本申请公开了一种防火墙管理方法、系统、电子设备和存储介质,该方法包括:获取待开通防火墙的目标网络地址以及与目标网络地址关联的目标防火墙;为目标防火墙生成关于目标网络地址的访问策略;将访问策略发送给目标防火墙,以使目标防火墙执行访问策略。通过上述方式,本申请能够自动开通防火墙。本申请能够自动开通防火墙。本申请能够自动开通防火墙。
【技术实现步骤摘要】
一种防火墙管理方法、系统、电子设备和存储介质
[0001]本申请涉及网络安全管理
,特别是涉及一种防火墙管理方法、系统、电子设备和存储介质。
技术介绍
[0002]防火墙在机房建设中属于最基础的设备,是安全防护的重要关卡。对于互联网企业往往都有自建数据中心,数据中心通常会划分不同的区域,不同的区域之间,访问默认都是受限制,需要开通防火墙。然而,根据设备和防火墙厂商的不同,防火墙开通依赖的的访问策略也不同。现有技术大多是由网络管理员手动输入防火墙开通依赖的访问策略,进而开通防火墙。现有技术中,手动输入会增加出错的可能性,且一些区域之间的网络开通涉及多个防火墙,则手动输入访问策略会耗费网络管理员大量的时间。
技术实现思路
[0003]本申请主要解决的技术问题是提供一种防火墙管理方法、系统、电子设备和存储介质,能够自动开通防火墙。
[0004]本申请第一方面提供了一种防火墙管理方法,该方法包括:获取待开通防火墙的目标网络地址以及与目标网络地址关联的目标防火墙;为目标防火墙生成关于目标网络地址的访问策略;将访问策略发送给目标防火墙,以使目标防火墙执行访问策略。
[0005]本申请第二方面提供了一种防火墙管理方法,该方法包括:利用流程管理系统获取待开通数据,并将待开通数据发送给数据存储系统,其中,待开通数据包括目标网络地址;数据存储系统基于待开通数据,获取对应的目标防火墙的标识信息,并将待开通数据以及目标防火墙发送给系统运维平台;系统运维平台接收数据存储系统发送的待开通数据以及目标防火墙的标识信息,为目标防火墙生成关于目标网络地址的访问策略;将访问策略发送给目标防火墙,以使目标防火墙执行访问策略。
[0006]本申请第三方面提供了一种防火墙管理系统,该系统包括流程管理系统、数据存储系统以及系统运维平台;其中,所述流程管理系统用于获取待开通数据,并将所述待开通数据发送给数据存储系统,其中,所述待开通数据包括目标网络地址;所述数据存储系统用于基于所述待开通数据,获取对应的目标防火墙的标识信息,并将所述待开通数据以及所述目标防火墙发送给系统运维平台;所述系统运维平台用于执行上述第一方面所述的方法。
[0007]本申请第四方面提供了一种电子设备,该电子设备包含相互耦接的存储器和处理器,存储器存储有程序指令,处理器用于执行存储器中存储的程序指令,以实现上述第一方面和第二方面所述的方法。
[0008]本申请第五方面提供了一种计算机可读存储介质,该计算机可读存储介质用于存储程序指令,程序指令能够被执行以实现上述第一方面和第二方面所述的方法。
[0009]本申请的有益效果是:区别于现有技术的情况,本申请获取目标网络地址以及目
标网络地址关联的防火墙后,可以为目标防火墙生成关于目标网络地址的访问策略,将访问策略发送给目标防火墙,以使目标防火墙执行访问策略,完成策略开通。由于系统直接将访问策略发送给防火墙,则可以避免人为输入带来的误差,且无需用户输入访问策略,也不会耗费大量的时间。
附图说明
[0010]图1是本申请提供的防火墙管理方法第一实施方式的流程示意图;
[0011]图2是步骤S120一实施方式的流程示意图;
[0012]图3是目标命令设置页面的示意图;
[0013]图4是目标指令的设置页面的示意图;
[0014]图5是本申请提供的防火墙管理方法第三实施方式的流程示意图;
[0015]图6是本申请提供的防火墙管理方法第四实施方式的流程示意图;
[0016]图7是本申请提供的防火墙管理系统一实施方式的框架示意图;
[0017]图8是本申请提供的电子设备的框架结构示意图;
[0018]图9是本申请提供的计算机可读存储介质一实施方式的框架示意图。
具体实施方式
[0019]下面结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性的劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
[0020]需要说明的是,本申请实施例中有涉及“第一”、“第二”等的描述,该“第一”、“第二”等的描述仅用于描述目的,而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。
[0021]在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本专利技术的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
[0022]现有的防火墙管理方法需要研发人员根据自己的策略需求发送邮件通知网络管理员;网络管理员根据数据和网络部署图,找出对应涉及的防火墙列表,登录对应的防火墙对应的web端,输入对应的数据,执行变更操作,回复邮件告知研发人员处理完成。该方式存在多种不足:如需求变更响应慢;防火墙的获取,根据网络管理员的经验,人工耗时长,出错率高;对于多个不同厂商的防火墙,要进行多登录,不同厂商的操作存在差异,过程繁琐。
[0023]为解决现有技术的不足,本申请提供一种防火墙管理方法,该方法通过系统运维平台统一管理防火墙,需开通防火墙时,系统运维平台获取待开通防火墙的目标网络地址以及与目标网络地址关联的目标防火墙,基于目标网络地址生成对应的访问策略,将访问策略发送给目标防火墙,使得目标防火墙执行访问策略,以完成策略开通。通过本申请提供的方法,系统可以生成访问策略,并将访问策略发送给目标防火墙,无需人工输入访问策
略,避免了人为输入引起的误差,且节约时间。
[0024]请参阅图1,图1是本申请提供的防火墙管理方法第一实施方式的流程示意图,该方法包括:
[0025]S110:获取待开通防火墙的目标网络地址以及与目标网络地址关联的目标防火墙。
[0026]本实施方式的防火墙管理方法可以由系统运维平台(也可以称为sysops系统)执行,待开通防火墙的目标网络地址以及与目标网络地址关联的目标防火墙可以由其它系统发送给系统运维平台,也可以由用户输入。
[0027]在一实施方式中,获取待开通防火墙的目标网络地址以及与目标网络地址关联的目标防火墙包括:接收数据存储系统发送的待开通数据以及目标防火墙的标识信息,其中,待开通数据是用户通过流程管理系统输入的,且包括目标网络地址和协议信息,目标网络地址包括源IP地址、目的IP地址、源端口和目的端口,目标防火墙的标识信息是数据存储系统基于待开通数据查找得到的,目标防火墙的标识信息可以包括:目标防火墙的厂商、防火墙的型号、操作类型等信息。数据存储系统可以为配置管理数据库(Configuration Management Database,CMDB),还本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种防火墙管理方法,其特征在于,所述方法包括:获取待开通防火墙的目标网络地址以及与所述目标网络地址关联的目标防火墙;为所述目标防火墙生成关于所述目标网络地址的访问策略;将所述访问策略发送给目标防火墙,以使所述目标防火墙执行所述访问策略。2.根据权利要求1所述的方法,其特征在于,所述为所述目标防火墙生成关于所述目标网络地址的访问策略,包括:查找与所述目标防火墙对应的目标模板数据,其中,所述目标模板数据包含若干个目标命令;执行所述目标模板数据,得到第一执行结果;基于所述第一执行结果,得到所述访问策略。3.根据权利要求2所述的方法,其特征在于,所述目标模板数据还包括至少一个目标指令,每个所述目标指令对应至少一个所述目标命令;所述执行所述目标模板数据,包括:将各所述目标命令发送给所述目标防火墙执行,得到各所述目标命令的第二执行结果;基于与所述目标指令对应的所述目标命令的第二执行结果,得到所述目标指令的第三执行结果,其中,所述第一执行结果包括各所述目标指令的第三执行结果。4.根据权利要求3所述的方法,其特征在于,所述目标网络地址包括源IP地址和目的IP地址,所述若干目标命令包括获取所述目标防火墙与所述源IP地址对应的接口的命令、获取所述目标防火墙与所述目的IP地址对应的接口的命令、获取所述目标防火墙与所述源IP地址对应的区域的命令、获取所述目标防火墙与所述目的IP地址对应的区域的命令;和/或,所述目标命令的执行步骤包括:若所述目标命令的执行依赖其它所述目标命令的所述第二执行结果,则基于其它所述目标指令的所述第二执行结果,将所述目标命令发送给所述目标防火墙执行。5.根据权利要求1所述的方法,其特征在于,所述获取待开通防火墙的目标网络地址以及与所述目标网络地址关联的目标防火墙,包括:接收数据存储系统发送的待开通数据以及目标防火墙的标识信息,其中,所述待开通数据包括目标网络地址和协议信息,所述目标网络地址包括源IP地...
【专利技术属性】
技术研发人员:王森,张银全,蒋宁,吴海英,曾琳铖曦,
申请(专利权)人:马上消费金融股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。