[发明专利]防火墙策略生成方法、装置及系统

说明书

技术领域

本发明涉及计算机网络安全技术领域，特别地，涉及一种防火墙策略生 成方法、装置及系统。

背景技术

目前，银行数据中心部署防火墙、实施防火墙策略的工作越来越多。 据初步统计，一个银行数据中心的防火墙策略变更数量占该银行数据中心 总变更数量的40％以上。由于目前防火墙策略变更步骤的编写、实施是工 作人员依据防火墙策略申请表手动操作完成的，因此，编写、实施大量防 火墙策略变更步骤不仅工作量巨大，而且容易出错。一旦出错就会影响银 行网络的正常运行，影响银行业务的正常运行。为此，相关行业一直在研 究防火墙策略的自动化维护技术，但是都没有取得实质性进展，主要原因 在于：由于防火墙策略表现为源IP地址、目的IP地址和策略端口(即服务) 三重纬度，每个纬度的元素都有多种表现形式，因此这三重纬度综合表现 形式就是一个天文数字，同时防火墙策略生成步骤编写又需要依赖人工的 运维经验，依赖人工的参与和判断，因此，目前的防火墙策略生成技术存 在操作复杂、准确度较低的问题。

发明内容

本发明实施例的主要目的在于提供一种防火墙策略生成方法、装置及系 统，以解决现有技术中的防火墙策略生成技术存在的操作复杂、准确度较低 的问题。

为了实现上述目的，本发明实施例提供一种防火墙策略生成方法，该方 法包括：接收包含需求源地址、需求目的地址、需求服务类型和需求状态的 策略需求信息；根据所述的需求源地址和需求目的地址从预存的地址区域关 系表中获取源服务器和目的服务器所在的区域；根据所述的源服务器和目的 服务器所在的区域从预存的区域与策略关系表中获取所述源服务器和目的服 务器所在区域对应的包含策略源地址、策略目的地址、策略服务类型和策略 状态的区域策略信息；将所述的需求源地址与策略源地址进行逻辑运算生成 源地址逻辑结果，将所述的需求目的地址与策略目的地址进行逻辑运算生成 目的地址逻辑结果，将所述的需求服务类型与策略服务类型进行逻辑运算生 成服务类型逻辑结果，将所述的需求状态与策略状态进行比较生成状态比较 结果；根据所述的源地址逻辑结果、目的地址逻辑结果、服务类型逻辑结果 以及状态比较结果生成防火墙策略。

具体地，根据所述的源地址逻辑结果、目的地址逻辑结果、服务类型逻 辑结果以及状态比较结果生成防火墙策略包括：如果所述的源地址逻辑结果 为策略源地址与需求源地址有交集，所述的目的地址逻辑结果为策略目的地 址与需求目的地址有交集，所述的服务类型逻辑结果为策略服务类型与需求 服务类型有交集，所述的状态比较结果为需求状态与策略状态不同，则所述 生成的防火墙策略为根据所述的策略需求信息在所述的区域策略信息之前增 加新的策略；如果所述的源地址逻辑结果为策略源地址与需求源地址相同， 所述的目的地址逻辑结果为策略目的地址与需求目的地址相同，所述的服务 类型逻辑结果为需求服务类型包含策略服务类型，所述的状态比较结果为需 求状态与策略状态相同，则所述生成的防火墙策略为根据所述的策略需求信 息在所述的区域策略信息中增加新的服务类型；如果所述的源地址逻辑结果 为策略源地址与需求源地址相同，所述的目的地址逻辑结果为需求目的地址 包含策略目的地址，所述的服务类型逻辑结果为策略服务类型与需求服务类 型相同，所述的状态比较结果为需求状态与策略状态相同，则所述生成的防 火墙策略为根据所述的策略需求信息在所述的区域策略信息中增加新的目的 地址；如果所述的源地址逻辑结果为需求源地址包含策略源地址，所述的目 的地址逻辑结果为策略目的地址与需求目的地址相同，所述的服务类型逻辑 结果为策略服务类型与需求服务类型相同，所述的状态比较结果为需求状态 与策略状态相同，则所述生成的防火墙策略为根据所述的策略需求信息在所 述的区域策略信息中增加新的源地址。

根据所述的源地址逻辑结果、目的地址逻辑结果、服务类型逻辑结果以 及状态比较结果生成防火墙策略之后，上述方法还包括：将防火墙策略更新 到区域与策略关系表中。

具体地，根据所述的源地址逻辑结果、目的地址逻辑结果、服务类型逻 辑结果以及状态比较结果生成防火墙策略还包括：如果所述的源地址逻辑结 果为策略源地址包含需求源地址，所述的目的地址逻辑结果为策略目的地址 包含需求目的地址，所述的服务类型逻辑结果为策略服务类型包含需求服务 类型，所述的状态比较结果为需求状态与策略状态相同，则所述生成的防火 墙策略为所述的区域策略信息。