防火墙封禁和解禁IP的方法、系统、设备和介质与流程

本发明涉及计算机应用技术领域，更为具体而言，涉及防火墙封禁和解禁ip的方法、系统、设备和存储介质。

背景技术：

随着互联网技术的快速发展，网络成为银行的重要电子交易渠道，给客户提供便捷的同时，也为网络黑客提供了温床，其中以利用系统漏洞进行的网络渗透攻击最为猖獗，主要目标是窃取客户信息，进而窃取资金。ids、waf、apt等安全监控设备可及时发现网络攻击，但攻击的阻断主要依赖防火墙对攻击ip的封禁手段，但是随着攻击手法的不断升级，攻击效率提升，留给防护人员的处理窗口越来越小。

目前在行业内，主要依靠网络自动化管理系统对防火墙进行集中管理，管理系统提供了在防火墙上通过自动化的手段进行ip封禁的方法，需要人工输入ip，并且普遍采用脚本下发执行的方式，每次封禁均需生成单独的封禁脚本，并与防护墙建立多次连接，脚本的执行也受设备性能影响，消耗大量时间，单ip封禁时间在分钟级，可见目前的集中管控系统通过脚本执行实现封禁解禁的效率比较低，不能满足安全防护要求。

技术实现要素：

为解决上述现有技术存在的问题，本发明提供了一种防火墙封禁和解禁ip的方法、系统、存储介质和计算机设备，通过服务器和防火墙建立长连接保持通信，在需ip封禁、解禁时，系统自动生成封/解禁命令，并将命令下发至防火墙执行，从而避免了服务器和防火墙建立多次连接，脚本检查、脚本执行等环节消耗的时间，大幅优化了工作流程，提高了封/解禁的效率，实现了攻击威胁的自动阻断，并减少人力投入，大幅提升攻击防护效率。

根据本发明实施方式的第一面，提供了一种防火墙封禁ip的方法，包括：服务器和防火墙通过长连接保持通信；其中，所述封禁ip的方法包括：所述服务器根据收到的告警信息生成封禁ip的封禁命令，所述告警信息包括告警ip地址信息；所述服务器通过所述长连接向所述防火墙发送所述封禁命令；所述防火墙根据所述封禁命令封禁所述ip。

根据上述实施方式，服务器和防火墙通过长连接保持通信，避免与防火墙建立多次连接；通过实时接收告警信息，自动生成封禁命令，并将封禁命令下发至防火墙执行，避免了脚本检查、脚本执行等环节消耗的时间，提高了封禁效率，从而实现高效率的外部攻击阻断。

在本发明的一些实施方式中，所述服务器根据收到的告警信息生成封禁ip的封禁命令包括：读取告警明细表中的待封禁ip信息；查询配置信息表得到需要执行封禁的防火墙，所述配置信息表包括：自动封禁开关、执行封禁的防火墙、封禁时间；从封禁ip信息表读取ip封禁信息，并查找可用的防火墙策略id；根据所述告警明细表中的待封禁ip信息及所述可用的防火墙策略id生成所述封禁命令。

通过自动获取待封禁ip信息、可用的防火墙策略id，并生成封禁命令，可以解决人工输入ip，以及每次封禁均需生成单独的封禁脚本导致的封禁效率低下的问题。

在本发明的一些实施方式中，所述服务器通过所述长连接向所述防火墙发送所述封禁命令包括：所述服务器将所述封禁命令插入到策略下发配置表；通过所述策略下发配置表将所述封禁命令下发至防火墙。

通过直接发送执行ip封禁命令的方式可以减少人力投入，提升封禁效率。

在本发明的一些实施方式中，所述封禁ip的方法还包括：所述服务器根据所述防火墙封禁所述ip的返回信息更新所述策略下发配置表和所述告警明细表的状态。

在本发明的一些实施方式中，所述告警明细表包括所述告警ip地址信息、告警时间和告警详情。

根据本发明实施方式的第二方面，提供了一种防火墙解禁ip的方法，包括：服务器和防火墙通过长连接保持通信；所述解禁ip的方法包括：所述服务器根据收到的解禁信息生成解禁ip的解禁命令，所述解禁信息包括待解禁ip的ip地址信息；所述服务器通过所述长连接向所述防火墙发送所述解禁命令；所述防火墙根据所述解禁命令解禁所述ip。

根据上述实施方式，服务器和防火墙通过长连接保持通信，避免与防火墙建立多次连接；通过实时接收解禁信息，自动生成解禁命令，并将解禁命令下发至防火墙执行，避免了脚本检查、脚本执行等环节消耗的时间，提高了解禁效率。

在本发明的一些实施方式中，所述服务器根据收到的解禁信息生成解禁ip的解禁命令包括：读取告警明细表中待解禁ip的封禁信息，所述待解禁ip的封禁信息包括：所述ip地址信息、所述待解禁ip对应的防火墙和策略id；根据所述ip地址信息及所述待解禁ip对应的防火墙和策略id生成所述解禁命令。

通过自动获取待解禁ip信息及其对应的防火墙和策略id，并生成解禁命令，可以解决人工输入ip，以及每次解禁均需生成单独的解禁脚本导致的解禁效率低下的问题。

在本发明的一些实施方式中，所述服务器通过所述长连接向所述防火墙发送所述解禁命令包括：所述服务器将所述解禁命令插入到策略下发配置表；通过所述策略下发配置表将所述解禁命令下发至防火墙。

通过直接发送执行ip解禁命令的方式可以减少人力投入，提升解禁效率。

在本发明的一些实施方式中，所述解禁ip的方法还包括：所述服务器根据所述防火墙解禁所述ip的返回信息更新所述策略下发配置表和所述告警明细表的状态。

根据本发明实施方式的第三方面，提供了一种防火墙封禁ip的系统，包括服务器和防火墙，所述服务器和防火墙通过长连接保持通信；其中，所述服务器包括：第一命令生成模块，用于根据收到的告警信息生成封禁ip的封禁命令，所述告警信息包括告警ip地址信息；第一命令发送模块，用于通过所述长连接向所述防火墙发送所述封禁命令；其中，所述防火墙包括：第一命令执行模块，用于根据所述封禁命令封禁所述ip。

根据上述实施方式，服务器和防火墙通过长连接保持通信，避免与防火墙建立多次连接；通过实时接收告警信息，自动生成封禁命令，并将封禁命令下发至防火墙执行，避免了脚本检查、脚本执行等环节消耗的时间，提高了封禁效率，从而实现高效率的外部攻击阻断。

在本发明的一些实施方式中，根据收到的告警信息生成封禁ip的封禁命令包括：读取告警明细表中的待封禁ip信息；查询配置信息表得到需要执行封禁的防火墙，所述配置信息表包括：自动封禁开关、执行封禁的防火墙、封禁时间；从封禁ip信息表读取ip封禁信息，并查找可用的防火墙策略id；根据所述告警明细表中的待封禁ip信息及所述可用的防火墙策略id生成所述封禁命令。

通过自动获取待封禁ip信息、可用的防火墙策略id，并生成封禁命令，可以解决人工输入ip，以及每次封禁均需生成单独的封禁脚本导致的封禁效率低下的问题。

在本发明的一些实施方式中，通过所述长连接向所述防火墙发送所述封禁命令包括：所述服务器将所述封禁命令插入到策略下发配置表；通过所述策略下发配置表将所述封禁命令下发至防火墙。

通过直接发送执行ip封禁命令的方式可以减少人力投入，提升封禁效率。

在本发明的一些实施方式中，所述服务器还包括：第一更新模块，用于根据所述防火墙封禁所述ip的返回信息更新所述策略下发配置表和所述告警明细表的状态。

在本发明的一些实施方式中，所述告警明细表包括所述告警ip地址信息、告警时间和告警详情。

根据本发明实施方式的第四方面，提供了一种防火墙解禁ip的系统，包括服务器和防火墙，所述服务器和防火墙通过长连接保持通信；其中，所述服务器包括：第二命令生成模块，用于根据收到的解禁信息生成解禁ip的解禁命令，所述解禁信息包括待解禁ip的ip地址信息；第二命令发送模块，用于通过所述长连接向所述防火墙发送所述解禁命令；其中，所述防火墙包括：第二命令执行模块，用于根据所述解禁命令解禁所述ip。

根据上述实施方式，服务器和防火墙通过长连接保持通信，避免与防火墙建立多次连接；通过实时接收解禁信息，自动生成解禁命令，并将解禁命令下发至防火墙执行，避免了脚本检查、脚本执行等环节消耗的时间，提高了解禁效率。

在本发明的一些实施方式中，根据收到的解禁信息生成解禁ip的解禁命令包括：读取告警明细表中待解禁ip的封禁信息，所述待解禁ip的封禁信息包括：所述ip地址信息、所述待解禁ip对应的防火墙和策略id；根据所述ip地址信息及所述待解禁ip对应的防火墙和策略id生成所述解禁命令。

通过自动获取待解禁ip信息及其对应的防火墙和策略id，并生成解禁命令，可以解决人工输入ip，以及每次解禁均需生成单独的解禁脚本导致的解禁效率低下的问题。

在本发明的一些实施方式中，通过所述长连接向所述防火墙发送所述解禁命令包括：所述服务器将所述解禁命令插入到策略下发配置表；通过所述策略下发配置表将所述解禁命令下发至防火墙。

通过直接发送执行ip解禁命令的方式可以减少人力投入，提升解禁效率。

在本发明的一些实施方式中，所述服务器还包括：第二更新模块，用于根据所述防火墙解禁所述ip的返回信息更新所述策略下发配置表和所述告警明细表的状态。

根据本发明实施例的第五方面，提供一种计算机可读存储介质，其上存储有计算机可读指令，其特征在于，所述计算机可读指令被处理器执行时，使得计算机执行如下操作：所述操作包括如上任意一种实施方式所述方法所包含的步骤。

根据本发明实施例的第六方面，提供一种包括存储器和处理器的计算机设备，所述存储器用于存储一条或多条计算机指令，其中，所述一条或多条计算机指令被所述处理器执行时能够实现如上任意一种实施方式所述的方法。

本发明实施方式提供的防火墙封禁和解禁ip的方法、系统、存储介质和计算机设备，通过服务器和防火墙建立长连接保持通信，在有ip封禁、解禁时，系统自动生成封/解禁命令，并将命令下发至防火墙执行，从而避免了服务器和防火墙建立多次连接，脚本检查、脚本执行等环节消耗的时间，大幅优化了工作流程，提高了封/解禁的效率。

附图说明

图1是根据本发明实施方式的封禁和解禁ip方法可适用的系统架构示意图；

图2是根据本发明一种实施方式的防火墙封禁ip的方法的流程示意图；

图3是根据本发明一种实施方式的防火墙解禁ip的方法的流程示意图；

图4是根据本发明实施方式的封禁和解禁ip可适用的系统逻辑架构示意图；

图5是根据本发明一种实施方式的防火墙封禁和解禁ip的方法的整体架构示意图；

图6是根据本发明一种实施方式的防火墙封禁和解禁ip的方法的整体流程示意图；

图7是根据图6中步骤s32的一种流程示意图；

图8是根据图6中步骤s35的一种流程示意图；

图9是根据图6中步骤s36的一种流程示意图；

图10是根据本发明一种实施方式的防火墙封禁ip的系统的架构图；

图11是根据本发明一种实施方式的防火墙封禁ip的系统的架构图；

图12是根据本发明一种实施方式的防火墙封禁和解禁ip的系统的架构图。

具体实施方式

以下结合附图和具体实施方式对本发明的各个方面进行详细阐述。其中，众所周知的模块、单元及其相互之间的连接、链接、通信或操作没有示出或未作详细说明。并且，所描述的特征、架构或功能可在一个或一个以上实施方式中以任何方式组合。本领域技术人员应当理解，下述的各种实施方式只用于举例说明，而非用于限制本发明的保护范围。还可以容易理解，本文所述和附图所示的各实施方式中的模块或单元或处理方式可以按各种不同配置进行组合和设计。

图1是根据本发明实施方式的封禁和解禁ip方法可适用的系统架构示意图。

如图1所示，本发明实施方式的封禁和解禁ip方法中服务器和防火墙通过长连接保持通信，并且封禁和/或解禁指令以命令下发的方式执行，实现了秒级的封禁解禁水平。

在可选的实施方式中，服务器和防火墙建立长连接后，会因超时或防火墙异常造成连接中断，因此，本发明实施方式采用保活机制，即，建立长连接后，定时向防火墙发送执行命令来保活，同时如果收到命令执行错误信息，则认为防火墙已断开连接，启动重连机制。

在可选的实施方式中，在封禁命令下发过程中，为了解决防火墙命令执行返回结果错位的问题，本发明实施方式采用命令顺序发送机制，即，在前一条命令执行完毕后再发送下一条，从而确保返回的结果不会产生错位。

图2是根据本发明一种实施方式的防火墙封禁ip的方法的流程示意图。

如图2所示，在本发明的一种实施方式中，所述防火墙封禁ip的方法可包括：步骤s11、步骤s12和步骤s13，下面对上述步骤进行具体的描述。

在步骤s11中，服务器根据收到的告警信息生成封禁ip的封禁命令，其中，所述告警信息包括告警ip地址信息。在可选的实施方式中，通过读取告警明细表中的待封禁ip信息；查询配置信息表得到需要执行封禁的防火墙；从封禁ip信息表读取ip封禁信息，并查找可用的防火墙策略id；根据所述告警明细表中的待封禁ip信息及所述可用的防火墙策略id生成所述封禁命令。其中，所述配置信息表包括：自动封禁开关、执行封禁的防火墙、封禁时间。

在可选的实施方式中，所述告警明细表包括所述告警ip地址信息、告警时间、告警详情等信息。

通过上述方法，可以实时接收告警信息，自动获取待封禁ip信息、可用的防火墙策略id，并自动生成封禁命令，能够解决人工输入ip，以及每次封禁均需生成单独的封禁脚本导致的封禁效率低下的问题。

在步骤s12中，服务器通过长连接向防火墙发送所述封禁命令。在可选的实施方式中，所述服务器将所述封禁命令插入到策略下发配置表；通过所述策略下发配置表将所述封禁命令下发至防火墙。

通过直接发送执行ip封禁命令的方式能够减少人力投入，提升封禁效率。

在步骤s13中，所述防火墙根据所述封禁命令封禁所述ip。

本发明的上述防火墙封禁ip的方法通过服务器和防火墙建立长连接保持通信，可以避免服务器与防火墙建立多次连接；通过实时接收告警信息，自动生成封禁命令，并将封禁命令下发至防火墙执行，避免了人工输入ip，以及脚本检查、脚本执行等环节消耗的时间，提高了封禁效率，从而实现高效率的外部攻击阻断。

图3是根据本发明一种实施方式的防火墙解禁ip的方法的流程示意图。

如图3所示，在本发明的一种实施方式中，所述防火墙解禁ip的方法可包括：步骤s21、步骤s22和步骤s23，下面对上述步骤进行具体的描述。

在步骤s21中，服务器根据收到的解禁信息生成解禁ip的解禁命令，其中，所述解禁信息包括待解禁ip的ip地址信息。在可选的实施方式中，所述待解禁ip的ip地址信息根据本发明实施方式的封禁方法中的配置信息表中的封禁时间确定。具体的，在某一ip的封禁时间到达配置信息表中对应的封禁时间时，服务器接收该需要解禁ip的ip地址信息。

在可选的实施方式中，读取告警明细表中待解禁ip的封禁信息；根据所述ip地址信息及所述待解禁ip对应的防火墙和策略id生成所述解禁命令。其中，所述待解禁ip的封禁信息包括：所述ip地址信息、所述待解禁ip对应的防火墙和策略id。

上述方法通过自动获取待解禁ip信息及其对应的防火墙和策略id，并生成解禁命令，可以解决人工输入ip，以及每次解禁均需生成单独的解禁脚本导致的解禁效率低下的问题。

在步骤s22中，服务器通过长连接向防火墙发送所述解禁命令。在可选的实施方式中，所述服务器将所述解禁命令插入到策略下发配置表；通过所述策略下发配置表将所述解禁命令下发至防火墙。

通过直接发送执行ip解禁命令的方式可以减少人力投入，提升解禁效率。

在步骤s23中，所述防火墙根据所述解禁命令解禁所述ip。

本发明的上述防火墙解禁ip的方法通过服务器和防火墙建立长连接保持通信，可以避免服务器与防火墙建立多次连接；通过实时接收解禁信息，自动生成解禁命令，并将解禁命令下发至防火墙执行，避免了人工输入ip，以及脚本检查、脚本执行等环节消耗的时间，提高了解禁效率。

此外，在可选的实施方式中，待解禁ip的ip地址信息可以通过人工选择确定，具体的，人工选择需要解禁的ip地址，并通过解禁指令(例如，解禁按钮)触发解禁操作，使服务器接收到所述需要解禁的ip地址，随后服务器根据收到的ip地址生成解禁ip的解禁命令。该方法同样可以解决每次解禁均需生成单独的解禁脚本导致的解禁效率低下的问题。

图4是根据本发明实施方式的封禁和解禁ip可适用的系统逻辑架构示意图。

其中，数据层提供通用的基于http的接口，安全设备通过接口实时主动推送告警信息，收到告警后对告警内容进行解析重组，以ip地址为基准聚合同类告警，写入告警明细表。

服务层：管理接入防火墙，管理ip封禁状态、封禁的防火墙地址池，管理封禁配置选项，记录聚合后的告警，根据告警ip生成封禁脚本/命令，记录下发状态。其中，自动化引擎包含两个计时器，实时读取待封禁的ip地址，将待封禁ip下发至防火墙，更新ip封禁状态(待封禁、封禁中，已封禁、解禁成功等)。

应用层：提供ip封禁信息的展示，封禁配置的调整，封禁操作界面，报表信息查询、灰名单导入功能。

图5是根据本发明一种实施方式的防火墙封禁和解禁ip的方法的整体架构示意图。

如图5所示，所述防火墙封禁和解禁ip的方法包括：

首先，waf、ids等安全监控设备通过调用一键封禁平台接口获取对应的告警信息，例如waf告警、ids告警及其他告警。其中，所述告警信息中包括告警ip。

其次，通过预定义过滤名单选择对告警信息中的告警ip进行标记操作。具体的，若该告警ip触发的是预定义过滤名单中的白名单，则将该ip标记为绿色，且不进行封禁操作，而是将该告警ip信息存入历史报表中；若该告警ip触发的是预定义过滤名单中的灰名单，则将该ip标记为红色，并等待后续进行封禁操作。

再次，针对标红的告警ip，判断封禁预配置信息中的自动封禁是否开启。具体的，在自动封禁关闭时，通过人工判断确定是否对该ip进行封禁；在自动封禁开启时，通过封禁预配置信息中的信息对该ip进行ip自动封禁。

在可选的实施方式中，可以通过手工输入待封禁ip，并对该ip进行封禁。

从次，针对已经封禁的封禁ip进行解禁。

最后，将所有进行封禁、解禁操作的ip及详细信息录入历史报表，供操作人员检索及记录导出。

通过上述方法，不仅可以实时接收各类告警信息，并根据预定义过滤名单对告警信息进行对应操作，还能够通过手工输入待封禁ip进行封禁，使得整个封禁和解禁ip的方法更加灵活和可靠。

图6是根据本发明一种实施方式的防火墙封禁和解禁ip的方法的整体流程示意图。

如图6所示，本发明的一种实施方式的防火墙封禁和解禁ip的方法可包括：步骤s31、步骤s32、步骤s33、步骤s34和步骤s35，下面结合图5对图6中的上述步骤进行具体的描述。

在步骤s31中，获取告警信息，其中，所述告警信息中包含告警ip。具体而言，通过图4中部署的waf、ids等安全监控设备，可以及时有效发现网络攻击行为，这些安全监控设备通过调用一键封禁接口推送告警信息。

在可选的实施方式中，操作人员手动输入告警信息，所述告警信息包括告警ip。可选的，操作人员直接手动输入待封禁ip。

在可选的实施方式中，一键封禁接口的设计如下：

接口调用方式为：httppost；

数据格式为：application/json；charset＝utf-8；

发送内容为：告警ip、告警时间、告警来源、攻击详情1、攻击详情2、攻击详情3、攻击详情4。

除上述设计外，一键封禁接口还提供告警重传机制，针对传输失败的告警信息，可连续重传3次，间隔3秒，重传3次都失败后停止传输，请求进行人工处置。

在步骤s32中，处理告警信息并展示。在可选的实施方式中，提取告警信息中的有效字段，根据ip地址对告警进行合并，将得到的告警ip展示在告警界面中，并支持多选、筛选等功能。

在步骤s33中，对所述告警ip进行标记。在可选的实施方式中，根据预定义的过滤名单，判断告警ip触发的是预定义过滤名单中的白名单还是灰名单，从而确定相应的操作。若判断该告警ip触发的是预定义过滤名单中的白名单，则在告警界面及报表(即告警明细表)将该ip标记为绿色，并将该ip及详细信息录入历史报表中进行存储，以供操作人员检索及记录导出。若判断该告警ip触发的是预定义过滤名单中的灰名单，则在告警界面、ip解禁界面及报表将该ip标记为红色。

在可选的实施方式中，过滤名单的设计如下：

操作人员在界面内可根据表单输入需要过滤提示的ip地址，字段设计包括：ip地址、ip类型(白名单、灰名单)，业务描述、备注信息，同时支持名单查询修改功能，也可通过文件批量导入。

当告警中的告警ip地址触发名单中对应ip类型时，操作行为定义如下：

触发白名单的告警，在告警界面及报表标记为绿色，触发灰名单的告警，在告警界面、ip解禁界面及报表标记为红色，自动封禁开启时，不对白名单告警ip进行处置，对灰名单告警ip自动执行封禁，自动封禁关闭时，由操作人员判断是否封禁告警ip。

在步骤s34中，封禁配置。在可选的实施方式中，所述封禁预配置的内容可以包括但不限于：自动封禁的开启关闭、防火墙设备的选择、封禁时间的设置中的一种或多种。

在可选的实施方式中，当执行手工输入和/或自动封禁时，按照封禁预配置信息执行封禁操作，包括封禁时长、防火墙设备选择、自动封禁开关等。

在步骤s35中，ip封禁。具体而言，根据封禁预配置中的内容判断自动封禁是否为开启状态，当自动封禁开启时，根据所述封禁预配置中的内容，自动选择防火墙设备及策略id，实现自动封禁，无需人工干预。

当自动封禁关闭时，由操作人员判断是否执行封禁操作，若需要进行封禁操作，操作人员可对展示的告警信息中的告警ip进行封禁操作，具体而言，操作人员可以手动选择防火墙设备及策略id。

在步骤s36中，ip解禁。所有被封禁ip在ip解禁界面展示，在操作人员选择待解禁的ip后，可一键执行解禁操作。在可选的实施方式中，当某被封禁ip的封禁时长到达步骤s34中封禁配置中的封禁时长的时候，自动对该封禁ip执行解决操作。

在步骤s37中，生成历史报表。将执行封禁及解禁过程的ip及详细信息录入历史报表中，供操作人员检索及记录导出。

图7是根据图6中步骤s32的一种流程示意图。

如图7所示，本发明的一种实施方式中处理告警信息并展示的方法可包括：步骤s41、步骤s42、步骤s43和步骤s44，下面对上述步骤进行具体的描述。

在步骤s41中，接收告警信息。在可选的实施方式中，所述告警信息可以包括但不限于：告警ip、告警来源、攻击内容中的一种或多种。

在可选的实施方式中，对接收的告警量设置可配置的阈值参数，当告警流量超过该阈值时，云平台忽略超过阈值的告警流量，即不对告警传输反馈参数，此时对接系统认为告警传输失败，启动重传机制。

在步骤s42中，外部系统调用接口发送获取告警信息的请求报文。

在步骤s43中，保存外部系统的请求报文，从告警明细表获取告警信息。

在步骤s44中，将告警信息合并。在可选的实施方式中，同一ip可能出现多次告警，为方便展示和处置，将单一ip的多条告警进行合并，动态显示该告警ip的最新时间告警条目，并统计合并告警数。

在可选的实施方式中，通过告警明细表进行展示的信息可以包括但不限于：告警ip、告警时间、告警详情中的一种或多种。并且，通过点击告警详情可以查看告警信息，同时，支持对告警信息的筛选及排序。

在步骤s45中，展示合并处理后的告警信息，请求调用结束。

在可选的实施方式中，由于安全监控系统存在一定的误告警率，提供对误告警的清除功能，被清除后的告警信息不在告警界面显示。

图8是根据图6中步骤s35的一种流程示意图。

如图8所示，本发明的一种实施方式中ip封禁的方法可包括：步骤s51、步骤s52、步骤s53、步骤s54、步骤s55和步骤s56，下面对上述步骤进行具体的描述。

在步骤s51中，开始(自动封禁)。当封禁预配置中的自动封禁开启时，根据所述封禁预配置中的内容，自动选择防火墙设备及策略id，开始进行自动封禁。

在步骤s52中，读取告警明细表中的待封禁ip，并将ip状态修改为封禁中。在可选的实施方式中，存储合并的告警信息，记录告警的处理状态，告警信息存在三个状态：待下发、处理中、成功/失败/超时，告警信息还包含解禁时间。其中，所述解禁时间用于确定ip封禁后多长时间对该ip进行自动解禁操作。

在步骤s53中，在防火墙设备连接信息表中查找所有活动设备，读取配置信息。在可选的实施方式中，从配置信息表中读取配置信息。在可选的实施方式中，所述配置信息表用于记录自动封禁开关、封禁选择的防火墙，封禁时间等配置信息。

在可选的实施方式中，设备连接信息表用于记录纳管防火墙的连接状态。

在步骤s54中，在封禁ip信息表中寻找可用的防火墙策略id。在可选的实施方式中，封禁ip信息表用于记录ip封禁的防火墙列表，每台防火墙上占用的策略id。

根据防火墙的工作机制，在防火墙上划分了多个封禁策略池，每个池子有唯一的id号，单个池子可封禁1000个ip，满了后无法再封禁，需要更换新的地址池。

在步骤s55中，生成封禁命令，插入到策略下发配置表中状态置为待下发。在可选的实施方式中，策略下发配置表用于根据ip地址生成可执行的封禁解禁命令，记录这些操作指令对应的下发状态，其中，所述状态包括待下发、成功/失败/超时，指令可由控制器下发至防火墙执行封解禁。

在步骤s56中，返回封禁结果，根据结果将ip状态更新为封禁成功或封禁失败。

执行封禁时，系统读取告警明细表中的待封禁ip信息，同时将ip状态更新为封禁中，根据配置信息查找需要执行封禁的防火墙设备，读取ip封禁信息，寻找可用的防火墙策略id生成封禁指令，插入到策略下发配置表，通过策略下发配置表将操作指令下发至防火墙，根据防火墙返回信息，更新策略下发状态、ip封禁信息，ip状态调整为封禁成功/封禁失败。

通过上述自动封禁ip的方法，封禁操作可以通过直接发送执行ip封禁命令来实现，避免了人工输入ip，以及脚本检查、脚本执行等环节消耗的时间，提高了封禁效率，从而实现高效率的外部攻击阻断。

图9是根据图6中步骤s36的一种流程示意图。

如图9所示，本发明的一种实施方式中ip解禁的方法可包括：步骤s61、步骤s62、步骤s63和步骤s64，下面对上述步骤进行具体的描述。

在步骤s61中，开始(自动解禁)。

在步骤s62中，读取已封禁ip，已到解禁时间的ip状态更改为待解禁。即，从ip封禁信息表中读取已封禁ip，将告警明细表中已到解禁时间的ip在ip封禁信息表中的ip状态更改为待解禁。

在步骤s63中，生成解禁命令，插入到策略下发配置表，ip状态更新为解禁中。具体的，根据ip封禁的防火墙及策略id生成解禁指令，插入到策略下发配置表同时将ip状态从封禁成功调整为解禁中，解禁指令通过下发配置表下发到防火墙实施解禁，

在步骤s64中，返回解禁结果，根据结果将ip状态更新为解禁成功或失败。具体的，根据防火墙的返回信息，更新策略下发状态、ip封禁信息，并根据解禁的结果将ip状态调整为解禁成功/解禁失败。

通过上述自动解禁ip的方法，解禁操作可以通过直接发送执行ip解禁命令来实现，避免了人工输入ip，以及脚本检查、脚本执行等环节消耗的时间，提高了解禁效率。图10是根据本发明一种实施方式的防火墙封禁ip的系统的架构图。

如图10所示，所述系统包括：服务器和防火墙，所述服务器和防火墙通过长连接保持通信。

其中，所述服务器包括：

第一命令生成模块111，用于根据收到的告警信息生成封禁ip的封禁命令，所述告警信息包括告警ip地址信息。在可选的实施方式中，读取告警明细表中的待封禁ip信息；查询配置信息表得到需要执行封禁的防火墙，所述配置信息表包括：自动封禁开关、执行封禁的防火墙、封禁时间；从封禁ip信息表读取ip封禁信息，并查找可用的防火墙策略id；根据所述告警明细表中的待封禁ip信息及所述可用的防火墙策略id生成所述封禁命令。

在可选的实施方式中，所述告警明细表包括所述告警ip地址信息、告警时间和告警详情。

通过上述系统，可以实时接收告警信息，自动获取待封禁ip信息、可用的防火墙策略id，并自动生成封禁命令，能够解决人工输入ip，以及每次封禁均需生成单独的封禁脚本导致的封禁效率低下的问题。

第一命令发送模块112，用于通过所述长连接向所述防火墙发送所述封禁命令。在可选的实施方式中，所述服务器将所述封禁命令插入到策略下发配置表；通过所述策略下发配置表将所述封禁命令下发至防火墙。

通过直接发送执行ip封禁命令的方式能够减少人力投入，提升封禁效率。

第一更新模块113，用于根据所述防火墙封禁所述ip的返回信息更新所述策略下发配置表和所述告警明细表的状态。

其中，所述防火墙包括：第一命令执行模块121，用于根据所述封禁命令封禁所述ip。

本发明的上述防火墙封禁ip的系统通过服务器和防火墙建立长连接保持通信，可以避免服务器与防火墙建立多次连接；通过实时接收告警信息，自动生成封禁命令，并将封禁命令下发至防火墙执行，避免了人工输入ip，以及脚本检查、脚本执行等环节消耗的时间，提高了封禁效率，从而实现高效率的外部攻击阻断。

图11是根据本发明一种实施方式的防火墙解禁ip的系统的架构图。

如图11所示，所述系统包括：服务器和防火墙，所述服务器和防火墙通过长连接保持通信。

其中，所述服务器包括：

第二命令生成模块211，用于根据收到的解禁信息生成解禁ip的解禁命令，所述解禁信息包括待解禁ip的ip地址信息。在可选的实施方式中，所述待解禁ip的ip地址信息根据本发明实施方式的封禁系统中的配置信息表中的封禁时间确定。具体的，在某一ip的封禁时间到达配置信息表中对应的封禁时间时，服务器接收该需要解禁ip的ip地址信息。

在可选的实施方式中，读取告警明细表中待解禁ip的封禁信息；根据所述ip地址信息及所述待解禁ip对应的防火墙和策略id生成所述解禁命令。其中，所述待解禁ip的封禁信息包括：所述ip地址信息、所述待解禁ip对应的防火墙和策略id。

上述系统通过自动获取待解禁ip信息及其对应的防火墙和策略id，并生成解禁命令，可以解决人工输入ip，以及每次解禁均需生成单独的解禁脚本导致的解禁效率低下的问题。

第二命令发送模块212，用于通过所述长连接向所述防火墙发送所述解禁命令。在可选的实施方式中，所述服务器将所述解禁命令插入到策略下发配置表；通过所述策略下发配置表将所述解禁命令下发至防火墙。

通过直接发送执行ip解禁命令的方式可以减少人力投入，提升解禁效率。

第二更新模块213，用于根据所述防火墙解禁所述ip的返回信息更新所述策略下发配置表和所述告警明细表的状态。

其中，所述防火墙包括：第二命令执行模块221，用于根据所述解禁命令解禁所述ip。

本发明的上述防火墙解禁ip的系统通过服务器和防火墙建立长连接保持通信，可以避免服务器与防火墙建立多次连接；通过实时接收解禁信息，自动生成解禁命令，并将解禁命令下发至防火墙执行，避免了人工输入ip，以及脚本检查、脚本执行等环节消耗的时间，提高了解禁效率。

图12是根据本发明一种实施方式的防火墙封禁和解禁ip的系统的架构图。

如图12所示，所述系统包括：服务器和防火墙，所述服务器和防火墙通过长连接保持通信。

其中，所述服务器包括：

命令生成模块311，用于根据收到的告警信息或解禁信息生成封禁ip的封禁命令或解禁ip的解禁命令，其中，所述告警信息包括告警ip地址信息，所述解禁信息包括待解禁ip的ip地址信息。

在可选的实施方式中，读取告警明细表中的待封禁ip信息；查询配置信息表得到需要执行封禁的防火墙，所述配置信息表包括：自动封禁开关、执行封禁的防火墙、封禁时间；从封禁ip信息表读取ip封禁信息，并查找可用的防火墙策略id；根据所述告警明细表中的待封禁ip信息及所述可用的防火墙策略id生成所述封禁命令。可选的，所述告警明细表包括所述告警ip地址信息、告警时间和告警详情。

在可选的实施方式中，读取告警明细表中待解禁ip的封禁信息；根据所述ip地址信息及所述待解禁ip对应的防火墙和策略id生成所述解禁命令。其中，所述待解禁ip的封禁信息包括：所述ip地址信息、所述待解禁ip对应的防火墙和策略id。

通过上述系统，能够自动获取待封禁或解禁ip信息、并生成封禁或解禁命令，可以解决人工输入ip，以及每次封禁或解禁均需生成单独的封禁或解禁脚本导致的封禁和解禁效率低下的问题。

命令发送模块312，用于通过所述长连接向所述防火墙发送所述封禁命令或解禁命令。在可选的实施方式中，所述服务器将所述封禁命令或解禁命令插入到策略下发配置表；通过所述策略下发配置表将所述封禁命令或解禁命令下发至防火墙。

通过直接发送执行ip封禁或解禁命令的方式可以减少人力投入，提升封禁和解禁效率。

更新模块313，用于根据所述防火墙封禁或解禁ip的返回信息更新所述策略下发配置表和所述告警明细表的状态。

其中，所述防火墙包括：命令执行模块321，用于根据所述封禁命令或解禁命令封禁或解禁ip。

本发明的上述防火墙封禁和解禁ip的系统通过服务器和防火墙建立长连接保持通信，可以避免服务器与防火墙建立多次连接；通过实时接收告警信息或解禁信息，自动生成封禁命令或解禁命令，并将所述封禁命令或解禁命令下发至防火墙执行，避免了人工输入ip，以及脚本检查、脚本执行等环节消耗的时间，提高了封禁和解禁效率。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明可借助软件结合硬件平台的方式来实现。基于这样的理解，本发明的技术方案对背景技术做出贡献的全部或者部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。

对应的，本发明实施方式还提供一种计算机可读存储介质，其上存储有计算机可读指令，所述计算机可读指令被处理器执行时，使得计算机执行如下操作：所述操作包括如上任意一种实施方式所述方法所包含的步骤，在此不再赘述。其中，所述存储介质可以包括：例如，光盘、硬盘、软盘、闪存、磁带等。

另外，本发明实施方式还提供一种包括存储器和处理器的计算机设备，所述存储器用于存储一条或多条计算机指令，其中，所述一条或多条计算机指令被所述处理器执行时能够实现如上任意一种实施方式所述的方法。所述计算机设备可以是，例如，服务器、台式计算机、笔记本计算机、平板电脑等。

本发明说明书中使用的术语和措辞仅仅为了举例说明，并不意味构成限定。本领域技术人员应当理解，在不脱离所公开的实施方式的基本原理的前提下，对上述实施方式中的各细节可进行各种变化。因此，本发明的范围只由权利要求确定，在权利要求中，除非另有说明，所有的术语应按最宽泛合理的意思进行理解。