CN110365655A - 一种防火墙规则添加方法及装置 - Google Patents
一种防火墙规则添加方法及装置 Download PDFInfo
- Publication number
- CN110365655A CN110365655A CN201910536997.5A CN201910536997A CN110365655A CN 110365655 A CN110365655 A CN 110365655A CN 201910536997 A CN201910536997 A CN 201910536997A CN 110365655 A CN110365655 A CN 110365655A
- Authority
- CN
- China
- Prior art keywords
- firewall rule
- added
- existing
- rule
- sphere
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 29
- 230000009471 action Effects 0.000 claims abstract description 77
- 230000002265 prevention Effects 0.000 claims description 6
- 206010022000 influenza Diseases 0.000 claims description 4
- RJKFOVLPORLFTN-LEKSSAKUSA-N Progesterone Chemical compound C1CC2=CC(=O)CC[C@]2(C)[C@@H]2[C@@H]1[C@@H]1CC[C@H](C(=O)C)[C@@]1(C)CC2 RJKFOVLPORLFTN-LEKSSAKUSA-N 0.000 claims 12
- 235000013399 edible fruits Nutrition 0.000 claims 2
- 230000000694 effects Effects 0.000 description 8
- 238000003860 storage Methods 0.000 description 5
- 230000000712 assembly Effects 0.000 description 3
- 238000000429 assembly Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000008094 contradictory effect Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 229910002056 binary alloy Inorganic materials 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012827 research and development Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种防火墙规则添加方法,所述方法包括:获取待添加的防火墙规则;将所述待添加的防火墙规则与已有的防火墙规则的作用范围进行比对,确定比对结果;若比对结果为存在至少一个已有的防火墙规则,所述待添加的防火墙规则的作用范围包含该已有的防火墙规则的作用范围,则使用所述待添加的防火墙规则替换该已有的防火墙规则。通过本发明的方案,能够避免用户添加重复的防火墙规则,提升了用户体验。
Description
技术领域
本发明涉及云计算领域,尤指一种防火墙规则添加方法及装置。
背景技术
目前,在云海(浪潮云海浪潮研发的一款基于OpenStack的云计算产品)中添加防火墙规则时,并未校验该待添加的防火墙规则是否与已有的防火墙规则重复或是否矛盾,导致任何待添加的防火墙规则都可以添加到某个策略中。如果不小心将矛盾的两个防火墙规则加入同一个策略,这样会导致在实际使用防火墙的时候,使用者需要仔细检查才会发现,给用户造成很大的困扰。针对现有技术中存在的上述问题,亟需要提出一种防火墙规则添加方法及装置,用于判断待添加的防火墙规则是否与已有的防火墙规则重复或矛盾。
发明内容
为了解决上述技术问题,本发明提供了一种防火墙规则添加方法及装置,能够对待添加的防火墙规则进行判断,避免添加与已有的防火墙规则重复的防火墙规则。
为了达到本发明目的,本发明提供了一种防火墙规则添加方法,其特征在于,所述方法包括:
获取待添加的防火墙规则;
将所述待添加的防火墙规则与已有的防火墙规则的作用范围进行比对,确定比对结果;
若比对结果为存在至少一个已有的防火墙规则,所述待添加的防火墙规则的作用范围包含该已有的防火墙规则的作用范围,则使用所述待添加的防火墙规则替换该已有的防火墙规则。
一种示例性的实施例中,所述确定比对结果之后,还包括:
若比对结果为存在至少一个已有的防火墙规则,且该已有的防火墙规则的作用范围包含所述待添加的防火墙规则的作用范围,则取消添加所述待添加的防火墙规则。
一种示例性的实施例中,所述获取待添加的防火墙规则之前,方法还包括:
根据协议类型,按照防火墙规则的类别,分类创建所述待添加的防火墙规则;
其中,所述防火墙规则的类别包括:
包含端口号的防火墙规则和不包含端口号的防火墙规则。
一种示例性的实施例中,所述将所述待添加的防火墙规则与已有的防火墙规则的作用范围进行比对,包括:
当所述待添加的防火墙规则为包含端口号的防火墙规则的类别时,根据端口范围和IP地址进行比对,或根据端口范围和CIDR网段进行比对;
当所述待添加的防火墙规则的端口范围和IP地址包含已有的防火墙规则的端口范围和IP地址,或所述待添加的防火墙规则的端口范围和CIDR网段包含已有的防火墙规则的端口范围和CIDR网段时,确定所述待添加的防火墙规则的作用范围包含该已有的防火墙规则的作用范围。
一种示例性的实施例中,所述将所述待添加的防火墙规则与已有的防火墙规则的作用范围进行比对,还包括:
当所述待添加的防火墙规则为不包含端口号的防火墙规则的类别时,根据IP地址或CIDR网段进行比对;
当所述待添加的防火墙规则的IP地址或CIDR网段包含所述已有的防火墙规则的IP地址或CIDR网段时,确定所述待添加的防火墙规则的作用范围包含该已有的防火墙规则的作用范围。
为了解决上述问题,本发明还提供了一种防火墙规则添加的装置,包括:存储器和处理器;其特征在于:
所述存储器,用于保存用于防火墙规则添加的程序;
所述处理器,用于读取执行所述用于防火墙规则添加的程序,执行如下操作:
获取待添加的防火墙规则;
将所述待添加的防火墙规则与已有的防火墙规则的作用范围进行比对,确定比对结果;
若比对结果为存在至少一个已有的防火墙规则,所述待添加的防火墙规则的作用范围包含该已有的防火墙规则的作用范围,则使用所述待添加的防火墙规则替换该已有的防火墙规则。
一种示例性的实施例中,所述处理器读取执行所述用于防火墙规则添加的程序,所述确定比对结果之后,还执行如下操作:
若比对结果为存在至少一个已有的防火墙规则,且该已有的防火墙规则的作用范围包含所述待添加的防火墙规则的作用范围,则取消添加所述待添加的防火墙规则。
一种示例性的实施例中,所述处理器读取执行所述用于防火墙规则添加的程序,所述获取待添加的防火墙规则之前,还执行如下操作:
根据协议类型,按照防火墙规则的类别,分类创建所述待添加的防火墙规则;
其中,所述防火墙规则的类别包括:
包含端口号的防火墙规则和不包含端口号的防火墙规则。
一种示例性的实施例中,所述将所述待添加的防火墙规则与已有的防火墙规则的作用范围进行比对,包括:
当所述待添加的防火墙规则为包含端口号的防火墙规则的类别时,根据端口范围和IP地址进行比对,或根据端口范围和CIDR网段进行比对;
当所述待添加的防火墙规则的端口范围和IP地址包含已有的防火墙规则的端口范围和IP地址,或所述待添加的防火墙规则的端口范围和CIDR网段包含已有的防火墙规则的端口范围和CIDR网段时,确定所述待添加的防火墙规则的作用范围包含该已有的防火墙规则的作用范围。
一种示例性的实施例中,所述将所述待添加的防火墙规则与已有的防火墙规则的作用范围进行比对,还包括:
当所述待添加的防火墙规则为不包含端口号的防火墙规则的类别时,根据IP地址或CIDR网段进行比对;
当所述待添加的防火墙规则的IP地址或CIDR网段包含所述已有的防火墙规则的IP地址或CIDR网段时,确定所述待添加的防火墙规则的作用范围包含该已有的防火墙规则的作用范围。
与现有技术相比,本发明一种防火墙规则添加方法,所述方法包括:获取待添加的防火墙规则;将所述待添加的防火墙规则与已有的防火墙规则的作用范围进行比对,确定比对结果;若比对结果为存在至少一个已有的防火墙规则,所述待添加的防火墙规则的作用范围包含该已有的防火墙规则的作用范围,则使用所述待添加的防火墙规则替换该已有的防火墙规则。通过本发明的方案,避免用户添加重复的防火墙规则,提升了用户体验。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明技术方案的进一步理解,并且构成说明书的一部分,与本申请的实施例一起用于解释本发明的技术方案,并不构成对本发明技术方案的限制。
图1为本发明实施例防火墙规则添加方法的流程图;
图2为本发明实施例防火墙规则添加装置的示意图;
图3为本发明一示例防火墙规则添加方法的流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机***中执行。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是本发明的防火墙规则添加方法的流程图,根据该流程图,本实施例的服务器性能数据的计算方法,包括:
步骤100:获取待添加的防火墙规则。
在本实施例中,获取已创建好的防火墙规则,用于添加到已存在的某个策略中,其中,该策略中已经存在多个防火墙规则。
一种示例性的实施例中,获取待添加的防火墙规则之前,根据协议类型,按照防火墙规则的类别,分类创建所述待添加的防火墙规则;其中,所述防火墙规则的类别包括:包含端口号的防火墙规则和不包含端口号的防火墙规则。该协议类型可以划分为两种类型,第一种类型是TCP(Transmission Control Protocol传输控制协议)和UDP(User DatagramProtocol用户数据报协议),第二种类型是ICMP(Internet Control Message ProtocolInternet控制报文协议)和ANY(ANONYMITY ANY匿名加密协议)。创建TCP/UDP协议的防火墙规则时,需要录入端口号;创建ICMP/ANY的防火墙规则时,不需要录入端口号。
步骤101:将所述待添加的防火墙规则与已有的防火墙规则的作用范围进行比对,确定比对结果。
在本实施例中,将包含端口号的待添加的防火墙规则与已有的防火墙规则根据端口范围和IP地址进行比对,或根据端口范围和CIDR网段进行比对,确定比对结果。将不包含端口号的待添加的防火墙规则与已有的防火墙规则的IP地址进行比对或CIDR网段进行比对,确定比对结果。
一种示例性的实施例中,当所述待添加的防火墙规则为包含端口号的防火墙规则的类别时,根据端口范围和IP地址进行比对,或根据端口范围和CIDR网段进行比对;当所述待添加的防火墙规则的端口范围和IP地址包含已有的防火墙规则的端口范围和IP地址,或所述待添加的防火墙规则的端口范围和CIDR网段包含已有的防火墙规则的端口范围和CIDR网段时,确定所述待添加的防火墙规则的作用范围包含该已有的防火墙规则的作用范围。其中,CIDR(Classless Inter-Domain Routing无类别域间路由),简单来说是指一个网段,例如:192.168.0.1/24代表的是一个CIDR网段,即表示192.168.0.1的IP地址从左边开始数,前24bit位(该网段换算成二进制,共32bit位)为网络号,后8位为主机号。其中,对于将待添加的防火墙规则和已有的防火墙规则的具体判断方式可以为:
(1)待添加的防火墙规则的IP地址等于已有的防火墙规则的IP地址,且端口号等于已有的防火墙规则的端口号;
(2)待添加的防火墙规则的IP地址等于已有的防火墙规则的IP地址,且端口范围包含了已有的防火墙规则端口;
(3)待添加的防火墙规则的CIDR网段包含了已有的防火墙规则的IP地址或CIDR网段,且待添加的防火墙规则的端口等于已有的防火墙规则的端口;
(4)待添加的防火墙规则的CIDR网段包含了已有的防火墙规则的IP地址或CIDR网段,且待添加的防火墙规则的端口范围包含了已有的防火墙规则的端口或端口范围;
如果满足了上述其中任何一种情况,即可确定所述待添加的防火墙规则的作用范围包含该已有的防火墙规则的作用范围。
一种示例性的实施例中,当所述待添加的防火墙规则为不包含端口号的防火墙规则的类别时,根据IP地址或CIDR网段进行比对;当所述待添加的防火墙规则的IP地址或CIDR网段包含所述已有的防火墙规则的IP地址或CIDR网段时,确定所述待添加的防火墙规则的作用范围包含该已有的防火墙规则的作用范围。对于将待添加的防火墙规则和已有的防火墙规则的具体判断方式可以为:
(1)待添加的防火墙规则的IP地址等于已有的防火墙规则的IP地址,;
(2)待添加的防火墙规则的CIDR网段包含了已有的防火墙规则的IP地址或CIDR网段;如果满足了以上两条中任何一条,即可确定所述待添加的防火墙规则的作用范围包含该已有的防火墙规则的作用范围。
对于防火墙规则的添加过程可以为:从数据库中查出全部已有的防火墙规则,已有的防火墙规则会被放在一个数组或链表中,对这个数组或链表进行遍历,将待添加的防火墙规则和数组中的已有的防火墙规则进行一一比对。以包含端口号的第一种类型的协议为例,比对内容是根据(1)IP地址或(2)CIDR网段的端口或端口范围。
步骤102:若比对结果为存在至少一个已有的防火墙规则,所述待添加的防火墙规则的作用范围包含该已有的防火墙规则的作用范围,则使用所述待添加的防火墙规则替换该已有的防火墙规则。
在本实施例中,根据步骤101确定比对结果,若确定所述待添加的防火墙规则的作用范围包含该已有的防火墙规则的作用范围,即比对结果为存在至少一个已有的防火墙规则,使用所述待添加的防火墙规则替换该已有的防火墙规则。示例:已有的防火墙规则A、B、C、D,待添加的防火墙规则a;将待添加的防火墙规则a与已有的防火墙规则A、B、C、D一一比对;
待添加的防火墙规则a:协议类型为TCP,IP地址(192.168.1.0/24),端口范围为80-90;
已有的防火墙规则B:协议类型为TCP,IP地址(192.168.1.10),端口号90;
从上述比对可知,a中CIDR网段的范围已经包含了B中的IP地址,换句话说,B中的IP地址(192.168.1.10)属于A中CIDR网段(192.168.1.0/24)中的一个IP地址。并且,a中端口号范围是80至90,包含了B中的端口号90。这样,该待添加的防火墙规则a的作用范围包含已有的防火墙规则B的作用范围,所述待添加的防火墙规则a替换已有的防火墙规则B。
一种示例性的实施例中,根据步骤101确定比对结果,若比对结果为存在至少一个已有的防火墙规则,而且该已有的防火墙规则的作用范围包含所述待添加的防火墙规则的作用范围,则取消添加所述待添加的防火墙规则。对于防火墙规则的添加过程可以为:从数据库中查出全部已有的防火墙规则,已有的防火墙规则会被放在一个数组或链表中,对这个数组或链表进行遍历,将待添加的防火墙规则和数组中的已有的防火墙规则进行一一比对。以包含端口号的第一种类型的协议为例,比对内容是根据(1)IP地址或(2)CIDR网段的端口或端口范围。
示例:已有的防火墙规则A:协议TCP,IP地址(1.0.0.0/24),端口范围为80-90;
待添加的防火墙规则B:协议TCP,IP地址(1.0.0.5),端口号80;
从上述比对可知,A中CIDR网段的范围已经包含了B中的IP地址,换句话说,B中的IP地址(1.0.0.5)属于A中CIDR网段(1.0.0.0/24)中的一个IP地址。并且,A中端口号范围是80至90,包含了B中的端口号80。这样,该已有的防火墙规则A的作用范围包含所述待添加的防火墙规则B的作用范围,取消添加所述待添加的防火墙规则B。
另外,本申请提供了一种防火墙规则添加的装置的一个实施例,该装置实施例与图1所示的方法实施例对应,该装置具体可以应用于各种电子设备中。
为了解决上述问题,如图2所示,本发明还提供了一种防火墙规则添加的装置,包括:存储器和处理器;其特征在于:
所述存储器,用于保存用于防火墙规则添加的程序;
所述处理器,用于读取执行所述用于防火墙规则添加的程序,执行如下操作:
获取待添加的防火墙规则;
将所述待添加的防火墙规则与已有的防火墙规则的作用范围进行比对,确定比对结果;
若比对结果为存在至少一个已有的防火墙规则,所述待添加的防火墙规则的作用范围包含该已有的防火墙规则的作用范围,则使用所述待添加的防火墙规则替换该已有的防火墙规则。
一种示例性的实施例中,所述处理器读取执行所述用于防火墙规则添加的程序,所述确定比对结果之后,还执行如下操作:
若比对结果为存在至少一个已有的防火墙规则,而且该已有的防火墙规则的作用范围包含所述待添加的防火墙规则的作用范围,则取消添加所述待添加的防火墙规则。
一种示例性的实施例中,所述处理器读取执行所述用于防火墙规则添加的程序,所述获取待添加的防火墙规则之前,还执行如下操作:
根据协议类型,按照防火墙规则的类别,分类创建所述待添加的防火墙规则;其中,所述防火墙规则的类别包括:
包含端口号的防火墙规则和不包含端口号的防火墙规则。
一种示例性的实施例中,所述将所述待添加的防火墙规则与已有的防火墙规则的作用范围进行比对,包括:
当所述待添加的防火墙规则为包含端口号的防火墙规则的类别时,根据端口范围和IP地址进行比对,或根据端口范围和CIDR网段进行比对;
当所述待添加的防火墙规则的端口范围和IP地址包含已有的防火墙规则的端口范围和IP地址,或所述待添加的防火墙规则的端口范围和CIDR网段包含已有的防火墙规则的端口范围和CIDR网段时,确定所述待添加的防火墙规则的作用范围包含该已有的防火墙规则的作用范围。
一种示例性的实施例中,所述将所述待添加的防火墙规则与已有的防火墙规则的作用范围进行比对,还包括:
当所述待添加的防火墙规则为不包含端口号的防火墙规则的类别时,根据IP地址或CIDR网段进行比对;
当所述待添加的防火墙规则的IP地址或CIDR网段包含所述已有的防火墙规则的IP地址或CIDR网段时,确定所述待添加的防火墙规则的作用范围包含该已有的防火墙规则的作用范围。
如图3所示,本发明的一种示例性的实施例的实施过程如下:
步骤300:根据协议类型,按照防火墙规则的类别,分类创建所述待添加的防火墙规则;其中,所述防火墙规则的类别包括:包含端口号的防火墙规则和不包含端口号的防火墙规则。该协议类型可以划分为两种类型,第一种类型是TCP和UDP,第二种类型是ICMP(Internet Control Message Protocol Internet控制报文协议)和ANY。创建TCP/UDP协议的防火墙规则时,需要录入端口号;创建ICMP/ANY的防火墙规则时,不需要录入端口号。
步骤301:获取待添加的防火墙规则。
步骤302:将所述待添加的防火墙规则与已有的防火墙规则的作用范围进行比对,确定比对结果。
在本实施例中,根据待添加的防火墙规则的类别,执行不同的比对过程;当所述待添加的防火墙规则为包含端口号的防火墙规则的类别时,执行步骤3020;当所述待添加的防火墙规则为不包含端口号的防火墙规则的类别时,执行步骤3021。
步骤3020:当所述待添加的防火墙规则为包含端口号的防火墙规则的类别时,根据端口范围和IP地址进行比对,或根据端口范围和CIDR网段进行比对;当所述待添加的防火墙规则的端口范围和IP地址包含已有的防火墙规则的端口范围和IP地址,或所述待添加的防火墙规则的端口范围和CIDR网段包含已有的防火墙规则的端口范围和CIDR网段时,确定所述待添加的防火墙规则的作用范围包含该已有的防火墙规则的作用范围。
步骤3021:当所述待添加的防火墙规则为不包含端口号的防火墙规则的类别时,根据IP地址或CIDR网段进行比对;当所述待添加的防火墙规则的IP地址或CIDR网段包含所述已有的防火墙规则的IP地址或CIDR网段时,确定所述待添加的防火墙规则的作用范围包含该已有的防火墙规则的作用范围。
步骤303:若比对结果为存在至少一个已有的防火墙规则,所述待添加的防火墙规则的作用范围包含该已有的防火墙规则的作用范围,则使用所述待添加的防火墙规则替换该已有的防火墙规则。
步骤304:若比对结果为存在至少一个已有的防火墙规则,而且该已有的防火墙规则的作用范围包含所述待添加的防火墙规则的作用范围,则取消添加所述待添加的防火墙规则。
基于本实施例的一个具体示例,将待添加的防火墙规则与已有的防火墙规则的作用范围进行比对,根据比对结果确定添加待添加的防火墙规则还是取消添加待添加的防火墙规则。上述示例实现了避免了重复添加防火墙规则或添加矛盾的防火墙规则,减少用户配置防火墙时犯错的几率,提升了用户体验。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、***、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些组件或所有组件可以被实施为由处理器,如数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
Claims (10)
1.一种防火墙规则添加方法,其特征在于,所述方法包括:
获取待添加的防火墙规则;
将所述待添加的防火墙规则与已有的防火墙规则的作用范围进行比对,确定比对结果;
若比对结果为存在至少一个已有的防火墙规则,所述待添加的防火墙规则的作用范围包含该已有的防火墙规则的作用范围,则使用所述待添加的防火墙规则替换该已有的防火墙规则。
2.根据权利要求1所述防火墙规则添加方法,其特征在于,所述确定比对结果之后,还包括:
若比对结果为存在至少一个已有的防火墙规则,且该已有的防火墙规则的作用范围包含所述待添加的防火墙规则的作用范围,则取消添加所述待添加的防火墙规则。
3.根据权利要求1所述防火墙规则添加方法,其特征在于,所述获取待添加的防火墙规则之前,方法还包括:
根据协议类型,按照防火墙规则的类别,分类创建所述待添加的防火墙规则;
其中,所述防火墙规则的类别包括:
包含端口号的防火墙规则和不包含端口号的防火墙规则。
4.根据权利要求3所述防火墙规则添加方法,其特征在于,所述将所述待添加的防火墙规则与已有的防火墙规则的作用范围进行比对,包括:
当所述待添加的防火墙规则为包含端口号的防火墙规则的类别时,根据端口范围和IP地址进行比对,或根据端口范围和CIDR网段进行比对;
当所述待添加的防火墙规则的端口范围和IP地址包含已有的防火墙规则的端口范围和IP地址,或所述待添加的防火墙规则的端口范围和CIDR网段包含已有的防火墙规则的端口范围和CIDR网段时,确定所述待添加的防火墙规则的作用范围包含该已有的防火墙规则的作用范围。
5.根据权利要求3所述防火墙规则添加方法,其特征在于,所述将所述待添加的防火墙规则与已有的防火墙规则的作用范围进行比对,还包括:
当所述待添加的防火墙规则为不包含端口号的防火墙规则的类别时,根据IP地址或CIDR网段进行比对;
当所述待添加的防火墙规则的IP地址或CIDR网段包含所述已有的防火墙规则的IP地址或CIDR网段时,确定所述待添加的防火墙规则的作用范围包含该已有的防火墙规则的作用范围。
6.一种防火墙规则添加的装置,包括:存储器和处理器,其特征在于:
所述存储器,用于保存用于防火墙规则添加的程序;
所述处理器,用于读取执行所述用于防火墙规则添加的程序,执行如下操作:
获取待添加的防火墙规则;
将所述待添加的防火墙规则与已有的防火墙规则的作用范围进行比对,确定比对结果;
若比对结果为存在至少一个已有的防火墙规则,所述待添加的防火墙规则的作用范围包含该已有的防火墙规则的作用范围,则使用所述待添加的防火墙规则替换该已有的防火墙规则。
7.根据权利要求6所述防火墙规则添加的装置,其特征在于,所述处理器读取执行所述用于防火墙规则添加的程序,所述确定比对结果之后,还执行如下操作:
若比对结果为存在至少一个已有的防火墙规则,且该已有的防火墙规则的作用范围包含所述待添加的防火墙规则的作用范围,则取消添加所述待添加的防火墙规则。
8.根据权利要求6所述防火墙规则添加的装置,其特征在于,所述处理器读取执行所述用于防火墙规则添加的程序,所述获取待添加的防火墙规则之前,还执行如下操作:
根据协议类型,按照防火墙规则的类别,分类创建所述待添加的防火墙规则;
其中,所述防火墙规则的类别包括:
包含端口号的防火墙规则和不包含端口号的防火墙规则。
9.根据权利要求8所述防火墙规则添加的装置,其特征在于,所述将所述待添加的防火墙规则与已有的防火墙规则的作用范围进行比对,包括:
当所述待添加的防火墙规则为包含端口号的防火墙规则的类别时,根据端口范围和IP地址进行比对,或根据端口范围和CIDR网段进行比对;
当所述待添加的防火墙规则的端口范围和IP地址包含已有的防火墙规则的端口范围和IP地址,或所述待添加的防火墙规则的端口范围和CIDR网段包含已有的防火墙规则的端口范围和CIDR网段时,确定所述待添加的防火墙规则的作用范围包含该已有的防火墙规则的作用范围。
10.根据权利要求8所述防火墙规则添加的装置,其特征在于,所述将所述待添加的防火墙规则与已有的防火墙规则的作用范围进行比对,还包括:
当所述待添加的防火墙规则为不包含端口号的防火墙规则的类别时,根据IP地址或CIDR网段进行比对;
当所述待添加的防火墙规则的IP地址或CIDR网段包含所述已有的防火墙规则的IP地址或CIDR网段时,确定所述待添加的防火墙规则的作用范围包含该已有的防火墙规则的作用范围。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910536997.5A CN110365655A (zh) | 2019-06-20 | 2019-06-20 | 一种防火墙规则添加方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910536997.5A CN110365655A (zh) | 2019-06-20 | 2019-06-20 | 一种防火墙规则添加方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110365655A true CN110365655A (zh) | 2019-10-22 |
Family
ID=68217428
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910536997.5A Pending CN110365655A (zh) | 2019-06-20 | 2019-06-20 | 一种防火墙规则添加方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110365655A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114499948A (zh) * | 2021-12-23 | 2022-05-13 | 麒麟软件有限公司 | 一种Linux防火墙动态策略处理方法、装置及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104519030A (zh) * | 2013-09-30 | 2015-04-15 | 西门子公司 | 一种用于安全性检测的方法和装置 |
CN104601526A (zh) * | 2013-10-31 | 2015-05-06 | 华为技术有限公司 | 一种冲突检测及解决的方法、装置 |
CN105187435A (zh) * | 2015-09-24 | 2015-12-23 | 浪潮电子信息产业股份有限公司 | 一种防火墙规则过滤优化方法 |
CN108632203A (zh) * | 2017-03-16 | 2018-10-09 | 哈尔滨英赛克信息技术有限公司 | 一种基于别名集规则缩减的流表规则冲突优化方法 |
-
2019
- 2019-06-20 CN CN201910536997.5A patent/CN110365655A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104519030A (zh) * | 2013-09-30 | 2015-04-15 | 西门子公司 | 一种用于安全性检测的方法和装置 |
CN104601526A (zh) * | 2013-10-31 | 2015-05-06 | 华为技术有限公司 | 一种冲突检测及解决的方法、装置 |
CN105187435A (zh) * | 2015-09-24 | 2015-12-23 | 浪潮电子信息产业股份有限公司 | 一种防火墙规则过滤优化方法 |
CN108632203A (zh) * | 2017-03-16 | 2018-10-09 | 哈尔滨英赛克信息技术有限公司 | 一种基于别名集规则缩减的流表规则冲突优化方法 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114499948A (zh) * | 2021-12-23 | 2022-05-13 | 麒麟软件有限公司 | 一种Linux防火墙动态策略处理方法、装置及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9397901B2 (en) | Methods, systems, and computer readable media for classifying application traffic received at a network traffic emulation device that emulates multiple application servers | |
US10116746B2 (en) | Data storage method and network interface card | |
US20180375832A1 (en) | Using headerspace analysis to identify unneeded distributed firewall rules | |
US20210312472A1 (en) | Method and system for prediction of smart contract violation using dynamic state space creation | |
CN106921578A (zh) | 一种转发表项的生成方法和装置 | |
US20210042631A1 (en) | Techniques for Cyber-Attack Event Log Fabrication | |
CN106878311B (zh) | Http报文的重写方法及装置 | |
CN113037681B (zh) | Acl规则管理方法、装置、计算机设备及计算机可读介质 | |
WO2016185513A1 (ja) | パケットフィルタ装置、及びパケットフィルタ方法 | |
CN113238923B (zh) | 基于状态机的业务行为溯源方法及*** | |
CN110177100B (zh) | 一种协同网络防御的安全设备数据通信协议 | |
CN107135242A (zh) | Mongodb集群访问方法、装置及*** | |
CN110365655A (zh) | 一种防火墙规则添加方法及装置 | |
CN113596017B (zh) | 一种协议解析方法、装置、软网关和存储介质 | |
CN107493234B (zh) | 一种基于虚拟网桥的报文处理方法以及装置 | |
CN104270431B (zh) | 一种并发控制的方法及装置 | |
EP2942711A2 (en) | Dynamic generation of proxy connections | |
CN114389863B (zh) | 一种蜜罐交互的方法、装置、蜜罐网络、设备及存储介质 | |
CN114244555B (zh) | 一种安全策略的调整方法 | |
CN112291212B (zh) | 静态规则的管理方法、装置、电子设备和存储介质 | |
CN109068170A (zh) | 一种弹幕消息的存储方法、装置、终端和存储介质 | |
CN112543186A (zh) | 一种网络行为检测方法、装置、存储介质及电子设备 | |
CN111970250A (zh) | 一种识别账号共享的方法及电子设备、存储介质 | |
CN105009516B (zh) | 用于诊断或测试的透明消息修改 | |
CN104955123B (zh) | 一种移动终端应用的联网限制方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191022 |
|
RJ01 | Rejection of invention patent application after publication |