本發明公開了一種管理防火墻的方法和裝置，涉及網絡安全技術領域。該方法的具體實施方式包括：根據第一訪問關系控制矩陣和業務訪問申請的源地址、目的地址和端口信息，判斷所述業務訪問申請是否符合安全規范；若是，則根據第二訪問關系控制矩陣和所述業務訪問申請的源地址和目的地址，確定所述業務訪問申請所要經過的防火墻以及對應的安全域；根據所述業務訪問申請的源地址、目的地址、端口、所要經過的防火墻以及對應的安全域信息，生成防火墻配置腳本。該實施方式能夠解決策略配置工作量大、繁瑣和維護成本高的技術問題。

技術領域

本發明涉及網絡安全技術領域，尤其涉及一種管理防火墻的方法和裝置。

背景技術

隨著目前大型金融機構基礎設施轉向多活數據中心建設、業務的敏捷開發上線，無論在數據中心建設、業務上線時都面臨大量防火墻策略的開通，數據中心內各業務區、功能區之間均要求部署防火墻，同時為滿足相關安全要求，防火墻往往使用不同品牌、不同架構進行部署。

現有防火墻訪問策略開通通常使用人工配置，這種方式存在以下技術問題：

一、開通防火墻策略配置工作量大，策略開通時間長，影響開發測試及生產上線效率；二、網絡規模逐漸擴大，隨著多活數據中心逐步上線，不同數據中心間應用需要互訪，策略開通需求大幅增加；三、防火墻配置操作不統一，不同運維人員容易根據個人習慣進行配置，不易標準化；四、策略開通往往需要經過多組防火墻，逐臺登錄設備進行配置，策略配置繁瑣，人工配置容易出現配置錯誤及漏配情況；五、防火墻種類、版本及部署方式多樣，配置方式差異大，維護成本高。

發明內容

有鑒于此，本發明實施例提供一種管理防火墻的方法和裝置，以解決策略配置工作量大、繁瑣和維護成本高的技術問題。

為實現上述目的，根據本發明實施例的一個方面，提供了一種管理防火墻的方法，包括：

根據第一訪問關系控制矩陣和業務訪問申請的源地址、目的地址和端口信息，判斷所述業務訪問申請是否符合安全規范；

若是，則根據第二訪問關系控制矩陣和所述業務訪問申請的源地址和目的地址，確定所述業務訪問申請所要經過的防火墻以及對應的安全域；

根據所述業務訪問申請的源地址、目的地址、端口、所要經過的防火墻以及對應的安全域信息，生成防火墻配置腳本；

其中，所述第一訪問關系控制矩陣和所述第二訪問關系控制矩陣中的行表示源地址集合，列表示目的地址集合，所述第一訪問關系控制矩陣中的元素表示各個地址集合之間互訪需要滿足的安全規則，所述第二訪問關系控制矩陣中的元素表示各個地址集合之間互訪對應的防火墻和安全域信息。

可選地，根據第一訪問關系控制矩陣和業務訪問申請的源地址、目的地址和端口信息，判斷所述業務訪問申請是否符合安全規范，包括：

將業務訪問申請的源地址和目的地址分別在第一訪問關系控制矩陣的行和列中進行逐一匹配，從而在所述第一訪問關系控制矩陣中定位出第一目標元素；

根據所述第一目標元素對應的各個地址集合之間互訪需要滿足的安全規則，判斷所述業務訪問申請是否符合安全規范。

可選地，所述安全規則包括禁止訪問、禁止部分端口訪問、允許訪問或者允許部分端口訪問。

可選地，根據第二訪問關系控制矩陣和所述業務訪問申請的源地址和目的地址，確定所述業務訪問申請所要經過的防火墻以及對應的安全域，包括：

將所述業務訪問申請的源地址和目的地址分別在第二訪問關系控制矩陣的行和列中進行逐一匹配，從而在所述第二訪問關系控制矩陣中定位出第二目標元素；

根據所述第二目標元素對應的防火墻和安全域信息，確定所述業務訪問申請所要經過的防火墻以及對應的安全域。