CN117596139A - 一种防火墙的配置命令生成方法及装置 - Google Patents
一种防火墙的配置命令生成方法及装置 Download PDFInfo
- Publication number
- CN117596139A CN117596139A CN202410071448.6A CN202410071448A CN117596139A CN 117596139 A CN117596139 A CN 117596139A CN 202410071448 A CN202410071448 A CN 202410071448A CN 117596139 A CN117596139 A CN 117596139A
- Authority
- CN
- China
- Prior art keywords
- configuration
- strategy
- policy
- firewall
- parameter set
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 61
- 238000013507 mapping Methods 0.000 claims description 86
- 230000008569 process Effects 0.000 claims description 16
- 238000004590 computer program Methods 0.000 claims description 12
- 238000003860 storage Methods 0.000 claims description 11
- 238000012545 processing Methods 0.000 claims description 10
- 238000004891 communication Methods 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 12
- 230000006870 function Effects 0.000 description 6
- 238000004458 analytical method Methods 0.000 description 5
- 238000012986 modification Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 230000009471 action Effects 0.000 description 4
- 230000009191 jumping Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000009826 distribution Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 239000011148 porous material Substances 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0889—Techniques to speed-up the configuration process
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0894—Policy-based network configuration management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种防火墙的配置命令生成方法及装置,其中方法包括:获取配置需求表,配置需求表包括第一参数集合和第二参数集合;如果预设策略库中存在包括第一参数集合的出向策略,根据出向策略生成第一配置命令;如果预设策略库中存在包括第二参数集合的入向策略,根据入向策略生成第二配置命令;向第一防火墙发送第一配置命令,向第二防火墙发送第二配置命令。通过上述方式,本申请解决了现有技术中防火墙的配置命令生成耗时长,复杂度高的问题,提升了防火墙配置命令的生成效率。
Description
技术领域
本发明实施例涉及网络传输领域,尤其涉及一种防火墙的配置命令生成方法及装置。
背景技术
为了保护网络资产和敏感数据,网络用户普遍采用防火墙作为网络安全的重要组成部分。不同的用户网络中常常存在着多种不同品牌的防火墙设备,这些防火墙设备可以提供多层次的安全防护,通过不同的策略组合,生成对应的配置命令,防范各种网络威胁,并且可以避免依赖单一厂商的防火墙设备,从而降低故障风险,提高适用性。
然而,随着用户网络规模的不断扩大,策略数目增长迅速,使防火墙配置的复杂度大大提升,同时,由于策略的条目存在上限,用户网络规模的扩大增加了策略管理的压力与复杂度,为配置命令的生成带来不便,也增加了全面进行数据分析网络运维的困难度。
发明内容
为了解决现有技术中防火墙的配置命令生成耗时长,复杂度高的问题,本申请实施例提供了一种防火墙的配置命令生成方法及装置。
第一方面,本申请提供一种防火墙的配置命令生成方法,该方法可以通过计算设备来执行,该计算设备可以理解为用于处理本申请的防火墙的配置命令生成方法的存储器、处理器等,本申请在此不具体限定,该方法执行如下:
获取配置需求表;配置需求表包括从第一服务器访问第二服务器所需的配置参数,配置参数包括第一服务器对应的第一参数集合,和第二服务器对应第二参数集合;如果预设策略库中存在包括第一参数集合的出向策略,根据出向策略生成第一配置命令;第一配置命令用于指示第一服务器对应第一防火墙根据出向策略处理第一服务器与第二服务器之间的数据包;如果预设策略库中存在包括第二参数集合的入向策略,根据入向策略生成第二配置命令;第二配置命令用于指示第二服务器对应第二防火墙根据入向策略处理第一服务器与第二服务器之间的数据包;向第一防火墙发送第一配置命令,向第二防火墙发送第二配置命令。
上述方案中,本申请在获取配置需求表后,在预设的策略库中查询包括第一服务器对应的的第一参数集合的出向策略与包括第二服务器对应的第二参数集合的入向策略,并根据出向策略与入向策略为第一服务器和第二服务器分别下发对应的配置命令,通过该方式为服务器对应的防火墙生成配置命令,实现了对各种品牌不同、对应网段不同的防火墙的不同策略的配置命令的快速生成,同时,通过预设策略库对不同防火墙的出向策略与入向策略分别进行存储,实现了自动对应不同的防火墙快速查询对应策略,并根据策略生成配置命令的过程,加快了下发配置命令的效率。
在一种可能的实施方式中,如果预设策略库中存在配置参数与配置需求表中的所有参数完全一致的出向策略和入向策略,则出向策略存在已生成的第一配置命令,且入向策略存在已生成的第二配置命令;向第一防火墙发送第一配置命令,向第二防火墙发送第二配置命令。
上述方案中,若策略库中存在出向策略与入向策略包括配置需求表中的所有参数,则提出该访问需求的第一服务器和第二服务器之间已经建立过第一配置命令和第二配置命令,将对应的第一配置命令和第二配置命令分别下发给第一防火墙和第二防火墙,避免了策略的重复建立,在同一需求再次提出时,能够快速为对应的防火墙下发配置命令,提高重复生成配置命令的效率。
在一种可能的实施方式中,第一参数集合包括第一服务器的地址配置参数、映射配置参数和端口配置参数;预设策略库中存在包括第一参数集合的出向策略,包括:如果出向策略中包括与第一参数集合的地址配置参数、映射配置参数和端口配置参数中至少两项一致的参数,则出向策略为包括第一参数集合的出向策略。
在一种可能的实施方式中,如果出向策略中包括与第一参数集合中的两项参数一致的参数,则将第一参数集合中剩余的参数添加至出向策略中。
上述方案中,第一参数集合包括地址配置参数,策略配置参数和端口配置参数,若策略库中存在与第一参数集合包括的三种参数中的其中两项参数一致的出向策略,则直接将剩下的一种参数添加至对应的出向策略中,不需要再新建一个出向策略,通过这种方式,减少了出向策略的新建,也减少了策略管理的压力和复杂度,同时,通过在已有的出向策略中添加对应缺少的参数,加快了生成策略的速度,减少重复的工作量,降低生成对应的第一配置命令的复杂度。
在一种可能的实施方式中,第二参数集合包括第二服务器的地址配置参数、映射配置参数和端口配置参数;预设策略库中存在包括第二参数集合的入向策略,包括:如果入向策略中包括与第二参数集合的地址配置参数、映射配置参数和端口配置参数中至少两项完全一致的参数,则入向策略为包括第二参数集合的入向策略。
在一种可能的实施方式中,如果入向策略中包括与第二参数集合中的两项参数一致的参数,则将第二参数集合中剩余的参数添加至入向策略中。
上述方案中,第二参数集合包括地址配置参数,策略配置参数和端口配置参数,若策略库中存在与第二参数集合包括的三种参数中的其中两项参数一致的入向策略,则直接将剩下的一种参数添加至对应的入向策略中,不需要再新建一个入向策略,通过这种方式,减少了入向策略的新建,也减少了策略管理的压力和复杂度,同时,通过在已有的入向策略中添加对应缺少的参数,加快了生成策略的速度,减少重复的工作量,降低生成对应的第二配置命令的复杂度。
在一种可能的实施方式中,如果预设策略库中不存在包括第一参数集合的出向策略,根据第一参数集合建立新的出向策略,并根据新的出向策略生成第一配置命令;如果预设策略库中不存在包括第二参数集合的入向策略,根据第二参数集合建立新的入向策略,并根据新的入向策略生成第二配置命令。
通过该方案,在接收到新的访问需求的配置需求表时,由于策略库中不存在包含第一参数集合与第二参数集合的相关策略,为该访问需求建立新的出向策略与入向策略,将新建的出向策略与入向策略存储在预设策略库中,并根据新建的出向策略和入向策略生成对应的第一配置命令与第二配置命令,实现了为防火墙生成配置命令的灵活性,做到不断对策略库进行更新,为后续的防火墙配置命令下发过程提升效率。
第二方面,本申请实施例提供了一种防火墙的配置命令生成装置,包括: 获取模块、处理模块、发送模块;
其中,获取模块,用于获取配置需求表;配置需求表包括从第一服务器访问第二服务器所需的配置参数,配置参数包括第一服务器对应的第一参数集合,和第二服务器对应第二参数集合;处理模块,用于如果预设策略库中存在包括第一参数集合的出向策略,根据出向策略生成第一配置命令;第一配置命令用于指示第一服务器对应第一防火墙根据出向策略处理第一服务器与第二服务器之间的数据包;如果预设策略库中存在包括第二参数集合的入向策略,根据入向策略生成第二配置命令;第二配置命令用于指示第二服务器对应第二防火墙根据入向策略处理第一服务器与第二服务器之间的数据包;发送模块,用于向第一防火墙发送第一配置命令,向第二防火墙发送第二配置命令。
在一种可能的实施方式中,处理模块还用于如果预设策略库中不存在包括第一参数集合的出向策略,根据第一参数集合建立新的出向策略,并根据新的出向策略生成第一配置命令;如果预设策略库中不存在包括第二参数集合的入向策略,根据第二参数集合建立新的入向策略,并根据新的入向策略生成第二配置命令。
第三方面,本申请还提供一种计算设备,包括:存储器,用于存储程序指令;处理器,用于调用存储器中存储的程序指令,按照获得的程序指令执行实现上述第一方面的任意方法。
第四方面,本申请还提供一种计算机可读存储介质,其中存储有计算机可读指令,当计算机读取并执行计算机可读指令时,实现上述第一方面的任意方法。
第五方面,本申请提供了一种计算机程序产品,包括有可由计算机设备执行的计算机程序,当程序在计算机设备上运行时,使得计算机设备执行实现上述第一方面的任意方法。
上述第二方面至第五方面可以达到的技术效果,请参照上述第一方面中相应可能设计方案可以达到的技术效果说明,本申请这里不再重复赘述。
本申请的其它特征和优点将在随后的说明书中阐述,并且部分地从说明书中变得显而易见,或者通过实施本申请而了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
图1为本发明实施例提供的一种系统架构图;
图2为本发明实施例提供的一种防火墙的配置命令生成方法的流程示意图;
图3为本发明实施例提供的一种防火墙的配置命令生成方法的流程示意图;
图4为本发明实施例提供的防火墙的配置命令生成装置示意图;
图5为本发明实施例提供的一种计算设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
本申请下述实施例中,“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B 的情况,其中A,B可以是单数或者复数。字符“以是一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)下或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b或c中的至少一项(个),可以表示:a,b,c,a-b,a-c,b-c,或a-b-c,其中a,b,c可以是单个,也可以是多个。单数表达形式“一个”、“一种”、“上述”、“该”和“这一”旨在也包括例如“一个或多个”这种表达形式,除非其上下文中明确地有相反指示。以及,除非有相反的说明,本申请实施例提及“第一”、“第二”等序数词是用于对多个对象进行区分,不用于限定多个对象的顺序、时序、优先级或者重要程度。
在本申请说明书中描述的参考“一个实施例”或“一些实施例”等意味着在本申请的一个或多个实施例中包括结合该实施例描述的特定特征、结构或特点。由此,在本说明书中的不同之处出现的语句“在一个实施例中”、“在一些实施例中”、“在其他一些实施例中”、“在另外一些实施例中”等不是必然都参考相同的实施例,而是意味着“一个或多个但不是所有的实施例”,除非是以其他方式另外特别强调。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”,除非是以其他方式另外特别强调。
目前,为了保护网络数据,服务器之间互相的访问通常会采用防火墙作为重要组成部分;防火墙之间存在许多可供彼此互相访问的策略,防火墙根据对应的策略生成用于命令防火墙访问特定地址或者被特定地址所访问的配置命令,但是,由于用户网络规模的提升,不同服务器之间的访问关系更加复杂,如果为每一层访问关系都单独构建一条策略,由于策略数量众多,为策略的统一管理增加了负担;同时,由于策略数目存在上限,策略数目过多可能导致防火墙无法兼顾所有访问关系,为配置命令的生成造成不便,也增加了对策略进行管理和分析的困难度。
基于此,图1为本申请实施例的一种系统架构图,用于实现本申请实施例提供的一种防火墙的配置命令生成方法,如图1所示,设置策略库,在接收到服务器1访问服务器2的请求后,判断服务器1对应的防火墙1、判断服务器2对应的防火墙2,同时,由于服务器1访问服务器2,因此从策略库中查询防火墙1对应的出向策略、查询防火墙2对应的入向策略,分别根据对应的出向策略为防火墙1生成配置规则下发至防火墙1,根据对应的入向策略为防火墙2生成配置规则下发至防火墙2,构建防火墙1和防火墙2之间的访问链路,实现服务器1和服务器2之间的连接;通过设置策略库,本申请实现了对防火墙策略的统一管理,同时,实现了在策略库中存在可用策略的情况下,对防火墙的策略直接进行复用,避免多个策略重复生成,为防火墙的配置命令自动生成提高了效率,也缓解了对策略进行管理的压力。
以下结合说明书附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明,并且在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。基于图1所示系统架构图,图2示例性的示出了本发明实施例提供的一种流程示意图,如图2所示,该方法的流程可以包括:
步骤201,计算设备获取配置需求表中第一服务器对应的第一参数集合和第二服务器对应第二参数集合。
其中,配置需求表包括从第一服务器访问第二服务器所需的配置参数,配置参数包括第一服务器对应的第一参数集合和第二服务器对应第二参数集合,举例来说,配置需求表为某个服务器的访问需求,其中包括某个服务器及其想要访问的另一个服务器的信息。
在一种可能的实施方式中,第一参数集合包括第一服务器的地址配置参数、映射配置参数和端口配置参数;第二参数集合包括第二服务器的地址配置参数、映射配置参数和端口配置参数。
在一种可能的实施方式中,配置需求表中包含第一参数集合、第二参数集合以及防火墙的各种其他参数,例如,配置需求表中可以包括服务器的源系统名称、目的系统名称;源物理地址段、目的物理地址段;源映射地址段、目的映射地址段;源端口、协议端口、映射端口段、物理端口段;长连接、短连接等,还可以包括服务器的数据流所属业务名称、对应的客户名称、防火墙的连接用途以及防火墙当前使用状态等;需要注意的是,上述配置需求表的内容仅是一些示例,配置需求表中还可以包含其他的内容,本发明实施例对此不做限定。
步骤202,如果预设策略库中存在包括第一参数集合的出向策略,计算设备根据出向策略生成第一配置命令。
其中,第一配置命令用于指示第一服务器对应的第一防火墙根据出向策略处理第一服务器与第二服务器之间的数据包;
在一种可能的实施方式中,如果出向策略中包括与第一参数集合的地址配置参数、映射配置参数和端口配置参数中至少两项一致的参数,则该出向策略为包括第一参数集合的出向策略。
具体的,计算设备获取配置需求表后,获取配置需求表中的地址配置参数,例如,查看或配置某防火墙中的物理地址可以通过以下命令来实现:
config firewall address
edit "银行A"
set type iprange
set start-ip A.B.C.D
set end-ip a.b.c.d
next
其中,"银行A"表示系统名称,start-ip A.B.C.D、end-ip a.b.c.d表示配置多个物理地址,范围为“A.B.C.D-a.b.c.d”;需要注意的是,上述系统名称、地址段等只是一种示例,本发明实施例对此不做限定。
进一步的,计算设备获取配置需求表后,获取配置需求表中的映射配置参数,例如,查看或配置某防火墙中的映射地址可以通过以下命令来实现:
config firewall ippool
edit "A.B.C.D"
set startip A.B.C.D
set endip A.B.C.D
next
其中,“A.B.C.D”表示防火墙对应的至少一个映射地址,防火墙可能存在不止一个映射地址;需要注意的是,上述映射地址仅是一种示例,本发明实施例对此不做限定。
最后,计算设备获取配置需求表后,获取配置需求表中的端口配置参数,例如,查看或配置某防火墙中的端口配置参数可以通过以下命令来实现:
config firewall service custom
edit "UDP11-11"
set udp-portrange 11-11
next
edit "TCP22-22"
set tcp-portrange 22-22
next
其中,"UDP11-11"表示防火墙对应的协议为“UDP”协议,set udp-portrange 11-11表示“UDP”协议对应的端口范围为端口“11-11”;"TCP22-22"表示防火墙对应的协议为“TCP”协议,set tcp-portrange 22-22表示“TCP”协议对应的端口范围为端口“22-22”,需要注意的是,上述端口配置仅是一种示例,本发明实施例对此不做限定。
举例来说,预设的策略库中存在多个不同的出向策略,每个出向策略分别对应不同的地址配置、映射配置和端口配置,出向策略用于实现由数据由某个防火墙流出访问另一个防火墙,出向策略的形式可以如下所示:
config firewall policy
edit 0000
set srcintf "port2"
set dstintf "port1"
set srcaddr "源地址"
set dstaddr "A.B.C.D"
set action accept
set schedule "always"
set service "TCP11-11"
set session-ttl 604800
set nat enable
set fixedport enable
set ippool enable
set poolname "源映射地址"
set comments "发布方案编号"
next
如上所示,其中,edit 0000表示防火墙的策略编号为0000,srcintf指示防火墙对应的源端口为port1;dstintf指示防火墙对应的目的端口为port2;srcaddr指示防火墙对应的源物理地址,在某些情况下也可以指示防火墙对应的源映射地址;dstaddr指示防火墙对应的目的物理地址,在某些情况下也可以指示防火墙对应的目的映射地址;"TCP11-11"指示该出向策略对应协议为“TCP”协议,端口为“11-11”;“session-ttl 604800”指示该出向策略的连接为长连接;而set action accept、set schedule "always"、set natenable、set fixedport enable 、set ippool enable均为防火墙出向策略的固定命令;set poolname定义防火墙出向策略的源映射地址;set comments定义防火墙的出向策略的发布方案编号;需要注意的是,上述出向策略仅是一种示例,本发明实施例对此不做限定。
在一种可能的实施方式中,如果该出向策略中包括与第一参数集合中的两项参数一致的参数,将第一参数集合中剩余的参数添加至该出向策略中;举例来说,如果根据配置需求表查询到某防火墙的物理地址为“A.B.C.D”、映射地址为“a.b.c.d”,端口为“端口1”,而在预设的策略库中,存在某条出向策略的防火墙的物理地址为“A.B.C.D”、目的地址为“a.a.a.a”、端口为“端口1”,此时由于预设策略库中的出向策略的物理地址与配置需求表中的物理地址一致、预设策略库中的出向策略的端口与配置需求表中的端口一致,因此可以将配置需求表中的映射地址“a.b.c.d”直接添加至该出向策略的目的地址栏中,并将该出向策略作为配置需求表对应的防火墙的出向策略来使用;此时,该出向策略经过添加后的物理地址为“A.B.C.D”,目的地址为“a.b.c.d” “a.a.a.a”,端口为“端口1”。通过该方法,本申请实施例减少了新的策略的创建,保证了在预设策略库中存在与配置需求表中的两个以上的配置相同的出向策略时,能通过修改原有策略生成符合配置需求表的出向策略,加快了出向策略的生成,进而加快了为防火墙生成对应的配置命令的速度。
在一种可能的实施方式中,如果策略库中不包括与第一参数集合中的至少两项参数一致的出向策略,则根据第一参数合集中的地址配置参数、映射配置参数和端口配置参数等信息,为第一服务器对应的第一防火墙生成新的出向策略。通过该方式,本申请实施例在接收到新的配置需求时能够自主的通过分析服务器和防火墙之间的相关信息为防火墙生成新的出向策略,实现了自动化分析和生成策略。
在一种可能的实施方式中,如果预设策略库中不存在包括第一参数集合的出向策略,根据第一参数集合建立新的出向策略,并根据新的出向策略生成第一配置命令;具体的,如果预设的策略库中不存在包括第一参数合集的出向策略,根据第一参数合计的地址配置参数、映射配置参数和端口配置参数为第一防火墙生成新的出向策略,并根据新的出向策略生成第一配置命令。
进一步的,由于配置命令的生成方式受到不同防火墙的不同映射方式的影响,因此本申请实施例在获取到第一防火墙对应的出向策略后,根据第一防火墙的品牌、配置方式等信息获取第一防火墙的映射方式,根据第二防火墙的品牌、配置方式等信息获取第二防火墙的映射方式;由于每个防火墙的品牌可能不相同,对应的配置方式也有变化,因此可以根据出向策略获取对应防火墙的映射方式,并将所有映射方式一一对应,与不同映射方式时生成配置命令的不同方式分别进行组合,生成防火墙的所有配置规则;例如,第一防火墙的映射关系可能存在以下四种方式:第一防火墙不进行地址映射、第一防火墙只对源地址进行映射、第一防火墙只对目的地址进行映射、第一防火墙对源地址和目的地址均进行映射;对应的,第二防火墙的映射关系可能存在以下四种方式:第二防火墙不进行地址映射、第二防火墙只对源地址进行映射、第二防火墙只对目的地址进行映射、第二防火墙对源地址和目的地址均进行映射;因此,将第一防火墙的四种映射方式和第二防火墙的四种映射方式分别进行组合,可以获得不同防火墙之间的16种不同的映射方式,将这些映射方式分别与每种映射方式对配置命令产生的影响进行记录,获得不同防火墙的16种配置规则。需要注意的是,16种配置规则仅是一种示例,配置规则的数量可以根据防火墙的映射方式的数量变化进行变化,本发明实施例对此不做限定。
在一种可能的实施方式中,根据策略库中的出向策略可以获取对应的第一防火墙与第二防火墙之间的映射关系,从而为第一防火墙和第二防火墙对应不同的配置规则;根据不同的配置规则,本申请实施例在获取到出向策略后,为防火墙生成对应的配置命令。
步骤203,如果预设策略库中存在包括第二参数集合的入向策略,计算设备根据入向策略生成第二配置命令。
其中,第二配置命令用于指示第二服务器对应的第二防火墙根据入向策略处理第一服务器与第二服务器之间的数据包;
在一种可能的实施方式中,如果入向策略中包括与第二参数集合的地址配置参数、映射配置参数和端口配置参数中至少两项完全一致的参数,则入向策略为包括第二参数集合的入向策略。
举例来说,预设的策略库中存在多个不同的入向策略,每个入向策略分别对应不同的地址配置、映射配置和端口配置,入向策略用于实现由某个防火墙接收来自另一个防火墙的访问,入向策略的形式可以如下所示:
config firewall policy
edit 0001
set srcintf "port1"
set dstintf "port2"
set srcaddr "源地址"
set dstaddr "目的地址"
set action accept
set schedule "always"
set service "TCP22-22"
set session-ttl 604800
set comments "发布方案编号"
next
如上所示,其中,edit 0001表示防火墙的策略编号为0001,srcintf指示防火墙对应的源端口为port1;dstintf指示防火墙对应的目的端口为port2;srcaddr指示防火墙对应的源物理地址,在某些情况下也可以指示防火墙对应的源映射地址;dstaddr指示防火墙对应的目的映射地址;"TCP22-22"指示该入向策略对应的协议为“TCP”协议,端口为“22-22”;“session-ttl 604800”指示该入向策略的连接为长连接;而set action accept、setschedule "always"均为防火墙入向策略的固定命令;set poolname定义防火墙入向策略的源映射地址;set comments定义防火墙的入向策略的发布方案编号;需要注意的是,上述入向策略仅是一种示例,本发明实施例对此不做限定。
在一种可能的实施方式中,如果该入向策略中包括与第二参数集合中的两项参数一致的参数,将第二参数集合中剩余的参数添加至该入向策略中;举例来说,如果根据配置需求表查询到某防火墙的物理地址为“E.F.G.H”、映射地址为“e.f.g.h”,端口为“端口2”,而在预设的策略库中,存在某条入向策略的防火墙的物理地址为“E.F.G.H”、目的地址为“e.e.e.e”、端口为“端口2”,此时由于预设策略库中的入向策略的物理地址与配置需求表中的物理地址一致、预设策略库中的入向策略的端口与配置需求表中的端口一致,因此可以将配置需求表中的映射地址“e.f.g.h”直接添加至该入向策略的目的地址栏中,并将该入向策略作为配置需求表对应的防火墙的入向策略来使用;此时,该入向策略经过添加后的物理地址为“E.F.G.H”,目的地址为“e.f.g.h” “e.e.e.e”,端口为“端口2”。通过该方法,本申请实施例减少了新的策略的创建,保证了在预设策略库中存在与配置需求表中的两个以上的配置相同的入向策略时,能通过修改原有策略生成符合配置需求表的入向策略,加快了入向策略的生成,进而加快了为防火墙生成对应的配置命令的速度。
在一种可能的实施方式中,如果策略库中不包括与第二参数集合中的至少两项参数一致的入向策略,则根据第二参数合集中的地址配置参数、映射配置参数和端口配置参数等信息,为第二服务器对应的第二防火墙生成新的入向策略。通过该方式,本申请实施例在接收到新的配置需求时能够自主的通过分析服务器和防火墙之间的相关信息为防火墙生成新的入向策略,实现了自动化分析和生成策略。
在一种可能的实施方式中,本申请实施例首先从已有访问关系中获取各品牌防火墙的各种配置信息的备份文件,通过解析这些备份文件获取网络防火墙中的地址配置、映射配置、协议类型、端口配置以及策略配置等信息,对这些信息进行数据去重、过滤和数据拆分、标准化等操作,获得预处理后的地址配置、映射配置、端口配置的数据流信息;对预处理后的信息进行关键特征提取,例如,提取获取到的数据流信息中的源物理地址参数、目的物理地址参数、源映射地址参数、目的映射地址参数、协议类型参数和端口号参数等,并对这些数据使用数据流分析算法,通过数据流分析算法可以对提取的数据特征进行准确的分类和解析,以识别出这些信息是否可以用于连接两个防火墙之间的访问关系;将所有防火墙之间的访问关系分别按照出向策略和入向策略进行分类,并分别进行记录,从而得到本申请实施例中预设的策略库。需要注意的是,上述策略库的生成方式仅是一种示例,还可以通过其他方式生成策略库,本发明实施例对此不做限定。
在一种可能的实施方式中,本申请实施例在为原有的出向策略或入向策略添加新的参数后,根据更新后的出向策略或入向策略更新所述策略库,从而将最新的出向策略或入向策略记录在策略库中;同样的,本申请实施例在新建出向策略或入向策略后,将新建的出向策略或入向策略记录在策略库中,从而获得更新后的策略库。通过该方式,本申请实施例实现在对策略进行更新或者新建后,能够及时对策略库也进行更新,保证了策略库的全面性。
在一种可能的实施方式中,如果预设策略库中不存在包括第二参数集合的入向策略,根据第二参数集合建立新的入向策略,并根据新的入向策略生成第二配置命令;具体的,如果预设的策略库中不存在包括第二参数合集的入向策略,根据第二参数合计的地址配置参数、映射配置参数和端口配置参数为第二防火墙生成新的入向策略,并根据新的入向策略生成第二配置命令。
进一步的,由于配置命令的生成方式受到不同防火墙的不同映射方式的影响,因此本申请实施例在获取到第二防火墙对应的入向策略后,根据第一防火墙的品牌、配置方式等信息获取第一防火墙的映射方式,根据第二防火墙的品牌、配置方式等信息获取第二防火墙的映射方式;由于每个防火墙的品牌可能不相同,对应的配置方式也有变化,因此可以根据入向策略获取对应防火墙的映射方式,并将所有映射方式一一对应,与不同映射方式时生成配置命令的不同方式分别进行组合,生成防火墙的所有配置规则;例如,第一防火墙的映射关系可能存在以下四种方式:第一防火墙不进行地址映射、第一防火墙只对源地址进行映射、第一防火墙只对目的地址进行映射、第一防火墙对源地址和目的地址均进行映射;对应的,第二防火墙的映射关系可能存在以下四种方式:第二防火墙不进行地址映射、第二防火墙只对源地址进行映射、第二防火墙只对目的地址进行映射、第二防火墙对源地址和目的地址均进行映射;因此,将第一防火墙的四种映射方式和第二防火墙的四种映射方式分别进行组合,可以获得不同防火墙之间的16种不同的映射方式,将这些映射方式分别与每种映射方式对配置命令产生的影响进行记录,获得不同防火墙的16种配置规则。需要注意的是,16种配置规则仅是一种示例,配置规则的数量可以根据防火墙的映射方式的数量变化进行变化,本发明实施例对此不做限定。
在一种可能的实施方式中,根据策略库中的入向策略可以获取对应的第一防火墙与第二防火墙之间的映射关系,从而为第一防火墙和第二防火墙对应不同的配置规则;根据不同的配置规则,本申请实施例在获取到入向策略后,为防火墙生成对应的配置命令。
步骤204,计算设备向第一防火墙发送第一配置命令,向第二防火墙发送第二配置命令。
在一种可能的实施方式中,本申请实施例在获取到对应的配置命令后,通过自动化平台为配置命令生成下发文件,并由自动化平台定时将配置命令文件下发至对应的服务器,从而实现配置命令的自动下发。通过该方式,本申请实施例实现了配置命令的自动管理和下发。
在一种可能的实施方式中,计算设备在获取需求部门提出的配置需求表后,需要对配置需求表中的各项配置需求进行需求分析,以此判断预设策略库中是否存在与配置需求表中各项完全一致的出向策略和入向策略;举例来说,计算设备获取配置需求表后,在预设策略库中查询对应的源物理地址、目的物理地址;如果预设策略库中能够查询到源物理地址和目的物理地址与配置需求表中需求一致的出向策略和入向策略,则继续查询这些策略中是否存在源映射地址、目的映射地址与配置需求表中需求一致的出向策略和入向策略,并判断对应的源映射地址、目的映射地址是否需要重新分配;如果存在一致的源映射地址、目的映射地址,则继续查询这些策略中是否存在端口信息与配置需求表中一致的出向策略和入向策略,并判断对应的端口信息是否需要重新分配;如果存在一致的端口信息,则继续判断对应的需求是否需要实施限速、是否为长连接,并与对应的出向策略和入向策略相比较,若预设的策略库中存在与上述所有信息完全一致的入向策略和出向策略,则判断配置需求表对应的需求是已开通需求,也就是预设策略库中存在与配置需求表的防火墙的策略完全一致出向策略与入向策略,因此可以直接根据对应的出向策略和入向策略直接生成对应的配置命令,不需要额外生成新的出向策略与入向策略。通过该方法,本申请实施例避免了对已有策略的防火墙再次生成新的出向策略和入向策略,提升了为已生成策略的需求重复生成配置命令的效率。
在一种可选的方式中,本申请实施例还可以通过自动化平台,对策略库中的策略进行统一的管理和多维度的分许,包括根据源地址,目的地址,端口号,发布号,映射地址,策略编号等数据,导出相关的表格,生成策略对应的报表。通过生成报表,可以实现对策略的多维度查询,例如,多维度可以包括,根据策略的生成时间对策略进行查询、根据策略对应的源地址对策略进行查询、根据策略对应的服务器系统名称对策略进行查询、根据策略的唯一策略编号对策略进行查询等;同时,还可以根据多维度的统计信息,对策略进行统一的管理,例如,可以统一对某一客户的策略进行迁移,也可以对不可用策略进行删除等,实现了策略管理的便利性,减轻了策略管理的压力。
具体实施时,可按照如图3所示的流程进行防火墙的配置命令生成,如图3所示的流程是基于图2所示的流程示意图的一个具体实施例,如图3所示的具体实施流程,包括以下步骤:
301,获取配置需求表。
其中,配置需求表包含第一服务器对应的第一防火墙访问第二服务器对应的第二防火墙所需要的配置信息;具体的,第一服务器对应的第一防火墙和第二服务器对应的第二防火墙可以是不同品牌的不同类型防火墙,例如,第一防火墙可以是品牌为飞塔的防火墙、第二防火墙可以是品牌为思科的防火墙,或者,也可以第一防火墙和第二防火墙均是飞塔防火墙、第一防火墙与第二防火墙均是思科防火墙;需要注意的是,上述飞塔和思科防火墙仅是本申请实施例的一种示例,本申请实施例对防火墙的种类不做限定。
302,判断该需求是否为已开通需求,若不是已开通需求,则跳转至步骤303和步骤306;若是已开通需求,则跳转至步骤309。
具体的,本申请实施例在获取到配置需求表后,在策略库中对配置需求表中的信息进行查询,若策略库中存在某一出向策略和入向策略,其源物理地址、目的物理地址、源映射地址、目的映射地址、源端口、目的端口均与配置需求表中的信息一致,且该策略是否要实施限速、是否为长连接也与配置需求表中的信息一致,那么,判断该策略与对应的配置需求完全一致,因此该配置需求为已开通的需求,可以直接根据对应的出向策略和入向策略生成配置命令。
303,查询策略库中是否存在配置需求对应的出向策略,若不存在,跳转至步骤304;若存在,跳转至步骤305。
具体的,策略库中如果存在某一出向策略的地址配置参数、映射配置参数、端口配置参数中至少两项与配置需求表一致,那么判断该出向策略为配置需求对应的出向策略。
304,根据配置需求表生成对应的出向策略。
如果策略库中不存在对应的出向策略,那么根据配置需求表中的地址配置参数、策略配置参数和端口配置参数生成对应的出向策略,例如,假设某一防火墙的源物理地址为“A.A.A.A”、目的物理地址为“B.B.B.B”、源映射地址为“C.C.C.C”,目的映射地址为“D.D.D.D”,端口为“TCP11-11”那么,将“A.A.A.A”设为出向策略对应的源物理地址、“B.B.B.B” 设为出向策略对应的目的物理地址、“C.C.C.C” 设为出向策略对应的源映射地址、“D.D.D.D” 设为出向策略对应的目的映射地址、“TCP11-11” 设为出向策略对应的端口,生成新的出向策略。
305,根据出向策略获取对应的配置规则。
具体的,根据出向策略获取防火墙的配置方式、品牌以及映射关系,从而生成对应的配置规则;例如,第一防火墙为无映射的飞塔防火墙,第二防火墙为目的映射的思科防火墙,那么,生成的配置规则就是无映射飞塔-目的映射思科,根据该配置规则生成对应的配置命令。
306,查询策略库中是否存在配置需求对应的入向策略,若不存在,跳转至步骤307;若存在,跳转至步骤308。
具体的,策略库中如果存在某一入向策略的地址配置参数、映射配置参数、端口配置参数中至少两项与配置需求表一致,那么判断该入向策略为配置需求对应的入向策略。
307,根据配置需求表生成对应的入向策略。
如果策略库中不存在对应的入向策略,那么根据配置需求表中的地址配置参数、策略配置参数和端口配置参数生成对应的入向策略,例如,假设某一防火墙的源物理地址为“a.a.a.a”、目的物理地址为“b.b.b.b”、源映射地址为“c.c.c.c”,目的映射地址为“d.d.d.d”,端口为“TCP22-22”那么,将“a.a.a.a”设为入向策略对应的源物理地址、“b.b.b.b” 设为入向策略对应的目的物理地址、“c.c.c.c” 设为入向策略对应的源映射地址、“d.d.d.d” 设为入向策略对应的目的映射地址、“TCP22-22” 设为入向策略对应的端口,生成新的入向策略。
308,根据入向策略获取对应的配置规则。
具体的,根据入向策略获取防火墙的配置方式、品牌以及映射关系,从而生成对应的配置规则;例如,第一防火墙为无映射的飞塔防火墙,第二防火墙为目的映射的思科防火墙,那么,生成的配置规则就是无映射飞塔-目的映射思科,根据该配置规则生成对应的配置命令。
309,根据出向策略对应的配置规则生成第一配置命令,根据入向策略对应的配置规则生成第二配置命令。
310,将第一配置命令下发至第一防火墙,将第二配置命令下发至第二防火墙。
通过上述方式,本申请实施例实现了对飞塔、思科两种混合品牌防火墙互相访问的情况下,配置命令的快速生成。通过预设策略库,本申请实施例实现了对防火墙的出向策略和入向策略分别统一进行管理并定时更新,以实现快速的为防火墙之间的访问生成对应的配置命令,同时,本申请通过在原有策略中添加配置,实现了策略数量的减少,从而缓解了策略管理的压力。需要注意的是,飞塔与思科仅是本申请实施例对防火墙的一种示例,用于说明本申请实施例可以实现对混合防火墙之间的互相访问生成配置命令,本申请实施例对防火墙的品牌不做限定。
基于相同的技术构思,图4示例性的示出了本申请实施例提供的一种防火墙的配置命令生成装置,该装置可以执行防火墙的配置命令生成方法的流程。该装置包括:获取模块401、处理模块402和发送模块403。
其中,获取模块401,用于获取配置需求表;配置需求表包括从第一服务器访问第二服务器所需的配置参数,配置参数包括第一服务器对应的第一参数集合,和第二服务器对应第二参数集合;处理模块402,用于如果预设策略库中存在包括第一参数集合的出向策略,根据出向策略生成第一配置命令;第一配置命令用于指示第一服务器对应第一防火墙根据出向策略处理第一服务器与第二服务器之间的数据包;如果预设策略库中存在包括第二参数集合的入向策略,根据入向策略生成第二配置命令;第二配置命令用于指示第二服务器对应第二防火墙根据入向策略处理第一服务器与第二服务器之间的数据包;发送模块403,用于向第一防火墙发送第一配置命令,向第二防火墙发送第二配置命令。
在一种可能的实施方式中,处理模块402还用于如果预设策略库中不存在包括第一参数集合的出向策略,根据第一参数集合建立新的出向策略,并根据新的出向策略生成第一配置命令;如果预设策略库中不存在包括第二参数集合的入向策略,根据第二参数集合建立新的入向策略,并根据新的入向策略生成第二配置命令。
在介绍了本申请示例性实施方式中的一种防火墙的配置命令生成装置之后,接下来,介绍本申请的另一示例性实施方式的计算设备。
所属技术领域的技术人员能够理解,本申请的各个方面可以实现为系统、方法或程序产品。因此,本申请的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
在一些可能的实施方式中,根据本申请的计算设备可以至少包括至少一个处理器、以及至少一个存储器。其中,存储器存储有计算机程序,当计算机程序被处理器执行时,使得处理器执行本说明书上述描述的根据本申请各种示例性实施方式的防火墙的配置命令生成方法中的步骤。
下面参照图5来描述根据本申请的这种实施方式的计算设备130。图5显示的计算设备130仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。如图5所示,计算设备130以通用智能终端(或蓝牙耳机)的形式表现。计算设备130的组件可以包括但不限于:上述至少一个处理器131、上述至少一个存储器132、连接不同系统组件(包括存储器132和处理器131)的总线133。
总线133表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器、外围总线、处理器或者使用多种总线结构中的任意总线结构的局域总线。存储器132可以包括易失性存储器形式的可读介质,例如随机存取存储器(RAM)1321和/或高速缓存存储器1322,还可以进一步包括只读存储器(ROM)1323。存储器132还可以包括具有一组(至少一个)程序模块1324的程序/实用工具1325,这样的程序模块1324包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
计算设备130也可以与一个或多个外部设备134(例如键盘、指向设备等)通信,和/或与使得该计算设备130能与一个或多个其它智能终端进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口135进行。并且,计算设备130还可以通过网络适配器136与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器136通过总线133与用于计算设备130的其它模块通信。应当理解,尽管图中未示出,可以结合计算设备130使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
在一些可能的实施方式中,本申请提供的防火墙的配置命令生成方法的各个方面还可以实现为一种程序产品的形式,其包括计算机程序,当程序产品在计算机设备上运行时,计算机程序用于使计算机设备执行本说明书上述描述的根据本申请各种示例性实施方式的防火墙的配置命令生成方法中的步骤。
程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
本申请的实施方式的用于时域噪声处理的程序产品可采用便携式紧凑盘只读存储器(CD-ROM)并包括计算机程序,并可在智能终端上运行。但本申请的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可被指令执行系统、装置或者器件使用或者与其结合使用。
可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读计算机程序。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
应当注意,尽管在上文详细描述中提及了装置的若干单元或子单元,但是这种划分仅仅是示例性的并非强制性的。实际上,根据本申请的实施方式,上文描述的两个或更多单元的特征和功能可以在一个单元中具体化。反之,上文描述的一个单元的特征和功能可以进一步划分为由多个单元来具体化。
此外,尽管在附图中以特定顺序描述了本申请方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程访问频次的预测设备的处理器以产生一个机器,使得通过计算机或其他可编程访问频次的预测设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程访问频次的预测设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程访问频次的预测设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (11)
1.一种防火墙的配置命令生成方法,其特征在于,所述方法包括:
获取配置需求表;所述配置需求表包括从第一服务器访问第二服务器所需的配置参数,所述配置参数包括所述第一服务器对应的第一参数集合,和所述第二服务器对应第二参数集合;
如果预设策略库中存在包括所述第一参数集合的出向策略,根据所述出向策略生成第一配置命令;所述第一配置命令用于指示所述第一服务器对应第一防火墙根据所述出向策略处理所述第一服务器与所述第二服务器之间的数据包;
如果预设策略库中存在包括所述第二参数集合的入向策略,根据所述入向策略生成第二配置命令;所述第二配置命令用于指示所述第二服务器对应第二防火墙根据所述入向策略处理所述第一服务器与所述第二服务器之间的数据包;
向所述第一防火墙发送所述第一配置命令,向所述第二防火墙发送所述第二配置命令。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:
如果预设策略库中存在配置参数与所述配置需求表中的所有参数完全一致的所述出向策略和所述入向策略,则所述出向策略存在已生成的第一配置命令,且所述入向策略存在已生成的第二配置命令;
向所述第一防火墙发送所述第一配置命令,向所述第二防火墙发送所述第二配置命令。
3.如权利要求1所述的方法,其特征在于,所述第一参数集合包括所述第一服务器的地址配置参数、映射配置参数和端口配置参数;
所述预设策略库中存在包括所述第一参数集合的出向策略,包括:
如果所述出向策略中包括与所述第一参数集合的地址配置参数、映射配置参数和端口配置参数中至少两项一致的参数,则所述出向策略为包括所述第一参数集合的出向策略。
4.如权利要求3所述的方法,其特征在于,所述方法还包括:
如果所述出向策略中包括与所述第一参数集合中的两项参数一致的参数,则将所述第一参数集合中剩余的参数添加至所述出向策略中。
5.如权利要求1所述的方法,其特征在于,所述第二参数集合包括所述第二服务器的地址配置参数、映射配置参数和端口配置参数;
所述预设策略库中存在包括所述第二参数集合的入向策略,包括:
如果所述入向策略中包括与第二参数集合的地址配置参数、映射配置参数和端口配置参数中至少两项完全一致的参数,则所述入向策略为包括所述第二参数集合的入向策略。
6.如权利要求5所述的方法,其特征在于,所述方法还包括:
如果所述入向策略中包括与所述第二参数集合中的两项参数一致的参数,则将所述第二参数集合中剩余的参数添加至所述入向策略中。
7.如权利要求1所述的方法,其特征在于,所述方法还包括:
如果预设策略库中不存在包括所述第一参数集合的出向策略,根据所述第一参数集合建立新的出向策略,并根据所述新的出向策略生成第一配置命令;
如果预设策略库中不存在包括所述第二参数集合的入向策略,根据所述第二参数集合建立新的入向策略,并根据所述新的入向策略生成第二配置命令。
8.一种防火墙的配置命令生成装置,其特征在于,所述装置包括:
获取模块,用于获取配置需求表;所述配置需求表包括从第一服务器访问第二服务器所需的配置参数,所述配置参数包括所述第一服务器对应的第一参数集合,和所述第二服务器对应第二参数集合;
处理模块,用于如果预设策略库中存在包括所述第一参数集合的出向策略,根据所述出向策略生成第一配置命令;所述第一配置命令用于指示所述第一服务器对应第一防火墙根据所述出向策略处理所述第一服务器与所述第二服务器之间的数据包;如果预设策略库中存在包括所述第二参数集合的入向策略,根据所述入向策略生成第二配置命令;所述第二配置命令用于指示所述第二服务器对应第二防火墙根据所述入向策略处理所述第一服务器与所述第二服务器之间的数据包;
发送模块,用于向所述第一防火墙发送所述第一配置命令,向所述第二防火墙发送所述第二配置命令。
9.如权利要求8所述的装置,其特征在于,所述处理模块,还用于:
如果预设策略库中不存在包括所述第一参数集合的出向策略,根据所述第一参数集合建立新的出向策略,并根据所述新的出向策略生成第一配置命令;如果预设策略库中不存在包括所述第二参数集合的入向策略,根据所述第二参数集合建立新的入向策略,并根据所述新的入向策略生成第二配置命令。
10.一种防火墙的配置命令生成设备,其特征在于,包括处理器和存储器;
所述存储器,用于存储计算机指令;
所述处理器,与所述存储器连接,用于执行所述存储器中的所述计算机指令,用于实现如权利要求1至7中任一项所述的方法。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序或指令,当所述计算机程序或指令被通信装置执行时,实现如权利要求1至7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410071448.6A CN117596139B (zh) | 2024-01-18 | 一种防火墙的配置命令生成方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410071448.6A CN117596139B (zh) | 2024-01-18 | 一种防火墙的配置命令生成方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117596139A true CN117596139A (zh) | 2024-02-23 |
| CN117596139B CN117596139B (zh) | 2024-05-31 |
Family
ID=
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105141571A (zh) * | 2014-06-09 | 2015-12-09 | 中兴通讯股份有限公司 | 分布式虚拟防火墙装置及方法 |
| US20150358291A1 (en) * | 2014-06-04 | 2015-12-10 | Bank Of America Corporation | Firewall policy comparison |
| WO2021139339A1 (zh) * | 2020-07-30 | 2021-07-15 | 平安科技(深圳)有限公司 | 防火墙策略的下发方法、装置、电子设备及存储介质 |
| CN114697326A (zh) * | 2022-03-17 | 2022-07-01 | 浪潮云信息技术股份公司 | 一种边缘计算场景下多边通信的方法 |
| CN115208671A (zh) * | 2022-07-15 | 2022-10-18 | 山石网科通信技术股份有限公司 | 防火墙配置方法、装置、电子设备和存储介质 |
| CN116016185A (zh) * | 2022-12-27 | 2023-04-25 | 重庆富民银行股份有限公司 | 一种防火墙策略自动下发方法 |
| CN117220926A (zh) * | 2023-08-25 | 2023-12-12 | 中广核智能科技(深圳)有限责任公司 | 防火墙策略配置方法及系统 |
| CN117411722A (zh) * | 2023-12-04 | 2024-01-16 | 中国农业银行股份有限公司 | 一种防火墙策略管理方法、系统、存储介质及电子设备 |
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150358291A1 (en) * | 2014-06-04 | 2015-12-10 | Bank Of America Corporation | Firewall policy comparison |
| CN105141571A (zh) * | 2014-06-09 | 2015-12-09 | 中兴通讯股份有限公司 | 分布式虚拟防火墙装置及方法 |
| WO2021139339A1 (zh) * | 2020-07-30 | 2021-07-15 | 平安科技(深圳)有限公司 | 防火墙策略的下发方法、装置、电子设备及存储介质 |
| CN114697326A (zh) * | 2022-03-17 | 2022-07-01 | 浪潮云信息技术股份公司 | 一种边缘计算场景下多边通信的方法 |
| CN115208671A (zh) * | 2022-07-15 | 2022-10-18 | 山石网科通信技术股份有限公司 | 防火墙配置方法、装置、电子设备和存储介质 |
| CN116016185A (zh) * | 2022-12-27 | 2023-04-25 | 重庆富民银行股份有限公司 | 一种防火墙策略自动下发方法 |
| CN117220926A (zh) * | 2023-08-25 | 2023-12-12 | 中广核智能科技(深圳)有限责任公司 | 防火墙策略配置方法及系统 |
| CN117411722A (zh) * | 2023-12-04 | 2024-01-16 | 中国农业银行股份有限公司 | 一种防火墙策略管理方法、系统、存储介质及电子设备 |
Non-Patent Citations (1)
| Title |
|---|
| 周明俊;: "基于Web远程管理防火墙的研究与设计", 计算机与现代化, no. 05, 15 May 2009 (2009-05-15) * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109343963B (zh) | 一种容器集群的应用访问方法、装置及相关设备 | |
| US9590915B2 (en) | Transmission of Map/Reduce data in a data center | |
| US8161475B2 (en) | Automatic load and balancing for virtual machines to meet resource requirements | |
| US8255409B2 (en) | Systems and methods for generating a change log for files in a managed network | |
| US8544094B2 (en) | Suspicious node detection and recovery in MapReduce computing | |
| CN111552936B (zh) | 一种基于调度机构级别的跨系统访问权限控制方法及系统 | |
| US9426219B1 (en) | Efficient multi-part upload for a data warehouse | |
| US20110296397A1 (en) | Systems and methods for generating cached representations of host package inventories in remote package repositories | |
| US20100318968A1 (en) | Catalog-based software component management | |
| CN110537169A (zh) | 分布式计算系统中的集群资源管理 | |
| US20120102187A1 (en) | Storage Workload Balancing | |
| US8959229B1 (en) | Intelligently provisioning cloud information services | |
| CN111193633B (zh) | 异常网络连接的检测方法及装置 | |
| CN108052569A (zh) | 数据库访问方法、装置、计算机可读存储介质和计算设备 | |
| CN108133143B (zh) | 一种面向云桌面应用环境的数据防泄漏方法及系统 | |
| CN111865868A (zh) | 跨网络区域服务调用方法及系统 | |
| CN117596139B (zh) | 一种防火墙的配置命令生成方法及装置 | |
| US11405381B2 (en) | Tag-based access permissions for cloud computing resources | |
| US8996672B2 (en) | Application data layer coverage discovery and gap analysis | |
| CN117596139A (zh) | 一种防火墙的配置命令生成方法及装置 | |
| US10402373B1 (en) | Filesystem redirection | |
| US20180203893A1 (en) | Dynamically reconciling objects from multiple sources | |
| CN111064619A (zh) | 一种配置信息管理方法、装置、电子设备和存储介质 | |
| US20230144202A1 (en) | VPC Auto-Peering | |
| CN115599982A (zh) | 混合云的数据查询方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant |