本發明實施例公開了防火墻配置方法、裝置、計算機設備及存儲介質。所述方法包括：對二層架構的可堆疊式新型防火墻接入網絡后開機；采用界面操作形式進行防火墻對象定義，以得到定義結果；啟動防火墻；確認所述定義結果；對防火墻進行白名單設定且以游戲化界面操作形式進行策略配置。通過實施本發明實施例的方法可實現類似雙核心交換機的二層堆疊式的雙機雙活的防火墻冗余效果，防火墻整個過程配置極為簡單，精準。

技術領域

本發明涉及防火墻，更具體地說是指防火墻配置方法、裝置、計算機設備及存儲介質。

背景技術

防火墻，特別是內網防火墻的策略配置和運維過程極其繁復，配置工作量極大。導致目前內網防火墻都以部分全通的訪問策略進行配置，并沒有實現精準防控；由于訪問源和多數應用系統的訪問目標不明確，訪問策略也不確定等因素，導致運維人員無從下手，加上太過繁復的配置使人無法保持集中精力工作。最終放棄精準配置，以部分全通的訪問策略簡單放行了事，防火墻背板帶寬遠低于核心交換機的吞吐量的性能瓶頸問題，防火墻在內網核心網絡上只能實現“心跳線”式的主備冗余效果，無法實現類似核心交換機的雙機二層堆疊的雙活冗余的可靠性和穩定性，如圖1所示，由于防火墻配置過程太過繁復，訪問源和訪問目標不明確，訪問策略不確定等導致運維人員最終放棄精準配置。無法實現運維人員自覺地、主動地、高效地執行實時精準防控。網絡中在線的應用系統由各軟件開發商研發，他們除了給出對應域名的WEB打開方式，基本不會明確告知要訪問的IP地址和需要開放的服務端口。目前所有防火墻除了具備訪問控制的功能外，都還有支持三層路由協議、NAT地址翻譯功能等，這些都消耗大量CPU的有效資源，從而降低了防火墻訪問控制的基礎性能，在內網應用中絕大多數是以雙專線、雙設備的架構來確保內網網絡的可靠性和穩定性的，但是雙設備架構中的雙防火墻只能實現心跳線的雙機主備冗余，無法實現類似雙核心交換機的二層堆疊式的雙機雙活冗余效果。

綜上所述，現有的防火墻配置方式存在配置繁瑣，無效配置較多，無法實現類似雙核心交換機的二層堆疊式的雙機雙活冗余效果。

因此，有必要設計一種新的方法，實現配置簡單，精準，實現類似雙核心交換機的二層堆疊式的雙機雙活冗余效果。

發明內容

本發明的目的在于克服現有技術的缺陷，提供防火墻配置方法、裝置、計算機設備及存儲介質。

為實現上述目的，本發明采用以下技術方案：防火墻配置方法，包括：

對二層架構的可堆疊式新型防火墻接入網絡后開機；

采用界面操作形式進行防火墻對象定義，以得到定義結果；

啟動防火墻；

確認所述定義結果；

對防火墻進行白名單設定且以游戲化界面操作形式進行策略配置。

其進一步技術方案為：所述采用界面操作形式進行防火墻對象定義，以得到定義結果，包括：

選擇源地址對象定義選項，以進行源地址對象的定義；

選擇目標地址對象定義選項，以進行目標地址對象的定義；

選擇目標端口對象定義選項，以進行目標端口對象的定義；

其中，所述定義結果包括定義后的源地址對象、目標地址對象以及目標端口對象。

其進一步技術方案為：所述選擇源地址對象定義選項，以進行源地址對象的定義，包括：

根據流量數據包的解析結果抽取并彈出源地址；

根據字典或者默認值定義源地址的名稱。

其進一步技術方案為：所述選擇目標地址對象定義選項，以進行目標地址對象的定義，包括：

根據流量數據包的解析結果自動抽取并彈出目標地址；