CN107948205A - 防火墙策略生成方法、装置、设备及介质 - Google Patents

Abstract

本发明实施例公开了一种防火墙策略生成方法、装置、设备及介质。该方法包括：从访问控制列表中提取第一地址组；从防火墙设备的配置文件中提取第二地址组；比较第一地址组对应的第一字符串和第二地址组对应的第二字符串是否相等；当所述第一字符串与所述防火墙设备的配置文件中的所有第二地址组对应的第二字符串都不相等时，根据所述第一地址组创建新的地址组；当所述第一字符串与所述第二字符串相等时，输出该第一字符串对应的第一地址组。本发明可以实现屏蔽不同厂商设备差异，在保证准确性的前提下生成防火墙策略，大幅提高防火墙策略生成效率。

Description

防火墙策略生成方法、装置、设备及介质

技术领域

本发明涉及计算机网络管理技术领域，尤其涉及一种防火墙策略生成方法、装置、设备及介质。

背景技术

由于安全风险防护、IP地址扩展等因素，通常情况下，网络需要划分为不同的安全区域，每个安全区域间需要部署防火墙来实现访问控制和安全隔离，并过滤端口进出的数据包，来实现系统安全防护。而访问控制是通过防火墙策略来实现的，因此编写防火墙策略是目前防火墙维护的一项重要工作，如何高效准确编写不同厂商的防火墙策略是运维工作中需要解决的重要问题。

现有的防火墙策略编写方案，主要还是采用人工手段进行逐条翻译和编写，人工判断每台防火墙所属的厂商、命令行格式、对象组等内容，这就依赖于网络工程师对各个厂商防火墙的策略语法及配置方法的熟悉程度。对于防火墙设备厂商众多，且版本型号不一的大型网络，这种人工手段的局限性会更加凸显。

上述现有技术方案存在一定的局限性，遗留多个问题需要解决：每个厂商的防火墙都有自己独特的策略规范，在没有统一南向接口的支持下，网络工程师们需要经过大量时间去熟悉并掌握一家厂商的语法规则，费时又费力；大型网络内防火墙品牌众多，型号不一，防火墙策略日常维护复杂且难度大，运维成本高；人工一对一去判断编写命令行，人工判断每台防火墙所属的厂商、命令行格式、对象组内容等，效率低下、识别率低，且出错率高，容易出现大量的冗余命令行，随着时间的推移，冗余命令行可能会影响到防火墙设备的执行效率，更有可能会造成错误策略，存在安全隐患。

发明内容

本发明实施例提供了一种防火墙策略生成方法、装置、设备及介质，能够提高编写防火墙策略的效率。

第一方面，本发明实施例提供了一种防火墙策略生成方法，所述方法包括：

(1)从访问控制列表中提取第一地址组；

(2)将提取的第一地址组中的各个地址转换为反掩码格式；

(3)对第一地址组中反掩码格式的各个地址进行格式处理，将格式处理后的各个地址排序；

(4)将第一地址组中排序后的各个地址合并为第一字符串；

(5)从防火墙设备的配置文件中提取第二地址组；

(6)将配置文件中提取的第二地址组中的各个地址转换为第二反掩码格式；

(7)对第二地址组中反掩码格式的各个地址进行格式处理，将格式处理后的各个地址排序；

(8)将第二地址组中排序后的各个地址合并为第二字符串；

(9)比较第一字符串和第二字符串是否相等；

(10)当所述第一字符串与所述第二字符串不相等时，执行步骤(5)-(9)，以将所述第一地址组与所述防火墙设备的配置文件中的所有第二地址组相比较；

(11)当所述第一字符串与所述防火墙设备的配置文件中的所有第二地址组对应的第二字符串都不相等时，根据所述第一地址组创建新的地址组；

(12)当所述第一字符串与所述第二字符串相等时，输出该第一字符串对应的第一地址组。

可选的，所述对第一地址组中反掩码格式的各个地址进行格式处理的方式均采用保留数字的方式。

可选的，所述第一字符串与第二字符串相同是指第一字符串与第二字符串的长度相同，且第一字符串与第二字符串内的每一个字符相同。

可选的，所述方法还包括：该方法还包括：

(1)从访问控制列表中提取第一端口组；

(2)将提取的第一端口组转换为第一数组；

(3)从防火墙设备的配置文件中提取第二端口组；

(4)将配置文件中提取的第二端口组为与第一数组格式相同的第二数组；

(5)判断第一数组的长度与第二数组的长度是否相等；

(6)当第一数组与第二数组的长度相等，判断第一数组内的元素与第二数组内的元素是否相同；

(7)当第一数组的长度与第二数组的长度不相等及/或第一数组内的元素与第二数组内的元素不相同时，执行步骤(3)-(6)，以将所述第一端口组与所述防火墙设备的配置文件中的所有第二端口组相比较；

(8)当第一数组内的元素与第二数组内的元素相同时，输出该第一数组对应的第一端口组；

(9)所述第一数组的长度与所述防火墙设备的配置文件中的所有第二端口组对应的第二数组都不相等，或所述第一数组内的元素与所述防火墙设备的配置文件中的所有第二端口组对应的第二数组内的元素都不相同时，根据第一端口组创建新的端口组。

可选的，所述第一数组与第二数组内的元素相同是指第一数组与第二数组内的每一个字符完全相同。

可选的，所述第一数组及第二数组的格式均为tcp或udp地址加端口号或者端口号范围。

可选的，所述方法还包括：

调用防火墙设备内的防火墙命令流程并基于所述防火墙策略生成防火墙策略执行指令，以在防火墙设备中完成防火墙策略的布设。

第二方面，本发明还提供一种防火墙策略生成装置，所述装置包括：

提取子模块，用于从访问控制列表中提取第一地址组；

转变子模块，用于将提取的第一地址组中的各个地址转换为反掩码格式；

排序子模块，用于对第一地址组中反掩码格式的各个地址进行格式处理，将格式处理后的各个地址排序；

合并子模块，用于将第一地址组中排序后的各个地址合并为第一字符串；

所述提取子模块，还用于从防火墙设备的配置文件中提取第二地址组；

所述转变子模块，还用于将配置文件中提取的第二地址组中的各个地址转换为第二反掩码格式；

所述排序子模块，还用于对第二地址组中反掩码格式的各个地址进行格式处理，将格式处理后的各个地址排序；

还合并子模块，用于将第二地址组中排序后的各个地址合并为第二字符串；

判断子模块，用于比较第一字符串和第二字符串是否相等，及判断所述第一地址组与所述防火墙设备的配置文件中的所有第二地址组是否全部比较完毕；

创建子模块，用于当所述第一字符串与所述防火墙设备的配置文件中的所有第二地址组对应的第二字符串都不相等时，根据所述第一地址组创建新的地址组；

输出子模块，用于当所述第一字符串与所述第二字符串相等时，输出该第一字符串对应的第一地址组。

第三方面，本发明实施例提供了一种防火墙策略生成设备，包括：至少一个处理器、至少一个存储器以及存储在存储器中的计算机程序指令，当计算机程序指令被处理器执行时实现如上述实施方式中第一方面的方法。

第四方面，本发明实施例提供了一种计算机可读存储介质，其上存储有计算机程序指令，当计算机程序指令被处理器执行时实现如上述实施方式中第一方面的方法。

本发明实施例提供的防火墙策略生成方法、装置、设备及介质，利用第一通用匹配算法及第二通用匹配算法来实现标准化南向接口，屏蔽不同厂商设备差异，在保证准确性的前提下自动生成防火墙策略，大幅提高防火墙策略生成效率。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例中所需要使用的附图作简单地介绍，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1示出了本发明实施例的防火墙策略生成方法的示意图。

图2示出了本发明实施例的防火墙策略生成装置的结构示意图。

图3示出了本发明实施例的防火墙策略生成装置中比较模块中的结构示意图。

图4示出了本发明实施例的防火墙策略生成设备的一种结构示意图。

图5示出了本发明实施例的访问控制列表的示意图。

图6示出了本发明实施例的防火墙策略中地址组生成方法的流程图。

图7示出了图6中基于一实施例的地址组生成方法的简化流程图。

图8示出了本发明实施例的防火墙策略生成方法中端口组生成方法的流程图。

图9示出了图8中基于一实施例的端口组生成方法的简化流程图。

具体实施方式

下面将详细描述本发明的各个方面的特征和示例性实施例，为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细描述。应理解，此处所描述的具体实施例仅被配置为解释本发明，并不被配置为限定本发明。对于本领域技术人员来说，本发明可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本发明的示例来提供对本发明更好的理解。

为例方便说明，在对本发明进行详细描述之前，对防火墙相关术语进行定义。

防火墙是一种保护网络安全的技术性措施，它通过在网络边界上建立相应的网络通信监控系统来隔离内部和外部网络，以阻挡来自外部的网络入侵。防火墙的基本作用是保护特定网络免受“不信任”的网络的攻击，但是同时还必须允许两个网络之间可以进行合法的通信。

防火墙策略是按一定规则检查数据流是否可以通过防火墙的基本安全控制机制，防火墙策略以防火墙策略执行指令以完成防火墙策略的布设。的形式执行检查数据流。通过对数据流进行检验，符合防火墙策略的合法数据流才能通过防火墙。通过防火墙安全策略可以控制内网访问外网的权限、控制内网不同安全级别的子网间的访问权限等。同时也能够对设备本身的访问进行控制。

五元组是通信术语，通常是指源地址，源端口，目的地址，目的端口，和传输层协议。其中，源地址代表数据流发起端的IP地址。目的地址代表数据流最终到达的IP地址。源端口代表数据流发起端使用的通信端口。目的端口代表数据流访问的通信端口。传输层协议为在TCP协议或UDP协议，为两个通信应用程序之间提供私密性和可靠性。

访问控制列表(Access Control List，ACL)是应用在路由器接口的指令列表，所述指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。

地址组：由多个IP地址或网段组成，所述地址组可以是源地址或目的地址，如果被多次调用，可以将其定义成对象组，方便调用，同时也能减少ACL的命令行。

端口组：由多个端口组成，如果被多次调用，可以将其定义成对象组，方便调用，同时也能减少ACL的命令行数。

算法(Algorithm)：指解题方案的准确而完整的描述，是一系列解决问题的清晰指令，算法代表着用系统的方法描述解决问题的策略机制。也就是说，能够对一定规范的输入，在有限时间内获得所要求的输出。不同的算法可能用不同的时间、空间或效率来完成同样的任务。一个算法的优劣可以用空间复杂度与时间复杂度来衡量。

图1示出了本发明实施例的防火墙策略生成方法的示意图。

该方法包括如下步骤：

步骤S10：自动提取访问控制列表中各参数区域内容。所述访问控制列表中至少包括，但不限于，源地址、目的地址、网络协议、目的端口、自定义参数等数据。在本发明的一个实施例中，所述访问控制列表为标准化的工单。具体地，如图4所示，所述访问控制列表分为4个区域，分别为源地址区域(存放源地址的区域)、目的地址区域(即存放目的地址的区域)、目的端口区域(即存放端口区域的区域)及参数区域(即存放用户自定义的参数)，其中，不同区域之间用空格隔开，同一区域中不出现空格，最后的参数区域是附加的功能，在需要的时候使用。所述访问控制列表可以，但不限于，以TXT格式、WORD格式等其它任意文件格式的方式保存。

所述访问控制列表满足如下5个方面的要求：(1)一行内容代表一条防火墙策略，所述访问控制列表支持多条防火墙策略同时存在，例如，如图4所示中，第一行包括源地址(192.168.76.2,192.168.77)、目的地址(10.33.254.103,10.33.254.1)、目的端口(udp_8105-8888,1235)；(2)源地址和目的地址支持ip地址、网段和自定义的特殊网段，多个地址用逗号隔开；(3)目的端口注明协议类型，支持端口和端口范围，端口与端口之间或端口与端口范围之间均用逗号隔开；(4)参数区域用于表示规则编号(即用rule表示的号)的起始序号(即图4中的数字“200”)、防火墙策略编号(即图4中的数字“3000”)等自定义信息；(5)当一个区域中的元素超过3个时，将会去判断对象组(即地址组及/或端口组)。

步骤S20：根据提取的各个参数区域内容转换为对应的数据对象。具体地，所述数据对象包括地址组的数据对象、网络协议的数据对象、端口组的数据对象、自定义参数的数据数据对象。其中，所述地址组的数据对象包括源地址的数据对象及目的地址的数据对象。具体地说，将源地址及目的地址转换为地址组的数据对象、将网络协议转换为网络协议的数据对象、将目的端口转换为端口组的数据对象、将自定义参数转换为自定义参数的数据数据对象。

步骤S30：将转换的数据对象与防火墙设备中配置文件内数据进行比较并生成防火墙策略。在本发明的一个实施例中，将地址组的数据对象与防火墙设备中配置文件中源地址进行比较、将网络协议的数据对象与防火墙设备中配置文件中网络协议编号进行比较、将端口组的数据对象与防火墙设备中配置文件中端口号进行比较、将自定义参数的数据数据对象与防火墙设备中配置文件中规则编号与防火墙策略号进行比较。需要说明的是，由于不同厂商的防火墙设备对地址组(即源地址、目的地址等)及端口组(即端口号等信息)形式规范不同，格式各异，如果单纯的运算比较，效率低下。因此，本发明的一个实施例中，针对地址组的数据对象(或端口组的数据对象)与防火墙设备的配置文件进行比较时，会同时将地址组的数据对象(或端口组的数据对象)及防火墙设备的配置文件中对应数据进行特定格式转换。

所述地址组的数据对象(即源地址的数据对象、目的地址的数据对象)与防火墙设备的配置文件中地址组数据的比较方式将在图5至图6中做详细说明。而所述端口组的数据对象与防火墙设备的配置文件中端口数据的比较方式将在图7至图8中做详细说明。

进一步地，由于所述网络协议、规则编号及策略编号相对固定且变化不大，因此，网络协议、规则编号及策略编号可以采用直接比较，即将访问控制列表中的网络协议、规则编号及策略编号与防火墙设备中的配置文件对应数据直接比较。

进一步地，防火墙策略编号的比较需要读取防火墙设备上的配置文件，由于不同厂商对策略编号的定义不一，无法找到统一的解决方案，需要根据各个厂商的防火墙策略编号进行客制化处理。其中，例如，厂商Juniper是以rule的形式添加策略编号setsecurity policies from-zone Trust to-zone DMZ policy XXX match source-address10.0.0.0/8添加序列号、华为的防火墙设备是以policy XXX添加防火墙策略编号、华三的防火墙设备是以acl number XXX添加防火墙策略编号。进一步地，在生成防火墙策略编号时需要注意数列号的自增，有些必要情况可以在工单文件中指定策略编号，以确保生成的防火墙策略执行指令行正确可用。

另外，有部分厂商设备需要判断防火墙策略的方向，需要读取设备配置中的区域定义，再进一步判断。对于这部分厂商设备，需要独立定义模板。需要用户指定模板编号才能进一步进行判断。比如Juniper公司是要注明from-zone XXX to-zone XXX，此处需要预先定制好区域的内容才能对工单做出准确判断。

步骤S40：调用防火墙设备内的防火墙命令流程。具体地，每个厂商的防火墙设备内均设置有对应的防火墙命令流程，可以预先从防火墙设备中调用即可。

步骤S50：根据防火墙设备内的防火墙命令流程及防火墙策略生成防火墙策略执行指令，以在防火墙设备中完成防火墙策略的布设。。具体地，每个厂商的防火墙设备内均设置有对应的防火墙命令流程，执行该防火墙命令流程并输入对应的防火墙策略即可生成对应的防火墙策略执行指令以完成防火墙策略的布设。，所生成的防火墙策略执行指令用于执行防火墙策略内的命令行。

需要说明的是，在防火墙策略执行指令的编写中会大量涉及到对五元组、地址组、端口组的调用，其中，对地址组和端口组的判断是最难的。因为不同厂商对地址组和端口组形式规范不同，样式各异，如果通过单纯的运算比较，效率是很低下的。本发明采用第一通用匹配算法对地址组及采用第二通用匹配算法对端口组进行匹配，不仅提高了匹配效率还同时兼顾了准确率，提高了防火墙策略的生成效率。

参考图6至图7所示，图6示出了本发明实施例的防火墙策略中地址组生成方法的流程图。图7示出了图6中基于一实施例的地址组生成方法的简化流程图。

步骤S100：从访问控制列表中提取第一地址组。在本发明的一个实施例中，以目的地址组为例进行说明。具体地，从访问控制列表中提取目的地址组为：10.33.208.0/24,10.33.208.231,10.33.208.232。

步骤S101：将提取的第一地址组中的各个地址转换为反掩码格式。具体地，将10.33.208.0/24,10.33.208.231,10.33.208.232转换为三个第一反掩码10.33.208.0.0.0.0.255、10.33.208.231.0及10.33.208.232.0。

步骤S102：对第一地址组中反掩码格式的各个地址进行格式处理，将格式处理后的各个地址排序。具体地，在第一反掩码中只保留数字(即去掉字符，如去掉点号、逗号、空格号及其它字符)后排序。例如，三个第一反掩码只保留数字后变更为10332080000255、10332082310及10332082320，排序后变更为10332082310，10332082320及10332080000255。

步骤S103：将第一地址组中排序后的各个地址合并为第一字符串。具体地，将10332082310，10332082320及10332080000255合并为103320823101033208232010332080000255。换句话说，步骤S103是将多个网段的字符串合并为一个字符串。

步骤S104：从防火墙设备的配置文件中提取的第二地址组。

步骤S105：将配置文件中提取的第二地址组中的各个地址转换为第二反掩码格式。

步骤S106：对第二地址组中反掩码格式的各个地址进行格式处理，将格式处理后的各个地址排序。

步骤S107：将排序后的第二反掩码合并为第二字符串。

需要说明的是，第二字符串的生成方式所采取的技术步骤与第一字符串的生成方式所采取的技术步骤是相同的。

步骤S108：判断第一字符串与第二字符串是否相同。当第一字符串与第二字符串不相同时，流程进入步骤S109。当第一字符串与第二字符串相等时，流程进入步骤S111。所述第一字符串与第二字符串相同是指第一字符串与第二字符串的长度相同，且第一字符串与第二字符串内的每一个字符相同。

步骤S109：当第一字符串与第二字符串不相同时，判断配置文件中所有第二地址组对应的第二字符串与第一字符串是否全部比较完毕。当配置文件中所有第二地址组对应的第二字符串与第一字符串全部比较完毕时，流程进入步骤S110。否则，当配置文件中还有第二地址组对应的第二字符串与第一字符串没有比较时，流程返回步骤S104，从配置文件中提取下一组第二地址组。

步骤S110：根据所述第一地址组创建新的地址组。所创建的新的地址组为防火墙策略中的地址组。

步骤S111：输出该第一字符串对应的地址组并作为一条防火墙策略。

需要说明的是，在进行数组比较时，需要对数组里元素逐一进行比较，随着数组元素的增加，运算成本会成指数级增加。具体地，在比较地址组时，常规做法是：(1)计算地址段的大小和范围；(2)通过比较来确认地址段信息。然而，随着地址组数量或组内元素的增加，将会出现大量计算量，影响其工作效率。而上述图5中的技术方案采用单个字符串之间进行比较，运算复杂度是时间成本将大幅降低，同时在字符串比较前，对元素进行了一次排序，也避免了错误判断的可能性。

参考图8至图9所示，图8示出了本发明实施例的防火墙策略生成方法中端口组生成方法的流程图。图9示出了图8中基于一实施例的端口组生成方法的简化流程图。

步骤S200：从访问控制列表中提取第一端口组。具体地，从访问控制板的端口区域提取的第一端口组tcp_22,23,80-88。

步骤S201：将提取的第一端口组转换为第一数组。具体地，第一数组的格式为tcp或udp地址加端口号或者端口号范围的形式。例如，若第一端口组为tcp_22,23,80-88，则该第一端口组对应的第一数组为tcp 22 23 80-88(即去掉逗号且保留空格号的字符)。

步骤S202：从防火墙设备的配置文件中提取一组第二端口组。

步骤S203：将配置文件中提取的第二端口组转换为与第一数组格式相同的第二数组。

需要说明的是，第二数组的生成方式所采取的技术步骤与第一数组的生成方式所采取的技术步骤是相同的。

步骤S204：判断第一数组与第二数组的长度是否相等。若第一数组与第二数组的长度相等，流程进入步骤S205。若第一数组与第二数组的长度不相等，流程进入步骤S206。

步骤S205：判断第一数组与第二数组内的元素是否相同。若第一数组与第二数组内的元素不相同，则流程进入步骤S206。若第一数组与第二数组内的元素相同，则流程进入步骤S208。所述第一数组与第二数组内的元素相同是指第一数组与第二数组内的每一个字符完全相同。

步骤S206：判断配置文件中所有第二端口组与第一数组是否全部比较完毕。若配置文件中所有第二端口组对应的第二数组全部与第一数组比较完毕时，流程进入步骤S207。否则，若配置文件中还有第二端口组对应的第二数组与第一数组没有比较时，流程返回步骤S202，从配置文件中提取下一组端口组。

步骤S207：根据第一端口组创建新的端口组。所创建的新的端口组为防火墙策略中的一个端口组。

步骤S208：输出该第一数组对应的第一端口组并形成一条防火墙策略。

需要说明的是，由于端口组存在端口范围的特殊写法，所以没办法使用地址组判断方式将所有元素转化成数字进行比较。而现有的技术中是直接通过运算去比较两个数组是否一致，但是一般情况下，若上一台设备上存在大量的端口组，逐一比较会很浪费时间。为了能提高效率，图6中的技术方案是在比较数组之前先比较两个数组的长度，如果长度一致再进行精确比较，可以大大提高运算效率。

以下举例说明基于本发明技术方案的各大厂商对应的防火墙策略说明。

Juniper公司的防火墙策略生成采用如下方式举例说明：

(a)判断ACL中的每一个元素是否存在配置文件中，没有将形成新的，如果是对象组，将会生成对应的对象组，即采用如下命令生成对应的对象组：(NEW_SOURCE_ADDRESS_GROUP、NEW_DESTINATION_ADDRESS_GROUP)

set security zones security-zone Trust address-book address 10.1.1.1/3210.1.1.1/32

set security zones security-zone Trust address-book address-set NEW_DESTINATION_ADDRESS_GROUP address 10.3.1.2/32

set security policies from-zone DMZ to-zone Trust policy A-access-Bmatch destination-address NEW_DESTINATION_ADDRESS_GROUP

其中，(a)中ACL中的每一个元素与配置文件进行比较时，采用本发明技术方案中的通用匹配算法对地址组及端口组进行比较，实现标准化南向接口，屏蔽不同厂商设备差异，在保证准确性的前提下大幅提高防火墙策略生成效率。

(b)对象中元素的顺序不会影响对象组的判断；

(c)访问控制列表中的主机IP地址，生成的命令行会添加/32掩码；

(d)源地址中有`10.2.0.0/16-10.4.0.0/16`，或者有`192.168.7.0/24，192.168.7.0/24，192.168.8.0/24，192.168.9.0/24`等预先自定义的特殊网段，将被判断为特定地址组：set security policies from-zone DMZ to-zone Trust policy A-access-B match source-address oavpn-group；

(e)目的地址不要同时出现10网段和192网段，影响区域方向的判断，并会跳出警告提示；

(f)生成地址对象时，如果是2.1.*.*网段的，区域为DMZ，其他为Trust setsecurity zones security-zone Trust address-book address 1.1.1.1/321.1.1.1/32

set security zones security-zone DMZ address-book address 2.1.1.1/322.1.1.1/32

(g)目的地址为1.1.1.*网段，区域方向是**Trust to-zone DMZ**目的地址为2.1.1.*网段或其他时区域方向是**DMZ to-zone Trust**

(h)检测到新的端口时，生成新端口对象，采用如下命令生成新端口对象：

set applications application tcp_111-1111protocol tcp

set applications application tcp_111-1111destination-port 111-1111

(i)参数区是用来表示防火墙策略名称的，有内容时读取所填写的内容，没有填写时默认为A-access-B。

华为公司基于HuaWei Policy的防火墙策略生成采用如下方式举例说明：

(a)判断ACL中的每一个元素是否存在配置文件中，没有将形成新的，如果是对象组，将会生成对应的对象组，即采用如下命令生成对应的对象组：

(NEW_SOURCE_ADDRESS_GROUP,NEW_DESTINATION_ADDRE SS_GROUP,NEW_PORT_GROUP)

ip address-set NEW_DESTINATION_ADDRESS_GROUP type object

policy destination address-set NEW_DESTINATION_ADDRESS_GROUP

其中，(a)中ACL中的每一个元素与配置文件进行比较时，采用本发明技术方案中的通用匹配算法对地址组及端口组进行比较，实现标准化南向接口，屏蔽不同厂商设备差异，在保证准确性的前提下大幅提高防火墙策略生成效率。

(b)对象中元素的顺序不会影响对象组的判断；

(c)生成新的对象组，提示前会有序号，该序号为policy号，其中，若是#276则需注意：这是一个未知的端口组，生成新的端口组时，需要及时修改端口组名称。

(d)ATL中的主机IP地址，生成的命令行会转换成"x.x.x.x 0"，IP网段会转化成“网络号反掩码”；

(e)端口转化成shyA，端口范围需要将A-B转换成shyAtoB和A to B

ip service-set shy8106type object

service 0protocol tcp source-port 0to 65535destination-port 1111

ip service-set NEW_PORT_GROUP type object

service 0protocol tcp source-port 0to 65535destination-port 111to1111

(f)地址组中，以“address序号ip反掩码”的形式显示

ip address-set NEW_SOURCE_ADDRESS_GROUP type object

address 0 10.2.2.3 0

address 1 10.2.2.4 0

address 2 10.2.3.5 0.0.0.3

(g)防火墙策略的固定开头为

policy interzone trust untrust outbound

undo policy 1000

(h)策略的固定结束为

policy 1000

action deny

policy logging

*脚本是通过`policy interzone trust untrust outbound`来读取policy号的。

华为公司基于HuaWei ACL的防火墙策略生成采用如下方式举例说明：

(a)华为的设备在使用ACL添加策略时将使用不同的命令；

(b)所有的规则都写在acl number****下；

(c)端口范围A-B转换成range A B；

(d)引用地址组需要添加address-set字样；

(e)地址组命令行“ip address-set对象组名”没有type object字样；

ip address-set NEW_SOURCE_ADDRESS_GROUP

ip address-set NEW_DESTINATION_ADDRESS_GROUP

(f)由于没有policy number，提示的序号是和acl.txt中的行号对应，此外，若序号为#1，则需注意，这是一个未知的源地址组,生成新的地址组,请及时修改对象名称；若序号为#2，则需注意，这是一个未知的目的地址组,生成新的地址组,请及时修改对象名称；

(g)rule的起始number是读取`acl number****`中`deny ip`的序号来定位rule931permit tcp source address-set NEW_SOURCE_ADDRESS_GROUP destination10.3.1.1 0destination-port eq 80

实施例四：

华三公司产品的防火墙策略生成采用如下方式举例说明：

1)华三使用acl添加策略，不判断地址组，不判断端口组，生成规则与`HuaWeiACL`实现方式类似

2)当源地址以1开头时，工单以`acl number 30**`开始,其他情况`acl number30**`。

在上述实施例一至实施例四中，生成防火墙策略配置命令均为直接调用防火墙设备的防火墙命令流程即可自动生成。

采用本发明可以适配多个主流品牌防火墙，屏蔽不同厂商设备差异，实现标准化南向接口，同时可以实现防火墙策略批量自动编写，简化了防火墙策略配置流程，提高防火墙策略生成效率，降低了网络维护复杂度，可带来巨大的时间效益，节省运维成本。此外，从传统的手工方式转变成自动批量生成，减少人工干预的出错概率，有效提高防火墙策略生成效率和准确性，避免无效策略冗余策略的出现，确保系统的安全稳定运行。

另外，结合图1述的本发明实施例的防火墙策略生成方法可以由防火墙策略生成装置来实现。图2示出了本发明实施例提供的防火墙策略生成装置的结构示意图。

具体地，所述防火墙策略生成装置包括获取模块301、转换模块302、比较模块303、调用模块304及生成模块305。

所述获取模块301，用于自动获取访问控制列表中各参数区域内容。所述访问控制列表中至少包括，但不限于，源地址、目的地址、网络协议、目的端口、自定义参数等数据。在本发明的一个实施例中，所述访问控制列表为标准化的工单。具体地，如图4所示，所述访问控制列表分为4个区域，分别为源地址区域(存放源地址的区域)、目的地址区域(即存放目的地址的区域)、目的端口区域(即存放端口区域的区域)及参数区域(即存放用户自定义的参数)，其中，不同区域之间用空格隔开，同一区域中不出现空格，最后的参数区域是附加的功能，在需要的时候使用。所述访问控制列表可以，但不限于，以TXT格式、WORD格式等其它任意文件格式的方式保存。

所述转换模块302，用于根据提取的各个参数区域内容转换为对应的数据对象。具体地，将各参数区域内容提取并转换为源地址的数据对象、目的地址的数据对象、网络协议的数据对象、端口组的数据对象、自定义参数的数据数据对象。

所述比较模块303，用于将转换的数据对象与防火墙设备中配置文件内数据进行比较并生成防火墙策略。在本发明的一个实施例中，将源地址的数据对象与防火墙设备中配置文件中源地址进行比较、将目的地址的数据对象与防火墙设备中配置文件中目的地址进行比较、将网络协议的数据对象与防火墙设备中配置文件中网络协议编号进行比较、将端口组的数据对象与防火墙设备中配置文件中端口号进行比较、将自定义参数的数据数据对象与防火墙设备中配置文件中规则编号与防火墙策略号进行比较。需要说明的是，由于不同厂商的防火墙设备对地址组(即源地址、目的地址等)及端口组(即端口号等信息)形式规范不同，格式各异，如果单纯的运算比较，效率低下。因此，本发明的一个实施例中，针对地址组的数据对象(或端口组的数据对象)与防火墙设备的配置文件进行比较时，会同时将地址组的数据对象(或端口组的数据对象)及防火墙设备的配置文件中对应数据进行特定格式转换。

进一步地，由于所述网络协议、规则编号及策略编号相对固定且变化不大，因此，网络协议、规则编号及策略编号可以采用直接比较，即将访问控制列表中的网络协议、规则编号及策略编号与防火墙设备中的配置文件对应数据直接比较。

进一步地，防火墙策略编号的比较需要读取防火墙设备上的配置文件，由于不同厂商对策略编号的定义不一，无法找到统一的解决方案，需要根据各个厂商的防火墙策略编号进行客制化处理。其中，例如，厂商Juniper是以rule的形式添加策略编号setsecurity policies from-zone Trust to-zone DMZ policy XXX match source-address10.0.0.0/8添加序列号、华为的防火墙设备是以policy XXX添加防火墙策略编号、华三是以acl number XXX添加防火墙策略编号。进一步地，在生成防火墙策略编号时需要注意数列号的自增，有些必要情况可以在工单文件中指定策略编号，以确保生成的防火墙策略执行指令以完成防火墙策略的布设。行正确可用。

另外，有部分厂商设备需要判断防火墙策略的方向，需要读取设备配置中的区域定义，再进一步判断。对于这部分厂商设备，需要独立定义模板。需要用户指定模板编号才能进一步进行判断。比如Juniper公司是要注明from-zone XXX to-zone XXX，此处需要预先定制好区域的内容才能对工单做出准确判断。

所述调用模块304，用于调用防火墙设备内的防火墙命令流程。具体地，每个厂商的防火墙设备内均设置有对应的防火墙命令流程，可以预先从防火墙设备中调用即可。

所述生成模块305，用于根据防火墙设备内的防火墙命令流程及防火墙策略生成防火墙策略执行指令以完成防火墙策略的布设。。具体地，每个厂商的防火墙设备内均设置有对应的防火墙命令流程，执行该防火墙命令流程并输入对应的防火墙策略即可生成对应的防火墙策略执行指令以完成防火墙策略的布设。，所生成的防火墙策略执行指令以完成防火墙策略的布设。用于执行防火墙策略。

需要说明的是，在防火墙策略执行指令以完成防火墙策略的布设。的编写中会大量涉及到对五元组、地址组、端口组的调用，其中，对地址组和端口组的判断是最难的。因为不同厂商对地址组和端口组形式规范不同，样式各异，如果通过单纯的运算比较，效率是很低下的。本发明采用通用匹配算法对地址组及端口组进行匹配，不仅提高了匹配效率还同时兼顾了准确率。

此外，所述比较模块303还包括提取子模块3030、转变子模块3031、排序子模块3032、合并子模块3033、判断子模块3034、创建子模块3035及输出子模块3036。

针对地址组(或端口组的数据对象)与防火墙设备的配置文件进行比较的情况。

所述提取子模块3030，用于从访问控制列表中提取第一地址组。在本发明的一个实施例中，以目的地址组为例进行说明。具体地，从访问控制列表中提取目的地址组为：10.33.208.0/24,10.33.208.231,10.33.208.232。

所述转变子模块3031，用于将提取的第一地址组中的各个地址转换为反掩码格式。具体地，将10.33.208.0/24,10.33.208.231,10.33.208.232转换为三个第一反掩码10.33.208.0.0.0.0.255、10.33.208.231.0及10.33.208.232.0。

所述排序子模块3032，用于对第一地址组中反掩码格式的各个地址进行格式处理，将格式处理后的各个地址排序。具体地，在第一反掩码中只保留数字(即去掉字符，如去掉点号、逗号、空格号及其它字符)后排序。例如，三个第一反掩码只保留数字后变更为10332080000255、10332082310及10332082320，排序后变更为10332082310，10332082320及10332080000255。

所述合并子模块3033，用于将第一地址组中排序后的各个地址合并为第一字符串。具体地，将10332082310，10332082320及10332080000255合并为103320823101033208232010332080000255。换句话说，步骤S103是将多个网段的字符串合并为一个字符串。

所述提取子模块3030，还用于从防火墙设备的将配置文件中提取的第二地址组。

所述转变子模块3031，还用于将配置文件中提取的第二地址组中的各个地址转换为第二反掩码格式。

所述排序子模块3032，还用于对第二地址组中反掩码格式的各个地址进行格式处理，将格式处理后的各个地址排序。

所述合并子模块3033，还用于将排序后的第二反掩码合并为第二字符串。

需要说明的是，第二字符串的生成方式所采取的技术步骤与第一字符串的生成方式所采取的技术步骤是相同的。

所述判断子模块3034，用于判断第一字符串与第二字符串是否相同。当第一字符串与第二字符串不相同时，判断配置文件中所有第二地址组对应的第二字符串与第一字符串是否全部比较完毕。当第一字符串与第二字符串相等时，流程进入步骤S111。所述第一字符串与第二字符串相同是指第一字符串与第二字符串的长度相同，且第一字符串与第二字符串内的每一个字符相同。

所述提取子模块3030，还用于当配置文件中还有第二地址组对应的第二字符串与第一字符串没有比较时，从配置文件中提取下一组第二地址组。

所述创建子模块3035，还用于当配置文件中所有第二地址组对应的第二字符串与第一字符串比较完毕，且当配置文件中所有第二地址组对应的第二字符串与第一字符串均不相同时，根据所述第一地址组创建新的地址组。所创建的新的地址组为防火墙策略中的地址组。

所述输出子模块3036，还用于当第一字符串与第二字符串相等时，输出该第一字符串对应的地址组并作为一条防火墙策略。

需要说明的是，在进行数组比较时，需要对数组里元素逐一进行比较，随着数组元素的增加，运算成本会成指数级增加。具体地，在比较地址组时，常规做法是：(1)计算地址段的大小和范围；(2)通过比较来确认地址段信息。然而，随着地址组数量或组内元素的增加，将会出现大量计算量，影响其工作效率。而上述图5中的技术方案采用单个字符串之间进行比较，运算复杂度是时间成本将大幅降低，同时在字符串比较前，对元素进行了一次排序，也避免了错误判断的可能性。

针对端口组与防火墙设备的配置文件进行比较的情况。

所述提取子模块3030，用于从访问控制列表中提取第一端口组。具体地，从访问控制板的端口区域提取的第一端口组tcp_22,23,80-88。

所述转变子模块3031，用于将提取的第一端口组转换为第一数组。具体地，第一数组的格式为tcp或udp地址加端口号或者端口号范围的形式。例如，若第一端口组为tcp_22,23,80-88，则该第一端口组对应的第一数组为tcp 22 23 80-88(即去掉逗号且保留空格号的字符)。

所述提取子模块3030，还用于从防火墙设备的配置文件中提取一组第二端口组。

所述转变子模块3031，还用于将配置文件中提取的第二端口组转换为与第一数组格式相同的第二数组。

需要说明的是，第二数组的生成方式所采取的技术步骤与第一数组的生成方式所采取的技术步骤是相同的。

所述判断子模块3034，用于判断第一数组与第二数组的长度是否相等、判断第一数组与第二数组内的元素是否相同、判断配置文件中所有第二端口组对应的第二数组与第一数组是否全部比较完毕。

若第一数组与第二数组的长度不相等及/或第一数组与第二数组内的元素不相同，判断配置文件中所有第二端口组对应的第二数组与第一数组是否全部比较完毕。

所述步创建子模块3035：所述第一数组的长度与所述防火墙设备的配置文件中的所有第二端口组对应的第二数组都不相等，及/或所述第一数组内的元素与所述防火墙设备的配置文件中的所有第二端口组对应的第二数组内的元素都不相同时，根据第一端口组创建新的端口组。所创建的新的端口组为防火墙策略中的一个端口组。

所述输出子模块3036：用于当第一数组内的元素与第二数组内的元素相同时，输出该第一数组对应的第一端口组并形成一条防火墙策略。

需要说明的是，由于端口组存在端口范围的特殊写法，所以没办法使用地址组判断方式将所有元素转化成数字进行比较。而现有的技术中是直接通过运算去比较两个数组是否一致，但是一般情况下，若上一台设备上存在大量的端口组，逐一比较会很浪费时间。为了能提高效率，上述通用匹配算法的技术方案是在比较数组之前先比较两个数组的长度，如果长度一致再进行精确比较，可以大大提高运算效率。

另外，结合图1描述的本发明实施例的防火墙策略生成方法可以由防火墙策略生成设备来实现。图3示出了本发明实施例提供的防火墙策略生成设备的硬件结构示意图。

防火墙策略生成设备可以包括处理器401以及存储有计算机程序指令的存储器402。

具体地，上述处理器401可以包括中央处理器(CPU)，或者特定集成电路(Application Specific Integrated Circuit，ASIC)，或者可以被配置成实施本发明实施例的一个或多个集成电路。

存储器402可以包括用于数据或指令的大容量存储器。处理器401通过读取并执行存储器402中存储的计算机程序指令，以实现上述实施例中的任意一种防火墙策略生成方法。在一个示例中，防火墙策略生成设备还可包括通信接口403和总线410。其中，如图4所示，处理器401、存储器402、通信接口403通过总线410连接并完成相互间的通信。通信接口403，主要用于实现本发明实施例中各模块、装置、单元和/或设备之间的通信。总线410包括硬件、软件或两者，将防火墙策略生成设备的部件彼此耦接在一起。

另外，结合上述实施例中的防火墙策略生成方法，本发明实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令；该计算机程序指令被处理器执行时实现上述实施例中的任意一种防火墙策略生成方法。

以上所述，仅为本发明的具体实施方式，所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的系统、模块和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。应理解，本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。

Claims (10)

1.一种防火墙策略生成方法，其特征在于，所述方法包括：

(1)从访问控制列表中提取第一地址组；

(2)将提取的第一地址组中的各个地址转换为反掩码格式；

(3)对第一地址组中反掩码格式的各个地址进行格式处理，将格式处理后的各个地址排序；

(4)将第一地址组中排序后的各个地址合并为第一字符串；

(5)从防火墙设备的配置文件中提取第二地址组；

(6)将配置文件中提取的第二地址组中的各个地址转换为第二反掩码格式；

(7)对第二地址组中反掩码格式的各个地址进行格式处理，将格式处理后的各个地址排序；

(8)将第二地址组中排序后的各个地址合并为第二字符串；

(9)比较第一字符串和第二字符串是否相等；

(10)当所述第一字符串与所述第二字符串不相等时，执行步骤(5)-(9)，以将所述第一地址组与所述防火墙设备的配置文件中的所有第二地址组相比较；

(11)当所述第一字符串与所述防火墙设备的配置文件中的所有第二地址组对应的第二字符串都不相等时，根据所述第一地址组创建新的地址组；

(12)当所述第一字符串与所述第二字符串相等时，输出该第一字符串对应的第一地址组。

2.根据权利要求1所述的方法，其特征在于，所述对对第一地址组中反掩码格式的各个地址进行格式处理的方式均采用保留数字的方式。

3.根据权利要求1所述的方法，其特征在于，所述第一字符串与第二字符串相同是指第一字符串与第二字符串的长度相同，且第一字符串与第二字符串内的每一个字符相同。

4.根据权利要求1所述的方法，其特征在于，所述方法还包括：该方法还包括：

(1)从访问控制列表中提取第一端口组；

(2)将提取的第一端口组转换为第一数组；

(3)从防火墙设备的配置文件中提取第二端口组；

(4)将配置文件中提取的第二端口组为与第一数组格式相同的第二数组；

(5)判断第一数组的长度与第二数组的长度是否相等；

(6)当第一数组与第二数组的长度相等，判断第一数组内的元素与第二数组内的元素是否相同；

(7)当第一数组的长度与第二数组的长度不相等及/或第一数组内的元素与第二数组内的元素不相同时，执行步骤(3)-(6)，以将所述第一端口组与所述防火墙设备的配置文件中的所有第二端口组相比较；

(8)当第一数组内的元素与第二数组内的元素相同时，输出该第一数组对应的第一端口组；

(9)所述第一数组的长度与所述防火墙设备的配置文件中的所有第二端口组对应的第二数组都不相等，或所述第一数组内的元素与所述防火墙设备的配置文件中的所有第二端口组对应的第二数组内的元素都不相同时，根据第一端口组创建新的端口组。

5.根据权利要求4所述的方法，其特征在于，所述第一数组与第二数组内的元素相同是指第一数组与第二数组内的每一个字符完全相同。

6.根据权利要求4所述的方法，其特征在于，所述第一数组及第二数组的格式均为tcp或udp地址加端口号或者端口号范围。

7.根据权利要求1所述的方法，其特征在于，所述方法还包括：

调用防火墙设备内的防火墙命令流程并基于所述防火墙策略生成防火墙策略执行指令，以在防火墙设备中完成防火墙策略的布设。

8.一种防火墙策略生成装置，其特征在于，所述装置包括：

提取子模块，用于从访问控制列表中提取第一地址组；

转变子模块，用于将提取的第一地址组中的各个地址转换为反掩码格式；

排序子模块，用于对第一地址组中反掩码格式的各个地址进行格式处理，将格式处理后的各个地址排序；

合并子模块，用于将第一地址组中排序后的各个地址合并为第一字符串；

所述提取子模块，还用于从防火墙设备的配置文件中提取第二地址组；

所述转变子模块，还用于将配置文件中提取的第二地址组中的各个地址转换为第二反掩码格式；

所述排序子模块，还用于对第二地址组中反掩码格式的各个地址进行格式处理，将格式处理后的各个地址排序；

还合并子模块，用于将第二地址组中排序后的各个地址合并为第二字符串；

判断子模块，用于比较第一字符串和第二字符串是否相等，及判断所述第一地址组与所述防火墙设备的配置文件中的所有第二地址组是否全部比较完毕；

创建子模块，用于当所述第一字符串与所述防火墙设备的配置文件中的所有第二地址组对应的第二字符串都不相等时，根据所述第一地址组创建新的地址组；

输出子模块，用于当所述第一字符串与所述第二字符串相等时，输出该第一字符串对应的第一地址组。

9.一种防火墙策略生成设备，其特征在于，包括：至少一个处理器、至少一个存储器以及存储在所述存储器中的计算机程序指令，当所述计算机程序指令被所述处理器执行时实现如权利要求1-8中任一项所述的方法。

10.一种计算机可读存储介质，其上存储有计算机程序指令，其特征在于，当所述计算机程序指令被处理器执行时实现如权利要求1-8中任一项所述的方法。