專利名稱:防火墻訪問控制策略的配置方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域,特別涉及一種防火墻訪問控制策略的配置方法及裝置���。
背景技術(shù):
隨著企業(yè)信息化的普及�����,網(wǎng)絡(luò)的信息安全問題已引起了越來越多的關(guān)注,為了保 障網(wǎng)絡(luò)設(shè)備的信息安全���,通常使用防火墻來對各網(wǎng)絡(luò)設(shè)備實(shí)行嚴(yán)格的訪問控制�����。例如�����,針對 網(wǎng)絡(luò)設(shè)備A和網(wǎng)絡(luò)設(shè)備B預(yù)設(shè)的防火墻訪問控制策略為控制策略A�����,為網(wǎng)絡(luò)設(shè)備A服務(wù)的防 火墻為防火墻A����,為網(wǎng)絡(luò)設(shè)備B服務(wù)的防火墻為防火墻B,則防火墻A和防火墻B只允許滿 足控制策略A的訪問請求訪問網(wǎng)絡(luò)設(shè)備A和網(wǎng)絡(luò)設(shè)備B�����,從而保護(hù)了網(wǎng)絡(luò)設(shè)備A和網(wǎng)絡(luò)設(shè)備 B的信息安全�����。目前防火墻的使用和維護(hù)一般都是由網(wǎng)絡(luò)管理員負(fù)責(zé)����,防火墻的所有訪問控制策 略也由網(wǎng)絡(luò)管理員進(jìn)行處理,用戶首先向網(wǎng)絡(luò)管理員提交訪問控制策略配置請求�����,然后網(wǎng) 絡(luò)管理員在防火墻上進(jìn)行訪問控制策略的配置��,并在該訪問控制策略到期后�,取消相應(yīng)的 訪問控制策略��,以確保網(wǎng)絡(luò)設(shè)備的信息安全���。隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和對外接口的增加,防火墻訪問控制策略的配置需求越來越 大�,網(wǎng)絡(luò)管理員的工作量也就越來越大,從而使得防火墻訪問控制策略的配置效率較低���,且 配置準(zhǔn)確性較低�����。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供一種防火墻訪問控制策略的配置方法及裝置����,用以解決現(xiàn)有技 術(shù)中存在的由于網(wǎng)絡(luò)管理員對防火墻訪問控制策略進(jìn)行人工配置����,從而使得防火墻訪問控 制策略的配置效率較低���,且配置準(zhǔn)確性較低的問題�。本發(fā)明實(shí)施例技術(shù)方案如下—種防火墻訪問控制策略的配置方法����,該方法包括步驟防火墻訪問控制策略的 配置裝置接收用戶發(fā)送的配置請求消息����,所述配置請求消息中攜帶有所述用戶針對請求保 護(hù)的至少一個(gè)目標(biāo)網(wǎng)絡(luò)設(shè)備預(yù)設(shè)的防火墻訪問控制策略��;分別確定為每個(gè)目標(biāo)網(wǎng)絡(luò)設(shè)備服 務(wù)的防火墻�����;根據(jù)接收到的防火墻訪問控制策略�����,對確定出的各防火墻分別進(jìn)行防火墻訪 問控制策略的配置��。一種防火墻訪問控制策略的配置裝置���,包括第一接收單元�����,用于接收用戶發(fā)送的 配置請求消息���,所述配置請求消息中攜帶有所述用戶針對請求保護(hù)的至少一個(gè)目標(biāo)網(wǎng)絡(luò)設(shè) 備預(yù)設(shè)的防火墻訪問控制策略�����;第一確定單元����,用于分別確定為每個(gè)目標(biāo)網(wǎng)絡(luò)設(shè)備服務(wù)的 防火墻����;配置單元,用于根據(jù)第一接收單元接收到的防火墻訪問控制策略�����,對確定單元確定 出的各防火墻分別進(jìn)行防火墻訪問控制策略的配置��。本發(fā)明實(shí)施例技術(shù)方案中�����,防火墻訪問控制策略的配置裝置接收用戶發(fā)送的配置 請求消息���,其中該配置請求消息中攜帶有該用戶針對請求保護(hù)的至少一個(gè)目標(biāo)網(wǎng)絡(luò)設(shè)備預(yù)設(shè)的防火墻訪問控制策略,上述配置裝置分別確定為每個(gè)目標(biāo)網(wǎng)絡(luò)設(shè)備服務(wù)的防火墻��,然 后根據(jù)接收到的防火墻訪問控制策略,對確定出的各防火墻分別進(jìn)行防火墻訪問控制策略 的配置���,從而使得該防火墻訪問控制裝置能夠根據(jù)用戶發(fā)送的配置請求消息����,實(shí)現(xiàn)防火墻 訪問控制策略的配置�����,而不再是由網(wǎng)絡(luò)管理員進(jìn)行配置����,這就有效地提高了防火墻訪問控 制策略的配置效率,且提高了配置準(zhǔn)確性���。
圖1為本發(fā)明實(shí)施例中��,防火墻訪問控制策略的配置方法流程示意圖��;圖2為本發(fā)明實(shí)施例中��,防火墻訪問控制策略的配置裝置結(jié)構(gòu)示意圖���。
具體實(shí)施例方式下面結(jié)合各個(gè)附圖對本發(fā)明實(shí)施例技術(shù)方案的主要實(shí)現(xiàn)原理具體實(shí)施方式
及其 對應(yīng)能夠達(dá)到的有益效果進(jìn)行詳細(xì)地闡述�����。如圖1所示��,為本發(fā)明實(shí)施例中�����,防火墻訪問控制策略的配置方法流程圖����,其具體 處理過程如下步驟11�,防火墻訪問控制策略的配置裝置接收用戶發(fā)送的配置請求消息,其中配 置請求消息中攜帶有該用戶針對請求保護(hù)的至少一個(gè)目標(biāo)網(wǎng)絡(luò)設(shè)備預(yù)設(shè)的防火墻訪問控 制策略����;本發(fā)明實(shí)施例中,用戶請求保護(hù)的網(wǎng)絡(luò)設(shè)備為目標(biāo)網(wǎng)絡(luò)設(shè)備�,用戶可以針對一個(gè) 目標(biāo)網(wǎng)絡(luò)設(shè)備預(yù)設(shè)防火墻訪問控制策略,例如網(wǎng)絡(luò)設(shè)備A為目標(biāo)網(wǎng)絡(luò)設(shè)備��,針對該目標(biāo)網(wǎng) 絡(luò)設(shè)備預(yù)設(shè)的防火墻訪問控制策略為網(wǎng)絡(luò)設(shè)備A的端口 1�,允許通過網(wǎng)絡(luò)設(shè)備B和C通過 端口 2發(fā)出的訪問請求����。用戶還可以針對兩個(gè)以上的目標(biāo)網(wǎng)絡(luò)設(shè)備預(yù)設(shè)防火墻訪問控制策略�����,例如����,網(wǎng)絡(luò) 設(shè)備A和網(wǎng)絡(luò)設(shè)備B為目標(biāo)網(wǎng)絡(luò)設(shè)備�����,針對網(wǎng)絡(luò)設(shè)備A和網(wǎng)絡(luò)設(shè)備B預(yù)設(shè)的防火墻訪問控 制策略為網(wǎng)絡(luò)設(shè)備A和B的端口 1���,允許通過網(wǎng)絡(luò)設(shè)備C和D通過端口 2發(fā)出的訪問請求��。本發(fā)明實(shí)施例中�����,用戶可以但不限于以短消息的形式將配置請求消息發(fā)送給上述 配置裝置�,還可以以彩信��、頁面(Web)的形式發(fā)送����。若用戶請求保護(hù)的目標(biāo)網(wǎng)絡(luò)設(shè)備為網(wǎng)絡(luò)設(shè)備A和網(wǎng)絡(luò)設(shè)備B�����,網(wǎng)絡(luò)設(shè)備A和網(wǎng)絡(luò) 設(shè)備B的互聯(lián)網(wǎng)協(xié)議(IP���,Internet Protocol)地址組成IP地址段A,用戶針對網(wǎng)絡(luò)設(shè)備 A和網(wǎng)絡(luò)設(shè)備B預(yù)設(shè)的防火墻訪問控制策略為網(wǎng)絡(luò)設(shè)備A和網(wǎng)絡(luò)設(shè)備B的端口 1���,允許通 過網(wǎng)絡(luò)設(shè)備C和網(wǎng)絡(luò)設(shè)備D通過端口 2發(fā)出的訪問請求��。其中網(wǎng)絡(luò)設(shè)備C和網(wǎng)絡(luò)設(shè)備D的 IP地址組成IP地址段B��,若用戶以短消息形式發(fā)送配置請求消息����,則用戶發(fā)送的配置請求 消息的格式可以但不限于為下述:SQ+source+netmaskl+portl+server+netmask2+port2+d ay,其中SQ為用于標(biāo)識(shí)該消息為配置請求消息的代碼�����,source用于標(biāo)識(shí)IP地址段B的首 地址���,netmaskl用于標(biāo)識(shí)IP地址段B的子網(wǎng)掩碼���,portl用于標(biāo)識(shí)端口 2,server用于標(biāo) 識(shí)IP地址段A的首地址���,netmaSk2用于標(biāo)識(shí)IP地址段A的子網(wǎng)掩碼�,port2用于標(biāo)識(shí)端口 1���,day用于標(biāo)識(shí)此次配置的有效期。此外��,若用戶請求保護(hù)的目標(biāo)網(wǎng)絡(luò)設(shè)備還包括網(wǎng)絡(luò)設(shè)備E和網(wǎng)絡(luò)設(shè)備F��,網(wǎng)絡(luò)設(shè)備 E和網(wǎng)絡(luò)設(shè)備F的IP地址組成IP地址段C����,用戶針對網(wǎng)絡(luò)設(shè)備E和網(wǎng)絡(luò)設(shè)備F預(yù)設(shè)的防火墻訪問控制策略為網(wǎng)絡(luò)設(shè)備E和網(wǎng)絡(luò)設(shè)備F的端口 3,允許通過網(wǎng)絡(luò)設(shè)備G和網(wǎng)絡(luò)設(shè)備H 通過端口 4發(fā)出的訪問請求�����。其中網(wǎng)絡(luò)設(shè)備G和網(wǎng)絡(luò)設(shè)備H的IP地址組成IP地址段D����, 用戶發(fā)送的配置請求消息可以但不限于為下述SQ+sourcel+netmaskll+portll+serverl +netmaskl2+portl2+SQ+source2+netmask21+port21+server2+netmask22+port22+day,其 中SQ為用于標(biāo)識(shí)該消息為配置請求消息的代碼�����,sourcel用于標(biāo)識(shí)IP地址段B的首地址�����, netmaskll用于標(biāo)識(shí)IP地址段B的子網(wǎng)掩碼��,portll用于標(biāo)識(shí)端口 2�,serverl用于標(biāo)識(shí) IP地址段A的首地址���,netmaSkl2用于標(biāo)識(shí)IP地址段A的子網(wǎng)掩碼�,portl2用于標(biāo)識(shí)端口 1���,source2用于標(biāo)識(shí)IP地址段D的首地址���,netmask21用于標(biāo)識(shí)IP地址段D的子網(wǎng)掩碼, port21用于標(biāo)識(shí)端口 4���,server2用于標(biāo)識(shí)IP地址段C的首地址���,netmask22用于標(biāo)識(shí)IP 地址段C的子網(wǎng)掩碼�����,port22用于標(biāo)識(shí)端口 3����,day用于標(biāo)識(shí)此次配置的有效期��。 其中 netmaskll����、netmaskl2�、netmask21 禾口 netmask22 為全 1 時(shí),表示對應(yīng)的網(wǎng)絡(luò) 設(shè)備為單個(gè)網(wǎng)絡(luò)設(shè)備,portll���、portl2���、port21和port22為0時(shí),表示為對應(yīng)網(wǎng)絡(luò)設(shè)備的全 部端口�����,day為0時(shí),可以表示有效期不限��,即永久有效��。步驟12��,分別確定為每個(gè)目標(biāo)網(wǎng)絡(luò)設(shè)備服務(wù)的防火墻�;其中,每個(gè)防火墻為至少一個(gè)網(wǎng)絡(luò)設(shè)備服務(wù)��,而每個(gè)網(wǎng)絡(luò)設(shè)備對應(yīng)一個(gè)IP地址���, 即每個(gè)防火墻均對應(yīng)至少一個(gè)IP地址��,若該配置裝置管理網(wǎng)絡(luò)中多個(gè)防火墻�,則可以預(yù)先 存儲(chǔ)所管理的每個(gè)防火墻的標(biāo)識(shí)信息和網(wǎng)絡(luò)設(shè)備的IP地址信息之間的對應(yīng)關(guān)系���,如表1所 示表1
防火墻標(biāo)識(shí)信息網(wǎng)絡(luò)設(shè)備的IP地址信息
IP地址a
防火墻1_
IP地址b--�;-
IP地址C
防火墻1IP地址d
IP地址e本發(fā)明實(shí)施例中�����,對防火墻訪問控制策略進(jìn)行配置需要首先確定為每個(gè)目標(biāo)網(wǎng)絡(luò) 設(shè)備服務(wù)的防火墻����,確定的步驟可以但不限于為下述針對每個(gè)目標(biāo)網(wǎng)絡(luò)設(shè)備��,根據(jù)接收到的訪問控制策略中包含的該目標(biāo)網(wǎng)絡(luò)設(shè)備的 IP地址信息�����,在如上表所示的防火墻標(biāo)識(shí)信息和網(wǎng)絡(luò)設(shè)備的IP地址信息的對應(yīng)關(guān)系中���,查 找與該目標(biāo)網(wǎng)絡(luò)設(shè)備的IP地址信息對應(yīng)的防火墻標(biāo)識(shí)信息,然后將查找到的防火墻標(biāo)識(shí) 信息對應(yīng)的防火墻�,確定為為該目標(biāo)網(wǎng)絡(luò)設(shè)備服務(wù)的防火墻���。此外��,用戶還可以在配置請求消息中插入每個(gè)目標(biāo)網(wǎng)絡(luò)設(shè)備的標(biāo)識(shí)信息���,配置裝 置就可以針對每個(gè)目標(biāo)網(wǎng)絡(luò)設(shè)備,根據(jù)該目標(biāo)網(wǎng)絡(luò)設(shè)備的標(biāo)識(shí)信息���,在網(wǎng)絡(luò)設(shè)備標(biāo)識(shí)信息 和防火墻標(biāo)識(shí)信息的對應(yīng)關(guān)系中����,查找對應(yīng)的防火墻標(biāo)識(shí)信息,然后將查找到的防火墻標(biāo) 識(shí)信息對應(yīng)的防火墻�����,確定為為該目標(biāo)網(wǎng)絡(luò)設(shè)備服務(wù)的防火墻�。
此外,本發(fā)明實(shí)施例中��,用戶發(fā)送的配置請求消息中還可以攜帶有該用戶的用戶 信息���,那么在確定各個(gè)防火墻之前還可以進(jìn)一步根據(jù)接收到的用戶信息���,確定該用戶具有 對各目標(biāo)網(wǎng)絡(luò)設(shè)備的防火墻訪問控制策略進(jìn)行配置的權(quán)限。 如果用戶以短消息的形式發(fā)送配置請求消息�����,則用戶的用戶信息可以為該用戶的 移動(dòng)終端的號(hào)碼信息�,配置裝置在接收到短消息后,可以查看發(fā)送短消息的移動(dòng)終端的號(hào) 碼信息�����,然后在存儲(chǔ)的所有具有權(quán)限的各個(gè)號(hào)碼信息中���,判斷是否存在查看的號(hào)碼信息�,若 存在,則確認(rèn)該用戶具有對各目標(biāo)網(wǎng)絡(luò)設(shè)備的防火墻訪問控制策略進(jìn)行配置的權(quán)限�,可以 繼續(xù)進(jìn)行防火墻訪問控制策略的配置,若不存在���,則確認(rèn)該用戶不具有對各目標(biāo)網(wǎng)絡(luò)設(shè)備 的防火墻訪問控制策略進(jìn)行配置的權(quán)限��,向用戶發(fā)送通知消息�����,通知用戶不具有配置權(quán)限�����。若用戶以彩信的形式發(fā)送配置請求消息,則判斷用戶是否具有權(quán)限的方式和上述 過程類似����,若用戶以Web的形式發(fā)送配置請求消息,那么判斷用戶信息可以為用戶名稱和 用戶口令�,首先判斷是否存在該用戶輸入的用戶名稱,在判斷結(jié)果為是后����,再判斷用戶輸入 的用戶口令是否正確�,如果判斷結(jié)果為正確時(shí)����,則配置裝置確認(rèn)該用戶具有對各目標(biāo)網(wǎng)絡(luò) 設(shè)備的防火墻訪問控制策略進(jìn)行配置的權(quán)限,則可以繼續(xù)進(jìn)行防火墻訪問控制策略的配 置�。此外,為了網(wǎng)絡(luò)管理員監(jiān)督網(wǎng)絡(luò)中各個(gè)網(wǎng)絡(luò)設(shè)備的端口使用情況�����,還可以對用戶 發(fā)送的防火墻訪問控制策略進(jìn)行審批��,具體為在分別確定為每個(gè)目標(biāo)網(wǎng)絡(luò)設(shè)備服務(wù)的防火墻之前����,確定為該用戶進(jìn)行訪問控制 策略審批的審批終端,將接收到的配置請求消息發(fā)送給確定出的審批終端�,并接收該審批 終端發(fā)送的審批結(jié)果消息。若用戶通過短消息的形式發(fā)送配置請求消息���,則該配置裝置中還可以進(jìn)一步存儲(chǔ) 有各用戶所使用的移動(dòng)終端號(hào)碼信息和對應(yīng)審批終端號(hào)碼信息的對應(yīng)關(guān)系����,如表2所示表2
權(quán)利要求
1. 一種防火墻訪問控制策略的配置方法,其特征在于�����,包括防火墻訪問控制策略的配置裝置接收用戶發(fā)送的配置請求消息��,所述配置請求消息中 攜帶有所述用戶針對請求保護(hù)的至少一個(gè)目標(biāo)網(wǎng)絡(luò)設(shè)備預(yù)設(shè)的防火墻訪問控制策略��;分別確定為每個(gè)目標(biāo)網(wǎng)絡(luò)設(shè)備服務(wù)的防火墻����;根據(jù)接收到的防火墻訪問控制策略,對確定出的各防火墻分別進(jìn)行防火墻訪問控制策 略的配置�����。
2.如權(quán)利要求1所述的防火墻訪問控制策略的配置方法��,其特征在于���,分別確定為每 個(gè)目標(biāo)網(wǎng)絡(luò)設(shè)備服務(wù)的防火墻,具體包括針對每個(gè)目標(biāo)網(wǎng)絡(luò)設(shè)備分別執(zhí)行根據(jù)接收到的訪問控制策略中包含的該目標(biāo)網(wǎng)絡(luò)設(shè)備的IP地址信息�����,在防火墻標(biāo)識(shí) 信息和網(wǎng)絡(luò)設(shè)備的IP地址信息的對應(yīng)關(guān)系中,查找與該目標(biāo)網(wǎng)絡(luò)設(shè)備的IP地址信息對應(yīng) 的防火墻標(biāo)識(shí)信息�����;將查找到的防火墻標(biāo)識(shí)信息對應(yīng)的防火墻��,確定為為該目標(biāo)網(wǎng)絡(luò)設(shè)備服務(wù)的防火墻�����。
3.如權(quán)利要求1所述的防火墻訪問控制策略的配置方法����,其特征在于,所述配置請求 消息中還攜帶有所述用戶的用戶信息���;分別確定為每個(gè)目標(biāo)網(wǎng)絡(luò)設(shè)備服務(wù)的防火墻之前還包括根據(jù)接收到的用戶信息��,確定該用戶具有對各目標(biāo)網(wǎng)絡(luò)設(shè)備的防火墻訪問控制策略進(jìn) 行配置的權(quán)限���。
4.如權(quán)利要求1所述的防火墻訪問控制策略的配置方法,其特征在于���,分別確定為每 個(gè)目標(biāo)網(wǎng)絡(luò)設(shè)備服務(wù)的防火墻之前還包括確定為所述用戶進(jìn)行訪問控制策略審批的審批終端�;將接收到的所述配置請求消息發(fā)送給確定出的審批終端;以及接收所述審批終端發(fā)送的審批通過消息����。
5.如權(quán)利要求1所述的防火墻訪問控制策略的配置方法,其特征在于�����,所述配置請求 消息中還攜帶有配置有效期信息�;所述配置方法還包括根據(jù)接收到的配置有效期信息,確定所述配置請求消息中攜帶的防火墻訪問控制策略 的到期時(shí)間點(diǎn)��;將到期時(shí)間點(diǎn)�����、所述防火墻訪問控制策略��、確定出的各防火墻對應(yīng)的防火墻標(biāo)識(shí)信息�����, 進(jìn)行對應(yīng)存儲(chǔ)�;在存儲(chǔ)的各個(gè)在用防火墻訪問控制策略對應(yīng)的到期時(shí)間點(diǎn)中���,檢測不遲于當(dāng)前時(shí)間點(diǎn) 的到期時(shí)間點(diǎn)���;根據(jù)檢測出的到期時(shí)間點(diǎn)����,在到期時(shí)間點(diǎn)�����、防火墻訪問控制策略��、防火墻標(biāo)識(shí)信息的對 應(yīng)關(guān)系中���,查找對應(yīng)的防火墻訪問控制策略和各防火墻標(biāo)識(shí)信息���;根據(jù)查找到的防火墻訪問控制策略,對查找到的各防火墻標(biāo)識(shí)信息對應(yīng)的防火墻分別 進(jìn)行訪問控制策略的取消操作����。
6.如權(quán)利要求1所述的防火墻訪問控制策略的配置方法,其特征在于�,所述配置方法 還包括為確定出的各防火墻和接收到的所述防火墻訪問控制策略�����,分配唯一的配置序列號(hào)��;并將配置序列號(hào)�、所述防火墻訪問控制策略�、確定出的各防火墻對應(yīng)的防火墻標(biāo)識(shí)信息, 進(jìn)行對應(yīng)存儲(chǔ)�;將分配的配置序列號(hào)發(fā)送給所述用戶;接收用戶發(fā)送的取消配置請求消息���,所述取消配置請求消息中攜帶有配置序列號(hào)��; 根據(jù)接收到的配置序列號(hào)�,在配置序列號(hào)�����、防火墻訪問控制策略����、防火墻標(biāo)識(shí)信息的對 應(yīng)關(guān)系中,查找對應(yīng)的防火墻訪問控制策略和各防火墻標(biāo)識(shí)信息���;根據(jù)查找到的防火墻訪問控制策略�,對查找到的各防火墻標(biāo)識(shí)信息對應(yīng)的防火墻分別 進(jìn)行訪問控制策略的取消操作。
7.如權(quán)利要求1所述的防火墻訪問控制策略的配置方法�,其特征在于���,所述配置方法 還包括向所述用戶反饋配置結(jié)果信息���。
8.如1 7任一權(quán)利要求所述的防火墻訪問控制策略的配置方法,其特征在于����,所述用 戶將所述配置請求消息以短消息的形式發(fā)送給所述配置裝置。
9.一種防火墻訪問控制策略的配置裝置�����,其特征在于��,包括第一接收單元���,用于接收用戶發(fā)送的配置請求消息�,所述配置請求消息中攜帶有所述 用戶針對請求保護(hù)的至少一個(gè)目標(biāo)網(wǎng)絡(luò)設(shè)備預(yù)設(shè)的防火墻訪問控制策略���; 第一確定單元�����,用于分別確定為每個(gè)目標(biāo)網(wǎng)絡(luò)設(shè)備服務(wù)的防火墻�; 配置單元,用于根據(jù)第一接收單元接收到的防火墻訪問控制策略����,對確定單元確定出 的各防火墻分別進(jìn)行防火墻訪問控制策略的配置。
10.如權(quán)利要求9所述的防火墻訪問控制策略的配置裝置����,其特征在于,第一確定單元 具體包括查找子單元�,用于針對每個(gè)目標(biāo)網(wǎng)絡(luò)設(shè)備,根據(jù)第一接收單元接收到的訪問控制策略 中包含的該目標(biāo)網(wǎng)絡(luò)設(shè)備的IP地址信息����,在防火墻標(biāo)識(shí)信息和網(wǎng)絡(luò)設(shè)備的IP地址信息的 對應(yīng)關(guān)系中,查找與該目標(biāo)網(wǎng)絡(luò)設(shè)備的IP地址信息對應(yīng)的防火墻標(biāo)識(shí)信息�����;確定子單元��,用于針對每個(gè)目標(biāo)網(wǎng)絡(luò)設(shè)備,將查找子單元查找到的防火墻標(biāo)識(shí)信息對 應(yīng)的防火墻���,確定為為該目標(biāo)網(wǎng)絡(luò)設(shè)備服務(wù)的防火墻�����。
11.如權(quán)利要求9所述的防火墻訪問控制策略的配置裝置����,其特征在于����,所述第一接收 單元接收到的配置請求消息中還攜帶有所述用戶的用戶信息���;所述配置裝置還包括第二確定單元�,用于在第一確定單元分別確定為每個(gè)目標(biāo)網(wǎng)絡(luò)設(shè) 備服務(wù)的防火墻之前���,根據(jù)第一接收單元接收到的用戶信息�,確定該用戶具有對各目標(biāo)網(wǎng) 絡(luò)設(shè)備的防火墻訪問控制策略進(jìn)行配置的權(quán)限����。
12.如權(quán)利要求9所述的防火墻訪問控制策略的配置裝置��,其特征在于�,所述配置裝置 還包括第三確定單元�����,用于在第一確定單元分別確定為每個(gè)目標(biāo)網(wǎng)絡(luò)設(shè)備服務(wù)的防火墻之 前��,確定為所述用戶進(jìn)行訪問控制策略審批的審批終端���;第一發(fā)送單元��,用于將第一接收單元接收到的所述配置請求消息發(fā)送給第三確定單元 確定出的審批終端�����;第二接收單元��,用于接收第三確定單元確定出的所述審批終端發(fā)送的審批通過消息��。
13.如權(quán)利要求9所述的防火墻訪問控制策略的配置裝置��,其特征在于�����,所述第一接收 單元接收到的配置請求消息中還攜帶有配置有效期信息��;所述配置裝置還包括第四確定單元��,用于根據(jù)第一接收單元接收到的配置有效期信息�,確定所述配置請求 消息中攜帶的所述防火墻訪問控制策略的到期時(shí)間點(diǎn);第一存儲(chǔ)單元��,用于將第四確定單元確定出的到期時(shí)間點(diǎn)�����、所述防火墻訪問控制策略�、 第一確定單元確定出的各防火墻對應(yīng)的防火墻標(biāo)識(shí)信息���,進(jìn)行對應(yīng)存儲(chǔ)�����;檢測單元����,用于在存儲(chǔ)的各個(gè)在用防火墻訪問控制策略對應(yīng)的到期時(shí)間點(diǎn)中,檢測不 遲于當(dāng)前時(shí)間點(diǎn)的到期時(shí)間點(diǎn)���;第一查找單元���,用于根據(jù)檢測單元檢測出的到期時(shí)間點(diǎn),在到期時(shí)間點(diǎn)����、防火墻訪問控 制策略、防火墻標(biāo)識(shí)信息的對應(yīng)關(guān)系中��,查找對應(yīng)的防火墻訪問控制策略和各防火墻標(biāo)識(shí) fn息����;第一取消策略單元,用于根據(jù)第一查找單元查找到的防火墻訪問控制策略�,對第一查 找單元查找到的各防火墻標(biāo)識(shí)信息對應(yīng)的防火墻分別進(jìn)行訪問控制策略的取消操作。
14.如權(quán)利要求9所述的防火墻訪問控制策略的配置裝置�,其特征在于,所述配置裝置 還包括分配單元����,用于為第一確定單元確定出的各防火墻和第一接收單元接收到的所述防火 墻訪問控制策略,分配唯一的配置序列號(hào)����;第二存儲(chǔ)單元�����,用于將分配單元分配的配置序列號(hào)�����、所述防火墻訪問控制策略�����、第一確 定單元確定出的各防火墻對應(yīng)的防火墻標(biāo)識(shí)信息���,進(jìn)行對應(yīng)存儲(chǔ);第二發(fā)送單元����,用于將分配單元分配的配置序列號(hào)發(fā)送給所述用戶�����;第三接收單元����,用于接收用戶發(fā)送的取消配置請求消息��,所述取消配置請求消息中攜 帶有配置序列號(hào)��;第二查找單元����,用于根據(jù)第三接收單元接收到的配置序列號(hào)�,在配置序列號(hào)、防火墻訪 問控制策略�、防火墻標(biāo)識(shí)信息的對應(yīng)關(guān)系中,查找對應(yīng)的防火墻訪問控制策略和各防火墻 標(biāo)識(shí)信息�����;第二取消策略單元�,用于根據(jù)第二查找單元查找到的防火墻訪問控制策略,對第二查 找單元查找到的各防火墻標(biāo)識(shí)信息對應(yīng)的防火墻分別進(jìn)行訪問控制策略的取消操作��。
15.如權(quán)利要求9所述的防火墻訪問控制策略的配置裝置����,其特征在于,所述配置裝置 還包括反饋單元����,用于向所述用戶反饋配置結(jié)果信息�����。
全文摘要
本發(fā)明公開了一種防火墻訪問控制策略的配置方法及裝置�����,該方法包括步驟防火墻訪問控制策略的配置裝置接收用戶發(fā)送的配置請求消息�����,上述配置請求消息中攜帶有上述用戶針對請求保護(hù)的至少一個(gè)目標(biāo)網(wǎng)絡(luò)設(shè)備預(yù)設(shè)的防火墻訪問控制策略�����,分別確定為每個(gè)目標(biāo)網(wǎng)絡(luò)設(shè)備服務(wù)的防火墻��,根據(jù)接收到的防火墻訪問控制策略����,對確定出的各防火墻分別進(jìn)行防火墻訪問控制策略的配置�。采用本發(fā)明技術(shù)方案���,解決了現(xiàn)有技術(shù)中存在的由于網(wǎng)絡(luò)管理員對防火墻訪問控制策略進(jìn)行人工配置�,從而使得防火墻訪問控制策略的配置效率較低,且配置準(zhǔn)確性較低的問題����。
文檔編號(hào)H04L12/24GK102055735SQ20091021007
公開日2011年5月11日 申請日期2009年11月4日 優(yōu)先權(quán)日2009年11月4日
發(fā)明者張棟, 朱祥磊, 李世沖, 王坤, 胡國輝, 趙建福 申請人:中國移動(dòng)通信集團(tuán)山東有限公司