【技术实现步骤摘要】
一种防火墙配置的方法和装置
[0001]本说明书涉及信息
,尤其涉及一种防火墙配置的方法和装置。
技术介绍
[0002]随着互联网技术的不断发展,互联网的安全问题日益突出,防火墙通过对外部请求进行过滤,成为公网和内网之间的保护屏障,保障了互联网运行的安全。在实际应用过程中,防火墙需要根据不同的需求进行更新,更新完成后得到新防火墙。
[0003]但是不同品牌间的设备替换时配置转换是难点环节,目前主要有两种配置转换方法,一是由专业的运维人员人工进行配置转换和优化合并,但效率低、准确性无保障;二是通过一些配置转换工具,进行自动化配置转换,效率和准确性有了一定提升,但都是根据原配置一对一逐条目转换,不具备将相同特征的安全策略进行合并的功能,不同品牌的防火墙配置方式和配置条目容量不同,在配置量大的情况下一对一逐条转换,容易超过替换设备的配置容导致配置无法加载,则又需要人工介入进行配置的合并缩减,才能完成设备更新替换。
技术实现思路
[0004]为解决现有技术中使用人工进行配置转换和优化合并或对配置进行一对一逐条转换的技术手段,导致人工效率低,且容易出错,或逐条转化容易超过替换设备的配置容导致配置无法加载的问题,本说明书实施例提供一种防火墙配置的方法和装置,能够利用计算机程序实现转换合并过程中各环节的逻辑,降低对运维人员经验和技术的依赖,有效避免设备配置容量的限制风险,降低了防火墙配置转换的复杂度,提升资源复用效率。
[0005]为了解决上述技术问题,本说明书的具体技术方案如下:
[...
【技术保护点】
【技术特征摘要】
1.一种防火墙配置的方法,其特征在于,所述方法包括,读取原防火墙配置文件,对其中的自定义数据进行格式转换,获得多个配置数据表和安全策略信息;将所述多个配置数据表与安全策略信息进行关联,得到完整安全策略信息;将所述完整安全策略信息进行合并,获得安全策略信息数据表;将所述多个配置数据表的数据写入配置格式模板,生成目标防火墙配置;将所述安全策略信息数据表的数据写入目标防火墙配置,生成目标防火墙配置文件。2.根据权利要求1所述的防火墙配置的方法,其特征在于,所述原防火墙配置文件包括,IP地址对象配置、服务端口对象配置、路由配置、地址转换配置和安全策略信息。3.根据权利要求2所述的防火墙配置的方法,其特征在于,所述读取原防火墙配置文件,对所述文件中的自定义数据进行格式转换,获得多个配置数据表和安全策略信息,进一步包括,读取所述IP地址对象配置,利用正则表达式匹配每一条地址对象配置的对象名称和包含的IP地址信息,得到IP地址对象信息,生成IP地址配置数据表;读取所述服务端口对象配置,利用正则表达式匹配每一条服务端口对象配置的对象名称以及包含的协议、端口、超时时间信息,得到服务端口信息,生成服务端口配置数据表;读取所述路由配置,利用正则表达式匹配每一条路由的虚拟路由器名称、目的网段和掩码、出接口、下一跳IP地址、优先级、描述字段信息,得到路由信息,生成路由配置数据表;读取所述地址转换配置,利用正则表达式匹配出每一条地址转换的配置字段信息,得到地址转换信息,生成地址配置数据表。4.根据权利要求1所述的防火墙配置的方法,其特征在于,将所述多个配置数据表与安全策略信息进行关联,得到完整安全策略信息,进一步包括,将安全策略调用不同配置项的时间关联到该安全策略;将所述安全策略涉及的多个配置数据表关联到该安全策略;根据所述安全策略中记录的多个配置数据表间的关系,生成所述完整安全策略信息。5.根据权利要求1所述的防火墙配置的方法,其特征在于,将所述完整安全策略信息进行合并,获得安全策略信息数据表,进一步包括,将所述完整安全策略信息的条目根据策略动作分割成块,分割后每一个块内所有策略具有相同的策略动作;根据合并方式进行特征提取,得到合并特征表;基于分块后的完整安全策略信息和合并特征表,进行安全策略合并,生成安全策略信息数据表。6.根据权利要求5所述的防火墙配置的方法,其特征在于,所述合并特征表进一步包括,将目的地址不同的条目进行合并的合并特征表、将源地址不同的条目进行合并的合并特征表以及将服务端口不同的条目进行合并的合并特征表。7.根据权利要求5所述的防火墙配置的方法,其特征在于,根据合并方式进行特征提取,得到合并特征表进一步包括,将目的地址不同的条目进行合并的特征表提取,遍历所述完整安全策略信息的所有条
目,将每一个条目目的地址字段删除;判断删除目的地址后所述完整安全策略信息条目在合并特征表中是否已存在,不存在则写入所述合并特征表,存在则不写入,直到所述所有条目处理完成,即可得到将目的地址不同的条目进行合并的合并特征...
【专利技术属性】
技术研发人员:黄齐文,
申请(专利权)人:中信银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。