防火墙策略的自动查询方法及系统与流程

本发明涉及一种网络安全技术领域，特别是涉及一种防火墙策略的自动查询方法及系统。

背景技术：

随着互联网技术的不断发展，在线网站的规模越来越大，防火墙作为网站的安全屏障被大量的使用。防火墙数量的增加以及防火墙中安全策略条目的增加，导致安全工程师的工作量成倍的增长，要从多台防火墙的大量安全策略中查询出是否存在某条安全策略就变得非常困难。现有的查询防火墙策略的方法，主要是通过人工登录每台防火墙的查询界面进行防火墙策略检索，这样繁琐的查询方法，使得安全工程师的工作效率非常低下，增加了出错的概率。

技术实现要素：

本发明要解决的技术问题是为了克服现有技术中查询防火墙策略的方法主要通过人工登录每台防火墙的查询界面进行查询，导致工作量成倍增加、工作效率非常低下的缺陷，提供一种防火墙策略的自动查询方法及系统。

本发明是通过下述技术方案来解决上述技术问题的：

本发明提供了一种防火墙策略的自动查询方法，其特点在于，包括以下步骤：

S1、构建防火墙策略信息库，所述防火墙策略信息库中存储有多个防火墙策略，每个防火墙策略均包括源地址数组、目的地址数组以及服务数组；

S2、设置查询条件，所述查询条件包括目标源地址、目标目的地址以及目标服务数据；

S3、按照设定顺序从所述防火墙策略信息库中获取一条防火墙策略；

S4、判断获取的所述防火墙策略的源地址数组中是否包含所述目标源地址、目的地址数组中是否包含所述目标目的地址且服务数组中是否包含所述目标服务数据，若是，则执行步骤S5，若否，则返回步骤S3；

S5、将获取的所述防火墙策略保存至查询结果集；

S6、判断获取的所述防火墙策略是否为所述防火墙策略信息库中的最后一条防火墙策略，若是，则执行步骤S7，若否，则返回步骤S3；

S7、输出所述查询结果集。

较佳地，步骤S1中，每个防火墙策略还包括动作类型以及防火墙名称。

较佳地，步骤S3中通过统一查询接口从所述防火墙策略信息库中获取防火墙策略。

本发明的目的在于还提供了一种防火墙策略的自动查询系统，其特点在于，包括：

构建模块，用于构建防火墙策略信息库，所述防火墙策略信息库中存储有多个防火墙策略，每个防火墙策略均包括源地址数组、目的地址数组以及服务数组；

设置模块，用于设置查询条件，所述查询条件包括目标源地址、目标目的地址以及目标服务数据；

获取模块，用于按照设定顺序从所述防火墙策略信息库中获取一条防火墙策略；

第一判断模块，用于判断获取的所述防火墙策略的源地址数组中是否包含所述目标源地址、目的地址数组中是否包含所述目标目的地址且服务数组中是否包含所述目标服务数据，若是，则调用一存储模块，若否，则调用所述获取模块；

所述存储模块用于将获取的所述防火墙策略保存至查询结果集；

第二判断模块，用于判断获取的所述防火墙策略是否为所述防火墙策略信息库中的最后一条防火墙策略，若是，则调用一输出模块，若否，则调用所述获取模块；

所述输出模块用于输出所述查询结果集。

较佳地，每个防火墙策略还包括动作类型以及防火墙名称。

较佳地，所述获取模块通过统一查询接口从所述防火墙策略信息库中获取防火墙策略。

本发明的积极进步效果在于：本发明实现了在大型网络环境中，对防火墙策略进行集中式统一化的管理，为防火墙策略的查询工作提供了统一的查询接口提高了防火墙的管理效率，降低了防火墙策略查询的工作量，提高了防火墙策略查询的效率以及准确性。

附图说明

图1为本发明的较佳实施例的防火墙策略的自动查询方法的流程图。

图2为本发明的较佳实施例的防火墙策略的自动查询系统的模块示意图。

具体实施方式

下面通过实施例的方式进一步说明本发明，但并不因此将本发明限制在所述的实施例范围之中。

如图1所示，本发明的防火墙策略的自动查询方法包括以下步骤：

步骤101、构建防火墙策略信息库，所述防火墙策略信息库中存储有多个防火墙策略，每个防火墙策略均包括源地址数组(sources)、目的地址数组(destinations)以及服务数组(services)；优选地，每个防火墙策略还包括动作类型(action)以及防火墙名称(name)；

步骤102、设置查询条件，所述查询条件包括目标源地址(scr_ip)、目标目的地址(dst_ip)以及目标服务数据(service)；具体的查询条件可由用户根据需要设置并输入；

步骤103、按照设定顺序从所述防火墙策略信息库中获取一条防火墙策略；其中，设定顺序可由用户根据需要进行预设，步骤103中具体可以通过统一查询接口从所述防火墙策略信息库中获取防火墙策略；

步骤104、判断获取的所述防火墙策略的源地址数组中是否包含所述目标源地址、目的地址数组中是否包含所述目标目的地址且服务数组中是否包含所述目标服务数据，若是，则执行步骤105，若否，则返回步骤103；

在步骤104中，需要分别对获取的所述防火墙策略的源地址数组、目标地址数组以及服务数组进行判断，具体为判断源地址数组中是否包含所述目标源地址、目的地址数组中是否包含所述目标目的地址且服务数组中是否包含所述目标服务数据，只有在上述三个判断均为是时，才表明获取的所述防火墙策略符合查询条件，此时即执行步骤105，否则，上述三个判断只要有至少一个判断为否，就说明获取的所述防火墙策略不符合查询条件，此时则返回步骤103重新获取一个新的防火墙策略进行判断；

步骤105、将获取的所述防火墙策略保存至查询结果集；其中查询结果集即为存储获取的所述防火墙策略的集合，所述查询结果集的具体形式可以为数据库等；

步骤106、判断获取的所述防火墙策略是否为所述防火墙策略信息库中的最后一条防火墙策略，若是，则说明所述防火墙策略信息库中的每个防火墙策略均已被获取和查询一遍，此时执行步骤107，若否，则说明所述防火墙策略信息库中还有未被获取和查询的防火墙策略，此时则返回步骤103；

步骤107、返回并输出所述查询结果集。

本发明实现了在多台防火墙的情况下，对防火墙策略进行集中式统一化的查询操作，提供了统一的查询接口，降低了防火墙策略查询的工作量，提高了防火墙策略查询的效率。

如图2所示，本发明的防火墙策略的自动查询系统包括构建模块1、设置模块2、获取模块3、第一判断模块4、存储模块5、第二判断模块6以及输出模块7；

其中，所述构建模块1用于构建防火墙策略信息库，所述防火墙策略信息库中存储有多个防火墙策略，每个防火墙策略均包括源地址数组、目的地址数组以及服务数组；优选地还可以包括动作类型以及防火墙名称；

所述设置模块2用于设置查询条件，所述查询条件包括目标源地址、目标目的地址以及目标服务数据；

所述获取模块3用于按照设定顺序从所述防火墙策略信息库中获取一条防火墙策略；

所述第一判断模块4用于判断获取的所述防火墙策略的源地址数组中是否包含所述目标源地址、目的地址数组中是否包含所述目标目的地址且服务数组中是否包含所述目标服务数据，若是，则调用所述存储模块5，若否，则调用所述获取模块；

所述存储模块5用于将获取的所述防火墙策略保存至查询结果集；

所述第二判断模块6用于判断获取的所述防火墙策略是否为所述防火墙策略信息库中的最后一条防火墙策略，若是，则调用所述输出模块7，若否，则调用所述获取模块；

所述输出模块7用于输出所述查询结果集。

虽然以上描述了本发明的具体实施方式，但是本领域的技术人员应当理解，这些仅是举例说明，本发明的保护范围是由所附权利要求书限定的。本领域的技术人员在不背离本发明的原理和实质的前提下，可以对这些实施方式做出多种变更或修改，但这些变更和修改均落入本发明的保护范围。