防火牆訪問控制策略的配置方法及裝置的製作方法

2023-10-10 02:41:34 1

專利名稱：防火牆訪問控制策略的配置方法及裝置的製作方法
技術領域：
本發明涉及通信技術領域，特別涉及一種防火牆訪問控制策略的配置方法及裝置。
背景技術：
隨著企業信息化的普及，網絡的信息安全問題已引起了越來越多的關注，為了保 障網絡設備的信息安全，通常使用防火牆來對各網絡設備實行嚴格的訪問控制。例如，針對 網絡設備A和網絡設備B預設的防火牆訪問控制策略為控制策略A，為網絡設備A服務的防 火牆為防火牆A，為網絡設備B服務的防火牆為防火牆B，則防火牆A和防火牆B只允許滿 足控制策略A的訪問請求訪問網絡設備A和網絡設備B，從而保護了網絡設備A和網絡設備 B的信息安全。目前防火牆的使用和維護一般都是由網絡管理員負責，防火牆的所有訪問控制策 略也由網絡管理員進行處理，用戶首先向網絡管理員提交訪問控制策略配置請求，然後網 絡管理員在防火牆上進行訪問控制策略的配置，並在該訪問控制策略到期後，取消相應的 訪問控制策略，以確保網絡設備的信息安全。隨著網絡規模的擴大和對外接口的增加，防火牆訪問控制策略的配置需求越來越 大，網絡管理員的工作量也就越來越大，從而使得防火牆訪問控制策略的配置效率較低，且 配置準確性較低。

發明內容
本發明實施例提供一種防火牆訪問控制策略的配置方法及裝置，用以解決現有技 術中存在的由於網絡管理員對防火牆訪問控制策略進行人工配置，從而使得防火牆訪問控 制策略的配置效率較低，且配置準確性較低的問題。本發明實施例技術方案如下—種防火牆訪問控制策略的配置方法，該方法包括步驟防火牆訪問控制策略的 配置裝置接收用戶發送的配置請求消息，所述配置請求消息中攜帶有所述用戶針對請求保 護的至少一個目標網絡設備預設的防火牆訪問控制策略；分別確定為每個目標網絡設備服 務的防火牆；根據接收到的防火牆訪問控制策略，對確定出的各防火牆分別進行防火牆訪 問控制策略的配置。一種防火牆訪問控制策略的配置裝置，包括第一接收單元，用於接收用戶發送的 配置請求消息，所述配置請求消息中攜帶有所述用戶針對請求保護的至少一個目標網絡設 備預設的防火牆訪問控制策略；第一確定單元，用於分別確定為每個目標網絡設備服務的 防火牆；配置單元，用於根據第一接收單元接收到的防火牆訪問控制策略，對確定單元確定 出的各防火牆分別進行防火牆訪問控制策略的配置。本發明實施例技術方案中，防火牆訪問控制策略的配置裝置接收用戶發送的配置 請求消息，其中該配置請求消息中攜帶有該用戶針對請求保護的至少一個目標網絡設備預設的防火牆訪問控制策略，上述配置裝置分別確定為每個目標網絡設備服務的防火牆，然 後根據接收到的防火牆訪問控制策略，對確定出的各防火牆分別進行防火牆訪問控制策略 的配置，從而使得該防火牆訪問控制裝置能夠根據用戶發送的配置請求消息，實現防火牆 訪問控制策略的配置，而不再是由網絡管理員進行配置，這就有效地提高了防火牆訪問控 制策略的配置效率，且提高了配置準確性。


圖1為本發明實施例中，防火牆訪問控制策略的配置方法流程示意圖；圖2為本發明實施例中，防火牆訪問控制策略的配置裝置結構示意圖。
具體實施例方式下面結合各個附圖對本發明實施例技術方案的主要實現原理具體實施方式
及其 對應能夠達到的有益效果進行詳細地闡述。如圖1所示，為本發明實施例中，防火牆訪問控制策略的配置方法流程圖，其具體 處理過程如下步驟11，防火牆訪問控制策略的配置裝置接收用戶發送的配置請求消息，其中配 置請求消息中攜帶有該用戶針對請求保護的至少一個目標網絡設備預設的防火牆訪問控 制策略；本發明實施例中，用戶請求保護的網絡設備為目標網絡設備，用戶可以針對一個 目標網絡設備預設防火牆訪問控制策略，例如網絡設備A為目標網絡設備，針對該目標網 絡設備預設的防火牆訪問控制策略為網絡設備A的埠 1，允許通過網絡設備B和C通過 埠 2發出的訪問請求。用戶還可以針對兩個以上的目標網絡設備預設防火牆訪問控制策略，例如，網絡 設備A和網絡設備B為目標網絡設備，針對網絡設備A和網絡設備B預設的防火牆訪問控 制策略為網絡設備A和B的埠 1，允許通過網絡設備C和D通過埠 2發出的訪問請求。本發明實施例中，用戶可以但不限於以短消息的形式將配置請求消息發送給上述 配置裝置，還可以以彩信、頁面(Web)的形式發送。若用戶請求保護的目標網絡設備為網絡設備A和網絡設備B，網絡設備A和網絡 設備B的網際網路協議(IP，Internet Protocol)地址組成IP位址段A，用戶針對網絡設備 A和網絡設備B預設的防火牆訪問控制策略為網絡設備A和網絡設備B的埠 1，允許通 過網絡設備C和網絡設備D通過埠 2發出的訪問請求。其中網絡設備C和網絡設備D的 IP位址組成IP位址段B，若用戶以短消息形式發送配置請求消息，則用戶發送的配置請求 消息的格式可以但不限於為下述:SQ+source+netmaskl+portl+server+netmask2+port2+d ay,其中SQ為用於標識該消息為配置請求消息的代碼，source用於標識IP位址段B的首 地址，netmaskl用於標識IP位址段B的子網掩碼，portl用於標識埠 2，server用於標 識IP位址段A的首地址，netmaSk2用於標識IP位址段A的子網掩碼，port2用於標識埠 1，day用於標識此次配置的有效期。此外，若用戶請求保護的目標網絡設備還包括網絡設備E和網絡設備F，網絡設備 E和網絡設備F的IP位址組成IP位址段C，用戶針對網絡設備E和網絡設備F預設的防火牆訪問控制策略為網絡設備E和網絡設備F的埠 3，允許通過網絡設備G和網絡設備H 通過埠 4發出的訪問請求。其中網絡設備G和網絡設備H的IP位址組成IP位址段D， 用戶發送的配置請求消息可以但不限於為下述SQ+sourcel+netmaskll+portll+serverl +netmaskl2+portl2+SQ+source2+netmask21+port21+server2+netmask22+port22+day,其 中SQ為用於標識該消息為配置請求消息的代碼，sourcel用於標識IP位址段B的首地址， netmaskll用於標識IP位址段B的子網掩碼，portll用於標識埠 2，serverl用於標識 IP位址段A的首地址，netmaSkl2用於標識IP位址段A的子網掩碼，portl2用於標識埠 1，source2用於標識IP位址段D的首地址，netmask21用於標識IP位址段D的子網掩碼， port21用於標識埠 4，server2用於標識IP位址段C的首地址，netmask22用於標識IP 地址段C的子網掩碼，port22用於標識埠 3，day用於標識此次配置的有效期。 其中 netmaskll、netmaskl2、netmask21 禾口 netmask22 為全 1 時,表示對應的網絡 設備為單個網絡設備，portll、portl2、port21和port22為0時，表示為對應網絡設備的全 部埠，day為0時，可以表示有效期不限，即永久有效。步驟12，分別確定為每個目標網絡設備服務的防火牆；其中，每個防火牆為至少一個網絡設備服務，而每個網絡設備對應一個IP位址， 即每個防火牆均對應至少一個IP位址，若該配置裝置管理網絡中多個防火牆，則可以預先 存儲所管理的每個防火牆的標識信息和網絡設備的IP位址信息之間的對應關係，如表1所 示表1
防火牆標識信息網絡設備的IP位址信息
IP位址a
防火牆1_
IP位址b--；-
IP位址C
防火牆1IP位址d
IP位址e本發明實施例中，對防火牆訪問控制策略進行配置需要首先確定為每個目標網絡 設備服務的防火牆，確定的步驟可以但不限於為下述針對每個目標網絡設備，根據接收到的訪問控制策略中包含的該目標網絡設備的 IP位址信息，在如上表所示的防火牆標識信息和網絡設備的IP位址信息的對應關係中，查 找與該目標網絡設備的IP位址信息對應的防火牆標識信息，然後將查找到的防火牆標識 信息對應的防火牆，確定為為該目標網絡設備服務的防火牆。此外，用戶還可以在配置請求消息中插入每個目標網絡設備的標識信息，配置裝 置就可以針對每個目標網絡設備，根據該目標網絡設備的標識信息，在網絡設備標識信息 和防火牆標識信息的對應關係中，查找對應的防火牆標識信息，然後將查找到的防火牆標 識信息對應的防火牆，確定為為該目標網絡設備服務的防火牆。
此外，本發明實施例中，用戶發送的配置請求消息中還可以攜帶有該用戶的用戶 信息，那麼在確定各個防火牆之前還可以進一步根據接收到的用戶信息，確定該用戶具有 對各目標網絡設備的防火牆訪問控制策略進行配置的權限。 如果用戶以短消息的形式發送配置請求消息，則用戶的用戶信息可以為該用戶的 移動終端的號碼信息，配置裝置在接收到短消息後，可以查看發送短消息的移動終端的號 碼信息，然後在存儲的所有具有權限的各個號碼信息中，判斷是否存在查看的號碼信息，若 存在，則確認該用戶具有對各目標網絡設備的防火牆訪問控制策略進行配置的權限，可以 繼續進行防火牆訪問控制策略的配置，若不存在，則確認該用戶不具有對各目標網絡設備 的防火牆訪問控制策略進行配置的權限，向用戶發送通知消息，通知用戶不具有配置權限。若用戶以彩信的形式發送配置請求消息，則判斷用戶是否具有權限的方式和上述 過程類似，若用戶以Web的形式發送配置請求消息，那麼判斷用戶信息可以為用戶名稱和 用戶口令，首先判斷是否存在該用戶輸入的用戶名稱，在判斷結果為是後，再判斷用戶輸入 的用戶口令是否正確，如果判斷結果為正確時，則配置裝置確認該用戶具有對各目標網絡 設備的防火牆訪問控制策略進行配置的權限，則可以繼續進行防火牆訪問控制策略的配 置。此外，為了網絡管理員監督網絡中各個網絡設備的埠使用情況，還可以對用戶 發送的防火牆訪問控制策略進行審批，具體為在分別確定為每個目標網絡設備服務的防火牆之前，確定為該用戶進行訪問控制 策略審批的審批終端，將接收到的配置請求消息發送給確定出的審批終端，並接收該審批 終端發送的審批結果消息。若用戶通過短消息的形式發送配置請求消息，則該配置裝置中還可以進一步存儲 有各用戶所使用的移動終端號碼信息和對應審批終端號碼信息的對應關係，如表2所示表2
權利要求
1. 一種防火牆訪問控制策略的配置方法，其特徵在於，包括防火牆訪問控制策略的配置裝置接收用戶發送的配置請求消息，所述配置請求消息中 攜帶有所述用戶針對請求保護的至少一個目標網絡設備預設的防火牆訪問控制策略；分別確定為每個目標網絡設備服務的防火牆；根據接收到的防火牆訪問控制策略，對確定出的各防火牆分別進行防火牆訪問控制策 略的配置。
2.如權利要求1所述的防火牆訪問控制策略的配置方法，其特徵在於，分別確定為每 個目標網絡設備服務的防火牆，具體包括針對每個目標網絡設備分別執行根據接收到的訪問控制策略中包含的該目標網絡設備的IP位址信息，在防火牆標識 信息和網絡設備的IP位址信息的對應關係中，查找與該目標網絡設備的IP位址信息對應 的防火牆標識信息；將查找到的防火牆標識信息對應的防火牆，確定為為該目標網絡設備服務的防火牆。
3.如權利要求1所述的防火牆訪問控制策略的配置方法，其特徵在於，所述配置請求 消息中還攜帶有所述用戶的用戶信息；分別確定為每個目標網絡設備服務的防火牆之前還包括根據接收到的用戶信息，確定該用戶具有對各目標網絡設備的防火牆訪問控制策略進 行配置的權限。
4.如權利要求1所述的防火牆訪問控制策略的配置方法，其特徵在於，分別確定為每 個目標網絡設備服務的防火牆之前還包括確定為所述用戶進行訪問控制策略審批的審批終端；將接收到的所述配置請求消息發送給確定出的審批終端；以及接收所述審批終端發送的審批通過消息。
5.如權利要求1所述的防火牆訪問控制策略的配置方法，其特徵在於，所述配置請求 消息中還攜帶有配置有效期信息；所述配置方法還包括根據接收到的配置有效期信息，確定所述配置請求消息中攜帶的防火牆訪問控制策略 的到期時間點；將到期時間點、所述防火牆訪問控制策略、確定出的各防火牆對應的防火牆標識信息， 進行對應存儲；在存儲的各個在用防火牆訪問控制策略對應的到期時間點中，檢測不遲於當前時間點 的到期時間點；根據檢測出的到期時間點，在到期時間點、防火牆訪問控制策略、防火牆標識信息的對 應關係中，查找對應的防火牆訪問控制策略和各防火牆標識信息；根據查找到的防火牆訪問控制策略，對查找到的各防火牆標識信息對應的防火牆分別 進行訪問控制策略的取消操作。
6.如權利要求1所述的防火牆訪問控制策略的配置方法，其特徵在於，所述配置方法 還包括為確定出的各防火牆和接收到的所述防火牆訪問控制策略，分配唯一的配置序列號；並將配置序列號、所述防火牆訪問控制策略、確定出的各防火牆對應的防火牆標識信息， 進行對應存儲；將分配的配置序列號發送給所述用戶；接收用戶發送的取消配置請求消息，所述取消配置請求消息中攜帶有配置序列號； 根據接收到的配置序列號，在配置序列號、防火牆訪問控制策略、防火牆標識信息的對 應關係中，查找對應的防火牆訪問控制策略和各防火牆標識信息；根據查找到的防火牆訪問控制策略，對查找到的各防火牆標識信息對應的防火牆分別 進行訪問控制策略的取消操作。
7.如權利要求1所述的防火牆訪問控制策略的配置方法，其特徵在於，所述配置方法 還包括向所述用戶反饋配置結果信息。
8.如1 7任一權利要求所述的防火牆訪問控制策略的配置方法，其特徵在於，所述用 戶將所述配置請求消息以短消息的形式發送給所述配置裝置。
9.一種防火牆訪問控制策略的配置裝置，其特徵在於，包括第一接收單元，用於接收用戶發送的配置請求消息，所述配置請求消息中攜帶有所述 用戶針對請求保護的至少一個目標網絡設備預設的防火牆訪問控制策略； 第一確定單元，用於分別確定為每個目標網絡設備服務的防火牆； 配置單元，用於根據第一接收單元接收到的防火牆訪問控制策略，對確定單元確定出 的各防火牆分別進行防火牆訪問控制策略的配置。
10.如權利要求9所述的防火牆訪問控制策略的配置裝置，其特徵在於，第一確定單元 具體包括查找子單元，用於針對每個目標網絡設備，根據第一接收單元接收到的訪問控制策略 中包含的該目標網絡設備的IP位址信息，在防火牆標識信息和網絡設備的IP位址信息的 對應關係中，查找與該目標網絡設備的IP位址信息對應的防火牆標識信息；確定子單元，用於針對每個目標網絡設備，將查找子單元查找到的防火牆標識信息對 應的防火牆，確定為為該目標網絡設備服務的防火牆。
11.如權利要求9所述的防火牆訪問控制策略的配置裝置，其特徵在於，所述第一接收 單元接收到的配置請求消息中還攜帶有所述用戶的用戶信息；所述配置裝置還包括第二確定單元，用於在第一確定單元分別確定為每個目標網絡設 備服務的防火牆之前，根據第一接收單元接收到的用戶信息，確定該用戶具有對各目標網 絡設備的防火牆訪問控制策略進行配置的權限。
12.如權利要求9所述的防火牆訪問控制策略的配置裝置，其特徵在於，所述配置裝置 還包括第三確定單元，用於在第一確定單元分別確定為每個目標網絡設備服務的防火牆之 前，確定為所述用戶進行訪問控制策略審批的審批終端；第一發送單元，用於將第一接收單元接收到的所述配置請求消息發送給第三確定單元 確定出的審批終端；第二接收單元，用於接收第三確定單元確定出的所述審批終端發送的審批通過消息。
13.如權利要求9所述的防火牆訪問控制策略的配置裝置，其特徵在於，所述第一接收 單元接收到的配置請求消息中還攜帶有配置有效期信息；所述配置裝置還包括第四確定單元，用於根據第一接收單元接收到的配置有效期信息，確定所述配置請求 消息中攜帶的所述防火牆訪問控制策略的到期時間點；第一存儲單元，用於將第四確定單元確定出的到期時間點、所述防火牆訪問控制策略、 第一確定單元確定出的各防火牆對應的防火牆標識信息，進行對應存儲；檢測單元，用於在存儲的各個在用防火牆訪問控制策略對應的到期時間點中，檢測不 遲於當前時間點的到期時間點；第一查找單元，用於根據檢測單元檢測出的到期時間點，在到期時間點、防火牆訪問控 制策略、防火牆標識信息的對應關係中，查找對應的防火牆訪問控制策略和各防火牆標識 fn息；第一取消策略單元，用於根據第一查找單元查找到的防火牆訪問控制策略，對第一查 找單元查找到的各防火牆標識信息對應的防火牆分別進行訪問控制策略的取消操作。
14.如權利要求9所述的防火牆訪問控制策略的配置裝置，其特徵在於，所述配置裝置 還包括分配單元，用於為第一確定單元確定出的各防火牆和第一接收單元接收到的所述防火 牆訪問控制策略，分配唯一的配置序列號；第二存儲單元，用於將分配單元分配的配置序列號、所述防火牆訪問控制策略、第一確 定單元確定出的各防火牆對應的防火牆標識信息，進行對應存儲；第二發送單元，用於將分配單元分配的配置序列號發送給所述用戶；第三接收單元，用於接收用戶發送的取消配置請求消息，所述取消配置請求消息中攜 帶有配置序列號；第二查找單元，用於根據第三接收單元接收到的配置序列號，在配置序列號、防火牆訪 問控制策略、防火牆標識信息的對應關係中，查找對應的防火牆訪問控制策略和各防火牆 標識信息；第二取消策略單元，用於根據第二查找單元查找到的防火牆訪問控制策略，對第二查 找單元查找到的各防火牆標識信息對應的防火牆分別進行訪問控制策略的取消操作。
15.如權利要求9所述的防火牆訪問控制策略的配置裝置，其特徵在於，所述配置裝置 還包括反饋單元，用於向所述用戶反饋配置結果信息。
全文摘要
本發明公開了一種防火牆訪問控制策略的配置方法及裝置，該方法包括步驟防火牆訪問控制策略的配置裝置接收用戶發送的配置請求消息，上述配置請求消息中攜帶有上述用戶針對請求保護的至少一個目標網絡設備預設的防火牆訪問控制策略，分別確定為每個目標網絡設備服務的防火牆，根據接收到的防火牆訪問控制策略，對確定出的各防火牆分別進行防火牆訪問控制策略的配置。採用本發明技術方案，解決了現有技術中存在的由於網絡管理員對防火牆訪問控制策略進行人工配置，從而使得防火牆訪問控制策略的配置效率較低，且配置準確性較低的問題。
文檔編號H04L12/24GK102055735SQ20091021007
公開日2011年5月11日 申請日期2009年11月4日 優先權日2009年11月4日
發明者張棟, 朱祥磊, 李世衝, 王坤, 胡國輝, 趙建福 申請人:中國移動通信集團山東有限公司