基于网络安全架构的防火墙部署方法、装置、设备及介质与流程

1.本发明涉及网络安全领域，尤其涉及一种基于网络安全架构的防火墙部署方法、装置、设备及介质。


背景技术：

2.随着我国数字化进程的推进，数据安全变得越发重要。对于一些大型信息服务企业而言，为了保证数据中心的安全，需要设置复杂的网络安全架构。而作为实现安全防护的重要手段，防火墙设备在数据中心大量使用。现有的研究方向主要在于防火墙设备本身安全设计、防火墙设备的自动化管理等方面。网络安全架构和防火墙设备之间的衔接偏弱，导致企业无法根据自身网络安全架构来灵活设计编排防火墙设备。这会导致企业在升级网络安全架构时，难度大，耗时长。


技术实现要素：

3.基于此，有必要针对上述技术问题，提供一种基于网络安全架构的防火墙部署方法、装置、设备及介质，以提高防火墙部署的灵活性。
4.一种基于网络安全架构的防火墙部署方法，包括：
5.通过用户数据层获取用户输入的用于访问目标网络资源的安全设置信息；
6.将所述安全设置信息发送给防火墙资源层，以获取所述防火墙资源层返回的与所述安全设置信息匹配的防火墙配置信息；
7.将所述防火墙配置信息发送给网络安全架构编排层，以获取网络安全架构编排层返回的与所述防火墙配置信息匹配的网络拓扑信息；
8.根据所述网络拓扑信息设置用于访问所述目标网络资源的网络配置信息。
9.一种基于网络安全架构的防火墙部署装置，包括：
10.用户数据层，用于获取用户输入的用于访问目标网络资源的安全设置信息；
11.逻辑处理层，用于从所述用户数据层接收所述安全设置信息，将所述安全设置信息发送给防火墙资源层，以获取所述防火墙资源层返回的与所述安全设置信息匹配的防火墙配置信息；
12.所述防火墙资源层，用于获取与所述安全设置信息匹配的防火墙配置信息，并将所述防火墙配置信息返回给所述逻辑处理层；
13.所述逻辑处理层，还用于将所述防火墙配置信息发送给网络安全架构编排层；
14.所述网络安全架构编排层，用于获取与所述防火墙配置信息匹配的网络拓扑信息，并将所述网络拓扑信息返回给所述逻辑处理层；
15.所述逻辑处理层，还用于根据所述网络拓扑信息设置用于访问所述目标网络资源的网络配置信息。
16.一种计算机设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机可读指令，所述处理器执行所述计算机可读指令时实现上述基于网络安
全架构的防火墙部署方法。
17.一个或多个存储有计算机可读指令的可读存储介质，所述计算机可读指令被一个或多个处理器执行时，使得所述一个或多个处理器执行如上述基于网络安全架构的防火墙部署方法。
18.本发明中，用户可以使用安全设置信息生成相应的网络配置信息，若网络安全架构发生变化，则使用新的安全设置信息生成相应的新的网络配置信息，不需要在各个防火墙进行设置，大大提高了网络配置的效率，同时，由防火墙资源层管理防火墙资源数据，由网络安全架构编排层管理全局的防火墙设备，适用多种网络安全架构，可以实现全局防火墙策略的开通、回收、查询的全生命周期管理。本发明可以提高防火墙部署的灵活性。
附图说明
19.为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例的描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
20.图1是本发明一实施例中基于网络安全架构的防火墙部署方法的一应用环境示意图；
21.图2是本发明一实施例中基于网络安全架构的防火墙部署方法的一流程示意图；
22.图3是本发明一实施例中防火墙设备的一结构示意图；
23.图4是本发明一实施例中基于网络安全架构的防火墙部署装置的一结构示意图；
24.图5是本发明一实施例中计算机设备的一示意图。
具体实施方式
25.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
26.本实施例提供的基于网络安全架构的防火墙部署方法，可应用在如图1的应用环境中，其中，客户端与服务端进行通信。其中，客户端包括但不限于各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备。服务端可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
27.在一实施例中，如图2所示，提供一种基于网络安全架构的防火墙部署方法，以该方法应用在图1中的服务端为例进行说明，包括如下步骤s10-s40。
28.s10、通过用户数据层获取用户输入用于访问目标网络资源的安全设置信息。
29.可理解地，网络安全架构可以指数据中心的网络架构。在数据中心，可以设置有多个防火墙设备。防火墙设备(实体)下设置有多个相互隔离的安全区域，每一安全区域都设置有对应的防火墙(虚拟)。每个安全区域分配有多个ip(internet protocol address，ip地址)网段。如图3所示，防火墙设备1下设置有n个相互隔离的安全区域，每一安全区域都设置有对应的防火墙。每个安全区域分配有多个ip网段。如安全区域1包含p个ip网段，安全区
域n包含q个ip网段。在此处，n、p、q均为正整数。
30.为了更好地管理网络安全架构，本实施例设置了四个数据层，分别为用户数据层、防火墙资源层、逻辑处理层和网络安全架构编排层。其中，用户数据层用于获取安全设置信息。防火墙资源层用于提供与安全设置信息匹配的防火墙配置信息。逻辑处理层分别与其它三个数据层连接，实现各个数据层之间的数据传送。网络安全架构编排层用于存储全局防火墙设备的拓扑路径以及防火墙设备信息。
31.目标网络资源指的是用户需要访问的网络资源，可以是网页、网盘等。安全设置信息包括但不限于源ip、目标ip、目标端口、目标协议、策略生效时间、策略类型、策略有效期。
32.在一示例中，用户可以通过用户数据层提供的用户界面输入设置参数，生成上述安全设置信息。在另一示例中，用户数据层可以通过特定的数据接口(非用户设置界面)接收安全设置信息。
33.可选的，所述安全设置信息包括源ip、目标ip、目标端口、目标协议、策略生效时间、策略类型、策略有效期中的至少一种。
34.可理解地，安全设置信息包括但不限于源ip、目标ip，以及与源ip、目标ip相关的路由端口信息，如目标端口、目标协议、策略生效时间、策略类型(是否临时策略)、策略有效期(临时策略的有效期)。在此处，源ip可以是用户指定使用的ip地址或ip网段。目标ip以是用户需要访问的ip地址或ip网段。目标端口、目标协议、策略生效时间、策略类型和策略有效期均可以根据实际需要进行设置。
35.s20、将所述安全设置信息发送给防火墙资源层，以获取所述防火墙资源层返回的与所述安全设置信息匹配的防火墙配置信息。
36.可理解地，防火墙资源层用于管理网络安全架构的防火墙资源数据。在此处，防火墙资源数据可由系统管理员录入。防火墙资源数据包括但不限于防火墙设备信息、防火墙安全区域信息、网络ip地址段信息。防火墙资源层接收到逻辑处理层发送的安全设置信息，根据安全设置信息在防火墙资源数据中查询，以获取相应的防火墙配置信息。例如，可以根据源ip查找到ip网段，再定位相应的安全区域以及防火墙设备。同样的，可以根据目标ip查找到对应的ip网段、安全区域以及防火墙设备。
37.可选的，所述防火墙配置信息包括防火墙设备信息、防火墙安全区域信息、网络ip地址段信息中的至少一种。
38.可理解地，防火墙资源层用于管理防火墙资源数据。在此处，防火墙资源数据可由系统管理员录入。防火墙资源数据包括但不限于防火墙设备信息、防火墙安全区域信息、网络ip地址段信息。防火墙设备信息可以指防火墙设备的安全配置信息，包括防火墙设备的设备标识、访问规则。防火墙安全区域信息指的是防火墙设备下的安全区域的安全配置信息，包括安全区域的识别标识、访问策略。网络ip地址段信息包括ip网段的ip地址范围。每一个防火墙设备下，可以划分出若干安全区域。而每个安全区域下，分为若干个ip网段。
39.s30、将所述防火墙配置信息发送给网络安全架构编排层，以获取网络安全架构编排层返回的与所述防火墙配置信息匹配的网络拓扑信息。
40.可理解地，网络安全架构编排层可以提供全局的防火墙设备之间的互联网络拓扑，确定源ip与目标ip之间互联链路，以及互联链路上的各个连接节点的防火墙设备及其防火墙设备信息。网络拓扑信息包括源ip与目标ip之间互联链路，以及互联链路上的各个
连接节点的防火墙设备及其防火墙设备信息。在一些示例中，网络拓扑信息包括多条互联链路。
41.s40、根据所述网络拓扑信息设置用于访问所述目标网络资源的网络配置信息。
42.可理解地，在获得网络拓扑信息之后，网络拓扑信息的各条互联链路均可以访问所述目标网络资源。可以根据实际需要选取其中的一条或多条互联链路生成网络配置信息。生成这些网络配置信息之后，用户可以使用该网络配置信息访问目标网络资源。在此处，网络配置信息包括互联链路上各个防火墙的配置信息，确保用户的访问请求不会被防火墙所拦截。
43.本实施例中，用户可以使用安全设置信息生成相应的网络配置信息，若网络安全架构发生变化，则使用新的安全设置信息生成相应的新的网络配置信息，不需要在各个防火墙进行设置，大大提高了网络配置的效率，同时，由防火墙资源层管理防火墙资源数据，由网络安全架构编排层管理全局的防火墙设备，适用多种网络安全架构，实现全局防火墙策略的开通、回收、查询的全生命周期管理，满足网络安全架构规范。本实施例可以提高防火墙部署的灵活性。
44.可选的，所述防火墙配置信息包括源防火墙和目标防火墙；
45.步骤s30，即所述将所述防火墙配置信息发送给网络安全架构编排层，以获取网络安全架构编排层返回的与所述防火墙配置信息匹配的网络拓扑信息，包括：
46.s301、查询所述源防火墙在网络安全架构的第一网络位置；查询所述目标防火墙在所述网络安全架构的第二网络位置；
47.s302、根据所述第一网络位置和所述第二网络位置规划若干互联链路，所述网络拓扑信息包括若干所述互联链路，每一所述互联链路包括所述源防火墙、所述目标防火墙、以及所述源防火墙与所述目标防火墙之间的中间防火墙。
48.可理解地，通过查询防火墙资源层，可以获得源防火墙和目标防火墙。然后在网络安全架构编排层中查找源防火墙在网络安全架构的第一网络位置，目标防火墙在所述网络安全架构的第二网络位置。第一网络位置可表示为：防火墙设备1\安全区域2\网段3；第二网络位置可表示为：防火墙设备5\安全区域17\网段5。
49.通过网络安全架构编排层提供的全局网路拓扑，可以规划处若干连接源防火墙和目标防火墙的互联链路。每一互联链路包括源防火墙、目标防火墙、以及源防火墙与目标防火墙之间的中间防火墙。在一示例中，一互联链路可表示为：源防火墙——防火墙1——防火墙2——防火墙3——防火墙4——目标防火墙。
50.可选的，所述互联链路的条数大于一；
51.步骤s40，即所述根据所述网络拓扑信息设置用于访问所述目标网络资源的网络配置信息，包括：
52.s401、获取各条所述互联链路的网络连通数据；
53.s402、根据预设评价规则从所有所述网络连通数据选取出最优网络连通数据，将与所述最优网络连通数据对应的互联链路确定为目标互联链路；
54.s403、获取所述目标互联链路上的所有防火墙的配置信息，生成所述网络配置信息。
55.可理解地，网络连通数据包括但不限于网速、延时率、兼容性、安全性。预设评价规
则可以根据实际需要进行设置，如可以是网速优先规则、低延时优先规则、高兼容性优先规则、高安全性优先规则。
56.可以通过预设评价规则从所有网络连通数据选取出最优网络连通数据。与最优网络连通数据对应的互联链路即为目标互联链路。可以获取目标互联链路上的所有防火墙的配置信息，生成网络配置信息。在一些示例中，网络配置信息可以包括多条互联链路的防火墙配置信息，其中，目标互联链路为主链路，其他互联链路为备用链路。
57.若互联链路的条数只有一条，则该互联链路即为目标互联链路。
58.应理解，上述实施例中各步骤的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。
59.在一实施例中，提供一种基于网络安全架构的防火墙部署装置，该基于网络安全架构的防火墙部署装置与上述实施例中基于网络安全架构的防火墙部署方法一一对应。如图4所示，该基于网络安全架构的防火墙部署装置包括用户数据层10、逻辑处理层20、防火墙资源层30和逻辑处理层40。各功能模块详细说明如下：
60.用户数据层10，用于获取用户输入的用于访问目标网络资源的安全设置信息；
61.逻辑处理层20，用于从用户数据层10接收所述安全设置信息，将所述安全设置信息发送给防火墙资源层30，以获取防火墙资源层30返回的与所述安全设置信息匹配的防火墙配置信息；
62.防火墙资源层30，用于获取与所述安全设置信息匹配的防火墙配置信息，并将所述防火墙配置信息返回给逻辑处理层20；
63.逻辑处理层20，还用于将所述防火墙配置信息发送给网络安全架构编排层40；
64.网络安全架构编排层40，用于获取与所述防火墙配置信息匹配的网络拓扑信息，并将所述网络拓扑信息返回给逻辑处理层20；
65.逻辑处理层20，还用于根据所述网络拓扑信息设置用于访问所述目标网络资源的网络配置信息。
66.可选的，所述安全设置信息包括源ip、目标ip、目标端口、目标协议、策略生效时间、策略类型、策略有效期中的至少一种。
67.可选的，所述防火墙配置信息包括防火墙设备信息、防火墙安全区域信息、网络ip地址段信息中的至少一种。
68.可选的，所述防火墙配置信息包括源防火墙和目标防火墙；
69.网络安全架构编排层40包括：
70.查询单元，用于查询所述源防火墙在网络安全架构的第一网络位置；查询所述目标防火墙在所述网络安全架构的第二网络位置；
71.规划互联链路单元，用于根据所述第一网络位置和所述第二网络位置规划若干互联链路，所述网络拓扑信息包括若干所述互联链路，每一所述互联链路包括所述源防火墙、所述目标防火墙、以及所述源防火墙与所述目标防火墙之间的中间防火墙。
72.可选的，所述互联链路的条数大于一；
73.逻辑处理层20包括：
74.获取网络连通数据单元，用于获取各条所述互联链路的网络连通数据；
75.确定目标互联链路单元，用于根据预设评价规则从所有所述网络连通数据选取出最优网络连通数据，将与所述最优网络连通数据对应的互联链路确定为目标互联链路；
76.生成网络配置信息，用于获取所述目标互联链路上的所有防火墙的配置信息，生成所述网络配置信息。
77.关于基于网络安全架构的防火墙部署装置的具体限定可以参见上文中对于基于网络安全架构的防火墙部署方法的限定，在此不再赘述。上述基于网络安全架构的防火墙部署装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
78.在一个实施例中，提供了一种计算机设备，该计算机设备可以是服务器，其内部结构图可以如图5所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括可读存储介质、内存储器。该可读存储介质存储有操作系统、计算机可读指令和数据库。该内存储器为可读存储介质中的操作系统和计算机可读指令的运行提供环境。该计算机设备的数据库用于存储基于网络安全架构的防火墙部署方法所涉及的数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机可读指令被处理器执行时以实现一种基于网络安全架构的防火墙部署方法。本实施例所提供的可读存储介质包括非易失性可读存储介质和易失性可读存储介质。
79.在一个实施例中，提供了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机可读指令，处理器执行计算机可读指令时实现以下步骤：
80.通过用户数据层获取用户输入的用于访问目标网络资源的安全设置信息；
81.将所述安全设置信息发送给防火墙资源层，以获取所述防火墙资源层返回的与所述安全设置信息匹配的防火墙配置信息；
82.将所述防火墙配置信息发送给网络安全架构编排层，以获取网络安全架构编排层返回的与所述防火墙配置信息匹配的网络拓扑信息；
83.根据所述网络拓扑信息设置用于访问所述目标网络资源的网络配置信息。
84.在一个实施例中，提供了一个或多个存储有计算机可读指令的计算机可读存储介质，本实施例所提供的可读存储介质包括非易失性可读存储介质和易失性可读存储介质。可读存储介质上存储有计算机可读指令，计算机可读指令被一个或多个处理器执行时实现以下步骤：
85.通过用户数据层获取用户输入的用于访问目标网络资源的安全设置信息；
86.将所述安全设置信息发送给防火墙资源层，以获取所述防火墙资源层返回的与所述安全设置信息匹配的防火墙配置信息；
87.将所述防火墙配置信息发送给网络安全架构编排层，以获取网络安全架构编排层返回的与所述防火墙配置信息匹配的网络拓扑信息；
88.根据所述网络拓扑信息设置用于访问所述目标网络资源的网络配置信息。
89.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机可读指令来指令相关的硬件来完成，所述的计算机可读指令可存储于一非易失性可读取存储介质或易失性可读存储介质中，该计算机可读指令在执行时，可包括如上述
各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(rom)、可编程rom(prom)、电可编程rom(eprom)、电可擦除可编程rom(eeprom)或闪存。易失性存储器可包括随机存取存储器(ram)或者外部高速缓冲存储器。作为说明而非局限，ram以多种形式可得，诸如静态ram(sram)、动态ram(dram)、同步dram(sdram)、双数据率sdram(ddrsdram)、增强型sdram(esdram)、同步链路(synchlink)dram(sldram)、存储器总线(rambus)直接ram(rdram)、直接存储器总线动态ram(drdram)、以及存储器总线动态ram(rdram)等。
90.所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，仅以上述各功能单元、模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能单元、模块完成，即将所述装置的内部结构划分成不同的功能单元或模块，以完成以上描述的全部或者部分功能。
91.以上所述实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围，均应包含在本发明的保护范围之内。