[发明专利]防火墙配置方法、装置、计算机设备及存储介质

说明书

本发明实施例公开了防火墙配置方法、装置、计算机设备及存储介质。所述方法包括：对二层架构的可堆叠式新型防火墙接入网络后开机；采用界面操作形式进行防火墙对象定义，以得到定义结果；启动防火墙；确认所述定义结果；对防火墙进行白名单设定且以游戏化界面操作形式进行策略配置。通过实施本发明实施例的方法可实现类似双核心交换机的二层堆叠式的双机双活的防火墙冗余效果，防火墙整个过程配置极为简单，精准。

技术领域

本发明涉及防火墙，更具体地说是指防火墙配置方法、装置、计算机设备及存储介质。

背景技术

防火墙，特别是内网防火墙的策略配置和运维过程极其繁复，配置工作量极大。导致目前内网防火墙都以部分全通的访问策略进行配置，并没有实现精准防控；由于访问源和多数应用系统的访问目标不明确，访问策略也不确定等因素，导致运维人员无从下手，加上太过繁复的配置使人无法保持集中精力工作。最终放弃精准配置，以部分全通的访问策略简单放行了事，防火墙背板带宽远低于核心交换机的吞吐量的性能瓶颈问题，防火墙在内网核心网络上只能实现“心跳线”式的主备冗余效果，无法实现类似核心交换机的双机二层堆叠的双活冗余的可靠性和稳定性，如图1所示，由于防火墙配置过程太过繁复，访问源和访问目标不明确，访问策略不确定等导致运维人员最终放弃精准配置。无法实现运维人员自觉地、主动地、高效地执行实时精准防控。网络中在线的应用系统由各软件开发商研发，他们除了给出对应域名的WEB打开方式，基本不会明确告知要访问的IP地址和需要开放的服务端口。目前所有防火墙除了具备访问控制的功能外，都还有支持三层路由协议、NAT地址翻译功能等，这些都消耗大量CPU的有效资源，从而降低了防火墙访问控制的基础性能，在内网应用中绝大多数是以双专线、双设备的架构来确保内网网络的可靠性和稳定性的，但是双设备架构中的双防火墙只能实现心跳线的双机主备冗余，无法实现类似双核心交换机的二层堆叠式的双机双活冗余效果。

综上所述，现有的防火墙配置方式存在配置繁琐，无效配置较多，无法实现类似双核心交换机的二层堆叠式的双机双活冗余效果。

因此，有必要设计一种新的方法，实现配置简单，精准，实现类似双核心交换机的二层堆叠式的双机双活冗余效果。

发明内容

本发明的目的在于克服现有技术的缺陷，提供防火墙配置方法、装置、计算机设备及存储介质。

为实现上述目的，本发明采用以下技术方案：防火墙配置方法，包括：

对二层架构的可堆叠式新型防火墙接入网络后开机；

采用界面操作形式进行防火墙对象定义，以得到定义结果；

启动防火墙；

确认所述定义结果；

对防火墙进行白名单设定且以游戏化界面操作形式进行策略配置。

其进一步技术方案为：所述采用界面操作形式进行防火墙对象定义，以得到定义结果，包括：

选择源地址对象定义选项，以进行源地址对象的定义；

选择目标地址对象定义选项，以进行目标地址对象的定义；

选择目标端口对象定义选项，以进行目标端口对象的定义；

其中，所述定义结果包括定义后的源地址对象、目标地址对象以及目标端口对象。

其进一步技术方案为：所述选择源地址对象定义选项，以进行源地址对象的定义，包括：

根据流量数据包的解析结果抽取并弹出源地址；

根据字典或者默认值定义源地址的名称。

其进一步技术方案为：所述选择目标地址对象定义选项，以进行目标地址对象的定义，包括：

根据流量数据包的解析结果自动抽取并弹出目标地址；