入数据库),形成部门内部的应用防火墙访问关系画像。另外还提供了基于Appid、IP地址等多维度的数据查询及数据导出功能,便利的节点扩容和防火墙申请流程,弥补了现有行内防火墙系统无法基于IP地址或者是Appid查询防火墙开通历史,而且无法大批量的查询或者导出历史信息,自动化进行防火墙信息扩容的不足。本申请能够减少研发、测试、运维人员的手工操作,提升工作效率,节省处理时间。
附图说明
图1为实现本申请各个实施例的一种应用环境架构图;
图2为实现本申请各个实施例的一种软件架构图;
图3为本申请第一实施例提出的一种防火墙信息处理方法的流程图;
图4为图3中步骤S200的细化流程示意图;
图5为本申请第二实施例提出的一种防火墙信息处理方法的流程图;
图6为图5中步骤S306的细化流程示意图;
图7为所述防火墙信息处理方法的一种可选的特定具体实施例的流程示意图;
图8为本申请第三实施例提出的一种电子装置的硬件架构示意图;
图9为本申请第四实施例提出的一种防火墙信息处理系统的模块示意图;
图10为本申请第五实施例提出的一种防火墙信息处理系统的模块示意图;
本申请目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本申请,并不用于限定本申请。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
需要说明的是,在本申请中涉及“第一”、“第二”等的描述仅用于描述目的,而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。另外,各个实施例之间的技术方案可以相互结合,但是必须是以本领域普通技术人员能够实现为基础,当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在,也不在本申请要求的保护范围之内。
请参阅图1,图1为实现本申请各个实施例的一种应用环境架构图。本申请可应用于包括,但不仅限于服务端1、客户端3、源数据端5、数据库7的应用环境中。
其中,服务端1用于根据所述源数据端5中的源数据进行数据处理后保存至数据库7中(落库),并向客户端3提供防火墙信息查询、防火墙申请、防火墙历史导出等服务。客户端3用于向用户提供前端界面,对用户进行登录验证,及根据服务端1提供的数据和技术支持向用户提供防火墙信息查询、防火墙申请、防火墙历史导出等功能。源数据端5可以包括但不限于基础信息源数据、防火墙源数据等。其中,所述基础信息源数据包括预定范围内(例如某个部门)的子系统、应用、服务器信息等,可以从CMS(content management system,内容管理系统)的API(ApplicationProgrammingInterface,应用程序接口)接口获取。
所述服务端1可以是机架式服务器、刀片式服务器、塔式服务器或机柜式服务器等计算设备,可以是独立的服务器,也可以是多个服务器所组成的服务器集群。所述客户端3可以为PC(Personal Computer,个人电脑)、手机、平板电脑、便携计算机、可穿戴设备等终端设备。
所述服务端1、客户端3、源数据端5、数据库7之间通过有线或无线网络通信连接,以进行数据传输和交互。所述服务端1可以连接一个或多个客户端3。
参阅图2所示,为实现本申请各个实施例的一种软件架构图。图2中各个部分的功能详见后续各个实施例的说明,在此不再赘述。
实施例一
参阅图3所示,为本申请第一实施例提出的一种防火墙信息处理方法的流程示意图。在本实施例中,根据不同的需求,图3所示的流程图中的步骤的执行顺序可以改变,某些步骤可以省略。下面以所述服务端作为执行主体为例对该方法进行说明。
该方法包括:
S200,获取基础信息源数据和防火墙源数据,进行预定处理后保存至数据库。
在本实施例中,源数据端包括基础信息源数据和防火墙源数据。所述基础信息源数据包括预定范围内(例如某个部门)的子系统、应用、服务器信息等,可以从CMS的API接口获取。所述防火墙源数据可以是各种防火墙系统中的防火墙开通数据,例如Kitty防火墙。
具体而言,进一步参阅图4,为上述步骤S200的细化流程示意图。可以理解,该流程图不用于对执行步骤的顺序进行限定。根据需要,还可以对该流程图中的部分步骤进行添加或删减。在本实施例中,所述步骤S200具体包括:
S2000,获取预定范围的基础信息源数据,并进行数据格式化和清洗后,得到基础资源信息,保存至数据库中。
具体地,可以利用Python、Celery及Redis技术设计任务队列,定时从CMS API接口获取预定范围(部门)的子系统、应用、服务器信息,并进行数据格式化和清洗后,记录到mysql数据库的sys_info(子系统信息)、app_info(应用信息)、node_info(服务器节点信息)数据表内,作为(部门)基础资源信息。
S2002,定时获取防火墙源数据,并根据所述基础资源信息进行筛选后,得到防火墙信息,保存至数据库中。
具体地,可以使用Python、Celery、Redis及requests技术,通过定时对现有防火墙系统(例如Kitty防火墙)进行数据提取,并根据预定范围(部门内部)的所述基础资源信息进行筛选(筛选部门的IP地址),然后补充Appid(应用编号)信息,并对源地址、目的地址、开通端口、SR_NUM、CH_NUM等字段进行落库。
在一种优选实施例中,所述步骤S200还进一步包括:
根据所述基础资源信息和所述防火墙信息生成所述预定范围内的应用防火墙访问关系画像。
例如,根据部门内部的基础资源信息和筛选后的防火墙信息形成该部门的应用防火墙访问关系画像。
回到图3,S202,向客户端提供多维度的防火墙信息查询功能,当接收到客户端端的查询请求时,根据所述查询请求从所述数据库中获取相应的信息返回至客户端。
在本实施例中,在客户端可以利用Adminlte作为前端UI(User Interface,用户界面)框架。
由于服务端已将基础资源信息和防火墙信息落库(并且形成了应用防火墙访问关系画像),因此可以依据数据库中已被处理好的各项数据为客户端提供不同维度的查询服务。通过在客户端的前端界面中向用户提供多维度的防火墙信息查询功能,可以接收到用户的防火墙查询请求,然后发送至服务端。服务端接收到所述查询请求后,根据所述查询请求中的查询条件从所述数据库中获取相应的信息,作为查询结果返回至客户端。
所述查询请求中可以包括一个或多个维度的查询条件。所述维度可以包括Appid、IP地址等。
在一种可选实施例中,在接收客户端的查询请求之前先要对客户端的用户进行登录验证(例如4A-API验证)。当验证成功后,客户端用户才能进行防火墙信息查询。
S204,当接收到用户端的防火墙信息导出请求时,根据所述导出请求从所述数据库中获取相应的信息,并按预定格式导出后返回至客户端。
所述防火墙信息导出请求可以是在所述查询请求的基础上,对查询结果请求导出;也可以是单独输入导出条件后,直接请求导出相应信息。
在本实施例中,所述防火墙信息导出一般包括防火墙历史信息导出、应用防火墙访问关系导出等。当接收到客户端的导出请求后,从所述数据库中可以获取到相应的信息,并按照预定格式进行导出,返回给客户端,以便用户查看。
本实施例提供的防火墙信息处理方法,可以结合行内现有CMS系统中的子系统、APP、服务器节点信息和防火墙系统中的防火墙开通数据,对原有数据进行抽取后,利用部门内部的源信息进行数据清洗和格式化落地(写入数据库),形成部门内部的应用防火墙访问关系画像。另外还提供了基于Appid、IP地址等多维度的数据查询及数据导出功能,弥补了现有行内防火墙系统无法基于IP地址或者是Appid查询防火墙开通历史,而且无法大批量的查询或者导出历史信息的不足。
实施例二
参阅图5所示,为本申请第二实施例提出的一种防火墙信息处理方法的流程示意图。在本实施例中,所述防火墙信息处理方法在上述第一实施例的基础上,还包括步骤S306。可以理解,本方法实施例中的流程图不用于对执行步骤的顺序进行限定。根据需要,还可以对该流程图中的部分步骤进行添加或删减。
该方法包括以下步骤:
S300,获取基础信息源数据和防火墙源数据,进行预定处理后保存至数据库。
在本实施例中,源数据端包括基础信息源数据和防火墙源数据。所述基础信息源数据包括预定范围内(例如某个部门)的子系统、应用、服务器信息等,可以从CMS的API接口获取。所述防火墙源数据可以是各种防火墙系统中的防火墙开通数据,例如Kitty防火墙。
首先,获取预定范围的基础信息源数据,并进行数据格式化和清洗后,得到基础资源信息,保存至数据库中。
具体地,可以利用Python、Celery及Redis技术设计任务队列,定时从CMS API接口获取预定范围(部门)的子系统、应用、服务器信息,并进行数据格式化和清洗后,记录到mysql数据库的sys_info(子系统信息)、app_info(应用信息)、node_info(服务器节点信息)数据表内,作为(部门)基础资源信息。
并且,定时获取防火墙源数据,并根据所述基础资源信息进行筛选后,得到防火墙信息,保存至数据库中。
具体地,可以使用Python、Celery、Redis及requests技术,通过定时对现有防火墙系统(例如Kitty防火墙)进行数据提取,并根据预定范围(部门内部)的所述基础资源信息进行筛选(筛选部门的IP地址),然后补充Appid(应用编号)信息,并对源地址、目的地址、开通端口、SR_NUM、CH_NUM等字段进行落库。
在一种优选实施例中,所述步骤S300还进一步包括:
根据所述基础资源信息和所述防火墙信息生成所述预定范围内的应用防火墙访问关系画像。
例如,根据部门内部的基础资源信息和筛选后的防火墙信息形成该部门的应用防火墙访问关系画像。
S302,向客户端提供多维度的防火墙信息查询功能,当接收到客户端端的查询请求时,根据所述查询请求从所述数据库中获取相应的信息返回至客户端。
在本实施例中,在客户端可以利用Adminlte作为前端UI框架。
由于服务端已将基础资源信息和防火墙信息落库(并且形成了应用防火墙访问关系画像),因此可以依据数据库中已被处理好的各项数据为客户端提供不同维度的查询服务。通过在客户端的前端界面中向用户提供多维度的防火墙信息查询功能,可以接收到用户的防火墙查询请求,然后发送至服务端。服务端接收到所述查询请求后,根据所述查询请求中的查询条件从所述数据库中获取相应的信息,作为查询结果返回至客户端。
所述查询请求中可以包括一个或多个维度的查询条件。所述维度可以包括Appid、IP地址等。
在一种可选实施例中,在接收客户端的查询请求之前先要对客户端的用户进行登录验证(例如4A-API验证)。当验证成功后,客户端用户才能进行防火墙信息查询。
S304,当接收到用户端的防火墙信息导出请求时,根据所述导出请求从所述数据库中获取相应的信息,并按预定格式导出后返回至客户端。
所述防火墙信息导出请求可以是在所述查询请求的基础上,对查询结果请求导出;也可以是单独输入导出条件后,直接请求导出相应信息。
在本实施例中,所述防火墙信息导出一般包括防火墙历史信息导出、应用防火墙访问关系导出等。当接收到客户端的导出请求后,从所述数据库中可以获取到相应的信息,并按照预定格式进行导出,返回给客户端,以便用户查看。
S306,接收客户端开通新防火墙的申请,对防火墙申请信息通过防火墙系统的接口自动提交开通,并同步进行所述预定处理后保存至所述数据库。
具体而言,进一步参阅图6,为上述步骤S306的细化流程示意图。可以理解,该流程图不用于对执行步骤的顺序进行限定。根据需要,还可以对该流程图中的部分步骤进行添加或删减。在本实施例中,所述步骤S306具体包括:
S3060,接收客户端开通新防火墙的申请,从所述开通申请中获取防火墙申请信息。
当扩容新的服务器节点,需要开通新防火墙时,原先是要在防火墙系统中去申请,而申请之后无法方便快速地进行相关信息(例如防火墙应用访问关系)的扩容,需要运维人员手工维护更新。在本实施例中,可以直接在客户端的同一前端界面中进行防火墙信息查询、导出和开通新防火墙的申请。当接收到客户端发送的开通新防火墙的申请后,服务端从所述开通申请中获取防火墙申请信息。
S3062,通过对接防火墙系统的接口,将所述防火墙申请信息自动提交至所述防火墙系统进行开通。
在本实施例中,可以直接对接现有的防火墙系统(例如Kitty防火墙),通过所述防火墙系统提供的接口,将从所述开通请求中获取到的所述防火墙申请信息自动提交给所述防火墙系统,以开通所述新防火墙。
S3064,处理所述防火墙申请信息得到新增基础资源信息和新增防火墙信息,保存至所述数据库中。
所述防火墙申请信息中不仅包括防火墙信息,还包括新扩容的服务器节点信息以及相关的子系统、应用等信息。服务端将这些信息按照与所述步骤S300中类似的方式进行处理后,得到新增基础资源信息和新增防火墙信息,保存至所述数据库中(也就是将扩容信息同步落库),以供后续查询、导出。
S3066,更新所述应用防火墙访问关系画像。
当开通新的防火墙后,所述应用防火墙访问关系画像也需要随之发生变化。服务端可以根据所述新增基础资源信息和新增防火墙信息,更新所述应用防火墙访问关系画像。
参阅图7所示,为所述防火墙信息处理方法的一种可选的特定具体实施例的流程示意图。本领域技术人员当知,下述特定具体实施例的内容并不用于限制本发明的发明思想,本领域技术人员可以轻易依据下述实施例具体描述内容进行适当的内容发散和扩展。在图7中,所述防火墙信息处理方法包括但不限于:
(1)源数据提取,包括从CMS的API接口进行数据提取和从Kitty防火墙进行数据提取。
(2)判断所提取的数据是否为部门数据。若是,则执行下一步骤;若不是,则丢弃该数据。
(3)对所提取的数据进行数据清洗等处理(数据清洗落地)。
(4)将处理后的数据写入数据库。
(5)用户通过客户端的登录页面进行登录,利用CAS(Central AuthenticationService,中央认证服务)结合部门4A登录验证用户身份。验证通过后执行下一步骤。
(6)通过客户端的前端界面向用户提供防火墙查询、防火墙导出和防火墙申请功能。其中,当接收到开通新防火墙的申请时,通过Kitty防火墙提供的API接口自动提交开通。并且针对新防火墙同样要进行数据处理(数据落地)后写入数据库。
本实施例提供的防火墙信息处理方法,可以通过自动化、智能化进行自动提取部门相关应用的防火墙开通历史,并进行信息的自动录入落库,提供部门开发人员、测试人员、运维人员进行应用的开通历史查询、一键生成访问关系表、一键节点扩容提交新服务器的防火墙开通,减少以前开发、运维通过复杂、冗长、繁琐的历史邮件记录,服务器上抓包等人工操作,及时开通新服务器节点的防火墙,使新服务器节点可以及时部署代码进入联调,缩短不必要的防火墙整理开通时间,提高工作效率,避免浪费研发、测试、运维人员的处理时间。
实施例三
参阅图8所示,为本申请第三实施例提出一种电子装置2的硬件架构示意图。
本实施例中,所述电子装置2可包括,但不仅限于,可通过系统总线相互通信连接存储器11、处理器12、网络接口13。需要指出的是,图8仅示出了具有组件11-13的电子装置2,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。在本实施例中,所述电子装置2可以是所述服务端。
其中,所述存储器11至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,所述存储器11可以是所述电子装置2的内部存储单元,例如该电子装置2的硬盘或内存。在另一些实施例中,所述存储器11也可以是所述电子装置2的外部存储设备,例如该电子装置2上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。当然,所述存储器11还可以既包括所述电子装置2的内部存储单元也包括其外部存储设备。本实施例中,所述存储器11通常用于存储安装于所述电子装置2的操作系统和各类应用软件,例如防火墙信息处理系统200的程序代码等。此外,所述存储器11还可以用于暂时地存储已经输出或者将要输出的各类数据。
所述处理器12在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器12通常用于控制所述电子装置2的总体操作。本实施例中,所述处理器12用于运行所述存储器11中存储的程序代码或者处理数据,例如运行所述的防火墙信息处理系统200等。
所述网络接口13可包括无线网络接口或有线网络接口,该网络接口13通常用于在所述电子装置2与其他电子设备之间建立通信连接。
实施例四
参阅图9所示,为本申请第四实施例提出一种防火墙信息处理系统200的模块示意图。
本实施例中,所述防火墙信息处理系统200包括一系列的存储于存储器11上的计算机程序指令,当该计算机程序指令被处理器12执行时,可以实现本申请各实施例的防火墙信息处理操作。在一些实施例中,基于该计算机程序指令各部分所实现的特定的操作,防火墙信息处理系统200可以被划分为一个或多个模块。例如,在图9中,所述防火墙信息处理系统200可以被分割成获取模块201、查询模块202、导出模块203。其中:
所述获取模块201,用于获取基础信息源数据和防火墙源数据,进行预定处理后保存至数据库。
在本实施例中,源数据端包括基础信息源数据和防火墙源数据。所述基础信息源数据包括预定范围内(例如某个部门)的子系统、应用、服务器信息等,可以从CMS的API接口获取。所述防火墙源数据可以是各种防火墙系统中的防火墙开通数据,例如Kitty防火墙。
首先,获取预定范围的基础信息源数据,并进行数据格式化和清洗后,得到基础资源信息,保存至数据库中。
具体地,可以利用Python、Celery及Redis技术设计任务队列,定时从CMS API接口获取预定范围(部门)的子系统、应用、服务器信息,并进行数据格式化和清洗后,记录到mysql数据库的sys_info(子系统信息)、app_info(应用信息)、node_info(服务器节点信息)数据表内,作为(部门)基础资源信息。
并且,定时获取防火墙源数据,并根据所述基础资源信息进行筛选后,得到防火墙信息,保存至数据库中。
具体地,可以使用Python、Celery、Redis及requests技术,通过定时对现有防火墙系统(例如Kitty防火墙)进行数据提取,并根据预定范围(部门内部)的所述基础资源信息进行筛选(筛选部门的IP地址),然后补充Appid(应用编号)信息,并对源地址、目的地址、开通端口、SR_NUM、CH_NUM等字段进行落库。
在一种优选实施例中,还进一步包括:
根据所述基础资源信息和所述防火墙信息生成所述预定范围内的应用防火墙访问关系画像。
例如,根据部门内部的基础资源信息和筛选后的防火墙信息形成该部门的应用防火墙访问关系画像。
所述查询模块202,用于向客户端提供多维度的防火墙信息查询功能,当接收到客户端端的查询请求时,根据所述查询请求从所述数据库中获取相应的信息返回至客户端。
在本实施例中,由于获取模块201已将基础资源信息和防火墙信息落库(并且形成了应用防火墙访问关系画像),因此可以依据数据库中已被处理好的各项数据为客户端提供不同维度的查询服务。通过在客户端的前端界面中向用户提供多维度的防火墙信息查询功能,可以接收到用户的防火墙查询请求,然后发送至服务端。查询模块202接收到所述查询请求后,根据所述查询请求中的查询条件从所述数据库中获取相应的信息,作为查询结果返回至客户端。
所述查询请求中可以包括一个或多个维度的查询条件。所述维度可以包括Appid、IP地址等。
在一种可选实施例中,在接收客户端的查询请求之前先要对客户端的用户进行登录验证(例如4A-API验证)。当验证成功后,客户端用户才能进行防火墙信息查询。
所述导出模块203,用于当接收到用户端的防火墙信息导出请求时,根据所述导出请求从所述数据库中获取相应的信息,并按预定格式导出后返回至客户端。
所述防火墙信息导出请求可以是在所述查询请求的基础上,对查询结果请求导出;也可以是单独输入导出条件后,直接请求导出相应信息。
在本实施例中,所述防火墙信息导出一般包括防火墙历史信息导出、应用防火墙访问关系导出等。当接收到客户端的导出请求后,从所述数据库中可以获取到相应的信息,并按照预定格式进行导出,返回给客户端,以便用户查看。
本实施例提供的防火墙信息处理系统,可以结合行内现有CMS系统中的子系统、APP、服务器节点信息和防火墙系统中的防火墙开通数据,对原有数据进行抽取后,利用部门内部的源信息进行数据清洗和格式化落地(写入数据库),形成部门内部的应用防火墙访问关系画像。另外还提供了基于Appid、IP地址等多维度的数据查询及数据导出功能,弥补了现有行内防火墙系统无法基于IP地址或者是Appid查询防火墙开通历史,而且无法大批量的查询或者导出历史信息的不足。
实施例五
参阅图10所示,为本申请第五实施例提出一种防火墙信息处理系统200的模块示意图。在本实施例中,所述防火墙信息处理系统200除了包括第四实施例中的所述获取模块201、查询模块202、导出模块203之外,还包括新增模块204。
所述新增模块204,用于接收客户端开通新防火墙的申请,对防火墙申请信息通过防火墙系统的接口自动提交开通,并同步进行所述预定处理后保存至所述数据库。
首先,接收客户端开通新防火墙的申请,从所述开通申请中获取防火墙申请信息。
当扩容新的服务器节点,需要开通新防火墙时,原先是要在防火墙系统中去申请,而申请之后无法方便快速地进行相关信息(例如防火墙应用访问关系)的扩容,需要运维人员手工维护更新。在本实施例中,可以直接在客户端的同一前端界面中进行防火墙信息查询、导出和开通新防火墙的申请。当接收到客户端发送的开通新防火墙的申请后,新增模块204从所述开通申请中获取防火墙申请信息。
然后,通过对接防火墙系统的接口,将所述防火墙申请信息自动提交至所述防火墙系统进行开通。
在本实施例中,可以直接对接现有的防火墙系统(例如Kitty防火墙),通过所述防火墙系统提供的接口,将从所述开通请求中获取到的所述防火墙申请信息自动提交给所述防火墙系统,以开通所述新防火墙。
同时,处理所述防火墙申请信息得到新增基础资源信息和新增防火墙信息,保存至所述数据库中。
所述防火墙申请信息中不仅包括防火墙信息,还包括新扩容的服务器节点信息以及相关的子系统、应用等信息。新增模块204将这些信息按照与所述获取模块200类似的方式进行处理后,得到新增基础资源信息和新增防火墙信息,保存至所述数据库中(也就是将扩容信息同步落库),以供后续查询、导出。
另外,还要更新所述应用防火墙访问关系画像。
当开通新的防火墙后,所述应用防火墙访问关系画像也需要随之发生变化。新增模块204可以根据所述新增基础资源信息和新增防火墙信息,更新所述应用防火墙访问关系画像。
本实施例提供的防火墙信息处理系统,可以从防火墙系统中获取开通过的历史详细字段,通过比对部门基础资源信息,只抽取部门内部的防火墙信息,并补充上应用、子系统等可以作为检索标识的关键字段,并利用技术实现对于应用、IP的过往开通历史导出;同时,又集成了防火墙提交功能,使部门信息统一管理,符合公司要求的研发、测试日常敏捷工作的需要,提高工作效率。
实施例六
本申请还提供了另一种实施方式,即提供一种计算机可读存储介质,所述计算机可读存储介质存储有防火墙信息处理程序,所述防火墙信息处理程序可被至少一个处理器执行,以使所述至少一个处理器执行如上述的防火墙信息处理方法的步骤。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本申请各个实施例所述的方法。
以上仅为本申请的优选实施例,并非因此限制本申请的专利范围,凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本申请的专利保护范围内。
Claims (10)
1.一种防火墙信息处理方法,应用于配置中心服务端,其特征在于,所述方法包括:
获取基础信息源数据和防火墙源数据,进行预定处理后保存至数据库;
向客户端提供多维度的防火墙信息查询功能,当接收到客户端端的查询请求时,根据所述查询请求从所述数据库中获取相应的信息返回至客户端;
当接收到用户端的防火墙信息导出请求时,根据所述导出请求从所述数据库中获取相应的信息,并按预定格式导出后返回至客户端。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:
接收客户端开通新防火墙的申请,对防火墙申请信息通过防火墙系统的接口自动提交开通,并同步进行所述预定处理后保存至所述数据库。
3.如权利要求1或2所述的方法,其特征在于,所述获取基础信息源数据和防火墙源数据,进行预定处理后保存至数据库包括:
获取预定范围的基础信息源数据,并进行数据格式化和清洗后,得到基础资源信息,保存至数据库中;
定时获取防火墙源数据,并根据所述基础资源信息进行筛选后,得到防火墙信息,保存至数据库中。
4.如权利要求3所述的方法,其特征在于,所述获取基础信息源数据和防火墙源数据,进行预定处理后保存至数据库还包括:
根据所述基础资源信息和所述防火墙信息生成所述预定范围内的应用防火墙访问关系画像。
5.如权利要求1所述的方法,其特征在于,所述基础信息源数据包括预定范围内的子系统、应用、服务器信息;所述防火墙源数据包括各种防火墙系统中的防火墙开通数据。
6.如权利要求1所述的方法,其特征在于,所述维度包括应用编号、IP地址。
7.如权利要求2所述的方法,其特征在于,所述对防火墙申请信息通过防火墙系统的接口自动提交开通,并同步进行所述预定处理后保存至所述数据库包括:
从所述开通申请中获取防火墙申请信息;
通过对接防火墙系统的接口,将所述防火墙申请信息自动提交至所述防火墙系统进行开通;
处理所述防火墙申请信息得到新增基础资源信息和新增防火墙信息,保存至所述数据库中。
8.一种防火墙信息处理系统,其特征在于,所述系统包括:
获取模块,用于获取基础信息源数据和防火墙源数据,进行预定处理后保存至数据库;
查询模块,用于向客户端提供多维度的防火墙信息查询功能,当接收到客户端端的查询请求时,根据所述查询请求从所述数据库中获取相应的信息返回至客户端;
导出模块,用于当接收到用户端的防火墙信息导出请求时,根据所述导出请求从所述数据库中获取相应的信息,并按预定格式导出后返回至客户端。
9.一种电子装置,其特征在于,所述电子装置包括存储器、处理器,所述存储器上存储有可在所述处理器上运行的防火墙信息处理程序,所述防火墙信息处理程序被所述处理器执行时实现如权利要求1-7中任一项所述的防火墙信息处理方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有防火墙信息处理程序,所述防火墙信息处理程序可被至少一个处理器执行,以使所述至少一个处理器执行如权利要求1-7中任一项所述的防火墙信息处理方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210928466.2A CN115225407A (zh) | 2022-08-03 | 2022-08-03 | 防火墙信息处理方法、系统、电子装置及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210928466.2A CN115225407A (zh) | 2022-08-03 | 2022-08-03 | 防火墙信息处理方法、系统、电子装置及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115225407A true CN115225407A (zh) | 2022-10-21 |
Family
ID=83615682
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210928466.2A Pending CN115225407A (zh) | 2022-08-03 | 2022-08-03 | 防火墙信息处理方法、系统、电子装置及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115225407A (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060026674A1 (en) * | 2004-08-02 | 2006-02-02 | Ward Mark K | Firewall port search system |
US7657926B1 (en) * | 2004-03-19 | 2010-02-02 | 3Com Corporation | Enabling network communication from role based authentication |
KR20100133859A (ko) * | 2009-06-13 | 2010-12-22 | 윤성진 | 분산 방화 장치 및 방법 |
CN110247933A (zh) * | 2019-07-08 | 2019-09-17 | 中国工商银行股份有限公司 | 实现防火墙策略的方法和装置 |
CN111193744A (zh) * | 2019-12-31 | 2020-05-22 | 中信百信银行股份有限公司 | 防火墙策略查询、弹性伸缩方法及系统、设备、存储介质 |
US20200167396A1 (en) * | 2016-01-27 | 2020-05-28 | Salesforce.Com, Inc. | Networked Database Connectivity |
CN113542263A (zh) * | 2021-07-13 | 2021-10-22 | 中国工商银行股份有限公司 | 防火墙策略迁移方法及装置 |
-
2022
- 2022-08-03 CN CN202210928466.2A patent/CN115225407A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7657926B1 (en) * | 2004-03-19 | 2010-02-02 | 3Com Corporation | Enabling network communication from role based authentication |
US20060026674A1 (en) * | 2004-08-02 | 2006-02-02 | Ward Mark K | Firewall port search system |
KR20100133859A (ko) * | 2009-06-13 | 2010-12-22 | 윤성진 | 분산 방화 장치 및 방법 |
US20200167396A1 (en) * | 2016-01-27 | 2020-05-28 | Salesforce.Com, Inc. | Networked Database Connectivity |
CN110247933A (zh) * | 2019-07-08 | 2019-09-17 | 中国工商银行股份有限公司 | 实现防火墙策略的方法和装置 |
CN111193744A (zh) * | 2019-12-31 | 2020-05-22 | 中信百信银行股份有限公司 | 防火墙策略查询、弹性伸缩方法及系统、设备、存储介质 |
CN113542263A (zh) * | 2021-07-13 | 2021-10-22 | 中国工商银行股份有限公司 | 防火墙策略迁移方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108427705B (zh) | 电子装置、分布式系统日志查询方法及存储介质 | |
CN110309125B (zh) | 数据校验方法、电子装置及存储介质 | |
CN107844634B (zh) | 多元通用模型平台建模方法、电子设备及计算机可读存储介质 | |
CN108388599B (zh) | 电子装置、数据迁移及调用方法及存储介质 | |
CN108804618B (zh) | 数据库配置方法、装置、计算机设备和存储介质 | |
WO2019134339A1 (zh) | 脱敏方法、程序、应用服务器及计算机可读存储介质 | |
CN112491602B (zh) | 行为数据的监控方法、装置、计算机设备及介质 | |
CN111737227B (zh) | 数据修改方法及系统 | |
CN110928802A (zh) | 基于自动生成用例的测试方法、装置、设备及存储介质 | |
CN111414391A (zh) | 一种访问多数据源的方法及系统 | |
CN111651468A (zh) | 基于sql解析的数据更新方法、装置、电子设备及存储介质 | |
CN110825694A (zh) | 数据处理方法、装置、设备和存储介质 | |
WO2019095667A1 (zh) | 数据库数据采集方法、应用服务器及计算机可读存储介质 | |
CN111199028A (zh) | 资源信息访问方法、装置、计算机设备和存储介质 | |
CN111258799A (zh) | 报错信息处理方法、电子装置及计算机可读存储介质 | |
CN111342992A (zh) | 设备信息变更记录的处理方法及系统 | |
CN107133233B (zh) | 一种配置数据查询的处理方法及装置 | |
CN111723077A (zh) | 数据字典维护方法、装置及计算机设备 | |
CN111445319A (zh) | 一种凭证生成方法、装置、计算机设备及存储介质 | |
US10324766B1 (en) | Task profile collection | |
CN110866007B (zh) | 大数据应用和表的信息管理方法、系统和计算机设备 | |
CN111767262A (zh) | 日志展示方法、装置、设备及存储介质 | |
CN111552663A (zh) | 文件一致性验证方法、装置、计算机设备及存储介质 | |
CN111585897B (zh) | 请求路由管理方法、系统、计算机系统及可读存储介质 | |
CN115225407A (zh) | 防火墙信息处理方法、系统、电子装置及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |