CN109768962A - 防火墙策略生成方法、装置、计算机设备及存储介质 - Google Patents
防火墙策略生成方法、装置、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN109768962A CN109768962A CN201811526473.XA CN201811526473A CN109768962A CN 109768962 A CN109768962 A CN 109768962A CN 201811526473 A CN201811526473 A CN 201811526473A CN 109768962 A CN109768962 A CN 109768962A
- Authority
- CN
- China
- Prior art keywords
- system architecture
- modules
- module
- initial
- call relation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种防火墙策略生成方法、装置、计算机设备及存储介质,减少***架构人为评审的过程,提高评审效率,从而最后提高了***架构的防火墙部署策略的生成效率。方法部分包括:接收防火墙策略生成请求,防火墙策略生成请求包含***架构的调用关系信息;根据***架构的调用关系信息确定***架构各个模块之间的逻辑调用关系;获取初始***架构逻辑规范文件;根据初始***架构逻辑规范文件以及***架构各个模块之间的逻辑调用关系对***架构进行合理性检测;若***架构通过合理性检测,则根据各个模块之间的逻辑调用关系确定***架构各个模块的调用链路;根据调用链路生成各个模块对应的防火墙策略。
Description
技术领域
本申请涉及安全防护领域,尤其涉及一种防火墙策略生成方法、装置、计算机设备及存储介质。
背景技术
***架构图属于***设计阶段,***架构图只是这个阶段一个产物,要正确的、合理的画***架构图需要全面的理解用户需求以及业务流程,当理解了这些东西后,一般而言,可以参照统一软件开发过程(rational unified process,RUP)的用例驱动来进行逻辑架构,开发架构等设计工作,***架构图可以反应在各个视图里面,所说的***架构图是属于逻辑架构里面,比如分多少层,每层分多少模块等。
传统的方案中,在架构师设计出***架构图后,在通过视频会议或现场会议或通过终端下发评审任务的方式对***架构进行评审,在评审通过后,会依据***架构图的***架构部署***架构中各个模块的防火墙策略,然而,在上述方式评审过程中需要多次交流且人为参与,评审时长不能有效地得到控制,且防火墙策略生成效率较低。
发明内容
本申请提供了一种防火墙策略生成方法、装置、计算机设备及存储介质,减少***架构人为评审的过程,提高评审效率,使得评审时长得到有效地控制,提高防火墙策略生成效率。
一种防火墙策略生成方法,包括:
接收防火墙策略生成请求,所述防火墙策略生成请求包含***架构的调用关系信息;
根据所述***架构的调用关系信息确定所述***架构各个模块之间的逻辑调用关系;
获取初始***架构逻辑规范文件;
根据所述初始***架构逻辑规范文件以及所述***架构各个模块之间的逻辑调用关系对所述***架构进行合理性检测;
若所述***架构通过所述合理性检测,则根据所述各个模块之间的逻辑调用关系确定所述***架构各个模块的调用链路;
根据所述调用链路生成所述各个模块对应的防火墙策略。
一种防火墙策略生成装置,包括:
接收模块,用于接收防火墙策略生成请求,所述防火墙策略生成请求包含***架构的调用关系信息;
第一确定模块,用于根据所述接收模块接收的所述***架构的调用关系信息确定所述***架构各个模块之间的逻辑调用关系;
获取模块,用于获取初始***架构逻辑规范文件;
检测模块,用于根据所述获取模块获取的所述初始***架构逻辑规范文件以及所述第一确定模块确定的所述***架构各个模块之间的逻辑调用关系对所述***架构进行合理性检测;
第二确定模块,用于若所述***架构通过所述检测模块的所述合理性检测,则根据所述各个模块之间的逻辑调用关系确定所述***架构各个模块的调用链路;
生成模块,用于根据所述第二确定模块确定的所述调用链路生成所述各个模块对应的防火墙策略。
一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述防火墙策略生成方法的步骤。一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述防火墙策略生成方法的步骤。
上述防火墙策略生成方法、装置、计算机设备及存储介质所实现的方案中,与传统的方案相比,本申请提供的防火墙策略生成方法中,一个方面是***架构的合理性检测减少人为评审的过程,提高评审效率,使得评审时长得到有效地控制;另一方面是根据经过合理性检测的***架构自动生成调用链路,并依据该调用链路生成防火墙策略,最终提高了***架构的防火墙策略的生成效率。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例的描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本申请中一种防火墙策略生成方法的一个***框架示意图;
图2是本申请中一种防火墙策略生成方法的一个实施例流程示意图;
图3是本申请中一种防火墙策略生成方法的另一实施例流程示意图;
图4是本申请中一种防火墙策略生成方法的另一实施例流程示意图;
图5是本申请中一种防火墙策略生成方法的另一实施例流程示意图;
图6是本申请中一种防火墙策略生成方法的另一实施例流程示意图;
图7是本申请中一种防火墙策略生成方法的另一实施例流程示意图;
图8是本申请中一种防火墙策略生成装置的一个实施例结构示意图;
图9是本申请中计算机设备的一个实施例结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请提供了防火墙策略生成方法,可应用在如图1的***框架图中,其中,防火墙策略生成装置接收防火墙策略生成请求,所述防火墙策略生成请求包含***架构的调用关系信息;根据所述***架构的调用关系信息确定所述***架构各个模块之间的逻辑调用关系;获取初始***架构逻辑规范文件;根据所述初始***架构逻辑规范文件以及所述***架构各个模块之间的逻辑调用关系对所述***架构进行合理性检测;若所述***架构通过所述合理性检测,则根据所述各个模块之间的逻辑调用关系确定所述***架构各个模块的调用链路;根据所述调用链路生成所述各个模块对应的防火墙策略。与传统的方案相比,本申请提供的防火墙策略生成方法中,一个方面是***架构的合理性检测减少人为评审的过程,提高评审效率,使得评审时长得到有效地控制,另一方面是根据经过合理性检测的***架构自动生成调用链路,并依据该调用链路生成防火墙策略,最终提高***架构中防火墙策略的生成效率。下面对本申请中的防火墙策略生成方法进行一个详细的描述:
在一实施例中,如图2所示,提供一种防火墙策略生成方法,包括如下步骤:
S10:接收防火墙策略生成请求,防火墙策略生成请求包含***架构的调用关系信息;
在本申请中,可以接收针对架构师设计的***架构生成对应的防火墙策略生成请求,该防火墙策略生成请求包含***架构调用关系信息,该***架构的调用关系信息指示了架构师设计的***架构的各个模块的调用关系。
示例性的,举个简单的例子,***架构可如图3所示。假设***架构师设计的***架构可以包括多个模块,例如包括隔离区(demilitarized zone,DMZ),隔离区包括网站服务器、域名服务器、邮件服务器,还包括路由器、网关、虚拟局域网1、虚拟局域网2、虚拟局域网3,虚拟局域网1和虚拟局域网2中分别包含有个人计算机,虚拟局域网3中包含有文件服务器等,内网中还可以设置SF区(私服服务器)(图3中未示出)、PTR(Pointer Record)区(图3中未示出)。需要说明的是,图3在这里只是举例说明,并不对本申请构成限定。
S20:根据***架构的调用关系信息确定***架构各个模块之间的逻辑调用关系;
如前述,***架构的调用关系信息用于指示架构师所设计的***架构各个模块之间的逻辑调用关系,因此在获取到***架构的调用关系信息后,可根据***架构的调用关系信息确定***架构各个模块之间的逻辑调用关系。又示例性的,如图3所示,可确定出各个***架构中,也即DMZ区、SF区、PTR区等模块的调用关系。
S30:获取初始***架构逻辑规范文件;
初始***架构逻辑规范文件是指预设的规范文件,该初始***架构逻辑规范文件详细规定了设计的***架构中需要遵守的一些规则,举例说明,***架构设计分为DMZ区,PTR区和内网SF区,初始***架构逻辑规范文件中规定了不允许外部***直接调用内网SF区的应用,而是通过统一网关作为对接的出入口,DMZ区与PTR区不能相互调用等等还有很多规则,这里不一一描述。
S40:根据初始***架构逻辑规范文件以及***架构各个模块之间的逻辑调用关系对***架构进行合理性检测;
在根据***架构的调用关系信息确定***架构各个模块之间的逻辑调用关系,以及获取初始***架构逻辑规范文件之后,根据初始***架构逻辑规范文件以及***架构各个模块之间的逻辑调用关系对***架构进行合理性检测。也就是说,判断***架构是否符合上述初始***架构逻辑规范文件里的具体规则。
S50:若***架构通过合理性检测,则根据各个模块之间的逻辑调用关系确定***架构各个模块的调用链路;
若***架构通过合理性检测,则说明架构师设计的***架构是合理的,也就是说***架构符合初始***架构逻辑规范文件里的规则,此时根据各个模块之间的逻辑调用关系确定***架构各个模块的调用链路。
S60:根据调用链路生成各个模块对应的防火墙策略。
在根据各个模块之间的逻辑调用关系确定***架构各个模块的调用链路,则可以根据调用链路生成各个模块对应的防火墙策略。举例说明,***架构中各个模块之间的调用链路可以是包括但不局限于如下所示:
1)外部***调用DMZ区;
2)DMZ区调用内网SF区;
3)PTR区调用内网SF区;
4)内网SF区调用DMZ区。
基于上述调用链路的调用关系,生成对应的各个模块的防火墙策略。例如对于DMZ区,此时该DMZ区的防火墙策略中允许外部***进行调用。需要说明的是,上述示例在这里只是便于理解方案所举的例子,但并不对本申请构成任何限定。
在一些实施方案中,初始***架构逻辑规范文件包含初始模块调用规范细则;
如图4所示,步骤S40中,也即根据初始***架构逻辑规范文件以及***架构各个模块之间的逻辑调用关系对***架构进行合理性检测,具体包括如下步骤:
S41:从初始***架构逻辑规范文件中获取初始模块调用规范细则;
如前述,初始***架构逻辑规范文件是指预设的规范文件,该初始***架构逻辑规范文件详细规定了设计的***架构中需要遵守的一些初始模块调用规范细则,举例说明,***架构设计分为DMZ区,PTR区,内网SF区,初始模块调用规范细则包括但不局限于:不允许外部***直接调用内网SF区中的应用,需要通过统一网关服务作为对接的出入口,DMZ区与PTR区之间不能相互调用,等等还有很多初始模块调用规范细则。在本申请中,可以从初始***架构逻辑规范文件中获取初始模块调用规范细则。需要说明的是,在实际应用中,可以根据需求预先配置好上述初始模块调用规范细则,这里不做限定。
S42:根据***架构各个模块之间的逻辑调用关系和初始模块调用规范细则对***架构进行合理性检测。
在从初始***架构逻辑规范文件中获取初始模块调用规范细则后,根据***架构各个模块之间的逻辑调用关系和初始模块调用规范细则对***架构进行合理性检测。
在一些实施方案中,如图5所示,步骤S42中,也即根据***架构各个模块之间的逻辑调用关系和初始模块调用规范细则对***架构进行合理性检测,具体包括如下步骤:
S421:将初始模块调用规范细则配置入配置管理数据库以生成***架构评审项;
应理解,配置管理数据库(configuration management database,CMDB)用于存储和管理企业架构中各种设备的配置信息,其中包括主机、项目、用户、机房、网络等。被认为是基础架构库(information technology infrastructure library,ITIL)服务管理的核心,所有流程所需要使用的配置信息都将通过CMDB来进行获取,例如监控、自动化、流程等。可见,配置管理数据库在自动化应用也有作为,其中,在本申请中,在从初始***架构逻辑规范文件中获取初始模块调用规范细则后,将初始模块调用规范细则配置入配置管理数据库以生成***架构评审项,换句话说,通过配置管理数据对初始模块调用规范细则进行管理和维护。
S422:通过配置管理数据库确定各个模块之间的逻辑调用关系是否匹配配置管理数据库中的***架构评审项规定;
在将初始模块调用规范细则配置入配置管理数据库以生成***架构评审项后,通过配置管理数据库的功能,可自动确定各个模块之间的逻辑调用关系是否匹配配置管理数据库中的***架构评审项规定。
S423:若通过配置管理数据库确定各个模块之间的逻辑调用关系匹配配置管理数据库中的***架构评审项规定,则确定***架构通过合理性检测。
由此可见,这里是利用了配置管理数据库管理初始***架构逻辑规范文件中的初始模块调用规范细则,将初始模块调用规范细则配置入配置管理数据库以生成***架构评审项,这样,可以通过配置管理数据库实现自动匹配通过配置管理数据库确定各个模块之间的逻辑调用关系是否匹配配置管理数据库中的***架构评审项规定的功能,***架构的合理性检测由配置管理数据库实现,减少人为评审的过程,提高评审效率,有效地控制了评审时长。
在一些实施方案中,如图6所示,步骤S421之后,也即将模块调用规范细则配置入配置管理数据库以生成***架构评审项之后,方法还包括:
S424:接收***架构规范更新请求,***架构规范更新请求包含更新***架构逻辑规范文件;
S425:从更新***架构逻辑规范文件获取更新模块调用规范细则;
S426:将更新模块调用规范细则配置入配置管理数据库以对***架构评审项进行更新。
由步骤S424-S426可得,在通过配置管理数据库对初始模块调用规范细则进行管理后,管理人员可通过配置管理数据库中的细节进行更新,具体的,可接收更新***架构逻辑规范文件的***架构规范更新请求,该更新***架构逻辑规范文件与上述初始***架构逻辑规范文件不同的地方在于,该更新***架构逻辑规范文件中与初始***架构逻辑规范文件中的初始模块调用规范细则存在有不同的细则,在本申请中称为更新模块调用规范细则,在获取更新模块调用规范细则之后,将更新模块调用规范细则配置入配置管理数据库以对***架构评审项进行更新。
在一些实施方案中,在步骤S40之后,也即,根据初始***架构逻辑规范文件以及***架构各个模块之间的逻辑调用关系对***架构进行合理性检测,若通过配置管理数据库确定各个模块的调用关系未匹配配置管理数据库中的***架构评审项规定,则退回防火墙策略生成请求。可以理解,若通过配置管理数据库确定各个模块的逻辑调用关系未匹配配置管理数据库中的***架构评审项的规定,则自然说明了***架构各个模块的逻辑调用关系不符合***架构评审项规定,也即未通过合理性检测,此时用户的退回防火墙策略生成请求,并告知用户***架构不合理。
在一些实施方案中,步骤S60中,也即根据调用链路生成各个模块对应的防火墙策略之后,还包括如下步骤:
S70:确定出***架构中各个模块对应的防火墙策略;
S80:将各个模块对应的防火墙策略对应部署至各个模块中。
可以理解,当***架构通过合理性检测后,可以通过***架构中各个模块之间的逻辑调用关系确定***架构各个模块的调用链路,所谓的调用链路,也即说明了***架构中哪些模块可以相互调用,哪些模块不可以相互调用。因此,可根据上述调用链路生成了各个模块对应的防火墙策略,并且,将该防火墙策略部署至对应的各个模块中,以实现***架构中各个模块的调用策略。
与传统的方案相比,本申请提供的防火墙策略生成方法中,一个方面是***架构的合理性检测减少人为评审的过程,提高评审效率,另一方面是根据经过合理性检测的***架构自动生成调用链路,并依据该调用链路生成防火墙策略,最终提高***架构中防火墙策略的生成效率。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
在一实施例中,提供一种防火墙策略生成装置,该防火墙策略生成装置与上述实施例中防火墙策略生成方法一一对应。如图8所示,该防火墙策略生成装置80包括接收模块801、第一确定模块802、获取模块803、检测模块804、第二确定模块805和生成模块806。各功能模块详细说明如下:
接收模块801,用于接收防火墙策略生成请求,所述防火墙策略生成请求包含***架构的调用关系信息;
第一确定模块802,用于根据所述接收模块801接收的所述***架构的调用关系信息确定所述***架构各个模块之间的逻辑调用关系;
获取模块803,用于获取初始***架构逻辑规范文件;
检测模块804,用于根据所述获取模块获取803的所述初始***架构逻辑规范文件以及所述第一确定模块802确定的所述***架构各个模块之间的逻辑调用关系对所述***架构进行合理性检测;
第二确定模块805,用于若所述***架构通过所述检测模块804的所述合理性检测,则根据所述各个模块之间的逻辑调用关系确定所述***架构各个模块的调用链路;
生成模块806,用于根据所述第二确定模块805确定的所述调用链路生成所述各个模块对应的防火墙策略。
在一些实施方式中,所述初始***架构逻辑规范文件包含初始模块调用规范细则,所述检测模块具体用于:
从所述初始***架构逻辑规范文件中获取所述初始模块调用规范细则;
根据所述***架构各个模块之间的逻辑调用关系和所述初始模块调用规范细则对所述***架构进行所述合理性检测。
在一实施实施方式中,所述检测模块用于根据所述***架构各个模块之间的逻辑调用关系和所述初始模块调用规范细则对所述***架构进行所述合理性检测,包括:
所述检测模块用于:
将所述初始模块调用规范细则配置入配置管理数据库以生成***架构评审项;
通过所述配置管理数据库确定所述各个模块之间的逻辑调用关系是否匹配所述配置管理数据库中的***架构评审项规定;
若通过所述配置管理数据库确定所述各个模块之间的逻辑调用关系匹配所述配置管理数据库中的***架构评审项规定,则确定所述***架构通过所述合理性检测。
在一些实施方式中,所述防火墙策略生成装置还包括更新模块;
所述接收模块还用于:所述将所述初始模块调用规范细则配置入配置管理数据库以生成***架构评审项之后,接收***架构规范更新请求,所述***架构规范更新请求包含更新***架构逻辑规范文件;
所述获取模块还用于:从所述更新***架构逻辑规范文件获取更新模块调用规范细则;
所述更新模块,用于将所述更新模块调用规范细则配置入所述配置管理数据库以对所述***架构评审项进行更新。
在一些实施方式中,所述防火墙策略生成装置还包括退回模块;
所述退回模块用于:若通过所述配置管理数据库确定所述各个模块之间的逻辑调用关系未匹配所述配置管理数据库中的***架构评审项规定,则退回所述防火墙策略生成请求。
在一些实施方式中,所述防火墙策略生成装置还包括第三确定模块和部署模块;
所述第三确定模块,用于所述根据所述调用链路生成所述各个模块对应的防火墙策略之后,确定出所述***架构中各个模块对应的防火墙策略;
部署模块,用于将所述各个模块对应的防火墙策略对应部署至所述***架构的各个模块中。
关于防火墙策略生成装置的具体限定可以参见上文中对于防火墙策略生成方法的限定,在此不再赘述。上述防火墙策略生成装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图9所示。该计算机设备包括通过***总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作***、计算机程序和数据库。该内存储器为非易失性存储介质中的操作***和计算机程序的运行提供环境。该计算机设备的数据库用于存储获取的初始***架构逻辑规范文件等。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种防火墙策略生成方法。
在一个实施例中,提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现以下步骤:
接收防火墙策略生成请求,所述防火墙策略生成请求包含***架构的调用关系信息;
根据所述***架构的调用关系信息确定所述***架构各个模块之间的逻辑调用关系;
获取初始***架构逻辑规范文件;
根据所述初始***架构逻辑规范文件以及所述***架构各个模块之间的逻辑调用关系对所述***架构进行合理性检测;
若所述***架构通过所述合理性检测,则根据所述各个模块之间的逻辑调用关系确定所述***架构各个模块的调用链路;
根据所述调用链路生成所述各个模块对应的防火墙策略。
需要说明的是,本申请所提供的计算机设备中,计算机设备的处理器执行存储器的计算机程序时所实现的其他步骤,可对应参阅前述防火墙策略生成方法实施例中的描述,这里不再赘述。由此可得,与传统的方案相比,本申请提供的计算机设备所实现的方案中,一个方面是***架构的合理性检测减少人为评审的过程,提高评审效率,另一方面是根据经过合理性检测的***架构自动生成调用链路,并依据该调用链路生成防火墙策略,最终提高***架构中防火墙策略的生成效率。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
接收防火墙策略生成请求,所述防火墙策略生成请求包含***架构的调用关系信息;
根据所述***架构的调用关系信息确定所述***架构各个模块之间的逻辑调用关系;
获取初始***架构逻辑规范文件;
根据所述初始***架构逻辑规范文件以及所述***架构各个模块之间的逻辑调用关系对所述***架构进行合理性检测;
若所述***架构通过所述合理性检测,则根据所述各个模块之间的逻辑调用关系确定所述***架构各个模块的调用链路;
根据所述调用链路生成所述各个模块对应的防火墙策略。
需要说明的是,本申请所提供的计算机可读存储介质中,其上存储的计算机程序被处理器执行时实现的其他步骤,可对应参阅前述防火墙策略生成方法实施例中的描述,这里不再赘述。由此可得,与传统的方案相比,本申请提供的计算机可读存储介质所实现的方案中,一个方面是***架构的合理性检测减少人为评审的过程,提高评审效率,另一方面是根据经过合理性检测的***架构自动生成调用链路,并依据该调用链路生成防火墙策略,最终提高***架构中防火墙策略的生成效率。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将所述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。
以上所述实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围,均应包含在本申请的保护范围之内。
Claims (10)
1.一种防火墙策略生成方法,其特征在于,包括:
接收防火墙策略生成请求,所述防火墙策略生成请求包含***架构的调用关系信息;
根据所述***架构的调用关系信息确定所述***架构各个模块之间的逻辑调用关系;
获取初始***架构逻辑规范文件;
根据所述初始***架构逻辑规范文件以及所述***架构各个模块之间的逻辑调用关系对所述***架构进行合理性检测;
若所述***架构通过所述合理性检测,则根据所述各个模块之间的逻辑调用关系确定所述***架构各个模块的调用链路;
根据所述调用链路生成所述各个模块对应的防火墙策略。
2.如权利要求1所述的防火墙策略生成方法,其特征在于,所述初始***架构逻辑规范文件包含初始模块调用规范细则;
所述根据所述初始***架构逻辑规范文件以及***架构各个模块之间的逻辑调用关系对所述***架构进行合理性检测,包括:
从所述初始***架构逻辑规范文件中获取所述初始模块调用规范细则;
根据所述***架构各个模块之间的逻辑调用关系和所述初始模块调用规范细则对所述***架构进行所述合理性检测。
3.如权利要求2所述的防火墙策略生成方法,其特征在于,所述根据所述***架构各个模块之间的逻辑调用关系和所述初始模块调用规范细则对所述***架构进行所述合理性检测,包括:
将所述初始模块调用规范细则配置入配置管理数据库以生成***架构评审项;
通过所述配置管理数据库确定所述各个模块之间的逻辑调用关系是否匹配所述配置管理数据库中的***架构评审项规定;
若通过所述配置管理数据库确定所述各个模块之间的逻辑调用关系匹配所述配置管理数据库中的***架构评审项规定,则确定所述***架构通过所述合理性检测。
4.如权利要求3所述的防火墙策略生成方法,其特征在于,所述将所述初始模块调用规范细则配置入配置管理数据库以生成***架构评审项之后,所述方法还包括:
接收***架构规范更新请求,所述***架构规范更新请求包含更新***架构逻辑规范文件;
从所述更新***架构逻辑规范文件获取更新模块调用规范细则;
将所述更新模块调用规范细则配置入所述配置管理数据库以对所述***架构评审项进行更新。
5.如权利要求4所述的防火墙策略生成方法,其特征在于,若通过所述配置管理数据库确定所述各个模块之间的逻辑调用关系未匹配所述配置管理数据库中的***架构评审项规定,则退回所述防火墙策略生成请求。
6.如权利要求5所述的防火墙策略生成方法,其特征在于,所述根据所述调用链路生成所述各个模块对应的防火墙策略之后,所述方法还包括:
确定出所述***架构中各个模块对应的防火墙策略;
将所述各个模块对应的防火墙策略对应部署至所述***架构的各个模块中。
7.一种防火墙策略生成装置,其特征在于,包括:
接收模块,用于接收防火墙策略生成请求,所述防火墙策略生成请求包含***架构的调用关系信息;
第一确定模块,用于根据所述接收模块接收的所述***架构的调用关系信息确定所述***架构各个模块之间的逻辑调用关系;
获取模块,用于获取初始***架构逻辑规范文件;
检测模块,用于根据所述获取模块获取的所述初始***架构逻辑规范文件以及所述第一确定模块确定的所述***架构各个模块之间的逻辑调用关系对所述***架构进行合理性检测;
第二确定模块,用于若所述***架构通过所述检测模块的所述合理性检测,则根据所述各个模块之间的逻辑调用关系确定所述***架构各个模块的调用链路;
生成模块,用于根据所述第二确定模块确定的所述调用链路生成所述各个模块对应的防火墙策略。
8.如权利要求7所述的防火墙策略生成装置,其特征在于,所述初始***架构逻辑规范文件包含初始模块调用规范细则,所述检测模块具体用于:
从所述初始***架构逻辑规范文件中获取所述初始模块调用规范细则;
根据所述***架构各个模块之间的逻辑调用关系和所述初始模块调用规范细则对所述***架构进行所述合理性检测。
9.一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至6任一项所述防火墙策略生成方法的步骤。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述防火墙策略生成方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811526473.XA CN109768962B (zh) | 2018-12-13 | 2018-12-13 | 防火墙策略生成方法、装置、计算机设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811526473.XA CN109768962B (zh) | 2018-12-13 | 2018-12-13 | 防火墙策略生成方法、装置、计算机设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109768962A true CN109768962A (zh) | 2019-05-17 |
| CN109768962B CN109768962B (zh) | 2022-04-12 |
Family
ID=66451846
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811526473.XA Active CN109768962B (zh) | 2018-12-13 | 2018-12-13 | 防火墙策略生成方法、装置、计算机设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109768962B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110995768A (zh) * | 2019-12-31 | 2020-04-10 | 奇安信科技集团股份有限公司 | 构建及生成防火墙方法、装置、设备、介质及程序产品 |
| CN112995169A (zh) * | 2021-02-22 | 2021-06-18 | 中国工商银行股份有限公司 | 防火墙部署方法和装置 |
| CN115766278A (zh) * | 2022-12-06 | 2023-03-07 | 深圳市天源景云科技有限公司 | 防火墙策略生成方法、装置、设备及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030041267A1 (en) * | 2000-06-21 | 2003-02-27 | Microsoft Corporation | Partial grant set evaluation from partial evidence in an evidence-based security policy manager |
| US20060090193A1 (en) * | 2004-10-25 | 2006-04-27 | Matsushita Electric Industrial Co., Ltd. | Security architecture and mechanism to access and use security components in operating system |
| CN101329781A (zh) * | 2007-06-12 | 2008-12-24 | 霍尼韦尔国际公司 | 具有规则引擎架构的访问控制*** |
| CN104135461A (zh) * | 2013-05-02 | 2014-11-05 | ***通信集团河北有限公司 | 一种防火墙策略处理的方法及装置 |
| CN106295355A (zh) * | 2016-08-11 | 2017-01-04 | 南京航空航天大学 | 一种面向Linux服务器的主动安全保障方法 |
| CN108092979A (zh) * | 2017-12-20 | 2018-05-29 | 国家电网公司 | 一种防火墙策略处理方法及装置 |
| CN108183927A (zh) * | 2017-11-22 | 2018-06-19 | 链家网(北京)科技有限公司 | 一种分布式***中链路调用的监控方法及*** |
-
2018
- 2018-12-13 CN CN201811526473.XA patent/CN109768962B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030041267A1 (en) * | 2000-06-21 | 2003-02-27 | Microsoft Corporation | Partial grant set evaluation from partial evidence in an evidence-based security policy manager |
| US20060090193A1 (en) * | 2004-10-25 | 2006-04-27 | Matsushita Electric Industrial Co., Ltd. | Security architecture and mechanism to access and use security components in operating system |
| CN101329781A (zh) * | 2007-06-12 | 2008-12-24 | 霍尼韦尔国际公司 | 具有规则引擎架构的访问控制*** |
| CN104135461A (zh) * | 2013-05-02 | 2014-11-05 | ***通信集团河北有限公司 | 一种防火墙策略处理的方法及装置 |
| CN106295355A (zh) * | 2016-08-11 | 2017-01-04 | 南京航空航天大学 | 一种面向Linux服务器的主动安全保障方法 |
| CN108183927A (zh) * | 2017-11-22 | 2018-06-19 | 链家网(北京)科技有限公司 | 一种分布式***中链路调用的监控方法及*** |
| CN108092979A (zh) * | 2017-12-20 | 2018-05-29 | 国家电网公司 | 一种防火墙策略处理方法及装置 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110995768A (zh) * | 2019-12-31 | 2020-04-10 | 奇安信科技集团股份有限公司 | 构建及生成防火墙方法、装置、设备、介质及程序产品 |
| CN112995169A (zh) * | 2021-02-22 | 2021-06-18 | 中国工商银行股份有限公司 | 防火墙部署方法和装置 |
| CN115766278A (zh) * | 2022-12-06 | 2023-03-07 | 深圳市天源景云科技有限公司 | 防火墙策略生成方法、装置、设备及存储介质 |
| CN115766278B (zh) * | 2022-12-06 | 2023-08-15 | 深圳市宜嘉科技有限公司 | 防火墙策略生成方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109768962B (zh) | 2022-04-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110069572A (zh) | 基于大数据平台的hive任务调度方法、装置、设备及存储介质 | |
| US8265980B2 (en) | Workflow model for coordinating the recovery of IT outages based on integrated recovery plans | |
| US10147066B2 (en) | Business process framework | |
| CN109768962A (zh) | 防火墙策略生成方法、装置、计算机设备及存储介质 | |
| US20170245109A1 (en) | System and Method for Instantiation of Services at a Location Based on a Policy | |
| Shukla et al. | Smart contracts for multiagent plan execution in untrusted cyber-physical systems | |
| US10860295B1 (en) | Automated detection of ambiguities in software design diagrams | |
| CN105095103B (zh) | 用于云环境下的存储设备管理方法和装置 | |
| CN108965289A (zh) | 一种网络安全协同防护方法和*** | |
| CN108351771A (zh) | 维持对于在部署到云计算环境期间的受限数据的控制 | |
| CN105474171A (zh) | 用于计算域中智能自动化的基于模型的方法 | |
| CN106790001A (zh) | 基于统一界面的多***角色权限管理方法及*** | |
| CN109144880A (zh) | 镜像文件的管理方法及***、设备、存储介质 | |
| CN109542767A (zh) | 基于区块链的自动化测试方法、装置、计算机设备和存储介质 | |
| CN109766316A (zh) | 文件获取方法、装置、计算机设备和存储介质 | |
| CN106992884A (zh) | 一种智能建筑业务***的多子***联动方法 | |
| CN114548833A (zh) | 一种一体化智慧运维控制方法、***及运维平台 | |
| CN109670793A (zh) | 一种基于区块链的数字资产有效期处理的方法及装置 | |
| JP2010108170A (ja) | ロールベースアクセス制御方法、プログラム及びコンピュータ | |
| CN113095825A (zh) | 基于区块链的资产管理方法、装置及电子设备 | |
| Dai et al. | Using FDAF to bridge the gap between enterprise and software architectures for security | |
| CN110390512A (zh) | 互联网金融管理方法、***、存储介质及设备 | |
| CN113449444B (zh) | 面向领域工程的仿真方法、计算机设备和存储介质 | |
| US20150236927A1 (en) | Unified communication service deployment system | |
| CN114036577A (zh) | 一种面向联盟链的监管方法及监管数字孪生模型 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |