[发明专利]防火墙更换时策略配置转换的方法和装置

权利要求书

1.一种防火墙更换时策略配置转换的方法，其特征在于，包括：

根据源防火墙的第一配置文件生成第一参数表，包括：读取所述源防火墙的第一配置文件，并根据所述第一配置文件获取所述源防火墙的类型；通过执行与所述源防火墙的类型相对应的策略配置转换程序，将所述第一配置文件转换为第一参数表；

根据目的防火墙的类型对所述第一参数表进行处理，得到所述目的防火墙的第二配置文件，所述第一配置文件无法被所述目的防火墙识别，且所述第二配置文件无法被所述源防火墙识别；根据目的防火墙的类型对所述第一参数表进行处理，得到所述目的防火墙的第二配置文件包括：根据目的防火墙的类型获取与所述目的防火墙的类型相对应的策略配置转换程序；通过执行与所述目的防火墙的类型相对应的策略配置转换程序，将所述第一参数表转换为第二配置文件；

根据所述第二配置文件生成第二参数表；

对所述第一参数表和所述第二参数表进行比对，并在比对通过后，进行策略配置替换。

2.根据权利要求1所述的方法，其特征在于，所述第一参数表和所述第二参数表具有统一的数据结构，且包括下列数据项：

传输协议、设备名称、策略标识、源IP地址、源服务端口、源区域、源NAT类型、源NAT地址、源物理接口、目的IP地址、目的服务端口、目的区域、目的NAT类型、目的NAT地址、目的物理接口、应用层代理网关、策略标识、策略动作、策略状态、策略是否记录日志、策略生效时间段、策略的描述信息。

3.根据权利要求1所述的方法，其特征在于，将所述第一配置文件转换为第一参数表包括：

从所述第一配置文件中提取设备名称；

从所述第一配置文件中提取安全策略元素信息，并通过对所述安全策略元素信息进行转换以得到策略标识、源防火墙配置参数、目的防火墙配置参数和端口策略配置参数；

根据所述设备名称、所述策略标识、所述源防火墙配置参数、所述目的防火墙配置参数和所述端口策略配置参数，生成第一参数表；

其中，所述源防火墙配置参数包括：源区域、源IP地址、源NAT类型、源NAT地址、源物理接口；

所述目的防火墙配置参数包括：目的区域、目的IP地址、目的NAT类型、目的NAT地址、目的物理接口；

所述端口策略配置参数包括：源服务端口、目的服务端口、应用层代理网关、策略动作、策略状态、策略是否记录日志、策略生效时间段、策略的描述信息。

4.根据权利要求3所述的方法，其特征在于，通过对所述安全策略元素信息进行转换以得到源防火墙配置参数包括：

从所述安全策略元素信息中获取源IP地址，并判断所述源IP地址是否有NAT映射；

若是，则对所述安全策略元素信息中的源NAT类型、源NAT地址进行转换，并关联源物理接口；之后，对所述安全策略元素信息中的源IP地址进行转换并关联源区域；

否则，直接对所述安全策略元素信息中的源IP地址进行转换并关联源区域；

将源区域、源IP地址、源NAT类型、源NAT地址、源物理接口作为源防火墙配置参数。

5.根据权利要求3所述的方法，其特征在于，通过对所述安全策略元素信息进行转换以得到目的防火墙配置参数包括：

从所述安全策略元素信息中获取目的IP地址，并判断所述目的IP地址是否有NAT映射；

若是，则对所述安全策略元素信息中的目的NAT类型、目的NAT地址进行转换，并关联目的物理接口；之后，对所述安全策略元素信息中的目的IP地址进行转换并关联目的区域；

否则，直接对所述安全策略元素信息中的目的IP地址进行转换并关联目的区域；

将目的区域、目的IP地址、目的NAT类型、目的NAT地址、目的物理接口作为目的防火墙配置参数。