[发明专利]一种基于仿真路径分析的防火墙安全策略开通方法及装置

权利要求书

1.一种基于仿真路径分析的防火墙安全策略开通方法，其特征在于，包括：

获取策略开通申请信息，所述策略开通申请信息中包括五元组信息，所述五元组信息包括源地址、目的地址、源端口号、目的端口号以及协议类型；

根据所述五元组信息，在网络仿真环境中进行路径分析，并获取路径分析结果，所述网络仿真环境依据现网环境中各网络设备的连接与互访关系所构建；所述路径分析包括通过源地址定位到对应的网关设备，再通过网关设备上的路由逐一寻找下一网关，直到目的地址；

根据所述路径分析结果，定位目标防火墙，所述目标防火墙为在路径分析过程中阻止访问的防火墙；

根据所述目标防火墙，生成与所述目标防火墙的类型相对应的目标安全策略；

将所述目标安全策略下发至所述目标防火墙，以完成策略开通。

2.根据权利要求1所述的基于仿真路径分析的防火墙安全策略开通方法，其特征在于，所述根据所述目标防火墙，生成与所述目标防火墙的类型相对应的目标安全策略，包括：

获取需开通的安全策略的命令行脚本；

根据所述目标防火墙的类型，获取预设的命令行模板；

根据所述预设的命令行模板，翻译所述命令行脚本，生成与所述目标防火墙的类型相对应的所述目标安全策略。

3.根据权利要求1所述的基于仿真路径分析的防火墙安全策略开通方法，其特征在于，在将所述目标安全策略下发至所述目标防火墙之后，所述方法还包括：

更新所述网络仿真环境中的防火墙配置；

根据所述五元组信息，在完成更新的网络仿真环境中再次进行路径分析，检测更新后的网络仿真环境中是否还存在阻止访问的防火墙。

4.根据权利要求3所述的基于仿真路径分析的防火墙安全策略开通方法，其特征在于，若更新后的网络仿真环境中还存在阻止访问的防火墙，所述方法还包括：

生成与第二目标防火墙的类型相对应的第二目标安全策略，所述第二目标防火墙为阻止访问的防火墙；

将所述第二目标安全策略下发至所述第二目标防火墙，以再次完成策略开通。

5.根据权利要求4所述的基于仿真路径分析的防火墙安全策略开通方法，其特征在于，所述生成与所述第二目标防火墙的类型相对应的第二目标安全策略，包括：

获取需开通的安全策略的命令行脚本；

根据所述第二目标防火墙的类型，获取预设的第二命令行模板；

根据所述预设的第二命令行模板，翻译所述命令行脚本，生成与所述第二目标防火墙的类型相对应的所述第二目标安全策略。

6.一种基于仿真路径分析的防火墙安全策略开通装置，其特征在于，所述基于仿真路径分析的防火墙安全策略开通装置应用于权利要求1-5任一项所述的一种基于仿真路径分析的防火墙安全策略开通方法，所述基于仿真路径分析的防火墙安全策略开通装置包括：

申请信息获取模块，用于获取策略开通申请信息，所述策略开通申请信息中包括五元组信息，所述五元组信息包括源地址、目的地址、源端口号、目的端口号以及协议类型；

路径分析模块，用于根据所述五元组信息，在网络仿真环境中进行路径分析，并获取路径分析结果，所述网络仿真环境依据现网环境中各网络设备的连接与互访关系所构建；所述路径分析包括通过源地址定位到对应的网关设备，再通过网关设备上的路由逐一寻找下一网关，直到目的地址；

目标定位模块，用于根据所述路径分析结果，定位目标防火墙，所述目标防火墙为在路径分析过程中阻止访问的防火墙；

策略生成模块，用于根据所述目标防火墙，生成与所述目标防火墙的类型相对应的目标安全策略；

策略开通模块，用于将所述目标安全策略下发至所述目标防火墙，以完成策略开通。

7.根据权利要求6所述的基于仿真路径分析的防火墙安全策略开通装置，其特征在于，所述策略生成模块包括：

脚本获取单元，用于获取需开通的安全策略的命令行脚本；

模板获取单元，用于根据所述目标防火墙的类型，获取预设的命令行模板；

翻译单元，用于根据所述预设的命令行模板，翻译所述命令行脚本，生成与所述目标防火墙的类型相对应的所述目标安全策略。