本公开涉及网络安全,尤其涉及防火墙,具体涉及一种防火墙策略有效性的确定方法、装置、设备、存储介质和程序产品。
背景技术:
1、业务系统在新上线等场景中,涉及网络防火墙等策略开通,防火墙策略开通需要依靠经验判断,是否可以开通。但仅依靠人为经验判断,容易产生误判的问题,且无法快速定位新增需求是否可以开通或者是否需要开通。
2、需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
技术实现思路
1、鉴于上述问题,本公开提供了提高生产效率的防火墙策略有效性的确定方法、装置、设备、存储介质和程序产品。
2、根据本公开的第一个方面,提供了一种防火墙策略有效性的确定方法,包括:
3、响应于防火墙策略有效性的分析指令,获取目标防火墙策略信息;
4、基于网络拓扑图对目标防火墙策略的有效性进行分析,以确定防火墙策略有效性,
5、其中,所述网络拓扑图为根据防火墙配置信息预先生成的。
6、根据本公开的实施例,所述基于网络拓扑图对目标防火墙策略的有效性进行分析,以确定防火墙策略有效性包括:
7、根据所述目标防火墙策略信息确定目标防火墙策略的源地址、目的地址和协议类型;
8、根据所述源地址、所述目的地址和拓扑信息确定目标拓扑图;以及
9、根据所述目标拓扑图、所述协议类型和所述网络拓扑图确定所述目标防火墙策略的可行性。
10、根据本公开的实施例,根据防火墙配置信息预先生成网络拓扑图包括:
11、收集防火墙配置信息;
12、根据所述防火墙配置信息确定安全域和路由映射关系;
13、根据所述防火墙配置信息确定访问策略的信息要素;
14、根据所述信息要素和所述映射关系生成网络拓扑图;以及
15、将每个安全域的网络协议网段配置信息补充至所述网络拓扑图中。
16、根据本公开的实施例,所述防火墙配置信息包括安全域名称、访问策略、网络地址转换映射信息和路由信息,所述收集防火墙配置信息包括:
17、根据网络设备登陆信息登陆防火墙设备;
18、根据防火墙设备型号确定对应的脚本;以及
19、运行所述脚本以收集防火墙配置信息。
20、根据本公开的实施例,所述访问策略的信息要素包括安全域名称、路由、源地址、目的地址、协议类型、端口信息和拒绝/允许信息。
21、根据本公开的实施例,所述目标防火墙策略包括新增防火墙策略。
22、本公开的第二方面提供了一种防火墙策略有效性的确定装置,包括:
23、获取模块,用于响应于防火墙策略有效性的分析指令,获取目标防火墙策略信息;
24、防火墙策略分析模块,用于基于网络拓扑图对目标防火墙策略的有效性进行分析,以确定防火墙策略有效性,
25、其中,所述网络拓扑图为根据防火墙配置信息预先生成的。
26、本公开的第三方面提供了一种电子设备,包括:一个或多个处理器;存储器,用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得一个或多个处理器执行上述防火墙策略有效性的确定方法。
27、本公开的第四方面还提供了一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行上述基于防火墙策略有效性的确定方法。
28、本公开的第五方面还提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述防火墙策略有效性的确定方法。
29、通过本公开实施例提供的防火墙策略有效性的确定方法,通过图形展示的方式将防火墙策略可视化,当出现新增防火墙策略时,可通过网络拓扑图对防火墙策略的有效性进行判断,直观体现防火墙是否已开通该策略或是否可以开通策略,相较于依靠人为经验判断的方式,本公开实施例提供的防火墙策略有效性的确定方法对防火墙策略分析更准确,效率更高。
1.一种防火墙策略有效性的确定方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述基于网络拓扑图对目标防火墙策略的有效性进行分析,以确定防火墙策略有效性包括:
3.根据权利要求1所述的方法,其特征在于,根据防火墙配置信息预先生成网络拓扑图包括:
4.根据权利要求3所述的方法,其特征在于,所述防火墙配置信息包括安全域名称、访问策略、网络地址转换映射信息和路由信息,所述收集防火墙配置信息包括:
5.根据权利要求3所述的方法,其特征在于,所述访问策略的信息要素包括安全域名称、路由、源地址、目的地址、协议类型、端口信息和拒绝/允许信息。
6.根据权利要求1至5中任一项所述的方法,其特征在于,所述目标防火墙策略包括新增防火墙策略。
7.一种防火墙策略有效性的确定装置,其特征在于,包括:
8.一种电子设备,包括:
9.一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行根据权利要求1~6中任一项所述的方法。
10.一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现根据权利要求1~6中任一项所述的方法。