一种管理防火墙的方法和装置制造方法及图纸

本发明专利技术公开了一种管理防火墙的方法和装置，涉及网络安全技术领域。该方法的具体实施方式包括：根据第一访问关系控制矩阵和业务访问申请的源地址、目的地址和端口信息，判断所述业务访问申请是否符合安全规范；若是，则根据第二访问关系控制矩阵和所述业务访问申请的源地址和目的地址，确定所述业务访问申请所要经过的防火墙以及对应的安全域；根据所述业务访问申请的源地址、目的地址、端口、所要经过的防火墙以及对应的安全域信息，生成防火墙配置脚本。该实施方式能够解决策略配置工作量大、繁琐和维护成本高的技术问题。繁琐和维护成本高的技术问题。繁琐和维护成本高的技术问题。

【技术实现步骤摘要】
一种管理防火墙的方法和装置


[0001]本专利技术涉及网络安全
，尤其涉及一种管理防火墙的方法和装置。

技术介绍

[0002]随着目前大型金融机构基础设施转向多活数据中心建设、业务的敏捷开发上线，无论在数据中心建设、业务上线时都面临大量防火墙策略的开通，数据中心内各业务区、功能区之间均要求部署防火墙，同时为满足相关安全要求，防火墙往往使用不同品牌、不同架构进行部署。
[0003]现有防火墙访问策略开通通常使用人工配置，这种方式存在以下技术问题：
[0004]一、开通防火墙策略配置工作量大，策略开通时间长，影响开发测试及生产上线效率；二、网络规模逐渐扩大，随着多活数据中心逐步上线，不同数据中心间应用需要互访，策略开通需求大幅增加；三、防火墙配置操作不统一，不同运维人员容易根据个人习惯进行配置，不易标准化；四、策略开通往往需要经过多组防火墙，逐台登录设备进行配置，策略配置繁琐，人工配置容易出现配置错误及漏配情况；五、防火墙种类、版本及部署方式多样，配置方式差异大，维护成本高。

技术实现思路

[0005]有鉴于此，本专利技术实施例提供一种管理防火墙的方法和装置，以解决策略配置工作量大、繁琐和维护成本高的技术问题。
[0006]为实现上述目的，根据本专利技术实施例的一个方面，提供了一种管理防火墙的方法，包括：
[0007]根据第一访问关系控制矩阵和业务访问申请的源地址、目的地址和端口信息，判断所述业务访问申请是否符合安全规范；
[0008]若是，则根据第二访问关系控制矩阵和所述业务访问申请的源地址和目的地址，确定所述业务访问申请所要经过的防火墙以及对应的安全域；
[0009]根据所述业务访问申请的源地址、目的地址、端口、所要经过的防火墙以及对应的安全域信息，生成防火墙配置脚本；
[0010]其中，所述第一访问关系控制矩阵和所述第二访问关系控制矩阵中的行表示源地址集合，列表示目的地址集合，所述第一访问关系控制矩阵中的元素表示各个地址集合之间互访需要满足的安全规则，所述第二访问关系控制矩阵中的元素表示各个地址集合之间互访对应的防火墙和安全域信息。
[0011]可选地，根据第一访问关系控制矩阵和业务访问申请的源地址、目的地址和端口信息，判断所述业务访问申请是否符合安全规范，包括：
[0012]将业务访问申请的源地址和目的地址分别在第一访问关系控制矩阵的行和列中进行逐一匹配，从而在所述第一访问关系控制矩阵中定位出第一目标元素；
[0013]根据所述第一目标元素对应的各个地址集合之间互访需要满足的安全规则，判断
所述业务访问申请是否符合安全规范。
[0014]可选地，所述安全规则包括禁止访问、禁止部分端口访问、允许访问或者允许部分端口访问。
[0015]可选地，根据第二访问关系控制矩阵和所述业务访问申请的源地址和目的地址，确定所述业务访问申请所要经过的防火墙以及对应的安全域，包括：
[0016]将所述业务访问申请的源地址和目的地址分别在第二访问关系控制矩阵的行和列中进行逐一匹配，从而在所述第二访问关系控制矩阵中定位出第二目标元素；
[0017]根据所述第二目标元素对应的防火墙和安全域信息，确定所述业务访问申请所要经过的防火墙以及对应的安全域。
[0018]可选地，所述防火墙和安全域信息包括不经过防火墙、经过一组防火墙以及对应的安全域或者经过多组防火墙以及对应的安全域。
[0019]可选地，根据所述业务访问申请的源地址、目的地址、端口、所要经过的防火墙以及对应的安全域信息，生成防火墙配置脚本，包括：
[0020]根据所述业务访问申请的源地址、目的地址、端口、所要经过的防火墙以及对应的安全域信息，并采用所述防火墙对应的脚本生成器，生成防火墙配置脚本；其中，所述脚本生成器中内置有配置基线。
[0021]可选地，根据所述业务访问申请的源地址、目的地址、端口、所要经过的防火墙以及对应的安全域信息，生成防火墙配置脚本之后，还包括：
[0022]将所述防火墙配置脚本推送至所要经过的防火墙，以使所述防火墙执行所述防火墙配置脚本；
[0023]接收所述防火墙返回的执行过程和执行结果。
[0024]另外，根据本专利技术实施例的另一个方面，提供了一种管理防火墙的装置，包括：
[0025]管理模块，用于根据第一访问关系控制矩阵和业务访问申请的源地址、目的地址和端口信息，判断所述业务访问申请是否符合安全规范；若是，则根据第二访问关系控制矩阵和所述业务访问申请的源地址和目的地址，确定所述业务访问申请所要经过的防火墙以及对应的安全域；
[0026]生成模块，用于根据所述业务访问申请的源地址、目的地址、端口、所要经过的防火墙以及对应的安全域信息，生成防火墙配置脚本；
[0027]其中，所述第一访问关系控制矩阵和所述第二访问关系控制矩阵中的行表示源地址集合，列表示目的地址集合，所述第一访问关系控制矩阵中的元素表示各个地址集合之间互访需要满足的安全规则，所述第二访问关系控制矩阵中的元素表示各个地址集合之间互访对应的防火墙和安全域信息。
[0028]可选地，所述管理模块还用于：
[0029]将业务访问申请的源地址和目的地址分别在第一访问关系控制矩阵的行和列中进行逐一匹配，从而在所述第一访问关系控制矩阵中定位出第一目标元素；
[0030]根据所述第一目标元素对应的各个地址集合之间互访需要满足的安全规则，判断所述业务访问申请是否符合安全规范。
[0031]可选地，所述安全规则包括禁止访问、禁止部分端口访问、允许访问或者允许部分端口访问。
[0032]可选地，所述管理模块还用于：
[0033]将所述业务访问申请的源地址和目的地址分别在第二访问关系控制矩阵的行和列中进行逐一匹配，从而在所述第二访问关系控制矩阵中定位出第二目标元素；
[0034]根据所述第二目标元素对应的防火墙和安全域信息，确定所述业务访问申请所要经过的防火墙以及对应的安全域。
[0035]可选地，所述防火墙和安全域信息包括不经过防火墙、经过一组防火墙以及对应的安全域或者经过多组防火墙以及对应的安全域。
[0036]可选地，所述生成模块还用于：
[0037]根据所述业务访问申请的源地址、目的地址、端口、所要经过的防火墙以及对应的安全域信息，并采用所述防火墙对应的脚本生成器，生成防火墙配置脚本；其中，所述脚本生成器中内置有配置基线。
[0038]可选地，还包括推送模块，用于：
[0039]将所述防火墙配置脚本推送至所要经过的防火墙，以使所述防火墙执行所述防火墙配置脚本；
[0040]接收所述防火墙返回的执行过程和执行结果。
[0041]根据本专利技术实施例的另一个方面，还提供了一种电子设备，包括：
[0042]一个或多个处理器；
[0043]存储装置，用于存储一个或多个程序，
[0044]当所述一个或多个程序被所述一本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种管理防火墙的方法，其特征在于，包括：根据第一访问关系控制矩阵和业务访问申请的源地址、目的地址和端口信息，判断所述业务访问申请是否符合安全规范；若是，则根据第二访问关系控制矩阵和所述业务访问申请的源地址和目的地址，确定所述业务访问申请所要经过的防火墙以及对应的安全域；根据所述业务访问申请的源地址、目的地址、端口、所要经过的防火墙以及对应的安全域信息，生成防火墙配置脚本；其中，所述第一访问关系控制矩阵和所述第二访问关系控制矩阵中的行表示源地址集合，列表示目的地址集合，所述第一访问关系控制矩阵中的元素表示各个地址集合之间互访需要满足的安全规则，所述第二访问关系控制矩阵中的元素表示各个地址集合之间互访对应的防火墙和安全域信息。2.根据权利要求1所述的方法，其特征在于，根据第一访问关系控制矩阵和业务访问申请的源地址、目的地址和端口信息，判断所述业务访问申请是否符合安全规范，包括：将业务访问申请的源地址和目的地址分别在第一访问关系控制矩阵的行和列中进行逐一匹配，从而在所述第一访问关系控制矩阵中定位出第一目标元素；根据所述第一目标元素对应的各个地址集合之间互访需要满足的安全规则，判断所述业务访问申请是否符合安全规范。3.根据权利要求1或2所述的方法，其特征在于，所述安全规则包括禁止访问、禁止部分端口访问、允许访问或者允许部分端口访问。4.根据权利要求1所述的方法，其特征在于，根据第二访问关系控制矩阵和所述业务访问申请的源地址和目的地址，确定所述业务访问申请所要经过的防火墙以及对应的安全域，包括：将所述业务访问申请的源地址和目的地址分别在第二访问关系控制矩阵的行和列中进行逐一匹配，从而在所述第二访问关系控制矩阵中定位出第二目标元素；根据所述第二目标元素对应的防火墙和安全域信息，确定所述业务访问申请所要经过的防火墙以及对应的安全域。5.根据权利要求1或4所述的方法，其特征在于，所述防火墙和安全域信息包括不经过防火墙、经过一组防火墙以及对应的安全域或者经过多组防火墙以及对应的安全域。6.根据权利要求1所述的方法，其特征在于，根据所述业务访问申...

【专利技术属性】
技术研发人员：许伟，马晓斌，邢锴，曹晨，鲍一鸿，刘振飞，田野，蔡喆，曹世昌，
申请(专利权)人：长三角金融科技有限公司，
类型：发明
国别省市：