[发明专利]安全策略部署方法、装置、计算机设备及可读存储介质

权利要求书

1.一种安全策略部署方法，其特征在于，包括：

获取需求表单，根据所述需求表单构建源主机和目标主机之间的通信连接，并在所述通信连接上部署安全策略；其中，所述需求表单中记载有用于表征所述源主机和所述目标主机的主机信息，和用于调用防火墙以部署所述安全策略的部署脚本，所述安全策略表征了所述通信连接的防火墙的部署方式；

判断所述安全策略是否在所述通信连接上成功部署；

如果成功部署，则对所述通信连接进行连通性检查；其中，所述连通性检查是通过控制所述源主机向所述目标主机发送数据包，以判断所述源主机是否能够通过所述通信连接访问所述目标主机的连通性检查；

如果所述通信连接通过所述连通性检查，则生成部署成功信息，并将所述部署成功信息发送至所述终端。

2.根据权利要求1所述的安全策略部署方法，其特征在于，所述获取需求表单之前，所述方法还包括：

接收终端发送的需求信息，将所述需求信息录入所述需求表单中；其中，所述需求信息包括主机信息和部署脚本，其中，所述主机信息记载了用于构建源主机和目标主机之间通信连接的源信息和目标信息，所述部署脚本表征了所述通信连接的安全策略部署需求。

3.根据权利要求1所述的安全策略部署方法，其特征在于，所述判断所述安全策略是否在所述通信连接上成功部署，包括：

控制所述源主机通过所述通信连接，访问所述目标主机中除所述目标端口外的其他端口；

若所述源主机无法访问所述其他端口，则判定所述安全策略已在所述通信连接上成功部署；

若所述源主机能够访问所述其他端口，则判定所述安全策略未在所述通信连接上成功部署。

4.根据权利要求1所述的安全策略部署方法，其特征在于，所述对所述通信连接进行连通性检查，包括：

调用预置的测试脚本，用以通过所述通信连接向所述目标主机发送请求报文，接收所述目标主机根据所述请求报文返回的反馈报文；

若所述反馈报文中具有表征所述通信连接无法连通的错误编码，则判定所述通信连接未通过所述连通性检查；

若所述反馈报文中不具有表征所述通信连接无法连通的错误编码，则判定所述通信连接通过所述连通性检查。

5.根据权利要求1所述的安全策略部署方法，其特征在于，所述判断所述源主机是否能够通过所述通信连接访问所述目标主机的连通性检查之后，所述方法还包括：

如果所述通信连接未通过所述连通性检查，则访问所述源主机以获取所述连通性检查时的丢包数量；

和/或访问所述安全策略对应的防火墙，获取所述防火墙中的防火墙会话表；

和/或对所述连通性检查过程中的数据包进行抓包，并对被抓包的数据包进行回溯分析得到分析结果；

整合所述丢包数量和/或防火墙会话表和/或所述分析结果生成连通性报错信息，将所述连通性报错信息发送至所述终端。

6.根据权利要求1所述的安全策略部署方法，其特征在于，所述判断所述安全策略是否在所述通信连接上成功部署之后，所述方法还包括：

如果未成功部署，则提取所述需求表单中所述需求信息对应的部署脚本，获取所述部署脚本调用的防火墙接口的接口号，生成具有所述接口号的部署报错信息，将所述部署报错信息发送至所述终端。

7.根据权利要求1所述的安全策略部署方法，其特征在于，所述将所述部署成功信息发送至所述终端之后，所述方法还包括：

当接收到终端发送的变更信息时，提取所述变更信息中的原主机信息，识别所述需求表单中所述原主机信息对应的主机信息和部署脚本；将所述原主机信息对应的主机信息和/或部署脚本，替换为所述变更信息中的主机变更信息和/或部署变更脚本，以更新所述需求表单；

获取更新的所述需求表单中的主机变更信息，根据所述主机变更信息构建源主机和目标主机之间的通信变更连接，并根据所述部署脚本或所述部署变更脚本在所述通信变更连接上部署安全策略；或

获取更新的所述需求表单中的主机信息，根据所述部署变更脚本在所述主机信息对应的通信连接上部署安全策略；

将所述变更信息上传至区块链中。