【技术实现步骤摘要】
防火墙策略生成方法、装置、设备及介质
本专利技术涉及计算机网络管理
,尤其涉及一种防火墙策略生成方法、装置、设备及介质。
技术介绍
由于安全风险防护、IP地址扩展等因素,通常情况下,网络需要划分为不同的安全区域,每个安全区域间需要部署防火墙来实现访问控制和安全隔离,并过滤端口进出的数据包,来实现系统安全防护。而访问控制是通过防火墙策略来实现的,因此编写防火墙策略是目前防火墙维护的一项重要工作,如何高效准确编写不同厂商的防火墙策略是运维工作中需要解决的重要问题。现有的防火墙策略编写方案,主要还是采用人工手段进行逐条翻译和编写,人工判断每台防火墙所属的厂商、命令行格式、对象组等内容,这就依赖于网络工程师对各个厂商防火墙的策略语法及配置方法的熟悉程度。对于防火墙设备厂商众多,且版本型号不一的大型网络,这种人工手段的局限性会更加凸显。上述现有技术方案存在一定的局限性,遗留多个问题需要解决:每个厂商的防火墙都有自己独特的策略规范,在没有统一南向接口的支持下,网络工程师们需要经过大量时间去熟悉并掌握一家厂商的语法规则,费时又费力;大型网络内防火墙品牌众多,型号不一,防火墙策略日常维护复杂且难度大,运维成本高;人工一对一去判断编写命令行,人工判断每台防火墙所属的厂商、命令行格式、对象组内容等,效率低下、识别率低,且出错率高,容易出现大量的冗余命令行,随着时间的推移,冗余命令行可能会影响到防火墙设备的执行效率,更有可能会造成错误策略,存在安全隐患。
技术实现思路
本专利技术实施例提供了一种防火墙策略生成方法、装置、设备及介质,能够提高编写防火墙策略的效率。第一方面,本专 ...
【技术保护点】
一种防火墙策略生成方法,其特征在于,所述方法包括:(1)从访问控制列表中提取第一地址组;(2)将提取的第一地址组中的各个地址转换为反掩码格式;(3)对第一地址组中反掩码格式的各个地址进行格式处理,将格式处理后的各个地址排序;(4)将第一地址组中排序后的各个地址合并为第一字符串;(5)从防火墙设备的配置文件中提取第二地址组;(6)将配置文件中提取的第二地址组中的各个地址转换为第二反掩码格式;(7)对第二地址组中反掩码格式的各个地址进行格式处理,将格式处理后的各个地址排序;(8)将第二地址组中排序后的各个地址合并为第二字符串;(9)比较第一字符串和第二字符串是否相等;(10)当所述第一字符串与所述第二字符串不相等时,执行步骤(5)‑(9),以将所述第一地址组与所述防火墙设备的配置文件中的所有第二地址组相比较;(11)当所述第一字符串与所述防火墙设备的配置文件中的所有第二地址组对应的第二字符串都不相等时,根据所述第一地址组创建新的地址组;(12)当所述第一字符串与所述第二字符串相等时,输出该第一字符串对应的第一地址组。
【技术特征摘要】
1.一种防火墙策略生成方法,其特征在于,所述方法包括:(1)从访问控制列表中提取第一地址组;(2)将提取的第一地址组中的各个地址转换为反掩码格式;(3)对第一地址组中反掩码格式的各个地址进行格式处理,将格式处理后的各个地址排序;(4)将第一地址组中排序后的各个地址合并为第一字符串;(5)从防火墙设备的配置文件中提取第二地址组;(6)将配置文件中提取的第二地址组中的各个地址转换为第二反掩码格式;(7)对第二地址组中反掩码格式的各个地址进行格式处理,将格式处理后的各个地址排序;(8)将第二地址组中排序后的各个地址合并为第二字符串;(9)比较第一字符串和第二字符串是否相等;(10)当所述第一字符串与所述第二字符串不相等时,执行步骤(5)-(9),以将所述第一地址组与所述防火墙设备的配置文件中的所有第二地址组相比较;(11)当所述第一字符串与所述防火墙设备的配置文件中的所有第二地址组对应的第二字符串都不相等时,根据所述第一地址组创建新的地址组;(12)当所述第一字符串与所述第二字符串相等时,输出该第一字符串对应的第一地址组。2.根据权利要求1所述的方法,其特征在于,所述对对第一地址组中反掩码格式的各个地址进行格式处理的方式均采用保留数字的方式。3.根据权利要求1所述的方法,其特征在于,所述第一字符串与第二字符串相同是指第一字符串与第二字符串的长度相同,且第一字符串与第二字符串内的每一个字符相同。4.根据权利要求1所述的方法,其特征在于,所述方法还包括:该方法还包括:(1)从访问控制列表中提取第一端口组;(2)将提取的第一端口组转换为第一数组;(3)从防火墙设备的配置文件中提取第二端口组;(4)将配置文件中提取的第二端口组为与第一数组格式相同的第二数组;(5)判断第一数组的长度与第二数组的长度是否相等;(6)当第一数组与第二数组的长度相等,判断第一数组内的元素与第二数组内的元素是否相同;(7)当第一数组的长度与第二数组的长度不相等及/或第一数组内的元素与第二数组内的元素不相同时,执行步骤(3)-(6),以将所述第一端口组与所述防火墙设备的配置文件中的所有第二端口组相比较;(8)当第一数组内的元素与第二数组内的元素相同时,输出该第一数组对应的第一端口组;(9)所述第一数组的长度与所述防火墙设备的配...
【专利技术属性】
技术研发人员:王永智,刘利明,陈劼,郭建波,匡保国,
申请(专利权)人:中国移动通信集团江苏有限公司,中国移动通信集团公司,
类型:发明
国别省市:江苏,32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。