[发明专利]防火墙策略下发方法、装置、计算机设备和存储介质

说明书

本发明公开了一种防火墙策略下发方法、装置、计算机设备和存储介质，方法包括：获取待下发的目标策略，在预先设定的静态路由表中查找出与待下发的目标策略中的目的地址相匹配的静态路由，并根据静态路由查询出对应的物理防火墙；确定物理防火墙上每个虚拟防火墙的路由表；对待下发的目标策略中的源地址及目的地址在每个虚拟防火墙的路由表中匹配，确定源地址匹配到的第一接口及目的地址匹配到的第二接口；当在同一个虚拟防火墙的路由表中匹配到的第一接口不同于第二接口时，则将待下发的目标策略下发到虚拟防火墙上，本发明能够实现防火墙自动定位和防火墙策略的自动下发，提高了防火墙策略下发效率，降低了策略开通过程中的出错率。

技术领域

本发明涉及网络安全技术领域，特别涉及一种防火墙策略下发方法、装置、计算机设备和存储介质。

背景技术

防火墙是用于安全管理的硬件设备，帮助企业网络于其内、外网之间构建一道隔离的设施，以保护资料与信息安全性的一种技术，一个防火墙能极大地提高内部网络的安全性，并通过过滤不安全的服务而降低风险。

目前防火墙策略的下发多依靠人工进行管理，通过网络管理员根据实际网络需求制定防火墙策略，依靠个人经验查看网络拓扑，评估需要在哪些防火墙上执行防火墙策略，并对防火墙策略进行相应的处理。但是，随着网络规模的扩大和对外接口的增加，采用人工定位防火墙进行下发防火墙策略的方式，存在防火墙策略处理效率低下且容易出错的问题。

发明内容

本发明目的在于提供一种防火墙策略下发方法、装置、计算机设备和存储介质，用以解决目前采用人工定位防火墙进行下发防火墙策略的方式，存在防火墙策略处理效率低下且容易出错的问题。

第一方面，提供了一种防火墙策略下发方法，所述方法包括：

获取待下发的目标策略；

在预先设定的静态路由表中查找出与所述目标策略中的目的地址相匹配的静态路由，并根据所述静态路由查询出对应的物理防火墙；

确定所述物理防火墙上每个虚拟防火墙的路由表；

对所述目标策略中的源地址及目的地址在每个所述虚拟防火墙的路由表中匹配，确定所述源地址匹配到的第一接口及所述目的地址匹配到的第二接口；

当在同一个所述虚拟防火墙的路由表中匹配到的所述第一接口不同于所述第二接口时，则将所述目标策略下发到所述虚拟防火墙上。

进一步地，所述获取待下发的目标策略，包括：

获取待下发的防火墙策略列表，所述防火墙策略列表包括至少一个策略；

按照预设的地址合并参数对各个所述策略中的地址进行合并，得到所述防火墙策略列表对应的地址集，所述地址合并参数为源地址或者目的地址；

将所述防火墙策略列表对应的地址集拆分成单个地址，得到所述目标策略。

进一步地，所述在预先设定的静态路由表中查找出与所述目标策略中的目的地址相匹配的静态路由，包括：

在所述静态路由表中，对所述目标策略中的目的地址按照最长掩码匹配进行查找，得到与所述目标策略中的目的地址相匹配的静态路由。

进一步地，所述在预先设定的静态路由表中查找出与所述目标策略中的目的地址相匹配的静态路由，包括：

对所述目标策略中的目的地址转换为对应的第一整数值，并对所述静态路由表中的各个路由的目的地址分别转换为对应的第二整数值；

对所述第一整数值分别与各所述第二整数值进行匹配，将匹配到的最大的第二整数值对应的路由确定为所述目标策略中的目的地址相匹配的静态路由。

进一步地，所述将所述目标策略下发到所述虚拟防火墙上，包括：