【技术实现步骤摘要】
本申请实施例涉及计算机,具体而言,涉及一种基于防火墙的访问控制策略的调整方法及装置。
技术介绍
1、随着it技术的飞速发展,各种各样物理子系统对外提供服务,同时也有大量物理子系统下线。物理子系统也越来越庞大,有的物理子系统甚至有数十个部署单元,且每个部署单元的功能也越来越多。
2、在系统的快速更新迭代下,一个物理子系统及其部署单元经常会面临以下调整:扩容、缩容、替换、下线。对防火墙上访问控制策略的维护,现有的做法通常是项目组人工梳理需要新增的访问关系,手动提交工单,防火墙运维人员手动对访问控制策略进行维护,效率低下,且常常由于项目组梳理不清楚访问关系而漏提需求,造成系统报错。
技术实现思路
1、本申请实施例提供了一种基于防火墙的访问控制策略的调整方法及装置,以至少解决相关技术中对防火墙的访问控制策略的调整效率和准确性较低的问题。
2、根据本申请的一个实施例,提供了一种基于防火墙的访问控制策略的调整方法,包括:确定目标部署单元的目标配置信息,其中,上述目标配置信息中包括上述目标部署单元中设置的主机的信息,上述目标部署单元是目标物理子系统中n个部署单元中的部署单元,上述n是大于或等于1的自然数;基于上述目标配置信息生成目标防火墙的访问控制策略的调整信息,其中,上述目标防火墙用于对上述目标部署单元与其他上述部署单元之间的数据包传输进行安全控制,其他上述部署单元是n个上述部署单元中的部署单元;利用上述调整信息生成防火墙命令;将上述防火墙命令发送至上述目标防火墙,以按
3、根据本申请的一个实施例,提供了一种基于防火墙的访问控制策略的调整装置,包括:第一确定模块,用于确定目标部署单元的目标配置信息,其中,上述目标配置信息中包括上述目标部署单元中设置的主机的信息,上述目标部署单元是目标物理子系统中n个部署单元中的部署单元,上述n是大于或等于1的自然数;第一生成模块,用于基于上述目标配置信息生成目标防火墙的访问控制策略的调整信息,其中,上述目标防火墙用于对上述目标部署单元与其他上述部署单元之间的数据包传输进行安全控制,其他上述部署单元是n个上述部署单元中的部署单元;第二生成模块,用于利用上述调整信息生成防火墙命令;第一发送模块,用于将上述防火墙命令发送至上述目标防火墙,以按照上述防火墙命令调整上述访问控制策略,得到目标访问控制策略。
4、在一个示例性实施例中,上述第一确定模块,包括:第一检测单元,用于按照预设时间周期检测上述目标部署单元的配置信息;第一确定单元,用于在上述配置信息发生变化的情况下,确定上述目标部署单元中主机的数量和主机的地址信息,其中,上述配置信息发生变化包括以下至少之一:上述目标部署单元中扩容主机的操作,上述目标部署单元中缩容主机的操作,上述目标部署单元中替换主机的操作,下线上述目标物理子系统的操作;第一调整单元,用于基于上述主机的数量和上述主机的地址信息调整上述配置信息,得到上述目标配置信息。
5、在一个示例性实施例中,上述装置还包括:第二确定模块,用于基于上述目标配置信息生成目标防火墙的访问控制策略的调整信息之前,在从上述目标配置信息中确定上述目标部署单元中主机的数量和主机的地址信息发生变化的情况下,获取m个防火墙的运行配置信息,其中,m是大于或等于1的自然数;第一遍历模块,用于遍历m个上述防火墙的运行配置信息,从m个上述防火墙中确定上述目标防火墙,其中,上述目标防火墙中的访问控制策略中包括上述目标部署单元的地址信息。
6、在一个示例性实施例中,上述第一生成模块,包括:第二确定单元,用于在从上述目标配置信息中确定上述目标部署单元中执行扩容主机操作的情况下,生成向上述目标防火墙中新增目标主机的地址的信息,得到上述调整信息,其中,上述目标主机是上述目标部署单元中新增的主机;上述第二生成模块,包括:第三确定单元,用于从上述调整信息中确定上述目标主机的地址信息;第一遍历单元,用于遍历上述目标防火墙的映射配置,将上述目标主机的地址信息添加至上述映射配置中,得到第一映射维护信息,其中,上述第一映射维护信息中包括上述目标主机、上述目标部署单元以及上述目标防火墙之间的地址映射关系;第一生成单元,用于利用上述第一映射维护信息生成上述防火墙命令。
7、在一个示例性实施例中,上述第一生成模块,包括:第二生成单元,用于在从上述目标配置信息中确定上述目标部署单元中执行缩容主机操作的情况下,生成从上述目标防火墙中删除目标主机的地址的信息,得到上述调整信息,其中,上述目标主机是上述目标部署单元中已删除的主机;上述第二生成模块,包括:第二遍历单元,用于遍历上述目标防火墙的映射配置,从上述映射配置中删除上述目标主机与上述目标部署单元以及上述目标防火墙之间的地址映射关系,得到第二映射维护信息;第三生成单元,用于利用上述第二映射维护信息生成上述防火墙命令。
8、在一个示例性实施例中,上述第一生成模块,包括:第四生成单元,用于在从上述目标配置信息中确定上述目标部署单元中执行替换主机操作的情况下,生成从上述目标防火墙中删除第一主机的地址的信息和新增第二主机的地址的信息,得到上述调整信息,其中,上述第一主机是上述目标部署单元中已删除的主机,上述第二主机是上述目标部署单元中替换上述第一主机的主机;上述第二生成模块,包括:第三遍历单元,用于遍历上述目标防火墙的映射配置,从上述映射配置中删除上述第一主机与上述目标部署单元以及上述目标防火墙之间的第一地址映射关系,并将上述第二主机的地址信息添加至上述映射配置中,得到第三映射维护信息;第五生成单元,用于利用上述第三映射维护信息生成上述防火墙命令。
9、在一个示例性实施例中,上述装置还包括:第一构建模块,用于基于上述目标配置信息生成目标防火墙的访问控制策略的调整信息之前,构建m个上述防火墙之间的第一对应关系,以及m个上述防火墙所归属的多个网络区域之间的第二对应关系;第二构建模块,用于利用上述第一对应关系和上述第二对应关系构建多个上述网络区域之间的网络控制策略;第三确定模块,用于基于上述网络控制策略确定是否遍历上述目标防火墙的映射配置。
10、在一个示例性实施例中,上述第一生成模块,包括:第六生成单元,用于在从上述目标配置信息中确定上述目标物理子系统下线的情况下,生成从上述目标防火墙中删除第三主机的地址的信息,得到上述调整信息,其中,上述第三主机是上述目标物理子系统中设置的部署单元中的主机;上述第二生成模块,包括:第四确定单元,用于从上述调整信息中确定上述第三主机的地址信息;第四遍历单元,用于遍历上述目标防火墙的映射配置,从上述映射配置中删除上述第三主机与上述目标物理子系统之间的地址映射关系,得到第四映射维护信息;第七生成单元,用于利用上述第四映射维护信息生成上述防火墙命令。
11、根据本申请的又一个实施例,还提供了一种计算机可读存储介质,上述计算机可读存储介质中存储有计算机程序,其中,上述计算机程序被设置为处理器执行上述本文档来自技高网...
【技术保护点】
1.一种基于防火墙的访问控制策略的调整方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,确定目标部署单元的目标配置信息,包括:
3.根据权利要求1所述的方法,其特征在于,基于所述目标配置信息生成目标防火墙的访问控制策略的调整信息之前,所述方法还包括:
4.根据权利要求3所述的方法,其特征在于,
5.根据权利要求3所述的方法,其特征在于,
6.根据权利要求3所述的方法,其特征在于,
7.根据权利要求5或6所述的方法,其特征在于,基于所述目标配置信息生成目标防火墙的访问控制策略的调整信息之前,所述方法还包括:
8.根据权利要求3所述的方法,其特征在于,
9.一种基于防火墙的访问控制策略的调整装置,其特征在于,包括:
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,其中,所述计算机程序被处理器执行时实现所述权利要求1至8任一项中所述的方法的步骤。
11.一种电子设备,包括存储器、处理器以及存储在所述存储器上并可在所
...【技术特征摘要】
1.一种基于防火墙的访问控制策略的调整方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,确定目标部署单元的目标配置信息,包括:
3.根据权利要求1所述的方法,其特征在于,基于所述目标配置信息生成目标防火墙的访问控制策略的调整信息之前,所述方法还包括:
4.根据权利要求3所述的方法,其特征在于,
5.根据权利要求3所述的方法,其特征在于,
6.根据权利要求3所述的方法,其特征在于,
7.根据权利要求5或6所述的方法,其特征在于,基于所述目标配置信息生成目标防火墙的...
【专利技术属性】
技术研发人员:胡巧龙,莫亚运,
申请(专利权)人:中国建设银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。