(19)中华 人民共和国 国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111353831.3 (22)申请日 2021.11.16 (65)同一申请的已公布的文献号 申请公布号 CN 113810429 A (43)申请公布日 2021.12.17 (73)专利权人 北京安博通科技股份有限公司 地址 100032 北京市西城区德胜门东滨河 路3号6号楼C 0310室 (72)发明人 钟竹　刘昌豪　 (74)专利代理 机构 武汉智嘉联合知识产权代理 事务所(普通 合伙) 42231 代理人 黄君军 (51)Int.Cl. H04L 9/40(2022.01) H04L 61/2503(2022.01)(56)对比文件 CN 111600971 A,2020.08.28 CN 10175 3426 A,2010.0 6.23 审查员 白雪慧 (54)发明名称 一种自动化策略开 通的方法 (57)摘要 本发明涉及一种自动化策略开通的方法， 该 方法包括： 获取自定义的源IP地址、 自定义的目 的IP地址、 预选的访问类型以及防火墙的防护网 段配置和NAT地址转化 关系； 根据访问类型、 防护 网段配置述NAT地址转化关系， 遍历每个源IP地 址和/或每个目的IP地址， 定位对应的网段防火 墙， 并针对网段防火墙生成对应的初步安全策 略； 遍历初步安全策略， 查询对应的网段防火墙 的路由表， 确定对应的接口信息和域信息； 根据 初步安全策略对应的网段防火墙、 接口信息、 域 信息、 源IP地址和目的IP地址， 生成对应的安全 策略建议。 本发明根据访问类型的不同， 在不做 路径仿真的情况下， 支持自动化找防火墙， 并针 对该墙自动化 生成安全策略建议。 权利要求书2页 说明书12页 附图3页 CN 113810429 B 2022.02.11 CN 113810429 B 1.一种自动化策略开 通的方法， 其特 征在于， 包括： 获取自定义的源IP地址、 自定义的目的IP地址、 预选的访问类型以及防火墙的防护 网 段配置和NAT地址转 化关系； 根据所述预选的访问类型、 所述防护网段配置和所述NAT地址转化关系， 遍历每个所述 源IP地址和/或每个所述目的IP地址， 定位对应的网段防火墙， 并针对所述网段防火墙生成 对应的初步 安全策略； 遍历所述初步安全策略， 查询对应的所述网段防火墙的路由表， 确定对应的接口信息 和域信息； 根据所述初步安全策略对应的所述网段防火墙、 所述接口信息、 所述域信息、 所述源IP 地址和所述目的IP地址， 生成对应的安全策略建议； 其中， 所述网段防火墙包括第一防火墙、 第二防火墙、 第三防火墙和第 四防火墙， 所述 NAT地址转化关系包括源地址转化关系和目的地址转化关系； 所述根据所述预选的访问类 型、 所述防护网段配置和所述NAT地址转化关系， 遍历每个所述源IP地址和 /或每个所述目 的IP地址， 定位对应的网段防火墙， 包括： 将每个所述源IP地址， 与所述防护网段配置进行交集操作， 根据形成的交集网段定位 对应的所述第一防火墙； 将每个所述目的IP地址， 与所述防护网段配置进行交集操作， 根据形成的交集网段定 位对应的所述第二防火墙； 基于所述源地址转化关系， 将每个所述源IP地址进行转换， 根据转换后的源IP地址范 围， 定位对应的所述第三防火墙； 基于所述目的地址转化关系， 将每个所述目的IP地址进行转换， 根据转换后的目的IP 地址范围， 定位对应的所述第四防火墙； 其中， 若所述预选的访 问类型为内网访 问内网， 则定位所述第一防火墙和所述第二防 火墙， 若所述预选的访问类型为内网访问外网， 则定位所述第一防火墙和所述第三防火墙， 若所述预选的访问类型为外网访问内网， 则定位所述第二防火墙和所述第四防火墙。 2.根据权利要求1所述的自动化策略开通的方法， 其特征在于， 所述接口信 息包括入接 口， 所述域信息包括源域； 所述遍历所述初步安全 策略， 查询对应的所述网段防火墙的路由 表， 确定对应的接口信息和域信息， 包括： 根据每条所述初步安全策略建议的源地址， 查询对应的所述网段防火墙的路由表， 确 定所述源地址属于的入接口； 根据所述入接口在所述路由表中进行查询， 确定所述入接口属于的源域。 3.根据权利要求2所述的自动化策略开通的方法， 其特征在于， 所述接口信 息包括出接 口， 所述域信息包括目的域； 所述遍历所述初步安全策略， 查询对应的所述网段防火墙的路 由表， 确定对应的接口信息和域信息， 包括： 根据每条所述初步安全策略建议的目的地址， 查询对应的所述路由表， 确定所述目的 地址属于的出接口； 根据所述出接口在所述路由表中进行查询， 确定所述出接口属于的目的域。 4.根据权利要求3所述的自动化策略开通的方法， 其特征在于， 所述安全策略建议包括 网段策略建议； 所述根据所述初步安全 策略对应的所述网段防火墙、 所述接口信息、 所述域权　利　要　求　书 1/2 页 2 CN 113810429 B 2信息、 所述源IP地址和所述目的IP地址， 生成对应的安全策略建议， 包括： 确定所述第一防火墙和所述第二防火墙对应的每条 所述初步 安全策略； 根据每条所述初步安全策略对应的所述第一防火墙和/或第 二放火墙、 所述源IP地址、 所述目的IP地址、 所述入接口、 所述出接口、 所述源域和所述目的域， 生成对应的所述网段 策略建议。 5.根据权利要求4所述的自动化策略开通的方法， 其特征在于， 所述安全策略建议包括 NAT策略建议， 所述根据所述初步安全策 略对应的所述网段防火墙、 所述接口信息、 所述域 信息、 所述源IP地址和所述目的IP地址， 生成对应的安全策略建议， 还 包括： 确定所述第三防火墙和所述第四防火墙对应的每条 所述初步 安全策略； 根据每条所述初步安全策略对应的所述第三防火墙和/或第四放火墙、 所述源IP地址、 所述目的IP地址、 所述入接口、 所述出接口、 所述源域和所述目的域， 生 成对应的所述NAT 策 略建议。 6.根据权利要求5所述的自动化策略开通的方法， 其特征在于， 在所述根据所述初步安 全策略对应的所述网段防火墙、 所述接口信息、 所述域信息、 所述源IP地址和所述目的IP地 址， 生成对应的安全策略建议之后， 还 包括： 若所述预选的访问类型为内网访问外网， 则判断所述第 一防火墙和所述第 二防火墙生 成的每条所述网段策略建议是否存于采集解析后的对应的所述网段防火墙中， 若存在， 则 生成用于提醒安全策略开 通的第一 提示信息。 7.根据权利要求5所述的自动化策略开通的方法， 其特征在于， 在所述根据所述初步安 全策略对应的所述网段防火墙、 所述接口信息、 所述域信息、 所述源IP地址和所述目的IP地 址， 生成对应的安全策略建议之后， 还 包括： 若所述预选的访问类型为内网访问外网， 则判断所述第 一防火墙生成的每条所述网段 策略建议是否存于采集解析后的对应的所述第一防火墙中， 若存在， 则生成用于提醒安全 策略开通的第一 提示信息； 判断所述第 三防火墙生成的每条所述NAT策略建议是否存于采集解析后的对应的所述 第三防火墙中， 若存在， 则生成用于提醒NAT策略开 通的第二 提示信息。 8.根据权利要求5所述的自动化策略开通的方法， 其特征在于， 在所述根据所述初步安 全策略对应的所述网段防火墙、 所述接口信息、 所述域信息、 所述源IP地址和所述目的IP地 址， 生成对应的安全策略建议之后， 还 包括： 若所述预选的访问类型为外网访问内网， 则判断所述第 二防火墙生成的每条所述网段 策略建议是否存于采集解析后的对应的所述第二防火墙中， 若存在， 则生成用于提醒安全 策略开通的第一 提示信息； 判断所述第四防火墙生成的每条所述NAT策略建议是否存于采集解析后的对应的所述 第四防火墙中， 若存在， 则生成用于提醒NAT策略开 通的第二 提示信息。 9.根据权利要求5所述的自动化策略开通的方法， 其特征在于， 在所述根据所述初步安 全策略对应的所述网段防火墙、 所述接口信息、 所述域信息、 所述源IP地址和所述目的IP地 址， 生成对应的安全策略建议之后， 还 包括： 遍历所述 安全策略建议， 去除重复的所述 安全策略建议， 并生成对应的命令行。权　利　要　求　书 2/2 页 3 CN 113810429 B 3