WO2020042471A1 - 防火墙策略验证方法、***、设备及可读存储介质 - Google Patents

防火墙策略验证方法、***、设备及可读存储介质 Download PDF

Info

Publication number
WO2020042471A1
WO2020042471A1 PCT/CN2018/122804 CN2018122804W WO2020042471A1 WO 2020042471 A1 WO2020042471 A1 WO 2020042471A1 CN 2018122804 W CN2018122804 W CN 2018122804W WO 2020042471 A1 WO2020042471 A1 WO 2020042471A1
Authority
WO
WIPO (PCT)
Prior art keywords
firewall policy
policy verification
source host
verification request
verification
Prior art date
Application number
PCT/CN2018/122804
Other languages
English (en)
French (fr)
Inventor
翟士才
马晓龙
朱皓
祁明远
李林鸽
Original Assignee
平安科技(深圳)有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 平安科技(深圳)有限公司 filed Critical 平安科技(深圳)有限公司
Publication of WO2020042471A1 publication Critical patent/WO2020042471A1/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/50Testing arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/08Protocols specially adapted for terminal emulation, e.g. Telnet

Definitions

  • This application provides a firewall policy verification method, system, device, and computer-readable storage medium.
  • the front end of this application verifies a monitored firewall policy verification request, and after the firewall policy verification request passes the verification, the firewall
  • the policy verification request is sent to the background server.
  • the background server performs remote login operations on each source host in the firewall policy verification request. After the remote login is successful, the firewall policy in the firewall policy verification request is sent to the corresponding source host for verification.
  • step S101 includes:
  • the firewall policy verification system of the present application is a virtual system, which is stored in the memory 1005 of the firewall policy verification device shown in FIG. 1 and is used to implement all functions of the readable instructions of the firewall policy verification.
  • the firewall policy verification request is verified, and when the firewall policy verification request passes the verification, the firewall policy verification request is sent to a background server; the firewall policy verification request sent by the front end is received, and the firewall policy is verified.
  • Each source host in the verification request performs a remote login operation; after each source host in the firewall policy verification request is successfully remotely logged in, the background server sends the firewall policy in the firewall policy verification request to the corresponding source host for verification.
  • remote login module 201 is further configured to:
  • front end further includes:

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供一种防火墙策略验证方法、***、设备及可读存储介质,包括:当前端监测到防火墙策略验证请求时,所述前端对所述防火墙策略验证请求进行校验,并在所述防火墙策略验证请求通过校验时,将所述防火墙策略验证请求发送至后台服务器;所述后台服务器接收所述前端发送的防火墙策略验证请求,并对所述防火墙策略验证请求中的各源主机执行远程登录操作;当所述防火墙策略验证请求中的各源主机远程登录成功后,所述后台服务器将所述防火墙策略验证请求中的防火墙策略发送至对应源主机进行验证。本申请能够有效的提高防火墙策略验证的便利性和减少后台资源的浪费。

Description

防火墙策略验证方法、***、设备及可读存储介质
本申请要求于2018年8月31日提交中国专利局、申请号为201811008170.9、发明名称为“防火墙策略验证方法、***、设备及可读存储介质”的中国专利申请的优先权,其全部内容通过引用结合在申请中。
技术领域
本申请涉及信息网络安全的技术领域,尤其涉及一种防火墙策略验证方法、***、设备及计算机可读存储介质。
背景技术
随着网络技术的快速发展,越来越多的企业利用网络实现人员管理、产品销售和业务咨询等,为实现上述功能,各公司需要搭建多个服务器,为提高企业内部的网络信息安全,需要对防火墙上的策略进行验证,即防火墙策略验证,具体指在企业***生产环境中,不同服务间相互访问时,通过登陆服务器,输入验证指令验证被访问服务所设置的防火墙策略,然后返回防火墙是否验证通过的结果,确认两项服务间是否具备访问和被访问权限。
目前,现有的防火墙策略验证是验证人员通过测试工具手动输入待验证主机的IP,然而,当需要验证策略的主机较多时,需要手动登录不同的服务器,或者在同一服务器上逐一验证需要访问的多台主机或多个服务,十分繁琐,不便于防火墙策略的验证,此外,用户可在页面随意输入,并且调用后台程序,浪费后台资源。
因此,如何提高防火墙策略验证的便利性和减少后台资源的浪费是目前亟待解决的问题。
发明内容
本申请的主要目的在于提供一种防火墙策略验证方法、***、设备及计算机可读存储介质,旨在提高防火墙策略验证的便利性和避免后台资源的浪费。
为实现上述目的,本申请提供一种防火墙策略验证方法,所述防火墙策略验证方法包括以下步骤:
当前端监测到防火墙策略验证请求时,所述前端对所述防火墙策略验证请求进行校验,并在所述防火墙策略验证请求通过校验时,将所述防火墙策略验证请求发送至后台服务器;
所述后台服务器接收所述前端发送的防火墙策略验证请求,并对所述防火墙策略验证请求中的各源主机执行远程登录操作;
当所述防火墙策略验证请求中的各源主机远程登录成功后,所述后台服务器将所述防火墙策略验证请求中的防火墙策略发送至对应源主机进行验证。
此外,为实现上述目的,本申请还提供一种防火墙策略验证***,所述防火墙策略验证***包括:前端和后台服务器,所述前端包括校验模块,所述后台服务器包括远程登录模块和策略验证模块,其中,
所述校验模块,用于当前端监测到防火墙策略验证请求时,对所述防火墙策略验证请求进行校验,并在所述防火墙策略验证请求通过校验时,将所述防火墙策略验证请求发送至后台服务器;
所述远程登录模块,用于所述接收所述前端发送的防火墙策略验证请求,并对所述防火墙策略验证请求中的各源主机执行远程登录操作;
所述策略验证模块,用于当所述防火墙策略验证请求中的各源主机远程登录成功后,将所述防火墙策略验证请求中的防火墙策略发送至对应源主机进行验证。
此外,为实现上述目的,本申请还提供一种防火墙策略验证设备,所述防火墙策略验证设备包括处理器、存储器、以及存储在所述存储器上并可被所述处理器执行的防火墙策略验证可读指令,其中所述防火墙策略验证可读指令被所述处理器执行时,实现以下步骤:
接收前端发送的通过校验的防火墙策略验证请求,并对所述防火墙策略验证请求中的各源主机执行远程登录操作;
当所述防火墙策略验证请求中的各源主机远程登录成功后,将所述防火墙策略验证请求中的防火墙策略发送至对应源主机进行验证。
此外,为实现上述目的,本申请还提供一种可读存储介质,所述可读存储介质上存储有防火墙策略验证可读指令,其中所述防火墙策略验证可读指令被处理器执行时,实现以下步骤:
接收前端发送的通过校验的防火墙策略验证请求,并对所述防火墙策略验证请求中的各源主机执行远程登录操作;
当所述防火墙策略验证请求中的各源主机远程登录成功后,将所述防火墙策略验证请求中的防火墙策略发送至对应源主机进行验证。
本申请提供一种防火墙策略验证方法、***、设备及计算机可读存储介质,本申请前端对监测到的防火墙策略验证请求进行校验,并在该防火墙策略验证请求通过校验之后,将该防火墙策略验证请求发送至后台服务器,由后台服务器对防火墙策略验证请求中的各源主机执行远程登录操作,并在远程登录成功后,将防火墙策略验证请求中的防火墙策略发送至对应源主机进行验证,由于前端将防火墙策略验证请求发送至后台服务器之前,对防火墙策略验证请求进行校验,且当防火墙策略验证请求通过校验,才能发送给后台服务器,有效的减少后台资源的浪费,同时后台服务器可对各源主机自动执行远程登录操作,不需要用户手动登录不同的服务器,也不需要在同一服务器上逐一验证需要访问的多台主机或多个服务,有效的提高防火墙策略验证的便利性。
附图说明
图1为本申请各实施例涉及的防火墙策略验证设备的硬件结构示意图;
图2为本申请防火墙策略验证方法第一实施例的流程示意图;
图3为本申请第三实施例中步骤S101的细化流程示意图;
图4为本申请防火墙策略验证***第一实施例的功能模块示意图。
本申请目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请实施例涉及的防火墙策略验证方法主要应用于防火墙策略验证设备,该防火墙策略验证设备可以是PC(个人计算机personal computer)、便携计算机、移动终端等具有显示和处理功能的设备。
参照图1,图1为本申请实施例方案中涉及的防火墙策略验证设备的硬件结构示意图。本申请实施例中,防火墙策略验证设备可以包括处理器1001(例如中央处理器Central Processing Unit、CPU),通信总线1002,用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信;用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard);网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口);存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器,存储器1005可选的还可以是独立于前述处理器1001的存储***。本领域技术人员可以理解,图1中示出的硬件结构并不构成对本申请的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
继续参照图1,图1中作为一种可读存储介质的存储器1005可以包括操作***、网络通信模块以及防火墙策略验证可读指令。在图1中,网络通信模块主要用于连接服务器,与服务器进行数据通信;而处理器1001可以调用存储器1005中存储的防火墙策略验证可读指令,并执行本申请实施例提供的防火墙策略验证方法。
本申请实施例提供了一种防火墙策略验证方法。
参照图2,图2为本申请防火墙策略验证方法第一实施例的流程示意图。
本实施例中,该防火墙策略验证方法包括以下步骤:
步骤S101,当前端监测到防火墙策略验证请求时,前端对防火墙策略验证请求进行校验,并在防火墙策略验证请求通过校验时,将防火墙策略验证请求发送至后台服务器;
步骤S102,后台服务器接收前端发送的防火墙策略验证请求,并对防火墙策略验证请求中的各源主机执行远程登录操作;
步骤S103,当防火墙策略验证请求中的各源主机远程登录成功后,后台服务器将防火墙策略验证请求中的防火墙策略发送至对应源主机进行验证。
目前,现有的防火墙策略验证是验证人员通过测试工具手动输入待验证主机的IP,然而,当需要验证策略的主机较多时,需要手动登录不同的服务器,或者在同一服务器上逐一验证需要访问的多台主机或多个服务,十分繁琐,不便于防火墙策略的验证,此外,用户可在页面随意输入,并且调用后台程序,浪费后台资源。考虑到上述问题,本实施例中提出一种防火墙策略验证方法,以下详细介绍防火墙策略验证方法的具体步骤:
步骤S101,当前端监测到防火墙策略验证请求时,前端对防火墙策略验证请求进行校验,并在防火墙策略验证请求通过校验时,将防火墙策略验证请求发送至后台服务器;
本实施例中,通过前端页面接收用户输入的主机信息,前端接收到用户输入的主机信息后,触发携带有该主机信息的防火墙策略验证请求,其中,该主机信息包括但不限于源主机IP、目标主机IP和端口。当前端监测到防火墙策略验证请求时,前端对该防火墙策略验证请求进行校验,并在该防火墙策略验证请求通过校验时,将该防火墙策略验证请求发送至后台服务器,而在该防火墙策略验证请求未通过校验时,前端显示提醒信息。具体实施中,可以利用上传附件的方式输入防火墙策略,即上传防火墙策略文件,对防火墙策略文件进行解析得到防火墙策略,利用附件上传的方式输入防火墙策略,可以避免手工输入较多的防火墙策略,提高防火墙策略的输入便利性。其中,校验对象包括但不限于该防火墙策略验证请求中的防火墙策略文件、防火墙策略文件中的主机信息,即源主机IP、目标主机IP和端口。
具体地,如果该防火墙策略验证请求中不存在防火墙策略文件,则前端从该防火墙策略验证请求中直接获取主机信息,并对该主机信息进行分类,然后按照类别对应的校验规则对各类主机信息进行校验,具体为对源主机IP和目标主机IP的类型校验,即通过正则表达式校验输入的信息是否为IP,如果输入的信息不为IP,则校验不通过,如果输入的信息为IP,则校验通过;对端口进行非空校验和数字类型校验,即校验输入的端口的数据类型是否为数字,是否未输入端口,如果未输入端口,或者输入的端口的类型不为数字,则校验不通过,如果输入的端口为数字,则校验通过;物理主机和云主机校验,即校验用户是否至少选择物理主机防火墙验证和云主机防火墙验证中的一个,用户均为选择物理主机防火墙验证和云主机防火墙验证时,校验不通过。其中,用户可通过前端输入多个应用IP,即用户按照与后台服务器约定的分隔字符输入各应用IP,得到携带有多个应用IP的字符串,后台服务器接收到该字符串之后,通过约定的分隔字符将该字符串分割为单个IP,并通过正则表达式校验每个IP。
进一步地,在校验的过程中,还可以对后台服务的防火墙策略验证过程进行校验,具体为前端读取预设存储区域中的后台服务器状态值,并依据该后台服务器状态值,确定后台服务器的状态,即当该后台服务器状态值为“0”时,后台服务器的状态为空闲状态,当该后台服务器状态值为“1”时,后台服务器的状态为防火墙验证状态;如果后台服务器的状态为防火墙策略验证状态,则锁定前端的页面提交按钮,并当监测到后台服务器的状态为由防火墙策略验证状态转变为空闲状态,则解锁前端的页面提交按钮。通过防火墙验证过程校验,防止用户重复提交防火墙策略,给后台服务器增加工作量的同时降低效率(由于需要验证的防火墙策略较多,后台服务器需要较长的处理时间)。
步骤S102,后台服务器接收前端发送的防火墙策略验证请求,并对防火墙策略验证请求中的各源主机执行远程登录操作;
本实施例中,该后台服务器接收前端发送的防火墙策略验证请求,并该对防火墙策略验证请求中的各源主机执行远程登录操作。其中,各源主机的远程登录操作的具体方式可以为远程免密登录和远程调用密码登录。
远程免密登录为设置一服务主机,通过该服务主机管理所有主机和服务,实现对管理的所有主机和服务的远程免密登录,具体为获取服务主机的密钥信息,并调用云接口向各源主机推送预设脚本和该密钥信息,由各源主机执行预设脚本,检测各源主机的配置文件中是否存在该密钥信息,如果源主机的配置文件中存在该密钥信息,则删除预设脚本,如果源主机的配置文件中不存在该密钥信息,则将该密钥信息写入配置文件中,使得各源主机的信任列表中存在服务主机,通过该登录信息列表和服务主机的密钥信息即可远程免密登录各源主机,不需要手动登录不同的服务器,可有效的提高防火墙策略验证的便利性。
远程调用密码登录为各源主机在搭建注册时,均分配有对应的logop用户密码,即登录密码,后台服务器在接收到防火墙策略验证请求时,通过拼接URL的方式调用接口,获取各源主机的登录密码,并利用该登录密码通过指定密码的方式远程登录各源主机,即将携带有IP和登录密码的指令发送至对应的源主机,以远程登录各源主机,不需要手动登录不同的服务器,可有效的提高防火墙策略验证的便利性。
步骤S103,当防火墙策略验证请求中的各源主机远程登录成功后,后台服务器将防火墙策略验证请求中的防火墙策略发送至对应源主机进行验证。
本实施例中,当防火墙策略验证请求中的各源主机远程登录成功后,后台服务器将该防火墙策略验证请求中的防火墙策略发送至对应源主机进行验证,即各源主机在接收到防火墙策略时,执行telnet验证指令,得到防火墙策略验证结果,即源主机到目标主机是否连通,且各源主机将防火墙策略验证结果返回给该后台服务器,如果防火墙策略验证请求中的各源主机远程登录失败,则向前端发送提醒信息,其中,防火墙策略验证结果包括但不限于连通和未连通,该后台服务器接收各源主机返回的防火墙策略验证结果,并将该防火墙策略验证结果发送至前端,由前端显示防火墙策略验证结果。
进一步地,该后台服务器接收该各源主机返回的防火墙策略验证结果,并将防火墙策略验证结果发送至前端,由该前端按照预设筛选条件,对防火墙策略验证结果进行筛选,并显示筛选后的防火墙策略验证结果。需要说明的是,上述预设筛选条件可由本领域技术人员基于实际情况进行设置,本实施例对此不作具体限定。本实施例提供防火墙策略验证结果筛选功能,有效的提高防火墙策略验证结果的利用率。具体实施中,对于element自带的分页和筛选标签来说,筛选结果只能对当前页的防火墙策略验证结果进行筛选,为此在筛选防火墙策略验证结果之前,备份全部防火墙策略验证结果,而在筛选防火墙策略验证结果的过程中,如果前端分页显示防火墙策略验证结果,则以备份的防火墙策略验证结果为筛选对象,执行筛选操作,可实现对全部防火墙策略验证结果的筛选。
本实施例中,本申请前端对监测到的防火墙策略验证请求进行校验,并在该防火墙策略验证请求通过校验之后,将该防火墙策略验证请求发送至后台服务器,由后台服务器对防火墙策略验证请求中的各源主机执行远程登录操作,并在远程登录成功后,将防火墙策略验证请求中的防火墙策略发送至对应源主机进行验证,由于前端将防火墙策略验证请求发送至后台服务器之前,对防火墙策略验证请求进行校验,且当防火墙策略验证请求通过校验,才能发送给后台服务器,有效的减少后台资源的浪费,同时后台服务器可对各源主机自动执行远程登录操作,不需要用户手动登录不同的服务器,也不需要在同一服务器上逐一验证需要访问的多台主机或多个服务,有效的提高防火墙策略验证的便利性。
进一步地,基于上述第一实施例提出了本申请防火墙策略验证方法的第二实施例,与前述实施例的区别在于,该步骤S102包括:
步骤a1,后台服务器获取服务主机的密钥信息,并将预设脚本和密钥信息推送至防火墙策略验证请求中的各源主机;
本实施例中,设置一服务主机,通过该服务主机管理所有主机和服务,实现对管理的所有主机和服务的远程免密登录,当后台服务接收到前端发送的防火墙策略验证请求时,该后台服务器获取服务主机的密钥信息,并调用云接口将预设脚本和密钥信息推送至防火墙策略验证请求中的各源主机。其中,该预设脚本用于检测源主机的配置文件中是否已有服务主机的密钥信息,如果源主机的配置文件中已有该服务主机的密钥信息,则自动删除该预设脚本,如果源主机的配置文件中没有该服务主机的密钥信息,则将该服务主机的密钥信息写入源主机的配置文件中。
步骤a2,由各源主机执行所述预设脚本,将所述密钥信息写入各源主机的配置文件中,并向后台服务器返回脚本执行结果;
本实施例中,各源主机在接收到预设脚本之后,执行该预设脚本,将该服务主机的密钥信息写入各源主机的配置文件中,并向后台服务器返回脚本执行结果,即各源主机的配置文件中均已有服务主机的密钥信息。其中,各源主机的配置文件中均已有服务主机的密钥信息之后,各源主机的信任列表中存在服务主机,即后台服务端可通过服务主机的密钥信息免密远程登录各源主机。
步骤a3,当接收到各源主机返回的脚本执行结果时,对各源主机执行免密登录认证,并在各源主机的免密登录认证通过时,登录各源主机。
本实施例中,当后台服务器接收到各源主机返回的脚本执行结果时,对各源主机执行免密登录认证,并在各源主机的免密登录认证通过时,登录各源主机,即后台服务器将服务主机的密钥信息发送至各源主机,各源主机将配置文件中的密钥信息与接收到的服务主机的密钥信息进行比较,如果两者相同,则免密登录认证通过,如果两者不相同,则免密登录认证未通过。
进一步地,远程登录操作还可以为后台服务器调用预设接口,获取防火墙策略验证请求中各源主机的登录密码,并将防火墙策略验证请求中各源主机的登录密码发送至对应的源主机,以远程登录各源主机,即各源主机接收后台服务器发送的登录密码,并对该登录密码进行验证,如果验证通过,则允许远程登录,如果验证未通过,则不允许远程登录,通过上述方式可有效的提高防火墙策略的验证效率。
本实施例中,通过设置一服务主机管理所有主机和服务,实现对管理的所有主机和服务的免密远程登录,可对要测定的源主机的防火墙策略同时验证,有效的提高防火墙策略的验证便利性和效率。
进一步地,参照图3,基于上述第一或第二实施例,提出了本申请防火墙策略验证方法的第三实施例,与前述实施例的区别在于,步骤S101包括:
步骤S1011,前端确定防火墙策略验证请求中是否存在防火墙策略文件;
本实施例中,用户通过附件上传的方式输入防火墙策略,即通过前端页面上传防火墙策略文件,从而触发携带有防火墙策略文件的防火墙策略验证请求。在执行校验的过程中,前端可以先确定防火墙策略验证请求中是否存在防火墙策略文件,如果该防火墙策略验证请求不存在防火墙策略文件,则不需要执行防火墙策略文件的校验操作,即直接对防火墙策略验证请求中的防火墙策略进行校验。
步骤S1012,若防火墙策略验证请求中存在防火墙策略文件,则前端对防火墙策略验证请求中的防火墙策略文件进行校验;
本实施例中,如果防火墙策略验证请求中存在防火墙策略文件,则前端对防火墙策略验证请求中的防火墙策略文件进行校验,具体地,从该防火墙策略验证请求中获取该防火墙策略文件的属性信息,包括但不限于文件格式和文件字节数,并判断该属性信息中的文件格式是否为预设格式,即获取该属性信息中的文件名,并对该文件名进行分割,得到文件后缀类型,然后判断该文件后缀类型是否为预设类型,如果该文件后缀类型为预设类型,则确定该属性信息中的文件格式为预设格式,如果该文件后缀类型不为预设类型,则确定该属性信息中的文件格式不为预设格式,如果该属性信息中的文件格式为预设格式,则前端判断该属性信息中的文件字节数是否小于或等于预设阈值,如果属性信息中的文件字节数小于或等于预设阈值,则确定防火墙策略文件通过校验,否则确定防火墙策略文件未通过校验。如果该属性信息中的文件格式不为预设格式,则也可以确定防火墙策略文件未通过校验。需要说明的是,上述预设格式和预设后缀类型可由本领域技术人员基于实际情况进行设置,本实施例对此不作具体限定,可选地,预设格式为excel,预设后缀类型为.xls或者.xlsx。
步骤S1013,当防火墙策略验证请求中的防火墙策略文件通过校验时,前端对防火墙策略文件进行解析,以获取防火墙策略,并对防火墙策略进行校验。
本实施例中,当防火墙策略验证请求中的防火墙策略文件通过校验时,前端对该防火墙策略文件进行解析,以获取防火墙策略,并对防火墙策略进行校验,即对防火墙策略中的IP和端口进行校验,包括IP类型校验、端口非空校验、端口类型校验、物理主机与云主机校验,具体的校验过程参照上述第一实施例,此处不作赘述。需要说明的时,不同格式的防火策略文件的解析方式不同,防火策略文件的解析方式可由本领域技术人员依据实际情况进行设置,本实施例对此不作具体限定。
本实施例中,用户可通过附件上传的方式输入防火墙策略,不需要用户手动输入较多的防火墙策略,提高防火墙策略的输入便利性,前端可对上传的附件文件进行校验,仅当文件通过校验时,继续进行后续的校验操作,能够在全部校验通过之后,才将防火墙策略验证请求发送给后台服务器,有效的减少后台资源的浪费。
此外,本申请实施例还提供一种防火墙策略验证***。
参照图4,图4为本申请防火墙策略验证***第一实施例的功能模块示意图。
本申请防火墙策略验证***为虚拟***,存储于图1所示防火墙策略验证设备的存储器1005中,用于实现防火墙策略验证可读指令的所有功能;当监测到防火墙策略验证请求时,对所述防火墙策略验证请求进行校验,并在所述防火墙策略验证请求通过校验时,将所述防火墙策略验证请求发送至后台服务器;接收所述前端发送的防火墙策略验证请求,并对所述防火墙策略验证请求中的各源主机执行远程登录操作;当所述防火墙策略验证请求中的各源主机远程登录成功后,所述后台服务器将所述防火墙策略验证请求中的防火墙策略发送至对应源主机进行验证。
具体的,本实施例中,所述防火墙策略验证***包括:前端100和后台服务器200,所述前端100包括校验模块101,所述后台服务器200包括远程登录模块201和策略验证模块202,其中,
所述校验模块101,用于当前端监测到防火墙策略验证请求时,对所述防火墙策略验证请求进行校验,并在所述防火墙策略验证请求通过校验时,将所述防火墙策略验证请求发送至后台服务器;
所述远程登录模块201,用于所述接收所述前端发送的防火墙策略验证请求,并对所述防火墙策略验证请求中的各源主机执行远程登录操作;
所述策略验证模块202,用于当所述防火墙策略验证请求中的各源主机远程登录成功后,将所述防火墙策略验证请求中的防火墙策略发送至对应源主机进行验证。
进一步地,所述远程登录模块201还用于:
获取服务主机的密钥信息,并将预设脚本和所述密钥信息推送至所述防火墙策略验证请求中的各源主机;
所述各源主机执行所述预设脚本,将所述密钥信息写入所述各源主机的配置文件中,并向所述后台服务器返回脚本执行结果;
当接收到所述各源主机返回的脚本执行结果时,对所述各源主机执行免密登录认证,并在所述各源主机的免密登录认证通过时,登录所述各源主机。
进一步地,所述远程登录模块201还用于:
调用预设接口,以获取所述防火墙策略验证请求中各源主机的登录密码;
将所述防火墙策略验证请求中各源主机的登录密码发送至对应的源主机,以远程登录所述各源主机。
进一步地,所述校验模块101还用于:
确定所述防火墙策略验证请求中是否存在防火墙策略文件;
若所述防火墙策略验证请求中存在防火墙策略文件,则对所述防火墙策略验证请求中的防火墙策略文件进行校验;
当所述防火墙策略验证请求中的防火墙策略文件通过校验时,对所述防火墙策略文件进行解析,以获取防火墙策略,并对所述防火墙策略进行校验。
进一步地,所述校验模块101还用于:
从所述防火墙策略验证请求中获取所述防火墙策略文件的属性信息,并判断所述属性信息中的文件格式是否为预设格式;
若所述属性信息中的文件格式为预设格式,则判断所述属性信息中的文件字节数是否小于或等于预设阈值;
若所述属性信息中的文件字节数小于或等于预设阈值,则确定所述防火墙策略文件通过校验,否则所述前端确定所述防火墙策略文件未通过校验。
进一步地,所述后台服务器还包括:
收发模块,用于接收所述各源主机返回的防火墙策略验证结果,并将所述防火墙策略验证结果发送至所述前端;
所述前端按照预设筛选条件,对所述防火墙策略验证结果进行筛选,并显示筛选后的防火墙策略验证结果。
进一步地,所述前端还包括:
状态确定模块,用于读取预设存储区域中的后台服务器状态值,并依据所述后台服务器状态值,确定所述后台服务器的状态;
按钮控制模块,用于若所述后台服务器的状态为防火墙策略验证状态,则锁定当前页面提交按钮,并当监测到所述后台服务器的状态为由防火墙策略验证状态转变为空闲状态,则解锁当前页面提交按钮。
其中,上述防火墙策略验证***中各个模块的功能实现与上述防火墙策略验证方法实施例中各步骤相对应,其功能和实现过程在此处不再一一赘述。
此外,本申请实施例还提供一种计算机可读存储介质。
本申请计算机可读存储介质上存储有防火墙策略验证可读指令,其中所述防火墙策略验证可读指令被处理器执行时,实现如上述的防火墙策略验证方法中后台服务器执行的步骤。
其中,上述计算机可读存储介质可以为非易失性可读存储介质,上述计算机可读存储介质上存储的防火墙策略验证可读指令被执行时所实现的方法可参照本申请防火墙策略验证方法的各个实施例,此处不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者***不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者***所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者***中还存在另外的相同要素。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本申请各个实施例所述的方法。
以上仅为本申请的优选实施例,并非因此限制本申请的专利范围,凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本申请的专利保护范围内。

Claims (20)

  1. 一种防火墙策略验证方法,其特征在于,所述防火墙策略验证方法包括以下步骤:
    当前端监测到防火墙策略验证请求时,所述前端对所述防火墙策略验证请求进行校验,并在所述防火墙策略验证请求通过校验时,将所述防火墙策略验证请求发送至后台服务器;
    所述后台服务器接收所述前端发送的防火墙策略验证请求,并对所述防火墙策略验证请求中的各源主机执行远程登录操作;
    当所述防火墙策略验证请求中的各源主机远程登录成功后,所述后台服务器将所述防火墙策略验证请求中的防火墙策略发送至对应源主机进行验证。
  2. 如权利要求1所述的防火墙策略验证方法,其特征在于,对所述防火墙策略验证请求中的各源主机执行远程登录操作的步骤包括:
    所述后台服务器获取服务主机的密钥信息,并将预设脚本和所述密钥信息推送至所述防火墙策略验证请求中的各源主机;
    所述各源主机执行所述预设脚本,将所述密钥信息写入所述各源主机的配置文件中,并向所述后台服务器返回脚本执行结果;
    当所述后台服务器接收到所述各源主机返回的脚本执行结果时,对所述各源主机执行免密登录认证,并在所述各源主机的免密登录认证通过时,登录所述各源主机。
  3. 如权利要求1所述的防火墙策略验证方法,其特征在于,对所述防火墙策略验证请求中的各源主机执行远程登录操作的步骤包括:
    所述后台服务器调用预设接口,以获取所述防火墙策略验证请求中各源主机的登录密码;
    所述后台服务器将所述防火墙策略验证请求中各源主机的登录密码发送至对应的源主机,以远程登录所述各源主机。
  4. 如权利要求1所述的防火墙策略验证方法,其特征在于,所述前端对所述防火墙策略验证请求进行校验的步骤包括:
    所述前端确定所述防火墙策略验证请求中是否存在防火墙策略文件;
    若所述防火墙策略验证请求中存在防火墙策略文件,则所述前端对所述防火墙策略验证请求中的防火墙策略文件进行校验;
    当所述防火墙策略验证请求中的防火墙策略文件通过校验时,所述前端对所述防火墙策略文件进行解析,以获取防火墙策略,并对所述防火墙策略进行校验。
  5. 如权利要求4所述的防火墙策略验证方法,其特征在于,所述前端对所述防火墙策略验证请求中的防火墙策略文件进行校验的步骤包括:
    所述前端从所述防火墙策略验证请求中获取所述防火墙策略文件的属性信息,并判断所述属性信息中的文件格式是否为预设格式;
    若所述属性信息中的文件格式为预设格式,则所述前端判断所述属性信息中的文件字节数是否小于或等于预设阈值;
    若所述属性信息中的文件字节数小于或等于预设阈值,则所述前端确定所述防火墙策略文件通过校验,否则所述前端确定所述防火墙策略文件未通过校验。
  6. 如权利要求1所述的防火墙策略验证方法,其特征在于,所述后台服务器将所述防火墙策略验证请求中的防火墙策略发送至对应源主机进行验证的步骤之后,还包括:
    所述后台服务器接收所述各源主机返回的防火墙策略验证结果,并将所述防火墙策略验证结果发送至所述前端;
    所述前端按照预设筛选条件,对所述防火墙策略验证结果进行筛选,并显示筛选后的防火墙策略验证结果。
  7. 如权利要求1所述的防火墙策略验证方法,其特征在于,所述防火墙策略验证方法还包括:
    所述前端读取预设存储区域中的后台服务器状态值,并依据所述后台服务器状态值,确定所述后台服务器的状态;
    若所述后台服务器的状态为防火墙策略验证状态,则所述前端锁定当前页面提交按钮,并当所述前端监测到所述后台服务器的状态为由防火墙策略验证状态转变为空闲状态,则所述前端解锁当前页面提交按钮。
  8. 一种防火墙策略验证***,其特征在于,所述防火墙策略验证***包括:前端和后台服务器,所述前端包括校验模块,所述后台服务器包括远程登录模块和策略验证模块,其中,
    所述校验模块,用于当前端监测到防火墙策略验证请求时,对所述防火墙策略验证请求进行校验,并在所述防火墙策略验证请求通过校验时,将所述防火墙策略验证请求发送至后台服务器;
    所述远程登录模块,用于所述接收所述前端发送的防火墙策略验证请求,并对所述防火墙策略验证请求中的各源主机执行远程登录操作;
    所述策略验证模块,用于当所述防火墙策略验证请求中的各源主机远程登录成功后,将所述防火墙策略验证请求中的防火墙策略发送至对应源主机进行验证。
  9. 如权利要求8所述的防火墙策略验证***,其特征在于,所述远程登录模块还用于:
    获取服务主机的密钥信息,并将预设脚本和所述密钥信息推送至所述防火墙策略验证请求中的各源主机,其中,所述各源主机执行所述预设脚本,将所述密钥信息写入所述各源主机的配置文件中,并向所述后台服务器返回脚本执行结果;
    接收所述各源主机返回的脚本执行结果,并对所述各源主机执行免密登录认证,且在所述各源主机的免密登录认证通过时,登录所述各源主机。
  10. 如权利要求8所述的防火墙策略验证***,其特征在于,所述远程登录模块还用于:
    调用预设接口,以获取所述防火墙策略验证请求中各源主机的登录密码;
    将所述防火墙策略验证请求中各源主机的登录密码发送至对应的源主机,以远程登录所述各源主机。
  11. 如权利要求8所述的防火墙策略验证***,其特征在于,所述校验模块还用于:
    确定所述防火墙策略验证请求中是否存在防火墙策略文件;
    若所述防火墙策略验证请求中存在防火墙策略文件,则对所述防火墙策略验证请求中的防火墙策略文件进行校验;
    当所述防火墙策略验证请求中的防火墙策略文件通过校验时,对所述防火墙策略文件进行解析,以获取防火墙策略,并对所述防火墙策略进行校验。
  12. 如权利要求11所述的防火墙策略验证***,其特征在于,所述校验模块还用于:
    从所述防火墙策略验证请求中获取所述防火墙策略文件的属性信息,并判断所述属性信息中的文件格式是否为预设格式;
    若所述属性信息中的文件格式为预设格式,则判断所述属性信息中的文件字节数是否小于或等于预设阈值;
    若所述属性信息中的文件字节数小于或等于预设阈值,则确定所述防火墙策略文件通过校验,否则确定所述防火墙策略文件未通过校验。
  13. 一种防火墙策略验证设备,其特征在于,所述防火墙策略验证设备包括处理器、存储器、以及存储在所述存储器上并可被所述处理器执行的防火墙策略验证可读指令,其中所述防火墙策略验证可读指令被所述处理器执行时,实现以下步骤:
    接收前端发送的通过校验的防火墙策略验证请求,并对所述防火墙策略验证请求中的各源主机执行远程登录操作;
    当所述防火墙策略验证请求中的各源主机远程登录成功后,将所述防火墙策略验证请求中的防火墙策略发送至对应源主机进行验证。
  14. 如权利要求13所述的防火墙策略验证设备,其特征在于,对所述防火墙策略验证请求中的各源主机执行远程登录操作的步骤包括:
    获取服务主机的密钥信息,并将预设脚本和所述密钥信息推送至所述防火墙策略验证请求中的各源主机;
    所述各源主机执行所述预设脚本,将所述密钥信息写入所述各源主机的配置文件中,并向所述后台服务器返回脚本执行结果;
    当所述后台服务器接收到所述各源主机返回的脚本执行结果时,对所述各源主机执行免密登录认证,并在所述各源主机的免密登录认证通过时,登录所述各源主机。
  15. 如权利要求13所述的防火墙策略验证设备,其特征在于,对所述防火墙策略验证请求中的各源主机执行远程登录操作的步骤包括:
    调用预设接口,以获取所述防火墙策略验证请求中各源主机的登录密码;
    所述后台服务器将所述防火墙策略验证请求中各源主机的登录密码发送至对应的源主机,以远程登录所述各源主机。
  16. 如权利要求13所述的防火墙策略验证设备,其特征在于,将所述防火墙策略验证请求中的防火墙策略发送至对应源主机进行验证的步骤之后,还包括:
    接收所述各源主机返回的防火墙策略验证结果,并将所述防火墙策略验证结果发送至所述前端,以供所述前端按照预设筛选条件,对所述防火墙策略验证结果进行筛选,并显示筛选后的防火墙策略验证结果。
  17. 一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有防火墙策略验证可读指令,其中所述防火墙策略验证可读指令被处理器执行时,实现以下步骤:
    接收前端发送的通过校验的防火墙策略验证请求,并对所述防火墙策略验证请求中的各源主机执行远程登录操作;
    当所述防火墙策略验证请求中的各源主机远程登录成功后,将所述防火墙策略验证请求中的防火墙策略发送至对应源主机进行验证。
  18. 如权利要求17所述的计算机可读存储介质,其特征在于,对所述防火墙策略验证请求中的各源主机执行远程登录操作的步骤包括:
    获取服务主机的密钥信息,并将预设脚本和所述密钥信息推送至所述防火墙策略验证请求中的各源主机;
    所述各源主机执行所述预设脚本,将所述密钥信息写入所述各源主机的配置文件中,并向所述后台服务器返回脚本执行结果;
    当所述后台服务器接收到所述各源主机返回的脚本执行结果时,对所述各源主机执行免密登录认证,并在所述各源主机的免密登录认证通过时,登录所述各源主机。
  19. 如权利要求17所述的计算机可读存储介质,其特征在于,对所述防火墙策略验证请求中的各源主机执行远程登录操作的步骤包括:
    调用预设接口,以获取所述防火墙策略验证请求中各源主机的登录密码;
    所述后台服务器将所述防火墙策略验证请求中各源主机的登录密码发送至对应的源主机,以远程登录所述各源主机。
  20. 如权利要求17所述的计算机可读存储介质,其特征在于,将所述防火墙策略验证请求中的防火墙策略发送至对应源主机进行验证的步骤之后,还包括:
    接收所述各源主机返回的防火墙策略验证结果,并将所述防火墙策略验证结果发送至所述前端,以供所述前端按照预设筛选条件,对所述防火墙策略验证结果进行筛选,并显示筛选后的防火墙策略验证结果。
PCT/CN2018/122804 2018-08-31 2018-12-21 防火墙策略验证方法、***、设备及可读存储介质 WO2020042471A1 (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201811008170.9 2018-08-31
CN201811008170.9A CN109688093B (zh) 2018-08-31 2018-08-31 防火墙策略验证方法、***、设备及可读存储介质

Publications (1)

Publication Number Publication Date
WO2020042471A1 true WO2020042471A1 (zh) 2020-03-05

Family

ID=66184595

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/CN2018/122804 WO2020042471A1 (zh) 2018-08-31 2018-12-21 防火墙策略验证方法、***、设备及可读存储介质

Country Status (2)

Country Link
CN (1) CN109688093B (zh)
WO (1) WO2020042471A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116132200A (zh) * 2023-04-18 2023-05-16 北京云澈科技有限公司 基于网络空间动态数据监测防火墙策略质量的处理方法、装置、处理器及其计算机存储介质

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110677383B (zh) * 2019-08-22 2023-02-24 平安科技(深圳)有限公司 防火墙开墙方法、装置、存储介质及计算机设备
CN111083011A (zh) * 2019-12-18 2020-04-28 北京网太科技发展有限公司 路由安全防火墙和管理平台的自动化测试方法及装置
CN113572733B (zh) * 2021-06-23 2024-04-12 北京思特奇信息技术股份有限公司 一种基于前端模块的安全管控方法和安全管控***

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101072101A (zh) * 2006-05-12 2007-11-14 梁国恩 穿透防火墙的终端机***与方法
CN101789947A (zh) * 2010-02-21 2010-07-28 成都市华为赛门铁克科技有限公司 防范http post泛洪攻击的方法及防火墙
CN101820414A (zh) * 2010-01-29 2010-09-01 蓝盾信息安全技术股份有限公司 一种主机接入控制***及方法
CN102088453A (zh) * 2010-01-29 2011-06-08 蓝盾信息安全技术股份有限公司 一种控制主机接入的方法、***及装置

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100544292C (zh) * 2007-07-03 2009-09-23 中兴通讯股份有限公司 一种宽带接入服务器自动化测试的方法
CN101447898B (zh) * 2008-11-19 2012-12-05 中国人民解放军信息安全测评认证中心 一种用于网络安全产品的测试***及测试方法
CN102467442B (zh) * 2010-11-02 2015-04-29 腾讯科技(深圳)有限公司 一种软件测试的方法、***和设备
CN102163173B (zh) * 2011-04-06 2013-03-27 北京航空航天大学 一种分布式信息***接口自动化测试方法
CN105824726A (zh) * 2015-01-07 2016-08-03 展讯通信(上海)有限公司 一种远程移动终端自动化测试***及方法
CN105183649A (zh) * 2015-09-08 2015-12-23 武汉虹信通信技术有限责任公司 一种用于自动化测试的自动telnet方法及***

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101072101A (zh) * 2006-05-12 2007-11-14 梁国恩 穿透防火墙的终端机***与方法
CN101820414A (zh) * 2010-01-29 2010-09-01 蓝盾信息安全技术股份有限公司 一种主机接入控制***及方法
CN102088453A (zh) * 2010-01-29 2011-06-08 蓝盾信息安全技术股份有限公司 一种控制主机接入的方法、***及装置
CN101789947A (zh) * 2010-02-21 2010-07-28 成都市华为赛门铁克科技有限公司 防范http post泛洪攻击的方法及防火墙

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116132200A (zh) * 2023-04-18 2023-05-16 北京云澈科技有限公司 基于网络空间动态数据监测防火墙策略质量的处理方法、装置、处理器及其计算机存储介质

Also Published As

Publication number Publication date
CN109688093B (zh) 2021-06-04
CN109688093A (zh) 2019-04-26

Similar Documents

Publication Publication Date Title
WO2020042471A1 (zh) 防火墙策略验证方法、***、设备及可读存储介质
WO2019109957A1 (zh) 基于esb的服务提供方法、装置、设备及可读存储介质
US9374353B2 (en) Enabling dynamic authentication with different protocols on the same port for a switch
WO2021003975A1 (zh) 网关接口测试方法、终端设备、存储介质及装置
WO2020042464A1 (zh) 数据交互方法、装置、设备及可读存储介质
WO2019127973A1 (zh) 镜像仓库的权限认证方法、***、设备及存储介质
JP4630896B2 (ja) アクセス制御方法、アクセス制御システムおよびパケット通信装置
WO2014069777A1 (en) Transit control for data
WO2013062352A1 (ko) 클라우드 컴퓨팅 서비스에서의 접근제어 방법 및 시스템
WO2020224250A1 (zh) 智能合约的触发方法、装置、设备及存储介质
WO2014094300A1 (zh) 远程控制通讯终端工作的服务器和方法及通讯终端
WO2020220413A1 (zh) 个人信息的零知识证明方法、***及存储介质
WO2021072881A1 (zh) 基于对象存储的请求处理方法、装置、设备及存储介质
WO2020062658A1 (zh) 合同生成方法、装置、设备及存储介质
WO2015069018A1 (ko) 보안 로그인 시스템, 방법 및 장치
WO2020077832A1 (zh) 云桌面的访问方法、装置、设备及存储介质
WO2015101332A1 (zh) 密码分级管理方法和***
WO2014185594A1 (ko) Vdi 환경에서의 싱글 사인온 시스템 및 방법
WO2018035929A1 (zh) 一种验证码的处理方法及装置
WO2020019405A1 (zh) 数据库监控方法、装置、设备及可读存储介质
US20150200926A1 (en) Information processing system and authentication method
WO2012060479A1 (ko) 위치정보 제공 인증관리 서비스 시스템과 제공 방법
WO2014112754A1 (ko) 웹 서비스 푸시 방법 및 이를 수행하는 웹 서비스 푸시 서버 및 웹 서비스 제공 서버
WO2020224251A1 (zh) 区块链事务的处理方法、装置、设备及存储介质
WO2014035194A1 (en) Push message service system and method

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 18931892

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 18931892

Country of ref document: EP

Kind code of ref document: A1