1.本技术涉及计算机技术领域,具体而言,涉及一种防火墙规则复现的方法和装置、存储介质及处理器。
背景技术:2.防火墙是指通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。由于防火墙用户所使用的防火墙型号各异,配置也具有明显的自定义特征和特殊性,所以当防火墙用户在使用期间遇到问题需要设备供应商的技术人员进行技术支持时,技术人员就需要在本地测试防火墙上还原用户防火墙的规则,并重复用户在遇到问题的过程中进行过的操作,来复现用户遇到的问题,以便解决用户的问题。如何提高复现防火墙规则的速度,同时又保证本地环境复现的准确性,就成了技术人员解决用户使用问题,提高用户使用体验度的关键所在。现有技术中使用sercurecrt,xshell等串口控制软件手动下发防火墙的配置,使用postman等接口测试软件进行页面节点的post,put,get,delete的模拟下发操作。该方法依赖技术人员通过人工识别及手动下发的方式复现用户防火墙环境,不仅对时间的消耗很大,并且十分考验技术人员的耐心及细心程度。用户端防火墙的配置规则复杂度越大,手动复现的耗时长和准确率低的问题暴露得就越明显。
3.针对相关技术中通过人工识别和手动下发的方式复现用户防火墙的配置规则,当用户防火墙的配置规则复杂度比较大时,导致本地设备环境配置复现的准确率低的问题,目前尚未提出有效的解决方案。
技术实现要素:4.本技术的主要目的在于提供一种防火墙规则复现的方法和装置、存储介质及处理器,以解决相关技术中通过人工识别和手动下发的方式复现用户防火墙的配置规则,当用户防火墙的配置规则复杂度比较大时,导致本地设备环境配置复现的准确率低的问题。
5.为了实现上述目的,根据本技术的一个方面,提供了一种防火墙规则复现的方法。该方法包括:依据目标终端的防火墙规则,获取所述目标终端的防火墙的配置文件一;第一装置对所述配置文件一进行规则分析和分类信息提取,得到所述目标终端的防火墙的配置信息,其中,所述配置信息至少包括:防火墙硬件信息,防火墙系统软件基础信息,防火墙软件特性开关信息和防火墙软件功能配置信息;依据所述配置信息,第二装置在本地设备复现所述目标终端的防火墙规则。
6.进一步地,在所述第一装置对所述配置文件一进行规则分析和分类信息提取,得到所述目标终端的防火墙的配置信息之后,所述方法还包括:将所述配置信息以yaml文件格式保存并上传至目标服务器;依据所述配置信息,所述第二装置在本地设备复现所述目标终端的防火墙规则包括:所述第二装置从所述目标服务器中下载所述配置信息,依据所述配置信息,在本地设备复现所述目标终端的防火墙规则。
7.进一步地,依据所述配置信息,所述第二装置在本地设备复现所述目标终端的防火墙规则还包括:依据所述防火墙硬件信息,从设备库中查询满足要求的目标设备并记录所述目标设备的连接控制信息,其中,所述目标设备作为所述本地设备;依据所述防火墙系统软件基础信息和所述设备的连接控制信息,连接所述目标设备;通过ftp方式在所述目标设备进行所述防火墙系统软件和功能许可证的安装;依据所述防火墙软件特性开关信息,完成所述目标设备的软件特性的开关配置,并且在特征库服务器上完成指定特征库的升级部署;将所述防火墙软件功能配置信息,下发至所述目标设备上,以在所述目标设备上复现所述目标终端的防火墙的规则。
8.进一步地,将所述防火墙软件功能配置信息,下发至所述目标设备上,以在所述目标设备上复现所述目标终端的防火墙的规则,包括:依据所述防火墙软件功能配置信息,确定所述防火墙软件的功能模块的依赖关系;依据所述依赖关系,按顺序将所述功能模块的cli配置下发至所述目标设备上,以在所述目标设备上复现所述目标终端的防火墙的规则。
9.进一步地,在第二装置在本地设备复现所述目标终端的防火墙规则之后,所述方法还包括:第三装置对所述本地设备复现的防火墙规则与所述目标终端的防火墙规则进行检测对比,得到对比检测结果。
10.进一步地,所述第三装置对所述本地设备复现的防火墙规则与所述目标终端的防火墙规则进行检测对比,得到对比检测结果,包括:所述第三装置将所述本地设备复现的防火墙规则导出,得到配置文件二;所述第三装置将所述配置文件一和所述配置文件二进行对比检测,得到所述对比检测结果。
11.进一步地,在所述第三装置对所述本地设备复现的防火墙规则与所述目标终端的防火墙规则进行检测对比,得到对比检测结果之后,所述方法还包括:将所述对比检测结果,所述本地设备的连接操作信息和部署配置的访问url以目标方式发送给目标对象,以分析所述目标终端的异常信息,其中,所述连接操作信息为用于表征所述本地设备的访问路径,所述访问url用于表征所述配置文件二的访问路径。
12.为了实现上述目的,根据本技术的另一方面,提供了一种防火墙规则复现的装置。该装置包括:获取单元,用于依据目标终端的防火墙规则,获取所述目标终端的防火墙的配置文件一;提取单元,用于第一装置对所述配置文件一进行规则分析和分类信息提取,得到所述目标终端的防火墙的配置信息,其中,所述配置信息至少包括:防火墙硬件信息,防火墙系统软件基础信息,防火墙软件特性开关信息和防火墙软件功能配置信息;复现单元,用于依据所述配置信息,第二装置在本地设备复现所述目标终端的防火墙规则。
13.进一步地,所述装置还包括:存储单元,用于在所述第一装置对所述配置文件一进行规则分析和分类信息提取,得到所述目标终端的防火墙的配置信息之后,将所述配置信息以yaml文件格式保存并上传至目标服务器;所述复现单元还用于所述第二装置从所述目标服务器中下载所述配置信息,依据所述配置信息,在本地设备复现所述目标终端的防火墙规则。
14.进一步地,所述复现单元还包括:查询子单元,用于依据所述防火墙硬件信息,从设备库中查询满足要求的目标设备并记录所述目标设备的连接控制信息,其中,所述目标设备作为所述本地设备;连接子单元,用于依据所述防火墙系统软件基础信息和所述设备的连接控制信息,连接所述目标设备;安装子单元,用于通过ftp方式在所述目标设备进行
所述防火墙系统软件和功能许可证的安装;配置子单元,用于依据所述防火墙软件特性开关信息,完成所述目标设备的软件特性的开关配置,并且在特征库服务器上完成指定特征库的升级部署;下发子单元,用于将所述防火墙软件功能配置信息,下发至所述目标设备上,以在所述目标设备上复现所述目标终端的防火墙的规则。
15.进一步地,所述下发子单元包括:确定模块,用于依据所述防火墙软件功能配置信息,确定所述防火墙软件的功能模块的依赖关系;下发模块,用于依据所述依赖关系,按顺序将所述功能模块的cli配置下发至所述目标设备上,以在所述目标设备上复现所述目标终端的防火墙的规则。
16.进一步地,所述装置还包括:检测单元,用于在第二装置在本地设备复现所述目标终端的防火墙规则之后,第三装置对所述本地设备复现的防火墙规则与所述目标终端的防火墙规则进行检测对比,得到对比检测结果。
17.进一步地,所述检测单元包括:导出子单元,用于所述第三装置将所述本地设备复现的防火墙规则导出,得到配置文件二;检测子单元,用于所述第三装置将所述配置文件一和所述配置文件二进行对比检测,得到所述对比检测结果。
18.进一步地,所述装置还包括:发送单元,用于在所述第三装置对所述本地设备复现的防火墙规则与所述目标终端的防火墙规则进行检测对比,得到对比检测结果之后,将所述对比检测结果,所述本地设备的连接操作信息和部署配置的访问url以目标方式发送给目标对象,以分析所述目标终端的异常信息,其中,所述连接操作信息为用于表征所述本地设备的访问路径,所述访问url用于表征所述配置文件二的访问路径。
19.为了实现上述目的,根据本技术的另一方面,提供了一种计算机可读存储介质,所述存储介质包括存储的程序,其中,所述程序执行上述任意一项所述的防火墙规则复现的方法。
20.为了实现上述目的,根据本技术的另一方面,提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行上述任意一项所述的防火墙规则复现的方法。
21.通过本技术,采用以下步骤:依据目标终端的防火墙规则,获取所述目标终端的防火墙的配置文件一;第一装置对所述配置文件一进行规则分析和分类信息提取,得到所述目标终端的防火墙的配置信息,其中,所述配置信息至少包括:防火墙硬件信息,防火墙系统软件基础信息,防火墙软件特性开关信息和防火墙软件功能配置信息;依据所述配置信息,第二装置在本地设备复现所述目标终端的防火墙规则,解决了相关技术中通过人工识别和手动下发的方式复现用户防火墙的配置规则,当用户防火墙的配置规则复杂度比较大时,导致本地设备环境配置复现的准确率低的问题。通过第一装置对目标终端的防火墙规则进行规则分析以及分类信息的提取,得到目标终端的防火墙的配置信息,依据配置信息,通过第二装置在本地设备上复现目标终端的防火墙规则,进而达到了提高本地设备复现准确率的效果。
附图说明
22.构成本技术的一部分的附图用来提供对本技术的进一步理解,本技术的示意性实施例及其说明用于解释本技术,并不构成对本技术的不当限定。在附图中:
23.图1是根据本技术实施例提供的防火墙规则复现的方法的流程图;
24.图2是根据本技术实施例提供的可选的第一装置提取得到的配置信息的示意图;
25.图3是根据本技术实施例提供的可选的第二装置的操作流程图;
26.图4是根据本技术实施例提供的可选的防火墙规则复现的方法的示意图;
27.图5是根据本技术实施例提供的防火墙规则复现的装置的示意图。
具体实施方式
28.需要说明的是,在不冲突的情况下,本技术中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本技术。
29.为了使本技术领域的人员更好地理解本技术方案,下面将结合本技术实施例中的附图,对本技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本技术一部分的实施例,而不是全部的实施例。基于本技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本技术保护的范围。
30.需要说明的是,本技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本技术的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
31.下面结合优选的实施步骤对本发明进行说明,图1是根据本技术实施例提供的防火墙规则复现的方法的流程图,如图1所示,该方法包括如下步骤:
32.步骤s101,依据目标终端的防火墙规则,获取目标终端的防火墙的配置文件一。
33.例如,某一防火墙用户使用的防火墙出现问题,那么获取该用户设置的防火墙规则,得到配置文件一。
34.步骤s102,第一装置对配置文件一进行规则分析和分类信息提取,得到目标终端的防火墙的配置信息,其中,配置信息至少包括:防火墙硬件信息,防火墙系统软件基础信息,防火墙软件特性开关信息和防火墙软件功能配置信息。
35.例如,第一装置可以是防火墙用户配置自动化分析提取装置,该装置对配置文件一进行规则分析和分类信息提取,获得用户端的防火墙的配置信息。
36.步骤s103,依据配置信息,第二装置在本地设备复现目标终端的防火墙规则。
37.例如,第二装置可以是本地防火墙自动化匹配及环境复现装置,该装置根据提取到的配置信息,在本地设备复现用户端的防火墙规则。
38.通过上述步骤,防火墙自动化分析提取装置完成用户端防火墙规则分析和信息提取,提高了对用户配置分析的效率及准确率;通过本地环境匹配及还原复现装置,实现满足要求的设备快速匹配及配置信息的自动化导入,提高了本地设备环境部署的效率和准确率。
39.可选地,在本技术实施例提供的防火墙规则复现的方法中,在第一装置对配置文件一进行规则分析和分类信息提取,得到目标终端的防火墙的配置信息之后,该方法还包括:将配置信息以yaml文件格式保存并上传至目标服务器;依据配置信息,第二装置在本地
设备复现目标终端的防火墙规则包括:第二装置从目标服务器中下载配置信息,依据配置信息,在本地设备复现目标终端的防火墙规则。
40.例如,防火墙用户配置自动化分析提取装置,该装置对配置文件一进行规则分析和分类信息提取,获得用户端的防火墙的配置信息,提取出的配置信息输出为yaml文件,并且上传到目标服务器(例如,分析提取后复现环境配置存储ftp服务器),其中,配置信息包括:防火墙硬件信息,防火墙系统软件基础信息,防火墙软件特性开关信息和防火墙软件功能配置信息,如图2所示。本地防火墙自动化匹配及环境复现装置在本地设备复现目标终端的防火墙规则包括:从分析提取后复现环境配置存储ftp服务器中获取到配置信息,依据配置信息,在本地设备复现目标终端的防火墙规则。
41.将配置信息输出为yaml文件进行存储,这是由于yaml的可读性好并且易于实现。
42.可选地,在本技术实施例提供的防火墙规则复现的方法中,依据配置信息,第二装置在本地设备复现目标终端的防火墙规则还包括:依据防火墙硬件信息,从设备库中查询满足要求的目标设备并记录目标设备的连接控制信息,其中,目标设备作为本地设备;依据防火墙系统软件基础信息和设备的连接控制信息,连接目标设备;通过ftp方式在目标设备进行防火墙系统软件和功能许可证的安装;依据防火墙软件特性开关信息,完成目标设备的软件特性的开关配置,并且在特征库服务器上完成指定特征库的升级部署;将防火墙软件功能配置信息,下发至目标设备上,以在目标设备上复现目标终端的防火墙的规则。
43.例如,本地防火墙自动化匹配及环境复现装置的自动化操作流程,如图3所示。第一步本地设备池自动化匹配设备:根据配置信息中的防火墙硬件信息(hardwareinfo),在本地设备池中查询匹配出满足要求的本地设备,并记录本地设备的连接控制信息;第二步设备的系统版本及功能许可证安装:根据配置信息中的防火墙系统软件基础信息(systembasicinfo),以及第一步中获取到的本地设备的连接控制信息,把设备连接好,并将设备恢复默认成出厂配置(unset all),然后部署基本配置后通过ftp方式(import image xxx from ftp server xxx)进行指定系统版本和功能许可证的安装。第三步设备软件功能特性设置、使能及指定版本的特征库安装:根据配置信息中的防火墙特性开关信息(systemfrinfo),依次完成设备软件特性的开关配置,并且根据特性生效的提示(部分特性需要reboot后才能生效)进行操作。然后在特征库服务器上完成指定特征库的升级部署。第四步设备软件功能配置的cli自动化导入:将防火墙软件功能配置信息,下发至本地设备上,以在本地设备上复现目标终端的防火墙的规则。
44.本地防火墙自动化匹配及环境复现装置,自动化匹配满足要求的设备,并且通过自动下发的方式复现用户端的防火墙规则,这样的操作方式提高了本地设备环境部署的效率及准确率。
45.可选地,在本技术实施例提供的防火墙规则复现的方法中,将防火墙软件功能配置信息,下发至目标设备上,以在目标设备上复现目标终端的防火墙的规则,包括:依据防火墙软件功能配置信息,确定防火墙软件的功能模块的依赖关系;依据依赖关系,按顺序将功能模块的cli配置下发至目标设备上,以在目标设备上复现目标终端的防火墙的规则。
46.通过防火墙软件功能配置信息中的功能模块详细配置cli和功能模块的依赖关系,按顺序将功能模块的cli配置下发至目本地设备(即上述的目标设备)上,以在本地设备上复现目标终端的防火墙的规则。
47.通过本地防火墙自动化匹配及环境复现装置,实现了防火墙配置信息的自动化导入,提高了本地设备复现用户端的防火墙的规则的效率。
48.可选地,在本技术实施例提供的防火墙规则复现的方法中,在第二装置在本地设备复现目标终端的防火墙规则之后,该方法还包括:第三装置对本地设备复现的防火墙规则与目标终端的防火墙规则进行检测对比,得到对比检测结果。
49.例如,第三装置可以是本地复现环境配置对比检测装置,对本地设备复现的防火墙规则与目标终端的防火墙规则进行检测对比,得到配置信息复现的准确度。
50.通过本地复现环境配置对比检测装置,确认本地设备环境配置还原的准确度,以便技术分析人员能够更加准确、快速地复现用户问题。
51.可选地,在本技术实施例提供的防火墙规则复现的方法中,第三装置对本地设备复现的防火墙规则与目标终端的防火墙规则进行检测对比,得到对比检测结果,包括:第三装置将本地设备复现的防火墙规则导出,得到配置文件二;第三装置将配置文件一和配置文件二进行对比检测,得到对比检测结果。
52.例如,本地复现环境配置对比检测装置将本地设备复现的防火墙规则导出,得到配置文件二,将配置文件二与配置文件一就防火墙硬件信息、防火墙系统软件基础信息、防火墙特性开关信息和防火墙功能模块配置四个部分进行对比检测,得到对比检测结果。
53.通过对比检测结果,技术开发人员能够准确了解本地设备复现的准确性,并且方便技术开发人员对本地防火墙自动化匹配及环境复现装置进行调整以实现更高准确度的本地防火墙自动化匹配及环境复现装置。
54.可选地,在本技术实施例提供的防火墙规则复现的方法中,在第三装置对本地设备复现的防火墙规则与目标终端的防火墙规则进行检测对比,得到对比检测结果之后,该方法还包括:将对比检测结果,本地设备的连接操作信息和部署配置的访问url以目标方式发送给目标对象,以分析目标终端的异常信息,其中,连接操作信息为用于表征本地设备的访问路径,访问url用于表征配置文件二的访问路径。
55.得到对比检测结果之后,将对比检测结果,本地设备的连接操作信息和部署配置的访问url以目标方式(例如,邮件)发送给技术分析人员。
56.本技术实施例提供的防火墙规则复现的方法,通过依据目标终端的防火墙规则,获取所述目标终端的防火墙的配置文件一;第一装置对所述配置文件一进行规则分析和分类信息提取,得到所述目标终端的防火墙的配置信息,其中,所述配置信息至少包括:防火墙硬件信息,防火墙系统软件基础信息,防火墙软件特性开关信息和防火墙软件功能配置信息;依据所述配置信息,第二装置在本地设备复现所述目标终端的防火墙规则,解决了相关技术中通过人工识别和手动下发的方式复现用户防火墙的配置规则,当用户防火墙的配置规则复杂度比较大时,导致本地设备环境配置复现的准确率低的问题。通过第一装置对目标终端的防火墙规则进行规则分析以及分类信息的提取,得到目标终端的防火墙的配置信息,依据配置信息,通过第二装置在本地设备上复现目标终端的防火墙规则,进而达到了提高本地设备复现准确率的效果。
57.如图4所示,根据本技术实施例提供的可选的防火墙规则复现的方法流程图。其中,《防火墙用户配置自动化分析提取及本地环境还原复现检测装置》包括《防火墙用户配置自动化分析提取装置》,《分析提取后复现环境配置存储ftp服务器》,《本地防火墙自动化
匹配及环境复现装置》和《本地复现环境配置对比检测装置》。技术分析人员获取到用户端的防火墙的配置文档后,先上传到《现网防火墙用户配置存储ftp服务器》,然后提交http请求至《防火墙用户配置自动化分析提取及本地环境还原复现检测装置》。该装置接收到技术分析人员的请求后,从《现网防火墙用户配置存储ftp服务器》上下载配置文档至本地分析服务器后,第一步下发请求至《防火墙用户配置自动化分析提取装置》,该分析装置根据获取的配置(tech-support)文档,对该配置文档进行规则分析及分类信息提取,得到用户端的防火墙的配置信息,配置信息以yaml文件方式保存,并且上传到《分析提取后复现环境配置存储ftp服务器》,返回该配置信息的ftp下载地址。第二步下发请求至《本地防火墙自动化匹配及环境复现装置》,该装置根据配置信息,依次完成本地复现设备的自动化匹配选择、系统版本及相关许可证安装、特性功能的开关及使能和软件功能配置的自动化导入,实现在本地设备的复现工作。环境复现操作完成后返回该设备的操作连接信息。第三步下发请求至《本地复现环境配置对比检测装置》,该装置会将本地设备复现的防火墙规则的配置导出,并与用户端的配置信息进行检测对比,确定配置还原的准确度。对比完成后返回对比检测结果。第四步,根据返回的对比检测结果、设备的操作连接信息及部署配置的访问url以邮件的方式发送给技术分析人员。即提供整套分析定位环境给技术分析人员进行现网问题的分析定位。
58.需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
59.本技术实施例还提供了一种防火墙规则复现的装置,需要说明的是,本技术实施例的防火墙规则复现的装置可以用于执行本技术实施例所提供的用于防火墙规则复现的方法。以下对本技术实施例提供的防火墙规则复现的装置进行介绍。
60.图5是根据本技术实施例的防火墙规则复现的装置的示意图。如图5所示,该装置包括:获取单元501,提取单元502和复现单元503。
61.获取单元501,用于依据目标终端的防火墙规则,获取目标终端的防火墙的配置文件一。
62.提取单元502,用于第一装置对配置文件一进行规则分析和分类信息提取,得到目标终端的防火墙的配置信息,其中,配置信息至少包括:防火墙硬件信息,防火墙系统软件基础信息,防火墙软件特性开关信息和防火墙软件功能配置信息。
63.复现单元503,用于依据配置信息,第二装置在本地设备复现目标终端的防火墙规则。
64.本技术实施例提供的防火墙规则复现的装置,通过获取单元501依据目标终端的防火墙规则,获取目标终端的防火墙的配置文件一。提取单元502第一装置对配置文件一进行规则分析和分类信息提取,得到目标终端的防火墙的配置信息,其中,配置信息至少包括:防火墙硬件信息,防火墙系统软件基础信息,防火墙软件特性开关信息和防火墙软件功能配置信息。复现单元503依据配置信息,第二装置在本地设备复现目标终端的防火墙规则,解决了相关技术中通过人工识别和手动下发的方式复现用户防火墙的配置规则,当用户防火墙的配置规则复杂度比较大时,导致本地设备环境配置复现的准确率低的问题,通过第一装置对目标终端的防火墙规则进行规则分析以及分类信息的提取,得到目标终端的
防火墙的配置信息,依据配置信息,通过第二装置在本地设备上复现目标终端的防火墙规则,进而达到了提高本地设备复现准确率的效果。
65.可选地,在本技术实施例提供的防火墙规则复现的装置中,该装置还包括:存储单元,用于在第一装置对配置文件一进行规则分析和分类信息提取,得到目标终端的防火墙的配置信息之后,将配置信息以yaml文件格式保存并上传至目标服务器;复现单元还用于第二装置从目标服务器中下载配置信息,依据配置信息,在本地设备复现目标终端的防火墙规则。
66.可选地,在本技术实施例提供的防火墙规则复现的装置中,复现单元还包括:查询子单元,用于依据防火墙硬件信息,从设备库中查询满足要求的目标设备并记录目标设备的连接控制信息,其中,目标设备作为本地设备;连接子单元,用于依据防火墙系统软件基础信息和设备的连接控制信息,连接目标设备;安装子单元,用于通过ftp方式在目标设备进行防火墙系统软件和功能许可证的安装;配置子单元,用于依据防火墙软件特性开关信息,完成目标设备的软件特性的开关配置,并且在特征库服务器上完成指定特征库的升级部署;下发子单元,用于将防火墙软件功能配置信息,下发至目标设备上,以在目标设备上复现目标终端的防火墙的规则。
67.可选地,在本技术实施例提供的防火墙规则复现的装置中,下发子单元包括:确定模块,用于依据防火墙软件功能配置信息,确定防火墙软件的功能模块的依赖关系;下发模块,用于依据依赖关系,按顺序将功能模块的cli配置下发至目标设备上,以在目标设备上复现目标终端的防火墙的规则。
68.可选地,在本技术实施例提供的防火墙规则复现的装置中,该装置还包括:检测单元,用于在第二装置在本地设备复现目标终端的防火墙规则之后,第三装置对本地设备复现的防火墙规则与目标终端的防火墙规则进行检测对比,得到对比检测结果。
69.可选地,在本技术实施例提供的防火墙规则复现的装置中,检测单元包括:导出子单元,用于第三装置将本地设备复现的防火墙规则导出,得到配置文件二;检测子单元,用于第三装置将配置文件一和配置文件二进行对比检测,得到对比检测结果。
70.可选地,在本技术实施例提供的防火墙规则复现的装置中,该装置还包括:发送单元,用于在第三装置对本地设备复现的防火墙规则与目标终端的防火墙规则进行检测对比,得到对比检测结果之后,将对比检测结果,本地设备的连接操作信息和部署配置的访问url以目标方式发送给目标对象,以分析目标终端的异常信息,其中,连接操作信息为用于表征本地设备的访问路径,访问url用于表征配置文件二的访问路径。
71.所述防火墙规则复现的装置包括处理器和存储器,上述获取单元501,提取单元502和复现单元503等均作为程序单元存储在存储器中,由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
72.处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过调整内核参数来实现防火墙规则的复现。
73.存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(ram)和/或非易失性内存等形式,如只读存储器(rom)或闪存(flash ram),存储器包括至少一个存储芯片。
74.本发明实施例提供了一种计算机可读存储介质,其上存储有程序,该程序被处理
器执行时实现所述防火墙规则复现的方法。
75.本发明实施例提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行所述防火墙规则复现的方法。
76.本发明实施例提供了一种设备,设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序,处理器执行程序时实现以下步骤:依据目标终端的防火墙规则,获取目标终端的防火墙的配置文件一;第一装置对配置文件一进行规则分析和分类信息提取,得到目标终端的防火墙的配置信息,其中,配置信息至少包括:防火墙硬件信息,防火墙系统软件基础信息,防火墙软件特性开关信息和防火墙软件功能配置信息;依据配置信息,第二装置在本地设备复现目标终端的防火墙规则。
77.可选地,在第一装置对配置文件一进行规则分析和分类信息提取,得到目标终端的防火墙的配置信息之后,方法还包括:将配置信息以yaml文件格式保存并上传至目标服务器;依据配置信息,第二装置在本地设备复现目标终端的防火墙规则包括:第二装置从目标服务器中下载配置信息,依据配置信息,在本地设备复现目标终端的防火墙规则。
78.可选地,依据配置信息,第二装置在本地设备复现目标终端的防火墙规则还包括:依据防火墙硬件信息,从设备库中查询满足要求的目标设备并记录目标设备的连接控制信息,其中,目标设备作为本地设备;依据防火墙系统软件基础信息和设备的连接控制信息,连接目标设备;通过ftp方式在目标设备进行防火墙系统软件和功能许可证的安装;依据防火墙软件特性开关信息,完成目标设备的软件特性的开关配置,并且在特征库服务器上完成指定特征库的升级部署;将防火墙软件功能配置信息,下发至目标设备上,以在目标设备上复现目标终端的防火墙的规则。
79.可选地,将防火墙软件功能配置信息,下发至目标设备上,以在目标设备上复现目标终端的防火墙的规则,包括:依据防火墙软件功能配置信息,确定防火墙软件的功能模块的依赖关系;依据依赖关系,按顺序将功能模块的cli配置下发至目标设备上,以在目标设备上复现目标终端的防火墙的规则。
80.可选地,在第二装置在本地设备复现目标终端的防火墙规则之后,方法还包括:第三装置对本地设备复现的防火墙规则与目标终端的防火墙规则进行检测对比,得到对比检测结果。
81.可选地,第三装置对本地设备复现的防火墙规则与目标终端的防火墙规则进行检测对比,得到对比检测结果,包括:第三装置将本地设备复现的防火墙规则导出,得到配置文件二;第三装置将配置文件一和配置文件二进行对比检测,得到对比检测结果。
82.可选地,在第三装置对本地设备复现的防火墙规则与目标终端的防火墙规则进行检测对比,得到对比检测结果之后,方法还包括:将对比检测结果,本地设备的连接操作信息和部署配置的访问url以目标方式发送给目标对象,以分析目标终端的异常信息,其中,连接操作信息为用于表征本地设备的访问路径,访问url用于表征配置文件二的访问路径。本文中的设备可以是服务器、pc、pad、手机等。
83.本技术还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行初始化有如下方法步骤的程序:依据目标终端的防火墙规则,获取目标终端的防火墙的配置文件一;第一装置对配置文件一进行规则分析和分类信息提取,得到目标终端的防火墙的配置信息,其中,配置信息至少包括:防火墙硬件信息,防火墙系统软件基础信息,防火墙软
件特性开关信息和防火墙软件功能配置信息;依据配置信息,第二装置在本地设备复现目标终端的防火墙规则。
84.可选地,在第一装置对配置文件一进行规则分析和分类信息提取,得到目标终端的防火墙的配置信息之后,方法还包括:将配置信息以yaml文件格式保存并上传至目标服务器;依据配置信息,第二装置在本地设备复现目标终端的防火墙规则包括:第二装置从目标服务器中下载配置信息,依据配置信息,在本地设备复现目标终端的防火墙规则。
85.可选地,依据配置信息,第二装置在本地设备复现目标终端的防火墙规则还包括:依据防火墙硬件信息,从设备库中查询满足要求的目标设备并记录目标设备的连接控制信息,其中,目标设备作为本地设备;依据防火墙系统软件基础信息和设备的连接控制信息,连接目标设备;通过ftp方式在目标设备进行防火墙系统软件和功能许可证的安装;依据防火墙软件特性开关信息,完成目标设备的软件特性的开关配置,并且在特征库服务器上完成指定特征库的升级部署;将防火墙软件功能配置信息,下发至目标设备上,以在目标设备上复现目标终端的防火墙的规则。
86.可选地,将防火墙软件功能配置信息,下发至目标设备上,以在目标设备上复现目标终端的防火墙的规则,包括:依据防火墙软件功能配置信息,确定防火墙软件的功能模块的依赖关系;依据依赖关系,按顺序将功能模块的cli配置下发至目标设备上,以在目标设备上复现目标终端的防火墙的规则。
87.可选地,在第二装置在本地设备复现目标终端的防火墙规则之后,方法还包括:第三装置对本地设备复现的防火墙规则与目标终端的防火墙规则进行检测对比,得到对比检测结果。
88.可选地,第三装置对本地设备复现的防火墙规则与目标终端的防火墙规则进行检测对比,得到对比检测结果,包括:第三装置将本地设备复现的防火墙规则导出,得到配置文件二;第三装置将配置文件一和配置文件二进行对比检测,得到对比检测结果。
89.可选地,在第三装置对本地设备复现的防火墙规则与目标终端的防火墙规则进行检测对比,得到对比检测结果之后,方法还包括:将对比检测结果,本地设备的连接操作信息和部署配置的访问url以目标方式发送给目标对象,以分析目标终端的异常信息,其中,连接操作信息为用于表征本地设备的访问路径,访问url用于表征配置文件二的访问路径。
90.本领域内的技术人员应明白,本技术的实施例可提供为方法、系统、或计算机程序产品。因此,本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
91.本技术是参照根据本技术实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
92.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特
定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
93.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
94.在一个典型的配置中,计算设备包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。
95.存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(ram)和/或非易失性内存等形式,如只读存储器(rom)或闪存(flash ram)。存储器是计算机可读介质的示例。
96.计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
97.还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个
……”
限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
98.本领域技术人员应明白,本技术的实施例可提供为方法、系统或计算机程序产品。因此,本技术可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
99.以上仅为本技术的实施例而已,并不用于限制本技术。对于本领域技术人员来说,本技术可以有各种更改和变化。凡在本技术的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本技术的权利要求范围之内。