CN109981540A - 防火墙数据优化方法、装置、计算机设备及可读存储介质 - Google Patents
防火墙数据优化方法、装置、计算机设备及可读存储介质 Download PDFInfo
- Publication number
- CN109981540A CN109981540A CN201711457272.4A CN201711457272A CN109981540A CN 109981540 A CN109981540 A CN 109981540A CN 201711457272 A CN201711457272 A CN 201711457272A CN 109981540 A CN109981540 A CN 109981540A
- Authority
- CN
- China
- Prior art keywords
- data
- network segment
- processed
- segment data
- current
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种防火墙数据优化方法、防火墙数据优化装置、计算机设备和计算机可读存储介质。其中,防火墙数据优化方法包括:从待处理数据库中获取待处理IP网段数据;对待处理IP网段数据进行预处理,以获取有效待处理IP网段数据;从当前防火墙配置中获取当前网段数据;根据有效待处理IP网段数据和当前网段数据确定当前防火墙配置中的垃圾数据和缺失数据;在当前防火墙配置中删除垃圾数据以及在当前防火墙配置中添加缺失数据。根据本发明的实施例,能够实现防火墙数据的自动核查,提高了处理效率和防火墙配置的精确度。
Description
技术领域
本发明涉及数据网络服务技术领域,尤其涉及一种防火墙数据优化方法、装置、计算机设备及计算机可读存储介质。
背景技术
随着通信业务的发展,世界各个国家之间的国际漫游业务不断增多,为了使其它国家漫游到目的地国家或目的地国家漫游到其它国家的用户能够正常使用上网业务,需要在防火墙上添加诸如GN网段或S8IP地址段之类的数据。目的地国家的各个分支运营商通过防火墙配置相应其它国家设备的网段的放通,以使其它国家用户漫游到目的地国家时能够通过目的地国家的网络设备访问归属地的设备,实现正常上网业务。
相关技术中,新开通一个国家的国际漫游业务时,GN网段或S8IP地址段数据制作流程如图1所示:
(1)各国家运营商申请和目的地国家电信运营商开通和变更国际漫游业务时,各国家运营商把其设备使用的IP地址段等信息的汇总表A发送给目的地国家的电信运营商集团,集团把汇总表和需变更的各国明细表下发给目的地国家的各个分支运营商。其中,汇总表中标明各国家运营商网段,例如共计3000余条数据,明细表中标明各国本次申请新增或删除的网段等信息;
(2)各个分支运营商收到表格后分别对比需变更的国家明细表和汇总表,判断是新增还是删除;
(3)如果某国家要新增某网段,查询防火墙配置B中是否存在这条数据,如果已经存在则不用处理,如果防火墙配置B中不存在这个网段,则在防火墙配置B中增加这个网段;
(4)如果某国家要删除某网段,查询汇总表A中其他国家是否使用这个网段,如果其他国家使用则不能删除。如果没有其他国家使用这个网段,则在防火墙配置B中删除这个网段。
然而,汇总表A把各国家运营商网段罗列出来,由于各个国家之间的网段可能存在重复或包含的关系,例如,如图2所示,网段203.145.65.0/24包含203.145.65.32/27,通过现有方案仅比对IP地址的方式,无法识别包含关系,且无法进行合并,因此,两条数据都需要配置。即,通过逐一比对需变更的明细表的方式进行处理,但需变更的明细表数量有时多达30多张,大概耗时4-5小时,效率低下。且相关技术的防火墙配置不精确,存在大量重复或包含的垃圾数据,不利于后期维护,另外取消相应国际漫游业务时数据的删除不彻底,存在隐患。
综上所述,如何实现防火墙数据的自动核查,提高处理效率成为目前亟待解决的技术问题。
发明内容
本发明实施例提供了防火墙数据优化方法、装置、计算机设备及计算机可读存储介质,能够有效处理缺少的数据和多余的垃圾数据,提高处理效率。
第一方面,本发明实施例提供了一种防火墙数据优化方法,方法包括:
从待处理数据库中获取待处理IP网段数据;对待处理IP网段数据进行预处理,以获取有效待处理IP网段数据;从当前防火墙配置中获取当前网段数据;根据有效待处理IP网段数据和当前网段数据确定当前防火墙配置中的垃圾数据和缺失数据;在当前防火墙配置中删除垃圾数据以及在当前防火墙配置中添加缺失数据。
第二方面,本发明实施例提供了一种防火墙数据优化装置,装置包括:
第一获取模块,用于从待处理数据库中获取待处理IP网段数据;预处理模块,用于对待处理IP网段数据进行预处理,以获取有效待处理IP网段数据;第二获取模块,用于从当前防火墙配置中获取当前网段数据;确定模块,用于根据有效待处理IP网段数据和当前网段数据确定当前防火墙配置中的垃圾数据和缺失数据;优化模块,用于在当前防火墙配置中删除垃圾数据以及在当前防火墙配置中添加缺失数据。
第三方面,本发明实施例提供了一种计算机设备,包括:至少一个处理器、至少一个存储器以及存储在存储器中的计算机程序指令,当计算机程序指令被处理器执行时实现如上述实施方式中第一方面的方法。
第四方面,本发明实施例提供了一种计算机可读存储介质,其上存储有计算机程序指令,当计算机程序指令被处理器执行时实现如上述实施方式中第一方面的方法。
本发明实施例提供的防火墙数据优化方法、装置、计算机设备及计算机可读存储介质,对待处理IP网段数据进行预处理,去除包含、重复关系,获取有效待处理IP网段数据,提高了数据处理效率,根据有效待处理IP网段数据和当前网段数据确定垃圾数据和缺失数据,再进行相应的处理,实现了防火墙数据的自动核查、优化和配置,提高了防火墙配置的精确度,便于后期维护。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图作简单地介绍,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了相关技术中GN/S8网段数据制作的流程示意图;
图2示出了相关技术中网段重复和包含关系示意图;
图3示出了本发明一个实施例提供的防火墙数据优化方法的流程示意图;
图4示出了本发明另一个实施例提供的防火墙数据优化方法的流程示意图;
图5示出了本发明一个实施例提供的防火墙数据优化装置的示意框图;
图6是图5中预处理模块的具体结构示意图;
图7示出了本发明一个实施例提供的计算机设备的硬件结构示意图。
具体实施方式
下面将详细描述本发明的各个方面的特征和示例性实施例,为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细描述。应理解,此处所描述的具体实施例仅被配置为解释本发明,并不被配置为限定本发明。对于本领域技术人员来说,本发明可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本发明的示例来提供对本发明更好的理解。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本发明实施例的技术方案通过预处理包含各个国家运营商的设备使用的IP地址段等信息的汇总表,计算得到反掩码,根据计算得到的反掩码获得IP地址段范围,基于IP地址段范围对汇总表和当前防火墙配置进行比对、去重、合并,生成脚本,实现防火墙数据的自动核查,有效处理缺少的数据和多做的垃圾数据,提高处理效率以及防火墙配置精确度,便于后期维护。
本发明第一方面的实施例提供了一种防火墙数据优化方法,图3示出了本发明一个实施例提供的防火墙数据优化方法的流程示意图。该方法包括:
步骤302,从待处理数据库中获取待处理IP网段数据;
步骤304,对待处理IP网段数据进行预处理,以获取有效待处理IP网段数据;
步骤306,从当前防火墙配置中获取当前网段数据;
步骤308,根据有效待处理IP网段数据和当前网段数据确定当前防火墙配置中的垃圾数据和缺失数据;
步骤310,在当前防火墙配置中删除垃圾数据以及在当前防火墙配置中添加缺失数据。
本发明提供的防火墙数据优化方法,从待处理数据库中获取待处理的IP网段数据,对待处理的IP网段数据进行预处理,去除包含、重复关系,获取有效待处理IP网段数据,避免了对无效的IP网段数据处理,提高了数据处理效率。根据有效待处理IP网段数据和当前网段数据之间的比对来确定当前防火墙IP数据配置中的垃圾数据和缺失数据,再进行相应的处理,实现了防火墙数据的自动核查、优化和配置,提高了防火墙配置的精确度。
需要说明的是,在其它实施例中,当不存在垃圾数据时,也可以仅处理缺失数据,当不存在缺失数据时,也可以仅处理垃圾数据。
图4示出了本发明另一个实施例提供的防火墙数据优化方法的流程示意图。该方法包括:
步骤402,从待处理数据库中获取待处理IP网段数据;
步骤404,对根据待处理网段数据计算得出每个待处理网段数据的IP起始值和待处理网段数据的IP终止值;
步骤406,根据待处理网段数据的IP起始值和待处理网段数据的IP终止值确定有效待处理网段数据;
步骤408,从当前防火墙配置中获取当前网段数据;
步骤410,根据有效待处理IP网段数据和当前网段数据确定当前防火墙配置中的垃圾数据和缺失数据;
步骤412,在当前防火墙配置中删除垃圾数据以及在当前防火墙配置中添加缺失数据。
在一个示例中,步骤404对根据待处理网段数据计算得出每个待处理网段数据的IP起始值和待处理网段数据的IP终止值,具体包括:从待处理网段数据中获取待处理网段数据的掩码;根据待处理网段数据的掩码计算待处理网段数据的反掩码;根据待处理网段数据的反掩码计算得出待处理网段数据的IP起始值和待处理网段数据的IP终止值。
在一个示例中,步骤406根据待处理网段数据的IP起始值和待处理网段数据的IP终止值确定有效待处理网段数据,具体包括:将所有待处理网段数据的IP地址值和IP地址终止值进行比较,以判断待处理网段数据是否存在重复或包含关系;若待处理网段数据存在重复或包含关系,则将重复的待处理网段数据或将被包含的待处理网段数据删除,将删除后的待处理网段数据确认为有效待处理网段数据;若待处理网段数据不存在重复或包含关系,则将所有处理网段数据确认为有效待处理网段数据。
在一个示例中,步骤410根据有效待处理IP网段数据和当前网段数据确定当前防火墙配置中的垃圾数据和缺失数据的过程,具体包括:根据当前网段数据计算出当前网段数据的IP起始值、IP终止值;根据当前网段数据的IP起始值、IP终止值以及有效待处理IP网段数据的IP起始值、IP终止值,确定当前网段数据是否在有效待处理IP网段数据范围内;若当前网段数据不在有效待处理IP网段数据范围内,则将当前网段数据确定为垃圾数据;若当前网段数据在有效待处理IP网段数据范围内,则将当前网段数据确定为留存数据;根据有效待处理IP网段数据的IP起始值、IP终止值以及留存数据的IP起始值、IP终止值,确定有效待处理IP网段数据是否在留存数据范围内,若有效待处理IP网段数据不在留存数据范围内,则将有效待处理IP网段数据确定为缺失数据。
在一个示例中,步骤412在当前防火墙配置中删除垃圾数据以及在当前防火墙配置中添加缺失数据的过程,具体包括:根据垃圾数据和缺失数据分别生成删除脚本和新增脚本;运行删除脚本和新增脚本,以执行防火墙数据优化。
下面将以一个具体的示例性实施例对本发明实施例的上述技术方案进行举例说明。
在一个示例实施例中,目的地国家通信运营商集团下发给目的地国家各个分支运营商的数据汇总表A(待处理数据库)按照各国家的顺序汇总每个国家的设备使用的IP地址段,各国家IP地址段可能存在重复或包含等关系,以下该汇总表简称A表;现网防火墙配置是当前实际配置在防火墙中的数据,以下简称B表。
首先对表A中的待处理IP地址段数据进行数据格式预处理。遍历表A中的每条IP地址数据,根据该IP地址的掩码n计算数据汇总表A中所有IP地址网段数据的反掩码。如果32≥掩码>24,则网段数据的反掩码=0.0.0.(2(32-n)-1),如果24≥掩码>16,则反掩码=0.0.(2(24-n)-1).255。计算出的一个示例性的反掩码速查表如表1所示。
表1
| 掩码表达式 | 反掩码 |
| /17 | 0.0.127.255 |
| /18 | 0.0.63.255 |
| /19 | 0.0.31.255 |
| /20 | 0.0.15.255 |
| /21 | 0.0.7.255 |
| /22 | 0.0.3.255 |
| /23 | 0.0.1.255 |
| /24 | 0.0.0.255 |
| /25 | 0.0.0.127 |
| /26 | 0.0.0.63 |
| /27 | 0.0.0.31 |
| /28 | 0.0.0.15 |
| /29 | 0.0.0.7 |
| /30 | 0.0.0.3 |
| /31 | 0.0.0.1 |
| /32 | 0.0.0.0 |
在得到网段数据的反掩码之后,根据待处理网段数据的反掩码和IP地址计算得出待处理网段数据的IP起始值和IP终止值。在一个示例中,首先按照IP地址小数点分隔出来的四个部分将IP地址划分为4段,如IP网址为203.145.65.0/25划分的四段分别为203,145,65,0,每段数字不足3位前面用“0”补齐。补齐后的四段拼接成字符串ABCD,即为IP起始值。IP网址203.145.65.0/25对应的IP起始值即为203145065000。然后,在将IP地址分成的四段与反掩码逐段相加,相加后每段数字不足3位的,前面用“0”补齐,补齐后的四段拼接成字符串abcd,即为IP终止值。IP网址203.145.65.0/25对应的IP终止值即为203145065127。IP网址203.145.65.0/25与其掩码、反掩码、IP起始值和IP终止值的计算值如表2所示。
表2
| 反掩码 | IP地址 | 掩码 | IP起始值 | IP终止值 |
| 0.0.0.127 | 203.145.65.0 | 25 | 203145065000 | 203145065127 |
在上述具体实施例中,假设A表中存在如下IP网段:
202.145.65.0/24
203.145.65.0/24
203.145.65.0/24
203.145.65.32/27
203.145.65.32/28
对上述网段数据进行预处理得出的各个计算值如表3所示。
表3
| 反掩码 | IP地址 | 掩码 | IP起始值 | IP终止值 |
| 0.0.0.255 | 202.145.65.0 | 24 | 202145065000 | 202145065255 |
| 0.0.0.255 | 203.145.65.0 | 24 | 203145065000 | 203145065255 |
| 0.0.0.255 | 203.145.65.0 | 24 | 203145065000 | 203145065255 |
| 0.0.0.31 | 203.145.65.32 | 27 | 203145065032 | 203145065063 |
| 0.0.0.15 | 203.145.65.32 | 28 | 203145065032 | 203145065047 |
这样,得出了所有IP网址与其掩码、反掩码、IP起始值和IP终止值的对应关系。然后,进行数据核查优化:根据计算得到的任一IP地址段范围判断是否被A表中其他记录包含,若不存在包含、重复关系,则将该条数据配置为有效,若存在包含、重复关系则将该条数据配置为无效。可以看出,A表中由于第3条数据的IP起始值和IP终止值等于第2条的,第4、5条数据的IP起始值和IP终止值被第2条数据包含,因此这3条数据被标记为无效,最后标记为有效的数据如表4所示。
表4
| 反掩码 | IP地址 | 掩码 | IP起始值 | IP终止值 |
| 0.0.0.255 | 202.145.65.0 | 24 | 202145065000 | 202145065255 |
| 0.0.0.255 | 203.145.65.0 | 24 | 203145065000 | 203145065255 |
此过程去除了A表中重复的、被包含的数据,精简了待处理的数据,提高了后续数据制作的效率,避免了不必要的数据制作,也提高了数据配置的精准性。
在上述具体实施例中,假设B表中存在如下配置:
ip address-set internationalgn01
address 0 203.145.65.0 0.0.1.255
遍历B表,比对B表中的数据与A表中的有效记录的IP起始值和IP终止值,若B表中的IP地址段范围不存在在A表中的有效记录内,则将B表中对应的数据标记为垃圾数据,加入待删除列表,若存在在A表中的有效记录内,则确定为留存数据。例如,比对后的B表中的垃圾数据如表6所示。
表6
| 反掩码 | IP地址 | IP起始值 | IP终止值 |
| 0.0.1.255 | 203.145.65.0 | 203145065000 | 203145066255 |
遍历A表中的每一条有效记录,将有效记录的IP起始值和IP终止值逐一与B中留存数据的IP起始值和IP终止值比对,如果A表中的有效记录的IP地址段范围存在在B表中留存数据的IP地址段范围内,则不处理,若不存在,则标记为缺失数据,并加入到待新增列表。例如,B表中的缺失数据如表7所示。
表7
| 反掩码 | IP地址 | 掩码 | IP起始值 | IP终止值 |
| 0.0.0.255 | 202.145.65.0 | 24 | 202145065000 | 202145065255 |
| 0.0.0.255 | 203.145.65.0 | 24 | 203145065000 | 203145065255 |
在上述具体实施例中,根据标记的垃圾数据生成删除脚本:
ip address-set internationalgn01
undo address 0
根据标记的缺失数据生成新增脚本:
ip address-set internationalgn01
address 1 202.145.65.0 0.0.0.255
address 2 203.145.65.0 0.0.0.255
最后,登录网络设备进行脚本的自动下发,执行防火墙数据优化,完成本次数据配置。
通过上述示例性具体实施例的方法,实现了IP地址段范围的比较、去重、合并,通过自动化手段实现防火墙局数据的自动核查、优化和制作。通过有效获取缺少的数据和多做的垃圾数据,生成运行脚本,提高了处理效率以及防火墙配置精确度。
图5示出了本发明一个实施例提供的防火墙数据优化装置500的示意框图。如图5所示,防火墙数据优化装置500包括:第一获取模块502、预处理模块504、第二获取模块506、确定模块508和优化模块510。
其中,第一获取模块502,用于从待处理数据库中获取待处理IP网段数据;预处理模块504,用于对待处理IP网段数据进行预处理,以获取有效待处理IP网段数据;第二获取模块506,用于从当前防火墙配置中获取当前网段数据;确定模块508,用于根据有效待处理IP网段数据和当前网段数据确定当前防火墙配置中的垃圾数据和缺失数据;优化模块510,用于在当前防火墙配置中删除垃圾数据以及在当前防火墙配置中添加缺失数据。
在一个示例中,如图6所示,预处理模块504具体包括:第一预处理子模块542,用于根据待处理网段数据计算得出每个待处理网段数据的IP起始值和待处理网段数据的IP终止值;第二预处理子模块544,根据待处理网段数据的IP起始值和待处理网段数据的IP终止值确定有效待处理网段数据。
在一个示例中,第一预处理子模块542,具体用于从待处理网段数据中获取待处理网段数据的掩码;根据待处理网段数据的掩码计算待处理网段数据的反掩码;根据待处理网段数据的反掩码和IP地址计算得出待处理网段数据的IP起始值和待处理网段数据的IP终止值。
在一个示例中,第二预处理子模块544,具体用于将所有待处理网段数据的IP地址值和IP地址终止值进行比较,以判断待处理网段数据是否存在重复或包含关系;若待处理网段数据存在重复或包含关系,则将重复的待处理网段数据或将被包含的待处理网段数据删除,将删除后的待处理网段数据确认为有效待处理网段数据;若待处理网段数据不存在重复或包含关系,则将所有处理网段数据确认为有效待处理网段数据。
在一个示例中,确定模块508,具体用于根据当前网段数据计算出当前网段数据的IP起始值、IP终止值;根据当前网段数据的IP起始值、IP终止值以及有效待处理IP网段数据的IP起始值、IP终止值,确定当前网段数据是否在有效待处理IP网段数据范围内;若当前网段数据不在有效待处理IP网段数据范围内,则将当前网段数据确定为垃圾数据;若当前网段数据在有效待处理IP网段数据范围内,则将当前网段数据确定为留存数据;根据有效待处理IP网段数据的IP起始值、IP终止值以及留存数据的IP起始值、IP终止值,确定有效待处理IP网段数据是否在留存数据范围内,若有效待处理IP网段数据不在留存数据范围内,则将有效待处理IP网段数据确定为缺失数据。
本发明与现有的GN网段或S8IP地址段数据制作过程相比,通过对IP网段的数据预处理,以及对防火墙数据核查优化,实现IP地址段范围的比较、去重、合并,通过自动化手段实现防火墙数据的自动核查、优化和制作,通过获取缺少的数据和多做的垃圾数据,生成脚本,有效提高处理效率以及防火墙配置精确度,便于后期维护。
另外,结合图3描述的本发明各个实施例的防火墙数据优化方法可以由计算机设备来实现。图7示出了本发明一个实施例提供的计算机设备的硬件结构示意图。
计算机设备可以包括处理器701以及存储有计算机程序指令的存储器702。
具体地,上述处理器701可以包括中央处理器(CPU),或者特定集成电路(Application Specific Integrated Circuit,ASIC),或者可以被配置成实施本发明实施例的一个或多个集成电路。
存储器702可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器702可包括硬盘驱动器(Hard Disk Drive,HDD)、软盘驱动器、闪存、光盘、磁光盘、磁带或通用串行总线(Universal Serial Bus,USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下,存储器702可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器702可在数据处理装置的内部或外部。在特定实施例中,存储器702是非易失性固态存储器。在特定实施例中,存储器702包括只读存储器(ROM)。在合适的情况下,该ROM可以是掩模编程的ROM、可编程ROM(PROM)、可擦除PROM(EPROM)、电可擦除PROM(EEPROM)、电可改写ROM(EAROM)或闪存或者两个或更多个以上这些的组合。
处理器701通过读取并执行存储器702中存储的计算机程序指令,以实现上述实施例中的任意一种防火墙数据优化方法。
在一个示例中,计算机设备还可包括通信接口703和总线710。其中,如图7所示,处理器701、存储器702、通信接口703通过总线710连接并完成相互间的通信。
通信接口703,主要用于实现本发明实施例中各模块、装置、单元和/或设备之间的通信。
总线710包括硬件、软件或两者,将计算机设备的部件彼此耦接在一起。举例来说而非限制,总线可包括加速图形端口(AGP)或其他图形总线、增强工业标准架构(EISA)总线、前端总线(FSB)、超传输(HT)互连、工业标准架构(ISA)总线、无限带宽互连、低引脚数(LPC)总线、存储器总线、微信道架构(MCA)总线、***组件互连(PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(SATA)总线、视频电子标准协会局部(VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线710可包括一个或多个总线。尽管本发明实施例描述和示出了特定的总线,但本发明考虑任何合适的总线或互连。
该计算机设备可以基于获取到待处理的网段数据和当前防火墙配置的网段数据,执行本发明实施例中的防火墙数据优化方法,从而实现结合图3描述的各个实施例的防火墙数据优化方法。
另外,结合上述实施例中的防火墙数据优化方法,本发明实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现上述实施例中的任意一种防火墙数据优化方法。
需要明确的是,本发明并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见,这里省略了对已知方法的详细描述。在上述实施例中,描述和示出了若干具体的步骤作为示例。但是,本发明的方法过程并不限于所描述和示出的具体步骤,本领域的技术人员可以在领会本发明的精神后,作出各种改变、修改和添加,或者改变步骤之间的顺序。
以上所述的结构框图中所示的功能块可以实现为硬件、软件、固件或者它们的组合。当以硬件方式实现时,其可以例如是电子电路、专用集成电路(ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时,本发明的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中,或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、ROM、闪存、可擦除ROM(EROM)、软盘、CD-ROM、光盘、硬盘、光纤介质、射频(RF)链路,等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。
还需要说明的是,本发明中提及的示例性实施例,基于一系列的步骤或者装置描述一些方法或***。但是,本发明不局限于上述步骤的顺序,也就是说,可以按照实施例中提及的顺序执行步骤,也可以不同于实施例中的顺序,或者若干步骤同时执行。
以上所述,仅为本发明的具体实施方式,所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的***、模块和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。应理解,本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。
Claims (10)
1.一种防火墙数据优化方法,其特征在于,所述方法包括:
从待处理数据库中获取待处理IP网段数据;
对所述待处理IP网段数据进行预处理,以获取有效待处理IP网段数据;
从当前防火墙配置中获取当前网段数据;
根据所述有效待处理IP网段数据和所述当前网段数据确定所述当前防火墙配置中的垃圾数据和缺失数据;
在所述当前防火墙配置中删除所述垃圾数据以及在所述当前防火墙配置中添加所述缺失数据。
2.根据权利要求1所述的方法,其特征在于,对所述待处理IP网段数据进行预处理,以获取有效待处理IP网段数据,包括:
根据所述待处理网段数据计算得出每个所述待处理网段数据的IP起始值和所述待处理网段数据的IP终止值;
根据所述待处理网段数据的IP起始值和所述待处理网段数据的IP终止值确定所述有效待处理网段数据。
3.根据权利要求2所述的方法,其特征在于,根据所述待处理网段数据计算得出每个所述待处理网段数据的IP起始值和所述待处理网段数据的IP终止值,包括:
从所述待处理网段数据中获取所述待处理网段数据的掩码;
根据所述待处理网段数据的掩码计算所述待处理网段数据的反掩码;
根据所述待处理网段数据的反掩码和IP地址计算得出所述待处理网段数据的IP起始值和所述待处理网段数据的IP终止值。
4.根据权利要求3所述的方法,其特征在于,根据所述待处理网段数据的IP起始值和所述待处理网段数据的IP终止值确定所述有效待处理网段数据,包括:
将所有所述待处理网段数据的IP地址值和IP地址终止值进行比较,以判断所述待处理网段数据是否存在重复或包含关系;
若所述待处理网段数据存在重复或包含关系,则将重复的待处理网段数据或将被包含的待处理网段数据删除,将删除后的所述待处理网段数据确认为所述有效待处理网段数据;
若所述待处理网段数据不存在重复或包含关系,则将所有所述处理网段数据确认为所述有效待处理网段数据。
5.根据权利要求4所述的方法,其特征在于,根据所述有效待处理IP网段数据和所述当前网段数据确定所述当前防火墙配置中的垃圾数据和缺失数据,包括:
根据所述当前网段数据计算出所述当前网段数据的IP起始值、IP终止值;
根据所述当前网段数据的IP起始值、IP终止值以及所述有效待处理IP网段数据的IP起始值、IP终止值,确定所述当前网段数据是否在所述有效待处理IP网段数据范围内;
若所述当前网段数据不在所述有效待处理IP网段数据范围内,则将所述当前网段数据确定为所述垃圾数据。
6.根据权利要求5所述的方法,其特征在于,根据所述有效待处理IP网段数据和所述当前网段数据确定所述当前防火墙配置中的垃圾数据和缺失数据,包括:
若所述当前网段数据在所述有效待处理IP网段数据范围内,则将所述当前网段数据确定为留存数据;
根据所述有效待处理IP网段数据的IP起始值、IP终止值以及所述留存数据的IP起始值、IP终止值,确定所述有效待处理IP网段数据是否在所述留存数据范围内,若所述有效待处理IP网段数据不在所述留存数据范围内,则将所述有效待处理IP网段数据确定为所述缺失数据。
7.根据权利要求1至6中任一项所述的方法,其特征在于,在所述当前防火墙配置中删除所述垃圾数据以及在所述当前防火墙配置中添加所述缺失数据,包括:
根据所述垃圾数据和所述缺失数据分别生成删除脚本和新增脚本;
运行所述删除脚本和所述新增脚本,以执行防火墙数据优化。
8.一种防火墙数据优化装置,其特征在于,所述装置包括:
第一获取模块,用于从待处理数据库中获取待处理IP网段数据;
预处理模块,用于对所述待处理IP网段数据进行预处理,以获取有效待处理IP网段数据;
第二获取模块,用于从当前防火墙配置中获取当前网段数据;
确定模块,用于根据所述有效待处理IP网段数据和所述当前网段数据确定所述当前防火墙配置中的垃圾数据和缺失数据;
优化模块,用于在所述当前防火墙配置中删除所述垃圾数据以及在所述当前防火墙配置中添加所述缺失数据。
9.一种计算机设备,其特征在于,包括:至少一个处理器、至少一个存储器以及存储在所述存储器中的计算机程序指令,当所述计算机程序指令被所述处理器执行时实现如权利要求1-7中任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序指令,其特征在于,当所述计算机程序指令被处理器执行时实现如权利要求1-7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711457272.4A CN109981540B (zh) | 2017-12-28 | 2017-12-28 | 防火墙数据优化方法、装置、计算机设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711457272.4A CN109981540B (zh) | 2017-12-28 | 2017-12-28 | 防火墙数据优化方法、装置、计算机设备及可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109981540A true CN109981540A (zh) | 2019-07-05 |
| CN109981540B CN109981540B (zh) | 2021-07-23 |
Family
ID=67074353
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711457272.4A Active CN109981540B (zh) | 2017-12-28 | 2017-12-28 | 防火墙数据优化方法、装置、计算机设备及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109981540B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110602267A (zh) * | 2019-09-12 | 2019-12-20 | 四川长虹电器股份有限公司 | 一种高效的dns服务器acl文件去重方法 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1913659A (zh) * | 2006-07-31 | 2007-02-14 | 华为技术有限公司 | 一种优化的短消息过滤方法 |
| CN101340444A (zh) * | 2008-08-26 | 2009-01-07 | 华为技术有限公司 | 防火墙和服务器策略同步方法、***和设备 |
| CN104067591A (zh) * | 2012-01-17 | 2014-09-24 | 伊帕莱夫股份公司 | 用于全球实时远程通信的设备、软件模块、***或商业方法 |
| CN104244219A (zh) * | 2006-08-16 | 2014-12-24 | 艾利森电话股份有限公司 | 用于一隧道解决方案的ggsn代理 |
| US8955050B1 (en) * | 2008-05-01 | 2015-02-10 | F5 Networks, Inc. | Generating secure roaming user profiles over a network |
| CN105871643A (zh) * | 2016-06-08 | 2016-08-17 | 成都万纬信息技术有限公司 | 基于路由协议的网络运行仿真方法 |
| CN106658450A (zh) * | 2015-11-04 | 2017-05-10 | 杭州络漫科技有限公司 | 一种远程异构网络移动实时通讯方法 |
| CN106850657A (zh) * | 2017-02-27 | 2017-06-13 | 郑州云海信息技术有限公司 | 一种高效的ip地址匹配方法 |
-
2017
- 2017-12-28 CN CN201711457272.4A patent/CN109981540B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1913659A (zh) * | 2006-07-31 | 2007-02-14 | 华为技术有限公司 | 一种优化的短消息过滤方法 |
| CN104244219A (zh) * | 2006-08-16 | 2014-12-24 | 艾利森电话股份有限公司 | 用于一隧道解决方案的ggsn代理 |
| US8955050B1 (en) * | 2008-05-01 | 2015-02-10 | F5 Networks, Inc. | Generating secure roaming user profiles over a network |
| CN101340444A (zh) * | 2008-08-26 | 2009-01-07 | 华为技术有限公司 | 防火墙和服务器策略同步方法、***和设备 |
| CN104067591A (zh) * | 2012-01-17 | 2014-09-24 | 伊帕莱夫股份公司 | 用于全球实时远程通信的设备、软件模块、***或商业方法 |
| CN106658450A (zh) * | 2015-11-04 | 2017-05-10 | 杭州络漫科技有限公司 | 一种远程异构网络移动实时通讯方法 |
| CN105871643A (zh) * | 2016-06-08 | 2016-08-17 | 成都万纬信息技术有限公司 | 基于路由协议的网络运行仿真方法 |
| CN106850657A (zh) * | 2017-02-27 | 2017-06-13 | 郑州云海信息技术有限公司 | 一种高效的ip地址匹配方法 |
Non-Patent Citations (4)
| Title |
|---|
| RADIOCOMMUNICATION;STUDY GROUPS: ""KEY TECHNICAL AND OPERATIONAL REQUIREMENTS FOR ACCESS TECHNOLOGIES TO SUPPORT IP APPLICATIONS OVER MOBILE SYSTEMS"", 《3GPP》 * |
| TETSUO IMAI;HIDEAKI GOTO;HIDEAKI SONE: ""A Policy-Based, Secure Access Control Mechanism for Network Roaming Infrastructures"", 《2007 INTERNATIONAL SYMPOSIUM ON APPLICATIONS AND THE INTERNET WORKSHOPS》 * |
| 葛慧明: ""GPRS国际漫游的实现方法"", 《移动通信 网规网优专栏》 * |
| 黄耀军: ""LTE国际漫游的关键问题研究"", 《移动通信 "LTE产业发展与运营"专题》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110602267A (zh) * | 2019-09-12 | 2019-12-20 | 四川长虹电器股份有限公司 | 一种高效的dns服务器acl文件去重方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109981540B (zh) | 2021-07-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7353503B2 (en) | Efficient dead code elimination | |
| CN106445476B (zh) | 一种代码变更信息确定方法、装置及电子设备 | |
| CN107506484B (zh) | 运维数据关联审计方法、***、设备及存储介质 | |
| CN110414236A (zh) | 一种恶意进程的检测方法及装置 | |
| CN104375875A (zh) | 用于应用程序的编译优化的方法以及编译器 | |
| US8234107B2 (en) | Supplier deduplication engine | |
| CN115062570B (zh) | 一种形式验证方法、装置、设备及计算机存储介质 | |
| CN109672735A (zh) | 一种消息处理的方法、装置及设备 | |
| CN114564624A (zh) | 特征匹配规则构建、特征匹配方法、装置、设备及介质 | |
| CN107368513A (zh) | 客户端数据库更新的方法及装置 | |
| CN116431520A (zh) | 测试场景确定方法、装置、电子设备和存储介质 | |
| CN109299099A (zh) | 一种PostgreSQL数据库的数据闪回查询及恢复方法、装置 | |
| JP2021002326A (ja) | ソフトウェアプログラムにおける静的分析違反の修復パターンの精緻化 | |
| CN108920179A (zh) | Java反射实现方法、装置和*** | |
| CN113568605B (zh) | 约定式路由配置方法、装置、和*** | |
| CN109981540A (zh) | 防火墙数据优化方法、装置、计算机设备及可读存储介质 | |
| CN110019377A (zh) | 动态脱敏方法、装置、设备及介质 | |
| CN108563490A (zh) | 解释型规则处理方法、装置、设备及介质 | |
| CN116303042B (zh) | 一种基于污点分析的软件配置故障检测方法 | |
| CN107909414A (zh) | 应用程序的反作弊方法及装置 | |
| CN109361714A (zh) | 用户登录鉴权方法、装置、设备及计算机存储介质 | |
| CN109101242A (zh) | 数据库自动化部署方法及装置 | |
| CN104991963B (zh) | 文件处理方法和装置 | |
| CN115098362A (zh) | 页面测试方法、装置、电子设备以及存储介质 | |
| CN108875410A (zh) | 分布式搜索集群权限管理方法及装置、计算设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |