[发明专利]防火墙封禁和解禁IP的方法、系统、设备和介质

说明书

本发明提供了防火墙封禁和解禁IP的方法、系统、设备和介质。所述封禁和解禁IP的系统包括服务器和防火墙，所述服务器和防火墙通过长连接保持通信，所述服务器包括：命令生成模块，用于根据收到的告警信息或解禁信息生成封禁IP的封禁命令或解禁IP的解禁命令；命令发送模块，用于通过所述长连接向所述防火墙发送所述封禁命令或解禁命令，所述防火墙包括命令执行模块，用于根据所述封禁命令或解禁命令封禁IP或解禁IP。实施本发明，能够避免服务器和防火墙建立多次连接，脚本检查、脚本执行等环节消耗的时间，优化工作流程，并减少人力投入，提高封/解禁的效率。

技术领域

本发明涉及计算机应用技术领域，更为具体而言，涉及防火墙封禁和解禁IP的方法、系统、设备和存储介质。

背景技术

随着互联网技术的快速发展，网络成为银行的重要电子交易渠道，给客户提供便捷的同时，也为网络黑客提供了温床，其中以利用系统漏洞进行的网络渗透攻击最为猖獗，主要目标是窃取客户信息，进而窃取资金。IDS、WAF、APT等安全监控设备可及时发现网络攻击，但攻击的阻断主要依赖防火墙对攻击IP的封禁手段，但是随着攻击手法的不断升级，攻击效率提升，留给防护人员的处理窗口越来越小。

目前在行业内，主要依靠网络自动化管理系统对防火墙进行集中管理，管理系统提供了在防火墙上通过自动化的手段进行IP封禁的方法，需要人工输入IP，并且普遍采用脚本下发执行的方式，每次封禁均需生成单独的封禁脚本，并与防护墙建立多次连接，脚本的执行也受设备性能影响，消耗大量时间，单IP封禁时间在分钟级，可见目前的集中管控系统通过脚本执行实现封禁解禁的效率比较低，不能满足安全防护要求。

发明内容

为解决上述现有技术存在的问题，本发明提供了一种防火墙封禁和解禁IP的方法、系统、存储介质和计算机设备，通过服务器和防火墙建立长连接保持通信，在需IP封禁、解禁时，系统自动生成封/解禁命令，并将命令下发至防火墙执行，从而避免了服务器和防火墙建立多次连接，脚本检查、脚本执行等环节消耗的时间，大幅优化了工作流程，提高了封/解禁的效率，实现了攻击威胁的自动阻断，并减少人力投入，大幅提升攻击防护效率。

根据本发明实施方式的第一面，提供了一种防火墙封禁IP的方法，包括：服务器和防火墙通过长连接保持通信；其中，所述封禁IP的方法包括：所述服务器根据收到的告警信息生成封禁IP的封禁命令，所述告警信息包括告警IP地址信息；所述服务器通过所述长连接向所述防火墙发送所述封禁命令；所述防火墙根据所述封禁命令封禁所述IP。

根据上述实施方式，服务器和防火墙通过长连接保持通信，避免与防火墙建立多次连接；通过实时接收告警信息，自动生成封禁命令，并将封禁命令下发至防火墙执行，避免了脚本检查、脚本执行等环节消耗的时间，提高了封禁效率，从而实现高效率的外部攻击阻断。

在本发明的一些实施方式中，所述服务器根据收到的告警信息生成封禁IP的封禁命令包括：读取告警明细表中的待封禁IP信息；查询配置信息表得到需要执行封禁的防火墙，所述配置信息表包括：自动封禁开关、执行封禁的防火墙、封禁时间；从封禁IP信息表读取IP封禁信息，并查找可用的防火墙策略ID；根据所述告警明细表中的待封禁IP信息及所述可用的防火墙策略ID生成所述封禁命令。

通过自动获取待封禁IP信息、可用的防火墙策略ID，并生成封禁命令，可以解决人工输入IP，以及每次封禁均需生成单独的封禁脚本导致的封禁效率低下的问题。

在本发明的一些实施方式中，所述服务器通过所述长连接向所述防火墙发送所述封禁命令包括：所述服务器将所述封禁命令插入到策略下发配置表；通过所述策略下发配置表将所述封禁命令下发至防火墙。

通过直接发送执行IP封禁命令的方式可以减少人力投入，提升封禁效率。

在本发明的一些实施方式中，所述封禁IP的方法还包括：所述服务器根据所述防火墙封禁所述IP的返回信息更新所述策略下发配置表和所述告警明细表的状态。