CN112217773B - 一种防火墙规则处理方法、装置及存储介质 - Google Patents

一种防火墙规则处理方法、装置及存储介质 Download PDF

Info

Publication number
CN112217773B
CN112217773B CN201910626279.7A CN201910626279A CN112217773B CN 112217773 B CN112217773 B CN 112217773B CN 201910626279 A CN201910626279 A CN 201910626279A CN 112217773 B CN112217773 B CN 112217773B
Authority
CN
China
Prior art keywords
firewall rule
firewall
target
priority
list
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910626279.7A
Other languages
English (en)
Other versions
CN112217773A (zh
Inventor
胡雯涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Suzhou Software Technology Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Suzhou Software Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Suzhou Software Technology Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN201910626279.7A priority Critical patent/CN112217773B/zh
Publication of CN112217773A publication Critical patent/CN112217773A/zh
Application granted granted Critical
Publication of CN112217773B publication Critical patent/CN112217773B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种防火墙规则处理方法,基于第一防火墙规则携带的信息,确定所述第一防火墙规则在目标防火墙规则列表中的优先级;根据所述第一防火墙规则在所述目标防火墙规则列表中的优先级,将所述第一防火墙规则***到所述目标防火墙规则列表。本发明还同时公开了一种防火墙规则处理装置及存储介质。这里,根据***的所述第一防火墙规则的优先级,便可对所述目标防火墙规则列表中的其他防火墙规则的优先级进行相应调整,得到调整后的目标防火墙规则列表。可见,简化了防火墙规则的***过程,提高了防火墙规则维护过程的效率。

Description

一种防火墙规则处理方法、装置及存储介质
技术领域
本发明涉及信息处理领域,尤其涉及一种防火墙规则处理方法、装置及存储介质。
背景技术
现有技术中,防火墙规则列表往往存储在防火墙设备中,防火墙规则保存在不同的区间中,当有新的防火墙规则***防火墙规则列表或者有防火墙规则从防火墙规则列表中删除时,可能会使得多个防火墙规则迁移到新的区间,防火墙规则列表的维护过程相对复杂。
此外,终端设备若要获取防火墙规则列表,需要发送请求消息给防火墙运营平台,再由防火墙运营平台向防火墙设备发送请求消息。防火墙运营平台接收到防火墙设备反馈的防火墙规则列表后,对防火墙规则列表进行排序后,再发送给终端设备。可见,整个交互过程较为复杂,响应时间较长。
发明内容
有鉴于此,本发明实施例期望提供一种防火墙规则处理方法、装置及存储介质,旨在解决现有技术中存在的上述问题。
为达到上述目的,本发明实施例的技术方案是这样实现的:
本发明实施例提供一种防火墙规则处理方法,所述方法包括:
基于第一防火墙规则携带的信息,确定所述第一防火墙规则在目标防火墙规则列表中的优先级;其中,所述第一防火墙规则携带的信息至少包含所述第一防火墙规则的后一条防火墙规则的标识(identification,ID)信息、及所述第一防火墙规则的前一条防火墙规则的状态信息;
根据所述第一防火墙规则在所述目标防火墙规则列表中的优先级,将所述第一防火墙规则***到所述目标防火墙规则列表。
上述方案中,所述方法还包括:
基于所述第一防火墙规则携带的信息,确定所述第一防火墙规则在所述目标防火墙规则列表中的排列位置。
上述方案中,所述方法还包括:
当所述目标防火墙规则列表中包含除所述第一防火墙规则外的至少一条其他防火墙规则时,根据所述第一防火墙规则的优先级,调整所述目标防火墙规则列表中的所述至少一条其他防火墙规则的优先级。
上述方案中,所述方法还包括:
从所述目标防火墙规则列表中删除第二防火墙规则。上述方案中,所述方法还包括:
当所述目标防火墙规则列表中包含除所述第二防火墙规则外的至少一条剩余防火墙规则时,则根据所述第二防火墙规则的优先级,调整所述目标防火墙规则列表中的所述至少一条剩余防火墙规则的优先级。
上述方案中,所述方法还包括:
接收到终端设备的访问所述目标防火墙规则列表的请求;
根据所述请求,将所述目标防火墙规则列表推送至所述终端设备。
本发明实施例还提供一种防火墙规则处理装置,所述装置包括:第一确定模块和***模块;其中,
所述第一确定模块,用于基于第一防火墙规则携带的信息,确定所述第一防火墙规则在目标防火墙规则列表中的优先级;
其中,所述第一防火墙规则携带的信息至少包含所述第一防火墙规则的后一条防火墙规则的ID信息、及所述第一防火墙规则的前一条防火墙规则的状态信息;
所述***模块,用于根据所述第一防火墙规则在所述目标防火墙规则列表中的优先级,将所述第一防火墙规则***到所述目标防火墙规则列表。
上述方案中,所述装置还包括第二确定模块,用于基于所述第一防火墙规则携带的信息,确定所述第一防火墙规则在所述目标防火墙规则列表中的排列位置。
上述方案中,所述装置还包括第一调整模块,用于当所述目标防火墙规则列表中包含除所述第一防火墙规则外的至少一条其他防火墙规则时,根据所述第一防火墙规则的优先级,调整所述目标防火墙规则列表中的所述至少一条其他防火墙规则的优先级。
上述方案中,所述装置还包括删除模块,用于从所述目标防火墙规则列表中删除第二防火墙规则。
上述方案中,所述装置还包括第二调整模块,用于当所述目标防火墙规则列表中包含除所述第二防火墙规则外的至少一条剩余防火墙规则时,根据所述第二防火墙规则的优先级,调整所述目标防火墙规则列表中的所述至少一条剩余防火墙规则的优先级。
上述方案中,所述装置还包括推送模块,用于接收到终端设备的访问所述目标防火墙规则列表的请求;根据所述请求,将所述目标防火墙规则列表推送至所述终端设备。
本发明实施例还提供一种存储介质,其上存储有可执行程序,所述可执行程序被处理器执行时实现上述技术方案中的步骤。
本发明实施例还提供一种防火墙规则处理装置,包括存储器、处理器及存储在存储器上并能够由所述处理器运行的可执行程序,其特征在于,所述处理器运行所述可执行程序时执行上述技术方案中的步骤。
本发明实施例提供的防火墙规则处理方法、装置及存储介质,防火墙运营平台根据第一防火墙规则携带的信息,确定所述第一防火墙规则在目标防火墙规则列表中的优先级;根据所述第一防火墙规则在所述目标防火墙规则列表中的优先级,将所述第一防火墙规则***到所述目标防火墙规则列表。具体的,当所述第一防火墙规则***所述目标防火墙规则列表时,防火墙运营平台仅根据***的所述第一防火墙规则的优先级,便可以直接对所述目标防火墙规则列表中的其他防火墙规则的优先级进行相应调整,便可得到调整后的目标防火墙规则列表。也就是说,根据防火墙规则优先级的调整便能够实现防火墙规则列表的调整,且无需防火墙规则列表中的其他防火墙规则因为优先级的调整而改变所在区间,这便提高了防火墙规则维护过程的效率,同时简化了防火墙规则的维护规程。并且,防火墙运营平台完成防火墙规则列表的维护过程,并将所述调整后的防火墙规则列表发送至终端设备,简化了与终端设备的交互过程,缩短了响应时长。
附图说明
图1为本发明实施例的防火墙规则处理方法的实现流程示意图;
图2为本发明实施例的防火墙规则列表结构示意图;
图3为本发明实施例的防火墙规则列表获取流程示意图;
图4为本发明实施例的防火墙规则***防火墙规则列表过程示意图;
图5为现有技术中防火墙规则列表获取流程示意图;
图6为现有技术中防火墙规则存储结构示意图;
图7为本发明实施例的防火墙规则从防火墙规则列表删除过程示意图;
图8为本发明实施例的防火墙规则处理装置的组成结构示意图;
图9为本发明实施例的防火墙规则处理装置的硬件结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明实施例进行详细说明。
实施例一、
本发明实施例中,防火墙规则处理方法的实现流程示意图如图1所示,包括以下步骤:
步骤101:基于第一防火墙规则携带的信息,确定所述第一防火墙规则在目标防火墙规则列表中的优先级;其中,所述第一防火墙规则携带的信息至少包含所述第一防火墙规则的后一条防火墙规则的标识ID信息、及所述第一防火墙规则的前一条防火墙规则的状态信息;
步骤102:根据所述第一防火墙规则在所述目标防火墙规则列表中的优先级,将所述第一防火墙规则***到所述目标防火墙规则列表。
在本发明实施例中的步骤101中,所述第一防火墙规则携带的信息至少包含所述第一防火墙规则的ID信息、所述第一防火墙规则的后一条防火墙规则的ID信息、及所述第一防火墙规则的前一条防火墙规则的状态信息。进一步的,所述第一防火墙规则的ID信息、所述第一防火墙规则的后一条防火墙规则的ID信息、及所述第一防火墙规则的前一条防火墙规则的状态信息等信息也可以存储在云平台的数据库中,当第一防火墙规则***目标防火墙列表时,由防火墙运营平台从云平台的数据库中调取。其中,所述云平台通常指第三方提供商提供的能够使用的云,一般可通过互联网使用,可在当今整个开放的公有网络中提供服务。防火墙规则是一种基于互联网协议(Internet Protocol,IP)地址和端口的云主机出入访问控制策略。因此,合理的设定防火墙规则可以大幅度提高云主机的安全性,同时也可利用防火墙实现不同项目间的网络访问控制。
进一步的,如图2所示,防火墙规则列表中的每个防火墙规则包含着后一条防火墙规则的ID信息及自身的ID信息。比如,防火墙规则1中包含着防火墙规则2的ID信息及自身的ID信息。那么,便可以知道防火墙规则2的后一条防火墙规则为防火墙规则3,同理,防火墙规则3的后一条防火墙规则是防火墙规则4。这样根据防火墙规则携带的信息便可以维护着防火墙规则列表的优先级顺序。
进一步的,当防火墙运营平台获取到所述第一防火墙规则携带的信息后,便可以确定所述第一防火墙规则的后一条防火墙规则的ID信息、第一防火墙规则的ID信息及所述第一防火墙规则的优先级字段,便可以确定所述第一防火墙规则在目标防火墙规则列表中的优先级。
在步骤102中,所述第一防火墙规则即为即将***到防火墙规则列表中的防火墙规则。根据第一防火墙规则的优先级字段,可以明确其优先级。若所述目标防火墙规则列表中没有任何防火墙规则,则将所述第一防火墙规则直接***所述目标防火墙规则列表,且优先级为1,即优先级最高。若所述目标防火墙规则列表中包含除所述第一防火墙规则外的至少一条其他防火墙规则,则将所述第一防火墙规则***到所述目标防火墙规则列表中,并对所述目标防火墙规则列表中的所述至少一条其他防火墙规则的优先级进行调整。其中,所述目标防火墙规则列表中各防火墙规则的优先级均不相同。
进一步的,所述根据所述第一防火墙规则的优先级,调整所述目标防火墙规则列表中的所述至少一条其他防火墙规则的优先级,包括:
若所述第一防火墙规则在所述目标防火墙规则列表中的优先级最低,则所述目标防火墙规则列表中的所述至少一条其他防火墙规则的优先级不变;
若所述第一防火墙规则在所述目标防火墙规则列表中的优先级最高,则所述目标防火墙规则列表中的所述至少一条其他防火墙规则的优先级均加1;
若所述第一防火墙规则在所述目标防火墙规则列表中的优先级排在中间,则将所述目标防火墙规则列表中的优先级大于所述第一防火墙规则的前一条防火墙规则优先级的各防火墙规则的优先级加1。
进一步的,防火墙运营平台可以基于所述第一防火墙规则携带的信息,确定所述第一防火墙规则在所述目标防火墙规则列表中的排列位置。具体的:
若所述第一防火墙规则携带的信息为后一条防火墙规则的ID信息为空且前一条防火墙规则不为空,则所述第一防火墙排在所述目标防火墙规则列表的最后;
若所述第一防火墙规则携带的信息为后一条防火墙规则的ID信息为空且前一条防火墙规则为空,则所述目标防火墙列表为空,所述第一防火墙是所述目标防火墙规则列表中的第一条规则;
若所述第一防火墙规则携带的信息为后一条防火墙规则的ID信息不为空且前一条防火墙规则为空,则所述第一防火墙排在所述目标防火墙规则列表的第一位;
若所述第一防火墙规则携带的信息为后一条防火墙规则的ID信息不为空且前一条防火墙规则不为空,所述第一防火墙排在所述目标防火墙规则列表的中间位置。
进一步的,所述第一防火墙规则***所述目标防火墙规则列表的过程是在防火墙运营平台中完成。如图3所示,防火墙运营平台接收到终端设备发送的访问防火墙规则列表的请求,便向所述终端设备推送防火墙规则列表。
下面结合一个实例,对防火墙规则A***到目标防火墙规则列表B的过程进行详细描述。
如图4所示,当后一条防火墙规则的识别信息为空,且防火墙规则A的前置防火墙规则不为空时,则防火墙规则A排在目标防火墙规则列表B的最后,优先级最低。那么,防火墙运营平台将防火墙规则A的前置防火墙规则的后一条防火墙规则识别信息设置为防火墙规则A的识别信息,将防火墙规则A的前置防火墙规则优先级加1作为防火墙规则A的优先级;
当后一条防火墙规则的识别信息为空,且防火墙规则A的前置防火墙规则为空时,则目标防火墙规则列表B为空,即防火墙规则A为第一条规则。那么,防火墙运营平台设置防火墙规则A的优先级为1;
当后一条防火墙规则的识别信息不为空,且防火墙规则A的前置防火墙规则为空时,则防火墙规则A为优先级最高的规则。那么,防火墙运营平台更新目标防火墙规则列表B所有防火墙规则的优先级加1,之后设置防火墙规则A的优先级为1;
当后一条防火墙规则的识别信息不为空,且防火墙规则A的前置防火墙规则不为空时,则防火墙规则A***顺序处于目标防火墙规则列表B的中间,那么,防火墙运营平台设置防火墙规则A的前置防火墙规则的后一条防火墙规则识别信息设置为防火墙规则A的识别信息,更新优先级大于防火墙规则A的前置防火墙规则优先级的所有防火墙规则的优先级加1,设置防火墙规则A的优先级为防火墙规则A的前置防火墙规则优先级加1。
其中,防火墙规则列表B中优先级1的防火墙规则优先级最高,数值越大,优先级越低。
这里,相较于本发明实施例的技术方案,现有技术中对同一IP设置多条防火墙规则时,可以对所设置的防火墙规则进行优先级设置。如图5所示,在向终端设备显示防火墙规则时,会从防火墙设备处而非防火墙运营平台侧获取防火墙规则列表,防火墙规则列表到达防火墙运营平台侧后,必要时对防火墙规则添加防火墙运营平台侧的附加信息。比如,防火墙规则中IP所绑定的资源信息。最后对防火墙规则的优先级进行排序后返回到页面进行显示。整个流程需要对防火墙设备处返回的防火墙规则进行排序设置优先级,添加防火墙运营平台侧的规则信息。
如图6所示,现有技术方案中防火墙规则存储于设备层的硬件中,通过对硬件设备分区形成有顺序的区间,防火墙规则就存储于这些区间中,维系着防火墙规则的优先级顺序,新防火墙规则按照优先级的大小***到不同的区间中,当防火墙规则要***的某个区间防火墙规则数量达到最大值时,比该区间中防火墙规则优先级低的所有中的防火墙规则需要向后移一个区间,以腾出空的区间让所述新防火墙规则***。
可知,防火墙规则存储于防火墙设备侧,终端设备要获取防火墙规则列表需要与防火墙运营平台及防火墙设备侧进行信息交互,由防火墙运营平台设置防火墙规则列表的顺序,然后发送给终端设备。终端设备获取防火墙规则列表的交互信息较多,请求链较长。此外,防火墙规则列表中***或删除防火墙规则时,需要在防火墙运营平台侧维护防火墙规则的优先级顺序。当新的防火墙规则***时,可能会引起多个区间中的防火墙规则进行变动,防火墙规则***过程相对复杂,效率低下。
可见,上述现有技术中,终端设备获取防火墙规则列表,需要与防火墙运营平台和防火墙设备进行交互。并且,防火墙规则***到防火墙规则列表或者从防火墙规则列表中删除防火墙规则的过程,都需要对防火墙列表中的防火墙规则的所在区间进行调整。上述现有技术中,无法仅根据***的防火墙规则的优先级,便实现对防火墙规则列表中的其他防火墙规则优先级的调整,得到调整后防火墙规则列表。同时,也无法将防火墙规则列表保存在防火墙运营平台,从而使得终端设备只需与防火墙运营平台进行交互便可以获取防火墙规则列表。
然而,本实施例中在防火墙运营平台实现了防火墙规则***防火墙规则列表的过程。具体的,通过给第一防火墙规则添加了优先级字段,根据所述第一防火墙规则携带的信息,直接确定所述第一防火墙规则在目标防火墙列表中的优先级。防火墙运营平台根据所述第一防火墙规则的优先级,对所述目标防火墙规则列表中的其他防火墙规则的优先级进行相应调整。并且无需防火墙规则列表中各防火墙规则重新调整存储区间的过程。可见,简化了防火墙规则的***过程。进一步的,防火墙运营平台将***所述第一防火墙规则的目标防火墙规则列表直接推送至终端设备,简化了与终端设备的交互过程。
实施例二、
本实施例中,对防火墙运营平台将防火墙规则从防火墙规则列表中删除的过程进行详细描述。
这里,防火墙运营平台需要将防火墙规则从防火墙规则列表中删除时,会出现以下几种情况。具体的,当所述目标防火墙规则列表中只含有所述第二防火墙规则这一条防火墙规则,那么删除所述第二防火墙规则后,所述目标防火墙规则列表为空;当所述目标防火墙规则列表中包含除所述第二防火墙规则外至少一条剩余的防火墙规则时,根据所述第二防火墙规则的优先级,调整所述目标防火墙规则列表中的至少一条剩余防火墙规则的优先级。
进一步的,防火墙运营平台根据所述第二防火墙规则的优先级,调整所述目标防火墙规则列表中的所述至少一条剩余防火墙规则的优先级,包括:
若所述第二防火墙规则在所述目标防火墙规则列表中的优先级为1,即优先级最高,则将所述目标防火墙规则列表中优先级大于1的各防火墙规则的优先级均减1;
若所述第二防火墙规则在所述目标防火墙规则列表中的优先级最低,则所述目标防火墙规则列表中的至少一条剩余防火墙规则的优先级不变;
若所述第二防火墙规则的优先级在所述目标防火墙规则列表中排在中间,则将优先级大于所述第二防火墙规则的各防火墙规则优先级减1。
进一步的,防火墙运营平台可以基于所述第二防火墙规则携带的信息,确定所述第二防火墙规则在所述目标防火墙规则列表中的排列位置。具体的:
若所述第二防火墙规则的优先级为1,则所述第二防火墙规则排在所述目标防火墙规则列表的第一位;
若所述第二防火墙规则的优先级不为1且所述第二防火墙规则携带信息为后一条防火墙规则ID信息为空,则所述第二防火墙规则排在所述目标防火墙规则列表的最后;
若所述第二防火墙规则的优先级不为1且所述第二防火墙规则携带信息为后一条防火墙规则ID信息不为空,则所述第二防火墙规则排在所述目标防火墙规则列表的中间位置。
进一步的,将所述第二防火墙规则从所述目标防火墙规则列表删除的过程是在防火墙运营平台中完成。
下面结合一个实例,对防火墙规则C从目标防火墙规则列表B中删除的过程进行详细描述。
如图7所示,当防火墙规则C优先级为1,则防火墙规则C为目标防火墙规则列表B中优先级最高的规则,防火墙运营平台对所有优先级大于1的规则设置其优先级都减1;
当防火墙规则C优先级不为1,且防火墙规则C的后一条防火墙规则的识别信息为空,则防火墙规则C为目标防火墙规则列表B中优先级最低的规则,那么,防火墙运营平台设置防火墙规则C的前置防火墙规则的后一条防火墙规则的识别信息为空;
当防火墙规则C优先级不为1,且防火墙规则C的后一条防火墙规则的识别信息不为空,则防火墙规则C处于目标防火墙规则列表B的中间位置,那么,防火墙运营平台将防火墙规则C的前置防火墙规则的后一条防火墙规则的识别信息设置为防火墙规则C的后置防火墙规则的识别信息,并且设置目标防火墙规则列表B中优先级大于防火墙规则C的所有防火墙规则优先级减1。
进一步的,防火墙规则***防火墙规则列表及从防火墙规则列表中删除防火墙规则均是在防火墙运营平台完成的。也就是说,防火墙规则的维护过程是在防火墙运营平台实现的。当目标终端设备查询防火墙规则列表时,直接向防火墙运营平台发送请求,防火墙运营平台接收到目标用户终端的访问所述目标防火墙规则列表的请求;防火墙运营平台便会根据所述请求,直接将所述目标防火墙规则列表推送至所述目标用户终端,简化了防火墙规则列表的排序过程。
本实施例中,在防火墙运营平台实现了将防火墙规则从防火墙规则列表中删除的过程,并且对防火墙规则列表中至少一个剩余防火墙规则进行优先级调整。进一步的,防火墙规则的调整过程不涉及防火墙规则所在区间的调整,从而使得防火墙规则的删除过程得到了简化。
实施例三、
为实现上述防火墙规则处理方法,本发明实施例还提供了一种防火墙规则处理装置,所述装置的组成结构示意图如图8所示,包括:第一确定模块81、***模块82;其中,
所述第一确定模块81,用于基于第一防火墙规则携带的信息,确定所述第一防火墙规则在目标防火墙规则列表中的优先级;
其中,所述第一防火墙规则携带的信息至少包含所述第一防火墙规则的后一条防火墙规则的ID信息、及所述第一防火墙规则的前一条防火墙规则的状态信息;进一步的,所述第一防火墙规则的ID信息、所述第一防火墙规则的后一条防火墙规则的ID信息、及所述第一防火墙规则的前一条防火墙规则的状态信息等信息可以存储在云平台的数据库中,当第一防火墙规则***目标防火墙列表时,由防火墙运营平台从云平台的数据库中调取。
所述***模块82,用于根据所述第一防火墙规则在所述目标防火墙规则列表中的优先级,将所述第一防火墙规则***到所述目标防火墙规则列表。
这里,根据第一防火墙规则的优先级字段,可以明确其优先级。若所述目标防火墙规则列表中没有任何防火墙规则,则将所述第一防火墙规则直接***所述目标防火墙规则列表,且优先级为1,即优先级最高。
这里,所述装置还包括第二确定模块,用于基于所述第一防火墙规则携带的信息,确定所述第一防火墙规则在所述目标防火墙规则列表中的排列位置。
具体的,若所述第一防火墙规则携带的信息为后一条防火墙规则的ID信息为空且前一条防火墙规则不为空,则所述第一防火墙排在所述目标防火墙规则列表的最后;
若所述第一防火墙规则携带的信息为后一条防火墙规则的ID信息为空且前一条防火墙规则为空,则所述目标防火墙列表为空,所述第一防火墙是所述目标防火墙规则列表中的第一条规则;
若所述第一防火墙规则携带的信息为后一条防火墙规则的ID信息不为空且前一条防火墙规则为空,则所述第一防火墙排在所述目标防火墙规则列表的第一位;
若所述第一防火墙规则携带的信息为后一条防火墙规则的ID信息不为空且前一条防火墙规则不为空,所述第一防火墙排在所述目标防火墙规则列表的中间位置。
进一步的,所述装置还包括第一调整模块,用于当所述目标防火墙规则列表中包含除所述第一防火墙规则外的至少一条其他防火墙规则时,根据所述第一防火墙规则的优先级,调整所述目标防火墙规则列表中的所述至少一条其他防火墙规则的优先级。进一步的,所述第一调整模块,具体用于:
若所述第一防火墙规则在所述目标防火墙规则列表中的优先级最低,则所述目标防火墙规则列表中的所述至少一条其他防火墙规则的优先级不变;
若所述第一防火墙规则在所述目标防火墙规则列表中的优先级最高,则所述目标防火墙规则列表中的所述至少一条其他防火墙规则的优先级均加1;
若所述第一防火墙规则在所述目标防火墙规则列表中的优先级排在中间,则将所述目标防火墙规则列表中的优先级大于所述第一防火墙规则的前一条防火墙规则优先级的各防火墙规则的优先级加1。
进一步的,基于所述第二防火墙规则携带的信息,确定所述第二防火墙规则在所述目标防火墙规则列表中的排列位置,具体的:
若所述第二防火墙规则的优先级为1,则所述第二防火墙规则排在所述目标防火墙规则列表的第一位;
若所述第二防火墙规则的优先级不为1且所述第二防火墙规则携带信息为后一条防火墙规则ID信息为空,则所述第二防火墙规则排在所述目标防火墙规则列表的最后;
若所述第二防火墙规则的优先级不为1且所述第二防火墙规则携带信息为后一条防火墙规则ID信息不为空,则所述第二防火墙规则排在所述目标防火墙规则列表的中间位置。
这里,所述装置还包括删除模块,用于从所述目标防火墙规则列表中删除第二防火墙规则。
进一步的,所述装置还包括第二调整模块,用于当所述目标防火墙规则列表中包含除所述第二防火墙规则外的所述至少一条剩余防火墙规则时,根据所述第二防火墙规则的优先级,调整所述目标防火墙规则列表中的至少一条剩余防火墙规则的优先级。进一步的,所述第二调整模块,具体用于:
若所述第二防火墙规则在所述目标防火墙规则列表中的优先级为1,即优先级最高,则将所述目标防火墙规则列表中优先级大于1的各防火墙规则的优先级均减1;
若所述第二防火墙规则在所述目标防火墙规则列表中的优先级最低,则所述目标防火墙规则列表中的所述至少一条剩余防火墙规则的优先级不变;
若所述第二防火墙规则的优先级在所述目标防火墙规则列表中排在中间,则将优先级大于所述第二防火墙规则的各防火墙规则优先级减1。
进一步的,所述装置还包括推送模块,用于接收到终端设备的访问所述目标防火墙规则列表的请求;根据所述请求,将所述目标防火墙规则列表推送至所述终端设备。
在实际应用中,所述第一确定模块81、***模块82、第二确定模块、第一调整模块、删除模块、第二调整模块及推送模块均可由位于终端设备中的中央处理器(CPU,CentralProcessing Unit)、微处理器(MPU,Micro Processor Unit)、数字信号处理器(DSP,Digital Signal Processor)、或现场可编程门阵列(FPGA,Field Programmable GateArray)等实现。
需要说明的是:上述实施例提供的防火墙规则处理装置在进行防火墙规则处理时,仅以上述各程序模块的划分进行举例说明,实际应用中,可以根据需要而将上述处理分配由不同的程序模块完成,即将装置的内部结构划分成不同的程序模块,以完成以上描述的全部或者部分处理。另外,上述实施例提供的防火墙规则处理装置与防火墙规则处理方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
为实现上述方法,本发明实施例还提供了另一种防火墙规则处理装置,该装置包括存储器、处理器及存储在存储器上并能够由所述处理器运行的可执行程序,所述处理器运行所述可执行程序时,执行以下操作:
基于第一防火墙规则携带的信息,确定所述第一防火墙规则在目标防火墙规则列表中的优先级;其中,所述第一防火墙规则携带的信息至少包含所述第一防火墙规则的后一条防火墙规则的ID信息、及所述第一防火墙规则的前一条防火墙规则的状态信息;
根据所述第一防火墙规则在所述目标防火墙规则列表中的优先级,将所述第一防火墙规则***到所述目标防火墙规则列表。
所述处理器还用于运行所述可执行程序时,执行以下操作:
基于所述第一防火墙规则携带的信息,确定所述第一防火墙规则在所述目标防火墙规则列表中的排列位置。
所述处理器还用于运行所述可执行程序时,执行以下操作:
当所述目标防火墙规则列表中包含除所述第一防火墙规则外的至少一条其他防火墙规则时,根据所述第一防火墙规则的优先级,调整所述目标防火墙规则列表中的所述至少一条其他防火墙规则的优先级所述处理器还用于运行所述可执行程序时,执行以下操作:
从所述目标防火墙规则列表中删除第二防火墙规则。所述处理器还用于运行所述可执行程序时,执行以下操作:
当所述目标防火墙规则列表中包含除所述第二防火墙规则外的至少一条剩余防火墙规则时,根据所述第二防火墙规则的优先级,调整所述目标防火墙规则列表中的至少一条剩余防火墙规则的优先级。
所述处理器还用于运行所述可执行程序时,执行以下操作:
接收到终端设备的访问所述目标防火墙规则列表的请求;
根据所述请求,将所述目标防火墙规则列表推送至所述终端设备。
下面以防火墙规则处理装置实施为用于防火墙规则处理的服务器或终端为例,对该防火墙规则处理装置的硬件结构做进一步说明。
图9给出了本发明实施例的防火墙规则处理装置的硬件结构示意图,图9所示的防火墙规则处理装置900包括:至少一个处理器901、存储器902、用户接口903和至少一个网络接口904。所述防火墙规则处理装置900中的各个组件通过总线***905耦合在一起。可理解,总线***905用于实现这些组件之间的连接通信。总线***905除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图9中将各种总线都标为总线***905。
其中,用户接口903可以包括显示器、键盘、鼠标、轨迹球、点击轮、按键、按钮、触感板或者触摸屏等。
可以理解,存储器902可以是易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。
本发明实施例中的存储器902用于存储各种类型的数据以支持防火墙规则处理装置900的操作。这些数据的示例包括:用于在防火墙规则处理装置900上操作的任何计算机程序,如可执行程序9021,实现本发明实施例方法的程序可以包含在可执行程序9021中。
上述本发明实施例揭示的方法可以应用于处理器901中,或者由处理器901实现。处理器901可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器901中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器901可以是通用处理器、DSP,或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器901可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器902,处理器901读取存储器902中的信息,结合其硬件完成前述方法的步骤。
在示例性实施例中,本发明实施例还提供了一种存储介质,其上存储有可执行程序,所述可执行程序被防火墙规则处理装置900的处理器901运行时,执行以下操作:
基于第一防火墙规则携带的信息,确定所述第一防火墙规则在目标防火墙规则列表中的优先级;其中,所述第一防火墙规则携带的信息至少包含所述第一防火墙规则的后一条防火墙规则的ID信息、及所述第一防火墙规则的前一条防火墙规则的状态信息;
根据所述第一防火墙规则在所述目标防火墙规则列表中的优先级,将所述第一防火墙规则***到所述目标防火墙规则列表。
所述可执行程序被防火墙规则处理装置900的处理器901运行时,还执行以下操作:
基于所述第一防火墙规则携带的信息,确定所述第一防火墙规则在所述目标防火墙规则列表中的排列位置。
所述可执行程序被防火墙规则处理装置900的处理器901运行时,还执行以下操作:
当所述目标防火墙规则列表中包含除所述第一防火墙规则外的至少一条其他防火墙规则时,根据所述第一防火墙规则的优先级,调整所述目标防火墙规则列表中的所述至少一条其他防火墙规则的优先级。
所述可执行程序被防火墙规则处理装置900的处理器901运行时,还执行以下操作:
从所述目标防火墙规则列表中删除第二防火墙规则。所述可执行程序被防火墙规则处理装置900的处理器901运行时,还执行以下操作:
当所述目标防火墙规则列表中包含除所述第二防火墙规则外的至少一条剩余防火墙规则时,根据所述第二防火墙规则的优先级,调整所述目标防火墙规则列表中的所述至少一条剩余防火墙规则的优先级。
所述可执行程序被防火墙规则处理装置900的处理器901运行时,还执行以下操作:
接收到终端设备的访问所述目标防火墙规则列表的请求;
根据所述请求,将所述目标防火墙规则列表推送至所述终端设备。
本领域内的技术人员应明白,本发明的实施例可提供为方法、***、或可执行程序产品。因此,本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的可执行程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(***)、和可执行程序产品的流程图和/或方框图来描述的。应理解可由可执行程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些可执行程序指令到通用计算机、专用计算机、嵌入式处理机或参考可编程数据处理设备的处理器以产生一个机器,使得通过计算机或参考可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些可执行程序指令也可存储在能引导计算机或参考可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些可执行程序指令也可装载到计算机或参考可编程数据处理设备上,使得在计算机或参考可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或参考可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。

Claims (12)

1.一种防火墙规则处理方法,其特征在于,所述方法包括:
基于第一防火墙规则携带的信息,确定所述第一防火墙规则在目标防火墙规则列表中的优先级;其中,所述第一防火墙规则携带的信息至少包含所述第一防火墙规则的后一条防火墙规则的标识ID信息、及所述第一防火墙规则的前一条防火墙规则的状态信息;
根据所述第一防火墙规则在所述目标防火墙规则列表中的优先级,将所述第一防火墙规则***到所述目标防火墙规则列表;
所述方法还包括:
当所述目标防火墙规则列表中包含除所述第一防火墙规则外的至少一条其他防火墙规则时,若所述第一防火墙规则在所述目标防火墙规则列表中的优先级最低,则所述目标防火墙规则列表中的所述至少一条其他防火墙规则的优先级不变;
若所述第一防火墙规则在所述目标防火墙规则列表中的优先级最高,则所述目标防火墙规则列表中的所述至少一条其他防火墙规则的优先级均加1;
若所述第一防火墙规则在所述目标防火墙规则列表中的优先级排在中间,则将所述目标防火墙规则列表中的优先级大于所述第一防火墙规则的前一条防火墙规则优先级的各防火墙规则的优先级加1。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
基于所述第一防火墙规则携带的信息,确定所述第一防火墙规则在所述目标防火墙规则列表中的排列位置。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
从所述目标防火墙规则列表中删除第二防火墙规则。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
当所述目标防火墙规则列表中包含除所述第二防火墙规则外的至少一条剩余防火墙规则时,根据所述第二防火墙规则的优先级,调整所述目标防火墙规则列表中的所述至少一条剩余防火墙规则的优先级。
5.根据权利要求1至4任一项所述的方法,其特征在于,所述方法还包括:
接收到终端设备的访问所述目标防火墙规则列表的请求;
根据所述请求,将所述目标防火墙规则列表推送至所述终端设备。
6.一种防火墙规则处理装置,其特征在于,所述装置包括:第一确定模块和***模块;其中,
所述第一确定模块,用于基于第一防火墙规则携带的信息,确定所述第一防火墙规则在目标防火墙规则列表中的优先级;
其中,所述第一防火墙规则携带的信息至少包含所述第一防火墙规则的后一条防火墙规则的ID信息、及所述第一防火墙规则的前一条防火墙规则的状态信息;
所述***模块,用于根据所述第一防火墙规则在所述目标防火墙规则列表中的优先级,将所述第一防火墙规则***到所述目标防火墙规则列表;
所述装置还包括第一调整模块,用于当所述目标防火墙规则列表中包含除所述第一防火墙规则外的至少一条其他防火墙规则时,若所述第一防火墙规则在所述目标防火墙规则列表中的优先级最低,则所述目标防火墙规则列表中的所述至少一条其他防火墙规则的优先级不变;
若所述第一防火墙规则在所述目标防火墙规则列表中的优先级最高,则所述目标防火墙规则列表中的所述至少一条其他防火墙规则的优先级均加1;
若所述第一防火墙规则在所述目标防火墙规则列表中的优先级排在中间,则将所述目标防火墙规则列表中的优先级大于所述第一防火墙规则的前一条防火墙规则优先级的各防火墙规则的优先级加1。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括第二确定模块,用于基于所述第一防火墙规则携带的信息,确定所述第一防火墙规则在所述目标防火墙规则列表中的排列位置。
8.根据权利要求6所述的装置,其特征在于,所述装置还包括删除模块,用于从所述目标防火墙规则列表中删除第二防火墙规则。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括第二调整模块,用于当所述目标防火墙规则列表中包含除所述第二防火墙规则外的至少一条剩余防火墙规则时,根据所述第二防火墙规则的优先级,调整所述目标防火墙规则列表中的所述至少一条剩余防火墙规则的优先级。
10.根据权利要求6至9任一项所述的装置,其特征在于,所述装置还包括推送模块,用于接收到终端设备的访问所述目标防火墙规则列表的请求;根据所述请求,将所述目标防火墙规则列表推送至所述终端设备。
11.一种存储介质,其上存储有可执行程序,其特征在于,所述可执行程序被处理器执行时实现权利要求1至5任一项所述方法的步骤。
12.一种防火墙规则处理装置,包括存储器、处理器及存储在存储器上并能够由所述处理器运行的可执行程序,其特征在于,所述处理器运行所述可执行程序时执行权利要求1至5任一项所述方法的步骤。
CN201910626279.7A 2019-07-11 2019-07-11 一种防火墙规则处理方法、装置及存储介质 Active CN112217773B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910626279.7A CN112217773B (zh) 2019-07-11 2019-07-11 一种防火墙规则处理方法、装置及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910626279.7A CN112217773B (zh) 2019-07-11 2019-07-11 一种防火墙规则处理方法、装置及存储介质

Publications (2)

Publication Number Publication Date
CN112217773A CN112217773A (zh) 2021-01-12
CN112217773B true CN112217773B (zh) 2022-07-01

Family

ID=74047783

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910626279.7A Active CN112217773B (zh) 2019-07-11 2019-07-11 一种防火墙规则处理方法、装置及存储介质

Country Status (1)

Country Link
CN (1) CN112217773B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103873441A (zh) * 2012-12-12 2014-06-18 中国电信股份有限公司 防火墙安全规则优化方法及装置
CN105592086A (zh) * 2015-12-22 2016-05-18 Tcl集团股份有限公司 一种针对Android平台管理防火墙的方法及装置
CN108259514A (zh) * 2018-03-26 2018-07-06 平安科技(深圳)有限公司 漏洞检测方法、装置、计算机设备和存储介质
CN108900543A (zh) * 2018-08-13 2018-11-27 郑州云海信息技术有限公司 管理防火墙规则的方法和装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103873441A (zh) * 2012-12-12 2014-06-18 中国电信股份有限公司 防火墙安全规则优化方法及装置
CN105592086A (zh) * 2015-12-22 2016-05-18 Tcl集团股份有限公司 一种针对Android平台管理防火墙的方法及装置
CN108259514A (zh) * 2018-03-26 2018-07-06 平安科技(深圳)有限公司 漏洞检测方法、装置、计算机设备和存储介质
CN108900543A (zh) * 2018-08-13 2018-11-27 郑州云海信息技术有限公司 管理防火墙规则的方法和装置

Also Published As

Publication number Publication date
CN112217773A (zh) 2021-01-12

Similar Documents

Publication Publication Date Title
CN108681565B (zh) 区块链数据并行处理方法、装置、设备和存储介质
CN107832100B (zh) 一种apk插件的加载方法及其终端
CN109032796B (zh) 一种数据处理方法和装置
CN110795029B (zh) 一种云硬盘管理方法、装置、服务器及介质
EP4009162A1 (en) Code change method and device
CN110830234B (zh) 一种用户流量分配方法及装置
CN104866339A (zh) Fota数据的分布式持久化管理方法、***和装置
CN111880967A (zh) 云场景下的文件备份方法、装置、介质和电子设备
CN112667405B (zh) 信息处理方法、装置、设备及存储介质
CN107784085B (zh) 一种数据列表的导出方法及其终端
CN109271193B (zh) 一种数据处理方法、装置、设备及存储介质
US11444998B2 (en) Bit rate reduction processing method for data file, and server
CN111736950A (zh) 一种虚拟机的加速器资源添加方法及相关装置
CN108520401B (zh) 用户名单管理方法、装置、平台及存储介质
CN102333280A (zh) 一种业务密钥更新的方法、***及业务处理服务器
CN111294377A (zh) 一种依赖关系的网络请求发送方法、终端装置及存储介质
CN110741617A (zh) 资源更新方法、装置、计算机设备和存储介质
CN112217773B (zh) 一种防火墙规则处理方法、装置及存储介质
CN106686141A (zh) 资源下载方法及装置
CN106936643B (zh) 一种设备联动方法以及终端设备
CN116303343A (zh) 数据分片方法、装置、电子设备及存储介质
CN114070889B (zh) 配置方法、流量转发方法、设备、存储介质及程序产品
CN107977381B (zh) 数据配置方法、索引管理方法、相关装置以及计算设备
CN113821157B (zh) 一种本地磁盘挂载方法、装置、设备及存储介质
CN113590184A (zh) 一种配置处理方法、网络设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant