防火墙策略生成方法、装置、设备及介质制造方法及图纸

本发明专利技术实施例公开了一种防火墙策略生成方法、装置、设备及介质。该方法包括：从访问控制列表中提取第一地址组；从防火墙设备的配置文件中提取第二地址组；比较第一地址组对应的第一字符串和第二地址组对应的第二字符串是否相等；当所述第一字符串与所述防火墙设备的配置文件中的所有第二地址组对应的第二字符串都不相等时，根据所述第一地址组创建新的地址组；当所述第一字符串与所述第二字符串相等时，输出该第一字符串对应的第一地址组。本发明专利技术可以实现屏蔽不同厂商设备差异，在保证准确性的前提下生成防火墙策略，大幅提高防火墙策略生成效率。

【技术实现步骤摘要】
防火墙策略生成方法、装置、设备及介质
本专利技术涉及计算机网络管理
，尤其涉及一种防火墙策略生成方法、装置、设备及介质。
技术介绍
由于安全风险防护、IP地址扩展等因素，通常情况下，网络需要划分为不同的安全区域，每个安全区域间需要部署防火墙来实现访问控制和安全隔离，并过滤端口进出的数据包，来实现系统安全防护。而访问控制是通过防火墙策略来实现的，因此编写防火墙策略是目前防火墙维护的一项重要工作，如何高效准确编写不同厂商的防火墙策略是运维工作中需要解决的重要问题。现有的防火墙策略编写方案，主要还是采用人工手段进行逐条翻译和编写，人工判断每台防火墙所属的厂商、命令行格式、对象组等内容，这就依赖于网络工程师对各个厂商防火墙的策略语法及配置方法的熟悉程度。对于防火墙设备厂商众多，且版本型号不一的大型网络，这种人工手段的局限性会更加凸显。上述现有技术方案存在一定的局限性，遗留多个问题需要解决：每个厂商的防火墙都有自己独特的策略规范，在没有统一南向接口的支持下，网络工程师们需要经过大量时间去熟悉并掌握一家厂商的语法规则，费时又费力；大型网络内防火墙品牌众多，型号不一，防火墙策略日常维护复杂且难度大，运维成本高；人工一对一去判断编写命令行，人工判断每台防火墙所属的厂商、命令行格式、对象组内容等，效率低下、识别率低，且出错率高，容易出现大量的冗余命令行，随着时间的推移，冗余命令行可能会影响到防火墙设备的执行效率，更有可能会造成错误策略，存在安全隐患。
技术实现思路
本专利技术实施例提供了一种防火墙策略生成方法、装置、设备及介质，能够提高编写防火墙策略的效率。第一方面，本专利技术实施例提供了一种防火墙策略生成方法，所述方法包括：(1)从访问控制列表中提取第一地址组；(2)将提取的第一地址组中的各个地址转换为反掩码格式；(3)对第一地址组中反掩码格式的各个地址进行格式处理，将格式处理后的各个地址排序；(4)将第一地址组中排序后的各个地址合并为第一字符串；(5)从防火墙设备的配置文件中提取第二地址组；(6)将配置文件中提取的第二地址组中的各个地址转换为第二反掩码格式；(7)对第二地址组中反掩码格式的各个地址进行格式处理，将格式处理后的各个地址排序；(8)将第二地址组中排序后的各个地址合并为第二字符串；(9)比较第一字符串和第二字符串是否相等；(10)当所述第一字符串与所述第二字符串不相等时，执行步骤(5)-(9)，以将所述第一地址组与所述防火墙设备的配置文件中的所有第二地址组相比较；(11)当所述第一字符串与所述防火墙设备的配置文件中的所有第二地址组对应的第二字符串都不相等时，根据所述第一地址组创建新的地址组；(12)当所述第一字符串与所述第二字符串相等时，输出该第一字符串对应的第一地址组。可选的，所述对第一地址组中反掩码格式的各个地址进行格式处理的方式均采用保留数字的方式。可选的，所述第一字符串与第二字符串相同是指第一字符串与第二字符串的长度相同，且第一字符串与第二字符串内的每一个字符相同。可选的，所述方法还包括：该方法还包括：(1)从访问控制列表中提取第一端口组；(2)将提取的第一端口组转换为第一数组；(3)从防火墙设备的配置文件中提取第二端口组；(4)将配置文件中提取的第二端口组为与第一数组格式相同的第二数组；(5)判断第一数组的长度与第二数组的长度是否相等；(6)当第一数组与第二数组的长度相等，判断第一数组内的元素与第二数组内的元素是否相同；(7)当第一数组的长度与第二数组的长度不相等及/或第一数组内的元素与第二数组内的元素不相同时，执行步骤(3)-(6)，以将所述第一端口组与所述防火墙设备的配置文件中的所有第二端口组相比较；(8)当第一数组内的元素与第二数组内的元素相同时，输出该第一数组对应的第一端口组；(9)所述第一数组的长度与所述防火墙设备的配置文件中的所有第二端口组对应的第二数组都不相等，或所述第一数组内的元素与所述防火墙设备的配置文件中的所有第二端口组对应的第二数组内的元素都不相同时，根据第一端口组创建新的端口组。可选的，所述第一数组与第二数组内的元素相同是指第一数组与第二数组内的每一个字符完全相同。可选的，所述第一数组及第二数组的格式均为tcp或udp地址加端口号或者端口号范围。可选的，所述方法还包括：调用防火墙设备内的防火墙命令流程并基于所述防火墙策略生成防火墙策略执行指令，以在防火墙设备中完成防火墙策略的布设。第二方面，本专利技术还提供一种防火墙策略生成装置，所述装置包括：提取子模块，用于从访问控制列表中提取第一地址组；转变子模块，用于将提取的第一地址组中的各个地址转换为反掩码格式；排序子模块，用于对第一地址组中反掩码格式的各个地址进行格式处理，将格式处理后的各个地址排序；合并子模块，用于将第一地址组中排序后的各个地址合并为第一字符串；所述提取子模块，还用于从防火墙设备的配置文件中提取第二地址组；所述转变子模块，还用于将配置文件中提取的第二地址组中的各个地址转换为第二反掩码格式；所述排序子模块，还用于对第二地址组中反掩码格式的各个地址进行格式处理，将格式处理后的各个地址排序；还合并子模块，用于将第二地址组中排序后的各个地址合并为第二字符串；判断子模块，用于比较第一字符串和第二字符串是否相等，及判断所述第一地址组与所述防火墙设备的配置文件中的所有第二地址组是否全部比较完毕；创建子模块，用于当所述第一字符串与所述防火墙设备的配置文件中的所有第二地址组对应的第二字符串都不相等时，根据所述第一地址组创建新的地址组；输出子模块，用于当所述第一字符串与所述第二字符串相等时，输出该第一字符串对应的第一地址组。第三方面，本专利技术实施例提供了一种防火墙策略生成设备，包括：至少一个处理器、至少一个存储器以及存储在存储器中的计算机程序指令，当计算机程序指令被处理器执行时实现如上述实施方式中第一方面的方法。第四方面，本专利技术实施例提供了一种计算机可读存储介质，其上存储有计算机程序指令，当计算机程序指令被处理器执行时实现如上述实施方式中第一方面的方法。本专利技术实施例提供的防火墙策略生成方法、装置、设备及介质，利用第一通用匹配算法及第二通用匹配算法来实现标准化南向接口，屏蔽不同厂商设备差异，在保证准确性的前提下自动生成防火墙策略，大幅提高防火墙策略生成效率。附图说明为了更清楚地说明本专利技术实施例的技术方案，下面将对本专利技术实施例中所需要使用的附图作简单地介绍，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1示出了本专利技术实施例的防火墙策略生成方法的示意图。图2示出了本专利技术实施例的防火墙策略生成装置的结构示意图。图3示出了本专利技术实施例的防火墙策略生成装置中比较模块中的结构示意图。图4示出了本专利技术实施例的防火墙策略生成设备的一种结构示意图。图5示出了本专利技术实施例的访问控制列表的示意图。图6示出了本专利技术实施例的防火墙策略中地址组生成方法的流程图。图7示出了图6中基于一实施例的地址组生成方法的简化流程图。图8示出了本专利技术实施例的防火墙策略生成方法中端口组生成方法的流程图。图9示出了图8中基于一实施例的端口组生成方法的简化流程图。具体实施方式下面将详细描述本专利技术的各个方面的特征和示例性实施例，为了使本专利技术本文档来自技高网...

【技术保护点】
一种防火墙策略生成方法，其特征在于，所述方法包括：(1)从访问控制列表中提取第一地址组；(2)将提取的第一地址组中的各个地址转换为反掩码格式；(3)对第一地址组中反掩码格式的各个地址进行格式处理，将格式处理后的各个地址排序；(4)将第一地址组中排序后的各个地址合并为第一字符串；(5)从防火墙设备的配置文件中提取第二地址组；(6)将配置文件中提取的第二地址组中的各个地址转换为第二反掩码格式；(7)对第二地址组中反掩码格式的各个地址进行格式处理，将格式处理后的各个地址排序；(8)将第二地址组中排序后的各个地址合并为第二字符串；(9)比较第一字符串和第二字符串是否相等；(10)当所述第一字符串与所述第二字符串不相等时，执行步骤(5)‑(9)，以将所述第一地址组与所述防火墙设备的配置文件中的所有第二地址组相比较；(11)当所述第一字符串与所述防火墙设备的配置文件中的所有第二地址组对应的第二字符串都不相等时，根据所述第一地址组创建新的地址组；(12)当所述第一字符串与所述第二字符串相等时，输出该第一字符串对应的第一地址组。

【技术特征摘要】
1.一种防火墙策略生成方法，其特征在于，所述方法包括：(1)从访问控制列表中提取第一地址组；(2)将提取的第一地址组中的各个地址转换为反掩码格式；(3)对第一地址组中反掩码格式的各个地址进行格式处理，将格式处理后的各个地址排序；(4)将第一地址组中排序后的各个地址合并为第一字符串；(5)从防火墙设备的配置文件中提取第二地址组；(6)将配置文件中提取的第二地址组中的各个地址转换为第二反掩码格式；(7)对第二地址组中反掩码格式的各个地址进行格式处理，将格式处理后的各个地址排序；(8)将第二地址组中排序后的各个地址合并为第二字符串；(9)比较第一字符串和第二字符串是否相等；(10)当所述第一字符串与所述第二字符串不相等时，执行步骤(5)-(9)，以将所述第一地址组与所述防火墙设备的配置文件中的所有第二地址组相比较；(11)当所述第一字符串与所述防火墙设备的配置文件中的所有第二地址组对应的第二字符串都不相等时，根据所述第一地址组创建新的地址组；(12)当所述第一字符串与所述第二字符串相等时，输出该第一字符串对应的第一地址组。2.根据权利要求1所述的方法，其特征在于，所述对对第一地址组中反掩码格式的各个地址进行格式处理的方式均采用保留数字的方式。3.根据权利要求1所述的方法，其特征在于，所述第一字符串与第二字符串相同是指第一字符串与第二字符串的长度相同，且第一字符串与第二字符串内的每一个字符相同。4.根据权利要求1所述的方法，其特征在于，所述方法还包括：该方法还包括：(1)从访问控制列表中提取第一端口组；(2)将提取的第一端口组转换为第一数组；(3)从防火墙设备的配置文件中提取第二端口组；(4)将配置文件中提取的第二端口组为与第一数组格式相同的第二数组；(5)判断第一数组的长度与第二数组的长度是否相等；(6)当第一数组与第二数组的长度相等，判断第一数组内的元素与第二数组内的元素是否相同；(7)当第一数组的长度与第二数组的长度不相等及/或第一数组内的元素与第二数组内的元素不相同时，执行步骤(3)-(6)，以将所述第一端口组与所述防火墙设备的配置文件中的所有第二端口组相比较；(8)当第一数组内的元素与第二数组内的元素相同时，输出该第一数组对应的第一端口组；(9)所述第一数组的长度与所述防火墙设备的配...

【专利技术属性】
技术研发人员：王永智，刘利明，陈劼，郭建波，匡保国，
申请(专利权)人：中国移动通信集团江苏有限公司，中国移动通信集团公司，
类型：发明
国别省市：江苏,32