CN116566732A - 防火墙策略有效性的确定方法及装置 - Google Patents
防火墙策略有效性的确定方法及装置 Download PDFInfo
- Publication number
- CN116566732A CN116566732A CN202310722011.XA CN202310722011A CN116566732A CN 116566732 A CN116566732 A CN 116566732A CN 202310722011 A CN202310722011 A CN 202310722011A CN 116566732 A CN116566732 A CN 116566732A
- Authority
- CN
- China
- Prior art keywords
- firewall
- firewall policy
- information
- policy
- determining
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 58
- 238000003860 storage Methods 0.000 claims abstract description 22
- 238000004458 analytical method Methods 0.000 claims abstract description 18
- 238000004590 computer program Methods 0.000 claims description 20
- 238000013507 mapping Methods 0.000 claims description 14
- 230000001502 supplementing effect Effects 0.000 claims description 4
- 238000013519 translation Methods 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 12
- 230000015654 memory Effects 0.000 description 10
- 238000004891 communication Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 6
- 238000012545 processing Methods 0.000 description 4
- 238000002955 isolation Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000014509 gene expression Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
- 230000001550 time effect Effects 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供了一种防火墙策略有效性的确定方法,可以应用于网络安全技术领域。该方法包括:响应于防火墙策略有效性的分析指令,获取目标防火墙策略信息;基于网络拓扑图对目标防火墙策略的有效性进行分析,以确定防火墙策略有效性,其中,所述网络拓扑图为根据防火墙配置信息预先生成的。本公开还提供了一种防火墙策略有效性的确定装置、设备、存储介质和程序产品。
Description
技术领域
本公开涉及网络安全技术领域,尤其涉及防火墙技术领域,具体涉及一种防火墙策略有效性的确定方法、装置、设备、存储介质和程序产品。
背景技术
业务系统在新上线等场景中,涉及网络防火墙等策略开通,防火墙策略开通需要依靠经验判断,是否可以开通。但仅依靠人为经验判断,容易产生误判的问题,且无法快速定位新增需求是否可以开通或者是否需要开通。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
鉴于上述问题,本公开提供了提高生产效率的防火墙策略有效性的确定方法、装置、设备、存储介质和程序产品。
根据本公开的第一个方面,提供了一种防火墙策略有效性的确定方法,包括:
响应于防火墙策略有效性的分析指令,获取目标防火墙策略信息;
基于网络拓扑图对目标防火墙策略的有效性进行分析,以确定防火墙策略有效性,
其中,所述网络拓扑图为根据防火墙配置信息预先生成的。
根据本公开的实施例,所述基于网络拓扑图对目标防火墙策略的有效性进行分析,以确定防火墙策略有效性包括:
根据所述目标防火墙策略信息确定目标防火墙策略的源地址、目的地址和协议类型;
根据所述源地址、所述目的地址和拓扑信息确定目标拓扑图;以及
根据所述目标拓扑图、所述协议类型和所述网络拓扑图确定所述目标防火墙策略的可行性。
根据本公开的实施例,根据防火墙配置信息预先生成网络拓扑图包括:
收集防火墙配置信息;
根据所述防火墙配置信息确定安全域和路由映射关系;
根据所述防火墙配置信息确定访问策略的信息要素;
根据所述信息要素和所述映射关系生成网络拓扑图;以及
将每个安全域的网络协议网段配置信息补充至所述网络拓扑图中。
根据本公开的实施例,所述防火墙配置信息包括安全域名称、访问策略、网络地址转换映射信息和路由信息,所述收集防火墙配置信息包括:
根据网络设备登陆信息登陆防火墙设备;
根据防火墙设备型号确定对应的脚本;以及
运行所述脚本以收集防火墙配置信息。
根据本公开的实施例,所述访问策略的信息要素包括安全域名称、路由、源地址、目的地址、协议类型、端口信息和拒绝/允许信息。
根据本公开的实施例,所述目标防火墙策略包括新增防火墙策略。
本公开的第二方面提供了一种防火墙策略有效性的确定装置,包括:
获取模块,用于响应于防火墙策略有效性的分析指令,获取目标防火墙策略信息;
防火墙策略分析模块,用于基于网络拓扑图对目标防火墙策略的有效性进行分析,以确定防火墙策略有效性,
其中,所述网络拓扑图为根据防火墙配置信息预先生成的。
本公开的第三方面提供了一种电子设备,包括:一个或多个处理器;存储器,用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得一个或多个处理器执行上述防火墙策略有效性的确定方法。
本公开的第四方面还提供了一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行上述基于防火墙策略有效性的确定方法。
本公开的第五方面还提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述防火墙策略有效性的确定方法。
通过本公开实施例提供的防火墙策略有效性的确定方法,通过图形展示的方式将防火墙策略可视化,当出现新增防火墙策略时,可通过网络拓扑图对防火墙策略的有效性进行判断,直观体现防火墙是否已开通该策略或是否可以开通策略,相较于依靠人为经验判断的方式,本公开实施例提供的防火墙策略有效性的确定方法对防火墙策略分析更准确,效率更高。
附图说明
通过以下参照附图对本公开实施例的描述,本公开的上述内容以及其他目的、特征和优点将更为清楚,在附图中:
图1示意性示出了根据本公开实施例的防火墙策略有效性的确定方法、装置、设备、存储介质和程序产品的应用场景图;
图2示意性示出了根据本公开实施例的防火墙策略有效性的确定方法的流程图;
图3示意性示出了根据本公开实施例的网络拓扑图的生成方法的流程图;
图4示意性示出了根据本公开实施例的防火墙配置信息的获取方法的流程图;
图5示意性示出了根据本公开实施例的基于网络拓扑图对目标防火墙策略的有效性进行分析的方法的流程图;
图6示意性示出了根据本公开实施例的防火墙策略有效性的确定装置的结构框图;以及
图7示意性示出了根据本公开实施例的适于实现防火墙策略有效性的确定方法的电子设备的方框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。
首先对本公开实施例出现的术语进行解释:
防火墙:用于网络安全管理和数据的过滤与转发。防火墙可以根据预先设定的规则对网络中的数据进行过滤,只允许符合特定规则的数据通过。
安全域:是若干接口所连网络的集合,这些网络中的用户具有相同的安全属性。
基于上述技术问题,本公开的实施例提供了一种防火墙策略有效性的确定方法,包括:响应于防火墙策略有效性的分析指令,获取目标防火墙策略信息;基于网络拓扑图对目标防火墙策略的有效性进行分析,以确定防火墙策略有效性,其中,所述网络拓扑图为根据防火墙配置信息预先生成的。
图1示意性示出了根据本公开实施例的防火墙策略有效性的确定方法、装置、设备、存储介质和程序产品的应用场景图。
如图1所示,根据该实施例的应用场景100可以包括防火墙策略分析场景。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备101、102、103通过网络104与服务器105交互,以接收或发送消息等。终端设备101、102、103上可以安装有各种通讯客户端应用,例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等(仅为示例)。
终端设备101、102、103可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务器105可以是提供各种服务的服务器,例如对用户利用终端设备101、102、103所发出的防火墙策略有效性的确定指令,基于预先生成的网络拓扑图对目标防火墙策略的有效性进行分析。服务器105可以通过防火墙配置信息生成网络拓扑图,根据目标防火墙策略的源地址、目的地址和协议类型等信息匹配网络拓扑图,进而确定目标防火墙策略的有效性。
需要说明的是,本公开实施例所提供的防火墙策略有效性的确定方法一般可以由服务器105执行。相应地,本公开实施例所提供的基防火墙策略有效性的确定装置一般可以设置于服务器105中。本公开实施例所提供的防火墙策略有效性的确定方法也可以由不同于服务器105且能够与终端设备101、102、103和/或服务器105通信的服务器或服务器集群执行。相应地,本公开实施例所提供的防火墙策略有效性的确定装置也可以设置于不同于服务器105且能够与终端设备101、102、103和/或服务器105通信的服务器或服务器集群中。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
以下将基于图1描述的场景,通过图2~图6对公开实施例的防火墙策略有效性的确定方法进行详细描述。
图2示意性示出了根据本公开实施例的防火墙策略有效性的确定方法的流程图。
如图2所示,该实施例的防火墙策略有效性的确定方法包括操作S210和操作S220,该防火墙策略有效性的确定方法可以由服务器或其他计算设备执行。
在操作S210,响应于防火墙策略有效性的分析指令,获取目标防火墙策略信息。
根据本公开的实施例,目标防火墙策略包括新增防火墙策略。
在操作S220,基于网络拓扑图对目标防火墙策略的有效性进行分析,以确定防火墙策略有效性。
根据本公开的实施例,所述网络拓扑图为根据防火墙配置信息预先生成的。
一个示例中,当业务系统在新上线等场景中,往往涉及网络防火墙策略的变更,例如防火墙策略的新增,本公开实施例中的目标防火墙策略即包括新增防火墙策略,也可以包括变更的防火墙策略,为了更准确的判断目标防火墙策略的有效性,为防火墙策略开通提供决策,需要先梳理现有防火墙配置信息,根据防火墙配置信息生成网络拓扑图,通过学习网络防火墙安全域的形式,将防火墙防护隔离安全域直观展现出来,形成局域网按安全域隔离分块,对每个安全域之间访问权限梳理清楚,并进行清晰直观的图形化展示,根据目标防火墙策略的源地址目的地址等信息匹配网络拓扑图,从而确定目标防火墙策略的合理性和可行性,辅助防火墙策略的提出。网络拓扑图的具体生成过程可参见图3所示的操作S310~操作S350。
通过本公开实施例提供的防火墙策略有效性的确定方法,通过图形展示的方式将防火墙策略可视化,当出现新增防火墙策略时,可通过网络拓扑图对防火墙策略的有效性进行判断,直观体现防火墙是否已开通该策略或是否可以开通策略,相较于依靠人为经验判断的方式,本公开实施例提供的防火墙策略有效性的确定方法对防火墙策略分析更准确,效率更高。
首先结合图3介绍网络拓扑图的生成过程。图3示意性示出了根据本公开实施例的网络拓扑图的生成方法的流程图。图4示意性示出了根据本公开实施例的防火墙配置信息的获取方法的流程图。如图3所示,包括操作S310~操作S350。
在操作S310,收集防火墙配置信息。
根据本公开的实施例,所述防火墙配置信息包括安全域名称、访问策略、网络地址转换映射信息和路由信息。
如图4所示,操作S310包括操作S311~操作S313。
在操作S311,根据网络设备登陆信息登陆防火墙设备。
在操作S312,根据防火墙设备型号确定对应的脚本。
在操作S313,运行所述脚本以收集防火墙配置信息。
一个示例中,本公开实施例提供的方法主要由python语言编写,使用到python中的模块主要如下:
1)Pexpect库:实现与ssh、ftp、passwd和telnet等程序的自动交互,实现设备登录。
2)Time库:运行访问多种类型的时钟,实现记录当前时间效果。
3)OS库:通过文件及目录读写,实现文件生成与读写。
4)Matplotlib库:创建二维图和图形的底层库,构建不同网络模型的图标。
5)Networkx库:创建和处理复杂的图网络结构,生成网络拓扑图。
一个示例中,首先进行环境准备,安装Python 3.10.0on win32,准备Pexpect、Time、OS、Matplotlib、Networkx库;获取可ssh登录所有防火墙、交换机等网络设备权限;准备网络设备登录信息,包括每台设备登录ip、登录用户名、密码。通过Pexpect实现设备登录,并判断是否可以登录设备,检查设备厂商及型号,判断是否为防火墙设备。根据厂商信息防火墙设备型号确定相应的脚本,收集防火墙配置信息。收集的防火墙配置信息包括设备型号、安全域名称、安全域优先级、访问策略、nat映射信息、路由信息等。
在操作S320,根据所述防火墙配置信息确定安全域和路由映射关系。
在操作S330,根据所述防火墙配置信息确定访问策略的信息要素。
根据本公开的实施例,访问策略的信息要素包括安全域名称、路由、源地址、目的地址、协议类型、端口信息和拒绝/允许信息。
一个示例中,基于操作S310收集的防火墙配置信息,进一步分析防火墙配置安全域信息和防火墙互联交换机接口引流信息。分析安全域和路由映射关系,收集访问策略中每一条的信息要素,信息要素包括安全域名称、路由、源地址、目的地址、协议类型、端口、拒绝或允许信息。将记录所有条目信息存入数据库,作为权限是否放行依据。
在操作S340,根据所述信息要素和所述映射关系生成网络拓扑图。
在操作S350,将每个安全域的网络协议网段配置信息补充至所述网络拓扑图中。
一个示例中,根据上一步信息要素,分析安全域名称。通过识别域控和路由信息,使用Networkx生成拓扑图,标记清楚可跨区同行流量信息。配置每个逻辑安全域ip网段,补充至Networkx生成的拓扑图中,形成最终的网络拓扑图。
通过本公开实施例提供的网络拓扑图的生成方法设计拓扑图,清晰展现网络架构,重点突出隔离安全域信息,实现防火墙控制可视化。
下面将结合图5介绍目标防火墙策略有效性的分析过程。图5示意性示出了根据本公开实施例的基于网络拓扑图对目标防火墙策略的有效性进行分析的方法的流程图。如图5所示,操作S220包括操作S221~操作S223。
在操作S221,根据所述目标防火墙策略信息确定目标防火墙策略的源地址、目的地址和协议类型。
在操作S222,根据所述源地址、所述目的地址和拓扑信息确定目标拓扑图。
在操作S223,根据所述目标拓扑图、所述协议类型和所述网络拓扑图确定所述目标防火墙策略的可行性。
一个示例中,当出现新增防火墙策略时,为了验证该策略的合理性和可行性,避免人为经验判断的局限性,通过输入需求信息,包括目标防火墙策略的源地址、目的地址和协议类型等信息,去匹配前述中预先生成的拓扑信息,生成目标拓扑图,目标拓扑图用于表征新增防火墙策略的数据流量的路由映射关系,从而确定新增防火墙策略是否可开通,从而确定目标防火墙策略的有效性。通过图形化展示,解决依靠人为经验判断,出现误判的问题,清晰展示需求合理性及可行性,提高生产效率。
基于上述防火墙策略有效性的确定方法,本公开还提供了一种防火墙策略有效性的确定装置。以下将结合图6对该装置进行详细描述。
图6示意性示出了根据本公开实施例的防火墙策略有效性的确定装置的结构框图。
如图6所示,该实施例的防火墙策略有效性的确定装置600包括获取模块610和防火墙策略分析模块620。
获取模块610用于响应于防火墙策略有效性的分析指令,获取目标防火墙策略信息。在一实施例中,获取模块610可以用于执行前文描述的操作S210,在此不再赘述。
防火墙策略分析模块620用于基于网络拓扑图对目标防火墙策略的有效性进行分析,以确定防火墙策略有效性,其中,所述网络拓扑图为根据防火墙配置信息预先生成的。在一实施例中,防火墙策略分析模块620可以用于执行前文描述的操作S220,在此不再赘述。
根据本公开的实施例,还包括:网络拓扑图生成模块,用于根据防火墙配置信息预先生成网络拓扑图。
网络拓扑图生成模块包括收集子模块、第一确定子模块、第二确定子模块、第一生成子模块和第二生成子模块。
收集子模块,用于收集防火墙配置信息。在一实施例中,收集子模块可以用于执行前文描述的操作S310,在此不再赘述。
第一确定子模块,用于根据所述防火墙配置信息确定安全域和路由映射关系。在一实施例中,第一确定子模块可以用于执行前文描述的操作S320,在此不再赘述。
第二确定子模块,用于根据所述防火墙配置信息确定访问策略的信息要素。在一实施例中,第二确定子模块可以用于执行前文描述的操作S330,在此不再赘述。
第一生成子模块,用于根据所述信息要素和所述映射关系生成网络拓扑图。在一实施例中,第一生成子模块可以用于执行前文描述的操作S340,在此不再赘述。
第二生成子模块,用于将每个安全域的网络协议网段配置信息补充至所述网络拓扑图中。在一实施例中,第二生成子模块可以用于执行前文描述的操作S360,在此不再赘述。
根据本公开的实施例,所述收集子模块包括登陆单元、确定单元和收集单元。
登陆单元,用于根据网络设备登陆信息登陆防火墙设备。在一实施例中,登陆单元可以用于执行前文描述的操作S311,在此不再赘述。
确定单元,用于根据防火墙设备型号确定对应的脚本。在一实施例中,确定单元可以用于执行前文描述的操作S312,在此不再赘述。
收集单元,运行所述脚本以收集防火墙配置信息。在一实施例中,收集单元可以用于执行前文描述的操作S313,在此不再赘述。
根据本公开的实施例,防火墙策略分析模块包括第三确定子模块、第四确定子模块和第五确定子模块。
第三确定子模块,用于根据所述目标防火墙策略信息确定目标防火墙策略的源地址、目的地址和协议类型。在一实施例中,第三确定子模块可以用于执行前文描述的操作S221,在此不再赘述。
第四确定子模块,用于根据所述源地址、所述目的地址和拓扑信息确定目标拓扑图。在一实施例中,第四确定子模块可以用于执行前文描述的操作S222,在此不再赘述。
第五确定子模块,用于根据所述目标拓扑图、所述协议类型和所述网络拓扑图确定所述目标防火墙策略的可行性。在一实施例中,第五确定子模块可以用于执行前文描述的操作S223,在此不再赘述。
根据本公开的实施例,获取模块610和防火墙策略分析模块620中的任意多个模块可以合并在一个模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。根据本公开的实施例,获取模块610和防火墙策略分析模块620中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,获取模块610和防火墙策略分析模块620中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
图7示意性示出了根据本公开实施例的适于实现防火墙策略有效性的确定方法的电子设备的方框图。
如图7所示,根据本公开实施例的电子设备500包括处理器501,其可以根据存储在只读存储器(ROM)502中的程序或者从存储部分508加载到随机访问存储器(RAM)503中的程序而执行各种适当的动作和处理。处理器501例如可以包括通用微处理器(例如CPU)、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC))等等。处理器501还可以包括用于缓存用途的板载存储器。处理器501可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
在RAM 503中,存储有电子设备500操作所需的各种程序和数据。处理器501、ROM502以及RAM 503通过总线504彼此相连。处理器501通过执行ROM 502和/或RAM 503中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意,程序也可以存储在除ROM502和RAM 503以外的一个或多个存储器中。处理器501也可以通过执行存储在一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。
根据本公开的实施例,电子设备500还可以包括输入/输出(I/O)接口505,输入/输出(I/O)接口505也连接至总线504。电子设备500还可以包括连接至I/O接口505的以下部件中的一项或多项:包括键盘、鼠标等的输入部分506;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分507;包括硬盘等的存储部分508;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分509。通信部分509经由诸如因特网的网络执行通信处理。驱动器510也根据需要连接至I/O接口505。可拆卸介质511,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器510上,以便于从其上读出的计算机程序根据需要被安装入存储部分508。
本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的;也可以是单独存在,而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的方法。
根据本公开的实施例,计算机可读存储介质可以是非易失性的计算机可读存储介质,例如可以包括但不限于:便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。例如,根据本公开的实施例,计算机可读存储介质可以包括上文描述的ROM 502和/或RAM 503和/或ROM 502和RAM 503以外的一个或多个存储器。
本公开的实施例还包括一种计算机程序产品,其包括计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。当计算机程序产品在计算机系统中运行时,该程序代码用于使计算机系统实现本公开实施例所提供的防火墙策略有效性的确定方法。
在该计算机程序被处理器501执行时执行本公开实施例的系统/装置中限定的上述功能。根据本公开的实施例,上文描述的系统、装置、模块、单元等可以通过计算机程序模块来实现。
在一种实施例中,该计算机程序可以依托于光存储器件、磁存储器件等有形存储介质。在另一种实施例中,该计算机程序也可以在网络介质上以信号的形式进行传输、分发,并通过通信部分509被下载和安装,和/或从可拆卸介质911被安装。该计算机程序包含的程序代码可以用任何适当的网络介质传输,包括但不限于:无线、有线等等,或者上述的任意合适的组合。
在这样的实施例中,该计算机程序可以通过通信部分509从网络上被下载和安装,和/或从可拆卸介质911被安装。在该计算机程序被处理器501执行时,执行本公开实施例的系统中限定的上述功能。根据本公开的实施例,上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。
根据本公开的实施例,可以以一种或多种程序设计语言的任意组合来编写用于执行本公开实施例提供的计算机程序的程序代码,具体地,可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。程序设计语言包括但不限于诸如Java,C++,python,“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域技术人员可以理解,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合或/或结合,即使这样的组合或结合没有明确记载于本公开中。特别地,在不脱离本公开精神和教导的情况下,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。
以上对本公开的实施例进行了描述。但是,这些实施例仅仅是为了说明的目的,而并非为了限制本公开的范围。尽管在以上分别描述了各实施例,但是这并不意味着各个实施例中的措施不能有利地结合使用。本公开的范围由所附权利要求及其等同物限定。不脱离本公开的范围,本领域技术人员可以做出多种替代和修改,这些替代和修改都应落在本公开的范围之内。
Claims (10)
1.一种防火墙策略有效性的确定方法,其特征在于,包括:
响应于防火墙策略有效性的分析指令,获取目标防火墙策略信息;
基于网络拓扑图对目标防火墙策略的有效性进行分析,以确定防火墙策略有效性,
其中,所述网络拓扑图为根据防火墙配置信息预先生成的。
2.根据权利要求1所述的方法,其特征在于,所述基于网络拓扑图对目标防火墙策略的有效性进行分析,以确定防火墙策略有效性包括:
根据所述目标防火墙策略信息确定目标防火墙策略的源地址、目的地址和协议类型;
根据所述源地址、所述目的地址和拓扑信息确定目标拓扑图;以及
根据所述目标拓扑图、所述协议类型和所述网络拓扑图确定所述目标防火墙策略的可行性。
3.根据权利要求1所述的方法,其特征在于,根据防火墙配置信息预先生成网络拓扑图包括:
收集防火墙配置信息;
根据所述防火墙配置信息确定安全域和路由映射关系;
根据所述防火墙配置信息确定访问策略的信息要素;
根据所述信息要素和所述映射关系生成网络拓扑图;以及
将每个安全域的网络协议网段配置信息补充至所述网络拓扑图中。
4.根据权利要求3所述的方法,其特征在于,所述防火墙配置信息包括安全域名称、访问策略、网络地址转换映射信息和路由信息,所述收集防火墙配置信息包括:
根据网络设备登陆信息登陆防火墙设备;
根据防火墙设备型号确定对应的脚本;以及
运行所述脚本以收集防火墙配置信息。
5.根据权利要求3所述的方法,其特征在于,所述访问策略的信息要素包括安全域名称、路由、源地址、目的地址、协议类型、端口信息和拒绝/允许信息。
6.根据权利要求1至5中任一项所述的方法,其特征在于,所述目标防火墙策略包括新增防火墙策略。
7.一种防火墙策略有效性的确定装置,其特征在于,包括:
获取模块,用于响应于防火墙策略有效性的分析指令,获取目标防火墙策略信息;
防火墙策略分析模块,用于基于网络拓扑图对目标防火墙策略的有效性进行分析,以确定防火墙策略有效性,
其中,所述网络拓扑图为根据防火墙配置信息预先生成的。
8.一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行根据权利要求1~6中任一项所述的方法。
9.一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行根据权利要求1~6中任一项所述的方法。
10.一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现根据权利要求1~6中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310722011.XA CN116566732A (zh) | 2023-06-16 | 2023-06-16 | 防火墙策略有效性的确定方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310722011.XA CN116566732A (zh) | 2023-06-16 | 2023-06-16 | 防火墙策略有效性的确定方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116566732A true CN116566732A (zh) | 2023-08-08 |
Family
ID=87494874
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310722011.XA Pending CN116566732A (zh) | 2023-06-16 | 2023-06-16 | 防火墙策略有效性的确定方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116566732A (zh) |
-
2023
- 2023-06-16 CN CN202310722011.XA patent/CN116566732A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10666670B2 (en) | Managing security breaches in a networked computing environment | |
| US10116702B2 (en) | Security policy unification across different security products | |
| US11863410B2 (en) | System and method for conducting intelligent traffic flow analytics | |
| US9680875B2 (en) | Security policy unification across different security products | |
| US7930158B2 (en) | Method and apparatus for multi-realm system modeling | |
| US20160212167A1 (en) | Classification of security policies across multiple security products | |
| US10992585B1 (en) | Unified network traffic controllers for multi-service environments | |
| CN111934922B (zh) | 一种网络拓扑的构建方法、装置、设备、存储介质 | |
| AU2015267387A1 (en) | Method and apparatus for automating the building of threat models for the public cloud | |
| US11489745B2 (en) | Methods, systems and computer readable media for providing a declarative network monitoring environment | |
| US7930159B1 (en) | Method and apparatus for multi-realm system modeling | |
| US9521167B2 (en) | Generalized security policy user interface | |
| CN113542074B (zh) | 一种可视化管理kubernetes集群的东西向网络流量的方法及系统 | |
| US20220141189A1 (en) | Enabling private communication in public multi-cloud environments | |
| US20160110431A1 (en) | Storage Area Network Zone Optimization | |
| CN116566732A (zh) | 防火墙策略有效性的确定方法及装置 | |
| Rendon et al. | A mashup-based approach for virtual SDN management | |
| US11757845B2 (en) | Private communication service in a public cloud environment | |
| US11210156B1 (en) | Intelligent distributed tracing | |
| US11805021B1 (en) | Network path recommendations for services executing on cloud platforms | |
| US20240146626A1 (en) | Ingress traffic classification in container network clusters | |
| EP3866040A1 (en) | Security policy unification across different security products | |
| CN115001964B (zh) | 一种管理防火墙的方法和装置 | |
| Sabale et al. | Implement and Manage Networking for Azure Virtual Desktop | |
| De Tender et al. | Optimizing IT Operations Using Azure Monitor and Log Analytics |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |