[发明专利]信息封堵方法、装置、计算设备及计算机存储介质

说明书

本发明实施例涉及信息安全技术领域，公开了一种信息封堵方法、装置、计算设备及计算机存储介质，该方法包括：获取源设备的访问信息，访问信息包含源设备的第一IP地址和源设备访问的目标设备的第二IP地址；如果第一IP地址为需要封堵的IP地址，则确定目标路径，目标路径为第一IP地址和第二IP地址间的路径；从目标路径上的设备中筛选出防火墙设备；确定目标路径上至少一个防火墙设备的目标安全域，目标安全域为目标路径上至少一个防火墙设备与其对应的下一跳设备的接口所对应的安全域；在预设的脚本库中确定与至少一个防火墙设备的目标安全域对应的封堵指令；将封堵指令下发至相应的防火墙设备。通过上述方式，本发明实施例实现了访问信息封堵。

技术领域

本发明实施例涉及信息安全技术领域，具体涉及一种信息封堵方法、装置、计算设备及计算机存储介质。

背景技术

随着各行业信息化建设的不断深入，生产、业务支撑设备的网络结构越来越复杂，由此带来的防火墙数量日益增多，同时防火墙策略配置数量也爆发式增长。一旦运维人员操作不当，就会给整体设备运行带来极大的安全隐患，带来安全事故，影响设备的可靠运行。

目前实现信息封堵的防火墙策略是预先写入防火墙中的，防火墙策略与防火墙品牌相对应。当有新的防火墙设备接入信息传送网络时，需要根据新的防火墙设备的防火墙品牌重新定制，增加了人工成本。

发明内容

鉴于上述问题，本发明实施例提供了一种信息封堵方法、装置、计算设备及计算机存储介质，克服了上述问题或者至少部分地解决了上述问题。

根据本发明实施例的一个方面，提供了一种信息封堵方法，所述方法包括：

获取源设备的访问信息，所述访问信息包含所述源设备的第一IP地址和所述源设备访问的目标设备的第二IP地址；

如果所述第一IP地址为需要封堵的IP地址，则确定目标路径，所述目标路径为第一IP地址和第二IP地址间的路径；

从所述目标路径上的设备中筛选出防火墙设备；

确定所述目标路径上至少一个防火墙设备的目标安全域，所述目标安全域为所述目标路径上至少一个防火墙设备与其对应的下一跳设备的接口所对应的安全域；

在预设的脚本库中确定与所述至少一个防火墙设备的目标安全域对应的封堵指令，所述预设的脚本库中存储有封堵指令和目标安全域之间的对应关系，所述封堵指令用于使所述防火墙设备封堵所述访问信息；

将所述封堵指令下发至相应的防火墙设备。

可选的，如果所述第一IP地址为需要封堵的IP地址，则确定目标路径，包括：

如果所述源设备和所述目标设备间存在一条路径，则确定所述一条路径为目标路径；或者，

如果所述源设备和所述目标设备间存在多条路径，则确定所述多条路径中优先级最高的路径或者任一条路径为目标路径，其中，所述优先级最高的路径为：包括距离源设备的跳数最少但优先级最高的设备的路径。

可选的，如果所述源设备和所述目标设备间存在多条路径，则确定所述多条路径中优先级最高的路径为目标路径，包括：

确定至少一个设备组，每一个设备组中包含的所有设备与源设备的跳数相同；

按照设备组的跳数由小到大的顺序排序，所述设备组的跳数为所述设备组中的IP地址与所述第一IP地址之间的跳数；

根据排序后的设备组，依次比对每一设备组中各设备的优先级，所述优先级预先存储在设备的路由表中；

如果所述第一设备组中各设备的优先级不相同，则将所述第一设备组中优先级最高的设备所在的路径确定为目标路径；