[发明专利]基于脚本模板化生成配置防火墙安全策略的方法

权利要求书

1.一种基于脚本模板化生成配置防火墙安全策略的方法，其特征在于，包括如下步骤：

S1：导入基础数据，所述基础数据包括存储数据表、地址区域关系表、区域策略关系表、防火墙设备信息表和防火墙端口服务表；

S2：接收防火墙安全策略生成/变更申请单；

S3：根据申请单内容导入申请单参数；

S4：根据申请单参数获取策略需求信息，调用匹配的防火墙模板生成配置脚本；

S5：加载配置脚本生成防火墙安全策略；

步骤S3中所述申请单参数包括：防火墙名称、访问源IP地址、访问目的地IP地址、申请单号码、防火墙类型、防火墙的用途、防火墙的动作和防火墙策略开始时间及结束时间；

步骤S4具体包括：

S21：根据申请单参数的访问源IP地址和访问目的地IP地址，调用基础数据，通过检索地址区域关系表返回访问源IP地址和访问目的地IP地址所属的源区域和目的区域；

S22：根据源区域和目的区域，通过检索区域策略关系表确定当前区域策略；

S23：在返回的当前区域中根据当前区域策略调用防火墙模板生成配置脚本；

S24：对生成的配置脚本进行审核，确认可实施，得到匹配的配置脚本；

步骤S23中根据申请单内容确认设备型号、业务类型和开通场景进行防火墙模板的匹配，适用设备型号、业务类型与开通场景三者组合唯一；利用路由跟踪命令在源地址设备上跟踪目的地址的设备,打印出路由经过路径的所有设备，根 据IP地址通过防火墙资产信息表匹配对应的防火墙设备，从而确认防火墙模板。

2.如权利要求1所述的基于脚本模板化生成配置防火墙安全策略的方法，其特征在于，所述的防火墙模板包括普通防火墙模板和网络地址转换防火墙模板。

3.如权利要求2所述的基于脚本模板化生成配置防火墙安全策略的方法，其特征在于，调用普通防火墙模板生成配置脚本包括如下步骤：

S31：查询对应的访问控制列表，检查配置项；

S32：定义源IP地址和目的IP地址，定义目的端口，定义生效时间；

S33：配置生效时间，生成配置脚本。

4.如权利要求2所述的基于脚本模板化生成配置防火墙安全策略的方法，其特征在于，调用网络地址转换防火墙模板生成配置脚本包括如下步骤：

S41：定位目的区域，定位源区域，检查配置项；

S42：定义源IP地址和目的IP地址，定义目的端口，定义NAT前端口；

S43：定义生效时间，配置生效时间；

S44：NAT策略MIP开通脚本；NAT策略VIP开通脚本；NAT策略SNAT开通脚本；

S45：根据申请单内容从MIP、VIP和SNAT三种NAT策略类型中选择一种；

S46：普通策略开通脚本，根据选择的NAT策略和普通策略生成配置脚本。

5.如权利要求1所述的基于脚本模板化生成配置防火墙安全策略的方法，其特征在于，步骤S5具体包括如下步骤：

S41：通过接口自动加载配置脚本；

S42：根 据策略名称进行防火墙策略查询，返回结果，则策略生效，加载成功，否则加载失败；

S43，自动加载失败则通过手工配置加载，直到防火墙安全策略回显，确认策略生效，完成加载。