CN117729031A - 一种自动化配置安全策略的方法及装置 - Google Patents

Abstract

本发明提供一种自动化配置安全策略的方法及装置，从用户提交的配置工单中获取基础变量信息；基于基础变量信息，从各个防火墙对应的多个安全区域中确定出源安全区域和目的安全区域；基于源安全区域、目的安全区域判断出待配置的目标防火墙，并基于目标防火墙和基础变量信息，生成配置脚本；执行配置脚本配置安全策略。在本方案中，根据用户提供的基础变量信息，自动化生成配置脚本，并自动化执行配置脚本完成防火墙内安全策略的配置，以实现自动化配置、降低配置出错率以及缩短配置时间的目的。

Description

一种自动化配置安全策略的方法及装置

技术领域

本发明涉及网络安全技术领域，具体涉及一种自动化配置安全策略的方法及装置。

背景技术

随着网络规模的不断扩大，对网络安全的要求逐步提升，网络边界、子网隔离等位置通常通过部署防火墙隔离两个网络来提高安全性。虽然防火墙的作用是隔离两个网络，但是最终目的是防止某一个网络受到来自另一个网络的攻击，但是正常的访问数据需要放行，而防火墙出于安全考虑缺省情况拒绝所有流量经过，所以需要在防火墙的安全区域间配置安全策略进行访问控制，允许正常的数据进行跨区域访问。

现有技术中，随着业务的扩大，访问需求不断提升，安全策略配置需求也随之增加，通过人工配置安全策略的方式，存在配置量大、出错率高、处理时间过长等问题。

因此，如何在保证配置正确的前提下，提高安全策略的配置效率，是目前急需解决的问题。

发明内容

有鉴于此，本发明实施例提供一种自动化配置安全策略的方法及装置，以实现自动化配置、降低配置出错率以及缩短配置时间的目的。

为实现上述目的，本发明实施例提供如下技术方案：

本发明实施例第一方面公开了一种自动化配置安全策略的方法，所述方法包括：

从用户提交的配置工单中获取基础变量信息；

基于所述基础变量信息，从各个防火墙对应的多个安全区域中确定出源安全区域和目的安全区域；

基于所述源安全区域、所述目的安全区域判断出待配置的目标防火墙，并基于所述目标防火墙和所述基础变量信息，生成配置脚本；

执行所述配置脚本配置安全策略。

优选的，每一所述安全区域存在对应的IP地址信息，所述基于所述基础变量信息，从各个防火墙对应的多个安全区域中确定出源安全区域和目的安全区域，包括：

从所述基础变量信息获取源IP地址和目的IP地址；

基于所述源IP地址、所述目的IP地址和各个所述安全区域对应的IP地址信息，从各个所述安全区域中确定出源安全区域和目的安全区域。

优选的，每一所述防火墙存在预设的脚本配置命令，所述基于所述源安全区域、所述目的安全区域判断出待配置的目标防火墙，并基于所述目标防火墙和所述基础变量信息，生成配置脚本，包括：

若所述源安全区域和所述目的安全区域对应同一防火墙，则将所述防火墙确定为目标防火墙；

基于所述基础变量信息和所述目标防火墙对应的所述脚本配置命令，生成用于配置所述源安全区域和所述目的安全区域之间安全策略的配置脚本；

若所述源安全区域和所述目的安全区域对应不同的所述防火墙，则分别将所述源安全区域和所述目的安全区域对应的防火墙，确定为第一目标防火墙和第二目标防火墙；

获取所述第一目标防火墙和所述第二目标防火墙之间的绑定信息，基于所述绑定信息，得到所述第一目标防火墙中与所述第二目标防火墙绑定的第三安全区域，以及所述第二目标防火墙中与所述第二目标防火墙绑定的第四安全区域；

基于所述基础变量信息和所述第一目标防火墙对应的所述脚本配置命令，生成用于配置所述源安全区域和所述第三安全区域之间安全策略的配置脚本；

基于所述基础变量信息和所述第二目标防火墙对应的所述脚本配置命令，生成用于配置所述目的安全区域和所述第四安全区域之间安全策略的配置脚本。

优选的，在所述从用户提交的配置工单中获取基础变量信息之前，所述方法还包括：

获取用户输入的基础变量信息；

若所述基础变量信息包含多个源IP地址和多个目的IP地址，则根据多个源IP地址和多个目的IP地址分别选择对应的预设地址组，或者根据多个源IP地址和多个目的IP地址分别创建新的地址组；

将所述基础变量信息中的多个源IP地址和多个目的IP地址，替换为对应的所述预设地址组或者所述新的地址组；

基于替换后的所述基础变量信息生成配置工单。

优选的，所述方法还包括：

获取所述配置脚本执过程中产生的报错信息；

基于所述报错信息生成报错日志；

响应于用户的查询操作，展示所述报错日志。

本发明实施例第二方面公开了一种自动化配置安全策略的装置，所述装置包括：

获取单元，用于从用户提交的配置工单中获取基础变量信息；

确定单元，用于基于所述基础变量信息，从各个防火墙对应的多个安全区域中确定出源安全区域和目的安全区域；

生成单元，用于基于所述源安全区域、所述目的安全区域判断出待配置的目标防火墙，并基于所述目标防火墙和所述基础变量信息，生成配置脚本；

执行单元，用于执行所述配置脚本配置安全策略。

优选的，每一所述安全区域存在对应的IP地址信息，所述确定单元，具体用于：

从所述基础变量信息获取源IP地址和目的IP地址；

基于所述源IP地址、所述目的IP地址和各个所述安全区域对应的IP地址信息，从各个所述安全区域中确定出源安全区域和目的安全区域。

优选的，每一所述防火墙存在预设的脚本配置命令，所述生成单元，具体用于：

若所述源安全区域和所述目的安全区域对应同一防火墙，则将所述防火墙确定为目标防火墙；

基于所述基础变量信息和所述目标防火墙对应的所述脚本配置命令，生成用于配置所述源安全区域和所述目的安全区域之间安全策略的配置脚本；

若所述源安全区域和所述目的安全区域对应不同的所述防火墙，则分别将所述源安全区域和所述目的安全区域对应的防火墙，确定为第一目标防火墙和第二目标防火墙；

获取所述第一目标防火墙和所述第二目标防火墙之间的绑定信息，基于所述绑定信息，得到所述第一目标防火墙中与所述第二目标防火墙绑定的第三安全区域，以及所述第二目标防火墙中与所述第二目标防火墙绑定的第四安全区域；

基于所述基础变量信息和所述第一目标防火墙对应的所述脚本配置命令，生成用于配置所述源安全区域和所述第三安全区域之间安全策略的配置脚本；

基于所述基础变量信息和所述第二目标防火墙对应的所述脚本配置命令，生成用于配置所述目的安全区域和所述第四安全区域之间安全策略的配置脚本。

优选的，所述装置还包括：

工单生成单元，用于获取用户输入的基础变量信息；

若所述基础变量信息包含多个源IP地址和多个目的IP地址，则根据多个源IP地址和多个目的IP地址分别选择对应的预设地址组，或者根据多个源IP地址和多个目的IP地址分别创建新的地址组；

将所述基础变量信息中的多个源IP地址和多个目的IP地址，替换为对应的所述预设地址组或者所述新的地址组；

基于替换后的所述基础变量信息生成配置工单。

优选的，所述装置还包括：

报错单元，用于获取所述配置脚本执过程中产生的报错信息；

基于所述报错信息生成报错日志；

响应于用户的查询操作，展示所述报错日志。

基于上述本发明实施例提供的一种自动化配置安全策略的方法及装置，从用户提交的配置工单中获取基础变量信息；基于所述基础变量信息，从各个防火墙对应的多个安全区域中确定出源安全区域和目的安全区域；基于所述源安全区域、所述目的安全区域判断出待配置的目标防火墙，并基于所述目标防火墙和所述基础变量信息，生成配置脚本；执行所述配置脚本配置安全策略。在本方案中，根据用户提供的基础变量信息，自动化生成配置脚本，并自动化执行配置脚本完成防火墙内安全策略的配置，以实现自动化配置、降低配置出错率以及缩短配置时间的目的。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本发明实施例公开的一种自动化配置安全策略的方法的流程图；

图2为本发明公开的一种防火墙的安全区域示例图；

图3为本发明实施例公开的一种防火墙部署的示意图；

图4为本发明实施例公开的一种自动化配置安全策略的装置的结构图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在本申请中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

首先，对本申请中出现的技术术语进行说明：

安全区域(Security Zone)，简称为区域(Zone)，是防火墙上一个重要的概念，安全区域是一个或多个接口的集合，是防火墙区别于路由器的主要特性。防火墙通过安全区域来划分网络、标识报文流动的“路线”，当报文在不同的安全区域之间流动时，才会触发安全检查。

防火墙通过接口来连接网络，将接口划分到安全区域后，通过接口就把安全区域和网络关联起来，通常说某个安全区域，就可以表示该安全区域中接口所连接的网络。

防火墙的作用是隔离两个网络，但是最终目的是防止某一个网络受到来自另一个网络的攻击，但是正常的访问数据需要放行，而防火墙出于安全考虑缺省情况拒绝所有流量经过，所以需要在防火墙的安全区域间做安全策略进行访问控制，允许正常的数据进行跨区域访问。

安全策略的作用就是对通过防火墙的数据流进行检验，符合安全策略的合法数据流才能通过防火墙。安全策略是由匹配条件和动作(允许/拒绝)组成的控制规则，可以基于IP、端口、协议等属性进行细化的控制。

由背景技术可知，现有技术中，随着业务的扩大，访问需求不断提升，安全策略配置需求也随之增加，通过人工配置安全策略的方式，存在配置量大、出错率高、处理时间过长等问题。

因此，本发明实施例公开了一种自动化配置安全策略的方法及装置，在本方案中，根据用户提供的基础变量信息，自动化生成配置脚本，并自动化执行配置脚本完成防火墙内安全策略的配置，以实现自动化配置、降低配置出错率以及缩短配置时间的目的。

如图1所示，为本发明实施例公开的一种自动化配置安全策略的方法的流程图，包括以下步骤：

步骤S101：从用户提交的配置工单中获取基础变量信息。

在步骤S101中，配置工单是由用户预先发起创建，其包含用户输入的基础变量信息。

其中，基础变量信息至少包括：

1、安全策略名称：用于标注安全策略的名字，无实际意义，在自动化配置过程中可根据工单编号、时间自动生成，方便后期管理员维护。

2、安全策略编号：部分防火墙无实际意义，部分防火墙以编号作为上下匹配的顺序，防火墙在配置时可忽略此内容，防火墙会自动生成编号。

3、源安全区域、目的安全区域：防火墙内安全区域对应流量的访问方向分为源安全区域和目的安全区域，自动化配置过程中，需要在工单系统中预配置所有防火墙的安全区域，并关联安全区域所代表的IP地址信息，根据用户提交的源IP地址和目的IP地址自动确定此条安全策略的源安全区域和目的安全区域。

4、源IP地址、目的IP地址：访问流量的起始点和终止点，用户在工单内提供，可以是IP地址形式，也可以是IP地址组形式。

5、协议：安全策略需要匹配的协议，用户在工单内提供。

6、源端口、目的端口：对应协议的源端口和目的端口，用户在工单内提供，可为空值。

7、匹配动作：对于匹配到这条安全策略的流量是允许还是拒绝，用户在工单内提供。

8、有效期时间：安全策略的有效期时间，用户在工单内提供，不填写为永久有效。

9、描述信息：描述安全策略的信息，可不填写。

需要说明的是，用户提交包含基础变量信息的配置工单，经审批员和实施人员审批通过后，开始执行步骤S101，以防止用户提交的配置工单内容存在错误。

在一实施例中，在执行步骤S101之前，还包括：

获取用户输入的基础变量信息。

若基础变量信息包含多个源IP地址和多个目的IP地址，则根据多个源IP地址和多个目的IP地址分别选择对应的预设地址组，或者根据多个源IP地址和多个目的IP地址分别创建新的地址组。

需要说明的是，若基础变量信息包含多个源IP地址和多个目的IP地址，会导致配置得到的安全策略中命令数量过多，因此，通过地址组的形式，减少得到的安全策略中命令数量。

具体的，可以预先获取防火墙现有的地址组信息，用户可以从现有的地址组信息选择IP地址组(防止创建相同的地址组信息)，用户也可以根据需求创建新的IP地址组，创建成功后保存到现有的地址组信息中。

不同的防火墙创建IP地址组的预设命令格式不同，需要防火墙选择对应的预设命令格式创建IP地址组。

例如：华为防火墙：

ip address-set名称type group

address 10.1.1.0mask 24

address range 10.1.2.110.1.2.100

山石防火墙：

Address名称

ip 10.1.0.0/16

range 10.2.1.1 10.2.1.100

将基础变量信息中的多个源IP地址和多个目的IP地址，替换为对应的预设地址组或者新的地址组。

基于替换后的基础变量信息生成配置工单。

步骤S102：基于基础变量信息，从各个防火墙对应的多个安全区域中确定出源安全区域和目的安全区域。

示例性的，如图2所示，为本发明公开的一种防火墙的安全区域示例图。

其中，防火墙1具有三个安全区域，分别为安全区域A、安全区域B和安全区域C，安全区域A是接口1和接口2的集合，安全区域B是接口3的集合，安全区域C是接口4的集合。

防火墙2具有两个安全区域，分别为安全区域D和安全区域E，安全区域D是接口5的集合，安全区域E是接口6的集合。

可以理解的是，源安全区域可以是安全区域A至E的任一安全区域，目的安全区域可以是安全区域A至E中除了源安全区域之外的任一安全区域。

在步骤S102的具体实现过程中，从基础变量信息获取源IP地址和目的IP地址。

基于源IP地址、目的IP地址和各个安全区域对应的IP地址信息，从各个安全区域中确定出源安全区域和目的安全区域。

需要说明的是，每一安全区域存在对应的IP地址信息，因此，将IP地址信息与源IP地址匹配的安全区域确定为源安全区域，将IP地址信息与目的IP地址匹配的安全区域确定为目的安全区域。

步骤S103：基于源安全区域、目的安全区域判断出待配置的目标防火墙，并基于目标防火墙和基础变量信息，生成配置脚本。

在步骤S103中，配置脚本基于脚本配置命令和基础变量信息生成，其中，不同品牌的防火墙对应不同的脚本配置命令，脚本配置命令中预留引用基础变量的位置，从而引用基础变量信息生成配置脚本。

脚本配置命令的举例如下：

1、华为防火墙:

rule name策略名称

source-zone untrust(源安全区域)

destination-zone trust(目的安全区域)

source-address 10.1.1.024(源IP地址)

source-address range 10.1.2.210.1.2.100

source-address addres-set地址组名称

destination-address 10.2.2.024(目的IP地址)

destination-address address-set地址组名称

service protocol tcp source-port 80destination-port 1080

service http协议端口号名称

time-range时间的名称

action permit(动作)

提前创建时间段信息

time-range名称

absolute-range 11:00:002023/8/25to 11:00:002023/9/25

提前创建端口组信息

ip service-set名称type group

service protocol tcp source-port 80destination-port 1080

2、山石防火墙：

rule name策略名称

action permit(动作)

src-zone untrust(源安全区域)

dst-zone trust(目的安全区域)

src-ip 10.1.1.0/24(源IP地址)

src-range 10.2.2.210.2.2.100(源IP地址)

src-addr地址组名称

dst-ip 10.2.1.1/32(目的IP地址)

service端口组名称

schedule策略有效时间名称

description“说明信息”

山石防火墙安全策略调用的端口组需要提前创建：

service端口组名称

tcp(协议)dst-port 8081(目的端口)scr-port 3389(源端口)

山石防火墙安全策略生效时间要提前创建:

schedule时间策略名称

absolute start 08/24/202311:11(开始时间)

end 10/22/2023 9:30(结束时间)

新创建的策略默认顺序为最后匹配，可通过命令调整。

由于源安全区域和目的安全区域可能处于同一防火墙，也可能处于不同的防火墙，对于这两种情况，存在不同的脚本生成方式：

第一种，源安全区域和目的安全区域处于同一防火墙，只需要生成用于在该防火墙中配置源安全区域和目的安全区域之间安全策略的配置脚本即可。

具体的，若源安全区域和目的安全区域对应同一防火墙，则将防火墙确定为目标防火墙。

基于基础变量信息和目标防火墙对应的脚本配置命令，生成用于配置源安全区域和目的安全区域之间安全策略的配置脚本。

第二种，源安全区域和目的安全区域不处于同一防火墙，则需要对应两个防火墙生成对应的配置脚本。

具体的，若源安全区域和目的安全区域对应不同的防火墙，则分别将源安全区域和目的安全区域对应的防火墙，确定为第一目标防火墙和第二目标防火墙。

获取第一目标防火墙和第二目标防火墙之间的绑定信息，基于绑定信息，得到第一目标防火墙中与第二目标防火墙绑定的第三安全区域，以及第二目标防火墙中与第二目标防火墙绑定的第四安全区域。

基于基础变量信息和第一目标防火墙对应的脚本配置命令，生成用于配置源安全区域和第三安全区域之间安全策略的配置脚本。

基于基础变量信息和第二目标防火墙对应的脚本配置命令，生成用于配置目的安全区域和第四安全区域之间安全策略的配置脚本。

需要说明的是，第三安全区域绑定第二目标防火墙，代表第三安全区域为互联区域，第二防火墙中除了互联区域外的各个安全区域对应的IP地址信息都调用第三安全区域的IP地址信息。

同理，第二防火墙中的互联区域为第四安全区域，第四安全区域绑定第一目标防火墙，第一防火墙中除了互联区域(第三安全区域)外的各个安全区域对应的IP地址信息都调用第四安全区域的IP地址信息。

可以理解的是，第三安全区域和第四区域为互联区域，因此，在第一安全区域与第三安全区域之间配置安全策略，在第二安全区域与第四安全区域之间配置安全策略，即可实现第一安全区域与第二安全区域的流量控制。

为了方面理解上述内容，以下采用举例的方式进行说明，如图3所示，为本发明实施例公开的一种防火墙部署的示意图。

通过添加防火墙信息预先部署了三台防火墙，分别为：防火墙-1、防火墙-2和防火墙-3。

需要说明的是，可以预留以下添加方式：

1、添加新的防火墙，需要有添加新防火墙的接口。

2、添加防火墙创建新的安全区域，防火墙创建新的区域后，可在已存在的防火墙添加新的安全区域。

3、安全区域新添加绑定的IP地址信息，在新增IP地址信息后，可以在安全区域添加IP地址信息。

其中，防火墙信息包括：设备厂商、型号、管理IP、用户名密码、防火墙包含的安全区域、安全区域内包含的IP地址信息，如果设有虚墙，也要添加虚墙信息，安全区域以及IP地址信息都绑定在虚墙下。

示例性的，防火墙-1的防火墙信息如下：

厂家：华为 型号：USG9520

管理IP：10.1.0.1 用户名/密码：admin/Huawei@123

安全区域：A1\B1\C1

IP地址信息：

A1区域：10.10.0.0/16、10.12.0.0/16

B1区域：10.11.0.0/16

C1区域：防火墙-2、防火墙-3、any、10.15.1.0/24

虚墙：无

需要说明的是，安全区域C1分别绑定防火墙-2和防火墙-3，代表安全区域C1为互联区域，同时代表防火墙-2中的安全区域A2、安全区域C2和安全区域D2对应的IP地址信息都调用为安全区域C1对应的IP地址信息，防火墙-3中的安全区域A3和安全区域B3对应的IP地址信息都调用为安全区域C1对应的IP地址信息。

其中，防火墙-2中的安全区域B2和防火墙-3中的安全区域C3，与安全区域C1一样为互联区域，因此不在上述调用范围之内。

特别说明的是，防火墙-1的安全区域C1绑定了防火墙-2和防火墙-3，那么防火墙-2和防火墙-3中的互联区域(安全区域B2和安全区域C3)也必然绑定防火墙-1，否则防火墙部署不生效。

还需要说明的是，any代表除了防火墙-1中的各个安全区域对应的IP地址信息之外的IP地址信息都对应于安全区域C1。

any每个防火墙只能使用一次，防火墙-2和防火墙-3都有互联网链路，可能都会配置any，假设两个防火墙之间的安全区域D2和C3互相绑定，那么可能会引用到这两个区域。

示例性的，假设用户提交的源IP地址为10.10.1.0/24，目的IP地址为10.11.2.0/24，可根据上述源IP地址和目的IP地址判断为防火墙-1的安全区域A1访问安全区域B1，只需要在防火墙-1中配置安全区域A1到安全区域B1的安全策略。

示例性的，假设防火墙-2的安全区域A2包含地址段10.20.0.0/16，那么10.10.1.0/24访问10.20.1.0/24，需要在防火墙-1配置安全区域A1到安全区域C1的安全策略，在防火墙-2配置安全区域B2到安全区域A2的安全策略。

步骤S104：执行配置脚本配置安全策略。

在一实施例中，获取配置脚本执过程中产生的报错信息，基于报错信息生成报错日志，响应于用户的查询操作，展示报错日志。

基于上述本发明实施例公开的一种自动化配置安全策略的方法，从用户提交的配置工单中获取基础变量信息；基于基础变量信息，从各个防火墙对应的多个安全区域中确定出源安全区域和目的安全区域；基于源安全区域、目的安全区域判断出待配置的目标防火墙，并基于目标防火墙和基础变量信息，生成配置脚本；执行配置脚本配置安全策略。在本方案中，根据用户提供的基础变量信息，自动化生成配置脚本，并自动化执行配置脚本完成防火墙内安全策略的配置，以实现自动化配置、降低配置出错率以及缩短配置时间的目的。

基于上述本发明实施例公开的一种自动化配置安全策略的方法，如图4所示，为本发明实施例公开的一种自动化配置安全策略的装置的结构图，该装置包括：获取单元401、确定单元402、生成单元403和执行单元404。

获取单元401，用于从用户提交的配置工单中获取基础变量信息。

确定单元402，用于基于基础变量信息，从各个防火墙对应的多个安全区域中确定出源安全区域和目的安全区域。

在一实施例中，每一安全区域存在对应的IP地址信息，确定单元402，具体用于：

从基础变量信息获取源IP地址和目的IP地址。

基于源IP地址、目的IP地址和各个安全区域对应的IP地址信息，从各个安全区域中确定出源安全区域和目的安全区域。

生成单元403，用于基于源安全区域、目的安全区域判断出待配置的目标防火墙，并基于目标防火墙和基础变量信息，生成配置脚本。

在一实施例中，每一防火墙存在预设的脚本配置命令，生成单元403，具体用于：

若源安全区域和目的安全区域对应同一防火墙，则将防火墙确定为目标防火墙。

基于基础变量信息和目标防火墙对应的脚本配置命令，生成用于配置源安全区域和目的安全区域之间安全策略的配置脚本。

若源安全区域和目的安全区域对应不同的防火墙，则分别将源安全区域和目的安全区域对应的防火墙，确定为第一目标防火墙和第二目标防火墙。

获取第一目标防火墙和第二目标防火墙之间的绑定信息，基于绑定信息，得到第一目标防火墙中与第二目标防火墙绑定的第三安全区域，以及第二目标防火墙中与第二目标防火墙绑定的第四安全区域。

基于基础变量信息和第一目标防火墙对应的脚本配置命令，生成用于配置源安全区域和第三安全区域之间安全策略的配置脚本。

基于基础变量信息和第二目标防火墙对应的脚本配置命令，生成用于配置目的安全区域和第四安全区域之间安全策略的配置脚本。

执行单元404，用于执行配置脚本配置安全策略。

在一实施例中，还包括：工单生成单元，用于获取用户输入的基础变量信息。

若基础变量信息包含多个源IP地址和多个目的IP地址，则根据多个源IP地址和多个目的IP地址分别选择对应的预设地址组，或者根据多个源IP地址和多个目的IP地址分别创建新的地址组。

将基础变量信息中的多个源IP地址和多个目的IP地址，替换为对应的预设地址组或者新的地址组。

基于替换后的基础变量信息生成配置工单。

在一实施例中，还包括：报错单元，用于获取配置脚本执过程中产生的报错信息。

基于报错信息生成报错日志。

响应于用户的查询操作，展示报错日志。

基于上述本发明实施例公开的一种自动化配置安全策略的装置，从用户提交的配置工单中获取基础变量信息；基于基础变量信息，从各个防火墙对应的多个安全区域中确定出源安全区域和目的安全区域；基于源安全区域、目的安全区域判断出待配置的目标防火墙，并基于目标防火墙和基础变量信息，生成配置脚本；执行配置脚本配置安全策略。在本方案中，根据用户提供的基础变量信息，自动化生成配置脚本，并自动化执行配置脚本完成防火墙内安全策略的配置，以实现自动化配置、降低配置出错率以及缩短配置时间的目的。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统或系统实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的系统及系统实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种自动化配置安全策略的方法，其特征在于，所述方法包括：

从用户提交的配置工单中获取基础变量信息；

基于所述基础变量信息，从各个防火墙对应的多个安全区域中确定出源安全区域和目的安全区域；

基于所述源安全区域、所述目的安全区域判断出待配置的目标防火墙，并基于所述目标防火墙和所述基础变量信息，生成配置脚本；

执行所述配置脚本配置安全策略。

2.根据权利要求1所述的方法，其特征在于，每一所述安全区域存在对应的IP地址信息，所述基于所述基础变量信息，从各个防火墙对应的多个安全区域中确定出源安全区域和目的安全区域，包括：

从所述基础变量信息获取源IP地址和目的IP地址；

基于所述源IP地址、所述目的IP地址和各个所述安全区域对应的IP地址信息，从各个所述安全区域中确定出源安全区域和目的安全区域。

3.根据权利要求1所述的方法，其特征在于，每一所述防火墙存在预设的脚本配置命令，所述基于所述源安全区域、所述目的安全区域判断出待配置的目标防火墙，并基于所述目标防火墙和所述基础变量信息，生成配置脚本，包括：

若所述源安全区域和所述目的安全区域对应同一防火墙，则将所述防火墙确定为目标防火墙；

基于所述基础变量信息和所述目标防火墙对应的所述脚本配置命令，生成用于配置所述源安全区域和所述目的安全区域之间安全策略的配置脚本；

若所述源安全区域和所述目的安全区域对应不同的所述防火墙，则分别将所述源安全区域和所述目的安全区域对应的防火墙，确定为第一目标防火墙和第二目标防火墙；

获取所述第一目标防火墙和所述第二目标防火墙之间的绑定信息，基于所述绑定信息，得到所述第一目标防火墙中与所述第二目标防火墙绑定的第三安全区域，以及所述第二目标防火墙中与所述第二目标防火墙绑定的第四安全区域；

基于所述基础变量信息和所述第一目标防火墙对应的所述脚本配置命令，生成用于配置所述源安全区域和所述第三安全区域之间安全策略的配置脚本；

基于所述基础变量信息和所述第二目标防火墙对应的所述脚本配置命令，生成用于配置所述目的安全区域和所述第四安全区域之间安全策略的配置脚本。

4.根据权利要求1至3任一所述的方法，其特征在于，在所述从用户提交的配置工单中获取基础变量信息之前，所述方法还包括：

获取用户输入的基础变量信息；

若所述基础变量信息包含多个源IP地址和多个目的IP地址，则根据多个源IP地址和多个目的IP地址分别选择对应的预设地址组，或者根据多个源IP地址和多个目的IP地址分别创建新的地址组；

将所述基础变量信息中的多个源IP地址和多个目的IP地址，替换为对应的所述预设地址组或者所述新的地址组；

基于替换后的所述基础变量信息生成配置工单。

5.根据权利要求1至3任一所述的方法，其特征在于，所述方法还包括：

获取所述配置脚本执过程中产生的报错信息；

基于所述报错信息生成报错日志；

响应于用户的查询操作，展示所述报错日志。

6.一种自动化配置安全策略的装置，其特征在于，所述装置包括：

获取单元，用于从用户提交的配置工单中获取基础变量信息；

确定单元，用于基于所述基础变量信息，从各个防火墙对应的多个安全区域中确定出源安全区域和目的安全区域；

生成单元，用于基于所述源安全区域、所述目的安全区域判断出待配置的目标防火墙，并基于所述目标防火墙和所述基础变量信息，生成配置脚本；

执行单元，用于执行所述配置脚本配置安全策略。

7.根据权利要求6所述的装置，其特征在于，每一所述安全区域存在对应的IP地址信息，所述确定单元，具体用于：

从所述基础变量信息获取源IP地址和目的IP地址；

基于所述源IP地址、所述目的IP地址和各个所述安全区域对应的IP地址信息，从各个所述安全区域中确定出源安全区域和目的安全区域。

8.根据权利要求6所述的装置，其特征在于，每一所述防火墙存在预设的脚本配置命令，所述生成单元，具体用于：

若所述源安全区域和所述目的安全区域对应同一防火墙，则将所述防火墙确定为目标防火墙；

基于所述基础变量信息和所述目标防火墙对应的所述脚本配置命令，生成用于配置所述源安全区域和所述目的安全区域之间安全策略的配置脚本；

若所述源安全区域和所述目的安全区域对应不同的所述防火墙，则分别将所述源安全区域和所述目的安全区域对应的防火墙，确定为第一目标防火墙和第二目标防火墙；

获取所述第一目标防火墙和所述第二目标防火墙之间的绑定信息，基于所述绑定信息，得到所述第一目标防火墙中与所述第二目标防火墙绑定的第三安全区域，以及所述第二目标防火墙中与所述第二目标防火墙绑定的第四安全区域；

基于所述基础变量信息和所述第一目标防火墙对应的所述脚本配置命令，生成用于配置所述源安全区域和所述第三安全区域之间安全策略的配置脚本；

基于所述基础变量信息和所述第二目标防火墙对应的所述脚本配置命令，生成用于配置所述目的安全区域和所述第四安全区域之间安全策略的配置脚本。

9.根据权利要求6至8任一所述的装置，其特征在于，所述装置还包括：

工单生成单元，用于获取用户输入的基础变量信息；

若所述基础变量信息包含多个源IP地址和多个目的IP地址，则根据多个源IP地址和多个目的IP地址分别选择对应的预设地址组，或者根据多个源IP地址和多个目的IP地址分别创建新的地址组；

将所述基础变量信息中的多个源IP地址和多个目的IP地址，替换为对应的所述预设地址组或者所述新的地址组；

基于替换后的所述基础变量信息生成配置工单。

10.根据权利要求6至8任一所述的装置，其特征在于，所述装置还包括：

报错单元，用于获取所述配置脚本执过程中产生的报错信息；

基于所述报错信息生成报错日志；

响应于用户的查询操作，展示所述报错日志。