最新中国发明专利
/
2020-07-31

一种管理异构防火墙的方法及系统转让专利

申请号 : CN201810399642.1

文献号 : CN109413017B

文献日 :

基本信息:

PDF:

法律信息:

相似专利:

发明人 : 孙祥明

申请人 : 武汉思普崚技术有限公司

摘要 :

本申请提供一种管理异构防火墙的方法及系统,通过采集端采集异构防火墙中各个防火墙的安全策略配置文件;采集端通过安全策略配置文件中包含的标识信息确定防火墙的品牌,然后调用与所述防火墙的品牌对应的解析器;解析器对安全策略配置文件中包含的安全策略组合进行解析,得到解析结果;终端设备获取各个解析器的解析结果,并按照防火墙的品牌和/或IP地址分类显示解析结果。本申请能够在一个终端设备中集中显示异构防火墙中各个防火墙的安全策略,因此,本申请实施例提供的方法及系统解决了现有技术中,在查看异构防火墙中各个防火墙的安全策略时,需要多个终端设备而导致成本较高,并且需要依次查看多个终端设备,耗费时间和人力的问题。

权利要求 :

1.一种管理异构防火墙的方法,其特征在于,包括:

采集端采集异构防火墙中各个防火墙的安全策略配置文件,并读取所述安全策略配置文件中包含的标识信息;

所述采集端通过所述标识信息确定所述防火墙的品牌;

所述采集端调用与所述防火墙的品牌对应的解析器;

所述解析器对所述安全策略配置文件中包含的安全策略组合进行解析,得到解析结果;

终端设备获取各个所述解析器的解析结果,并按照所述防火墙的品牌和/或IP地址分类显示所述解析结果;

其中,在所述采集端采集异构防火墙中各个防火墙的安全策略配置文件之后,还包括:所述采集端选取异构防火墙中各个防火墙的当前安全策略配置文件,将其作为目标文件,并确定所述目标文件对应的目标前文件,其中,所述目标前文件与所述目标文件对应的防火墙相同,所述目标前文件为在所述目标文件之前采集,且采集时间距离所述目标文件的采集时间最近的一个安全策略配置文件;

所述采集端比较所述目标文件与所述目标前文件;

若所述目标文件与所述目标前文件不同,所述采集端将所述目标文件与所述目标前文件的第一区别信息传输至所述终端设备;

所述终端设备根据所述第一区别信息,确定所述目标文件对应的第一目标防火墙,并在获取到所述解析器解析的所述目标文件的解析结果之后,将所述第一目标防火墙的解析结果确定为所述目标文件的解析结果。

2.根据权利要求1所述的方法,其特征在于,所述采集端通过所述标识信息确定所述防火墙的品牌,包括:所述采集端根据标识信息数据库中标识信息与品牌的关系,确定所述标识信息对应的品牌,将所述标识信息对应的品牌作为所述防火墙的品牌。

3.根据权利要求1所述的方法,其特征在于,所述解析器对所述安全策略配置文件中包含的安全策略组合进行解析,得到解析结果,包括:所述解析器获取所述安全策略配置文件中包含的安全策略组合;

所述解析器对所述安全策略组合进行分组,其中,每个所述分组对应所述安全策略组合中的一条安全策略;

所述解析器提取每个所述分组中包含的特征信息;

所述解析器将所述特征信息转化为与预先设定的描述方式相同的安全策略,将所述与预先设定的描述方式相同的安全策略作为解析结果。

4.根据权利要求1所述的方法,其特征在于,在所述解析器对所述安全策略配置文件中包含的安全策略组合进行解析,得到解析结果之后,还包括:所述解析器选取当前各个安全策略配置文件的解析结果,将其作为目标解析结果,并确定所述目标解析结果对应的目标前解析结果,其中,所述目标前解析结果与所述目标解析结果对应的防火墙相同,所述目标前解析结果为在所述目标解析结果之前完成解析,且完成解析时间距离所述目标解析结果的完成解析时间最近的一个解析结果;

所述解析器比较所述目标解析结果与所述目标前解析结果;

若所述目标解析结果与所述目标前解析结果不同,所述解析器将所述目标解析结果与所述目标前解析结果的第二区别信息传输至所述终端设备;

所述终端设备根据所述第二区别信息,确定所述目标解析结果对应的第二目标防火墙,并将所述第二目标防火墙的解析结果确定为所述目标解析结果。

5.根据权利要求3所述的方法,其特征在于,在所述解析器提取每个所述分组中包含的特征信息之后,还包括:所述终端设备获取每个所述分组中包含的特征信息;

所述终端设备将每个所述分组中包含的特征信息与所述安全策略组合中每条安全策略相匹配,以便于通过特征信息查询匹配的安全策略。

6.一种管理异构防火墙的系统,其特征在于,所述系统包括采集端、解析器和终端设备;

其中,所述采集端包括:

采集模块,用于采集异构防火墙中各个防火墙的安全策略配置文件,并读取所述安全策略配置文件中包含的标识信息;

确定模块,用于通过所述标识信息确定所述防火墙的品牌;

调用模块,用于调用与所述防火墙的品牌对应的解析器;

所述解析器包括:

解析模块,用于对所述安全策略配置文件中包含的安全策略组合进行解析,得到解析结果;

所述终端设备包括:

显示模块,用于获取各个所述解析器的解析结果,并按照所述防火墙的品牌和/或IP地址分类显示所述解析结果;

所述采集端还包括:第一确定模块、第一比较模块和第一传输模块;所述终端设备还包括:第二确定模块;

所述第一确定模块,用于在所述采集模块采集异构防火墙中各个防火墙的安全策略配置文件之后,选取异构防火墙中各个防火墙的当前安全策略配置文件,将其作为目标文件,并确定所述目标文件对应的目标前文件,其中,所述目标前文件与所述目标文件对应的防火墙相同,所述目标前文件为在所述目标文件之前采集,且采集时间距离所述目标文件的采集时间最近的一个安全策略配置文件;

第一比较模块,用于比较所述目标文件与所述目标前文件;

第一传输模块,用于在所述第一比较模块确定所述目标文件与所述目标前文件不同之后,将所述目标文件与所述目标前文件的第一区别信息传输至所述终端设备;

所述第二确定模块,用于根据所述第一区别信息,确定所述目标文件对应的第一目标防火墙,并在获取到所述解析器解析的所述目标文件的解析结果之后,将所述第一目标防火墙的解析结果确定为所述目标文件的解析结果。

7.根据权利要求6所述的系统,其特征在于,所述确定模块包括:确定单元,用于根据标识信息数据库中标识信息与品牌的关系,确定所述标识信息对应的品牌,将所述标识信息对应的品牌作为所述防火墙的品牌。

8.根据权利要求6所述的系统,其特征在于,所述解析模块包括:第一获取单元,用于获取所述安全策略配置文件中包含的安全策略组合;

分组单元,用于对所述安全策略组合进行分组,其中,每个所述分组对应所述安全策略组合中的一条安全策略;

提取单元,用于提取每个所述分组中包含的特征信息;

解析结果确定单元,用于将所述特征信息转化为与预先设定的描述方式相同的安全策略,将所述与预先设定的描述方式相同的安全策略作为解析结果。

9.根据权利要求6所述的系统,其特征在于,所述解析器还包括:第三确定模块、第二比较模块和第二传输模块;所述终端设备还包括:第四确定模块;

所述第三确定模块,用于在所述解析模块对所述安全策略配置文件中包含的安全策略组合进行解析,得到解析结果之后,选取当前各个安全策略配置文件的解析结果,将其作为目标解析结果,并确定所述目标解析结果对应的目标前解析结果,其中,所述目标前解析结果与所述目标解析结果对应的防火墙相同,所述目标前解析结果为在所述目标解析结果之前完成解析,且完成解析时间距离所述目标解析结果的完成解析时间最近的一个解析结果;

第二比较模块,用于比较所述目标解析结果与所述目标前解析结果;

第二传输模块,用于在所述第二比较模块确定所述目标解析结果与所述目标前解析结果不同之后,将所述目标解析结果与所述目标前解析结果的第二区别信息传输至所述终端设备;

所述第四确定模块,用于根据所述第二区别信息,确定所述目标解析结果对应的第二目标防火墙,并将所述第二目标防火墙的解析结果确定为所述目标解析结果。

10.根据权利要求8所述的系统,其特征在于,所述终端设备还包括:第二获取单元,用于在所述提取单元提取每个所述分组中包含的特征信息之后,获取每个所述分组中包含的特征信息;

匹配单元,用于将每个所述分组中包含的特征信息与所述安全策略组合中每条安全策略相匹配,以便于通过特征信息查询匹配的安全策略。

说明书 :

一种管理异构防火墙的方法及系统

技术领域

[0001] 本申请涉及计算机网络安全应用技术领域,具体涉及一种管理异构防火墙的方法及系统。

背景技术

[0002] 防火墙属于网络安全系统,设置于内部网与外部网之间。利用防火墙包含的安全策略,能够实现对跨防火墙的网络互访进行控制,同时实现对防火墙本身的访问进行控制,保护内部网免受外部网中非法用户的侵入。由于不同品牌的防火墙在保护对象和安全策略方面存在差异,因此,同一个内部网不同组织之间通常需要设置不同品牌的防火墙,不同品牌的防火墙组合成异构防火墙。
[0003] 防火墙对于网络安全起着重要的作用,因此有时需要查看异构防火墙中各个防火墙的安全策略。现有技术中,由于不同品牌的防火墙所包含的安全策略在描述方式上存在差异,因此,需要在与该品牌相同的管理系统上查看各个防火墙的安全策略。异构防火墙中的各个防火墙分别与该防火墙品牌相同的管理系统相连接,管理系统获取相同品牌的防火墙的安全策略配置文件,读取安全策略配置文件中包含的安全策略并显示。
[0004] 但是,发明人在本申请的研究过程中发现,每个管理系统至少包括一个终端设备,以便终端设备显示防火墙的安全策略配置文件中包含的安全策略,而终端设备的成本较高,导致通过现有技术查看异构防火墙的安全策略时,需要较高的成本,并且,在查看安全策略时,需要依次查看多个终端设备,耗费时间和人力。

发明内容

[0005] 本申请提供一种管理异构防火墙的方法及系统,以解决现有技术中,在查看异构防火墙中各个防火墙的安全策略时,需要多个终端设备而导致成本较高,并且需要依次查看多个终端设备,耗费时间和人力的问题。
[0006] 本申请的第一方面,提供一种管理异构防火墙的方法,包括:
[0007] 采集端采集异构防火墙中各个防火墙的安全策略配置文件,并读取所述安全策略配置文件中包含的标识信息;
[0008] 所述采集端通过所述标识信息确定所述防火墙的品牌;
[0009] 所述采集端调用与所述防火墙的品牌对应的解析器;
[0010] 所述解析器对所述安全策略配置文件中包含的安全策略组合进行解析,得到解析结果;
[0011] 终端设备获取各个所述解析器的解析结果,并按照所述防火墙的品牌和/或IP地址分类显示所述解析结果。
[0012] 可选的,所述采集端通过所述标识信息确定所述防火墙的品牌,包括:
[0013] 所述采集端根据标识信息数据库中标识信息与品牌的关系,确定所述标识信息对应的品牌,将所述标识信息对应的品牌作为所述防火墙的品牌。
[0014] 可选的,所述解析器对所述安全策略配置文件中包含的安全策略组合进行解析,得到解析结果,包括:
[0015] 所述解析器获取所述安全策略配置文件中包含的安全策略组合;
[0016] 所述解析器对所述安全策略组合进行分组,其中,每个所述分组对应所述安全策略组合中的一条安全策略;
[0017] 所述解析器提取每个所述分组中包含的特征信息;
[0018] 所述解析器将所述特征信息转化为与预先设定的描述方式相同的安全策略,将所述与预先设定的描述方式相同的安全策略作为解析结果。
[0019] 可选的,在所述采集端采集异构防火墙中各个防火墙的安全策略配置文件之后,还包括:
[0020] 所述采集端选取异构防火墙中各个防火墙的当前安全策略配置文件,将其作为目标文件,并确定所述目标文件对应的目标前文件,其中,所述目标前文件与所述目标文件对应的防火墙相同,所述目标前文件为在所述目标文件之前采集,且采集时间距离所述目标文件的采集时间最近的一个安全策略配置文件;
[0021] 所述采集端比较所述目标文件与所述目标前文件;
[0022] 若所述目标文件与所述目标前文件不同,所述采集端将所述目标文件与所述目标前文件的第一区别信息传输至所述终端设备;
[0023] 所述终端设备根据所述第一区别信息,确定所述目标文件对应的第一目标防火墙,并在获取到所述解析器解析的所述目标文件的解析结果之后,将所述第一目标防火墙的解析结果确定为所述目标文件的解析结果。
[0024] 可选的,在所述解析器对所述安全策略配置文件中包含的安全策略组合进行解析,得到解析结果之后,还包括:
[0025] 所述解析器选取当前各个安全策略配置文件的解析结果,将其作为目标解析结果,并确定所述目标解析结果对应的目标前解析结果,其中,所述目标前解析结果与所述目标解析结果对应的防火墙相同,所述目标前解析结果为在所述目标解析结果之前完成解析,且完成解析时间距离所述目标解析结果的完成解析时间最近的一个解析结果;
[0026] 所述解析器比较所述目标解析结果与所述目标前解析结果;
[0027] 若所述目标解析结果与所述目标前解析结果不同,所述解析器将所述目标解析结果与所述目标前解析结果的第二区别信息传输至所述终端设备;
[0028] 所述终端设备根据所述第二区别信息,确定所述目标解析结果对应的第二目标防火墙,并将所述第二目标防火墙的解析结果确定为所述目标解析结果。
[0029] 可选的,在所述解析器提取每个所述分组中包含的特征信息之后,还包括:
[0030] 所述终端设备获取每个所述分组中包含的特征信息;
[0031] 所述终端设备将每个所述分组中包含的特征信息与所述安全策略组合中每条安全策略相匹配,以便于通过特征信息查询匹配的安全策略。
[0032] 本申请的第二方面,提供一种管理异构防火墙的系统,所述系统包括采集端、解析器和终端设备;
[0033] 其中,所述采集端包括:
[0034] 采集模块,用于采集异构防火墙中各个防火墙的安全策略配置文件,并读取所述安全策略配置文件中包含的标识信息;
[0035] 确定模块,用于通过所述标识信息确定所述防火墙的品牌;
[0036] 调用模块,用于调用与所述防火墙的品牌对应的解析器;
[0037] 所述解析器包括:
[0038] 解析模块,用于对所述安全策略配置文件中包含的安全策略组合进行解析,得到解析结果;
[0039] 所述终端设备包括:
[0040] 显示模块,用于获取各个所述解析器的解析结果,并按照所述防火墙的品牌和/或IP地址分类显示所述解析结果。
[0041] 可选的,所述确定模块包括:
[0042] 确定单元,用于根据标识信息数据库中标识信息与品牌的关系,确定所述标识信息对应的品牌,将所述标识信息对应的品牌作为所述防火墙的品牌。
[0043] 可选的,所述解析模块包括:
[0044] 第一获取单元,用于获取所述安全策略配置文件中包含的安全策略组合;
[0045] 分组单元,用于对所述安全策略组合进行分组,其中,每个所述分组对应所述安全策略组合中的一条安全策略;
[0046] 提取单元,用于提取每个所述分组中包含的特征信息;
[0047] 解析结果确定单元,用于将所述特征信息转化为与预先设定的描述方式相同的安全策略,将所述与预先设定的描述方式相同的安全策略作为解析结果。
[0048] 可选的,所述采集端还包括:第一确定模块、第一比较模块和第一传输模块;所述终端设备还包括:第二确定模块;
[0049] 所述第一确定模块,用于在所述采集模块采集异构防火墙中各个防火墙的安全策略配置文件之后,选取异构防火墙中各个防火墙的当前安全策略配置文件,将其作为目标文件,并确定所述目标文件对应的目标前文件,其中,所述目标前文件与所述目标文件对应的防火墙相同,所述目标前文件为在所述目标文件之前采集,且采集时间距离所述目标文件的采集时间最近的一个安全策略配置文件;
[0050] 第一比较模块,用于比较所述目标文件与所述目标前文件;
[0051] 第一传输模块,用于在所述第一比较模块确定所述目标文件与所述目标前文件不同之后,将所述目标文件与所述目标前文件的第一区别信息传输至所述终端设备;
[0052] 所述第二确定模块,用于根据所述第一区别信息,确定所述目标文件对应的第一目标防火墙,并在获取到所述解析器解析的所述目标文件的解析结果之后,将所述第一目标防火墙的解析结果确定为所述目标文件的解析结果。
[0053] 可选的,所述解析器还包括:第三确定模块、第二比较模块和第二传输模块;所述终端设备还包括:第四确定模块;
[0054] 所述第三确定模块,用于在所述解析模块对所述安全策略配置文件中包含的安全策略组合进行解析,得到解析结果之后,选取当前各个安全策略配置文件的解析结果,将其作为目标解析结果,并确定所述目标解析结果对应的目标前解析结果,其中,所述目标前解析结果与所述目标解析结果对应的防火墙相同,所述目标前解析结果为在所述目标解析结果之前完成解析,且完成解析时间距离所述目标解析结果的完成解析时间最近的一个解析结果;
[0055] 第二比较模块,用于比较所述目标解析结果与所述目标前解析结果;
[0056] 第二传输模块,用于在所述第二比较模块确定所述目标解析结果与所述目标前解析结果不同之后,将所述目标解析结果与所述目标前解析结果的第二区别信息传输至所述终端设备;
[0057] 所述第四确定模块,用于根据所述第二区别信息,确定所述目标解析结果对应的第二目标防火墙,并将所述第二目标防火墙的解析结果确定为所述目标解析结果。
[0058] 可选的,所述终端设备还包括:
[0059] 第二获取单元,用于在所述提取单元提取每个所述分组中包含的特征信息之后,获取每个所述分组中包含的特征信息;
[0060] 匹配单元,用于将每个所述分组中包含的特征信息与所述安全策略组合中每条安全策略相匹配,以便于通过特征信息查询匹配的安全策略。
[0061] 由以上技术方案可知,本申请提供一种管理异构防火墙的方法及系统,该方法中,通过采集端采集异构防火墙中各个防火墙的安全策略配置文件;所述采集端通过所述安全策略配置文件中包含的标识信息确定所述防火墙的品牌,然后调用与所述防火墙的品牌对应的解析器;所述解析器对所述安全策略配置文件中包含的安全策略组合进行解析,得到解析结果;终端设备获取各个所述解析器的解析结果,并按照所述防火墙的品牌和/或IP地址分类显示所述解析结果。
[0062] 本申请实施例提供的方法及系统中,采集端能够采集不同品牌的防火墙的安全策略配置文件,并调用与防火墙的品牌相同的解析器,再将解析结果传输至终端设备,使得各个防火墙的安全策略在所述终端设备中显示。也就是说,本申请能够在一个终端设备中集中显示异构防火墙中各个防火墙的安全策略,因此,本申请实施例提供的方法及系统解决了现有技术中,在查看异构防火墙中各个防火墙的安全策略时,需要多个终端设备而导致成本较高,并且需要依次查看多个终端设备,耗费时间和人力的问题。

附图说明

[0063] 为了更清楚地说明本申请的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0064] 图1为本申请实施例提供的一种管理异构防火墙的方法工作流程示意图;
[0065] 图2为本申请实施例提供的一种管理异构防火墙的应用场景示意图;
[0066] 图3为本申请实施例提供的又一种管理异构防火墙的应用场景示意图;
[0067] 图4为本申请实施例提供的一种管理异构防火墙的方法中,解析器对所述安全策略配置文件中包含的安全策略组合进行解析,得到解析结果的工作流程示意图;
[0068] 图5为本申请实施例提供的一种管理异构防火墙的方法中,确定解析结果的工作流程示意图;
[0069] 图6为本申请实施例提供的又一种管理异构防火墙的方法中,确定解析结果的工作流程示意图;
[0070] 图7为本申请实施例提供的又一种管理异构防火墙的方法工作流程示意图;
[0071] 图8为本申请实施例提供的一种管理异构防火墙的系统结构示意图。

具体实施方式

[0072] 为了解决现有技术中,在查看异构防火墙中各个防火墙的安全策略时,需要多个终端设备而导致成本较高,并且需要依次查看多个终端设备,耗费时间和人力的问题,本申请通过以下各个实施例提供一种管理异构防火墙的方法及系统。
[0073] 本申请实施例提供一种管理异构防火墙的方法,所述方法应用于异构防火墙管理系统,所述管理系统包括采集端、解析器和终端设备。管理系统中的采集端、解析器和终端设备之间能够进行信息传输。
[0074] 参见图1的工作流程示意图,本申请实施例提供的一种管理异构防火墙的方法,包括以下步骤:
[0075] 步骤101,采集端采集异构防火墙中各个防火墙的安全策略配置文件,并读取所述安全策略配置文件中包含的标识信息。
[0076] 本申请实施例提供的采集安全策略配置文件的方式包括两种,其中一种方式是将各个防火墙的安全策略配置文件导入到采集端;另一种方式是采集端通过网络与异构防火墙中各个防火墙相连接,直接采集各个防火墙的安全策略配置文件。
[0077] 步骤102,所述采集端通过所述标识信息确定所述防火墙的品牌。
[0078] 安全策略配置文件中通常以标识信息作为起始内容,然后描述版本、日期或者注意事项等信息,之后再描述安全策略组合。其中,标识信息可以为符号,也可以为特定的单词。由于不同品牌的防火墙的起始内容不同,即标识信息不同,所以能够根据防火墙的标识信息的差别,来确定防火墙的品牌。
[0079] 步骤103,所述采集端调用与所述防火墙的品牌对应的解析器。
[0080] 由于不同品牌的防火墙的安全策略配置文件在描述方式上存在差异,而同一品牌的防火墙的安全策略配置文件所用描述方式具有相同的特点,因此,能够根据各个品牌的防火墙的安全策略配置文件的描述方式,预先设定各个品牌的防火墙对应的解析器。采集端确定防火墙的品牌之后,即可调用与防火墙品牌对应的解析器。
[0081] 步骤104,所述解析器对所述安全策略配置文件中包含的安全策略组合进行解析,得到解析结果。
[0082] 各个品牌的防火墙对应的解析器根据预先设定的规则,对所述安全策略配置文件进行解析。本申请实施例提供的一种解析结果为,利用统一的描述方式将安全策略配置文件中包含的安全策略解析出来。例如,异构防火墙中包含A品牌的防火墙和B品牌的防火墙,解析器可以将两种防火墙的安全策略统一以A/B品牌的防火墙的描述方式进行描述,或者,统一以C品牌的防火墙的描述方式进行描述。
[0083] 步骤105,终端设备获取各个所述解析器的解析结果,并按照所述防火墙的品牌和/或IP地址分类显示所述解析结果。
[0084] 终端设备获取各个解析器的解析结果,每个解析器的所述解析结果携带有该解析结果对应的防火墙的品牌,终端设备再根据防火墙的品牌和/或IP地址分类显示所述解析结果。在此过程中,由于各个防火墙的安全策略组合中通常包含一条以上的安全策略,因此,终端设备为解析出来的各个防火墙的安全策略分配一个ID,各个防火墙的安全策略的数量与ID的数量相同主要起到标识各个安全策略的作用。
[0085] 本申请实施例通过步骤101至步骤105提供一种管理异构防火墙的方法,该方法中,采集端采集异构防火墙中各个防火墙的安全策略配置文件;所述采集端通过所述安全策略配置文件中包含的标识信息确定所述防火墙的品牌,然后调用与所述防火墙的品牌对应的解析器;所述解析器对所述安全策略配置文件中包含的安全策略组合进行解析,得到解析结果;终端设备获取各个所述解析器的解析结果,并按照所述防火墙的品牌和/或IP地址分类显示所述解析结果。
[0086] 本申请实施例提供的方法中,采集端能够采集不同品牌的防火墙的安全策略配置文件,并调用与防火墙的品牌相同的解析器,再将解析结果传输至终端设备,使得各个防火墙的安全策略在所述终端设备中显示。也就是说,本申请能够在一个终端设备中集中显示异构防火墙中各个防火墙的安全策略。而现有技术中,往往需要多个终端设备。现有技术相比,本申请实施例减少了终端设备的数量。另外,本申请实施例虽然增加了采集端和解析器,但采集端和解析器的成本相对于终端设备来说较少。因此,本申请实施例提供的方法解决了现有技术中,在查看异构防火墙中各个防火墙的安全策略时,需要多个终端设备而导致成本较高的问题。
[0087] 另外,现有技术中,往往需要依次查看多个终端设备才能获取异构防火墙中各个防火墙的安全策略,耗费大量时间和人力。而采用本申请实施例提供的方法,只需要查看一个终端设备即可获取异构防火墙中各个防火墙的安全策略,解决了现有技术中存在的耗费时间和人力的问题。
[0088] 例如,在某一应用场景中,异构防火墙中包含3个不同品牌的防火墙,3个不同品牌的防火墙与采集端相连接,采集端与解析器相连接,其中,解析器A与防火墙A的品牌相同,解析器B与防火墙B的品牌相同,解析器C与防火墙C的品牌相同。另外,解析器均与终端设备相连接。
[0089] 参见图2所示的示意图,若按照本申请实施例提供的方法管理异构防火墙,采集端采集各个防火墙的安全策略配置文件,确定各个防火墙的品牌之后,调用解析器A解析防火墙A的安全策略配置文件中包含的安全策略,调用解析器B解析防火墙B的安全策略配置文件中包含的安全策略,调用解析器C解析防火墙C的安全策略配置文件中包含的安全策略,最后,在终端设备中显示解析结果。
[0090] 根据上述描述可知,本申请实施例提供的管理异构防火墙的方法,能够在一个终端设备中集中显示异构防火墙中各个防火墙的安全策略,解决了现有技术中,多个终端设备的成本较高,并且依次查看多个终端设备而导致的耗费时间和人力的问题。
[0091] 在另一应用场景中,异构防火墙中包含3个防火墙,其中防火墙A1和防火墙A2的品牌相同,防火墙B的品牌与防火墙A1的品牌不同,采集端与解析器相连接,其中,解析器A的与防火墙A1的品牌相同,则解析器A的与防火墙A2的品牌也相同,解析器B的品牌与防火墙B的品牌相同。另外,解析器均与终端设备相连接。
[0092] 参见图3所示的示意图,若按照本申请实施例提供的方法管理异构防火墙,采集端采集各个防火墙的安全策略配置文件,确定各个防火墙的品牌之后,调用解析器A解析防火墙A1和防火墙A2的安全策略配置文件中包含的安全策略,调用解析器B解析防火墙B的安全策略配置文件中包含的安全策略,最后,在终端设备中显示解析结果。
[0093] 根据上述描述可知,调用的解析器的数量可小于或者等于防火墙的数量。若有两个或两个以上防火墙的品牌相同,则采集端调用的防火墙的数量小于防火墙的数量,在此情况下,终端设备在某一解析器中获取的防火墙的安全策略为多个防火墙的安全策略,此时,可以通过安全策略对应的防火墙的IP地址,将同一品牌不同IP地址的防火墙的安全策略加以区分,最终,仍然在同一终端设备显示各个解析器的解析结果,解决了现有技术中,多个终端设备的成本较高,并且依次查看多个终端设备而导致的耗费时间和人力的问题。
[0094] 在步骤102中,公开了通过所述标识信息确定所述防火墙的品牌的操作。本申请实施例提供的一种方式中,所述采集端通过所述标识信息确定所述防火墙的品牌,包括:
[0095] 所述采集端根据标识信息数据库中标识信息与品牌的关系,确定所述标识信息对应的品牌,将所述标识信息对应的品牌作为所述防火墙的品牌。
[0096] 根据不同品牌的防火墙对应的标识信息不同,建立标识信息数据库。在标识信息数据库中,将标识信息与防火墙的品牌一一对应,再将标识信息数据库导入至采集端。当采集端获取到安全策略配置文件的标识信息后,即可根据标识信息数据库,确定所述标识信息对应的品牌。
[0097] 参见图4所示的示意图,所述解析器对所述安全策略配置文件中包含的安全策略组合进行解析,得到解析结果,包括:
[0098] 步骤201,所述解析器获取所述安全策略配置文件中包含的安全策略组合。
[0099] 安全策略配置文件中包含标识信息和安全策略组合,同一品牌的防火墙的安全策略文件描述方式相同,其中,标识信息和安全策略组合的描述方式存在差异。因此,解析器根据安全策略组合的描述方式与标识信息的描述方式的差别,以及与其他信息的描述方式的差别,将安全策略组合选取出来。
[0100] 步骤202,所述解析器对所述安全策略组合进行分组,其中,每个所述分组对应所述安全策略组合中的一条安全策略。
[0101] 异构防火墙中各个防火墙分别对应一个安全策略配置文件,安全策略配置文件中包含一个安全策略组合,而安全策略组合中包含不同的安全策略,解析器根据安全策略的描述方式,将安全策略组合进行分组。例如,假设每条安全策略以某一固定单词为起始,并且每条安全策略除起始单词之外没有在其他位置出现,则将该固定单词作为标志,从一个固定单词开始,到下一个固定单词之前结束,在此之间作为一个分组,一个分组对应安全策略组合中的一条安全策略。
[0102] 步骤203,所述解析器提取每个所述分组中包含的特征信息。
[0103] 本步骤中,特征信息包括源域、目的域、源IP、目的IP和服务信息。其中,源IP是指安全策略能够匹配的数据包的来源IP地址,目的IP是指安全策略能够匹配的数据包的目的IP地址。如果某一数据包来源于外部网,在其经过防火墙访问内部网时,防火墙利用数据包中的源域、目的域、源IP和目的IP等信息,匹配防火墙的安全策略,若数据包匹配到防火墙中的一条安全策略,则防火墙根据安全策略中的服务信息执行数据包的转发或者丢弃动作。在此过程中,需要数据包与安全策略中的特征信息相匹配,来实现对跨防火墙的网络互访进行控制。
[0104] 由于同一品牌的防火墙的安全策略的描述方式相同,同一品牌的防火墙在安全策略描述方式上存在若干类型,在解析器中预先设定与描述方式类型相对应的提取规则,解析器根据各个分组的描述方式类型,选用相应地提取规则进行特征信息的提取。
[0105] 步骤204,所述解析器将所述特征信息转化为与预先设定的描述方式相同的安全策略,将所述与预先设定的描述方式相同的安全策略作为解析结果。
[0106] 本步骤中,需要预先设定一种与特定的描述方式对应的描述规则,该描述规则能够将特征信息转化为为与预先设定的描述方式相同的安全策略。异构防火墙中各个防火墙的安全策略的特征信息被提取出来之后,解析器利用特定的描述规则,将特征信息转化为与预先设定的描述方式相同的安全策略,使得各个防火墙的安全策略能够集中展示于终端设备。
[0107] 参见图5所示的示意图,本申请实施例提供的一种确定解析结果的方式中,在所述采集端采集异构防火墙中各个防火墙的安全策略配置文件之后,还包括:
[0108] 步骤301,所述采集端选取异构防火墙中各个防火墙的当前安全策略配置文件,将其作为目标文件,并确定所述目标文件对应的目标前文件,其中,所述目标前文件与所述目标文件对应的防火墙相同,所述目标前文件为在所述目标文件之前采集,且采集时间距离所述目标文件的采集时间最近的一个安全策略配置文件。
[0109] 步骤302,所述采集端比较所述目标文件与所述目标前文件是否相同。
[0110] 本步骤中,首先进行所述目标文件与所述目标前文件的文本比较,若所述目标文件与所述目标前文件相同,则采集端将目标文件保存起来并作备份文件,记录目标文件的采集时间和对应的防火墙信息。另外,采集端继续采集下一个安全策略配置文件作为目标文件。若所述目标文件与所述目标前文件不同,执行步骤303的操作。
[0111] 步骤303,若所述目标文件与所述目标前文件不同,所述采集端将所述目标文件与所述目标前文件的第一区别信息传输至所述终端设备。
[0112] 由于首先进行了文本比较,若所述目标文件与所述目标前文件不同,也就是文本存在差异,文本差异为目标文件与目标前文件的第一区别信息,采集端将第一区别信息传输至终端设备,告知终端设备某个防火墙的安全策略配置文件发生变化,便于终端设备做出相应地指示。
[0113] 步骤304,所述终端设备根据所述第一区别信息,确定所述目标文件对应的第一目标防火墙,并在获取到所述解析器解析的所述目标文件的解析结果之后,将所述第一目标防火墙的解析结果确定为所述目标文件的解析结果。
[0114] 采集端将所述第一区别信息传输至终端设备之后,采集端调用相应地解析器对目标文件进行解析,解析器将目标文件的解析结果传输至终端设备,终端设备将第一目标防火墙的解析结果替换成目标文件的解析结果。
[0115] 参见图6所示的示意图,本申请实施例提供的又一种确定解析结果的方式中,在所述解析器对所述安全策略配置文件中包含的安全策略组合进行解析,得到解析结果之后,还包括:
[0116] 步骤401,所述解析器选取当前各个安全策略配置文件的解析结果,将其作为目标解析结果,并确定所述目标解析结果对应的目标前解析结果,其中,所述目标前解析结果与所述目标解析结果对应的防火墙相同,所述目标前解析结果为在所述目标解析结果之前完成解析,且完成解析时间距离所述目标解析结果的完成解析时间最近的一个解析结果。
[0117] 步骤402,所述解析器比较所述目标解析结果与所述目标前解析结果。
[0118] 本步骤中,目标解析结果为异构防火墙中一个防火墙的安全策略配置文件的解析结果,该解析结果中包含多条与预先设定的描述方式相同的安全策略,解析器在比较目标解析结果与所述目标前解析结果时,选取目标解析结果中的一条安全策略,依次与目标前解析结果中的安全策略比较,比较完成后,再选取目标解析结果中的另一条安全策略,依次与目标前解析结果中的安全策略比较,以此循环比较。
[0119] 若目标解析结果与目标前解析结果相同,则解析器将目标解析结果保存起来并作备份结果,记录目标解析结果的完成解析时间和对应的防火墙信息。另外,解析器继续选取下一个安全策略配置文件的解析结果作为目标解析结果。若所述目标解析结果与所述目标前解析结果不同,执行步骤403的操作。
[0120] 步骤403,若所述目标解析结果与所述目标前解析结果不同,所述解析器将所述目标解析结果与所述目标前解析结果的第二区别信息传输至所述终端设备。
[0121] 所述目标解析结果与所述目标前解析结果不同存在多种情况,本申请实施例提供的一种情况为,目标解析结果中的一条安全策略与目标前解析结果中的一条安全策略不同,则解析器将目标解析结果中不同的安全策略作为第二区别信息,传输至终端设备,告知终端设备某个防火墙的安全策略配置文件发生变化,便于终端设备做出相应地指示。
[0122] 步骤404,所述终端设备根据所述第二区别信息,确定所述目标解析结果对应的第二目标防火墙,并将所述第二目标防火墙的解析结果确定为所述目标解析结果。
[0123] 解析器将所述第二区别信息传输至终端设备之后,终端设备将第一目标防火墙的解析结果替换成目标文件的解析结果。
[0124] 参见图7所示的示意图,本申请实施例提供的又一种管理异构防火墙的方法,包括:
[0125] 步骤501,采集端采集异构防火墙中各个防火墙的安全策略配置文件,并读取所述安全策略配置文件中包含的标识信息。
[0126] 步骤502,所述采集端通过所述标识信息确定所述防火墙的品牌。
[0127] 步骤503,所述采集端调用与所述防火墙的品牌对应的解析器。
[0128] 步骤504,所述解析器获取所述安全策略配置文件中包含的安全策略组合。
[0129] 步骤505,所述解析器对所述安全策略组合进行分组,其中,每个所述分组对应所述安全策略组合中的一条安全策略。
[0130] 步骤506,所述解析器提取每个所述分组中包含的特征信息。
[0131] 步骤507,所述终端设备获取每个所述分组中包含的特征信息。
[0132] 步骤508,所述终端设备将每个所述分组中包含的特征信息与所述安全策略组合中每条安全策略相匹配,以便于通过特征信息查询匹配的安全策略。
[0133] 本步骤中,安全策略组合中每条安全策略均分配有相应地ID,将ID、安全策略和特征信息关联起来,由于特征信息中包含多个特征,在关联过程中,不仅将特征信息中各个特征与安全策略相关联,还将特征信息作为一个整体与安全策略相关联。在终端设备上进行查询安全策略时,不仅可以根据防火墙的品牌和/或IP地址,还可以根据安全策略的ID、特征信息中任意一个特征来查询安全策略,也可以根据特征信息的组合查询安全策略,以此实现通过特征信息查询匹配的安全策略。
[0134] 其中,步骤501至步骤503的具体操作过程与步骤101至步骤103的具体操作过程相同,步骤504至步骤506的具体操作过程与步骤201至步骤203的具体操作过程相同,可相互参照,此处不再赘述。
[0135] 下述为本申请装置实施例,可以用于执行本申请方法实施例。对于本申请装置实施例中未披露的细节,请参照本申请方法实施例。
[0136] 参照图8所示的结构示意图,本申请实施例提供的一种管理异构防火墙的系统包括采集端、解析器和终端设备。
[0137] 其中,所述采集端包括:
[0138] 采集模块100,用于采集异构防火墙中各个防火墙的安全策略配置文件,并读取所述安全策略配置文件中包含的标识信息。
[0139] 确定模块200,用于通过所述标识信息确定所述防火墙的品牌。
[0140] 调用模块300,用于调用与所述防火墙的品牌对应的解析器。
[0141] 所述解析器包括:
[0142] 解析模块400,用于对所述安全策略配置文件中包含的安全策略组合进行解析,得到解析结果。
[0143] 所述终端设备包括:
[0144] 显示模块500,用于获取各个所述解析器的解析结果,并按照所述防火墙的品牌和/或IP地址分类显示所述解析结果。
[0145] 可选的,所述确定模块包括:
[0146] 确定单元,用于根据标识信息数据库中标识信息与品牌的关系,确定所述标识信息对应的品牌,将所述标识信息对应的品牌作为所述防火墙的品牌。
[0147] 可选的,所述解析模块包括:
[0148] 第一获取单元,用于获取所述安全策略配置文件中包含的安全策略组合。
[0149] 分组单元,用于对所述安全策略组合进行分组,其中,每个所述分组对应所述安全策略组合中的一条安全策略。
[0150] 提取单元,用于提取每个所述分组中包含的特征信息。
[0151] 解析结果确定单元,用于将所述特征信息转化为与预先设定的描述方式相同的安全策略,将所述与预先设定的描述方式相同的安全策略作为解析结果。
[0152] 可选的,所述采集端还包括:第一确定模块、第一比较模块和第一传输模块;所述终端设备还包括:第二确定模块。
[0153] 所述第一确定模块,用于在所述采集模块采集异构防火墙中各个防火墙的安全策略配置文件之后,选取异构防火墙中各个防火墙的当前安全策略配置文件,将其作为目标文件,并确定所述目标文件对应的目标前文件,其中,所述目标前文件与所述目标文件对应的防火墙相同,所述目标前文件为在所述目标文件之前采集,且采集时间距离所述目标文件的采集时间最近的一个安全策略配置文件。
[0154] 第一比较模块,用于比较所述目标文件与所述目标前文件。
[0155] 第一传输模块,用于在所述第一比较模块确定所述目标文件与所述目标前文件不同之后,将所述目标文件与所述目标前文件的第一区别信息传输至所述终端设备。
[0156] 所述第二确定模块,用于根据所述第一区别信息,确定所述目标文件对应的第一目标防火墙,并在获取到所述解析器解析的所述目标文件的解析结果之后,将所述第一目标防火墙的解析结果确定为所述目标文件的解析结果。
[0157] 可选的,所述解析器还包括:第三确定模块、第二比较模块和第二传输模块;所述终端设备还包括:第四确定模块。
[0158] 所述第三确定模块,用于在所述解析模块对所述安全策略配置文件中包含的安全策略组合进行解析,得到解析结果之后,选取当前各个安全策略配置文件的解析结果,将其作为目标解析结果,并确定所述目标解析结果对应的目标前解析结果,其中,所述目标前解析结果与所述目标解析结果对应的防火墙相同,所述目标前解析结果为在所述目标解析结果之前完成解析,且完成解析时间距离所述目标解析结果的完成解析时间最近的一个解析结果。
[0159] 第二比较模块,用于比较所述目标解析结果与所述目标前解析结果。
[0160] 第二传输模块,用于在所述第二比较模块确定所述目标解析结果与所述目标前解析结果不同之后,将所述目标解析结果与所述目标前解析结果的第二区别信息传输至所述终端设备。
[0161] 所述第四确定模块,用于根据所述第二区别信息,确定所述目标解析结果对应的第二目标防火墙,并将所述第二目标防火墙的解析结果确定为所述目标解析结果。
[0162] 可选的,所述终端设备还包括:
[0163] 第二获取单元,用于在所述提取单元提取每个所述分组中包含的特征信息之后,获取每个所述分组中包含的特征信息。
[0164] 匹配单元,用于将每个所述分组中包含的特征信息与所述安全策略组合中每条安全策略相匹配,以便于通过特征信息查询匹配的安全策略。
[0165] 具体实现中,本申请还提供一种计算机存储介质,其中,该计算机存储介质可存储有程序,该程序执行时可包括本申请提供的一种管理异构防火墙的方法的各实施例中的部分或全部步骤。所述的存储介质可为磁碟、光盘、只读存储记忆体(英文:read-only memory,简称:ROM)或随机存储记忆体(英文:random access memory,简称:RAM)等。
[0166] 本领域的技术人员可以清楚地了解到本申请实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本申请实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例或者实施例的某些部分所述的方法。
[0167] 本说明书中各个实施例之间相同相似的部分互相参见即可。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例中的说明即可。
[0168] 以上结合具体实施方式和范例性实例对本申请进行了详细说明,不过这些说明并不能理解为对本申请的限制。本领域技术人员理解,在不偏离本申请精神和范围的情况下,可以对本申请技术方案及其实施方式进行多种等价替换、修饰或改进,这些均落入本申请的范围内。本申请的保护范围以所附权利要求为准。