本发明专利技术公开了一种设置防火墙策略的方法和装置,所述设置防火墙策略的方法具体包括步骤:确定防火墙策略;采用可扩展标记语言对该防火墙策略进行描述;对由可扩展标记语言描述的防火墙策略进行翻译,得到防火墙设备能够识别的命令;防火墙设备根据翻译得到的命令执行防火墙策略。所述设置防火墙策略的装置包括防火墙策略确定模块,防火墙策略描述模块,防火墙策略翻译模块及防火墙策略执行模块。采用本发明专利技术能够大大减少网络管理员的工作量,而且保证了防火墙设备的防火墙策略的一致性。
【技术实现步骤摘要】
本专利技术涉及计算机安全领域,特别是关于一种设置防火墙策略的方法和装置。
技术介绍
防火墙是用来保护网络中计算机安全的重要设备,通过监测、限制、更改跨越防火墙 的数据流,能够对外部屏蔽被保护的内部网络的信息、结构和运行状况。现在市面上有很多种 防火墙设备,不同厂商生产的防火墙设备的配置命令均不相同,甚至同一厂商的不同型号的防 火墙设备的配置命令也不相同。然而在实际中不同的防火墙设备使用同一防火墙策略的情况 十分常见,此种情况下,网络管理员在设置防火墙策略的时候,就不得不熟悉各类不同的防火 墙设备的配置界面和命令,并对防火墙设备的防火墙规则逐条配置。这大大增加了网络管理员 的工作量,而且由于是人工对防火墙设备的防火墙规则进行设置,所以很容易出错,导致设置 使用同一防火墙策略的防火墙设备的防火墙策略的不一致,给网络管理带来了很大的困难。
技术实现思路
本专利技术提供一种设置防火墙策略的方法和装置,用以解决现有技术中由于人工对不同的防火墙设备进行设置,容易导致防火墙设备的防火墙策略不一致的问题。 为实现上述目的,本专利技术采取以下技术方案 —种设置防火墙策略的方法,其特征在于包括如下步骤 A、确定防火墙策略; B、采用可扩展标记语言对所述防火墙策略进行描述; C、对由可扩展标记语言描述的所述防火墙策略进行翻译,得到防火墙设备能够识 别的命令; D、所述防火墙设备按照翻译后得到的命令执行所述防火墙策略。 进一步,采用可扩展标记语言对所述防火墙策略进行描述时,分别对防火墙对象和防火墙规则进行定义。 更进一步,在对所述防火墙对象和所述防火墙规则进行定义时,均包括"识别标 志"、"名称"和"备注"三个属性。 再进一步,所述"识别标志"和所述"名称"在所述防火墙策略中具有全局唯一性。 进一步,对由可扩展标记语言描述的所述防火墙策略进行翻译的具体步骤包括 Cl、从由可扩展标记语言描述的所述防火墙策略中获取需要下发给所述防火墙设 备的防火墙规则; C2、根据获取到的防火墙规则从由可扩展标记语言描述的所述防火墙策略中获取 防火墙规则所控制的防火墙对象; C3、将获取到的防火墙规则及防火墙对象翻译为所述防火墙设备能够识别的命 令; C4、与所述防火墙设备建立连接,并将翻译后得到的命令下发给所述防火墙设4备; C5、待所述防火墙设备按照翻译后得到的命令执行完所述防火墙策略后,断开与 所述防火墙设备的连接。 更进一步,与所述防火墙设备建立连接采用远程访问工具或安全外壳协议的方式 进行。—种设置防火墙策略的装置,其特征在于包括 防火墙策略确定模块,用于确定所述防火墙策略; 防火墙策略描述模块,用于采用可扩展标记语言对所述防火墙策略进行描述; 防火墙策略翻译模块,用于对由可扩展标记语言描述的所述防火墙策略进行翻 译,得到防火墙设备能够识别的命令; 防火墙策略执行模块,所述防火墙设备根据翻译后得到的命令执行所述防火墙策 略。 进一步,所述防火墙策略翻译模块具体包括 获取防火墙规则子模块,用于从由可扩展标记语言描述的所述防火墙策略中获取 需要下发给所述防火墙设备的防火墙规则; 获取防火墙对象子模块,用于根据获取到的防火墙规则从由可扩展标记语言描述 的所述防火墙策略中获取防火墙规则所控制的防火墙对象; 翻译子模块,用于将获取到的防火墙规则及防火墙对象翻译为所述防火墙设备能 够识别的命令; 连接子模块,用于与所述防火墙设备建立连接,并将翻译后得到的命令下发给所 述防火墙设备;待所述防火墙设备按照翻译后得到的命令执行完所述防火墙策略后,断开 与所述防火墙设备的连接。 本专利技术由于采取以上技术方案,其具有以下优点本专利技术由于采用 XML (extensible Markup Language,可扩展标记语言)描述防火墙策略,因此防火墙策略具 有很好的扩展性;本专利技术由于将由XML描述的防火墙策略直接翻译为防火墙设备能够识别 的命令,因此无需人工对防火墙设备进行设置,大大减轻了网络管理员的工作量;本专利技术由 于将由XML描述的防火墙策略直接翻译为防火墙设备能够识别的命令,避免了人工操作可 能产生的错误,保证了防火墙设备的防火墙策略的一致性。附图说明 图1为本专利技术所述设置防火墙策略的方法的流程图; 图2为本专利技术所述方法中对由XML描述的防火墙策略进行翻译的流程图; 图3为本专利技术所述方法的一个较佳实施例中的防火墙策略的XML文档结构示意图; 图4为本专利技术所述设置防火墙策略的装置的结构示意图; 图5为本专利技术所述装置中的防火墙策略翻译模块结构示意图。具体实施例方式为了能够在减少网络管理员工作量的同时,保证设置使用同一防火墙策略的防火5墙设备的防火墙策略的一致性,在对某一内部网络设置防火墙策略时,本专利技术采用了一种 通用语言对该防火墙策略进行描述,然后再将该防火墙策略翻译为防火墙设备能够识别的 命令。 下面结合附图和实施例对本专利技术进行详细的描述。图1为本专利技术所述设置防火墙策略的方法的流程图,由图可知,本专利技术所述设置 防火墙策略的方法具体包括以下步骤 步骤101 :确定防火墙策略。步骤102 :采用XML对该防火墙策略进行描述。 步骤103 :对由XML描述的防火墙策略进行翻译,得到防火墙设备能够识别的命 令。步骤104 :防火墙设备按照翻译得到的命令执行防火墙策略。 在步骤102中采用XML对防火墙策略进行描述时,需要对防火墙策略包括的防火 墙对象和防火墙规则两部分要素分别使用XML的文档元素表示。防火墙对象是指防火墙规 则中使用的主机、地址、服务、端口等要素,防火墙规则是指对防火墙对象进行控制的规则。 在本专利技术中将使用XML分别对防火墙对象和防火墙规则进行定义,且定义时均包括"识别 标志"、"名称"、"备注"三个属性。其中,"识别标志"可以方便地实现对各对象的引用,"名 称"为一个易于被人理解和记忆的名字,"备注"用来记录任何与此元素相关的信息。而且 "识别标志"和"名称"在该防火墙策略中具有全局唯一性。 根据XML的上述定义,采用XML对防火墙策略进行描述,可以便于防火墙策略的存储和解析,而且使防火墙策略具有了很强的灵活性和扩展性。例如当增加防火墙对象或防火墙规则时,则只需要采用XML对其进行定义,然后将其加入到防火墙策略中即可,相应的若删除防火墙对象或防火墙规则,则可直接将其从防火墙策略中删除。 图3所示为上述步骤103中对由XML描述的防火墙策略进行翻译的流程图,由图可知,对由XML描述的防火墙策略进行翻译的具体步骤如下 步骤131 :从由XML描述的防火墙策略中获取下发给防火墙设备的防火墙规则。 步骤132 :根据获取的防火墙规则从由XML描述的防火墙策略中获取防火墙规则 控制的防火墙对象。 步骤133 :对获取的防火墙规则及防火墙对象进行翻译,得到防火墙设备能够识 别的命令。 步骤134 :与防火墙设备建立连接,并将翻译后得到的命令下发给防火墙设备;连 接时可以使用远程访问工具Telnet、 SSH(Secure Shell,安全外壳协议)等方式与防火墙 设备进行连接。 步骤135 :待防火墙设备按照翻译后的命令执行完防火墙策略后,断开与防火墙 设备的连接。 通过采用上述方法对防火墙进行设置,不再需要网络管理员熟悉防火墙设备的配 置本文档来自技高网...
【技术保护点】
一种设置防火墙策略的方法,其特征在于:包括如下步骤:A、确定防火墙策略;B、采用可扩展标记语言对所述防火墙策略进行描述;C、对由可扩展标记语言描述的所述防火墙策略进行翻译,得到防火墙设备能够识别的命令;D、所述防火墙设备按照翻译后得到的命令执行所述防火墙策略。
【技术特征摘要】
【专利技术属性】
技术研发人员:朱启坤,
申请(专利权)人:北京天融信网络安全技术有限公司,
类型:发明
国别省市:11[中国|北京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。