本公开提供了一种防火墙策略有效性的确定方法,可以应用于网络安全技术领域。该方法包括:响应于防火墙策略有效性的分析指令,获取目标防火墙策略信息;基于网络拓扑图对目标防火墙策略的有效性进行分析,以确定防火墙策略有效性,其中,所述网络拓扑图为根据防火墙配置信息预先生成的。本公开还提供了一种防火墙策略有效性的确定装置、设备、存储介质和程序产品。序产品。序产品。
【技术实现步骤摘要】
防火墙策略有效性的确定方法及装置
[0001]本公开涉及网络安全
,尤其涉及防火墙
,具体涉及一种防火墙策略有效性的确定方法、装置、设备、存储介质和程序产品。
技术介绍
[0002]业务系统在新上线等场景中,涉及网络防火墙等策略开通,防火墙策略开通需要依靠经验判断,是否可以开通。但仅依靠人为经验判断,容易产生误判的问题,且无法快速定位新增需求是否可以开通或者是否需要开通。
[0003]需要说明的是,在上述
技术介绍
部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
技术实现思路
[0004]鉴于上述问题,本公开提供了提高生产效率的防火墙策略有效性的确定方法、装置、设备、存储介质和程序产品。
[0005]根据本公开的第一个方面,提供了一种防火墙策略有效性的确定方法,包括:
[0006]响应于防火墙策略有效性的分析指令,获取目标防火墙策略信息;
[0007]基于网络拓扑图对目标防火墙策略的有效性进行分析,以确定防火墙策略有效性,
[0008]其中,所述网络拓扑图为根据防火墙配置信息预先生成的。
[0009]根据本公开的实施例,所述基于网络拓扑图对目标防火墙策略的有效性进行分析,以确定防火墙策略有效性包括:
[0010]根据所述目标防火墙策略信息确定目标防火墙策略的源地址、目的地址和协议类型;
[0011]根据所述源地址、所述目的地址和拓扑信息确定目标拓扑图;以及
[0012]根据所述目标拓扑图、所述协议类型和所述网络拓扑图确定所述目标防火墙策略的可行性。
[0013]根据本公开的实施例,根据防火墙配置信息预先生成网络拓扑图包括:
[0014]收集防火墙配置信息;
[0015]根据所述防火墙配置信息确定安全域和路由映射关系;
[0016]根据所述防火墙配置信息确定访问策略的信息要素;
[0017]根据所述信息要素和所述映射关系生成网络拓扑图;以及
[0018]将每个安全域的网络协议网段配置信息补充至所述网络拓扑图中。
[0019]根据本公开的实施例,所述防火墙配置信息包括安全域名称、访问策略、网络地址转换映射信息和路由信息,所述收集防火墙配置信息包括:
[0020]根据网络设备登陆信息登陆防火墙设备;
[0021]根据防火墙设备型号确定对应的脚本;以及
[0022]运行所述脚本以收集防火墙配置信息。
[0023]根据本公开的实施例,所述访问策略的信息要素包括安全域名称、路由、源地址、目的地址、协议类型、端口信息和拒绝/允许信息。
[0024]根据本公开的实施例,所述目标防火墙策略包括新增防火墙策略。
[0025]本公开的第二方面提供了一种防火墙策略有效性的确定装置,包括:
[0026]获取模块,用于响应于防火墙策略有效性的分析指令,获取目标防火墙策略信息;
[0027]防火墙策略分析模块,用于基于网络拓扑图对目标防火墙策略的有效性进行分析,以确定防火墙策略有效性,
[0028]其中,所述网络拓扑图为根据防火墙配置信息预先生成的。
[0029]本公开的第三方面提供了一种电子设备,包括:一个或多个处理器;存储器,用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得一个或多个处理器执行上述防火墙策略有效性的确定方法。
[0030]本公开的第四方面还提供了一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行上述基于防火墙策略有效性的确定方法。
[0031]本公开的第五方面还提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述防火墙策略有效性的确定方法。
[0032]通过本公开实施例提供的防火墙策略有效性的确定方法,通过图形展示的方式将防火墙策略可视化,当出现新增防火墙策略时,可通过网络拓扑图对防火墙策略的有效性进行判断,直观体现防火墙是否已开通该策略或是否可以开通策略,相较于依靠人为经验判断的方式,本公开实施例提供的防火墙策略有效性的确定方法对防火墙策略分析更准确,效率更高。
附图说明
[0033]通过以下参照附图对本公开实施例的描述,本公开的上述内容以及其他目的、特征和优点将更为清楚,在附图中:
[0034]图1示意性示出了根据本公开实施例的防火墙策略有效性的确定方法、装置、设备、存储介质和程序产品的应用场景图;
[0035]图2示意性示出了根据本公开实施例的防火墙策略有效性的确定方法的流程图;
[0036]图3示意性示出了根据本公开实施例的网络拓扑图的生成方法的流程图;
[0037]图4示意性示出了根据本公开实施例的防火墙配置信息的获取方法的流程图;
[0038]图5示意性示出了根据本公开实施例的基于网络拓扑图对目标防火墙策略的有效性进行分析的方法的流程图;
[0039]图6示意性示出了根据本公开实施例的防火墙策略有效性的确定装置的结构框图;以及
[0040]图7示意性示出了根据本公开实施例的适于实现防火墙策略有效性的确定方法的电子设备的方框图。
具体实施方式
[0041]以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性
的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
[0042]在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
[0043]在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
[0044]在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。
[0045]首先对本公开实施例出现的术语进行解释:
[0046]防火墙:用于网络安全管理和数据的过滤与转发。防火墙可以根据预先设定的规则对网络中的数据进行过滤,只允许符合特定规则的数据通过。
[0047]安全域:是若干接口所连网络的集合,这些网络中的用户具有相同的安全属性。
[0048]基于上述技术问题,本公开的实施例本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种防火墙策略有效性的确定方法,其特征在于,包括:响应于防火墙策略有效性的分析指令,获取目标防火墙策略信息;基于网络拓扑图对目标防火墙策略的有效性进行分析,以确定防火墙策略有效性,其中,所述网络拓扑图为根据防火墙配置信息预先生成的。2.根据权利要求1所述的方法,其特征在于,所述基于网络拓扑图对目标防火墙策略的有效性进行分析,以确定防火墙策略有效性包括:根据所述目标防火墙策略信息确定目标防火墙策略的源地址、目的地址和协议类型;根据所述源地址、所述目的地址和拓扑信息确定目标拓扑图;以及根据所述目标拓扑图、所述协议类型和所述网络拓扑图确定所述目标防火墙策略的可行性。3.根据权利要求1所述的方法,其特征在于,根据防火墙配置信息预先生成网络拓扑图包括:收集防火墙配置信息;根据所述防火墙配置信息确定安全域和路由映射关系;根据所述防火墙配置信息确定访问策略的信息要素;根据所述信息要素和所述映射关系生成网络拓扑图;以及将每个安全域的网络协议网段配置信息补充至所述网络拓扑图中。4.根据权利要求3所述的方法,其特征在于,所述防火墙配置信息包括安全域名称、访问策略、网络地址转换映射信息和路由信息,所述收集防火墙配置信息包括:根据网络设备登陆信息登陆...
【专利技术属性】
技术研发人员:谢兴山,程志雄,张韩宗,
申请(专利权)人:建信金融科技有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。