一种基于链式检索的防火墙配置管理方法与流程

本发明涉及防火墙管理，特别指一种基于链式检索的防火墙配置管理方法。

背景技术：

1、防火墙作为连通内部网络和外部网络，保护内部网络免受外部攻击的软件或者设备，也常在局域网中常用于网络分区，因此局域网常部署有多个防火墙。

2、路由、地址转换、安全策略是实现防火墙功能的配置项，在出现服务器下线、服务器ip地址变更、原服务器上新增业务等情境下，往往需基于现有防火墙配置进行分析，并基于分析结果进行配置调整。传统上，在对防火墙配置进行管理时，只能人工逐一在单个防火墙上进行配置的检索，且只是简单进行比对而无法关联检索进一步提供相关信息，在涉及多台防火墙或涉及防火墙路由配置及地址转换规则时常常因人工检索分析的疏漏而出现错配、漏配、策略冲突的情形。

3、因此，如何提供一种基于链式检索的防火墙配置管理方法，实现提升防火墙配置管理的效率以及质量，成为一个亟待解决的技术问题。

技术实现思路

1、本发明要解决的技术问题，在于提供一种基于链式检索的防火墙配置管理方法，实现提升防火墙配置管理的效率以及质量。

2、本发明提供了一种基于链式检索的防火墙配置管理方法，包括如下步骤：

3、步骤s1、获取局域网内的各防火墙配置文件以及路由设备配置文件，解析各所述防火墙配置文件得到至少包括防火墙端口、安全域、路由规则、地址转换规则以及安全策略的配置项，解析各路由设备配置文件得到至少包括路由设备端口及路由设备路由规则的配置项；

4、步骤s2、基于防火墙的各所述路由规则、地址转换规则以及安全策略的配置项生成若干张防火墙配置表，基于各所述路由设备端口以及路由设备路由规则的配置项生成若干张路由设备配置表；

5、步骤s3、基于各所述防火墙端口以及路由设备端口的配置表，解析得到安全域对应关系；

6、步骤s4、基于初始检索条件对所述防火墙配置表中的配置项进行关联检索，得到第一关联检索结果；

7、步骤s5、基于所述第一关联检索结果和各安全域对应关系对安全策略进行链式检索，得到第二关联检索结果；

8、步骤s6、基于所述防火墙配置表以及第二关联检索结果进行防火墙配置管理。

9、进一步的，所述步骤s1具体为：

10、通过安全中心或者命令行工具获取局域网内的各防火墙配置文件，解析各所述防火墙配置文件得到至少包括防火墙端口、安全域、路由规则、地址转换规则以及安全策略的配置项；获取局域网内的各路由设备配置文件，解析各路由设备配置文件得到至少包括路由设备端口及路由设备路由规则的配置项。

11、进一步的，所述步骤s2具体为：

12、创建若干张分别用于存储不同类型的配置项的防火墙配置表以及路由设备配置表；

13、将各所述防火墙端口、安全域、路由规则、地址转换规则以及安全策略的配置项填充至对应的防火墙配置表；

14、将各所述路由设备端口以及路由设备路由规则的配置项填充至对应的路由设备配置表。

15、进一步的，所述步骤s4具体为：

16、获取内容为ip地址或者包含任意要素的网络五元组的初始检索条件，基于所述初始检索条件对防火墙配置表中，同一防火墙的所述路由规则、地址转换规则以及安全策略的配置项进行关联检索，得到第一关联检索结果。

17、进一步的，所述步骤s5具体为：

18、基于所述第一关联检索结果和各安全域对应关系，依次对所述第一关联检索结果中的每一安全策略，在对应的其他防火墙的所述安全域上进行横向检索，若存在对应的所述安全策略，则对所述安全策略所属的防火墙进行关联检索，基于关联检索结果的安全策略进行新一轮的横向检索及关联检索，直至所述安全域上不存在对应的安全策略，得到第二关联检索结果。

19、本发明的优点在于：

20、通过获取局域网内的各防火墙配置文件以及路由设备配置文件并解析得到对应的配置项；接着基于各端口、安全域、路由规则、地址转换规则以及安全策略的配置项生成若干张防火墙配置表，基于各路由设备端口以及路由设备路由规则的配置项生成若干张路由设备配置表，基于各防火墙端口以及路由设备端口的配置表，解析得到安全域对应关系；接着基于初始检索条件对防火墙配置表中的配置项进行关联检索得到第一关联检索结果，基于第一关联检索结果和各安全域对应关系对安全策略进行链式检索得到第二关联检索结果，最后基于防火墙配置表以及第二关联检索结果进行防火墙配置管理；即将各防火墙配置文件携带的配置项存储至防火墙配置表中，基于初始检索条件对防火墙配置表中的配置项进行关联检索得到第一关联检索结果，再基于第一关联检索结果和各安全域对应关系对安全策略进行链式检索得到第二关联检索结果，后续基于防火墙配置表以及第二关联检索结果即可快速且准确的查询关联的配置项，避免像传统上因逐一检索而导致错漏，最终极大的提升了防火墙配置管理的效率以及质量。

技术特征：

1.一种基于链式检索的防火墙配置管理方法，其特征在于：包括如下步骤：

2.如权利要求1所述的一种基于链式检索的防火墙配置管理方法，其特征在于：所述步骤s1具体为：

3.如权利要求1所述的一种基于链式检索的防火墙配置管理方法，其特征在于：所述步骤s2具体为：

4.如权利要求1所述的一种基于链式检索的防火墙配置管理方法，其特征在于：所述步骤s4具体为：

5.如权利要求1所述的一种基于链式检索的防火墙配置管理方法，其特征在于：所述步骤s5具体为：

技术总结
本发明提供了防火墙管理技术领域的一种基于链式检索的防火墙配置管理方法，包括：步骤S1、获取防火墙和路由设备的配置文件解析得到对应配置项；步骤S2、基于路由规则、地址转换规则、安全策略的配置项生成防火墙配置表，基于路由设备端口、路由设备路由规则的配置项生成路由设备配置表；步骤S3、基于防火墙端口、路由设备端口的配置表解析得到安全域对应关系；步骤S4、对防火墙配置表中的配置项关联检索，得到第一关联检索结果；步骤S5、基于第一关联检索结果和各安全域对应关系对安全策略进行链式检索，得到第二关联检索结果；步骤S6、基于防火墙配置表、第二关联检索结果进行配置管理。本发明优点在于：极大提升防火墙配置管理效率以及质量。

技术研发人员：李泽欣,张松坚,丛柏红,林韡,余尧夏,陈坚松
受保护的技术使用者：中国农业银行股份有限公司福建省分行
技术研发日：
技术公布日：2024/11/11