[实用新型]防火墙策略生成装置及系统

说明书

技术领域

本实用新型涉及计算机网络安全技术领域，特别地，涉及一种防火墙策略生成装置及系统。

背景技术

目前，银行数据中心部署防火墙、实施防火墙策略的工作越来越多。据初步统计，一个银行数据中心的防火墙策略变更数量占该银行数据中心总变更数量的40％以上。由于目前防火墙策略变更步骤的编写、实施是工作人员依据防火墙策略申请表手动操作完成的，因此，编写、实施大量防火墙策略变更步骤不仅工作量巨大，而且容易出错。一旦出错就会影响银行网络的正常运行，影响银行业务的正常运行。为此，相关行业一直在研究防火墙策略的自动化维护技术，但是都没有取得实质性进展，主要原因在于：由于防火墙策略表现为源IP地址、目的IP地址和策略端口(即服务)三重纬度，每个纬度的元素都有多种表现形式，因此这三重纬度综合表现形式就是一个天文数字，同时防火墙策略生成步骤编写又需要依赖人工的运维经验，依赖人工的参与和判断，因此，目前的防火墙策略生成技术存在操作复杂、准确度较低的问题。

实用新型内容

本实用新型实施例的主要目的在于提供一种防火墙策略生成装置及系统，以解决现有技术中的防火墙策略生成技术存在的操作复杂、准确度较低的问题。

为了实现上述目的，本实用新型实施例提供一种防火墙策略生成装置，装置包括：存储单元，存储地址区域关系表和区域与策略关系表；需求信息接收单元，接收包含需求源地址、需求目的地址和需求服务类型的策略需求信息；区域获取单元，与需求信息接收单元和存储单元连接，根据需求源地址和需求目的地址从地址区域关系表中获取源服务器和目的服务器所在的区域；区域策略获取单元，与区域获取单元和存储单元连接，根据源服务器和目的服务器所在的区域从区域与策略关系表中获取源服务器和目的服务器所在区域对应的包含策略源地址、策略目的地址和策略服务类型的区域策略信息；逻辑运算单元，与需求信息接收单元和区域获取单元连接，将需求源地址与策略源地址进行逻辑运算生成源地址逻辑结果，将需求目的地址与策略目的地址进行逻辑运算生成目的地址逻辑结果，将需求服务类型与策略服务类型进行逻辑运算生成服务类型逻辑结果；防火墙策略生成单元，与逻辑运算单元连接，根据源地址逻辑结果、目的地址逻辑结果和服务类型逻辑结果生成防火墙策略。

具体地，上述防火墙策略生成单元包括：第一防火墙策略生成模块，与逻辑运算单元连接，在源地址逻辑结果为策略源地址与需求源地址有交集，目的地址逻辑结果为策略目的地址与需求目的地址有交集，服务类型逻辑结果为策略服务类型与需求服务类型有交集，根据策略需求信息在区域策略信息中增加新的策略；第二防火墙策略生成模块，与逻辑运算单元连接，在源地址逻辑结果为策略源地址与需求源地址相同，目的地址逻辑结果为策略目的地址与需求目的地址相同，服务类型逻辑结果为策略服务类型与需求服务类型有交集，根据策略需求信息在区域策略信息中增加新的服务类型；第三防火墙策略生成模块，与逻辑运算单元连接，在源地址逻辑结果为策略源地址与需求源地址相同，目的地址逻辑结果为策略目的地址与需求目的地址有交集，服务类型逻辑结果为策略服务类型与需求服务类型相同，根据策略需求信息在区域策略信息中增加新的目的地址；第四防火墙策略生成模块，与逻辑运算单元连接，在源地址逻辑结果为策略源地址与需求源地址有交集，目的地址逻辑结果为策略目的地址与需求目的地址相同，服务类型逻辑结果为策略服务类型与需求服务类型相同，根据策略需求信息在区域策略信息中增加新的源地址。

上述装置还包括：策略更新单元，与防火墙策略生成单元和区域获取单元连接，将防火墙策略生成单元生成的防火墙策略更新到存储单元存储的区域与策略关系表中。

本实用新型实施例还提供一种防火墙策略生成系统，该系统包括上述的防火墙策略生成装置。

借助于上述技术方案至少之一，通过根据需求源地址和需求目的地址从地址区域关系表中确定源服务器和目的服务器所在的区域，然后根据源服务器和目的服务器所在的区域从区域与策略关系表中确定区域策略信息，进而将需求源地址与策略源地址、需求目的地址与策略目的地址、需求服务类型与策略服务类型分别进行逻辑运算，之后根据逻辑运算结果生成防火墙策略，该生成防火墙策略的方案实现较简单并且准确度较高。

附图说明

为了更清楚地说明本实用新型实施例或现有技术中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本实用新型的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。