本發(fā)明公開了一種基于腳本模板化生成配置防火墻安全策略的方法，如下步驟：S1：導(dǎo)入基礎(chǔ)數(shù)據(jù)；S2：接收防火墻安全策略生成/變更申請單；S3：根據(jù)申請單內(nèi)容導(dǎo)入申請單參數(shù)；S4：根據(jù)申請單參數(shù)獲取策略需求信息，調(diào)用匹配的防火墻模板生成配置腳本；S5：加載配置腳本生成防火墻安全策略。本發(fā)明提供的基于腳本模板化生成配置防火墻安全策略的方法，使用網(wǎng)絡(luò)業(yè)務(wù)開通模板與流程的流轉(zhuǎn)相結(jié)合，實現(xiàn)防火墻策略的自動化維護(hù)處理，提高了防火墻策略生成和變更的效率；防火墻策略實現(xiàn)較簡單，準(zhǔn)確度較高，減輕運(yùn)維負(fù)擔(dān)，同時提高防火墻系統(tǒng)的安全性和穩(wěn)定性。

技術(shù)領(lǐng)域

本發(fā)明涉及一種防火墻安全策略生成方法，尤其涉及一種基于腳本模板化生成配置防火墻安全策略的方法。

背景技術(shù)

目前，企業(yè)的IT架構(gòu)日益龐大,IT運(yùn)維工作也日益復(fù)雜,業(yè)務(wù)數(shù)據(jù)中心部署防火墻、實施防火墻策略的工作越來越多。據(jù)初步統(tǒng)計一個數(shù)據(jù)中心的防火墻策略變更數(shù)量占該數(shù)據(jù)中心總變更數(shù)量的40％以上。由于目前防火墻策略變更步驟的編寫、實施是運(yùn)維人員依據(jù)防火墻策略申請表手動操作完成的，因此，編寫、實施大量防火墻策略變更步驟不僅工作量巨大，而且容易出錯。一旦出錯就會影響業(yè)務(wù)的正常運(yùn)行。

為此，相關(guān)行業(yè)一直在研究防火墻策略的自動化維護(hù)方法，但是都沒有取得實質(zhì)性進(jìn)展，主要原因在于：由于防火墻策略表現(xiàn)為源IP地址、目的IP地址和策略端口(即服務(wù))三重緯度，每個緯度的元素都有多種表現(xiàn)形式，因此這三重緯度綜合表現(xiàn)形式就是一個天文數(shù)字，同時防火墻策略生成步驟編寫又需要依賴人工的運(yùn)維經(jīng)驗，依賴人工的參與和判斷，因此，目前的防火墻策略生成方法存在操作復(fù)雜、準(zhǔn)確度較低的問題。

發(fā)明內(nèi)容

本發(fā)明要解決的技術(shù)問題是提供一種基于腳本模板化生成配置防火墻安全策略的方法，解決當(dāng)前防火墻策略生成方法存在操作復(fù)雜，準(zhǔn)確度較低的問題。

本發(fā)明為解決上述技術(shù)問題而采用的技術(shù)方案是提供一種基于腳本模板化生成配置防火墻安全策略的方法，包括如下步驟：S1：導(dǎo)入基礎(chǔ)數(shù)據(jù)，所述基礎(chǔ)數(shù)據(jù)包括存儲數(shù)據(jù)表、地址區(qū)域關(guān)系表、區(qū)域策略關(guān)系表、防火墻設(shè)備信息表和防火墻端口服務(wù)表；S2：接收防火墻安全策略生成/變更申請單；S3：根據(jù)申請單內(nèi)容導(dǎo)入申請單參數(shù)；S4：根據(jù)申請單參數(shù)獲取策略需求信息，調(diào)用匹配的防火墻模板生成配置腳本；S5：加載配置腳本生成防火墻安全策略。

進(jìn)一步的，步驟S3中所述申請單參數(shù)包括：防火墻名稱、訪問源IP地址、訪問目的地IP地址、申請單號碼、防火墻類型、防火墻的用途、防火墻的動作和防火墻策略開始時間及結(jié)束時間。

進(jìn)一步的，步驟S4具體包括：S21：根據(jù)申請單參數(shù)的訪問源IP地址和訪問目的地IP地址，調(diào)用基礎(chǔ)數(shù)據(jù)，通過檢索地址區(qū)域關(guān)系表返回訪問源IP地址和訪問目的地IP地址所屬的源區(qū)域和目的區(qū)域；S22：根據(jù)源區(qū)域和目的區(qū)域，通過檢索區(qū)域策略關(guān)系表確定當(dāng)前區(qū)域策略；S23：在返回的當(dāng)前區(qū)域中根據(jù)當(dāng)前區(qū)域策略調(diào)用防火墻模板生成配置腳本；S24：對生成的配置腳本進(jìn)行審核，確認(rèn)可實施，得到匹配的配置腳本。

進(jìn)一步的，步驟S23中根據(jù)申請單內(nèi)容確認(rèn)設(shè)備型號、業(yè)務(wù)類型和開通場景進(jìn)行防火墻模板的匹配，適用設(shè)備型號、業(yè)務(wù)類型與開通場景三者組合唯一；利用路由跟蹤命令在源地址設(shè)備上跟蹤目的地址的設(shè)備,打印出路由經(jīng)過路徑的所有設(shè)備，跟據(jù)IP地址通過防火墻資產(chǎn)信息表匹配對應(yīng)的防火墻設(shè)備，從而確認(rèn)防火墻模板。

進(jìn)一步的，所述的防火墻模板包括普通防火墻模板和網(wǎng)絡(luò)地址轉(zhuǎn)換防火墻模板。

進(jìn)一步的，調(diào)用普通防火墻模板生成配置腳本包括如下步驟：S31：查詢對應(yīng)的訪問控制列表，檢查配置項；S32：定義源IP地址和目的IP地址，定義目的端口，定義生效時間；S33：配置生效時間，生成配置腳本。