一种自动化策略开通的方法

技术领域

本发明涉及网络管理技术领域，尤其涉及一种自动化策略开通的方法。

背景技术

在大型企业网络规划中，防火墙一般做访问控制，路由交换做数据转发，由于网络设备的IP地址众多，用户在规划网络时，针对需要生成安全策略的防火墙，将其对应的防护网段添加到配置中。针对不同的IP地址，需要进行不同的策略开通，而面对用户多种需求，逐一进行策略开通，任务量巨大，耗时耗力，不方便网络的运维管理。因此，如何针对用户不同需求，实现高效智能的策略开通是亟待解决的问题。

发明内容

有鉴于此，有必要提供一种自动化策略开通的方法，用以克服现有技术中策略开通不够灵活高效的问题。

本发明提供一种自动化策略开通的方法，包括：

获取自定义的源IP地址、自定义的目的IP地址、预选的访问类型以及防火墙的防护网段配置和NAT地址转化关系；

根据预选的访问类型、防护网段配置和NAT地址转化关系，遍历每个源IP地址和/或每个目的IP地址，定位对应的网段防火墙，并针对网段防火墙生成对应的初步安全策略；

遍历初步安全策略，查询对应的网段防火墙的路由表，确定对应的接口信息和域信息；

根据初步安全策略对应的网段防火墙、接口信息、域信息、源IP地址和目的IP地址，生成对应的安全策略建议。

进一步地，网段防火墙包括第一防火墙、第二防火墙、第三防火墙和第四防火墙，NAT地址转化关系包括源地址转化关系和目的地址转化关系，根据预选的访问类型、防护网段配置和NAT地址转化关系，遍历每个源IP地址和/或每个目的IP地址，定位对应的网段防火墙，包括：

将每个源IP地址，与防护网段配置进行交集操作，根据形成的交集网段定位对应的第一防火墙；

将每个目的IP地址，与防护网段配置进行交集操作，根据形成的交集网段定位对应的第二防火墙；

基于源地址转化关系，将每个源IP地址进行转换，根据转换后的源IP地址范围，定位对应的第三防火墙；

基于目的地址转化关系，将每个目的IP地址进行转换，根据转换后的目的IP地址范围，定位对应的第四防火墙；

其中，若预选的访问类型为内网访问内网，则定位第一防火墙和第二防火墙，若预选的访问类型为内网访问外网，则定位第一防火墙和第三防火墙，若预选的访问类型为外网访问内网，则定位第二防火墙和第四防火墙。

进一步地，接口信息包括入接口，域信息包括源域，遍历初步安全策略，查询对应的网段防火墙的路由表，确定对应的接口信息和域信息，包括：

根据每条初步安全策略建议的源地址，查询对应的网段防火墙的路由表，确定源地址属于的入接口；

根据入接口在路由表中进行查询，确定入接口属于的源域。

进一步地，接口信息包括出接口，域信息包括目的域，遍历初步安全策略，查询对应的网段防火墙的路由表，确定对应的接口信息和域信息，包括：

根据每条初步安全策略建议的目的地址，查询对应的路由表，确定目的地址属于的出接口；

根据出接口在路由表中进行查询，确定出接口属于的目的域。

进一步地，安全策略建议包括网段策略建议，根据初步安全策略对应的网段防火墙、接口信息、域信息、源IP地址和目的IP地址，生成对应的安全策略建议，包括：

确定第一防火墙和第二防火墙对应的每条初步安全策略；

根据每条初步安全策略对应的第一防火墙和/或第二放火墙、源IP地址、目的IP地址、入接口、出接口、源域和目的域，生成对应的网段策略建议。

进一步地，安全策略建议包括NAT策略建议，根据初步安全策略对应的网段防火墙、接口信息、域信息、源IP地址和目的IP地址，生成对应的安全策略建议，还包括：

确定第三防火墙和第四防火墙对应的每条初步安全策略；

根据每条初步安全策略对应的第三防火墙和/或第四放火墙、源IP地址、目的IP地址、入接口、出接口、源域和目的域，生成对应的NAT策略建议。

进一步地，在根据初步安全策略对应的网段防火墙、接口信息、域信息、源IP地址和目的IP地址，生成对应的安全策略建议之后，还包括：

若预选的访问类型为内网访问外网，则判断第一防火墙和第二防火墙生成的每条网段策略建议是否存于采集解析后的对应的网段防火墙中，若存在，则生成用于提醒安全策略开通的第一提示信息。

进一步地，在根据初步安全策略对应的网段防火墙、接口信息、域信息、源IP地址和目的IP地址，生成对应的安全策略建议之后，还包括：

若预选的访问类型为内网访问外网，则判断第一防火墙生成的每条网段策略建议是否存于采集解析后的对应的第一防火墙中，若存在，则生成用于提醒安全策略开通的第一提示信息；

判断第三防火墙生成的每条NAT策略建议是否存于采集解析后的对应的第三防火墙中，若存在，则生成用于提醒NAT策略开通的第二提示信息。

进一步地，在根据初步安全策略对应的网段防火墙、接口信息、域信息、源IP地址和目的IP地址，生成对应的安全策略建议之后，还包括：

若预选的访问类型为外网访问内网，则判断第二防火墙生成的每条网段策略建议是否存于采集解析后的对应的第二防火墙中，若存在，则生成用于提醒安全策略开通的第一提示信息；

判断第四防火墙生成的每条NAT策略建议是否存于采集解析后的对应的第四防火墙中，若存在，则生成用于提醒NAT策略开通的第二提示信息。

进一步地，在根据初步安全策略对应的网段防火墙、接口信息、域信息、源IP地址和目的IP地址，生成对应的安全策略建议之后，还包括：

遍历安全策略建议，去除重复的安全策略建议，并生成对应的命令行。

与现有技术相比，本发明的有益效果包括：首先，对用户自定义的源IP地址、目的IP地址，以及用户预选的访问类型、防火墙对应的防护网段配置和NAT地址转化关系，结合多方面信息，反馈用户需求和防火墙的基本属性；然后，根据用户选择的访问类型，以及防火墙的防护网段配置、NAT地址转化关系，遍历用户定义的每一条源IP地址和目的IP地址，从而定位每一条源IP地址或目的IP地址对应的网段防火墙，再生成对应的初步安全策略，用于保证每一条源IP地址或目的IP地址能访问对应的网段防火墙；进而，遍历每一条生成的初步安全策略，查询对应网段防火墙的路由表，从而得到接口信息和域信息；最后，针对每个初步安全策略及其对应的网段防火墙、接口信息、域信息以及源IP地址和目的IP地址，确定相应的七元组信息，从而生成最终的安全策略建议，用于进行策略开通，保证用户定义的源IP地址、目的IP地址能对对应的网段防火墙进行访问。综上，本发明根据访问类型的不同，在不做路径仿真的情况下，支持自动化找防火墙，并针对该墙自动化生成安全策略建议。

附图说明

图1为本发明提供的自动化策略开通的方法的应用系统一实施例的场景示意图；

图2为本发明提供的自动化策略开通的方法一实施例的流程示意图；

图3为本发明提供的图2中步骤S3一实施例的流程示意图；

图4为本发明提供的图2中步骤S3另一实施例的流程示意图；

图5为本发明提供的图2中步骤S4一实施例的流程示意图；

图6为本发明提供的图2中步骤S4另一实施例的流程示意图；

图7为本发明提供的自动化策略开通的装置一实施例的结构示意图。

具体实施方式

下面结合附图来具体描述本发明的优选实施例，其中，附图构成本申请一部分，并与本发明的实施例一起用于阐释本发明的原理，并非用于限定本发明的范围。

在本发明的描述中，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。此外，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。

在本发明的描述中，提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本发明的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是，所描述的实施例可以与其它实施例相结合。

本发明提供了一种自动化策略开通的方法，充分考虑了用户的多种场景应用需求，结合多种信息进行策略开通，为进一步提高策略开通的灵活性提供了新思路。针对具体实施例进行阐述之前，将涉及的技术名词进行解释如下：

地址转换关系：指经过该防火墙，需要做源NAT或目的NAT的转换前后的IP或端口的对应关系。源NAT的地址转换关系需要填写转换前IP和转换后IP；目的NAT的转换关系需要填写转换前IP、转换后IP、协议、转换前端口、转换后端口；

访问类型：指源地址和目的地址对应区域的访问关系，分为3种：内网访问内网、内网访问外网、外网访问内网；

五元组：指源IP、目的IP、协议、源端口、目的端口（下文中的端口都为目的端口）；

七元组：指五元组 + 源域 + 目的域；

路径仿真：指通过五元组去找路径，分析路径经过的设备以及数据流，根据数据流来生成策略建议；

NAT策略：指对源地址或目标地址做NAT转换的策略，本专利中只涉及源NAT、目的NAT；

命令行：指根据策略建议的七元组信息生成防火墙可识别的命令。

下面对具体实施例分别进行详细说明：

本发明实施例提供了一种自动化策略开通的方法的应用系统，图1为本发明提供的自动化策略开通的方法的应用系统一实施例的场景示意图，该系统可以包括服务器100，服务器100中集成有自动化策略开通的装置，如图1中的服务器。

本发明实施例中服务器100主要用于：

获取自定义的源IP地址、自定义的目的IP地址、预选的访问类型以及防火墙的防护网段配置和NAT地址转化关系；

根据访问类型、防护网段配置和NAT地址转化关系，遍历每个源IP地址和/或每个目的IP地址，定位对应的网段防火墙，并针对网段防火墙生成对应的初步安全策略；

遍历初步安全策略，查询对应的网段防火墙的路由表，确定对应的接口信息和域信息；

根据初步安全策略对应的网段防火墙、接口信息、域信息、源IP地址和目的IP地址，生成对应的安全策略建议。

本发明实施例中，该服务器100可以是独立的服务器，也可以是服务器组成的服务器网络或服务器集群，例如，本发明实施例中所描述的服务器100，其包括但不限于计算机、网络主机、单个网络服务器、多个网络服务器集或多个服务器构成的云服务器。其中，云服务器由基于云计算(Cloud Computing)的大量计算机或网络服务器构成。

可以理解的是，本发明实施例中所使用的终端200可以是既包括接收和发射硬件的设备，即具有能够在双向通信链路上，执行双向通信的接收和发射硬件的设备。这种设备可以包括：蜂窝或其他通信设备，其具有单线路显示器或多线路显示器或没有多线路显示器的蜂窝或其他通信设备。具体的终端200可以是台式机、便携式电脑、网络服务器、掌上电脑（Personal Digital Assistant，PDA）、移动手机、平板电脑、无线终端设备、通信设备、嵌入式设备等，本实施例不限定终端200的类型。

本领域技术人员可以理解，图1中示出的应用环境，仅仅是与本发明方案一种应用场景，并不构成对本发明方案应用场景的限定，其他的应用环境还可以包括比图1中所示更多或更少的终端，例如图1中仅示出2个终端，可以理解的，该自动化策略开通的方法的应用系统还可以包括一个或多个其他终端，具体此处不作限定。

另外，如图1所示，该自动化策略开通的方法的应用系统还可以包括存储器200，用于存储数据，如源IP地址、目的IP地址、防护网段配置以及NAT地址转化关系等。

需要说明的是，图1所示自动化策略开通的方法的应用系统的场景示意图仅仅是一个示例，本发明实施例描述的自动化策略开通的方法的应用系统以及场景是为了更加清楚地说明本发明实施例的技术方案，并不构成对于本发明实施例提供的技术方案的限定，本领域普通技术人员可知，随着自动化策略开通的方法的应用系统的演变和新业务场景的出现，本发明实施例提供的技术方案对于类似的技术问题，同样适用。

本发明实施例提供了一种自动化策略开通的方法，结合图2来看，图2为本发明提供的自动化策略开通的方法一实施例的流程示意图，包括步骤S1至步骤S4，其中：

在步骤S1中，获取自定义的源IP地址、自定义的目的IP地址、预选的访问类型以及防火墙的防护网段配置和NAT地址转化关系；

在步骤S2中，根据访问类型、防护网段配置和NAT地址转化关系，遍历每个源IP地址和/或每个目的IP地址，定位对应的网段防火墙，并针对网段防火墙生成对应的初步安全策略；

在步骤S3中，遍历初步安全策略，查询对应的网段防火墙的路由表，确定对应的接口信息和域信息；

在步骤S4中，根据初步安全策略对应的网段防火墙、接口信息、域信息、源IP地址和目的IP地址，生成对应的安全策略建议。

在本发明实施例中，首先，对用户自定义的源IP地址、目的IP地址，以及用户预选的访问类型、防火墙对应的防护网段配置和NAT地址转化关系，结合多方面信息，反馈用户需求和防火墙的基本属性；然后，根据用户选择的访问类型，以及防火墙的防护网段配置、NAT地址转化关系，遍历用户定义的每一条源IP地址和目的IP地址，从而定位每一条源IP地址或目的IP地址对应的网段防火墙，再生成对应的初步安全策略，用于保证每一条源IP地址或目的IP地址能访问对应的网段防火墙；进而，遍历每一条生成的初步安全策略，查询对应网段防火墙的路由表，从而得到接口信息和域信息；最后，针对每个初步安全策略及其对应的网段防火墙、接口信息、域信息以及源IP地址和目的IP地址，确定相应的七元组信息，从而生成最终的安全策略建议，用于进行策略开通，保证用户定义的源IP地址、目的IP地址能对对应的网段防火墙进行访问。

作为更具体的实施例，步骤S1中，相关数据的自定义和预选具体包括：用户通过页面输入工单号、选择访问类型、输入源IP、目的IP、服务、生效时间等信息；

其中，防火墙基础数据属于自动化开通的前置条件，我们通过防火墙连接协议连接到设备，登录防火墙后输入命令，将设备的 running config 配置抓取回来，解析后标准化成固定格式的路由表列表、地址对象列表服务对象列表、ACL策略列表、安全策略列表、NAT策略列表、接口列表、子网列表等；

其中，防火墙防护网段数据准备包括：用户在规划网络时，针对需要生成安全策略的防火墙，将其对应的防护网段添加到配置中；

其中，防火墙地址转换关系数据准备包括：用户在规划网络时，针对需要生成源NAT策略的防火墙，将其对应的地址转换关系（转换前IP、转换后IP，转换后IP不填时默认为出接口）添加到配置中；针对需要生成目的NAT策略的防火墙，将其对应的地址转换关系（转换前IP、转换后IP、转换前端口、转换后端口、协议）添加到配置中；

其中，待开通工单数据准备包括：待开通工单数据指用户输入的五元组、访问类型、生效时间等信息，本发明将依据用户输入的信息自动化生成策略建议和命令行。

作为优选的实施例，上述网段防火墙包括第一防火墙、第二防火墙、第三防火墙和第四防火墙，上述NAT地址转化关系包括源地址转化关系和目的地址转化关系，上述步骤S2，包括：

将每个源IP地址，与防护网段配置进行交集操作，根据形成的交集网段定位对应的第一防火墙；

将每个目的IP地址，与防护网段配置进行交集操作，根据形成的交集网段定位对应的第二防火墙；

基于源地址转化关系，将每个源IP地址进行转换，根据转换后的源IP地址范围，定位对应的第三防火墙；

基于目的地址转化关系，将每个目的IP地址进行转换，根据转换后的目的IP地址范围，定位对应的第四防火墙；

其中，若访问类型为内网访问内网，则定位第一防火墙和第二防火墙，若访问类型为内网访问外网，则定位第一防火墙和第三防火墙，若访问类型为外网访问内网，则定位第二防火墙和第四防火墙。

在本发明实施例中，根据不同的访问类型，采取不同的措施，定位不同的防火墙。

作为优选的实施例，上述接口信息包括入接口，上述域信息包括源域，结合图3来看，图3为本发明提供的图2中步骤S3一实施例的流程示意图，上述步骤S3具体包括步骤S31至步骤S32，其中：

在步骤S31中，根据每条初步安全策略建议的源地址，查询对应的网段防火墙的路由表，确定源地址属于的入接口；

在步骤S32中，根据入接口在路由表中进行查询，确定入接口属于的源域。

在本发明实施例中，根据每条初步安全策略和路由表，确定对应的入接口和源域。

作为优选的实施例，上述接口信息包括出接口，上述域信息包括目的域，结合图4来看，图4为本发明提供的图2中步骤S3另一实施例的流程示意图，上述步骤S3具体包括步骤S33至步骤S34，其中：

在步骤S33中，根据每条初步安全策略建议的目的地址，查询对应的路由表，确定目的地址属于的出接口；

在步骤S34中，根据出接口在路由表中进行查询，确定出接口属于的目的域。

在本发明实施例中，根据每条初步安全策略和路由表，确定对应的出接口和目的域。

作为优选的实施例，上述安全策略建议包括网段策略建议，结合图5来看，图5为本发明提供的图2中步骤S4一实施例的流程示意图，上述步骤S4具体包括步骤S41至步骤S42，其中：

在步骤S41中，确定第一防火墙和第二防火墙对应的每条初步安全策略；

在步骤S42中，根据每条初步安全策略对应的第一防火墙和/或第二放火墙、源IP地址、目的IP地址、入接口、出接口、源域和目的域，生成对应的网段策略建议。

在本发明实施例中，针对第一防火墙和第二防火墙，提取对应的七元组信息，生成对应的网段策略建议，保证第一防火墙和第二防火墙允许对应的IP通过。

作为优选的实施例，上述安全策略建议包括NAT策略建议，结合图6来看，图6为本发明提供的图2中步骤S4另一实施例的流程示意图，上述步骤S4具体包括步骤S43至步骤S44，其中：

在步骤S43中，确定第三防火墙和第四防火墙对应的每条初步安全策略；

在步骤S44中，根据每条初步安全策略对应的第三防火墙和/或第四放火墙、源IP地址、目的IP地址、入接口、出接口、源域和目的域，生成对应的NAT策略建议。

在本发明实施例中，针对第三防火墙和第四防火墙，提取对应的七元组信息，生成对应的NAT策略建议，保证第三防火墙和第四防火墙允许对应的IP通过。

作为优选的实施例，在步骤S4之后，还包括：

若访问类型为内网访问外网，则判断第一防火墙和第二防火墙生成的每条网段策略建议是否存于采集解析后的对应的网段防火墙中，若存在，则生成用于提醒安全策略开通的第一提示信息。

在本发明实施例中，在内网访问外网的情况下，判断第一防火墙和第二防火墙是否存在网段策略建议，若存在，说明可以保证对应的IP进行访问，以此向用户进行提示。

作为优选的实施例，在步骤S4之后，还包括：

若访问类型为内网访问外网，则判断第一防火墙生成的每条网段策略建议是否存于采集解析后的对应的第一防火墙中，若存在，则生成用于提醒安全策略开通的第一提示信息；

判断第三防火墙生成的每条NAT策略建议是否存于采集解析后的对应的第三防火墙中，若存在，则生成用于提醒NAT策略开通的第二提示信息。

在本发明实施例中，判断内网访问外网情况下，是否存在NAT策略建议，若存在，说明可以保证对应的IP进行加密访问，同时，判断是否存在网段策略建议，说明可以保证对应的IP进行访问，以此向用户进行提示。

作为优选的实施例，在步骤S4之后，还包括：

若访问类型为外网访问内网，则判断第二防火墙生成的每条网段策略建议是否存于采集解析后的对应的第二防火墙中，若存在，则生成用于提醒安全策略开通的第一提示信息；

判断第四防火墙生成的每条NAT策略建议是否存于采集解析后的对应的第四防火墙中，若存在，则生成用于提醒NAT策略开通的第二提示信息。

在本发明实施例中，判断外网访问内网情况下，是否存在NAT策略建议，若存在，说明可以保证对应的IP进行加密访问，同时，判断是否存在网段策略建议，说明可以保证对应的IP进行访问，以此向用户进行提示。

作为优选的实施例，在步骤S4之后，还包括：

遍历安全策略建议，去除重复的安全策略建议，并生成对应的命令行。

在本发明实施例中，有效去除重复的安全策略建议，避免重复存储，同时，生成对应的命令行，便于后续的配置。

在本发明一个具体的实施例，当预选的访问类型为内网访问内网时，策略开通的流程如下：

第1步，将源IP以英文逗号分隔为多个源IP地址，遍历这些源IP地址，拿每一个地址去查询防火墙防护网段配置，判断当前源IP与所有的防护网段配置是否有交集（例如源IP为1.1.1.1-1.1.1.6，防护网段配置中有1.1.1.5-1.1.1.255，则有交集IP 1.1.1.5-1.1.1.6），如果有交集，则可以定位到防火墙（例如firewall A），并且针对该墙（firewallA）生成一条初步的安全策略建议，源地址为交集IP（例如 1.1.1.5-1.1.1.6），目的地址为工单输入的目的地址，服务为工单输入的服务；如果未查询到交集数据，则跳过当前源IP，进入下一个源IP地址匹配逻辑；

第2步，将目的IP以英文逗号分隔为多个目的IP地址，遍历这些目的IP地址，拿每一个地址去查询防火墙防护网段配置，判断当前目的IP与所有的防护网段配置是否有交集（例如目的IP为2.2.2.1-2.2.2.6，防护网段配置中有2.2.2.5-2.2.2.255，则有交集IP2.2.2.5-2.2.2.6），如果有交集，则可以定位到防火墙（例如firewall B），并且针对该墙（firewall B）生成一条初步的安全策略建议，源地址为工单输入的源地址，目的地址为交集IP（例如 2.2.2.5-2.2.2.6），服务为工单输入的服务；如果未查询到交集数据，则跳过当前目的IP，进入下一个目的IP地址匹配逻辑；

第3步，如果源IP和目的IP与所有的防火墙防护网段配置都没有交集，则给出错误信息提示：“源、目的IP均未找到防护网段配置，不生成策略建议及命令行”，流程结束；

第4步，如果第1步或第2步与防火墙防护网段配置有交集并产生了初步的策略建议，则遍历得到的初步策略建议，用每一条策略建议的源地址去查询防火墙上的路由表，看它属于哪一个接口，查到的接口则为入接口，然后用入接口去查询路由表，看该接口属于哪一个域，查到的域则为源域；用每一条策略建议的目的地址去查询防火墙上的路由表，看它属于哪一个接口，查到的接口则为出接口，然后用出接口去查询路由表，看该接口属于哪一个域，查到的域则为目的域；

第5步，以上4步执行完后，所有策略建议的所属防火墙、源IP、目的IP、服务、入接口、出接口、源域、目的域就都获取到了，此时可以依据这些信息生成安全策略建议；

第6步，遍历上述生成的安全策略建议的信息，检查每一条策略建议信息是否已存于采集解析后的防火墙基础数据中，如果存在，则给出“安全策略已开通”提示信息，进行下一条策略建议检查；

第7步，所有策略建议检查完毕后，去除重复安全策略建议，并生成对应命令行，流程结束。

在本发明一个具体的实施例，当预选的访问类型为内网访问外网时，策略开通的流程如下：

第一步，将源IP以英文逗号分隔为多个源IP地址，遍历这些源IP地址，拿每一个地址去查询防火墙防护网段配置，判断当前源IP与所有的防护网段配置是否有交集（例如源IP为3.3.3.3-3.3.3.6，防护网段配置中有3.3.3.5-3.3.3.255，则有交集IP 3.3.3.5-3.3.3.6），如果有交集，则可以定位到防火墙（例如firewall C），并且针对该墙（firewallC）生成一条初步的安全策略建议，源地址为交集IP（如 3.3.3.5-3.3.3.6）目的地址为工单输入的目的地址，服务为工单输入的服务；如果未查询到交集数据，则跳过当前源IP，进入下一个源IP地址匹配逻辑；

第二步，将源IP以英文逗号分隔为多个源IP地址，遍历这些源IP地址，拿每一个地址去查询防火墙源NAT地址转换关系，如果源IP在源NAT地址转换关系的转换后IP范围内（例如源IP为4.4.4.4，存在一个源NAT地址转换关系为转换前IP：10.10.10.10，转换后IP为4.4.4.4），则匹配上，可以定位到防火墙（例如firewall D），此时可以知道工单原始五元组、转换前源IP、转换后源IP信息，并且依据上述已知信息针对该墙（firewall D）生成一条初步的源NAT策略建议；如果未匹配上，则进入下一个源IP地址匹配逻辑；

第三步，如果第二步中的源IP均未找到源NAT地址转换关系，则给出错误信息提示：“源IP找不到源NAT地址转换关系数据，请检查配置”，清除第一步生成的安全策略建议，流程结束；

第四步，如果第二步匹配到了源NAT地址转换关系，则遍历第一步得到的初步安全策略建议，用每一条策略建议的源地址去查询防火墙上（firewall C）的路由表，看它属于哪一个接口，查到的接口则为入接口，然后用入接口去查询路由表，看该接口属于哪一个域，查到的域则为源域；用每一条策略建议的目的地址去查询防火墙（firewall C）上的路由表（地址为空时默认使用114.114.114.114去查询），看它属于哪一个接口，查到的接口则为出接口，然后用出接口去查询路由表，看该接口属于哪一个域，查到的域则为目的域；

第五步，以上步骤执行完后，该策略建议的所属防火墙、源IP、目的IP、服务、入接口、出接口、源域、目的域就都获取到了，此时可以依据这些信息生成安全策略建议；

第六步，遍历上述生成的安全策略建议的信息，检查每一条策略建议信息是否已存于采集解析后的防火墙基础数据中，如果存在，则给出“安全策略已开通”提示信息，进行下一条策略建议检查；

第七步，所有策略建议检查完毕后，去除重复安全策略建议，并生成对应命令行；

第八步，遍历第二步得到的初步源NAT策略建议，用每一条策略建议的源地址去查询防火墙（firewall D）上的路由表，看它属于哪一个接口，查到的接口则为入接口，然后用入接口去查询路由表，看该接口属于哪一个域，查到的域则为源域；用每一条策略建议的目的地址去查询防火墙（firewall D）上的路由表（地址为空时默认使用114.114.114.114去查询），看它属于哪一个接口，查到的接口则为出接口，然后用出接口去查询路由表，看该接口属于哪一个域，查到的域则为目的域；

第九步，第六步执行完后，该策略建议所属防火墙的源IP、目的IP、服务、入接口、出接口、源域、目的域、转换前源IP、转换后源IP就都获取到了，此时可以依据这些信息生成源NAT策略建议；

第十步，遍历上述生成的源NAT策略建议的信息，检查每一条策略建议信息是否已存于采集解析后的防火墙基础数据中，如果存在，则给出“NAT策略已开通”提示信息，进行下一条策略建议检查；

第十一步，所有策略建议检查完毕后，去除重复源NAT策略建议，并生成对应命令行，流程结束。

在本发明一个具体的实施例，当预选的访问类型为外网访问内网时，策略开通的流程如下：

第Ⅰ步，将目的IP以英文逗号分隔为多个目的IP地址，遍历这些目的IP地址，拿每一个地址去查询防火墙防护网段配置，判断当前目的IP与所有的防护网段配置是否有交集（例如目的IP为6.6.6.1-6.6.6.6，防护网段配置中有6.6.6.5-6.6.6.255，则有交集IP6.6.6.5-6.6.6.6），如果有交集，则可以定位到防火墙（例如firewall E），并且针对防火墙（firewall E）生成一条初步的安全策略建议，源地址为工单输入的源IP，目的地址为交集IP（如 6.6.6.5-6.6.6.6），服务为工单输入的服务；如果未查询到交集数据，则跳过当前目的IP，进入下一个目的IP地址匹配逻辑；

第Ⅱ步，将目的IP以英文逗号分隔为多个目的IP地址，遍历这些目的IP地址，拿每一个地址去查询防火墙目的NAT地址转换关系，如果目的IP在目的NAT地址转换关系的转换前IP范围内（例如目的IP为7.7.7.7，存在一个目的NAT地址转换关系为转换前IP：7.7.7.7，转换后IP为9.9.9.9），并且转换后端口在工单输入的协议端口范围内时（例如地址转换关系中的协议为TCP，转换前端口为10-20，转换后端口为50-60，工单输入的协议为TCP，端口为55），则匹配上，可以定位到防火墙（例如firewall F），此时根据工单原始五元组、转换前目的IP、转换后目的IP、转换协议、转换前端口、转换后端口信息，可以针对防火墙（firewall F）生成一条初步的目的NAT策略建议；如果未匹配上，则进入下一个目的IP地址匹配逻辑；

第Ⅲ步，如果第Ⅱ步目的IP未匹配目的NAT地址转换关系中的数据，则给出错误信息提示：“目的IP找不到目的NAT地址转换关系数据，请检查配置”，清除第Ⅰ步生成的安全策略建议，流程结束；

第Ⅳ步，如果第Ⅱ步匹配到了目的NAT地址转换关系，则遍历第Ⅰ步得到的初步安全策略建议，用每一条策略建议的源地址去查询防火墙（firewall E）上的路由表（地址为空时默认使用114.114.114.114去查询），看它属于哪一个接口，查到的接口则为入接口，然后用入接口去查询路由表，看该接口属于哪一个域，查到的域则为源域；用每一条策略建议的目的地址去查询防火墙（firewall E）上的路由表，看它属于哪一个接口，查到的接口则为出接口，然后用出接口去查询路由表，看该接口属于哪一个域，查到的域则为目的域；

第Ⅴ步，以上步骤执行完后，该策略建议的所属防火墙、源IP、目的IP、服务、入接口、出接口、源域、目的域就都获取到了，此时可以依据这些信息生成安全策略建议；

第Ⅵ步，遍历上述生成的安全策略建议的信息，检查每一条策略建议信息是否已存于采集解析后的防火墙基础数据中，如果存在，则给出“安全策略已开通”提示信息，进行下一条策略建议检查；

第Ⅶ步，所有策略建议检查完毕后，去除重复安全策略建议，并生成对应命令行；

第Ⅷ步，遍历第Ⅱ步得到的初步目的NAT策略建议，用每一条策略建议的源地址去查询防火墙（firewall F）上的路由表（地址为空时默认使用114.114.114.114去查询），看它属于哪一个接口，查到的接口则为入接口，然后用入接口去查询路由表，看该接口属于哪一个域，查到的域则为源域；用每一条策略建议的目的地址去查询防火墙上（firewall F）的路由表，看它属于哪一个接口，查到的接口则为出接口，然后用出接口去查询路由表，看该接口属于哪一个域，查到的域则为目的域；

第Ⅸ步，第Ⅵ步执行完后，该策略建议的所属防火墙、源IP、目的IP、服务、入接口、出接口、源域、目的域、转换前目的IP、转换后目的IP、转换协议、转换前端口、转换后端口就都获取到了，此时可以依据这些信息生成目的NAT策略建议以及对应的命令行；

第Ⅹ步，遍历上述生成的目的NAT策略建议的信息，检查每一条策略建议信息是否已存于采集解析后的防火墙基础数据中，如果存在，则给出“NAT策略已开通”提示信息，进行下一条策略建议检查；

第Ⅺ步，所有策略建议检查完毕后，去除重复目的NAT策略建议，并生成对应命令行，流程结束。

本发明实施例还提供了一种自动化策略开通的装置，结合图7来看，图7为本发明提供的自动化策略开通的装置一实施例的结构示意图，自动化策略开通的装置700包括：

获取单元701，用于获取自定义的源IP地址、自定义的目的IP地址、预选的访问类型以及防火墙的防护网段配置和NAT地址转化关系；

处理单元702，用于根据访问类型、防护网段配置和NAT地址转化关系，遍历每个源IP地址和/或每个目的IP地址，定位对应的网段防火墙，并针对网段防火墙生成对应的初步安全策略；还用于遍历初步安全策略，查询对应的网段防火墙的路由表，确定对应的接口信息和域信息；

生成单元703，用于根据初步安全策略对应的网段防火墙、接口信息、域信息、源IP地址和目的IP地址，生成对应的安全策略建议。

自动化策略开通的装置的各个单元的更具体实现方式可以参见对于上述自动化策略开通的方法的描述，且具有与之相似的有益效果，在此不再赘述。

本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时，实现如上所述的自动化策略开通的方法。

一般来说，用于实现本发明方法的计算机指令的可以采用一个或多个计算机可读的存储介质的任意组合来承载。非临时性计算机可读存储介质可以包括任何计算机可读介质，除了临时性地传播中的信号本身。

计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子（非穷举的列表）包括：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器（RAM）、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码，程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言，特别是可以使用适于神经网络计算的Python语言和基于TensorFlow、PyTorch等平台框架。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机，或者，可以连接到外部计算机（例如利用因特网服务提供商来通过因特网连接）。

本发明实施例还提供了一种计算设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行程序时，实现如上所述的自动化策略开通的方法。

根据本发明上述实施例提供的计算机可读存储介质和计算设备，可以参照根据本发明实现如上所述的自动化策略开通的方法具体描述的内容实现，并具有与如上所述的自动化策略开通的方法类似的有益效果，在此不再赘述。

本发明公开了一种自动化策略开通的方法，首先，对用户自定义的源IP地址、目的IP地址，以及用户预选的访问类型、防火墙对应的防护网段配置和NAT地址转化关系，结合多方面信息，反馈用户需求和防火墙的基本属性；然后，根据用户选择的访问类型，以及防火墙的防护网段配置、NAT地址转化关系，遍历用户定义的每一条源IP地址和目的IP地址，从而定位每一条源IP地址或目的IP地址对应的网段防火墙，再生成对应的初步安全策略，用于保证每一条源IP地址或目的IP地址能访问对应的网段防火墙；进而，遍历每一条生成的初步安全策略，查询对应网段防火墙的路由表，从而得到接口信息和域信息；最后，针对每个初步安全策略及其对应的网段防火墙、接口信息、域信息以及源IP地址和目的IP地址，确定相应的七元组信息，从而生成最终的安全策略建议，用于进行策略开通，保证用户定义的源IP地址、目的IP地址能对对应的网段防火墙进行访问。

本发明技术方案，根据访问类型的不同，在不做路径仿真的情况下，支持自动化找防火墙，并针对该墙自动化生成安全策略建议及NAT策略建议，以及对应策略建议的命令行，通过维护一套防火墙与防护网段的配置表、防火墙与地址转换关系的配置表，来达到在不纳管路由交换设备的情况下，更高效，更便捷的实现全自动化的运维开通，根据访问类型的不同，在不做路径仿真的情况下，支持自动化找防火墙，并针对该墙自动化生成安全策略建议。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。