2. 专利
  3. 防火墙更换时策略配置转换的方法和装置与流程

防火墙更换时策略配置转换的方法和装置与流程

专利2022-05-09  50


1.本发明涉及自动程序设计技术领域,尤其涉及一种防火墙更换时策略配置转换的方法和装置。


背景技术:

2.在银行数据中心,硬件防火墙之前一直是外国厂商设备占主流,随着近几年安全要求越来越高,防火墙国产化的需求越来越急迫,这给国内防火墙厂商带来了极大的机会,但是同时也给网络运维人员带来了更高的要求。
3.一般的防火墙更换流程,包括新设备到货后上架、加电、布线、安全策略配置从旧防火墙转换到新防火墙、流量切换上线等过程。其中,策略配置转换环节的时间占了绝大部分时间。
4.目前,在进行策略配置转换时,主要靠运维人员或者加上厂商协助的方式手工逐行转换策略配置,转换后的配置是否和原配置一致还需要人工反复检验,效率比较低下,人工转换也比较容易出现错误。另外,时间上也无法保证,如果期间又替换为另一个厂商的防火墙,由于技术和经验不能传递,因此还需再执行一次转换策略配置,严重影响防火墙的替换进度。


技术实现要素:

5.有鉴于此,本发明实施例提供一种防火墙更换时策略配置转换的方法和装置,能够确保防火墙替换前后策略配置的一致性,同时极大降低了防火墙替换时策略配置转换所需要的时间和人工成本,从技术层面解决了防火墙替换前后的配置的一致性、有效性、及时性和通用性。
6.为实现上述目的,根据本发明实施例的一个方面,提供了一种防火墙更换时策略配置转换的方法。
7.一种防火墙更换时策略配置转换的方法,包括:根据源防火墙的第一配置文件生成第一参数表;根据目的防火墙的类型对所述第一参数表进行处理,得到所述目的防火墙的第二配置文件,所述第一配置文件无法被所述目的防火墙识别,且所述第二配置文件无法被所述源防火墙识别;根据所述第二配置文件生成第二参数表;对所述第一参数表和所述第二参数表进行比对,并在比对通过后,进行策略配置替换。
8.可选地,所述第一参数表和所述第二参数表具有统一的数据结构,且包括下列数据项:传输协议、设备名称、策略标识、源ip地址、源服务端口、源区域、源nat类型、源nat地址、源物理接口、目的ip地址、目的服务端口、目的区域、目的nat类型、目的nat地址、目的物理接口、应用层代理网关、策略标识、策略动作、策略状态、策略是否记录日志、策略生效时间段、策略的描述信息。
9.可选地,根据源防火墙的第一配置文件生成第一参数表包括:读取所述源防火墙的第一配置文件,并根据所述第一配置文件获取所述源防火墙的类型;通过执行与所述源
防火墙的类型相对应的策略配置转换程序,将所述第一配置文件转换为第一参数表。
10.可选地,将所述第一配置文件转换为第一参数表包括:从所述第一配置文件中提取设备名称;从所述第一配置文件中提取安全策略元素信息,并通过对所述安全策略元素信息进行转换以得到策略标识、源防火墙配置参数、目的防火墙配置参数和端口策略配置参数;根据所述设备名称、所述策略标识、所述源防火墙配置参数、所述目的防火墙配置参数和所述端口策略配置参数,生成第一参数表;其中,所述源防火墙配置参数包括:源区域、源ip地址、源nat类型、源nat地址、源物理接口;所述目的防火墙配置参数包括:目的区域、目的ip地址、目的nat类型、目的nat地址、目的物理接口;所述端口策略配置参数包括:源服务端口、目的服务端口、应用层代理网关、策略动作、策略状态、策略是否记录日志、策略生效时间段、策略的描述信息。
11.可选地,通过对所述安全策略元素信息进行转换以得到源防火墙配置参数包括:从所述安全策略元素信息中获取源ip地址,并判断所述源ip地址是否有nat映射;若是,则对所述安全策略元素信息中的源nat类型、源nat地址进行转换,并关联源物理接口;之后,对所述安全策略元素信息中的源ip地址进行转换并关联源区域;否则,直接对所述安全策略元素信息中的源ip地址进行转换并关联源区域;将源区域、源ip地址、源nat类型、源nat地址、源物理接口作为源防火墙配置参数。
12.可选地,通过对所述安全策略元素信息进行转换以得到目的防火墙配置参数包括:从所述安全策略元素信息中获取目的ip地址,并判断所述目的ip地址是否有nat映射;若是,则对所述安全策略元素信息中的目的nat类型、目的nat地址进行转换,并关联目的物理接口;之后,对所述安全策略元素信息中的目的ip地址进行转换并关联目的区域;否则,直接对所述安全策略元素信息中的目的ip地址进行转换并关联目的区域;将目的区域、目的ip地址、目的nat类型、目的nat地址、目的物理接口作为目的防火墙配置参数。
13.可选地,通过对所述安全策略元素信息进行转换以得到端口策略配置参数包括:从所述安全策略元素信息中获取服务端口相关信息,并判断所述服务端口的连接方式是否为长连接;若是,则处理所述长连接,并输出源服务端口、目的服务端口、应用层代理网关;否则,直接输出源服务端口、目的服务端口、应用层代理网关;对所述安全策略元素信息中的策略动作、策略状态、策略是否记录日志、策略生效时间段、策略的描述信息进行转换;将输出的源服务端口、目的服务端口、应用层代理网关,和转换后的策略动作、策略状态、策略是否记录日志、策略生效时间段、策略的描述信息作为端口策略配置参数。
14.可选地,根据目的防火墙的类型对所述第一参数表进行处理,得到所述目的防火墙的第二配置文件包括:根据目的防火墙的类型获取与所述目的防火墙的类型相对应的策略配置转换程序;通过执行与所述目的防火墙的类型相对应的策略配置转换程序,将所述第一参数表转换为第二配置文件。
15.可选地,将所述第一参数表转换为第二配置文件包括:从所述第一参数表中提取设备名称;从所述第一参数表中提取安全策略元素信息,并通过对所述安全策略元素信息进行转换以得到策略标识、源防火墙配置参数、目的防火墙配置参数和端口策略配置参数;根据所述设备名称、所述策略标识、所述源防火墙配置参数、所述目的防火墙配置参数和所述端口策略配置参数,生成第二配置文件;其中,所述源防火墙配置参数包括:源区域、源ip地址、源nat类型、源nat地址、源物理接口;所述目的防火墙配置参数包括:目的区域、目的
ip地址、目的nat类型、目的nat地址、目的物理接口;所述端口策略配置参数包括:源服务端口、目的服务端口、应用层代理网关、策略动作、策略状态、策略是否记录日志、策略生效时间段、策略的描述信息。
16.可选地,根据所述设备名称、所述策略标识、所述源防火墙配置参数、所述目的防火墙配置参数和所述端口策略配置参数,生成第二配置文件包括:根据所述设备名称、所述策略标识、所述源防火墙配置参数、所述目的防火墙配置参数和所述端口策略配置参数,通过执行与所述目的防火墙的类型相对应的策略配置转换程序生成用于生成第二配置文件的命令行脚本;执行所述命令行脚本以生成第二配置文件。
17.可选地,通过对所述安全策略元素信息进行转换以得到源防火墙配置参数包括:从所述安全策略元素信息中获取源ip地址,并判断所述源ip地址是否有nat映射;若是,则对所述安全策略元素信息中的源nat类型、源nat地址进行转换,并关联源物理接口;之后,对所述安全策略元素信息中的源ip地址进行转换并关联源区域;否则,直接对所述安全策略元素信息中的源ip地址进行转换并关联源区域;将源区域、源ip地址、源nat类型、源nat地址、源物理接口作为源防火墙配置参数。
18.可选地,通过对所述安全策略元素信息进行转换以得到目的防火墙配置参数包括:从所述安全策略元素信息中获取目的ip地址,并判断所述目的ip地址是否有nat映射;若是,则对所述安全策略元素信息中的目的nat类型、目的nat地址进行转换,并关联目的物理接口;之后,对所述安全策略元素信息中的目的ip地址进行转换并关联目的区域;否则,直接对所述安全策略元素信息中的目的ip地址进行转换并关联目的区域;将目的区域、目的ip地址、目的nat类型、目的nat地址、目的物理接口作为目的防火墙配置参数。
19.可选地,通过对所述安全策略元素信息进行转换以得到端口策略配置参数包括:从所述安全策略元素信息中获取服务端口相关信息,并判断所述服务端口的连接方式是否为长连接;若是,则处理所述长连接,并输出源服务端口、目的服务端口、应用层代理网关;否则,直接输出源服务端口、目的服务端口、应用层代理网关;对所述安全策略元素信息中的策略动作、策略状态、策略是否记录日志、策略生效时间段、策略的描述信息进行转换;将输出的源服务端口、目的服务端口、应用层代理网关,和转换后的策略动作、策略状态、策略是否记录日志、策略生效时间段、策略的描述信息作为端口策略配置参数。
20.可选地,对所述第一参数表和所述第二参数表进行比对包括:对所述第一参数表和所述第二参数表进行逐行逐列比对。
21.可选地,若比对结果为所述第一参数表和所述第二参数表相同,则比对通过,否则比对不通过;并且,在比对之后,输出比对结果。
22.可选地,策略配置转换程序是基于groovy语言来实现的。
23.根据本发明实施例的另一方面,提供了一种防火墙更换时策略配置转换的装置。
24.一种防火墙更换时策略配置转换的装置,包括:第一参数表生成模块,用于根据源防火墙的第一配置文件生成第一参数表;配置文件生成模块,用于根据目的防火墙的类型对所述第一参数表进行处理,得到所述目的防火墙的第二配置文件,所述第一配置文件无法被所述目的防火墙识别,且所述第二配置文件无法被所述源防火墙识别;第二参数表生成模块,根据所述第二配置文件生成第二参数表;参数表比对模块,用于对所述第一参数表和所述第二参数表进行比对,并在比对通过后,进行策略配置替换。
25.可选地,所述第一参数表和所述第二参数表具有统一的数据结构,且包括下列数据项:传输协议、设备名称、策略标识、源ip地址、源服务端口、源区域、源nat类型、源nat地址、源物理接口、目的ip地址、目的服务端口、目的区域、目的nat类型、目的nat地址、目的物理接口、应用层代理网关、策略标识、策略动作、策略状态、策略是否记录日志、策略生效时间段、策略的描述信息。
26.可选地,所述第一参数表生成模块还用于:读取所述源防火墙的第一配置文件,并根据所述第一配置文件获取所述源防火墙的类型;通过执行与所述源防火墙的类型相对应的策略配置转换程序,将所述第一配置文件转换为第一参数表。
27.可选地,所述第一参数表生成模块在将所述第一配置文件转换为第一参数表时,还用于:从所述第一配置文件中提取设备名称;从所述第一配置文件中提取安全策略元素信息,并通过对所述安全策略元素信息进行转换以得到策略标识、源防火墙配置参数、目的防火墙配置参数和端口策略配置参数;根据所述设备名称、所述策略标识、所述源防火墙配置参数、所述目的防火墙配置参数和所述端口策略配置参数,生成第一参数表;其中,所述源防火墙配置参数包括:源区域、源ip地址、源nat类型、源nat地址、源物理接口;所述目的防火墙配置参数包括:目的区域、目的ip地址、目的nat类型、目的nat地址、目的物理接口;所述端口策略配置参数包括:源服务端口、目的服务端口、应用层代理网关、策略动作、策略状态、策略是否记录日志、策略生效时间段、策略的描述信息。
28.可选地,所述第一参数表生成模块在将所述第一配置文件转换为第一参数表时,还用于:从所述安全策略元素信息中获取源ip地址,并判断所述源ip地址是否有nat映射;若是,则对所述安全策略元素信息中的源nat类型、源nat地址进行转换,并关联源物理接口;之后,对所述安全策略元素信息中的源ip地址进行转换并关联源区域;否则,直接对所述安全策略元素信息中的源ip地址进行转换并关联源区域;将源区域、源ip地址、源nat类型、源nat地址、源物理接口作为源防火墙配置参数。
29.可选地,所述第一参数表生成模块在将所述第一配置文件转换为第一参数表时,还用于:从所述安全策略元素信息中获取目的ip地址,并判断所述目的ip地址是否有nat映射;若是,则对所述安全策略元素信息中的目的nat类型、目的nat地址进行转换,并关联目的物理接口;之后,对所述安全策略元素信息中的目的ip地址进行转换并关联目的区域;否则,直接对所述安全策略元素信息中的目的ip地址进行转换并关联目的区域;将目的区域、目的ip地址、目的nat类型、目的nat地址、目的物理接口作为目的防火墙配置参数。
30.可选地,所述第一参数表生成模块在将所述第一配置文件转换为第一参数表时,还用于:从所述安全策略元素信息中获取服务端口相关信息,并判断所述服务端口的连接方式是否为长连接;若是,则处理所述长连接,并输出源服务端口、目的服务端口、应用层代理网关;否则,直接输出源服务端口、目的服务端口、应用层代理网关;对所述安全策略元素信息中的策略动作、策略状态、策略是否记录日志、策略生效时间段、策略的描述信息进行转换;将输出的源服务端口、目的服务端口、应用层代理网关,和转换后的策略动作、策略状态、策略是否记录日志、策略生效时间段、策略的描述信息作为端口策略配置参数。
31.可选地,所述配置文件生成模块还用于:根据目的防火墙的类型获取与所述目的防火墙的类型相对应的策略配置转换程序;通过执行与所述目的防火墙的类型相对应的策略配置转换程序,将所述第一参数表转换为第二配置文件。
32.可选地,所述配置文件生成模块在将所述第一参数表转换为第二配置文件时还用于:从所述第一参数表中提取设备名称;从所述第一参数表中提取安全策略元素信息,并通过对所述安全策略元素信息进行转换以得到策略标识、源防火墙配置参数、目的防火墙配置参数和端口策略配置参数;根据所述设备名称、所述策略标识、所述源防火墙配置参数、所述目的防火墙配置参数和所述端口策略配置参数,生成第二配置文件;其中,所述源防火墙配置参数包括:源区域、源ip地址、源nat类型、源nat地址、源物理接口;所述目的防火墙配置参数包括:目的区域、目的ip地址、目的nat类型、目的nat地址、目的物理接口;所述端口策略配置参数包括:源服务端口、目的服务端口、应用层代理网关、策略动作、策略状态、策略是否记录日志、策略生效时间段、策略的描述信息。
33.可选地,所述配置文件生成模块在将所述第一参数表转换为第二配置文件时还用于:根据所述设备名称、所述策略标识、所述源防火墙配置参数、所述目的防火墙配置参数和所述端口策略配置参数,通过执行与所述目的防火墙的类型相对应的策略配置转换程序生成用于生成第二配置文件的命令行脚本;执行所述命令行脚本以生成第二配置文件。
34.可选地,所述配置文件生成模块在将所述第一参数表转换为第二配置文件时还用于:从所述安全策略元素信息中获取源ip地址,并判断所述源ip地址是否有nat映射;若是,则对所述安全策略元素信息中的源nat类型、源nat地址进行转换,并关联源物理接口;之后,对所述安全策略元素信息中的源ip地址进行转换并关联源区域;否则,直接对所述安全策略元素信息中的源ip地址进行转换并关联源区域;将源区域、源ip地址、源nat类型、源nat地址、源物理接口作为源防火墙配置参数。
35.可选地,所述配置文件生成模块在将所述第一参数表转换为第二配置文件时还用于:从所述安全策略元素信息中获取目的ip地址,并判断所述目的ip地址是否有nat映射;若是,则对所述安全策略元素信息中的目的nat类型、目的nat地址进行转换,并关联目的物理接口;之后,对所述安全策略元素信息中的目的ip地址进行转换并关联目的区域;否则,直接对所述安全策略元素信息中的目的ip地址进行转换并关联目的区域;将目的区域、目的ip地址、目的nat类型、目的nat地址、目的物理接口作为目的防火墙配置参数。
36.可选地,所述配置文件生成模块在将所述第一参数表转换为第二配置文件时还用于:从所述安全策略元素信息中获取服务端口相关信息,并判断所述服务端口的连接方式是否为长连接;若是,则处理所述长连接,并输出源服务端口、目的服务端口、应用层代理网关;否则,直接输出源服务端口、目的服务端口、应用层代理网关;对所述安全策略元素信息中的策略动作、策略状态、策略是否记录日志、策略生效时间段、策略的描述信息进行转换;将输出的源服务端口、目的服务端口、应用层代理网关,和转换后的策略动作、策略状态、策略是否记录日志、策略生效时间段、策略的描述信息作为端口策略配置参数。
37.可选地,所述参数表比对模块还用于:对所述第一参数表和所述第二参数表进行逐行逐列比对。
38.可选地,若比对结果为所述第一参数表和所述第二参数表相同,则比对通过,否则比对不通过;并且,在比对之后,输出比对结果。
39.可选地,策略配置转换程序是基于groovy语言来实现的。
40.根据本发明实施例的又一方面,提供了一种防火墙更换时策略配置转换的电子设备。
41.一种防火墙更换时策略配置转换的电子设备,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现本发明实施例所提供的防火墙更换时策略配置转换的方法。
42.根据本发明实施例的再一方面,提供了一种计算机可读介质。
43.一种计算机可读介质,其上存储有计算机程序,所述程序被处理器执行时实现本发明实施例所提供的防火墙更换时策略配置转换的方法。
44.上述发明中的一个实施例具有如下优点或有益效果:通过根据源防火墙的第一配置文件生成第一参数表;根据目的防火墙的类型对第一参数表进行处理,得到目的防火墙的第二配置文件,第一配置文件无法被目的防火墙识别,且第二配置文件无法被源防火墙识别;根据第二配置文件生成第二参数表;对第一参数表和第二参数表进行比对,并在比对通过后,进行策略配置替换的技术方案,实现了通过自动化读取源防火墙的安全策略配置文件,并转换成能统一各厂商的参数表,然后通过参数表自动转换成目的防火墙的安全策略配置文件,极大提高了策略配置转换的效率和准确性,解决了实际工作中人工转换错误高、转换时间长、效率低的技术问题。同时,还支持配置文件和参数表之间的双向配置转换,来逐项比对参数表每行每列的内容,从而快速验证转换前和转换后的策略配置是否一致,从而有效解决人工转换错误高、对运维人员技能要求高等问题,从技术层面解决防火墙替换前后的配置的一致性、有效性、及时性和通用性。
45.上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。
附图说明
46.附图用于更好地理解本发明,不构成对本发明的不当限定。其中:
47.图1是根据本发明实施例的防火墙更换时策略配置转换的方法的主要步骤示意图;
48.图2是本发明一个实施例的由配置文件生成参数表的实现过程示意图;
49.图3是本发明一个实施例的由参数表生成配置文件的实现过程示意图;
50.图4是本发明一个实施例的参数表比对过程示意图;
51.图5是根据本发明实施例的防火墙更换时策略配置转换的装置的主要模块示意图;
52.图6是本发明实施例可以应用于其中的示例性系统架构图;
53.图7是适于用来实现本发明实施例的终端设备或服务器的计算机系统的结构示意图。
具体实施方式
54.以下结合附图对本发明的示范性实施例做出说明,其中包括本发明实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本发明的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
55.在本发明的实施例介绍中,出现的技术术语及其含义如下:
56.groovy:是一种面向对象编程语言,也可以用作纯粹的脚本语言;
57.nat:network address translation,网络地址转换;
58.alg:application layer gateway应用层代理网关;
59.五元组:通信术语,每条防火墙安全策略中都会包含一个五元组,由源ip地址、目的ip地址、源服务端口、目的服务端口和传输协议构成;
60.统一参数表:本发明所提出的可以统一描述各防火墙厂商安全策略的参数表。
61.现有技术中,防火墙更换时策略配置的转换操作,绝大部分情况都是人工转换,转换错误高、转换时间长,对运维人员技术要求高,需要人工把配置文件从头到尾翻译一遍,后续还需要大量人工加工和检查,并不能满足实际需要。小部分情况下,一些第三方工具或者防火墙厂商工具会把配置转换翻译过程分为地址、服务、nat、安全策略四部分,但都是分开的零散的部分,这些工具翻译完后除了格式上不可能完全符合实际的配置规范和需求外,最主要的还需要人工多次、反复复核策略转换前后是否一致,是否有错。因为这些方案中主要基于五元组转换,安全策略和nat策略的相互关系,物理接口和区域的关系都是离散的,不能保证策略生效时是引用的nat策略就是真正在用的nat。比如国外的juniper厂商的netscreen或者srx系统防火墙中有一对一nat映射最优先生效的规则,转换成国产的山石防火墙后,山石防火墙部分版本并没有一对一映射概念,而是只能转换为snat和dnat规则,这些规则只是简单的按从上到下的顺序生效,虽然看起来有nat也有安全策略,实际并不能保证转换前后的安全策略是有效的。而且各厂商工具只支持把部分其它的厂商安全策略配置转换成自己厂商的策略,无法把下发后的新配置再反过来转换,以对比验证转换前后的策略配置是否一致,也无法适应需求的快速改变。
62.为了解决现有技术中存在的上述技术问题,本发明提出一种防火墙更换时策略配置转换的方法,通过将配置文件转换成统一结构的参数表,使用能统一各厂商安全策略的统一参数表代替传统的五元组来描述安全策略,可以解决各元素间独立不关联从而导致无法保证安全配置转换前后一致性和还需要人工大量验证的问题。只需输入要转换的配置文件给计算机执行就可以自动完成配置转换,而且不仅支持厂商a的防火墙到厂商b的防火墙的配置转换,也支持厂商b的防火墙到厂商a的防火墙的配置转换,可有效解决人工转换错误高、转换时间长、转换时间不稳定、对运维人员技能要求高等问题,也可解决第三方工具或者厂商的运维工具无法按要求格式输出,无法保证转换前后配置一致性、有效性和各厂商之间的通用性问题。
63.图1是根据本发明实施例的防火墙更换时策略配置转换的方法的主要步骤示意图。如图1所示,本发明实施例的防火墙更换时策略配置转换的方法主要包括如下的步骤s101至步骤s104。
64.步骤s101:根据源防火墙的第一配置文件生成第一参数表;
65.步骤s102:根据目的防火墙的类型对第一参数表进行处理,得到目的防火墙的第二配置文件,第一配置文件无法被目的防火墙识别,且第二配置文件无法被源防火墙识别;
66.步骤s103:根据第二配置文件生成第二参数表;
67.步骤s104:对第一参数表和第二参数表进行比对,并在比对通过后,进行策略配置替换。
68.根据上述步骤s101至步骤s104,即可基于参数表,通过防火墙的配置文件与参数
表之间的互相转换,实现对配置文件的校验,保证了转换前后配置的一致性、有效性和各厂商之间的通用性,节省了人力和时间成本。
69.根据本发明的一个实施例,第一参数表和第二参数表具有统一的数据结构,且包括下列数据项:传输协议、设备名称、策略标识、源ip地址、源服务端口、源区域、源nat类型、源nat地址、源物理接口、目的ip地址、目的服务端口、目的区域、目的nat类型、目的nat地址、目的物理接口、应用层代理网关、策略标识、策略动作、策略状态、策略是否记录日志、策略生效时间段、策略的描述信息。在具体实施过程中,若无法获取或无需获取某些数据项,则将对应数据项的值赋值为空值即可。
70.根据本发明的一个实施例,步骤s101中,在根据源防火墙的第一配置文件生成第一参数表时,具体可以包括以下步骤:
71.读取源防火墙的第一配置文件,并根据第一配置文件获取源防火墙的类型;
72.通过执行与源防火墙的类型相对应的策略配置转换程序,将第一配置文件转换为第一参数表。
73.在具体实施过程中,防火墙的类型例如是防火墙所对应的生产厂商信息,或者防火墙所对应的配置文件的实现脚本语言,等等。通过获取防火墙的类型,即可查找预先存储的与该类型相对应的策略配置转换程序,并通过执行策略配置转换程序来将第一配置文件转换为第一参数表。在本发明的一个实施例中,策略配置转换程序例如是基于groovy语言来实现的,groovy是一种面向对象编程语言,也可以用作纯粹的脚本语言,可以很方便的用来读取txt、excle、csv等各类文本文件,且可以便捷地处理脚本文件。策略配置转换程序可以将配置文件转换为参数表,也可以将参数表转换为配置文件,在实现时,可根据策略配置转换程序的输入数据的形式来确定是要执行将配置文件转换为参数表的逻辑代码,还是要执行将参数表转换为配置文件的逻辑代码。
74.在本发明的实施例中,将第一配置文件转换为第一参数表具体包括以下操作内容:
75.从第一配置文件中提取设备名称;
76.从第一配置文件中提取安全策略元素信息,并通过对安全策略元素信息进行转换以得到策略标识、源防火墙配置参数、目的防火墙配置参数和端口策略配置参数;
77.根据设备名称、策略标识、源防火墙配置参数、目的防火墙配置参数和端口策略配置参数,生成第一参数表;
78.其中,源防火墙配置参数包括:源区域、源ip地址、源nat类型、源nat地址、源物理接口;
79.目的防火墙配置参数包括:目的区域、目的ip地址、目的nat类型、目的nat地址、目的物理接口;
80.端口策略配置参数包括:源服务端口、目的服务端口、应用层代理网关、策略动作、策略状态、策略是否记录日志、策略生效时间段、策略的描述信息。
81.下面结合图2介绍本发明实施例是如何将第一配置文件转换为第一参数表的。图2是本发明一个实施例的由配置文件生成参数表的实现过程示意图。如图2所示,在该实施例中,防火墙的类型以防火墙所对应的生产厂商为例进行描述。首先,读取厂商a的源防火墙的第一配置文件(例如是txt格式的文本文件),并根据第一配置文件的内容判断出源防火
墙的类型,即:厂商a;然后,通过执行厂商a对应的由配置文件转换为参数表的策略配置转换程序,分析处理并输出第一参数表中的各项内容,以将第一配置文件转换为第一参数表。在该实施例中,第一参数表例如是厂商a的源防火墙的csv格式的文件。
82.具体地,在将第一配置文件转换为第一参数表时,可以包括如下几个部分:
83.1、从第一配置文件中提取设备名称;
84.2、从第一配置文件中提取安全策略元素信息,并通过对安全策略元素信息进行转换以得到策略标识。其中,策略标识例如是策略名称等可以唯一标识该策略的标识码;
85.3、通过对安全策略元素信息进行转换以得到源防火墙配置参数:
86.从安全策略元素信息中获取源ip地址,并判断源ip地址是否有nat映射。此处,源ip地址可以是单个地址也可以是多个地址;
87.若是,则对安全策略元素信息中的源nat类型、源nat地址进行转换,并关联源物理接口;之后,对安全策略元素信息中的源ip地址进行转换并关联源区域。其中,源nat类型指的是一对一nat、多对一nat、或多对多nat;源nat地址可以是单个地址也可以是多个地址;
88.否则,直接对安全策略元素信息中的源ip地址进行转换并关联源区域;
89.将源区域、源ip地址、源nat类型、源nat地址、源物理接口作为源防火墙配置参数;
90.4、通过对安全策略元素信息进行转换以得到目的防火墙配置参数:
91.从安全策略元素信息中获取目的ip地址,并判断目的ip地址是否有nat映射;
92.若是,则对安全策略元素信息中的目的nat类型、目的nat地址进行转换,并关联目的物理接口;之后,对安全策略元素信息中的目的ip地址进行转换并关联目的区域。其中,目的nat类型指的是一对一nat或者基于策略的映射,等;
93.否则,直接对安全策略元素信息中的目的ip地址进行转换并关联目的区域;
94.将目的区域、目的ip地址、目的nat类型、目的nat地址、目的物理接口作为目的防火墙配置参数;
95.5、通过对安全策略元素信息进行转换以得到端口策略配置参数:
96.从安全策略元素信息中获取服务端口相关信息,并判断服务端口的连接方式是否为长连接;
97.若是,则处理长连接,并输出源服务端口、目的服务端口、应用层代理网关;
98.否则,直接输出源服务端口、目的服务端口、应用层代理网关;
99.对安全策略元素信息中的策略动作、策略状态、策略是否记录日志、策略生效时间段、策略的描述信息进行转换;其中,策略状态指的是策略是使能还是禁用,策略动作指的是策略动作是允许还是拒绝,策略生效时间段用于表示策略是长期有效还是限定了生效时间段;
100.将输出的源服务端口、目的服务端口、应用层代理网关,和转换后的策略动作、策略状态、策略是否记录日志、策略生效时间段、策略的描述信息作为端口策略配置参数。另外,还可以从服务端口相关信息中获取服务协议类型、服务超时时长等等相关的端口策略配置参数;
101.6、根据前述5个步骤获取的设备名称、策略标识、源防火墙配置参数、目的防火墙配置参数和端口策略配置参数,生成第一参数表。
102.根据本发明的实施例,步骤s102中,在根据目的防火墙的类型对第一参数表进行
处理,得到目的防火墙的第二配置文件时,具体可以包括以下步骤:
103.根据目的防火墙的类型获取与目的防火墙的类型相对应的策略配置转换程序;
104.通过执行与目的防火墙的类型相对应的策略配置转换程序,将第一参数表转换为第二配置文件。
105.在具体实施过程中,防火墙的类型例如是防火墙所对应的生产厂商信息,或者防火墙所对应的配置文件的实现脚本语言,等等。通过获取防火墙的类型,即可查找预先存储的与该类型相对应的策略配置转换程序,并通过执行策略配置转换程序来将源防火墙的第一参数表转换为目的防火墙的第二配置文件。在本发明的一个实施例中,策略配置转换程序例如是基于groovy语言来实现的,groovy是一种面向对象编程语言,也可以用作纯粹的脚本语言,可以很方便的用来读取txt、excle、csv等各类文本文件,且可以便捷地处理脚本文件。策略配置转换程序可以将配置文件转换为参数表,也可以将参数表转换为配置文件,在实现时,可根据策略配置转换程序的输入数据的形式来确定是要执行将配置文件转换为参数表的逻辑代码,还是要执行将参数表转换为配置文件的逻辑代码。
106.在本发明的实施例中,在将第一参数表转换为第二配置文件时,具体包括以下操作内容:
107.从第一参数表中提取设备名称;
108.从第一参数表中提取安全策略元素信息,并通过对安全策略元素信息进行转换以得到策略标识、源防火墙配置参数、目的防火墙配置参数和端口策略配置参数;
109.根据设备名称、策略标识、源防火墙配置参数、目的防火墙配置参数和端口策略配置参数,生成第二配置文件;
110.其中,源防火墙配置参数包括:源区域、源ip地址、源nat类型、源nat地址、源物理接口;
111.目的防火墙配置参数包括:目的区域、目的ip地址、目的nat类型、目的nat地址、目的物理接口;
112.端口策略配置参数包括:源服务端口、目的服务端口、应用层代理网关、策略动作、策略状态、策略是否记录日志、策略生效时间段、策略的描述信息。
113.根据本发明的一个实施例,在根据设备名称、策略标识、源防火墙配置参数、目的防火墙配置参数和端口策略配置参数,生成第二配置文件时,具体可以包括:
114.在根据设备名称、策略标识、源防火墙配置参数、目的防火墙配置参数和端口策略配置参数,通过执行与目的防火墙的类型相对应的策略配置转换程序生成用于生成第二配置文件的命令行脚本;
115.执行命令行脚本以生成第二配置文件。
116.下面结合图3介绍本发明实施例是如何将第一参数表转换为第二配置文件的。图3是本发明一个实施例的由参数表生成配置文件的实现过程示意图。如图3所示,在该实施例中,防火墙的类型以防火墙所对应的生产厂商为例进行描述。首先,读取厂商a的源防火墙的第一参数表(例如是csv格式的文件),并获取目的防火墙的类型,即:厂商b;然后,通过执行厂商b对应的由参数表转换为配置文件的策略配置转换程序,对第一参数表进行处理并输出目的防火墙对应的第二配置文件中的各项内容,以将第一参数表转换为第二配置文件。在该实施例中,第二配置文件例如是厂商b的目的防火墙的txt格式的文件。
117.根据该实施例的技术方案,在对第一参数表进行处理并输出目的防火墙对应的第二配置文件中的各项内容,以将第一参数表转换为第二配置文件时,可以首先对第一参数表进行处理以得到目的防火墙对应的第二配置文件中的各项内容,然后,将这些内容下发到新设备的命令行脚本,通过执行命令行脚本生成第二配置文件。
118.如图3所示,在将第一参数表转换为第二配置文件时,具体可以包括如下几个部分:
119.1、从第一参数表中提取设备名称;
120.2、从第一参数表中提取安全策略元素信息,并通过对安全策略元素信息进行转换以得到策略标识。其中,策略标识例如是策略名称等可以唯一标识该策略的标识码;
121.3、通过对安全策略元素信息进行转换以得到源防火墙配置参数,并根据这些参数生成相应的脚本。具体地,源防火墙配置参数通过以下方式得到:
122.从安全策略元素信息中获取源ip地址,并判断源ip地址是否有nat映射。此处,源ip地址可以是单个地址也可以是多个地址;
123.若是,则对安全策略元素信息中的源nat类型、源nat地址进行转换,并关联源物理接口;之后,对安全策略元素信息中的源ip地址进行转换并关联源区域。其中,源nat类型指的是一对一nat、多对一nat、或多对多nat;源nat地址可以是单个地址也可以是多个地址;
124.否则,直接对安全策略元素信息中的源ip地址进行转换并关联源区域;
125.将源区域、源ip地址、源nat类型、源nat地址、源物理接口作为源防火墙配置参数;
126.4、通过对安全策略元素信息进行转换以得到目的防火墙配置参数,并根据这些参数生成相应的脚本。具体地,目的防火墙配置参数通过以下方式得到:
127.从安全策略元素信息中获取目的ip地址,并判断目的ip地址是否有nat映射;
128.若是,则对安全策略元素信息中的目的nat类型、目的nat地址进行转换,并关联目的物理接口;之后,对安全策略元素信息中的目的ip地址进行转换并关联目的区域。其中,目的nat类型指的是一对一nat或者基于策略的映射,等;
129.否则,直接对安全策略元素信息中的目的ip地址进行转换并关联目的区域;
130.将目的区域、目的ip地址、目的nat类型、目的nat地址、目的物理接口作为目的防火墙配置参数;
131.5、通过对安全策略元素信息进行转换以得到端口策略配置参数,并根据这些参数生成相应的脚本。具体包括:
132.从安全策略元素信息中获取服务端口相关信息,并判断服务端口的连接方式是否为长连接;
133.若是,则处理长连接,并输出源服务端口、目的服务端口、应用层代理网关;然后根据源服务端口、目的服务端口、应用层代理网关生成对应脚本;
134.否则,直接输出源服务端口、目的服务端口、应用层代理网关;然后根据源服务端口、目的服务端口、应用层代理网关生成对应脚本;
135.对安全策略元素信息中的策略动作、策略状态、策略是否记录日志、策略生效时间段、策略的描述信息进行转换;然后,根据这些参数生成相应的脚本。其中,策略状态指的是策略是使能还是禁用,策略动作指的是策略动作是允许还是拒绝,策略生效时间段用于表示策略是长期有效还是限定了生效时间段;
136.将输出的源服务端口、目的服务端口、应用层代理网关,和转换后的策略动作、策略状态、策略是否记录日志、策略生效时间段、策略的描述信息作为端口策略配置参数。另外,还可以从服务端口相关信息中获取服务协议类型、服务超时时长等等相关的端口策略配置参数;
137.6、根据前述5个步骤获取的设备名称、策略标识、源防火墙配置参数、目的防火墙配置参数和端口策略配置参数,以及根据这些参数生成的脚本,执行后生成第二配置文件。
138.根据本发明的实施例,步骤s103中,根据第二配置文件生成第二参数表的过程,与步骤s101中根据源防火墙的第一配置文件生成第一参数表的过程类似,区别仅在于步骤s103所使用的策略配置转换程序为目的防火墙的类型所对应的策略配置转换程序。其具体实施过程可参看图2,此处不再赘述。
139.最后,步骤s104通过对第一参数表和第二参数表进行比对来检验生成的目的防火墙的第二配置文件是否正确,以及保证替换前后策略配置的一致性。根据本发明的一个实施例,在对第一参数表和第二参数表进行比对时,可以逐行逐列比对。若比对结果为第一参数表和第二参数表相同,则比对通过,否则比对不通过。其中,第一参数表和第二参数表相同指的是每行每列对比的结果都相同。并且,在比对之后,输出比对结果,包括相同的行和列,以及不同的行和列。若有不同的行和列,说明生成的目的防火墙的第二配置文件不正确,仍需改进。通过本发明的方法来校验防火墙更换时策略配置的转换结果,较之人工执行更快速、准确。
140.图4是本发明一个实施例的参数表比对过程示意图。如图4所示,首先,获取第一参数表和第二参数表,之后,对第一参数表和第二参数表进行逐行逐列比对,并根据比对结果判断两个参数表是否相同;若是,则输出最终结果和相同项;否则,输出最终结果和不同项。
141.根据本发明的技术方案,利用groovy语言处理脚本文件的便捷性,通过自动化读取源防火墙的安全策略配置文件,并转换成能统一各厂商的统一参数表,然后通过统一参数表自动转换成目的防火墙的安全策略配置文件,极大提高了策略配置转换的效率和准确性,解决了实际工作中人工转换错误高、转换时间长、效率低的技术问题。同时,生成的目的防火墙的安全策略配置文件下发到测试或者替换后的新设备后,新设备上安装的目的防火墙的安全策略配置文件也可以利用该方法,通过计算机分析并转换为统一参数表。由于参数表格式是固定的,通过groovy程序逐项比对参数表每行每列的内容即可快速验证转换前和转换后的策略配置是否一致。
142.本发明提出了一种能统一各厂商安全策略的统一参数表,代替传统的五元组来描述安全策略,不仅可以支持现有厂商或者第三方工具实现的地址、服务、策略的配置的转换,还支持比这些元素更多的项目如源nat类型、源nat地址、目的nat类型、目的nat地址、生效时间段、源物理接口、目的物理接口等,且转换后的项目不是分散的,而是通过统一参数表在每一条安全策略中完全体现和关联的,而且支持双向配置转换,从而有效解决人工转换错误高、转换时间长、转换时间不稳定、对运维人员技能要求高等问题。把之前由运维人员甚于加上防火墙厂商人员一起人工转换几天/几周/几月的配置过程,简化为普通运维人员通过计算机数分钟内就可以完成,从技术层面解决防火墙替换前后的配置的一致性、有效性、及时性和通用性。
143.图5是根据本发明实施例的防火墙更换时策略配置转换的装置的主要模块示意
图。如图5所示,本发明实施例的防火墙更换时策略配置转换的装置500主要包括第一参数表生成模块501、配置文件生成模块502、第二参数表生成模块503和参数表比对模块504。
144.第一参数表生成模块501,用于根据源防火墙的第一配置文件生成第一参数表;
145.配置文件生成模块502,用于根据目的防火墙的类型对所述第一参数表进行处理,得到所述目的防火墙的第二配置文件,所述第一配置文件无法被所述目的防火墙识别,且所述第二配置文件无法被所述源防火墙识别;
146.第二参数表生成模块503,根据所述第二配置文件生成第二参数表;
147.参数表比对模块504,用于对所述第一参数表和所述第二参数表进行比对,并在比对通过后,进行策略配置替换。
148.根据本发明的一个实施例,所述第一参数表和所述第二参数表具有统一的数据结构,且包括下列数据项:传输协议、设备名称、策略标识、源ip地址、源服务端口、源区域、源nat类型、源nat地址、源物理接口、目的ip地址、目的服务端口、目的区域、目的nat类型、目的nat地址、目的物理接口、应用层代理网关、策略标识、策略动作、策略状态、策略是否记录日志、策略生效时间段、策略的描述信息。
149.根据本发明的另一个实施例,第一参数表生成模块501还可用于:读取所述源防火墙的第一配置文件,并根据所述第一配置文件获取所述源防火墙的类型;通过执行与所述源防火墙的类型相对应的策略配置转换程序,将所述第一配置文件转换为第一参数表。
150.根据本发明的又一个实施例,第一参数表生成模块501在将所述第一配置文件转换为第一参数表时,还可以用于:从所述第一配置文件中提取设备名称;从所述第一配置文件中提取安全策略元素信息,并通过对所述安全策略元素信息进行转换以得到策略标识、源防火墙配置参数、目的防火墙配置参数和端口策略配置参数;根据所述设备名称、所述策略标识、所述源防火墙配置参数、所述目的防火墙配置参数和所述端口策略配置参数,生成第一参数表;其中,所述源防火墙配置参数包括:源区域、源ip地址、源nat类型、源nat地址、源物理接口;所述目的防火墙配置参数包括:目的区域、目的ip地址、目的nat类型、目的nat地址、目的物理接口;所述端口策略配置参数包括:源服务端口、目的服务端口、应用层代理网关、策略动作、策略状态、策略是否记录日志、策略生效时间段、策略的描述信息。
151.根据本发明的又一个实施例,第一参数表生成模块501在将所述第一配置文件转换为第一参数表时,还可以用于:从所述安全策略元素信息中获取源ip地址,并判断所述源ip地址是否有nat映射;若是,则对所述安全策略元素信息中的源nat类型、源nat地址进行转换,并关联源物理接口;之后,对所述安全策略元素信息中的源ip地址进行转换并关联源区域;否则,直接对所述安全策略元素信息中的源ip地址进行转换并关联源区域;将源区域、源ip地址、源nat类型、源nat地址、源物理接口作为源防火墙配置参数。
152.根据本发明的又一个实施例,第一参数表生成模块501在将所述第一配置文件转换为第一参数表时,还可以用于:从所述安全策略元素信息中获取目的ip地址,并判断所述目的ip地址是否有nat映射;若是,则对所述安全策略元素信息中的目的nat类型、目的nat地址进行转换,并关联目的物理接口;之后,对所述安全策略元素信息中的目的ip地址进行转换并关联目的区域;否则,直接对所述安全策略元素信息中的目的ip地址进行转换并关联目的区域;将目的区域、目的ip地址、目的nat类型、目的nat地址、目的物理接口作为目的防火墙配置参数。
153.根据本发明的又一个实施例,第一参数表生成模块501在将所述第一配置文件转换为第一参数表时,还可以用于:从所述安全策略元素信息中获取服务端口相关信息,并判断所述服务端口的连接方式是否为长连接;若是,则处理所述长连接,并输出源服务端口、目的服务端口、应用层代理网关;否则,直接输出源服务端口、目的服务端口、应用层代理网关;对所述安全策略元素信息中的策略动作、策略状态、策略是否记录日志、策略生效时间段、策略的描述信息进行转换;将输出的源服务端口、目的服务端口、应用层代理网关,和转换后的策略动作、策略状态、策略是否记录日志、策略生效时间段、策略的描述信息作为端口策略配置参数。
154.根据本发明的又一个实施例,配置文件生成模块502还可以用于:根据目的防火墙的类型获取与所述目的防火墙的类型相对应的策略配置转换程序;通过执行与所述目的防火墙的类型相对应的策略配置转换程序,将所述第一参数表转换为第二配置文件。
155.根据本发明的又一个实施例,配置文件生成模块502在将所述第一参数表转换为第二配置文件时还可以用于:从所述第一参数表中提取设备名称;从所述第一参数表中提取安全策略元素信息,并通过对所述安全策略元素信息进行转换以得到策略标识、源防火墙配置参数、目的防火墙配置参数和端口策略配置参数;根据所述设备名称、所述策略标识、所述源防火墙配置参数、所述目的防火墙配置参数和所述端口策略配置参数,生成第二配置文件;其中,所述源防火墙配置参数包括:源区域、源ip地址、源nat类型、源nat地址、源物理接口;所述目的防火墙配置参数包括:目的区域、目的ip地址、目的nat类型、目的nat地址、目的物理接口;所述端口策略配置参数包括:源服务端口、目的服务端口、应用层代理网关、策略动作、策略状态、策略是否记录日志、策略生效时间段、策略的描述信息。
156.根据本发明的又一个实施例,配置文件生成模块502在将所述第一参数表转换为第二配置文件时还可以用于:根据所述设备名称、所述策略标识、所述源防火墙配置参数、所述目的防火墙配置参数和所述端口策略配置参数,通过执行与所述目的防火墙的类型相对应的策略配置转换程序生成用于生成第二配置文件的命令行脚本;执行所述命令行脚本以生成第二配置文件。
157.根据本发明的又一个实施例,配置文件生成模块502在将所述第一参数表转换为第二配置文件时还可以用于:从所述安全策略元素信息中获取源ip地址,并判断所述源ip地址是否有nat映射;若是,则对所述安全策略元素信息中的源nat类型、源nat地址进行转换,并关联源物理接口;之后,对所述安全策略元素信息中的源ip地址进行转换并关联源区域;否则,直接对所述安全策略元素信息中的源ip地址进行转换并关联源区域;将源区域、源ip地址、源nat类型、源nat地址、源物理接口作为源防火墙配置参数。
158.根据本发明的又一个实施例,配置文件生成模块502在将所述第一参数表转换为第二配置文件时还可以用于:从所述安全策略元素信息中获取目的ip地址,并判断所述目的ip地址是否有nat映射;若是,则对所述安全策略元素信息中的目的nat类型、目的nat地址进行转换,并关联目的物理接口;之后,对所述安全策略元素信息中的目的ip地址进行转换并关联目的区域;否则,直接对所述安全策略元素信息中的目的ip地址进行转换并关联目的区域;将目的区域、目的ip地址、目的nat类型、目的nat地址、目的物理接口作为目的防火墙配置参数。
159.根据本发明的又一个实施例,配置文件生成模块502在将所述第一参数表转换为
第二配置文件时还可以用于:从所述安全策略元素信息中获取服务端口相关信息,并判断所述服务端口的连接方式是否为长连接;若是,则处理所述长连接,并输出源服务端口、目的服务端口、应用层代理网关;否则,直接输出源服务端口、目的服务端口、应用层代理网关;对所述安全策略元素信息中的策略动作、策略状态、策略是否记录日志、策略生效时间段、策略的描述信息进行转换;将输出的源服务端口、目的服务端口、应用层代理网关,和转换后的策略动作、策略状态、策略是否记录日志、策略生效时间段、策略的描述信息作为端口策略配置参数。
160.根据本发明的又一个实施例,参数表比对模块504还可以用于:对所述第一参数表和所述第二参数表进行逐行逐列比对。
161.根据本发明的又一个实施例,若比对结果为所述第一参数表和所述第二参数表相同,则比对通过,否则比对不通过;并且,在比对之后,输出比对结果。
162.根据本发明的再一个实施例,策略配置转换程序是基于groovy语言来实现的。
163.根据本发明实施例的技术方案,通过根据源防火墙的第一配置文件生成第一参数表;根据目的防火墙的类型对第一参数表进行处理,得到目的防火墙的第二配置文件,第一配置文件无法被目的防火墙识别,且第二配置文件无法被源防火墙识别;根据第二配置文件生成第二参数表;对第一参数表和第二参数表进行比对,并在比对通过后,进行策略配置替换的技术方案,实现了通过自动化读取源防火墙的安全策略配置文件,并转换成能统一各厂商的参数表,然后通过参数表自动转换成目的防火墙的安全策略配置文件,极大提高了策略配置转换的效率和准确性,解决了实际工作中人工转换错误高、转换时间长、效率低的技术问题。同时,还支持配置文件和参数表之间的双向配置转换,来逐项比对参数表每行每列的内容,从而快速验证转换前和转换后的策略配置是否一致,从而有效解决人工转换错误高、对运维人员技能要求高等问题,从技术层面解决防火墙替换前后的配置的一致性、有效性、及时性和通用性。
164.图6示出了可以应用本发明实施例的防火墙更换时策略配置转换的方法或防火墙更换时策略配置转换的装置的示例性系统架构600。
165.如图6所示,系统架构600可以包括终端设备601、602、603,网络604和服务器605。网络604用以在终端设备601、602、603和服务器605之间提供通信链路的介质。网络604可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
166.用户可以使用终端设备601、602、603通过网络604与服务器605交互,以接收或发送消息等。终端设备601、602、603上可以安装有各种通讯客户端应用,例如防火墙应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等(仅为示例)。
167.终端设备601、602、603可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
168.服务器605可以是提供各种服务的服务器,例如对用户利用终端设备601、602、603所浏览的购物类网站提供支持的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的产品信息查询请求等数据进行分析等处理,并将处理结果(例如目标推送信息、产品信息
‑‑
仅为示例)反馈给终端设备。
169.需要说明的是,本发明实施例所提供的防火墙更换时策略配置转换的方法一般由服务器605执行,相应地,防火墙更换时策略配置转换的装置一般设置于服务器605中。
170.应该理解,图6中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
171.下面参考图7,其示出了适于用来实现本发明实施例的终端设备或服务器的计算机系统700的结构示意图。图7示出的终端设备或服务器仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
172.如图7所示,计算机系统700包括中央处理单元(cpu)701,其可以根据存储在只读存储器(rom)702中的程序或者从存储部分708加载到随机访问存储器(ram)703中的程序而执行各种适当的动作和处理。在ram 703中,还存储有系统700操作所需的各种程序和数据。cpu 701、rom 702以及ram 703通过总线704彼此相连。输入/输出(i/o)接口705也连接至总线704。
173.以下部件连接至i/o接口705:包括键盘、鼠标等的输入部分706;包括诸如阴极射线管(crt)、液晶显示器(lcd)等以及扬声器等的输出部分707;包括硬盘等的存储部分708;以及包括诸如lan卡、调制解调器等的网络接口卡的通信部分709。通信部分709经由诸如因特网的网络执行通信处理。驱动器710也根据需要连接至i/o接口705。可拆卸介质711,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器710上,以便于从其上读出的计算机程序根据需要被安装入存储部分708。
174.特别地,根据本发明公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本发明公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分709从网络上被下载和安装,和/或从可拆卸介质711被安装。在该计算机程序被中央处理单元(cpu)701执行时,执行本发明的系统中限定的上述功能。
175.需要说明的是,本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd

rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、rf等等,或者上述的任意合适的组合。
176.附图中的流程图和框图,图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代
表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
177.描述于本发明实施例中所涉及到的单元或模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元或模块也可以设置在处理器中,例如,可以描述为:一种处理器包括第一参数表生成模块、配置文件生成模块、第二参数表生成模块和参数表比对模块。其中,这些单元或模块的名称在某种情况下并不构成对该单元或模块本身的限定,例如,第一参数表生成模块还可以被描述为“用于根据源防火墙的第一配置文件生成第一参数表的模块”。
178.作为另一方面,本发明还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备中所包含的;也可以是单独存在,而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该设备包括:根据源防火墙的第一配置文件生成第一参数表;根据目的防火墙的类型对所述第一参数表进行处理,得到所述目的防火墙的第二配置文件,所述第一配置文件无法被所述目的防火墙识别,且所述第二配置文件无法被所述源防火墙识别;根据所述第二配置文件生成第二参数表;对所述第一参数表和所述第二参数表进行比对,并在比对通过后,进行策略配置替换。
179.根据本发明实施例的技术方案,通过根据源防火墙的第一配置文件生成第一参数表;根据目的防火墙的类型对第一参数表进行处理,得到目的防火墙的第二配置文件,第一配置文件无法被目的防火墙识别,且第二配置文件无法被源防火墙识别;根据第二配置文件生成第二参数表;对第一参数表和第二参数表进行比对,并在比对通过后,进行策略配置替换的技术方案,实现了通过自动化读取源防火墙的安全策略配置文件,并转换成能统一各厂商的参数表,然后通过参数表自动转换成目的防火墙的安全策略配置文件,极大提高了策略配置转换的效率和准确性,解决了实际工作中人工转换错误高、转换时间长、效率低的技术问题。同时,还支持配置文件和参数表之间的双向配置转换,来逐项比对参数表每行每列的内容,从而快速验证转换前和转换后的策略配置是否一致,从而有效解决人工转换错误高、对运维人员技能要求高等问题,从技术层面解决防火墙替换前后的配置的一致性、有效性、及时性和通用性。
180.上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,取决于设计要求和其他因素,可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。

技术特征:
1.一种防火墙更换时策略配置转换的方法,其特征在于,包括:根据源防火墙的第一配置文件生成第一参数表;根据目的防火墙的类型对所述第一参数表进行处理,得到所述目的防火墙的第二配置文件,所述第一配置文件无法被所述目的防火墙识别,且所述第二配置文件无法被所述源防火墙识别;根据所述第二配置文件生成第二参数表;对所述第一参数表和所述第二参数表进行比对,并在比对通过后,进行策略配置替换。2.根据权利要求1所述的方法,其特征在于,所述第一参数表和所述第二参数表具有统一的数据结构,且包括下列数据项:传输协议、设备名称、策略标识、源ip地址、源服务端口、源区域、源nat类型、源nat地址、源物理接口、目的ip地址、目的服务端口、目的区域、目的nat类型、目的nat地址、目的物理接口、应用层代理网关、策略标识、策略动作、策略状态、策略是否记录日志、策略生效时间段、策略的描述信息。3.根据权利要求1所述的方法,其特征在于,根据源防火墙的第一配置文件生成第一参数表包括:读取所述源防火墙的第一配置文件,并根据所述第一配置文件获取所述源防火墙的类型;通过执行与所述源防火墙的类型相对应的策略配置转换程序,将所述第一配置文件转换为第一参数表。4.根据权利要求3所述的方法,其特征在于,将所述第一配置文件转换为第一参数表包括:从所述第一配置文件中提取设备名称;从所述第一配置文件中提取安全策略元素信息,并通过对所述安全策略元素信息进行转换以得到策略标识、源防火墙配置参数、目的防火墙配置参数和端口策略配置参数;根据所述设备名称、所述策略标识、所述源防火墙配置参数、所述目的防火墙配置参数和所述端口策略配置参数,生成第一参数表;其中,所述源防火墙配置参数包括:源区域、源ip地址、源nat类型、源nat地址、源物理接口;所述目的防火墙配置参数包括:目的区域、目的ip地址、目的nat类型、目的nat地址、目的物理接口;所述端口策略配置参数包括:源服务端口、目的服务端口、应用层代理网关、策略动作、策略状态、策略是否记录日志、策略生效时间段、策略的描述信息。5.根据权利要求4所述的方法,其特征在于,通过对所述安全策略元素信息进行转换以得到源防火墙配置参数包括:从所述安全策略元素信息中获取源ip地址,并判断所述源ip地址是否有nat映射;若是,则对所述安全策略元素信息中的源nat类型、源nat地址进行转换,并关联源物理接口;之后,对所述安全策略元素信息中的源ip地址进行转换并关联源区域;否则,直接对所述安全策略元素信息中的源ip地址进行转换并关联源区域;将源区域、源ip地址、源nat类型、源nat地址、源物理接口作为源防火墙配置参数。
6.根据权利要求4所述的方法,其特征在于,通过对所述安全策略元素信息进行转换以得到目的防火墙配置参数包括:从所述安全策略元素信息中获取目的ip地址,并判断所述目的ip地址是否有nat映射;若是,则对所述安全策略元素信息中的目的nat类型、目的nat地址进行转换,并关联目的物理接口;之后,对所述安全策略元素信息中的目的ip地址进行转换并关联目的区域;否则,直接对所述安全策略元素信息中的目的ip地址进行转换并关联目的区域;将目的区域、目的ip地址、目的nat类型、目的nat地址、目的物理接口作为目的防火墙配置参数。7.根据权利要求4所述的方法,其特征在于,通过对所述安全策略元素信息进行转换以得到端口策略配置参数包括:从所述安全策略元素信息中获取服务端口相关信息,并判断所述服务端口的连接方式是否为长连接;若是,则处理所述长连接,并输出源服务端口、目的服务端口、应用层代理网关;否则,直接输出源服务端口、目的服务端口、应用层代理网关;对所述安全策略元素信息中的策略动作、策略状态、策略是否记录日志、策略生效时间段、策略的描述信息进行转换;将输出的源服务端口、目的服务端口、应用层代理网关,和转换后的策略动作、策略状态、策略是否记录日志、策略生效时间段、策略的描述信息作为端口策略配置参数。8.根据权利要求1所述的方法,其特征在于,根据目的防火墙的类型对所述第一参数表进行处理,得到所述目的防火墙的第二配置文件包括:根据目的防火墙的类型获取与所述目的防火墙的类型相对应的策略配置转换程序;通过执行与所述目的防火墙的类型相对应的策略配置转换程序,将所述第一参数表转换为第二配置文件。9.根据权利要求8所述的方法,其特征在于,将所述第一参数表转换为第二配置文件包括:从所述第一参数表中提取设备名称;从所述第一参数表中提取安全策略元素信息,并通过对所述安全策略元素信息进行转换以得到策略标识、源防火墙配置参数、目的防火墙配置参数和端口策略配置参数;根据所述设备名称、所述策略标识、所述源防火墙配置参数、所述目的防火墙配置参数和所述端口策略配置参数,生成第二配置文件;其中,所述源防火墙配置参数包括:源区域、源ip地址、源nat类型、源nat地址、源物理接口;所述目的防火墙配置参数包括:目的区域、目的ip地址、目的nat类型、目的nat地址、目的物理接口;所述端口策略配置参数包括:源服务端口、目的服务端口、应用层代理网关、策略动作、策略状态、策略是否记录日志、策略生效时间段、策略的描述信息。10.根据权利要求9所述的方法,其特征在于,根据所述设备名称、所述策略标识、所述源防火墙配置参数、所述目的防火墙配置参数和所述端口策略配置参数,生成第二配置文件包括:
根据所述设备名称、所述策略标识、所述源防火墙配置参数、所述目的防火墙配置参数和所述端口策略配置参数,通过执行与所述目的防火墙的类型相对应的策略配置转换程序生成用于生成第二配置文件的命令行脚本;执行所述命令行脚本以生成第二配置文件。11.根据权利要求9或10所述的方法,其特征在于,通过对所述安全策略元素信息进行转换以得到源防火墙配置参数包括:从所述安全策略元素信息中获取源ip地址,并判断所述源ip地址是否有nat映射;若是,则对所述安全策略元素信息中的源nat类型、源nat地址进行转换,并关联源物理接口;之后,对所述安全策略元素信息中的源ip地址进行转换并关联源区域;否则,直接对所述安全策略元素信息中的源ip地址进行转换并关联源区域;将源区域、源ip地址、源nat类型、源nat地址、源物理接口作为源防火墙配置参数。12.根据权利要求9或10所述的方法,其特征在于,通过对所述安全策略元素信息进行转换以得到目的防火墙配置参数包括:从所述安全策略元素信息中获取目的ip地址,并判断所述目的ip地址是否有nat映射;若是,则对所述安全策略元素信息中的目的nat类型、目的nat地址进行转换,并关联目的物理接口;之后,对所述安全策略元素信息中的目的ip地址进行转换并关联目的区域;否则,直接对所述安全策略元素信息中的目的ip地址进行转换并关联目的区域;将目的区域、目的ip地址、目的nat类型、目的nat地址、目的物理接口作为目的防火墙配置参数。13.根据权利要求9或10所述的方法,其特征在于,通过对所述安全策略元素信息进行转换以得到端口策略配置参数包括:从所述安全策略元素信息中获取服务端口相关信息,并判断所述服务端口的连接方式是否为长连接;若是,则处理所述长连接,并输出源服务端口、目的服务端口、应用层代理网关;否则,直接输出源服务端口、目的服务端口、应用层代理网关;对所述安全策略元素信息中的策略动作、策略状态、策略是否记录日志、策略生效时间段、策略的描述信息进行转换;将输出的源服务端口、目的服务端口、应用层代理网关,和转换后的策略动作、策略状态、策略是否记录日志、策略生效时间段、策略的描述信息作为端口策略配置参数。14.根据权利要求1所述的方法,其特征在于,对所述第一参数表和所述第二参数表进行比对包括:对所述第一参数表和所述第二参数表进行逐行逐列比对。15.根据权利要求1所述的方法,其特征在于,若比对结果为所述第一参数表和所述第二参数表相同,则比对通过,否则比对不通过;并且,在比对之后,输出比对结果。16.根据权利要求1所述的方法,其特征在于,策略配置转换程序是基于groovy语言来实现的。17.一种防火墙更换时策略配置转换的装置,其特征在于,包括:第一参数表生成模块,用于根据源防火墙的第一配置文件生成第一参数表;
配置文件生成模块,用于根据目的防火墙的类型对所述第一参数表进行处理,得到所述目的防火墙的第二配置文件,所述第一配置文件无法被所述目的防火墙识别,且所述第二配置文件无法被所述源防火墙识别;第二参数表生成模块,根据所述第二配置文件生成第二参数表;参数表比对模块,用于对所述第一参数表和所述第二参数表进行比对,并在比对通过后,进行策略配置替换。18.一种防火墙更换时策略配置转换的电子设备,其特征在于,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1

16中任一所述的方法。19.一种计算机可读介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1

16中任一所述的方法。
技术总结
本发明公开了一种防火墙更换时策略配置转换的方法和装置,涉及自动程序设计技术领域。该方法的一具体实施方式包括:根据源防火墙的第一配置文件生成第一参数表;根据目的防火墙的类型对第一参数表进行处理,得到目的防火墙的第二配置文件,第一配置文件无法被目的防火墙识别,且第二配置文件无法被源防火墙识别;根据第二配置文件生成第二参数表;对第一参数表和第二参数表进行比对,并在比对通过后,进行策略配置替换。该实施方式能够确保防火墙替换前后策略配置的一致性,同时极大降低了防火墙替换时策略配置转换所需要的时间和人工成本,从技术层面解决了防火墙替换前后的配置的一致性、有效性、及时性和通用性。及时性和通用性。及时性和通用性。


技术研发人员:王官文
受保护的技术使用者:建信金融科技有限责任公司
技术研发日:2021.03.25
技术公布日:2021/6/29

转载请注明原文地址:https://doc.8miu.com/read-12958.html

专利

最新回复(0)