防火墙管理方法、装置、计算设备及机器可读存储介质与流程

本发明涉及信息安全领域，具体地涉及一种防火墙管理方法、装置、计算设备及机器可读存储介质。

背景技术：

1、防火墙是一种根据预先确定的安全规则监视和控制进出网络的流量的安全系统，以充当网络之间的屏障。防火墙在网络安全中扮演着越来越重要的角色，在未正确设置防火墙的情况下，系统的网络容易遭受恶意攻击。同时，缺乏防火墙拦截大量无效的网络请求的情况下，还容易导致系统性能下降，甚至造成隐私数据泄露。

2、对于包括大量的物理机或虚拟机的大数据集群，防火墙的管理越来越复杂。通常需要使用用于配置和管理网络防火墙规则的命令行工具手动对集群中的服务器进行防火墙限制，实际大数据集群中存在着大量的服务器，无法对集群进行统一管理，导致大数据集群的防火墙管理效率低下。此外，使用控制进行手动操作时，操作错误会对集群的运行产生严重的影响，需要耗费大量的时间检测错误的操作，进一步导致大数据集群的防火墙管理效率低下。

技术实现思路

1、本发明实施例的目的是提供一种防火墙管理方法、装置、计算设备及机器可读存储介质，防火墙管理方法用于解决大数据集群的防火墙管理效率低下的问题。

2、为了实现上述目的，本技术第一方面提供一种防火墙管理方法，防火墙管理方法包括：

3、获取数据库中的集群信息表、节点信息表、防火墙规则信息表及服务信息表，其中，集群信息表包括所有待与大数据集群连接的外部集群，节点信息表包括待设置防火墙规则的节点ip和节点ip所属的外部集群，防火墙规则信息表包括至少一条防火墙规则、每条防火墙规则的执行端口、每条防火墙规则的所属服务角色及每条防火墙规则的所属集群，服务信息表包括大数据集群中所有的节点的服务角色名及服务角色名所使用的端口；

4、根据目标防火墙规则的所属服务角色和服务信息表，确定待设置防火墙的目标节点，其中，目标防火墙规则为任意一条防火墙规则；

5、针对任意一个目标节点，基于目标防火墙规则的所属集群、集群信息表及节点信息表，确定目标节点对应的目标节点ip；

6、禁用目标防火墙规则的执行端口，对目标节点ip开通对应的端口，以执行目标防火墙规则。

7、本技术的实施例中，根据目标防火墙规则的所属服务角色和服务信息表，确定待设置防火墙的目标节点，包括：

8、分别对集群信息表、节点信息表、防火墙规则表及服务信息表中的字段信息进行校验，确定是否存在异常的字段信息；

9、在确定不存在异常的字段信息的情况下，根据目标防火墙规则的所属服务角色和服务信息表，确定待设置防火墙的目标节点。

10、本技术的实施例中，防火墙规则信息表还包括白名单信息，白名单信息包括防火墙规则的所属集群中的节点为白名单节点，以及防火墙规则的所属集群中的节点不为白名单节点；

11、禁用目标防火墙规则的执行端口，对目标节点ip开通对应的端口，以执行目标防火墙规则，包括：

12、在白名单信息包括目标防火墙规则的所属集群中的节点为白名单节点的情况下，禁用目标防火墙规则的执行端口，对目标节点ip开通对应的端口，以执行目标防火墙规则；

13、防火墙管理方法还包括：

14、在白名单信息包括目标防火墙规则的所属集群中的节点不为白名单节点的情况下，开通目标防火墙规则的执行端口，并对目标节点ip禁用对应的端口。

15、本技术的实施例中，防火墙管理方法还包括：

16、响应接收到的第一初始化请求，对大数据集群中的目标端口进行初始化，其中，初始化后的端口为未设置任何防火墙规则的端口；

17、响应接收到的第二初始化请求，对大数据集群中的目标服务器进行初始化，其中，初始化后的服务器为未设置任何防火墙规则的服务器。

18、本技术的实施例中，针对任意一个目标节点，基于目标防火墙规则的所属集群、集群信息表及节点信息表，确定目标节点对应的目标节点ip，包括：

19、针对任意一个目标节点，确定目标防火墙规则的所属集群中的所有第一节点ip；

20、将目标防火墙规则的所属集群和集群信息表中相同的外部集群确定为目标外部集群；

21、根据目标外部集群及节点信息表，确定目标外部集群中的所有待设置防火墙规则的第二节点ip；

22、将所有第一节点ip与所有第二节点ip中相同的节点ip确定为目标节点ip。

23、本技术的实施例中，防火墙管理方法还包括：

24、基于对数据库中的集群信息表、节点信息表、防火墙规则信息表及服务信息表中的至少一种进行的更新操作，获取待更新的信息表内容，其中，更新操作包括新增、删除及修改中的至少一种；

25、根据待更新的信息表内容，更新数据库。

26、本技术的实施例中，大数据集群为cdh大数据集群；

27、防火墙管理方法还包括：

28、响应接收到的信息获取请求，确定cdh大数据集群中的所有节点，并确定每个节点对应的服务角色及服务角色所使用的端口；

29、根据每个节点对应的服务角色及服务角色所使用的端口，分别生成集群信息表、节点信息表、防火墙规则信息表及服务信息表；

30、将集群信息表、节点信息表、防火墙规则信息表及服务信息表均配置至数据库。

31、本技术的实施例中，防火墙管理方法还包括：

32、确定目标防火墙规则的执行端口中所有已设置的防火墙规则；

33、确定已设置的防火墙规则中是否存在除目标节点ip以外的其他节点ip；

34、在存在其他节点ip的情况下，删除其他节点ip的字段值。

35、本技术第二方面提供一种防火墙管理装置，防火墙管理装置包括：

36、信息表获取模块，用于获取数据库中的集群信息表、节点信息表、防火墙规则信息表及服务信息表，其中，集群信息表包括所有待与大数据集群连接的外部集群，节点信息表包括待设置防火墙规则的节点ip和节点ip所属的外部集群，防火墙规则信息表包括至少一条防火墙规则、每条防火墙规则的执行端口、每条防火墙规则的所属服务角色及每条防火墙规则的所属集群，服务信息表包括大数据集群中所有的节点的服务角色名及服务角色名所使用的端口；

37、目标节点确定模块，用于根据目标防火墙规则的所属服务角色和服务信息表，确定待设置防火墙的目标节点，其中，目标防火墙规则为任意一条防火墙规则；

38、节点ip确定模块，用于针对任意一个目标节点，基于目标防火墙规则的所属集群、集群信息表及节点信息表，确定目标节点对应的目标节点ip；

39、防火墙执行模块，用于禁用目标防火墙规则的执行端口，对目标节点ip开通对应的端口，以执行目标防火墙规则。

40、本技术第三方面提供一种计算设备，包括：

41、存储器，被配置成存储指令；以及

42、处理器，被配置成从存储器调用指令以及在执行指令时能够实现上述的防火墙管理方法。

43、本技术第四方面提供一种机器可读存储介质，机器可读存储介质上存储有指令，指令用于使得机器执行上述的防火墙管理方法。

44、本技术提供一种防火墙管理方法，防火墙管理方法包括：获取数据库中的集群信息表、节点信息表、防火墙规则信息表及服务信息表；根据目标防火墙规则的所属服务角色和服务信息表，确定待设置防火墙的目标节点；针对任意一个目标节点，基于目标防火墙规则的所属集群、集群信息表及节点信息表，确定目标节点对应的目标节点ip；禁用目标防火墙规则的执行端口，开通目标节点ip对应的端口，以执行目标防火墙规则。通过预先配置的四个信息表进行防火墙管理，可以对集群进行统一管理，且还能够快速对特定端口进行设置，提高了大数据集群的防火墙管理效率。此外，数据库中信息表可以快速进行配置，进而能够快速进行防火墙增删改查，进一步提高了大数据集群的防火墙管理效率。