防火墙开墙方法、装置、计算机设备及存储介质与流程

本发明涉及防火墙技术领域，属于智慧城市网络安全防护相关的应用场景，尤其涉及一种防火墙开墙方法、装置、计算机设备及存储介质。

背景技术：

随着互联网技术的发展，企业为保障数据信息在交互过程中的安全性通常需构建防火墙网络，任意一台终端与其它终端之间的网络连接均需经过防火墙的检查，并可通过所构建的防火墙网络管控数据信息在多个终端之间进行交互的权限，以确保企业所构建的网络环境免受外界因素的干扰。防火墙网络中的数据信息在进行跨区域传输时，需对传输路径中的防火墙进行开墙操作，传统的开墙操作方法需互联网管理人员手动查询获取传输路径中所包含的防火墙，并逐个开通传输路径所包含的防火墙，这一人工操作的方式需耗费大量时间，且存在因人为操作失误而导致开墙失败的情况出现，影响了对防火墙进行开墙的效率的准确性。因而，现有技术方法存在对防火墙进行开墙的效率及准确性不高的问题。

技术实现要素：

本发明实施例提供了一种防火墙开墙方法、装置、计算机设备及存储介质，旨在解决现有技术方法所存在的对防火墙进行开墙的效率及准确性不高的问题。

第一方面，本发明实施例提供了一种防火墙开墙方法，其包括：

若接收到来自用户终端的开墙请求信息，根据预存的地址集信息对所述开墙请求信息进行验证以得到是否验证通过的验证结果，其中，所述开墙请求信息中包括一个访问源地址及至少一个目标访问地址；

若所述验证结果为通过，将所述访问源地址作为起始节点，将所述目标访问地址作为终止节点，获取防火墙网络中从所述起始节点至所述终止节点的一条最短路径作为最优传输路径；

获取预存的防火墙策略库中与所述最优传输路径相匹配的开墙策略；

执行所述开墙策略以对所述最优传输路径中所包含的防火墙进行开墙。

第二方面，本发明实施例提供了一种防火墙开墙装置，其包括：

验证结果获取单元，用于若接收到来自用户终端的开墙请求信息，根据预存的地址集信息对所述开墙请求信息进行验证以得到是否验证通过的验证结果，其中，所述开墙请求信息中包括一个访问源地址及至少一个目标访问地址；

最优传输路径确定单元，用于若所述验证结果为通过，将所述访问源地址作为起始节点，将所述目标访问地址作为终止节点，获取防火墙网络中从所述起始节点至所述终止节点的一条最短路径作为最优传输路径；

开墙策略获取单元，用于获取预存的防火墙策略库中与所述最优传输路径相匹配的开墙策略；

开墙策略执行单元，用于执行所述开墙策略以对所述最优传输路径中所包含的防火墙进行开墙。

第三方面，本发明实施例又提供了一种计算机设备，其包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述第一方面所述的防火墙开墙方法。

第四方面，本发明实施例还提供了一种计算机可读存储介质，其中所述计算机可读存储介质存储有计算机程序，所述计算机程序当被处理器执行时使所述处理器执行上述第一方面所述的防火墙开墙方法。

本发明实施例提供了一种防火墙开墙方法、装置、计算机设备及存储介质。根据预存地址集信息验证来自用户终端的开墙请求信息，若验证通过，从防火墙网络中获取与开墙请求信息对应的最优传输路径，从防火墙策略库中获取对应的开墙策略并完成开墙操作。通过上述方法，可通过管理服务器直接对防火墙进行开墙操作，通过最优传输路径以减少开墙次数，且实现了开墙请求信息与开墙策略的双向绑定，可提高对防火墙进行开墙操作的准确性及效率。

附图说明

为了更清楚地说明本发明实施例技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的防火墙开墙方法的流程示意图；

图2为本发明实施例提供的防火墙开墙方法的应用场景示意图；

图3为本发明实施例提供的防火墙开墙方法的子流程示意图；

图4为本发明实施例提供的防火墙开墙方法的另一子流程示意图；

图5为本发明实施例提供的防火墙开墙方法的另一子流程示意图；

图6为本发明实施例提供的防火墙开墙方法的另一子流程示意图；

图7为本发明实施例提供的防火墙开墙方法的另一子流程示意图；

图8为本发明实施例提供的防火墙开墙方法的另一子流程示意图；

图9为本发明实施例提供的防火墙开墙装置的示意性框图；

图10为本发明实施例提供的计算机设备的示意性框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。

还应当理解，在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样，除非上下文清楚地指明其它情况，否则单数形式的“一”、“一个”及“该”意在包括复数形式。

还应当进一步理解，在本发明说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合，并且包括这些组合。

请参阅图1及图2，图1是本发明实施例提供的防火墙开墙方法的流程示意图，图2为本发明实施例提供的防火墙开墙方法的应用场景示意图。该防火墙开墙方法应用于管理服务器10中，该方法通过安装于管理服务器10中的应用软件进行执行，管理服务器10与至少一台用户终端20进行通信，管理服务器10对由终端40、网关设备50及至少一台用户终端20所组成的防火墙网络30进行管理，用户通过用户终端20输入开墙请求信息并发送至管理服务器10，管理服务器10接收开墙请求信息并获取防火墙网络30中对应的最优传输路径后，获取与最优传输路径相匹配的开墙策略并完成开墙操作。管理服务器10即是用于执行防火墙开墙方法以对防火墙网络30进行管理的企业终端，用户终端20即为可发送开墙请求信息至管理服务器的终端设备，例如台式电脑、笔记本电脑、平板电脑或手机等，终端40即为可接收来自用户终端20的数据信息的终端设备，例如台式电脑、笔记本电脑、平板电脑、手机或数据存储设备等，网关设备50即为防火墙网络中用于配置防火墙的设备，例如路由器或交换机等。如图1所示，该方法包括步骤s110～s140。

s110、若接收到来自用户终端的开墙请求信息，根据预存的地址集信息对所述开墙请求信息进行验证以得到是否验证通过的验证结果。

若接收到来自用户终端的开墙请求信息，根据预存的地址集信息对所述开墙请求信息进行验证以得到是否验证通过的验证结果。其中，所述地址集信息包括访问源地址集及目标访问地址集，其中，所述开墙请求信息中包括一个访问源地址及至少一个目标访问地址。开墙请求信息即为用户通过用户终端所发送的需进行开墙操作的请求信息，用户通过用户终端发送数据信息至另一终端之前，需先确保从用户终端至该另一终端的传输路径为连通的状态，也即是该传输路径中的防火墙均为开通的状态。开墙请求信息中的访问源地址即为用户终端的互联网协议地址，目标访问地址即为接收用户终端所发送的数据信息的终端的互联网协议地址，开墙请求信息中可包括一个或多个目标访问地址，若开墙请求信息中包含多个目标访问地址；地址集信息即为管理服务器中预先存储的有效互联网协议地址，地址集信息中包含对访问源地址进行验证的访问源地址集以及对目标访问地址进行验证的目标访问地址集。

在一实施例中，如图3所示，步骤s110之前还包括步骤s1101和s1102。

s1101、对所述防火墙网络中与所述开墙请求信息对应的传输路径是否连通进行检测以得到检测结果；s1102、若所述检测结果为连通，将所述检测结果反馈至所述用户终端；若所述检测结果为不连通，执行所述根据预存的地址集信息对所述开墙请求信息进行验证以得到是否验证通过的验证结果的步骤。

防火墙网络即为企业所构建的用于管控数据信息在多个终端之间进行交互的安全屏障，防火墙网络中包含多个防火墙，被防火墙所分割而形成的一个网络空间即为一个安全区域，数据信息可在一个安全域内进行无限制的传输，每一防火墙均可配置于路由器、交换机等一台网关设备中，每一台网关设备中所配置的防火墙均受到管理服务器的控制，也即是管理服务器可控制每一防火墙是否允许数据信息的传输。用户终端通过防火墙网络发送数据信息至另一终端时，该数据信息从防火墙网络中传输至该另一终端所经过的路径即为传输路径，从用户终端至另一终端的传输路径可以是一条或多条。在对开墙请求信息进行处理之前，可对与开墙请求信息对应的传输路径是否连通进行检测，以开墙请求信息中仅包含一个目标访问地址为例，若检测结果为连通，则表示从用户终端发送数据信息至少可经一条传输路径传输至目标访问地址对应的终端设备，无需根据开墙请求信息对防火墙进行开墙操作，用户可直接发送数据信息至目标访问地址对应的终端设备；若检测结果为不连通，则需执行对防火墙进行开墙操作的步骤。若开墙请求信息中包含多个目标访问地址，则需分别检测用户终端至每一目标访问终端对应的终端设备是否均包含一条可传输数据信息的传输路径，若每一目标访问终端均包含至少一条可传输数据信息的传输路径，则检测结果为连通；否则检测结果为不连通。

具体的，每一防火墙中均配置有允许数据信息传输的互联网协议地址，从用户终端所发出的数据信息中均包含该用户终端的互联网协议地址，也即是访问源地址。对用户终端与一个目标访问地址对应的终端设备进行检测的具体方法为：判断与用户终端关联的多个防火墙中是否包含至少一个允许对该用户终端的数据信息进行传输的防火墙，也即是判断防火墙中所配置的允许数据信息传输的互联网协议地址中是否包含与该用户终端对应的访问源地址，若不包含，则得到不连通的检测结果；若包含，则继续判断与允许对该用户终端的数据信息进行传输的防火墙相关联的下一层防火墙中，是否包含至少一个允许对该用户终端的数据信息进行传输的防火墙，直至数据信息允许传输至与一个目标访问地址对应的终端设备，则得到连通的检测结果。

在一实施例中，如图4所示，步骤s110包括子步骤s111、s112、s113和s114。

s111、判断所述访问源地址是否包含于所述访问源地址集。

判断所述访问源地址是否包含于所述访问源地址集。具体的，访问源地址集存储有可供使用的合法地址，则可根据访问源地址集判断访问源地址是否包含于访问源地址集中，也即是判断该访问源地址是否为合法的地址信息。

s112、若所述访问源地址包含于所述访问源地址集，判断每一所述目标访问地址是否均包含于所述目标访问地址集。

若所述访问源地址包含于所述访问源地址集，判断每一所述目标访问地址是否均包含于所述目标访问地址集。若访问源地址为合法的地址信息，还需判断每一目标访问地址是否均包含于目标访问地址集中，也即是判断每一目标访问地址是否均为合法的地址信息。

s113、若每一所述目标访问地址均包含于所述目标访问地址集，得到验证通过的验证结果。

若每一所述目标访问地址均包含于所述目标访问地址集，得到验证通过的验证结果。若每一目标访问地址均为合法的地址信息，且访问源地址也为合法的地址信息，则得到验证通过的验证结果。

s114、若所述访问源地址不包含于所述访问源地址集或存在任一所述目标访问地址不包含于所述目标访问地址集，得到验证不通过的验证结果。

若所述访问源地址不包含于所述访问源地址集或存在任一所述目标访问地址不包含于所述目标访问地址集，得到验证不通过的验证结果。若访问源地址不为合法的地址信息，或任意目标访问地址不为合法的地址信息，则得到验证不通过的验证结果。

s120、若所述验证结果为通过，将所述访问源地址作为起始节点，将所述目标访问地址作为终止节点，获取防火墙网络中从所述起始节点至所述终止节点的一条最短路径作为最优传输路径。

若所述验证结果为通过，将所述访问源地址作为起始节点，将所述目标访问地址作为终止节点，获取防火墙网络中从所述起始节点至所述终止节点的一条最短路径作为最优传输路径。

在一实施例中，如图5所示，步骤s120包括子步骤s121、s122、s123、s124和s125。

s121、判断所述开墙请求信息中是否包含多个目标访问地址；s122、若所述开墙请求中只包含一个目标访问地址，将该目标访问地址确定为所述终止节点；s123、若所述开墙请求中包含多个目标访问地址，判断所述多个目标访问地址是否连续；s124、若所述多个目标访问地址连续，对所述多个目标访问地址进行合并得到地址区间，将所述地址区间作为所述终止节点；s125、若所述多个目标访问地址不连续，依次获取一个所述目标访问地址作为所述终止节点。

首先判断开墙请求信息中是否包含多个目标访问地址，其次判断多个目标访问地址是否连续，若多个目标访问地址连续，则可对连续的目标访问地址进行合并得到地址区间，以地址区间作为终止节点进行统一的开墙操作，以提高防火墙的开墙效率。若开墙请求信息中包含多个目标访问地址且不连续，则需从开墙请求信息中依次获取一个目标访问地址作为终止节点，并进行多次开墙操作。

例如，若开墙请求信息中所包含的多个目标访问地址为：10.1.1.0、10.1.1.1、10.1.1.2、10.1.1.3，则可将上述四个目标访问地址合并为“10.1.1.0-3”这一地址区间。

在一实施例中，如图6所示，步骤s120还包括子步骤s1201、s1202和s1203。

s1201、获取所述防火墙网络中从所述起始节点至所述终止节点的所有传输路径；s1202、计算每一所述传输路径中所包含的防火墙数量；s1203、将防火墙数量最少的一条传输路径确定为所述最短路径。

可获取所述防火墙网络中从所述起始节点至所述终止节点的所有传输路径，从起始节点至终止节点至少包含一条传输路径，之后计算每一所述路径中所包含的防火墙数量，并将防火墙数量最少的一条路径确定为最短路径。若防火墙数量最少的传输路径不为一条，则从多条传输路径中随机选择一条作为最短路径。例如，在实际应用过程中可采用迪杰斯特拉算法(dijkstra算法)获取最短路径，迪杰斯特拉算法是从一个顶点到其余各顶点的最短路径算法。

s130、获取预存的防火墙策略库中与所述最优传输路径相匹配的开墙策略。

获取预存的防火墙策略库中与所述最优传输路径相匹配的开墙策略。防火墙网络中所包含的每一防火墙中所配置的信息各不相同，因此不同防火墙需采用与之对应的开墙方法，例如，防火墙网络中包含部分配置为特定时段内默认放通的防火墙，也即是包含任意合法访问源地址的数据信息均可在默认时段内经该防火墙进行传输，而非默认时段则需对该防火墙进行开墙操作。防火墙策略库即为管理服务器中预先设置的数据库，防火墙数据库用于存储对防火墙网络所包含的每一防火墙进行开墙操作所对应的策略信息，根据最优传输路径中所包含的防火墙获取防火墙策略库中与该最优传输路径相匹配的开墙策略，并可根据该开墙策略进行开墙操作。

在一实施例中，如图7所示，步骤s130包括子步骤s131、s132和s133。

s131、将所述最优传输路径中所包含的防火墙确定为待开墙防火墙；s132、获取所述防火墙策略库中与每一所述待开墙防火墙相匹配的策略信息；s133、将所有所述策略信息组合为所述最优传输路径的开墙策略。

将最优传输路径中所包含的防火墙确定为待开墙防火墙，获取防火墙策略库中与每一待开墙防火墙相匹配的策略信息，并根据防火墙在最优传输路径中的顺序对策略信息排列组合，以此得到所述最优传输路径的开墙策略。其中，所述开墙策略包含策略名称，所述策略名称为所述开墙请求信息的请求单号与自增编号的组合。开墙请求信息中还包括与该请求信息对应的请求单号，为方便对所生成的开墙策略进行管理，可根据与策略信息对应的开墙请求信息生成对应的策略名称，所生成的策略名称与开墙策略唯一对应。若开墙请求信息仅对应一个开墙策略，则只需生成一个包含请求单号与自增编号的策略名称；若开墙请求信息中包含多个目标访问地址且不连续，则需进行多次开墙操作，也即是该开墙请求信息对应多个开墙策略，则需对应生成多个自增编号，并根据开墙请求信息的请求单号及多个自增编号生成对应的多个策略名称。

在一实施例中，如图8所示，步骤s133之前还包括步骤s1331和s1332。

s1331、根据当前时间及每一所述待开墙防火墙的策略信息中所配置的间隔时间生成与每一所述待开墙防火墙对应的关墙时间；s1332、将每一所述待开墙防火墙关墙时间添加至对应的所述策略信息中。

每一防火墙的策略信息中还配置有间隔时间，间隔时间也即是对防火墙进行开墙后该防火墙对开墙请求信息对应的用户终端处于开通状态的时间信息，也即是在这一间隔时间对应的时间段内，开墙请求信息对应的用户终端所发出的数据信息可经该防火墙进行传输；超过间隔时间则需将该防火墙进行关墙操作，也即是超过间隔时间后开墙请求信息对应的用户终端所发送的数据信息无法经该防火墙进行传输。

例如，间隔时间为7天，当前时间为2020-01-01；10:01:30，则所生成的关墙时间为2020-01-08；10:01:30，在到达关墙时间时对防火墙进行关墙操作。

s140、执行所述开墙策略以对所述最优传输路径中所包含的防火墙进行开墙。

执行所述开墙策略以对所述最优传输路径中所包含的防火墙进行开墙。开墙策略包含与最优传输路径中每一防火墙对应的开墙信息，则可根据开墙策略对最优传输路径中包含的防火墙进行开墙。具体的，可获取开墙请求信息中的访问源地址，并添加至防火墙中配置的允许数据信息传输的互联网协议地址中，以对该防火墙进行开墙操作，还可在所添加的访问源地址中添加对应的关墙时间。采用上述方式，可依次开通最优传输路径中所包含的防火墙。

在一实施例中，骤s140之后还包括步骤：对所述最优传输路径是否连通进行检测以得到检测结果，将所述检测结果反馈至所述用户终端。

对所述最优传输路径是否连通进行检测以得到检测结果，将所述检测结果反馈至所述用户终端。在进行开墙操作后，还可对最优传输路径是否连通进行检测，以得到对应的检测结果。依次判断最优传输路径所包含的每一个防火墙是否均允许对该用户终端的数据信息进行传输，若均允许对该用户终端的数据信息进行传输，则检测结果为连通；若至少一个防火墙不允许对该用户终端的数据信息进行传输，则检测结果为不连通，获取检测结果后反馈至该用户终端。

此外，若接收到管理员所输入的防火墙新增信息，根据所述防火墙新增信息生成新增防火墙并添加至所述防火墙网络中。管理员还可输入防火墙新增信息，以在防火墙网络中添加新增防火墙，具体的，管理员可以是管理服务器的使用者，防火墙新增信息中包含防火墙网络中与该新增防火墙直连的路径信息，这一新增防火墙的过程可不影响防火墙网络中原有的其它路径，可使管理员更加方便快捷地进行增加防火墙的操作。此外，管理员还可输入防火墙删除信息，以在防火墙网络中删除原有的防火墙，防火墙删除信息中包含与所需删除的防火墙直连的路径信息；同样的，这一删除防火墙的过程可不影响防火墙网络中原有的其它路径。

本申请中的技术方法可应用于智慧政务/智慧城管/智慧社区/智慧安防/智慧物流/智慧医疗/智慧教育/智慧环保/智慧交通等包含防火墙开墙的应用场景中，从而推动智慧城市的建设。

在本发明实施例所提供的防火墙开墙方法中，根据预存地址集信息验证来自用户终端的开墙请求信息，若验证通过，从防火墙网络中获取与开墙请求信息对应的最优传输路径，从防火墙策略库中获取对应的开墙策略并完成开墙操作。通过上述方法，可通过管理服务器直接对防火墙进行开墙操作，通过最优传输路径以减少开墙次数，且实现了开墙请求信息与开墙策略的双向绑定，可提高对防火墙进行开墙操作的准确性及效率。

本发明实施例还提供一种防火墙开墙装置，该防火墙开墙装置用于执行前述防火墙开墙方法的任一实施例。具体地，请参阅图9，图9是本发明实施例提供的防火墙开墙装置的示意性框图。该防火墙开墙装置可以配置于管理服务器10中。

如图9所示，防火墙开墙装置100包括验证结果获取单元110、最优传输路径确定单元120、开墙策略获取单元130和开墙策略执行单元140。

验证结果获取单元110，用于若接收到来自用户终端的开墙请求信息，根据预存的地址集信息对所述开墙请求信息进行验证以得到是否验证通过的验证结果，其中，所述开墙请求信息中包括一个访问源地址及至少一个目标访问地址。

在一实施例中，所述防火墙开墙装置100还包括子单元：传输路径检测单元及检测结果反馈单元。

传输路径检测单元，用于对所述防火墙网络中与所述开墙请求信息对应的传输路径是否连通进行检测以得到检测结果；检测结果反馈单元，用于若所述检测结果为连通，将所述检测结果反馈至所述用户终端。

在一实施例中，所述验证结果获取单元110包括子单元：第一判断单元、第二判断单元、第一验证结果获取单元及第二验证结果获取单元。

第一判断单元，用于判断所述访问源地址是否包含于所述访问源地址集；第二判断单元，用于若所述访问源地址包含于所述访问源地址集，判断每一所述目标访问地址是否均包含于所述目标访问地址集；第一验证结果获取单元，用于若每一所述目标访问地址均包含于所述目标访问地址集，得到验证通过的验证结果；第二验证结果获取单元，用于若所述访问源地址不包含于所述访问源地址集或存在任一所述目标访问地址不包含于所述目标访问地址集，得到验证不通过的验证结果。

最优传输路径确定单元120，用于若所述验证结果为通过，将所述访问源地址作为起始节点，将所述目标访问地址作为终止节点，获取防火墙网络中从所述起始节点至所述终止节点的一条最短路径作为最优传输路径。

在一实施例中，所述最优传输路径确定单元120包括子单元：目标访问地址判断单元、第一终止节点确定单元、连续性判断单元、第二终止节点确定单元和第三终止节点确定单元。

目标访问地址判断单元，用于判断所述开墙请求信息中是否包含多个目标访问地址；第一终止节点确定单元，用于若所述开墙请求中只包含一个目标访问地址，将该目标访问地址确定为所述终止节点；连续性判断单元，用于若所述开墙请求中包含多个目标访问地址，判断所述多个目标访问地址是否连续；第二终止节点确定单元，用于若所述多个目标访问地址连续，对所述多个目标访问地址进行合并得到地址区间，将所述地址区间作为所述终止节点；第三终止节点确定单元，用于若所述多个目标访问地址不连续，依次获取一个所述目标访问地址作为所述终止节点。

在一实施例中，所述最优传输路径确定单元120还包括子单元：传输路径获取单元、防火墙数量获取单元和最短路径确定单元。

传输路径获取单元，用于获取所述防火墙网络中从所述起始节点至所述终止节点的所有传输路径；防火墙数量获取单元，用于计算每一所述传输路径中所包含的防火墙数量；最短路径确定单元，用于将防火墙数量最少的一条传输路径确定为所述最短路径。

开墙策略获取单元130，用于获取预存的防火墙策略库中与所述最优传输路径相匹配的开墙策略。

在一实施例中，所述开墙策略获取单元130包括子单元：待开墙防火墙确定单元、策略信息获取单元和策略信息组合单元。

待开墙防火墙确定单元，用于将所述最优传输路径中所包含的防火墙确定为待开墙防火墙；策略信息获取单元，用于获取所述防火墙策略库中与每一所述待开墙防火墙相匹配的策略信息；策略信息组合单元，用于将所有所述策略信息组合为所述最优传输路径的开墙策略。

在一实施例中，所述开墙策略获取单元130还包括子单元：关墙时间生成单元及关墙时间添加单元。

关墙时间生成单元，用于根据当前时间及每一所述待开墙防火墙的策略信息中所配置的间隔时间生成与每一所述待开墙防火墙对应的关墙时间；关墙时间添加单元，用于将每一所述待开墙防火墙关墙时间添加至对应的所述策略信息中。

开墙策略执行单元140，用于执行所述开墙策略以对所述最优传输路径中所包含的防火墙进行开墙。

在一实施例中，所述防火墙开墙装置100还包括子单元：最优传输路径检测单元。

最优传输路径检测单元，用于对所述最优传输路径是否连通进行检测以得到检测结果，将所述检测结果反馈至所述用户终端。

在本发明实施例所提供的防火墙开墙装置应用上述防火墙开墙方法，根据预存地址集信息验证来自用户终端的开墙请求信息，若验证通过，从防火墙网络中获取与开墙请求信息对应的最优传输路径，从防火墙策略库中获取对应的开墙策略并完成开墙操作。通过上述方法，可通过管理服务器直接对防火墙进行开墙操作，通过最优传输路径以减少开墙次数，且实现了开墙请求信息与开墙策略的双向绑定，可提高对防火墙进行开墙操作的准确性及效率。

上述防火墙开墙装置可以实现为计算机程序的形式，该计算机程序可以在如图10所示的计算机设备上运行。

请参阅图10，图10是本发明实施例提供的计算机设备的示意性框图。

参阅图10，该计算机设备500包括通过系统总线501连接的处理器502、存储器和网络接口505，其中，存储器可以包括非易失性存储介质503和内存储器504。

该非易失性存储介质503可存储操作系统5031和计算机程序5032。该计算机程序5032被执行时，可使得处理器502执行防火墙开墙方法。

该处理器502用于提供计算和控制能力，支撑整个计算机设备500的运行。

该内存储器504为非易失性存储介质503中的计算机程序5032的运行提供环境，该计算机程序5032被处理器502执行时，可使得处理器502执行防火墙开墙方法。

该网络接口505用于进行网络通信，如提供数据信息的传输等。本领域技术人员可以理解，图10中示出的结构，仅仅是与本发明方案相关的部分结构的框图，并不构成对本发明方案所应用于其上的计算机设备500的限定，具体的计算机设备500可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

其中，所述处理器502用于运行存储在存储器中的计算机程序5032，以实现如下功能：若接收到来自用户终端的开墙请求信息，根据预存的地址集信息对所述开墙请求信息进行验证以得到是否验证通过的验证结果，其中，所述开墙请求信息中包括一个访问源地址及至少一个目标访问地址；若所述验证结果为通过，将所述访问源地址作为起始节点，将所述目标访问地址作为终止节点，获取防火墙网络中从所述起始节点至所述终止节点的一条最短路径作为最优传输路径；获取预存的防火墙策略库中与所述最优传输路径相匹配的开墙策略；执行所述开墙策略以对所述最优传输路径中所包含的防火墙进行开墙。

在一实施例中，处理器502在执行根据预存的地址集信息对所述开墙请求信息进行验证以得到是否验证通过的验证结果的步骤之前，还执行如下操作：对所述防火墙网络中与所述开墙请求信息对应的传输路径是否连通进行检测以得到检测结果；若所述检测结果为连通，将所述检测结果反馈至所述用户终端；若所述检测结果为不连通，执行所述根据预存的地址集信息对所述开墙请求信息进行验证以得到是否验证通过的验证结果的步骤。

在一实施例中，处理器502在执行根据预存的地址集信息对所述开墙请求信息进行验证以得到是否验证通过的验证结果的步骤时，执行如下操作：判断所述访问源地址是否包含于所述访问源地址集；若所述访问源地址包含于所述访问源地址集，判断每一所述目标访问地址是否均包含于所述目标访问地址集；若每一所述目标访问地址均包含于所述目标访问地址集，得到验证通过的验证结果；若所述访问源地址不包含于所述访问源地址集或存在任一所述目标访问地址不包含于所述目标访问地址集，得到验证不通过的验证结果。

在一实施例中，处理器502在执行将所述目标访问地址作为终止节点的步骤时，执行如下操作：判断所述开墙请求信息中是否包含多个目标访问地址；若所述开墙请求中只包含一个目标访问地址，将该目标访问地址确定为所述终止节点；若所述开墙请求中包含多个目标访问地址，判断所述多个目标访问地址是否连续；若所述多个目标访问地址连续，对所述多个目标访问地址进行合并得到地址区间，将所述地址区间作为所述终止节点；若所述多个目标访问地址不连续，依次获取一个所述目标访问地址作为所述终止节点。

在一实施例中，处理器502在执行获取防火墙网络中从所述起始节点至所述终止节点的一条最短路径作为最优传输路径的步骤时，执行如下操作：获取所述防火墙网络中从所述起始节点至所述终止节点的所有传输路径；计算每一所述传输路径中所包含的防火墙数量；将防火墙数量最少的一条传输路径确定为所述最短路径。

在一实施例中，处理器502在执行获取预存的防火墙策略库中与所述最优传输路径相匹配的开墙策略的步骤时，执行如下操作：将所述最优传输路径中所包含的防火墙确定为待开墙防火墙；获取所述防火墙策略库中与每一所述待开墙防火墙相匹配的策略信息；将所有所述策略信息组合为所述最优传输路径的开墙策略。

在一实施例中，处理器502在执行将所有所述策略信息组合为所述最优传输路径的开墙策略的步骤之前，还执行如下操作：根据当前时间及每一所述待开墙防火墙的策略信息中所配置的间隔时间生成与每一所述待开墙防火墙对应的关墙时间；将每一所述待开墙防火墙关墙时间添加至对应的所述策略信息中。

本领域技术人员可以理解，图10中示出的计算机设备的实施例并不构成对计算机设备具体构成的限定，在其他实施例中，计算机设备可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。例如，在一些实施例中，计算机设备可以仅包括存储器及处理器，在这样的实施例中，存储器及处理器的结构及功能与图10所示实施例一致，在此不再赘述。

应当理解，在本发明实施例中，处理器502可以是中央处理单元(centralprocessingunit，cpu)，该处理器502还可以是其他通用处理器、数字信号处理器(digitalsignalprocessor，dsp)、专用集成电路(applicationspecificintegratedcircuit，asic)、现成可编程门阵列(field-programmablegatearray，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。其中，通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

在本发明的另一实施例中提供计算机可读存储介质。该计算机可读存储介质可以为非易失性的计算机可读存储介质。该计算机可读存储介质存储有计算机程序，其中计算机程序被处理器执行时实现以下步骤：若接收到来自用户终端的开墙请求信息，根据预存的地址集信息对所述开墙请求信息进行验证以得到是否验证通过的验证结果，其中，所述开墙请求信息中包括一个访问源地址及至少一个目标访问地址；若所述验证结果为通过，将所述访问源地址作为起始节点，将所述目标访问地址作为终止节点，获取防火墙网络中从所述起始节点至所述终止节点的一条最短路径作为最优传输路径；获取预存的防火墙策略库中与所述最优传输路径相匹配的开墙策略；执行所述开墙策略以对所述最优传输路径中所包含的防火墙进行开墙。

在一实施例中，所述根据预存的地址集信息对所述开墙请求信息进行验证以得到是否验证通过的验证结果的步骤之前，还包括：对所述防火墙网络中与所述开墙请求信息对应的传输路径是否连通进行检测以得到检测结果；若所述检测结果为连通，将所述检测结果反馈至所述用户终端；若所述检测结果为不连通，执行所述根据预存的地址集信息对所述开墙请求信息进行验证以得到是否验证通过的验证结果的步骤。

在一实施例中，所述根据预存的地址集信息对所述开墙请求信息进行验证以得到是否验证通过的验证结果的步骤，包括：判断所述访问源地址是否包含于所述访问源地址集；若所述访问源地址包含于所述访问源地址集，判断每一所述目标访问地址是否均包含于所述目标访问地址集；若每一所述目标访问地址均包含于所述目标访问地址集，得到验证通过的验证结果；若所述访问源地址不包含于所述访问源地址集或存在任一所述目标访问地址不包含于所述目标访问地址集，得到验证不通过的验证结果。

在一实施例中，所述将所述目标访问地址作为终止节点的步骤，包括：判断所述开墙请求信息中是否包含多个目标访问地址；若所述开墙请求中只包含一个目标访问地址，将该目标访问地址确定为所述终止节点；若所述开墙请求中包含多个目标访问地址，判断所述多个目标访问地址是否连续；若所述多个目标访问地址连续，对所述多个目标访问地址进行合并得到地址区间，将所述地址区间作为所述终止节点；若所述多个目标访问地址不连续，依次获取一个所述目标访问地址作为所述终止节点。

在一实施例中，所述获取防火墙网络中从所述起始节点至所述终止节点的一条最短路径作为最优传输路径的步骤，包括：获取所述防火墙网络中从所述起始节点至所述终止节点的所有传输路径；计算每一所述传输路径中所包含的防火墙数量；将防火墙数量最少的一条传输路径确定为所述最短路径。

在一实施例中，所述获取预存的防火墙策略库中与所述最优传输路径相匹配的开墙策略的步骤，包括：将所述最优传输路径中所包含的防火墙确定为待开墙防火墙；获取所述防火墙策略库中与每一所述待开墙防火墙相匹配的策略信息；将所有所述策略信息组合为所述最优传输路径的开墙策略。

在一实施例中，所述将所有所述策略信息组合为所述最优传输路径的开墙策略的步骤之前，还包括：根据当前时间及每一所述待开墙防火墙的策略信息中所配置的间隔时间生成与每一所述待开墙防火墙对应的关墙时间；将每一所述待开墙防火墙关墙时间添加至对应的所述策略信息中。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的设备、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

在本发明所提供的几个实施例中，应该理解到，所揭露的设备、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为逻辑功能划分，实际实现时可以有另外的划分方式，也可以将具有相同功能的单元集合成一个单元，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接，也可以是电的，机械的或其它的形式连接。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分，或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个计算机可读存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的计算机可读存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。