一种防火墙的端口管理策略自动下发方法及装置
专利汇可以提供一种防火墙的端口管理策略自动下发方法及装置专利检索,专利查询,专利分析的服务。并且本 发明 公开了一种 防火墙 的端口管理策略自动下发方法及装置,所述方法包括:通过SSH登录防火墙,获取防火墙的配置文件;对获取的配置文件进行安全域解析,获取安全域解析的结果;集合安全域解析的结果,以及端口 申请 的IP地址数据,动态分析开通或关闭所述端口所需经过的防火墙、安全域以及已有策略;依据策略比 对流 程,生成新策略并下发;本发明的优点在于:防火墙策略自动生成,不需要人工手动输入防火墙策略,效率高,通过策略间包含或者互斥的直接比对,实现策略的校验。,下面是一种防火墙的端口管理策略自动下发方法及装置专利的具体信息内容。
1.一种防火墙的端口管理策略自动下发方法,其特征在于,所述方法包括:
步骤一:通过SSH登录防火墙,获取防火墙的配置文件;
步骤二:对获取的配置文件进行安全域解析,获取安全域解析的结果;
步骤三:集合安全域解析的结果,以及端口申请的IP地址数据,动态分析开通或关闭所述端口所需经过的防火墙、安全域以及已有策略;
步骤四:依据策略比对流程,生成新策略并下发。
2.根据权利要求1所述的一种防火墙的端口管理策略自动下发方法,其特征在于,所述配置文件包括防火墙基本信息、安全域信息、地址段信息以及已有策略的信息。
3.根据权利要求1所述的一种防火墙的端口管理策略自动下发方法,其特征在于,所述安全域解析的结果包括防火墙的虚拟防火墙信息、虚拟防火墙下的安全域及优先级数据。
4.根据权利要求3所述的一种防火墙的端口管理策略自动下发方法,其特征在于,所述安全域解析的过程包括:
步骤201:通过静态路由找出所述防火墙中具有的所有虚拟防火墙;
步骤202:通过每一个虚拟防火墙找出每一个虚拟防火墙下的安全域,并得到所述安全域的名称以及优先级;
步骤203:找出每个安全域下的所有接口;
步骤204:找出每个接口下的IP地址段;
步骤205:通过SSH协议获取已有策略。
5.根据权利要求4所述的一种防火墙的端口管理策略自动下发方法,其特征在于,所述步骤四包括:
步骤401:进入系统视图,开通第一接口,绑定第一接口的IP地址并绑定子网IP地址,开通第二接口,绑定第二接口的IP地址;
步骤402:创建虚拟防火墙,给虚拟防火墙分配第一接口;
步骤403:进入虚拟防火墙,新建第一安全域,定义第一安全域的优先级,将第一安全域包含的信息以及第一安全域的优先级的值导入第一接口,新建第二安全域,定义第二安全域的优先级,将第二安全域包含的信息以及第二安全域的优先级的值导入第二接口;
步骤404:创建第二安全域的第二服务对象,定义第二服务对象的端口为第二接口并定义第二接口协议,创建第一安全域的第一服务对象,定义第一服务对象的端口为第一接口并定义第一接口协议;
步骤405:创建第二安全域到第一安全域的实例,创建有效时间对象,定义有效时间对象内允许第二安全域到第一安全域的动作,确定第一接口的IP,引用第一服务对象,确定第二接口的IP,引用第二服务对象,生成第二安全域到第一安全域的策略脚本,并生成第二安全域向第一安全域下发策略的当前命令语句;
步骤406:判断第二安全域向第一安全域下发策略的命令语句是否符合策略比对流程,策略比对流程包括互斥判断过程和/或包含判断过程,其中,
互斥判断过程,包括判断当前命令语句与已有策略是否互斥,若不互斥,合并当前命令语句与已有策略作为新策略并下发,若互斥,则将已有策略中与当前命令语句中互斥的内容删除然后合并已有策略和当前命令语句作为新策略并下发;
包含判断过程,包括判断当前命令语句与已有策略是否有相同内容的部分,若有,则合并当前命令语句与已有策略作为新策略并下发,若没有则将当前命令语句作为新策略并下发。
6.一种防火墙的端口管理策略自动下发装置,其特征在于,所述装置包括:
配置文件获取模块,配置文件获取模块用于通过SSH登录防火墙,获取防火墙的配置文件;
安全域解析模块,安全域解析模块用于对获取的配置文件进行安全域解析,获取安全域解析的结果;
动态分析模块,动态分析模块用于集合安全域解析的结果,以及端口申请的IP地址数据,动态分析开通或关闭所述端口所需经过的防火墙、安全域以及已有策略;
新策略生成模块,依据策略比对流程,生成新策略并下发。
7.根据权利要求6所述的一种防火墙的端口管理策略自动下发装置,其特征在于,所述配置文件获取模块还用于防火墙基本信息、安全域信息、地址段信息以及已有策略的信息的获取。
8.根据权利要求6所述的一种防火墙的端口管理策略自动下发装置,其特征在于,所述安全域解析模块还用于获取防火墙的虚拟防火墙信息、虚拟防火墙下的安全域及优先级数据。
9.根据权利要求6所述的一种防火墙的端口管理策略自动下发装置,其特征在于,所述安全域解析模块还用于:
步骤201:通过静态路由找出所述防火墙中具有的所有虚拟防火墙;
步骤202:通过每一个虚拟防火墙找出每一个虚拟防火墙下的安全域,并得到所述安全域的名称以及优先级;
步骤203:找出每个安全域下的所有接口;
步骤204:找出每个接口下的IP地址段;
步骤205:通过SSH协议获取已有策略。
10.根据权利要求6所述的一种防火墙的端口管理策略自动下发装置,其特征在于,所述新策略生成模块还用于:
步骤401:进入系统视图,开通第一接口,绑定第一接口的IP地址并绑定子网IP地址,开通第二接口,绑定第二接口的IP地址;
步骤402:创建虚拟防火墙,给虚拟防火墙分配第一接口;
步骤403:进入虚拟防火墙,新建第一安全域,定义第一安全域的优先级,将第一安全域包含的信息以及第一安全域的优先级的值导入第一接口,新建第二安全域,定义第二安全域的优先级,将第二安全域包含的信息以及第二安全域的优先级的值导入第二接口;
步骤404:创建第二安全域的第二服务对象,定义第二服务对象的端口为第二接口并定义第二接口协议,创建第一安全域的第一服务对象,定义第一服务对象的端口为第一接口并定义第一接口协议;
步骤405:创建第二安全域到第一安全域的实例,创建有效时间对象,定义有效时间对象内允许第二安全域到第一安全域的动作,确定第一接口的IP,引用第一服务对象,确定第二接口的IP,引用第二服务对象,生成第二安全域到第一安全域的策略脚本,并生成第二安全域向第一安全域下发策略的当前命令语句;
步骤406:判断第二安全域向第一安全域下发策略的命令语句是否符合策略比对流程,策略比对流程包括互斥判断过程和/或包含判断过程,其中,
互斥判断过程,包括判断当前命令语句与已有策略是否互斥,若不互斥,合并当前命令语句与已有策略作为新策略并下发,若互斥,则将已有策略中与当前命令语句中互斥的内容删除然后合并已有策略和当前命令语句作为新策略并下发;
包含判断过程,包括判断当前命令语句与已有策略是否有相同内容的部分,若有,则合并当前命令语句与已有策略作为新策略并下发,若没有则将当前命令语句作为新策略并下发。
一种防火墙的端口管理策略自动下发方法及装置
技术领域
背景技术
发明内容
具体实施方式
| 标题 | 发布/更新时间 | 阅读量 |
|---|---|---|
| 一种基于边缘计算的数据处理方法和边缘计算系统 | 2020-06-25 | 0 |
| 一种近距离无线通信网络热点的租赁方法和系统 | 2020-08-18 | 2 |
| 一种防火墙的端口管理策略自动下发方法及装置 | 2020-06-03 | 2 |
| 一种以钟为中枢的智能管家系统 | 2021-01-15 | 1 |
| 基于电厂动态数据的便携式报警显示系统 | 2021-01-22 | 0 |
| 一种防火墙虚拟化的模块以及管理方法 | 2020-11-16 | 0 |
| 一种基于P2P僵尸网络评估模型的防御和反击系统 | 2021-01-23 | 0 |
| Network security system | 2022-05-15 | 0 |
| E-service to manage contact information with privacy levels | 2023-05-14 | 1 |
| 준 불연 더블 라셀 편지 | 2021-07-24 | 0 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。
