防火墙策略变更方法、装置、计算机设备和存储介质与流程

1.本技术涉及信息安全技术领域，特别是涉及一种防火墙策略变更方法、装置、计算机设备、存储介质和计算机程序产品。


背景技术：

2.随着信息技术的发展，防火墙作为网络传输层面中重要的网络资源访问权限控制设备，在内部局域网中应用越来越广泛，随着信息系统规模越来越大，局域网中部署的服务器设备数量规模也越来越庞大，随之对于服务器所提供的服务进行访问控制的防火墙策略也越来越多。
3.在进行防火墙策略运维管理的过程中，通常会通过内部的变更管理系统提交防火墙变更单，防火墙变更单审批通过后，再由网络专业的人员通过手工或者自动化的方式登录到网络防火墙硬件设备，将需要开通的防火墙策略维护到防火墙硬件设备中，完成整个防火墙开通的过程。
4.但在防火墙开通的过程中，为了控制访问权限，通常会对防火墙的源地址ip、目的地址ip、端口、开通时间等进行范围控制，而随着访问源设备的不同或者服务器ip/域名地址的变更等，防火墙策略需要经常进行补充。
5.传统技术中，网络变更维护人员会通过一事一议的方式进行防火墙策略变更，由此产生防火墙策略冗余的情况，因为在提交防火墙变更申请单时，都是针对本次需要新补充开通的防火墙策略进行申请，随着每次的防火墙变更申请提交，防火墙策略也越来越多，但防火墙设备中无法对防火墙策略进行整合，导致防火墙设备中的防火墙策略冗余较大。


技术实现要素：

6.基于此，有必要针对上述技术问题，提供一种防火墙策略变更方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。
7.第一方面，本技术提供了一种防火墙策略变更方法。所述方法包括：
8.获取包含目的地址的防火墙策略变更信息；
9.根据目的地址，获取当前防火墙设备中的待变更防火墙策略；待变更防火墙策略为包含目的地址的防火墙策略；
10.将防火墙策略变更信息和待变更防火墙策略进行组合，得到待变更防火墙策略对应的目标防火墙策略；目标防火墙策略包括每个目的地址对应的防火墙策略；每个目的地址对应的防火墙策略由包含的目的地址相同的防火墙策略组成；
11.将待变更防火墙策略对应的目标防火墙策略发送至当前防火墙设备，使得当前防火墙设备将待变更防火墙策略更新为对应的目标防火墙策略。
12.在其中一个实施例中，获取包含目的地址的防火墙策略变更信息，包括：
13.获取待预处理防火墙策略变更信息；各待预处理防火墙策略变更信息包含多个目的地址；
14.对待预处理防火墙策略变更信息进行目的地址拆分处理，得到防火墙策略变更信息；各防火墙策略变更信息对应一个目的地址。
15.在其中一个实施例中，将防火墙策略变更信息和待变更防火墙策略进行组合，得到待变更防火墙策略对应的目标防火墙策略，包括：
16.根据各防火墙策略变更信息中包含的目的地址，从待变更防火墙策略中，确定出各防火墙策略变更信息对应的目标待变更防火墙策略；
17.将各防火墙策略变更信息与目标待变更防火墙策略进行组合，得到各目标待变更防火墙策略对应的目标防火墙策略；各目标防火墙策略对应一个目的地址。
18.在其中一个实施例中，将各防火墙策略变更信息与目标待变更防火墙策略进行组合，得到各目标待变更防火墙策略对应的目标防火墙策略，包括：
19.将各防火墙策略变更信息与目标待变更防火墙策略进行合并，得到各目标待变更防火墙策略对应的待处理目标防火墙策略；
20.对待处理目标防火墙策略中包含的各类型信息进行冗余信息去除处理，得到目标防火墙策略。
21.在其中一个实施例中，对待处理目标防火墙策略中包含的各类型信息进行冗余信息去除处理，得到目标防火墙策略，包括：
22.去除待处理目标防火墙策略中包含的生效时间范围限制信息，并对待处理目标防火墙策略中包含的各类型信息进行冗余信息去除处理，得到目标防火墙策略。
23.在其中一个实施例中，方法还包括：
24.接收当前防火墙设备的更新实施结果；
25.若更新实施结果为失败，则将更新实施信息发送至维护人员终端。
26.在其中一个实施例中，方法还包括：
27.按预设时间周期检测当前防火墙设备中各防火墙策略中包含的生效时间范围限制信息是否满足期限条件；
28.将当前防火墙设备中不满足期限条件的防火墙策略删除。
29.第二方面，本技术还提供了一种防火墙策略变更装置。所述装置包括：
30.防火墙策略变更信息获取模块，用于获取包含目的地址的防火墙策略变更信息；
31.待变更防火墙策略获取模块，用于根据所述目的地址，获取当前防火墙设备中的待变更防火墙策略；所述待变更防火墙策略为包含所述目的地址的防火墙策略；
32.目标防火墙策略得到模块，用于将所述防火墙策略变更信息和所述待变更防火墙策略进行组合，得到所述待变更防火墙策略对应的目标防火墙策略；所述目标防火墙策略包括每个目的地址对应的防火墙策略；所述每个目的地址对应的防火墙策略由包含的目的地址相同的防火墙策略组成；
33.目标防火墙策略发送模块，用于将所述待变更防火墙策略对应的目标防火墙策略发送至所述当前防火墙设备，使得所述当前防火墙设备将所述待变更防火墙策略更新为对应的目标防火墙策略。
34.第三方面，本技术还提供了一种计算机设备。所述计算机设备包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现以下步骤：
35.获取包含目的地址的防火墙策略变更信息；根据目的地址，获取当前防火墙设备
中的待变更防火墙策略；待变更防火墙策略为包含目的地址的防火墙策略；将防火墙策略变更信息和待变更防火墙策略进行组合，得到待变更防火墙策略对应的目标防火墙策略；目标防火墙策略包括每个目的地址对应的防火墙策略；每个目的地址对应的防火墙策略由包含的目的地址相同的防火墙策略组成；将待变更防火墙策略对应的目标防火墙策略发送至当前防火墙设备，使得当前防火墙设备将待变更防火墙策略更新为对应的目标防火墙策略。
36.第四方面，本技术还提供了一种计算机可读存储介质。所述计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现以下步骤：
37.获取包含目的地址的防火墙策略变更信息；根据目的地址，获取当前防火墙设备中的待变更防火墙策略；待变更防火墙策略为包含目的地址的防火墙策略；将防火墙策略变更信息和待变更防火墙策略进行组合，得到待变更防火墙策略对应的目标防火墙策略；目标防火墙策略包括每个目的地址对应的防火墙策略；每个目的地址对应的防火墙策略由包含的目的地址相同的防火墙策略组成；将待变更防火墙策略对应的目标防火墙策略发送至当前防火墙设备，使得当前防火墙设备将待变更防火墙策略更新为对应的目标防火墙策略。
38.第五方面，本技术还提供了一种计算机程序产品。所述计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现以下步骤：
39.获取包含目的地址的防火墙策略变更信息；根据目的地址，获取当前防火墙设备中的待变更防火墙策略；待变更防火墙策略为包含目的地址的防火墙策略；将防火墙策略变更信息和待变更防火墙策略进行组合，得到待变更防火墙策略对应的目标防火墙策略；目标防火墙策略包括每个目的地址对应的防火墙策略；每个目的地址对应的防火墙策略由包含的目的地址相同的防火墙策略组成；将待变更防火墙策略对应的目标防火墙策略发送至当前防火墙设备，使得当前防火墙设备将待变更防火墙策略更新为对应的目标防火墙策略。
40.上述防火墙策略变更方法、装置、计算机设备、存储介质和计算机程序产品，获取包含目的地址的防火墙策略变更信息，根据目的地址，获取当前防火墙设备中的待变更防火墙策略，待变更防火墙策略为包含目的地址的防火墙策略，将防火墙策略变更信息和待变更防火墙策略进行组合，得到待变更防火墙策略对应的目标防火墙策略，目标防火墙策略包括每个目的地址对应的防火墙策略，每个目的地址对应的防火墙策略由包含的目的地址相同的防火墙策略组成，将待变更防火墙策略对应的目标防火墙策略发送至当前防火墙设备，使得当前防火墙设备将待变更防火墙策略更新为对应的目标防火墙策略。该方案获取包含目的地址ip的防火墙策略变更信息，根据目的地址ip，发送指令至当前防火墙设备，以使当前防火墙设备反馈预先存储的包含该目的地址ip的待变更防火墙策略，接收该待变更防火墙策略，将防火墙策略变更信息和待变更防火墙策略进行组合，得到待变更防火墙策略对应的目标防火墙策略，其中每条目标防火墙策略可以是只对应一个目的地址，即针对每一目的地址只有一条防火墙策略与之对应，将目标防火墙策略发送至当前防火墙设备，使得当前防火墙设备将待变更防火墙策略替换为目标防火墙策略，从而减少防火墙设备中的防火墙策略冗余，且可自动对目的地址相关防火墙策略进行归集管理，减少防火墙设备的资源浪费，并减少维护人员对防火墙策略的维护工作量，提高防火墙策略的管理效
率。
附图说明
41.图1为一个实施例中防火墙策略变更方法的流程示意图；
42.图2为一个实施例中获取包含目的地址的防火墙策略变更信息步骤的流程示意图；
43.图3为一个实施例中得到待变更防火墙策略对应的目标防火墙策略步骤的流程示意图；
44.图4为一个实施例中得到目标防火墙策略步骤的流程示意图；
45.图5为一个实施例中防火墙策略变更装置的结构框图；
46.图6为一个实施例中计算机设备的内部结构图。
具体实施方式
47.为了使本技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本技术进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本技术，并不用于限定本技术。
48.在一个实施例中，如图1所示，提供了一种防火墙策略变更方法，本实施例以该方法应用于终端或服务器进行举例说明，包括以下步骤：
49.步骤s101，获取包含目的地址的防火墙策略变更信息。
50.本步骤中，目的地址可以是指目的地址ip；防火墙策略变更信息可以是指用户提交的防火墙策略变更申请中的信息，例如需要变更的防火墙策略变更内容，其中可包括用户输入的源地址名称、源地址ip、目的地址名称、目的地址ip、服务类型、端口、类型和/或时间范围(时间范围可以是生效时间范围限制信息)。
51.具体的，获取用户输入的防火墙策略变更策略申请表，从中获取防火墙策略变更信息，其中防火墙策略变更信息已包含目的地址ip。
52.步骤s102，根据目的地址，获取当前防火墙设备中的待变更防火墙策略。
53.本步骤中，待变更防火墙策略为包含目的地址的防火墙策略，待变更防火墙策略可以是当前防火墙设备中预先存储的部分防火墙策略；当前防火墙设备可以是防火墙硬件设备。
54.具体的，根据防火墙策略变更信息中的目的地址ip，发送携带该目的地址ip的防火墙策略提取指令至当前防火墙设备，接收当前防火墙设备反馈的待变更防火墙策略。
55.步骤s103，将防火墙策略变更信息和待变更防火墙策略进行组合，得到待变更防火墙策略对应的目标防火墙策略。
56.本步骤中，目标防火墙策略包括每个目的地址对应的防火墙策略；每个目的地址对应的防火墙策略由包含的目的地址相同的防火墙策略组成。
57.具体的，将防火墙策略变更信息和待变更防火墙策略进行组合，使得每条目标防火墙策略可以是只对应一个目的地址ip，即针对每一目的地址ip只有一条防火墙策略与该目的地址ip对应，得到待变更防火墙策略对应的目标防火墙策略。
58.步骤s104，将待变更防火墙策略对应的目标防火墙策略发送至当前防火墙设备，
使得当前防火墙设备将待变更防火墙策略更新为对应的目标防火墙策略。
59.具体的，将待变更防火墙策略对应的目标防火墙策略发送至当前防火墙设备，以使当前防火墙设备将当前防火墙设备中存储的待变更防火墙策略替换为目标防火墙策略。
60.上述防火墙策略变更方法中，获取包含目的地址的防火墙策略变更信息，根据目的地址，获取当前防火墙设备中的待变更防火墙策略，待变更防火墙策略为包含目的地址的防火墙策略，将防火墙策略变更信息和待变更防火墙策略进行组合，得到待变更防火墙策略对应的目标防火墙策略，目标防火墙策略包括每个目的地址对应的防火墙策略，每个目的地址对应的防火墙策略由包含的目的地址相同的防火墙策略组成，将待变更防火墙策略对应的目标防火墙策略发送至当前防火墙设备，使得当前防火墙设备将待变更防火墙策略更新为对应的目标防火墙策略。该方案获取包含目的地址ip的防火墙策略变更信息，根据目的地址ip，发送指令至当前防火墙设备，以使当前防火墙设备反馈预先存储的包含该目的地址ip的待变更防火墙策略，接收该待变更防火墙策略，将防火墙策略变更信息和待变更防火墙策略进行组合，得到待变更防火墙策略对应的目标防火墙策略，其中每条目标防火墙策略可以是只对应一个目的地址，即针对每一目的地址只有一条防火墙策略与之对应，将目标防火墙策略发送至当前防火墙设备，使得当前防火墙设备将待变更防火墙策略替换为目标防火墙策略，从而减少防火墙设备中的防火墙策略冗余，且可自动对目的地址相关防火墙策略进行归集管理，减少防火墙设备的资源浪费，并减少维护人员对防火墙策略的维护工作量，提高防火墙策略的管理效率。
61.在一个实施例中，如图2所示，上述步骤s101的获取包含目的地址的防火墙策略变更信息具体包括：步骤s201，获取待预处理防火墙策略变更信息；步骤s202，对待预处理防火墙策略变更信息进行目的地址拆分处理，得到防火墙策略变更信息。
62.本实施例中，如图2所示，各待预处理防火墙策略变更信息包含一个或多个目的地址；各防火墙策略变更信息对应一个目的地址。
63.具体的，通过防火墙变更单维护模块获取用户输入的防火墙策略变更策略申请表(防火墙策略变更策略申请表中包含变更单号、源地址名称、源地址ip、目的地址名称、目的地址ip、服务类型、端口、类型和时间范围)，如下表1所示：
64.表1
[0065][0066]
通过防火墙策略提取处理模块对待实施的新增防火墙变更单(表1)中的信息进行提取，得到待预处理防火墙策略变更信息，按照目标服务器ip地址(目的地址ip)的维度，对新的防火墙策略(待预处理防火墙策略变更信息)进行分类处理，形成目标新增防火墙变更策略信息(防火墙策略变更信息)，例如，变更单中的各待预处理防火墙策略变更信息中有多个目的地址ip的，将每条策略(各待预处理防火墙策略变更信息)拆分成多条策略(待预处理防火墙策略变更信息)，每条策略对应一个目的地址ip，变更单中的各待预处理防火墙策略变更信息中的目的地址ip有重复的，则将源地址ip进行合并，得到防火墙策略变更信息，示例性的，防火墙策略变更信息可如下表2所示：
[0067]
表2
[0068][0069]
表1中的待预处理防火墙策略变更信息，经过防火墙策略提取处理模块进行提取分类后，生成如表2内容的防火墙策略变更信息，其中，变更单号为a20220214000000164的策略拆分处理后生成三条策略信息，变更单号为a20220214000000146和a20220211000000013进行合并处理后生成一条策略信息。
[0070]
本实施例的技术方案，通过对待预处理防火墙策略变更信息进行目的地址拆分处理，得到防火墙策略变更信息，从而使得各防火墙策略变更信息对应一个目的地址，即针对每一目的地址只有一条防火墙策略与之对应，从而有利于后续可自动对目的地址相关防火墙策略进行归集管理，减少防火墙策略冗余，提高防火墙策略的管理效率。
[0071]
在一个实施例中，如图3所示，上述步骤s103的将防火墙策略变更信息和待变更防火墙策略进行组合，得到待变更防火墙策略对应的目标防火墙策略具体包括：步骤s301，根据各防火墙策略变更信息中包含的目的地址，从待变更防火墙策略中，确定出各防火墙策略变更信息对应的目标待变更防火墙策略；步骤s302，将各防火墙策略变更信息与目标待变更防火墙策略进行组合，得到各目标待变更防火墙策略对应的目标防火墙策略。
[0072]
本实施例中，如图3所示，各目标防火墙策略对应一个目的地址。
[0073]
具体的，当某条待变更防火墙策略01中存在对应多个目的地址ip的，可先将该条待变更防火墙策略01拆分成多条待变更防火墙策略，使得多条待变更防火墙策略仅对应以一个目的地址ip，也就是将多个目的地址ip拆分各个目的地址ip，而每条拆分得到的待变更防火墙策略与该条待变更防火墙策略01中除了目的地址ip以外的各类型信息(源地址名称、源地址ip、目的地址名称、服务类型、端口、类型和/或时间范围)一致。根据各防火墙策略变更信息中包含的目的地址ip，从待变更防火墙策略中，确定出各防火墙策略变更信息对应的目标待变更防火墙策略(即目的地址ip相同的待变更防火墙策略)，将各防火墙策略变更信息与目标待变更防火墙策略进行组合，得到各目标待变更防火墙策略对应的目标防火墙策略，即得到针对每一目的地址ip只有一条防火墙策略与之对应的目标防火墙策略。
[0074]
本实施例的技术方案，通过将各防火墙策略变更信息与目标待变更防火墙策略进行组合，得到各目标待变更防火墙策略对应的目标防火墙策略，从而使得各防火墙策略变更信息对应一个目的地址，即针对每一目的地址只有一条防火墙策略与之对应，有利于自动对目的地址相关防火墙策略进行归集管理，减少防火墙策略冗余，提高防火墙策略的管理效率。
[0075]
在一个实施例中，如图4所示，上述方法还可以通过如下步骤得到目标防火墙策略，具体包括：步骤s401，将各防火墙策略变更信息与目标待变更防火墙策略进行合并，得到各目标待变更防火墙策略对应的待处理目标防火墙策略；步骤s402，对待处理目标防火墙策略中包含的各类型信息进行冗余信息去除处理，得到目标防火墙策略。
[0076]
本实施例中，冗余信息去除处理可以是指删除重复的信息的处理。
[0077]
具体的，通过防火墙策略分析生成模块将各防火墙策略变更信息与目标待变更防火墙策略进行合并，在各类型信息(包括源地址ip和端口，另外也可以包括源地址名称、目的地址名称、服务类型和/或类型)上去除冗余的变更内容，得到目标防火墙策略。例如，根据表2中的目的地址ip，提取的当前防火墙设备上已有的防火墙策略(待变更防火墙策略)如下表3所示：
[0078]
表3
[0079][0080]
得到的目标防火墙策略如下表4所示：
[0081]
表4
[0082][0083]
其中，表2第一行策略对应的目的地址ip是83.28.33.230，在当前防火墙设备中对应编号1的策略(表3)，两条策略的端口一致，防火墙策略变更信息中的源地址ip82.220.221.*包含当前防火墙设备中的82.220.221.20-100，两条策略去除冗余增加新的变更后，源地址ip内容变为“82.220.221.*；84.21.211.*；”，即为表4中第一行数据的生成逻辑；同理，目的地址ip是83.28.222.96在表2和表3中的源地址ip不同、端口也有区别，去除冗余合并后，源地址ip内容变为“82.220.221.*；84.21.211.*；”，端口变为“80；443；8080；9080”，即为表4中第二行数据的生成逻辑；表2中的第三行目的地址ip是83.224.53.44，在当前防火墙设备上没有找到该目的地址ip的策略，则直接新增即可，对应表4中第三行数据；表2中的第4行目的地址ip是83.3.19.59，在当前防火墙设备中对应编号3的策略(表3)，端口不变，去除冗余进行合并后，源地址ip变为“83.28.190.*；83.21.238.63；83.21.238.64；83.21.238.84；83.21.211.60；83.21.33.110；83.21.33.111”，即为表4中第4行数据的生成逻辑。
[0084]
本实施例的技术方案，通过对待处理目标防火墙策略中包含的各类型信息进行冗余信息去除处理，得到目标防火墙策略，从而减少防火墙设备中的防火墙策略冗余，且可自动对目的地址相关防火墙策略进行归集管理，减少防火墙设备的资源浪费，并减少维护人员对防火墙策略的维护工作量，提高防火墙策略的管理效率。
[0085]
在一个实施例中，上述方法还可以通过如下步骤得到目标防火墙策略，具体包括：去除待处理目标防火墙策略中包含的生效时间范围限制信息，并对待处理目标防火墙策略中包含的各类型信息进行冗余信息去除处理，得到目标防火墙策略。
[0086]
本实施例中，生效时间范围限制信息可以是指时间范围，即防火墙策略的生效时间范围。
[0087]
具体的，去除待处理目标防火墙策略中包含的生效时间范围限制信息(也可以是
只去除防火墙策略变更信息中对应的生效时间范围限制信息)，并对待处理目标防火墙策略中包含的各类型信息进行冗余信息去除处理，得到目标防火墙策略。
[0088]
本实施例的技术方案，通过去除待处理目标防火墙策略中包含的生效时间范围限制信息，从而使得目标防火墙策略为永久生效的防火墙策略，减少维护人员对防火墙策略的维护工作量，提高防火墙策略的管理效率。
[0089]
在一个实施例中，上述方法还可以通过如下步骤将更新实施信息发送至维护人员终端，具体包括：接收当前防火墙设备的更新实施结果；若更新实施结果为失败，则将更新实施信息发送至维护人员终端。
[0090]
本实施例中，更新实施信息可以是变更方案及失败原因，变更方案可以是防火墙策略变更信息、待变更防火墙策略和/或目标防火墙策略。
[0091]
具体的，可通过防火墙策略实施模块将目标防火墙策略推送到当前防火墙设备，以使当前防火墙设备将当前防火墙设备中存储的待变更防火墙策略替换为对应的目标防火墙策略，保证针对每一个目的地址ip只有一条策略与其对应，并接收防火墙实施结果，当实施失败时，重新进行调用，多次调用仍然失败时，对变更方案及失败原因进行采集后，发送给网络设备维护人员的终端(维护人员终端)进行处理。
[0092]
示例性的，还可通过失效防火墙策略分析模块定时对当前防火墙设备中当前生效中的防火墙策略进行分析，抓取出已经到期的防火墙策略信息，调用防火墙策略分析生成模块，形成新的防火墙策略方案。具体的，由于防火墙策略提取处理和分析模块中，为了简化处理，使防火墙策略数据更易管理，将管理要求中的生效时间(生效时间范围限制信息)去掉，在当前防火墙设备中均为实时的永久生效的策略，为了满足管理要求和控制风险，该模块每天对生效中的防火墙策略进行分析，将到期部分的防火墙策略删除形成新的防火墙策略，再通过防火墙策略实施模块进行实施，例如表1中的第1条策略如下表5所示：
[0093]
表5
[0094][0095]
其中，到期时间为2023年2月14日，当2023年2月15日模块检测到该条防火墙策略已到期，则从当前防火墙设备上提取目的地址ip是83.28.33.230、83.28.222.96和83.224.53.44的策略，去除该条策略中的开通范围后，生成新的防火墙策略，再由防火墙策略实施模块推送到当前防火墙设备，完成到期防火墙策略的删除。另外，还可通过防火墙策略生成导出模块为用户提供制定ip地址服务器所有防火墙策略的导出服务，当某个服务器ip地址发生改变时，通过该模块可以支持用户选择作废原有ip所有的防火墙策略，开通新的ip地址所有防火墙策略等功能。
[0096]
本实施例的技术方案，能够提高防火墙策略变更的成功率，并能够解决现有的在内部局域网管理过程中，针对低风险端口使用防火墙硬件设备进行网络资源访问控制时，由于防护墙变更策略增量开通导致的防火墙策略冗余堆积及用户手工续提工作量大的问题，且在开通防火墙策略时，自动对需变更的目的地址ip相关防火墙策略进行归集管理，对
全量的防火墙策略进行智能分析，最后形成目的地址ip全量的新防火墙变更策略，实现在当前防火墙设备中，每个服务器只有一条目的地址ip为自己的变更策略，并且将相关的变更策略推送到防火墙硬件设备(当前防火墙设备)中进行实施，关闭旧的防火墙策略，整个过程对用户透明，从而规避了原先防火墙策略冗余堆积的问题，极大节约防火墙硬件设备资源及维护人员对防火墙策略的维护工作量，提高防火墙策略的管理效率。
[0097]
在一个实施例中，上述方法还可以通过如下步骤将当前防火墙设备中不满足期限条件的防火墙策略删除，具体包括：按预设时间周期检测当前防火墙设备中各防火墙策略中包含的生效时间范围限制信息是否满足期限条件；将当前防火墙设备中不满足期限条件的防火墙策略删除。
[0098]
本实施例中，预设时间周期可以是每天(每24小时)；期限条件可以是当前时间还在生效时间范围内，即防火墙策略中包含的生效时间范围限制信息还没有到期或超期。
[0099]
具体的，每天对当前防火墙设备中生效中的防火墙策略进行检测和分析，将到期部分的防火墙策略删除形成新的防火墙策略。
[0100]
应该理解的是，虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
[0101]
基于同样的发明构思，本技术实施例还提供了一种用于实现上述所涉及的防火墙策略变更方法的防火墙策略变更装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似，故下面所提供的一个或多个防火墙策略变更装置实施例中的具体限定可以参见上文中对于防火墙策略变更方法的限定，在此不再赘述。
[0102]
在一个实施例中，如图5所示，提供了一种防火墙策略变更装置，该装置500可以包括：
[0103]
防火墙策略变更信息获取模块501，用于获取包含目的地址的防火墙策略变更信息；
[0104]
待变更防火墙策略获取模块502，用于根据所述目的地址，获取当前防火墙设备中的待变更防火墙策略；所述待变更防火墙策略为包含所述目的地址的防火墙策略；
[0105]
目标防火墙策略得到模块503，用于将所述防火墙策略变更信息和所述待变更防火墙策略进行组合，得到所述待变更防火墙策略对应的目标防火墙策略；所述目标防火墙策略包括每个目的地址对应的防火墙策略；所述每个目的地址对应的防火墙策略由包含的目的地址相同的防火墙策略组成；
[0106]
目标防火墙策略发送模块504，用于将所述待变更防火墙策略对应的目标防火墙策略发送至所述当前防火墙设备，使得所述当前防火墙设备将所述待变更防火墙策略更新为对应的目标防火墙策略。
[0107]
在一个实施例中，防火墙策略变更信息获取模块501，还用于获取待预处理防火墙策略变更信息；各待预处理防火墙策略变更信息包含多个目的地址；对所述待预处理防火
墙策略变更信息进行目的地址拆分处理，得到所述防火墙策略变更信息；各防火墙策略变更信息对应一个目的地址。
[0108]
在一个实施例中，目标防火墙策略得到模块503，还用于获取待预处理防火墙策略变更信息；各待预处理防火墙策略变更信息包含多个目的地址；对所述待预处理防火墙策略变更信息进行目的地址拆分处理，得到所述防火墙策略变更信息；各防火墙策略变更信息对应一个目的地址。
[0109]
在一个实施例中，目标防火墙策略得到模块503，还用于将所述各防火墙策略变更信息与所述目标待变更防火墙策略进行合并，得到各目标待变更防火墙策略对应的待处理目标防火墙策略；对所述待处理目标防火墙策略中包含的各类型信息进行冗余信息去除处理，得到所述目标防火墙策略。
[0110]
在一个实施例中，目标防火墙策略得到模块503，还用于去除所述待处理目标防火墙策略中包含的生效时间范围限制信息，并对所述待处理目标防火墙策略中包含的各类型信息进行所述冗余信息去除处理，得到所述目标防火墙策略。
[0111]
在一个实施例中，该装置500还包括：更新实施信息发送模块，用于接收所述当前防火墙设备的更新实施结果；若所述更新实施结果为失败，则将更新实施信息发送至维护人员终端。
[0112]
在一个实施例中，该装置500还包括：防火墙策略删除模块，用于按预设时间周期检测当前防火墙设备中各防火墙策略中包含的生效时间范围限制信息是否满足期限条件；将当前防火墙设备中不满足期限条件的防火墙策略删除。
[0113]
上述防火墙策略变更装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
[0114]
需要说明的是，本技术提供的防火墙策略变更的方法和装置可用于金融领域涉及防火墙策略变更的应用领域中，也可用于除金融领域之外的任意领域涉及防火墙策略变更的处理中，本技术提供的防火墙策略变更的方法和装置的应用领域不做限定。
[0115]
在一个实施例中，提供了一种计算机设备，该计算机设备可以是终端，其内部结构图可以如图6所示。该计算机设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信，无线方式可通过wifi、移动蜂窝网络、nfc(近场通信)或其他技术实现。该计算机设备还包括输入输出接口，输入输出接口是处理器与外部设备之间交换信息的连接电路，它们通过总线与处理器相连，简称i/o接口。该计算机程序被处理器执行时以实现一种防火墙策略变更方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏，该计算机设备的输入装置可以是显示屏上覆盖的触摸层，也可以是计算机设备外壳上设置的按键、轨迹球或触控板，还可以是外接的键盘、触控板或鼠标等。
[0116]
本领域技术人员可以理解，图6中示出的结构，仅仅是与本技术方案相关的部分结构的框图，并不构成对本技术方案所应用于其上的计算机设备的限定，具体的计算机设备
可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。
[0117]
在一个实施例中，还提供了一种计算机设备，包括存储器和处理器，存储器中存储有计算机程序，该处理器执行计算机程序时实现上述各方法实施例中的步骤。
[0118]
在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
[0119]
在一个实施例中，提供了一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
[0120]
需要说明的是，本技术所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等)，均为经用户授权或者经过各方充分授权的信息和数据。
[0121]
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(read-only memory，rom)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(reram)、磁变存储器(magnetoresistive random access memory，mram)、铁电存储器(ferroelectric random access memory，fram)、相变存储器(phase change memory，pcm)、石墨烯存储器等。易失性存储器可包括随机存取存储器(random access memory，ram)或外部高速缓冲存储器等。作为说明而非局限，ram可以是多种形式，比如静态随机存取存储器(static random access memory，sram)或动态随机存取存储器(dynamic random access memory，dram)等。本技术所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等，不限于此。本技术所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等，不限于此。
[0122]
以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
[0123]
以上所述实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本技术专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术的保护范围应以所附权利要求为准。