【技术实现步骤摘要】
本专利技术涉及网络安全,具体涉及一种自动化配置安全策略的方法及装置。
技术介绍
1、随着网络规模的不断扩大,对网络安全的要求逐步提升,网络边界、子网隔离等位置通常通过部署防火墙隔离两个网络来提高安全性。虽然防火墙的作用是隔离两个网络,但是最终目的是防止某一个网络受到来自另一个网络的攻击,但是正常的访问数据需要放行,而防火墙出于安全考虑缺省情况拒绝所有流量经过,所以需要在防火墙的安全区域间配置安全策略进行访问控制,允许正常的数据进行跨区域访问。
2、现有技术中,随着业务的扩大,访问需求不断提升,安全策略配置需求也随之增加,通过人工配置安全策略的方式,存在配置量大、出错率高、处理时间过长等问题。
3、因此,如何在保证配置正确的前提下,提高安全策略的配置效率,是目前急需解决的问题。
技术实现思路
1、有鉴于此,本专利技术实施例提供一种自动化配置安全策略的方法及装置,以实现自动化配置、降低配置出错率以及缩短配置时间的目的。
2、为实现上述目的,本专利技术实施例提供如下技术方案:
3、本专利技术实施例第一方面公开了一种自动化配置安全策略的方法,所述方法包括:
4、从用户提交的配置工单中获取基础变量信息;
5、基于所述基础变量信息,从各个防火墙对应的多个安全区域中确定出源安全区域和目的安全区域;
6、基于所述源安全区域、所述目的安全区域判断出待配置的目标防火墙,并基于所述目标防火墙和所述基础变量信息,生成配置脚
7、执行所述配置脚本配置安全策略。
8、优选的,每一所述安全区域存在对应的ip地址信息,所述基于所述基础变量信息,从各个防火墙对应的多个安全区域中确定出源安全区域和目的安全区域,包括:
9、从所述基础变量信息获取源ip地址和目的ip地址;
10、基于所述源ip地址、所述目的ip地址和各个所述安全区域对应的ip地址信息,从各个所述安全区域中确定出源安全区域和目的安全区域。
11、优选的,每一所述防火墙存在预设的脚本配置命令,所述基于所述源安全区域、所述目的安全区域判断出待配置的目标防火墙,并基于所述目标防火墙和所述基础变量信息,生成配置脚本,包括:
12、若所述源安全区域和所述目的安全区域对应同一防火墙,则将所述防火墙确定为目标防火墙;
13、基于所述基础变量信息和所述目标防火墙对应的所述脚本配置命令,生成用于配置所述源安全区域和所述目的安全区域之间安全策略的配置脚本;
14、若所述源安全区域和所述目的安全区域对应不同的所述防火墙,则分别将所述源安全区域和所述目的安全区域对应的防火墙,确定为第一目标防火墙和第二目标防火墙;
15、获取所述第一目标防火墙和所述第二目标防火墙之间的绑定信息,基于所述绑定信息,得到所述第一目标防火墙中与所述第二目标防火墙绑定的第三安全区域,以及所述第二目标防火墙中与所述第二目标防火墙绑定的第四安全区域;
16、基于所述基础变量信息和所述第一目标防火墙对应的所述脚本配置命令,生成用于配置所述源安全区域和所述第三安全区域之间安全策略的配置脚本;
17、基于所述基础变量信息和所述第二目标防火墙对应的所述脚本配置命令,生成用于配置所述目的安全区域和所述第四安全区域之间安全策略的配置脚本。
18、优选的,在所述从用户提交的配置工单中获取基础变量信息之前,所述方法还包括:
19、获取用户输入的基础变量信息;
20、若所述基础变量信息包含多个源ip地址和多个目的ip地址,则根据多个源ip地址和多个目的ip地址分别选择对应的预设地址组,或者根据多个源ip地址和多个目的ip地址分别创建新的地址组;
21、将所述基础变量信息中的多个源ip地址和多个目的ip地址,替换为对应的所述预设地址组或者所述新的地址组;
22、基于替换后的所述基础变量信息生成配置工单。
23、优选的,所述方法还包括:
24、获取所述配置脚本执过程中产生的报错信息;
25、基于所述报错信息生成报错日志;
26、响应于用户的查询操作,展示所述报错日志。
27、本专利技术实施例第二方面公开了一种自动化配置安全策略的装置,所述装置包括:
28、获取单元,用于从用户提交的配置工单中获取基础变量信息;
29、确定单元,用于基于所述基础变量信息,从各个防火墙对应的多个安全区域中确定出源安全区域和目的安全区域;
30、生成单元,用于基于所述源安全区域、所述目的安全区域判断出待配置的目标防火墙,并基于所述目标防火墙和所述基础变量信息,生成配置脚本;
31、执行单元,用于执行所述配置脚本配置安全策略。
32、优选的,每一所述安全区域存在对应的ip地址信息,所述确定单元,具体用于:
33、从所述基础变量信息获取源ip地址和目的ip地址;
34、基于所述源ip地址、所述目的ip地址和各个所述安全区域对应的ip地址信息,从各个所述安全区域中确定出源安全区域和目的安全区域。
35、优选的,每一所述防火墙存在预设的脚本配置命令,所述生成单元,具体用于:
36、若所述源安全区域和所述目的安全区域对应同一防火墙,则将所述防火墙确定为目标防火墙;
37、基于所述基础变量信息和所述目标防火墙对应的所述脚本配置命令,生成用于配置所述源安全区域和所述目的安全区域之间安全策略的配置脚本;
38、若所述源安全区域和所述目的安全区域对应不同的所述防火墙,则分别将所述源安全区域和所述目的安全区域对应的防火墙,确定为第一目标防火墙和第二目标防火墙;
39、获取所述第一目标防火墙和所述第二目标防火墙之间的绑定信息,基于所述绑定信息,得到所述第一目标防火墙中与所述第二目标防火墙绑定的第三安全区域,以及所述第二目标防火墙中与所述第二目标防火墙绑定的第四安全区域;
40、基于所述基础变量信息和所述第一目标防火墙对应的所述脚本配置命令,生成用于配置所述源安全区域和所述第三安全区域之间安全策略的配置脚本;
41、基于所述基础变量信息和所述第二目标防火墙对应的所述脚本配置命令,生成用于配置所述目的安全区域和所述第四安全区域之间安全策略的配置脚本。
42、优选的,所述装置还包括:
43、工单生成单元,用于获取用户输入的基础变量信息;
44、若所述基础变量信息包含多个源ip地址和多个目的ip地址,则根据多个源ip地址和多个目的ip地址分别选择对应的预设地址组,或者根据多个源ip地址和多个目的ip地址分别创建新的地址组;
45、将所述基础变量信息中的多个源ip地址和多个目的ip地址,替换为对应的所述预设地址组或者所述新的地址组;
46、基于替换后的所述基础变量信息生成配本文档来自技高网...
【技术保护点】
1.一种自动化配置安全策略的方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,每一所述安全区域存在对应的IP地址信息,所述基于所述基础变量信息,从各个防火墙对应的多个安全区域中确定出源安全区域和目的安全区域,包括:
3.根据权利要求1所述的方法,其特征在于,每一所述防火墙存在预设的脚本配置命令,所述基于所述源安全区域、所述目的安全区域判断出待配置的目标防火墙,并基于所述目标防火墙和所述基础变量信息,生成配置脚本,包括:
4.根据权利要求1至3任一所述的方法,其特征在于,在所述从用户提交的配置工单中获取基础变量信息之前,所述方法还包括:
5.根据权利要求1至3任一所述的方法,其特征在于,所述方法还包括:
6.一种自动化配置安全策略的装置,其特征在于,所述装置包括:
7.根据权利要求6所述的装置,其特征在于,每一所述安全区域存在对应的IP地址信息,所述确定单元,具体用于:
8.根据权利要求6所述的装置,其特征在于,每一所述防火墙存在预设的脚本配置命令,所述生成单元,具体用于:
9.根据权利要求6至8任一所述的装置,其特征在于,所述装置还包括:
10.根据权利要求6至8任一所述的装置,其特征在于,所述装置还包括:
...【技术特征摘要】
1.一种自动化配置安全策略的方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,每一所述安全区域存在对应的ip地址信息,所述基于所述基础变量信息,从各个防火墙对应的多个安全区域中确定出源安全区域和目的安全区域,包括:
3.根据权利要求1所述的方法,其特征在于,每一所述防火墙存在预设的脚本配置命令,所述基于所述源安全区域、所述目的安全区域判断出待配置的目标防火墙,并基于所述目标防火墙和所述基础变量信息,生成配置脚本,包括:
4.根据权利要求1至3任一所述的方法,其特征在于,在所述从用户提交的配置工单中获取基础变量信...
【专利技术属性】
技术研发人员:红叶,杨海龙,
申请(专利权)人:中国建设银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。