防火墻策略的自動生成方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種防火墻策略的自動生成方法及系統(tǒng),方法包括:S1���、獲取策略申請信息��,包括源地址����、目的地址以及策略協(xié)議�����;S2�����、根據(jù)所述源地址及所述目的地址確定防火墻路徑��;S3��、在所述防火墻路徑的每個防火墻上查詢是否已包含符合所述策略協(xié)議的防火墻策略�,若是�����,則將所述防火墻從所述防火墻路徑中刪除,若否���,則保留所述防火墻�����;S4�����、對于每個保留的防火墻���,根據(jù)所述保留的防火墻的品牌生成對應的防火墻策略新建工藝;S5�����、根據(jù)生成的防火墻策略新建工藝調(diào)用與所述保留的防火墻的品牌對應的策略寫入方法����,將防火墻策略寫入所述保留的防火墻中。本發(fā)明提高了防火墻管理和策略生成的效率�����,降低了策略生成的工作量。
【專利說明】
防火墻策略的自動生成方法及系統(tǒng)
技術領域
[0001]本發(fā)明涉及一種網(wǎng)絡安全領域��,特別是涉及一種防火墻策略的自動生成方法及系統(tǒng)���。
【背景技術】
[0002]隨著互聯(lián)網(wǎng)技術的不斷發(fā)展���,在線網(wǎng)站的規(guī)模越來越大,防火墻作為網(wǎng)站的安全屏障��,被大量的使用�。隨著防火墻數(shù)量和防火墻的品牌的增加,當網(wǎng)絡安全工程師添加新的安全策略時�����,需要考慮在哪些防火墻上配置策略以及配置策略時的操作工藝��。這樣使得安全工程師的工作量成倍的增長并且增加了認為操作錯誤的可能性?����,F(xiàn)有的策略生成方法��,主要是通過人工登錄每臺防火墻的管理界面進行操作�����,這樣繁瑣的操作方法�����,使得安全工程師的工作效率非常低下���,策略配置時效性較差���,增加了需求方的等待時長,同時也增加了出錯的概率�����。
【發(fā)明內(nèi)容】
[0003]本發(fā)明要解決的技術問題是為了克服現(xiàn)有技術中防火墻策略的生成需要通過人工登錄每臺防火墻的管理界面進行操作�����,導致工作效率低下�����、策略配置時效性差、增加了等待時長和出錯概率的缺陷����,提供一種防火墻策略的自動生成方法及系統(tǒng)。
[0004]本發(fā)明是通過下述技術方案來解決上述技術問題的:
[0005]本發(fā)明提供了一種防火墻策略的自動生成方法�����,其特點在于�����,包括以下步驟:
[0006]S1�、獲取策略申請信息,包括源地址�����、目的地址以及策略協(xié)議�;
[0007]S2、根據(jù)所述源地址及所述目的地址確定防火墻路徑���;
[0008]S3����、在所述防火墻路徑的每個防火墻上查詢是否已包含符合所述策略協(xié)議的防火墻策略,若是���,則將所述防火墻從所述防火墻路徑中刪除,若否����,則保留所述防火墻;
[0009]S4�����、對于每個保留的防火墻��,根據(jù)所述保留的防火墻的品牌生成對應的防火墻策略新建工藝��;
[0010]&��、根據(jù)生成的防火墻策略新建工藝調(diào)用與所述保留的防火墻的品牌對應的策略寫入方法�����,將防火墻策略寫入所述保留的防火墻中����。
[0011]較佳地����,步驟S5之后還包括:
[0012]S6����、將寫入所述保留的防火墻中的防火墻策略更新至防火墻策略信息庫中。
[0013]較佳地�����,步驟S1中所述策略申請信息還包括端口����。
[0014]本發(fā)明的目的在于還提供了一種防火墻策略的自動生成系統(tǒng),其特點在于����,包括:
[0015]信息獲取模塊,用于獲取策略申請信息�,包括源地址、目的地址以及策略協(xié)議�����;
[0016]路徑確定模塊,用于根據(jù)所述源地址及所述目的地址確定防火墻路徑����;
[0017]策略查詢模塊,用于在所述防火墻路徑的每個防火墻上查詢是否已包含符合所述策略協(xié)議的防火墻策略���,若是��,則將所述防火墻從所述防火墻路徑中刪除,若否���,則保留所述防火墻��;
[0018]工藝生成模塊�,用于對于每個保留的防火墻����,根據(jù)所述保留的防火墻的品牌生成對應的防火墻策略新建工藝;
[0019]策略寫入模塊���,用于根據(jù)生成的防火墻策略新建工藝調(diào)用與所述保留的防火墻的品牌對應的策略寫入方法�,將防火墻策略寫入所述保留的防火墻中�����。
[0020]較佳地,所述自動生成系統(tǒng)還包括策略更新模塊����,用于將寫入所述保留的防火墻中的防火墻策略更新至防火墻策略信息庫中。
[0021 ]較佳地�����,所述策略申請信息還包括端口�。
[0022]本發(fā)明的積極進步效果在于:本發(fā)明適用于大型網(wǎng)絡環(huán)境中,在多臺防火墻的情況下����,對多種品牌的防火墻實現(xiàn)對應防火墻策略的生成和寫入,對防火墻策略的生成進行集中式統(tǒng)一化的操作和管理��,為防火墻策略生成工作提供了統(tǒng)一的接口����,提高了防火墻管理和策略生成的效率,降低了策略生成的工作量�����,并且建立了標準化的策略生成模板,提高了策略生成的準確性���。
【附圖說明】
[0023]圖1為本發(fā)明的較佳實施例的防火墻策略的自動生成方法的流程圖�。
[0024]圖2為本發(fā)明的較佳實施例的防火墻策略的自動生成系統(tǒng)的模塊示意圖�。
【具體實施方式】
[0025]下面通過實施例的方式進一步說明本發(fā)明,但并不因此將本發(fā)明限制在所述的實施例范圍之中�。
[0026]如圖1所示,本發(fā)明的防火墻策略的自動生成方法包括以下步驟:
[0027]步驟101�����、獲取策略申請信息���,包括源地址(src_ip)、目的地址(dst_ip)���、策略協(xié)議(protocol)以及端口 (port)�;
[0028]步驟102���、根據(jù)所述源地址(srcjp)及所述目的地址(dst_ip)確定防火墻路徑�;
[0029]具體可確定多個防火墻路徑(f irewal 1_1��、f irewal 1_2...),主要采取的方法是����,利用路由匹配中的最長匹配方法,查詢防火墻中的靜態(tài)路由信息�����,來獲得策略申請信息中的原地址和目的地址是否經(jīng)過此防火墻����,從而確定防火墻路徑;
[0030]步驟103�����、在所述防火墻路徑的每個防火墻上查詢是否已包含符合所述策略協(xié)議的防火墻策略�,若是,則將所述防火墻從所述防火墻路徑中刪除�����,若否�,則保留所述防火墻;最后生成需要添加防火墻策略的防火墻路徑���,即由所有保留的防火墻組成���;
[0031]步驟104�、對于每個保留的防火墻�����,根據(jù)所述保留的防火墻的品牌生成對應的防火墻策略新建工藝�;
[0032]具體可以遍歷需要添加防火墻策略的防火墻路徑中的每個防火墻,根據(jù)每個防火墻的品牌選擇不同的策略工藝模板���,生成與保留的防火墻的品牌相對應的防火墻策略新建工藝��;
[0033]步驟105��、根據(jù)生成的防火墻策略新建工藝調(diào)用與所述保留的防火墻的品牌對應的策略寫入方法,將防火墻策略寫入所述保留的防火墻中����。
[0034]即對應不同品牌的防火墻,對應調(diào)用不同的策略寫入方法�����,將防火墻策略寫入每一個防火墻中。
[0035]步驟106���、將寫入所述保留的防火墻中的防火墻策略更新至防火墻策略信息庫中����。這樣就使得防火墻策略信息庫里的防火墻策略一直處于最新狀態(tài)�����,使得防火墻策略的查詢可以查到最新添加和更新的防火墻策略��。
[0036]如圖2所示����,本發(fā)明的防火墻策略的自動生成系統(tǒng)包括信息獲取模塊1、路徑確定模塊2���、策略查詢模塊3�、工藝生成模塊4�����、策略寫入模塊5以及策略更新模塊6����。
[0037]其中�����,所述信息獲取模塊I用于獲取策略申請信息�,包括源地址����、目的地址、策略協(xié)議以及端口�����;所述路徑確定模塊2用于根據(jù)所述源地址及所述目的地址確定防火墻路徑;具體可以使用匹配路由中的最長匹配方法��,查詢防火墻中的靜態(tài)路由信息�,來獲得策略申請信息中的源地址和目的地址是否經(jīng)過此防火墻;所述策略查詢模塊3用于在所述防火墻路徑的每個防火墻上查詢是否已包含符合所述策略協(xié)議的防火墻策略,若是�,則將所述防火墻從所述防火墻路徑中刪除,若否��,則保留所述防火墻;所述工藝生成模塊4用于對于每個保留的防火墻�,根據(jù)所述保留的防火墻的品牌生成對應的防火墻策略新建工藝;所述策略寫入模塊5用于根據(jù)生成的防火墻策略新建工藝調(diào)用與所述保留的防火墻的品牌對應的策略寫入方法����,將防火墻策略寫入所述保留的防火墻中����,使得防火墻策略生效���,所述策略更新模塊6用于將寫入所述保留的防火墻中的防火墻策略更新至防火墻策略信息庫中���。
[0038]雖然以上描述了本發(fā)明的【具體實施方式】,但是本領域的技術人員應當理解�����,這些僅是舉例說明����,本發(fā)明的保護范圍是由所附權利要求書限定的。本領域的技術人員在不背離本發(fā)明的原理和實質(zhì)的前提下�����,可以對這些實施方式做出多種變更或修改��,但這些變更和修改均落入本發(fā)明的保護范圍。
【主權項】
1.一種防火墻策略的自動生成方法�����,其特征在于����,包括以下步驟: S1、獲取策略申請信息��,包括源地址����、目的地址以及策略協(xié)議; &���、根據(jù)所述源地址及所述目的地址確定防火墻路徑�����; &���、在所述防火墻路徑的每個防火墻上查詢是否已包含符合所述策略協(xié)議的防火墻策略,若是���,則將所述防火墻從所述防火墻路徑中刪除��,若否���,則保留所述防火墻; S4����、對于每個保留的防火墻,根據(jù)所述保留的防火墻的品牌生成對應的防火墻策略新建工藝�; s5、根據(jù)生成的防火墻策略新建工藝調(diào)用與所述保留的防火墻的品牌對應的策略寫入方法�,將防火墻策略寫入所述保留的防火墻中。2.如權利要求1所述的自動生成方法��,其特征在于�,步驟S5之后還包括: S6、將寫入所述保留的防火墻中的防火墻策略更新至防火墻策略信息庫中��。3.如權利要求1所述的自動生成方法��,其特征在于�,步驟S1中所述策略申請信息還包括端口。4.一種防火墻策略的自動生成系統(tǒng)�����,其特征在于,包括: 信息獲取模塊�,用于獲取策略申請信息,包括源地址��、目的地址以及策略協(xié)議�; 路徑確定模塊,用于根據(jù)所述源地址及所述目的地址確定防火墻路徑�; 策略查詢模塊,用于在所述防火墻路徑的每個防火墻上查詢是否已包含符合所述策略協(xié)議的防火墻策略��,若是����,則將所述防火墻從所述防火墻路徑中刪除,若否��,則保留所述防火墻��; 工藝生成模塊�����,用于對于每個保留的防火墻����,根據(jù)所述保留的防火墻的品牌生成對應的防火墻策略新建工藝�����; 策略寫入模塊,用于根據(jù)生成的防火墻策略新建工藝調(diào)用與所述保留的防火墻的品牌對應的策略寫入方法��,將防火墻策略寫入所述保留的防火墻中�。5.如權利要求4所述的自動生成系統(tǒng),其特征在于�����,所述自動生成系統(tǒng)還包括策略更新模塊�����,用于將寫入所述保留的防火墻中的防火墻策略更新至防火墻策略信息庫中��。6.如權利要求4所述的自動生成系統(tǒng)�����,其特征在于����,所述策略申請信息還包括端口�����。
【文檔編號】H04L29/06GK105827649SQ201610338212
【公開日】2016年8月3日
【申請日】2016年5月19日
【發(fā)明人】吳善鵬, 鄭晨, 田國華, 雷兵, 朱志博
【申請人】上海攜程商務有限公司