[发明专利]防火墙更换时策略配置转换的方法和装置

说明书

本发明公开了一种防火墙更换时策略配置转换的方法和装置，涉及自动程序设计技术领域。该方法的一具体实施方式包括：根据源防火墙的第一配置文件生成第一参数表；根据目的防火墙的类型对第一参数表进行处理，得到目的防火墙的第二配置文件，第一配置文件无法被目的防火墙识别，且第二配置文件无法被源防火墙识别；根据第二配置文件生成第二参数表；对第一参数表和第二参数表进行比对，并在比对通过后，进行策略配置替换。该实施方式能够确保防火墙替换前后策略配置的一致性，同时极大降低了防火墙替换时策略配置转换所需要的时间和人工成本，从技术层面解决了防火墙替换前后的配置的一致性、有效性、及时性和通用性。

技术领域

本发明涉及自动程序设计技术领域，尤其涉及一种防火墙更换时策略配置转换的方法和装置。

背景技术

在银行数据中心，硬件防火墙之前一直是外国厂商设备占主流，随着近几年安全要求越来越高，防火墙国产化的需求越来越急迫，这给国内防火墙厂商带来了极大的机会，但是同时也给网络运维人员带来了更高的要求。

一般的防火墙更换流程，包括新设备到货后上架、加电、布线、安全策略配置从旧防火墙转换到新防火墙、流量切换上线等过程。其中，策略配置转换环节的时间占了绝大部分时间。

目前，在进行策略配置转换时，主要靠运维人员或者加上厂商协助的方式手工逐行转换策略配置，转换后的配置是否和原配置一致还需要人工反复检验，效率比较低下，人工转换也比较容易出现错误。另外，时间上也无法保证，如果期间又替换为另一个厂商的防火墙，由于技术和经验不能传递，因此还需再执行一次转换策略配置，严重影响防火墙的替换进度。

发明内容

有鉴于此，本发明实施例提供一种防火墙更换时策略配置转换的方法和装置，能够确保防火墙替换前后策略配置的一致性，同时极大降低了防火墙替换时策略配置转换所需要的时间和人工成本，从技术层面解决了防火墙替换前后的配置的一致性、有效性、及时性和通用性。

为实现上述目的，根据本发明实施例的一个方面，提供了一种防火墙更换时策略配置转换的方法。

一种防火墙更换时策略配置转换的方法，包括：根据源防火墙的第一配置文件生成第一参数表；根据目的防火墙的类型对所述第一参数表进行处理，得到所述目的防火墙的第二配置文件，所述第一配置文件无法被所述目的防火墙识别，且所述第二配置文件无法被所述源防火墙识别；根据所述第二配置文件生成第二参数表；对所述第一参数表和所述第二参数表进行比对，并在比对通过后，进行策略配置替换。

可选地，所述第一参数表和所述第二参数表具有统一的数据结构，且包括下列数据项：传输协议、设备名称、策略标识、源IP地址、源服务端口、源区域、源NAT类型、源NAT地址、源物理接口、目的IP地址、目的服务端口、目的区域、目的NAT类型、目的NAT地址、目的物理接口、应用层代理网关、策略标识、策略动作、策略状态、策略是否记录日志、策略生效时间段、策略的描述信息。

可选地，根据源防火墙的第一配置文件生成第一参数表包括：读取所述源防火墙的第一配置文件，并根据所述第一配置文件获取所述源防火墙的类型；通过执行与所述源防火墙的类型相对应的策略配置转换程序，将所述第一配置文件转换为第一参数表。

可选地，将所述第一配置文件转换为第一参数表包括：从所述第一配置文件中提取设备名称；从所述第一配置文件中提取安全策略元素信息，并通过对所述安全策略元素信息进行转换以得到策略标识、源防火墙配置参数、目的防火墙配置参数和端口策略配置参数；根据所述设备名称、所述策略标识、所述源防火墙配置参数、所述目的防火墙配置参数和所述端口策略配置参数，生成第一参数表；其中，所述源防火墙配置参数包括：源区域、源IP地址、源NAT类型、源NAT地址、源物理接口；所述目的防火墙配置参数包括：目的区域、目的IP地址、目的NAT类型、目的NAT地址、目的物理接口；所述端口策略配置参数包括：源服务端口、目的服务端口、应用层代理网关、策略动作、策略状态、策略是否记录日志、策略生效时间段、策略的描述信息。