防火墙策略迁移方法及装置与流程

1.本技术涉及数据处理技术领域，特别涉及云计算技术领域，具体涉及防火墙策略迁移方法及装置。


背景技术：

2.随着网络安全威胁形势越来越复杂，大型金融行业数据中心局域网内各个网络区域之间均部署了防火墙设备，各测试客户端与测试、生产各网络区域之间均通过防火墙策略进行安全控制。随着近年来金融行业业务的快速发展，在数据中心内部，尤其是测试环境的访问控制需求日趋复杂、访问控制策略数量迅速增长，给防火墙策略的准确实施带来了极大的挑战。此外，大型金融行业数据中心局域网内通常部署了上千台服务器及存储设备，承载着数百个应用系统的日常运行，为确保各类业务正常开展，同一应用的不同节点之间、不同应用之间都存在着极复杂的访问关系。
3.随着云和虚拟化技术的不断发展，金融行业数据中心越来越多应用系统从原来的物理机迁移至云平台，由于迁移前后应用系统的ip地址发生变化，需要重新开通相关防火墙策略，目前，现有的防火墙策略迁移方式通常是应用维护人员人工梳理确认应用访问关系，网络维护人员根据应用维护人员提供的应用访问关系人工识别防火墙需求并实施防火墙策略，由于应用访问关系极其复杂，这种做法效率低且容易遗漏，给整个迁移过程带来了很大风险。


技术实现要素：

4.针对现有技术中的问题，本技术提供一种防火墙策略迁移方法及装置，能够有效提高防火墙策略迁移的有效性、准确性及可靠性，并能够有效提高防火墙策略迁移的自动化程度及效率，进而能够有效提高将目标服务器的应用系统迁移至云平台过程的可靠性及安全性。
5.为解决上述技术问题，本技术提供以下技术方案：
6.第一方面，本技术提供一种防火墙策略迁移方法，包括：
7.根据当前应用系统已迁移至云平台的目标服务器的迁移前ip地址和预设的防火墙策略关键信息表，获取所述目标服务器的迁移前应用访问关系策略，并根据该迁移前应用访问关系策略生成所述目标服务器的迁移后应用访问关系策略；
8.基于所述迁移后应用访问关系策略和预设的防火墙路由信息表，确定所述目标服务器对应的目标防火墙设备的防火墙设备ip地址；
9.若在所述防火墙策略关键信息表中未查询到包含有所述目标防火墙设备的防火墙设备ip地址和所述迁移后应用访问关系策略之间的对应关系，则生成所述目标防火墙设备对应的防火墙策略，并将该防火墙策略写入所述目标防火墙设备。
10.进一步地，所述根据当前应用系统已迁移至云平台的目标服务器的迁移前ip地址和预设的防火墙策略关键信息表，获取所述目标服务器的迁移前应用访问关系策略，包括：
11.获取当前应用系统已迁移至云平台的目标服务器的迁移前ip地址；
12.自预设的目标数据库中调取预存储的防火墙策略关键信息表，其中，该防火墙策略关键信息表用于存储各个防火墙设备的防火墙设备ip地址、源ip地址、目的ip地址和应用访问关系数据之间的对应关系；
13.在所述防火墙策略关键信息表中查找是否包含有与所述迁移前ip地址相同的原始ip地址，其中，所述原始ip地址包括所述源ip地址和/或目的ip地址；
14.若有，则将与所述迁移前ip地址相同的地址对应的应用访问关系数据确定为所述目标服务器的迁移前应用访问关系策略。
15.进一步地，所述根据该迁移前应用访问关系策略生成所述目标服务器的迁移后应用访问关系策略，包括：
16.获取所述目标服务器的迁移后ip地址；
17.将所述迁移前应用访问关系策略中的与迁移前ip地址相同的原始ip地址替换为所述目标服务器的迁移后ip地址，以形成所述目标服务器的迁移后应用访问关系策略；其中，所述原始ip地址包括源ip地址和/或目的ip地址；
18.其中，所述迁移后应用访问关系策略用于存储所述迁移后ip地址对应的源ip地址、目的ip地址和应用访问关系数据之间的对应关系。
19.进一步地，所述基于所述迁移后应用访问关系策略和预设的防火墙路由信息表，确定所述目标服务器对应的目标防火墙设备的防火墙设备ip地址，包括：
20.自预设的目标数据库中调取预存储的防火墙路由信息表，其中，该防火墙路由信息表用于存储各个防火墙设备的各个所述防火墙设备的设备名称、防火墙设备ip地址、各个区域名称和各个区域分别对应的网络ip地址段之间的对应关系；
21.根据所述迁移后应用访问关系策略中的源ip地址和目的ip地址，以及所述防火墙路由信息表，确定所述目标服务器对应的待实施所述迁移后应用访问关系策略的至少一个目标防火墙设备，并记录所述目标防火墙设备的防火墙设备ip地址。
22.进一步地，所述若在所述防火墙策略关键信息表中未查询到包含有所述目标防火墙设备的防火墙设备ip地址和所述迁移后应用访问关系策略之间的对应关系，则生成所述目标防火墙设备对应的防火墙策略，包括：
23.根据所述目标防火墙设备的防火墙设备ip地址和所述迁移后应用访问关系策略，查询所述防火墙策略关键信息表中是否包含有所述目标防火墙设备的防火墙设备ip地址和所述迁移后应用访问关系策略之间的对应关系，若否，则在预设的防火墙设备表中确定所述目标防火墙设备的防火墙设备ip地址对应的设备类型；
24.其中，所述防火墙设备表用于存储各个防火墙设备的防火墙设备ip地址和设备类型之间的对应关系；
25.根据所述目标防火墙设备对应的设备类型和所述迁移后应用访问关系策略，生成所述目标防火墙设备对应的防火墙策略。
26.进一步地，所述将该防火墙策略写入所述目标防火墙设备，包括：
27.根据所述目标防火墙设备的ip地址和预设的防火墙设备表，远程登录到所述目标防火墙设备上，其中，所述防火墙设备表用于存储各个防火墙设备的防火墙设备ip地址和设备类型之间的对应关系；
28.在所述目标防火墙设备上写入并存储所述目标防火墙设备对应的防火墙策略。
29.进一步地，在所述根据当前应用系统已迁移至云平台的目标服务器的迁移前ip地址和预设的防火墙策略关键信息表，获取所述目标服务器的迁移前应用访问关系策略之前，还包括：
30.将预设的各个防火墙设备信息分别存储至防火墙设备表中，其中，该防火墙设备表用于存储各个防火墙设备的防火墙设备ip地址和设备类型之间的对应关系；所述设备类型包括：防火墙设备的设备名称、远程登录方式、设备类型和管理端口之间的对应关系；
31.根据所述防火墙设备表周期性地分别抓取各个所述防火墙设备各自对应的配置信息；
32.将各个所述防火墙设备各自对应的配置信息进行打包处理，以得到格式化后的配置文件；
33.自所述配置文件中提取各个所述防火墙设备分别对应的路由信息，其中，所述路由信息包括：对应的防火墙设备所属的区域名称和区域对应的网络ip地址段；
34.根据各个所述防火墙设备分别对应的路由信息生成防火墙路由信息表，其中，所述防火墙路由信息表用于存储各个所述防火墙设备的设备名称、防火墙设备ip地址、区域名称和区域对应的网络ip地址段；
35.自所述配置文件中提取各个所述防火墙设备分别对应的防火墙策略关键信息，其中，所述防火墙策略关键信息包括：对应防火墙设备的源ip地址、目的ip地址和应用访问关系数据，所述应用访问关系数据包括：传输协议类型、是否许可标识、目的端口、时间范围、是否长连接和长连接时间之间的对应关系；
36.根据各个所述防火墙设备分别对应的防火墙策略关键信息生成初始防火墙策略关键信息表，其中，所述防火墙策略关键信息表用于存储各个所述防火墙设备的防火墙设备ip地址、源ip地址、目的ip地址和应用访问关系数据之间的对应关系；
37.对所述初始防火墙策略关键信息表进行信息清洗处理，以得到过滤无效数据后的防火墙策略关键信息表；
38.将所述防火墙路由信息表和防火墙策略关键信息表入存储至预设的目标数据库。
39.第二方面，本技术提供一种防火墙策略迁移装置，包括：
40.策略生成模块，用于根据当前应用系统已迁移至云平台的目标服务器的迁移前ip地址和预设的防火墙策略关键信息表，获取所述目标服务器的迁移前应用访问关系策略，并根据该迁移前应用访问关系策略生成所述目标服务器的迁移后应用访问关系策略；
41.防火墙确定模块，用于基于所述迁移后应用访问关系策略和预设的防火墙路由信息表，确定所述目标服务器对应的目标防火墙设备的防火墙设备ip地址；
42.策略迁移模块，用于若在所述防火墙策略关键信息表中未查询到包含有所述目标防火墙设备的防火墙设备ip地址和所述迁移后应用访问关系策略之间的对应关系，则生成所述目标防火墙设备对应的防火墙策略，并将该防火墙策略写入所述目标防火墙设备。
43.第三方面，本技术提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现所述的防火墙策略迁移方法。
44.第四方面，本技术提供一种计算机可读存储介质，其上存储有计算机程序，该计算
机程序被处理器执行时实现所述的防火墙策略迁移方法。
45.由上述技术方案可知，本技术提供的一种防火墙策略迁移方法及装置，方法包括：根据当前应用系统已迁移至云平台的目标服务器的迁移前ip地址和预设的防火墙策略关键信息表，获取所述目标服务器的迁移前应用访问关系策略，并根据该迁移前应用访问关系策略生成所述目标服务器的迁移后应用访问关系策略；基于所述迁移后应用访问关系策略和预设的防火墙路由信息表，确定所述目标服务器对应的目标防火墙设备的防火墙设备ip地址；若在所述防火墙策略关键信息表中未查询到包含有所述目标防火墙设备的防火墙设备ip地址和所述迁移后应用访问关系策略之间的对应关系，则生成所述目标防火墙设备对应的防火墙策略，并将该防火墙策略写入所述目标防火墙设备；通过预设防火墙策略关键信息表，能够有效提高生成当前应用系统已迁移至云平台的目标服务器的迁移后应用访问关系策略的自动化程度及可靠性，进而能够有效提高获取迁移后应用访问关系策略的效率；通过预设防火墙路由信息表，能够有效提高确定目标服务器对应的待实施应用访问关系策略的目标防火墙设备的自动化程度及可靠性，进而能够有效提高确定目标服务器对应的待实施应用访问关系策略的目标防火墙设备的效率；通过若在所述防火墙策略关键信息表中未查询到包含有所述目标防火墙设备的防火墙设备ip地址和所述迁移后应用访问关系策略之间的对应关系，则生成所述目标防火墙设备对应的防火墙策略，并将该防火墙策略写入所述目标防火墙设备，能够有效提高生成防火墙策略的有效性、准确性及可靠性，并能够有效提高生成防火墙策略的自动化程度及效率，能够降低防火墙策略迁移过程中出现问题的数量及风险；进而能够有效提高将目标服务器的应用系统迁移至云平台过程的可靠性及安全性，并能够有效提高云平台的运行稳定性及可靠性，提高运维人员的用户体验。
附图说明
46.为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
47.图1是本技术实施例中的防火墙策略迁移装置分别与客户端设备、各个防火墙设备及目标数据库之间的连接关系示意图。
48.图2是本技术实施例中的防火墙策略迁移方法的第一种流程示意图。
49.图3是本技术实施例中的防火墙策略迁移方法的第二种流程示意图。
50.图4是本技术实施例中的防火墙策略迁移方法的第三种流程示意图。
51.图5是本技术实施例中的防火墙策略迁移方法的第四种流程示意图。
52.图6是本技术实施例中的防火墙策略迁移方法的第五种流程示意图。
53.图7是本技术实施例中的防火墙策略迁移方法的第六种流程示意图。
54.图8是本技术实施例中的防火墙策略迁移方法的第七种流程示意图。
55.图9是本技术实施例中的防火墙策略迁移装置的结构示意图。
56.图10是本技术应用实例提供的防火墙策略迁移系统的功能示意图。
57.图11是本技术应用实例提供的防火墙配置解析模块103的结构示意图。
58.图12是本技术应用实例提供的防火墙策略自动实施模块106的结构示意图。
59.图13是本技术应用实例提供的应用防火墙策略迁移系统实现的防火墙策略迁移方法的流程图。
60.图14是本技术实施例中的电子设备的结构示意图。
具体实施方式
61.为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整的描述，显然，所描述的实施例是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
62.需要说明的是，本技术公开的防火墙策略迁移方法和装置可用于云计算技术领域，也可用于除云计算技术领域之外的任意领域，本技术公开的防火墙策略迁移方法和装置的应用领域不做限定。
63.针对现有的防火墙策略迁移方式，需要人为设置当前应用系统已迁移至云平台的目标服务器的防火墙策略并将该防火墙策略进行人工迁移，但由于应用访问关系极其复杂，因此该种方式存在防火墙策略迁移效率低、容易遗漏导致的迁移可靠性差以及迁移过程风险高等问题，本技术实施例提供一种防火墙策略迁移方法，能够有效提高防火墙策略迁移的有效性、准确性及可靠性，并能够有效提高防火墙策略迁移的自动化程度及效率，进而能够有效提高将目标服务器的应用系统迁移至云平台过程的可靠性及安全性。
64.基于上述内容，本技术还提供一种用于实现本技术一个或多个实施例中提供的防火墙策略迁移方法的防火墙策略迁移装置，该防火墙策略迁移装置可以为一服务器，参见图1，该防火墙策略迁移装置可以自行或通过第三方服务器等与各个客户端设备、各个防火墙设备、目标数据库等设备之间通信连接，防火墙策略迁移装置可以自行或通过第三方服务器接收客户端设备发送的防火墙策略迁移指令，并根据该防火墙策略迁移指令获取对应的当前应用系统已迁移至云平台的目标服务器的迁移前ip地址和迁移后ip地址；根据当前应用系统已迁移至云平台的目标服务器的迁移前ip地址和预设的防火墙策略关键信息表，获取所述目标服务器的迁移前应用访问关系策略，并根据该迁移前应用访问关系策略生成所述目标服务器的迁移后应用访问关系策略，基于所述迁移后应用访问关系策略和预设的防火墙路由信息表，确定所述目标服务器对应的目标防火墙设备的防火墙设备ip地址；若在所述防火墙策略关键信息表中未查询到包含有所述目标防火墙设备的防火墙设备ip地址和所述迁移后应用访问关系策略之间的对应关系，则生成所述目标防火墙设备对应的防火墙策略，并将该防火墙策略写入所述目标防火墙设备，而后防火墙策略迁移装置可以将防火墙策略迁移结果发送至客户端设备进行显示等。
65.在另一种实际应用情形中，前述的防火墙策略迁移装置进行防火墙策略迁移的部分可以在如上述内容的服务器中执行，也可以所有的操作都在所述用户端设备中完成。具体可以根据所述用户端设备的处理能力，以及用户使用场景的限制等进行选择。本技术对此不作限定。若所有的操作都在所述用户端设备中完成，所述用户端设备还可以包括处理器，用于防火墙策略迁移的具体处理。
66.可以理解的是，所述移动终端可以包括智能手机、平板电子设备、网络机顶盒、便携式计算机、个人数字助理(pda)、车载设备、智能穿戴设备等任何能够装载应用的移动设
备。其中，所述智能穿戴设备可以包括智能眼镜、智能手表、智能手环等。
67.上述的移动终端可以具有通信模块(即通信单元)，可以与远程的服务器进行通信连接，实现与所述服务器的数据传输。所述服务器可以包括任务调度中心一侧的服务器，其他的实施场景中也可以包括中间平台的服务器，例如与任务调度中心服务器有通信链接的第三方服务器平台的服务器。所述的服务器可以包括单台计算机设备，也可以包括多个服务器组成的服务器集群，或者分布式装置的服务器结构。
68.上述服务器与所述移动终端之间可以使用任何合适的网络协议进行通信，包括在本技术提交日尚未开发出的网络协议。所述网络协议例如可以包括tcp/ip协议、udp/ip协议、http协议、https协议等。当然，所述网络协议例如还可以包括在上述协议之上使用的rpc协议(remote procedure call protocol，远程过程调用协议)、rest协议(representational state transfer，表述性状态转移协议)等。
69.在本技术的一个或多个实施例中，防火墙策略是指：为确保企业局域网内部it系统安全可控，避免网络区域内外部恶意或异常流量侵害it系统正常运行，通过输入并执行程序操作命令的方式部署在防火墙设备操作系统上，针对允许流量通过或者拒绝的预定义规则。
70.具体通过下述各个实施例及应用实例分别进行详细说明。
71.为了解决现有的防火墙策略迁移方式存在防火墙策略迁移效率低、容易遗漏导致的迁移可靠性差以及迁移过程风险高等问题，本技术提供一种防火墙策略迁移方法的实施例，参见图2，基于防火墙策略迁移装置执行的所述防火墙策略迁移方法具体包含有如下内容：
72.步骤100：根据当前应用系统已迁移至云平台的目标服务器的迁移前ip地址和预设的防火墙策略关键信息表，获取所述目标服务器的迁移前应用访问关系策略，并根据该迁移前应用访问关系策略生成所述目标服务器的迁移后应用访问关系策略。
73.可以理解的是，步骤100的触发条件可以为：接收到客户端设备发送的防火墙策略迁移指令，并根据该防火墙策略迁移指令获取对应的当前应用系统已迁移至云平台的目标服务器的迁移前ip地址和迁移后ip地址，其中，该迁移后ip地址在后续步骤中会用到，为了提高数据处理的效率并降低数据冗余，可以在步骤100时与所述迁移前ip地址一并获取。
74.另外，为了更进一步地提高防火墙策略迁移的自动化及智能化程度，减少人工参与，步骤100的触发条件还可以为：防火墙策略迁移装置周期性或实时检测当前是否存在应用系统已迁移至云平台的服务器，若有，则将该服务器确定为当前需要进行防火墙策略迁移判断等操作的目标服务器。
75.步骤200：基于所述迁移后应用访问关系策略和预设的防火墙路由信息表，确定所述目标服务器对应的目标防火墙设备的防火墙设备ip地址。
76.步骤300：若在所述防火墙策略关键信息表中未查询到包含有所述目标防火墙设备的防火墙设备ip地址和所述迁移后应用访问关系策略之间的对应关系，则生成所述目标防火墙设备对应的防火墙策略，并将该防火墙策略写入所述目标防火墙设备。
77.在步骤300中，若在所述防火墙策略关键信息表中查询到了包含有所述目标防火墙设备的防火墙设备ip地址和所述迁移后应用访问关系策略之间的对应关系，则说明所述目标服务器如云后的防火墙策略已经存在，因此无需继续进行防火墙策略迁移过程，当前
流程可以结束。
78.从上述描述可知，本技术实施例提供的防火墙策略迁移方法，通过预设防火墙策略关键信息表，能够有效提高生成当前应用系统已迁移至云平台的目标服务器的迁移后应用访问关系策略的自动化程度及可靠性，进而能够有效提高获取迁移后应用访问关系策略的效率；通过预设防火墙路由信息表，能够有效提高确定目标服务器对应的待实施应用访问关系策略的目标防火墙设备的自动化程度及可靠性，进而能够有效提高确定目标服务器对应的待实施应用访问关系策略的目标防火墙设备的效率；通过若在所述防火墙策略关键信息表中未查询到包含有所述目标防火墙设备的防火墙设备ip地址和所述迁移后应用访问关系策略之间的对应关系，则生成所述目标防火墙设备对应的防火墙策略，并将该防火墙策略写入所述目标防火墙设备，能够有效提高生成防火墙策略的有效性、准确性及可靠性，并能够有效提高生成防火墙策略的自动化程度及效率，能够降低防火墙策略迁移过程中出现问题的数量及风险；进而能够有效提高将目标服务器的应用系统迁移至云平台过程的可靠性及安全性，并能够有效提高云平台的运行稳定性及可靠性，提高运维人员的用户体验。
79.为了实现自动获取所述目标服务器的迁移前应用访问关系策略，在本技术提供的防火墙策略迁移方法的一个实施例，参见图3，所述防火墙策略迁移方法的步骤100具体包含有如下内容：
80.步骤110：获取当前应用系统已迁移至云平台的目标服务器的迁移前ip地址；
81.步骤120：自预设的目标数据库中调取预存储的防火墙策略关键信息表，其中，该防火墙策略关键信息表用于存储各个防火墙设备的防火墙设备ip地址、源ip地址、目的ip地址和应用访问关系数据之间的对应关系；
82.步骤130：在所述防火墙策略关键信息表中查找是否包含有与所述迁移前ip地址相同的原始ip地址，其中，所述原始ip地址包括所述源ip地址和/或目的ip地址；
83.若有，则执行步骤140；若无，则当前流程结束。
84.步骤140：将与所述迁移前ip地址相同的地址对应的应用访问关系数据确定为所述目标服务器的迁移前应用访问关系策略。
85.步骤150：根据该迁移前应用访问关系策略生成所述目标服务器的迁移后应用访问关系策略。
86.具体来说，可以获取当前迁入云平台或云系统的目标服务器的迁移前ip地址，并根据该迁移前ip地址，自所述目标数据库中调取所述防火墙策略关键信息表，并自所述防火墙策略关键信息表中存储的各个所述源ip地址和各个所述目的ip地址中查找是否包含有该迁移前ip地址，若是，则获取该迁移前ip地址在所述防火墙策略关键信息表中对应的应用访问关系策略以作为迁移前应用访问关系策略，其中，该应用访问关系策略具体可以包含有：迁移前ip地址对应的源ip地址、目的ip地址、传输协议类型、是否许可标识、目的端口、时间范围、是否长连接和长连接时间之间的对应关系。
87.从上述描述可知，本技术实施例提供的防火墙策略迁移方法，通过在所述防火墙策略关键信息表中的各个源ip地址和目的ip地址中查找是否有与所述迁移前ip地址相同的地址，能够实现自动获取所述目标服务器的迁移前应用访问关系策略，能够有效提高获取目标服务器的迁移前应用访问关系策略的自动化程度及可靠性，并能够有效提高获取迁
移前应用访问关系策略的效率，以进一步提高防火墙策略迁移的可靠性、自动化程度及效率。
88.为了实现自动获取所述目标服务器的迁移后应用访问关系策略，在本技术提供的防火墙策略迁移方法的一个实施例，参见图4，所述防火墙策略迁移方法的步骤150具体包含有如下内容：
89.步骤151：获取所述目标服务器的迁移后ip地址。
90.步骤152：将所述迁移前应用访问关系策略中的与迁移前ip地址相同的原始ip地址替换为所述目标服务器的迁移后ip地址，以形成所述目标服务器的迁移后应用访问关系策略；其中，所述原始ip地址包括源ip地址和/或目的ip地址；其中，所述迁移后应用访问关系策略用于存储所述迁移后ip地址对应的源ip地址、目的ip地址和应用访问关系数据之间的对应关系。
91.从上述描述可知，本技术实施例提供的防火墙策略迁移方法，通过将所述迁移前应用访问关系策略中的与迁移前ip地址相同的原始ip地址替换为所述目标服务器的迁移后ip地址，能够实现自动获取所述目标服务器的迁移后应用访问关系策略，能够有效提高获取目标服务器的迁移后应用访问关系策略的自动化程度及可靠性，并能够有效提高获取迁移后应用访问关系策略的效率，以进一步提高防火墙策略迁移的可靠性、自动化程度及效率。
92.为了实现自动识别所述目标服务器对应的目标防火墙设，在本技术提供的防火墙策略迁移方法的一个实施例，参见图5，所述防火墙策略迁移方法的步骤200具体包含有如下内容：
93.步骤210：自预设的目标数据库中调取预存储的防火墙路由信息表，其中，该防火墙路由信息表用于存储各个防火墙设备的各个所述防火墙设备的设备名称、防火墙设备ip地址、各个区域名称和各个区域分别对应的网络ip地址段之间的对应关系。
94.步骤220：根据所述迁移后应用访问关系策略中的源ip地址和目的ip地址，以及所述防火墙路由信息表，确定所述目标服务器对应的待实施所述迁移后应用访问关系策略的至少一个目标防火墙设备，并记录所述目标防火墙设备的防火墙设备ip地址。
95.具体来说，根据所述迁移后应用访问关系策略中的源ip地址和目的ip地址，以及所述防火墙路由信息表，若源ip地址与某个防火墙设备的区域zone对应的网络ip地址段有交集，且目的ip地址与该防火墙设备的另一区域zone对应的网络ip地址段也有交集，则确定要在该台防火墙设备上实施应用访问关系策略，即将该防火墙设备确定为所述目标服务器对应的待实施应用访问关系策略的目标防火墙设备以及该目标防火墙设备的防火墙设备ip地址。
96.从上述描述可知，本技术实施例提供的防火墙策略迁移方法，通过根据所述迁移后应用访问关系策略中的源ip地址和目的ip地址，以及所述防火墙路由信息表，确定所述目标服务器对应的待实施所述迁移后应用访问关系策略的至少一个目标防火墙设备，能够实现自动识别所述目标服务器对应的目标防火墙设备，能够有效提高确定目标防火墙设备的自动化程度及可靠性，并能够有效提高确定目标防火墙设备的效率，以进一步提高防火墙策略迁移的可靠性、自动化程度及效率。
97.为了实现自动识别目标服务器如云后的防火墙策略是否已经存在，在本技术提供
的防火墙策略迁移方法的一个实施例，参见图6，所述防火墙策略迁移方法的步骤300具体包含有如下内容：
98.步骤310：根据所述目标防火墙设备的防火墙设备ip地址和所述迁移后应用访问关系策略，查询所述防火墙策略关键信息表中是否包含有所述目标防火墙设备的防火墙设备ip地址和所述迁移后应用访问关系策略之间的对应关系，若否，则在预设的防火墙设备表中确定所述目标防火墙设备的防火墙设备ip地址对应的设备类型；其中，所述防火墙设备表用于存储各个防火墙设备的防火墙设备ip地址和设备类型之间的对应关系。
99.步骤320：根据所述目标防火墙设备对应的设备类型和所述迁移后应用访问关系策略，生成所述目标防火墙设备对应的防火墙策略。
100.具体来说，可以根据所述目标防火墙设备的防火墙设备ip地址和所述迁移后应用访问关系策略，查询所述防火墙策略关键信息表中是否包含有所述目标防火墙设备的防火墙设备ip地址和所述迁移后应用访问关系策略之间的对应关系；
101.若有，则说明所述目标服务器如云后的防火墙策略已经存在，因此无需继续开通，当前流程结束；
102.若无，则在所述防火墙设备表中，确定所述目标防火墙设备的防火墙设备ip地址对应的设备类型(例如：设备名称、远程登录方式、设备类型和管理端口等)，根据所述目标防火墙设备对应的设备类型和所述迁移后应用访问关系策略，生成所述目标防火墙设备对应的防火墙策略。
103.步骤330：将该防火墙策略写入所述目标防火墙设备。
104.从上述描述可知，本技术实施例提供的防火墙策略迁移方法，通过根据所述目标防火墙设备的防火墙设备ip地址和所述迁移后应用访问关系策略，查询所述防火墙策略关键信息表中是否包含有所述目标防火墙设备的防火墙设备ip地址和所述迁移后应用访问关系策略之间的对应关系，能够实现自动识别目标服务器如云后的防火墙策略是否已经存在，并能够有效提高生成目标防火墙设备对应的防火墙策略的自动化程度及可靠性，提高确定生成目标防火墙设备对应的防火墙策略的效率，以进一步提高防火墙策略迁移的可靠性、自动化程度及效率。
105.为了提高远程登录到所述目标防火墙设备的可靠性及效率，在本技术提供的防火墙策略迁移方法的一个实施例，参见图7，所述防火墙策略迁移方法中的步骤330具体包含有如下内容：
106.步骤331：根据所述目标防火墙设备的ip地址和预设的防火墙设备表，远程登录到所述目标防火墙设备上，其中，所述防火墙设备表用于存储各个防火墙设备的防火墙设备ip地址和设备类型之间的对应关系；
107.步骤332：在所述目标防火墙设备上写入并存储所述目标防火墙设备对应的防火墙策略。
108.从上述描述可知，本技术实施例提供的防火墙策略迁移方法，通过根据所述目标防火墙设备的ip地址和预设的防火墙设备表，远程登录到所述目标防火墙设备上，能够有效提高远程登录到所述目标防火墙设备的可靠性及效率，进而能够有效提高在所述目标防火墙设备上写入并存储所述目标防火墙设备对应的防火墙策略的可靠性及效率，以进一步提高防火墙策略迁移的可靠性、自动化程度及效率。
109.为了为后续应用防火墙路由信息表和防火墙策略关键信息表进行自动化的防火墙策略迁移提供有效且可靠的数据基础，在本技术提供的防火墙策略迁移方法的一个实施例，参见图8，所述防火墙策略迁移方法中的步骤100之前还具体包含有如下内容：
110.步骤010：将预设的各个防火墙设备信息分别存储至防火墙设备表中，其中，该防火墙设备表用于存储各个防火墙设备的防火墙设备ip地址和设备类型之间的对应关系；所述设备类型包括：防火墙设备的设备名称、远程登录方式、设备类型和管理端口之间的对应关系。
111.步骤020：根据所述防火墙设备表周期性地分别抓取各个所述防火墙设备各自对应的配置信息。
112.步骤030：将各个所述防火墙设备各自对应的配置信息进行打包处理，以得到格式化后的配置文件。
113.步骤040：自所述配置文件中提取各个所述防火墙设备分别对应的路由信息，其中，所述路由信息包括：对应的防火墙设备所属的区域名称和区域对应的网络ip地址段。
114.步骤050：根据各个所述防火墙设备分别对应的路由信息生成防火墙路由信息表，其中，所述防火墙路由信息表用于存储各个所述防火墙设备的设备名称、防火墙设备ip地址、区域名称和区域对应的网络ip地址段。
115.步骤060：自所述配置文件中提取各个所述防火墙设备分别对应的防火墙策略关键信息，其中，所述防火墙策略关键信息包括：对应防火墙设备的源ip地址、目的ip地址和应用访问关系数据，所述应用访问关系数据包括：传输协议类型、是否许可标识、目的端口、时间范围、是否长连接和长连接时间之间的对应关系。
116.步骤070：根据各个所述防火墙设备分别对应的防火墙策略关键信息生成初始防火墙策略关键信息表，其中，所述防火墙策略关键信息表用于存储各个所述防火墙设备的防火墙设备ip地址、源ip地址、目的ip地址和应用访问关系数据之间的对应关系。
117.步骤080：对所述初始防火墙策略关键信息表进行信息清洗处理，以得到过滤无效数据后的防火墙策略关键信息表。
118.步骤090：将所述防火墙路由信息表和防火墙策略关键信息表入存储至预设的目标数据库。
119.从上述描述可知，本技术实施例提供的防火墙策略迁移方法，通过预先创建防火墙设备表、防火墙路由信息表和防火墙策略关键信息表，能够为后续应用防火墙路由信息表和防火墙策略关键信息表进行自动化的防火墙策略迁移提供有效且可靠的数据基础，进而能够进一步提高防火墙策略迁移的效率及自动化程度，并提高防火墙策略迁移结果的可靠性及准确性。
120.基于上述内容，在本技术提供的防火墙策略迁移方法的一个实施例，所述防火墙策略迁移方法的完整判断过程可以具体包含有如下内容：
121.s1：将预设的各个防火墙设备信息分别存储至防火墙设备表中，其中，该防火墙设备表用于存储各个防火墙设备的设备名称、防火墙设备ip地址、远程登录方式、设备类型和管理端口之间的对应关系。
122.s2：根据防火墙设备表中记录的各个防火墙设备信息，周期性地自各个所述防火墙设备上分别抓取各个所述防火墙设备各自对应的配置信息。
123.s3：将各个所述防火墙设备各自对应的配置信息进行整体打包处理，以得到对应的格式化后的配置文件。
124.s4：自所述配置文件中提取各个所述防火墙设备分别对应的路由信息，其中，所述路由信息包括：对应的防火墙设备所属的区域zone名称和区域zone对应的网络ip地址段；
125.s5：根据各个所述防火墙设备分别对应的路由信息生成防火墙路由信息表，其中，所述防火墙路由信息表用于存储各个所述防火墙设备的设备名称、防火墙设备ip地址、区域zone名称和区域zone对应的网络ip地址段之间的对应关系。
126.s6：自所述配置文件中提取各个所述防火墙设备分别对应的防火墙策略关键信息，其中，所述防火墙策略关键信息包括：对应的防火墙设备的源ip地址、目的ip地址、传输协议类型、是否许可标识、目的端口、时间范围、是否长连接和长连接时间。其中，传输协议类型、是否许可标识、目的端口、时间范围、是否长连接和长连接时间均为应用访问关系数据。
127.s7：根据各个所述防火墙设备分别对应的防火墙策略关键信息生成初始防火墙策略关键信息表，其中，所述防火墙策略关键信息表用于存储各个所述防火墙设备的防火墙设备ip地址、源ip地址、目的ip地址、传输协议类型、是否许可标识、目的端口、时间范围、是否长连接和长连接时间之间的对应关系。
128.s8：对所述初始防火墙策略关键信息表中的防火墙策略关键信息进行信息清洗处理，以得到无效数据过滤后的防火墙策略关键信息表。
129.其中，所述信息清洗具体可以包含有：
130.(1)过期策略过滤；
131.(2)重复策略去除，包括：防火墙策略合并以及优化等。
132.s9：将防火墙路由信息表和防火墙策略关键信息表入存储至目标数据库。
133.s10：获取当前迁入云平台或云系统的目标服务器的迁移前ip地址，并根据该迁移前ip地址，自所述目标数据库中调取所述防火墙策略关键信息表，并自所述防火墙策略关键信息表中存储的各个所述源ip地址和各个所述目的ip地址中查找是否包含有该迁移前ip地址，若是，则获取该迁移前ip地址在所述防火墙策略关键信息表中对应的应用访问关系策略以作为迁移前应用访问关系策略，其中，该应用访问关系策略具体可以包含有：迁移前ip地址对应的源ip地址、目的ip地址、传输协议类型、是否许可标识、目的端口、时间范围、是否长连接和长连接时间之间的对应关系。
134.s11：获取当前迁入云平台或云系统的目标服务器的迁移后ip地址，并将所述迁移前应用访问关系策略中的迁移前ip地址替换为所述迁移后ip地址，得到所述目标服务器对应的迁移后应用访问关系策略。
135.s12：根据所述迁移后应用访问关系策略中的源ip地址和目的ip地址，以及所述防火墙路由信息表，若源ip地址与某个防火墙设备的区域zone对应的网络ip地址段有交集，且目的ip地址与该防火墙设备的另一区域zone对应的网络ip地址段也有交集，则确定要在该台防火墙设备上实施应用访问关系策略，即将该防火墙设备确定为所述目标服务器对应的待实施应用访问关系策略的目标防火墙设备以及该目标防火墙设备的防火墙设备ip地址。
136.s13：根据所述目标防火墙设备的防火墙设备ip地址和所述迁移后应用访问关系
策略，查询所述防火墙策略关键信息表中是否包含有所述目标防火墙设备的防火墙设备ip地址和所述迁移后应用访问关系策略之间的对应关系；
137.若有，则说明所述目标服务器如云后的防火墙策略已经存在，因此无需继续开通，当前流程结束；
138.若无，则在所述防火墙设备表中，确定所述目标防火墙设备的防火墙设备ip地址对应的设备类型(例如：设备名称、远程登录方式、设备类型和管理端口等)。
139.s14：根据所述目标防火墙设备对应的设备类型和所述迁移后应用访问关系策略，生成所述目标防火墙设备对应的防火墙策略。
140.s15：根据所述目标防火墙设备的ip地址和所述防火墙设备表，远程登录到所述目标防火墙设备上，并在该目标防火墙设备上写入并存储所述目标防火墙设备对应的防火墙策略。
141.从软件层面来说，为了解决现有的防火墙策略迁移方式存在防火墙策略迁移效率低、容易遗漏导致的迁移可靠性差以及迁移过程风险高等问题，本技术提供一种用于执行所述防火墙策略迁移方法中全部或部分内容的防火墙策略迁移装置的实施例，参见图9，所述防火墙策略迁移装置具体包含有如下内容：
142.策略生成模块10，用于根据当前应用系统已迁移至云平台的目标服务器的迁移前ip地址和预设的防火墙策略关键信息表，获取所述目标服务器的迁移前应用访问关系策略，并根据该迁移前应用访问关系策略生成所述目标服务器的迁移后应用访问关系策略。
143.防火墙确定模块20，用于基于所述迁移后应用访问关系策略和预设的防火墙路由信息表，确定所述目标服务器对应的目标防火墙设备的防火墙设备ip地址。
144.策略迁移模块30，用于若在所述防火墙策略关键信息表中未查询到包含有所述目标防火墙设备的防火墙设备ip地址和所述迁移后应用访问关系策略之间的对应关系，则生成所述目标防火墙设备对应的防火墙策略，并将该防火墙策略写入所述目标防火墙设备。
145.本技术提供的防火墙策略迁移装置的实施例具体可以用于执行上述实施例中的防火墙策略迁移方法的实施例的处理流程，其功能在此不再赘述，可以参照上述方法实施例的详细描述。
146.从上述描述可知，本技术实施例提供的防火墙策略迁移装置，通过预设防火墙策略关键信息表，能够有效提高生成当前应用系统已迁移至云平台的目标服务器的迁移后应用访问关系策略的自动化程度及可靠性，进而能够有效提高获取迁移后应用访问关系策略的效率；通过预设防火墙路由信息表，能够有效提高确定目标服务器对应的待实施应用访问关系策略的目标防火墙设备的自动化程度及可靠性，进而能够有效提高确定目标服务器对应的待实施应用访问关系策略的目标防火墙设备的效率；通过若在所述防火墙策略关键信息表中未查询到包含有所述目标防火墙设备的防火墙设备ip地址和所述迁移后应用访问关系策略之间的对应关系，则生成所述目标防火墙设备对应的防火墙策略，并将该防火墙策略写入所述目标防火墙设备，能够有效提高生成防火墙策略的有效性、准确性及可靠性，并能够有效提高生成防火墙策略的自动化程度及效率，能够降低防火墙策略迁移过程中出现问题的数量及风险；进而能够有效提高将目标服务器的应用系统迁移至云平台过程的可靠性及安全性，并能够有效提高云平台的运行稳定性及可靠性，提高运维人员的用户体验。
147.为了进一步说明本方案，本技术应用实例提供一种应用防火墙策略迁移系统实现的防火墙策略迁移方法，涉及计算机网络技术领域，为克服现有网络运维技术中的不足，本技术应用实例的核心思想是无需应用维护人员提供应用访问关系，通过对防火墙设备定时抓取的配置文件的配置解析，实现入云服务器原有访问关系的自动识别梳理，并根据入云服务器迁移前后的ip地址，实现服务器入云安全策略的自动迁移。提高了服务器入云安全策略迁移的准确性，提升了运维效率。
148.本技术应用实例提供一种基于服务器入云的安全策略一键迁移的应用防火墙策略迁移系统，通过对防火墙设备定时抓取的配置文件的配置解析，获取路由信息和防火墙策略关键信息，并存入数据库，根据入云服务器迁移前ip地址查询数据库，获取入云服务器迁移前的应用访问关系策略，通过ip地址替换，获得入云服务器迁移后的应用访问关系策略，并自动实施迁移后的应用访问关系策略，实现服务器入云安全策略的自动迁移，节省了迁移时间，降低了人力损耗，大幅提升了工作效率。
149.参见图10，应用防火墙策略迁移系统分为外部数据模块101、防火墙配置抓取模块102、防火墙配置解析模块103、防火墙策略查询模块104、防火墙策略替换模块105和防火墙策略自动实施模块106这六个功能模块。
150.各模块工作原理及技术方案如下：
151.(1)外部数据模块101，用于将防火墙设备表导入数据库，防火墙设备表包括防火墙设备名称、防火墙设备ip地址、远程登录方式、设备类型、管理端口等信息，为防火墙配置抓取模块102提供输入信息。
152.(2)防火墙配置抓取模块102，用于根据防火墙设备表中的信息实现对防火墙设备配置信息的抓取，即定期通过ssh或telnet方式远程登录到各区域不同类型的防火墙设备上，执行对应类型火墙设备的配置抓取指令并通过ftp或sftp的方式上送，整合打包为格式化文件，为防火墙配置解析模块103提供输入信息。
153.(3)防火墙配置解析模块103，用于实现对获取到的防火墙设备配置信息进行解析，提取出防火墙路由信息和防火墙策略关键信息。该模块通过配置文件接收单元接收防火墙配置抓取模块格式化后的配置文件，进入防火墙路由信息提取单元。防火墙路由信息提取单元对配置文件中的路由信息进行提取，包括防火墙设备ip地址、防火墙设备名称、区域zone名称、zone所对应的网络ip地址段，进入防火墙策略关键信息提取单元。防火墙策略关键信息提取单元对配置文件信息进行提取，获得防火墙策略关键信息，包括防火墙设备ip地址、源ip地址、目的ip地址、协议类型、permit/deny、目的端口、时间范围、是否长连接以及长连接时间，进入防火墙策略关键信息清洗单元。防火墙策略关键信息清洗单元对提取出的防火墙策略关键信息进行过期策略过滤、重复策略去除、包含策略合并以及优化，最后进入存储单元。存储单元对获取到的路由信息、清洗后的防火墙策略关键信息分别汇总并以路由信息表、防火墙策略关键信息表存入数据库。
154.其中，参见图11，防火墙配置解析模块103具体包含有：配置文件接收单元21、防火墙路由信息提取单元22、防火墙策略关键信息提取单元23、防火墙策略关键信息清洗单元24和存储单元25。
155.(4)防火墙策略查询模块104，用于实现根据入云服务器迁移前的ip地址对数据库中的防火墙策略关键信息表进行查询，获取入云服务器迁移前的应用访问关系策略，为105
防火墙策略替换模块提供输入信息。
156.(5)防火墙策略替换模块105，用于实现将入云服务器迁移前的应用访问关系策略中的入云服务器迁移前的ip地址替换为入云服务器迁移后的ip地址，获取入云服务器迁移后的应用访问关系策略，为106防火墙策略自动实施模块提供输入信息；
157.(6)防火墙策略自动实施模块106，用于自动实施入云服务器迁移后的应用访问关系策略，实现服务器入云安全策略的自动迁移。该模块首先进入确定实施设备单元，该单元根据迁移后的应用访问关系策略中的源ip地址和目的ip地址，分别与数据库中的路由信息表中的zone所对应的网络ip地址段取交集，得出源ip地址和目的ip地址所属的zone区域，从而确定要实施应用访问关系策略的防火墙设备，进入应用访问关系策略查询单元。应用访问关系策略查询单元根据防火墙设备ip地址、迁移后的应用访问关系策略中的源ip地址、目的ip地址、协议类型、permit/deny、目的端口、时间范围、是否长连接以及长连接时间，对数据库中的防火墙策略关键信息表进行查询，如果查询出有对应记录，表明迁移后的应用访问关系策略已满足，无需开通；如果未查询出结果，则进入应用访问关系策略生成单元。应用访问关系策略生成单元根据上面确定的要实施应用访问关系策略的防火墙设备和数据库中的防火墙设备表，确定要实施防火墙策略的设备类型，根据设备类型和迁移后的应用访问关系策略，生成对应的防火墙策略，进入应用访问关系策略实施单元。应用访问关系策略实施单元，根据上面确定的要实施应用访问关系策略的防火墙设备和数据库中的防火墙设备表，通过ssh或telnet方式远程登录到确定要实施应用访问关系策略的防火墙设备上，执行命令写入上面生成的防火墙策略并保存。
158.其中，参见图12，防火墙策略自动实施模块106具体包含有：确定实施设备单元31、应用访问关系策略查询单元32、应用访问关系策略生成单元33和应用访问关系策略实施单元34。
159.参见图13，应用防火墙策略迁移系统实现的防火墙策略迁移方法具体包含有如下内容：
160.步骤401：导入防火墙设备表：外部数据模块101，将防火墙设备表导入数据库。防火墙设备表如下表1所示：
161.表1
‑
防火墙设备表
162.防火墙设备名称防火墙设备ip地址远程登录方式设备类型管理端口nc52fw0a
‑
b2192.168.1.1telnetjuniper_netscreen23bs54fw0a
‑
b1192.168.1.2sshjuniper_srx22
163.步骤402：抓取防火墙配置文件：防火墙配置抓取模块102，通过定时任务，定期自动抓取防火墙配置信息，整合打包为格式化文件。
164.例如：服务器上的定时抓取任务如下，每天早晨5点半从防火墙设备上nc52fw0a
‑
b2抓取配置信息并通过tftp的方式传输到服务器192.168.3.1上，整合打包为文件名为nc52fw0a
‑
b2的文件，例如表a1：
165.表a1
[0166][0167]
[0168]
步骤403：接收防火墙配置文件：防火墙配置解析模块103的配置文件接收单元21接收防火墙配置抓取模块102格式化后的配置文件。
[0169]
步骤404：提取防火墙路由信息：防火墙配置解析模块103的防火墙路由信息提取单元22对配置文件中的路由信息进行提取，配置文件nc52fw0a
‑
b2中具体的路由信息如表a2；
[0170]
表a2
[0171][0172]
根据配置文件nc52fw0a
‑
b2中的路由信息提取出区域zone名称，zone所对应的网络ip地址段，生成防火墙路由信息表，表的参数包括防火墙设备ip地址、防火墙设备名称、区域zone名称、zone所对应的网络ip地址段。
[0173]
防火墙路由信息表如下表2所示：
[0174]
表2
‑
防火墙路由信息表
[0175][0176]
步骤405：提取防火墙策略关键信息：防火墙配置解析模块103的防火墙策略关键信息提取单元23对配置文件信息进行防火墙策略关键信息提取，配置文件nc52fw0a
‑
b2中具体的防火墙策略如表a3；
[0177]
表a3
[0178][0179][0180]
其中"tr20190831"为“tr截止时间”的方式，定义策略截止时间的时间范围。
[0181]
根据配置文件nc52fw0a
‑
b2中的防火墙策略信息提取出源ip地址，目的ip地址、传输协议类型、permit/deny、目的端口、时间范围、是否长连接以及长连接时间生成初始防火墙策略关键信息表，表的参数包括防火墙ip地址、源ip地址、目的ip地址、传输协议类型、permit/deny、目的端口、时间范围、是否长连接以及长连接时间。
[0182]
初始防火墙策略关键信息表如下表3所示：
[0183]
表3
‑
初始防火墙策略关键信息表
[0184][0185]
步骤406：清洗防火墙策略关键信息：防火墙配置解析模块103的防火墙策略关键信息清洗单元24对提取出的防火墙策略关键信息进行清洗，包括过期策略过滤、重复策略去除、包含策略合并以及优化。
[0186]
例如：对于上个步骤生成的防火墙策略关键信息表，通过对时间范围与当前时间进行比对，可以得出时间范围为tr20190831的防火墙策略已过期，这条策略会被过滤掉，清洗后的防火墙策略关键信息表如下表4所示：
[0187]
表4
‑
防火墙策略关键信息表
[0188][0189]
步骤407：存储路由防火墙策略信息：防火墙配置解析模块103的存储单元25将路由信息、清洗后的防火墙策略关键信息以表的方式纳入目标数据库，即将之前步骤生成的防火墙路由信息表和防火墙策略关键信息表存入数据库。
[0190]
步骤408：查询迁移前应用访问关系策略：防火墙策略查询模块104根据输入的入云服务器迁移前的ip地址对纳入数据库的防火墙策略关键信息进行查询，获得入云服务器迁移前的应用访问关系策略。
[0191]
例如：入云服务器迁移前的ip地址为192.24.17.136，根据源ip地址为192.24.17.136或目的地址为192.24.17.136，对防火墙策略关键信息表进行查询，可以查到如下表5所示的应用访问关系：
[0192]
表5
‑
迁移前的ip地址对应的应用访问关系策略
[0193]
[0194]
步骤409：获取迁移后应用访问关系策略：防火墙策略替换模块105将入云服务器迁移前的应用访问关系策略中的入云服务器迁移前的ip地址替换为入云服务器迁移后的ip地址，获得入云服务器迁移后的应用访问关系策略。
[0195]
例如：入云服务器迁移后的ip地址为192.33.18.123，入云服务器迁移后的应用访问关系策略如表6所示：
[0196]
表6
‑
迁移后的ip地址对应的应用访问关系策略
[0197][0198]
步骤410：确定实施设备：防火墙策略自动实施模块106的确定实施设备单元31根据迁移后的应用访问关系策略中的源ip地址和目的ip地址以及数据库中的路由信息表，确定要实施应用访问关系策略的防火墙设备。
[0199]
例如：根据迁移后的应用访问关系策略中的源ip地址192.33.18.123和目的ip地址192.20.222.33以及之前步骤生成的防火墙路由信息表，确定要实施应用访问关系策略的防火墙设备。
[0200]
如果源ip地址与某台防火墙设备的某一个方向的zone所对应的网络ip地址段有交集，且目的ip地址与这台防火墙设备的另一个方向的zone所对应的网络ip地址段也有交集，可以确定要在该台防火墙设备上实施应用访问关系策略。
[0201]
源ip地址192.33.18.123与防火墙nc52fw0a
‑
b2的区域zone为c0nf的网络ip地址段192.24.0.0
‑
255.255.255.255有交集，且目的地址192.20.222.33与防火墙nc52fw0a
‑
b2的区域zone为b1nf的网络ip地址段192.20.0.0
‑
192.23.255.255有交集，可以确定要在防火墙nc52fw0a
‑
b2实施应用访问关系策略，对应ip地址为192.168.1.1。
[0202]
步骤411：查询策略是否满足：防火墙策略自动实施模块106的应用访问关系策略查询单元32根据上面确定的防火墙设备ip地址、迁移后的应用访问关系策略中的源ip地址、目的ip地址、协议类型、permit/deny、目的端口、时间范围、是否长连接以及长连接时间，对数据库中的防火墙策略关键信息表进行查询，如果查询出有对应记录，表明迁移后的应用访问关系策略已满足，无需开通，则跳转到结束；如果未查询出结果，则执行步骤412。迁移后的应用访问关系策略以及确定要实施策略的防火墙设备ip地址，即防火墙设备ip地址和所述迁移后应用访问关系策略之间的对应关系如下表7所示：
[0203]
表7
‑
防火墙设备ip地址和所述迁移后应用访问关系策略之间的对应关系
[0204][0205]
若在之前步骤生成的防火墙策略关键信息表中查询，没有查询到对应记录，执行步骤412。
[0206]
步骤412：生成迁移后应用访问关系策略：防火墙策略自动实施模块106的应用访
问关系策略生成单元33根据上面确定的要实施应用访问关系策略的防火墙设备和数据库中的防火墙设备表，确定要实施防火墙策略的设备类型，根据设备类型和迁移后的应用访问关系策略，生成对应的防火墙策略。
[0207]
例如：设备类型为juniper_netscreen，生成的防火墙策略如表a4：
[0208]
表a4
[0209][0210]
通过set policy top进行策略配置，策略执行成功后会自动生成id，其中top将策略置首。
[0211]
步骤413：实施迁移后应用访问关系策略：防火墙策略自动实施模块106的应用访问关系策略实施单元34根据上面确定的要实施应用访问关系策略的防火墙设备和数据库中的防火墙设备表，通过ssh或telnet方式远程登录到确定要实施应用访问关系策略的防火墙设备上，执行命令写入上面生成的防火墙策略并保存。
[0212]
例如：通过telnet方式远程登陆到防火墙设备nc52fw0a
‑
b2上，执行命令写入上步骤生成的防火墙策略，最后save保存退出。
[0213]
与现有技术相比，本技术应用实例的有益效果是：
[0214]
(1)服务器入云安全策略迁移由it人员纯人工维护更新为系统自动迁移方式，节省了迁移时间，降低了人力损耗，大幅提升了工作效率；
[0215]
(2)应用访问关系由应用维护人员纯人工维护更新为系统自动获取的方式，应用访问关系维护的准确性和全面性得到大幅改善；
[0216]
(3)降低数据中心it人员重复性劳动工作量，在数据中心内部每月减少约30人天的人力成本投入，降低了网络运维压力，提升了运维效率。
[0217]
从硬件层面来说，为了解决现有的防火墙策略迁移方式存在防火墙策略迁移效率低、容易遗漏导致的迁移可靠性差以及迁移过程风险高等问题，本技术提供一种用于实现所述防火墙策略迁移方法中的全部或部分内容的电子设备的实施例，所述电子设备具体包含有如下内容：
[0218]
图14为本技术实施例的电子设备9600的系统构成的示意框图。如图14所示，该电子设备9600可以包括中央处理器9100和存储器9140；存储器9140耦合到中央处理器9100。值得注意的是，该图14是示例性的；还可以使用其他类型的结构，来补充或代替该结构，以实现电信功能或其他功能。
[0219]
在一实施例中，防火墙策略迁移功能可以被集成到中央处理器中。其中，中央处理器可以被配置为进行如下控制：
[0220]
步骤100：根据当前应用系统已迁移至云平台的目标服务器的迁移前ip地址和预设的防火墙策略关键信息表，获取所述目标服务器的迁移前应用访问关系策略，并根据该迁移前应用访问关系策略生成所述目标服务器的迁移后应用访问关系策略。
[0221]
步骤200：基于所述迁移后应用访问关系策略和预设的防火墙路由信息表，确定所述目标服务器对应的目标防火墙设备的防火墙设备ip地址。
[0222]
步骤300：若在所述防火墙策略关键信息表中未查询到包含有所述目标防火墙设备的防火墙设备ip地址和所述迁移后应用访问关系策略之间的对应关系，则生成所述目标
防火墙设备对应的防火墙策略，并将该防火墙策略写入所述目标防火墙设备。
[0223]
在另一个实施方式中，防火墙策略迁移装置可以与中央处理器9100分开配置，例如可以将防火墙策略迁移装置配置为与中央处理器9100连接的芯片，通过中央处理器的控制来实现防火墙策略迁移功能。
[0224]
如图14所示，该电子设备9600还可以包括：通信模块9110、输入单元9120、音频处理器9130、显示器9160、电源9170。值得注意的是，电子设备9600也并不是必须要包括图14中所示的所有部件；此外，电子设备9600还可以包括图14中没有示出的部件，可以参考现有技术。
[0225]
如图14所示，中央处理器9100有时也称为控制器或操作控件，可以包括微处理器或其他处理器装置和/或逻辑装置，该中央处理器9100接收输入并控制电子设备9600的各个部件的操作。
[0226]
其中，存储器9140，例如可以是缓存器、闪存、硬驱、可移动介质、易失性存储器、非易失性存储器或其它合适装置中的一种或更多种。可储存上述与失败有关的信息，此外还可存储执行有关信息的程序。并且中央处理器9100可执行该存储器9140存储的该程序，以实现信息存储或处理等。
[0227]
输入单元9120向中央处理器9100提供输入。该输入单元9120例如为按键或触摸输入装置。电源9170用于向电子设备9600提供电力。显示器9160用于进行图像和文字等显示对象的显示。该显示器例如可为lcd显示器，但并不限于此。
[0228]
该存储器9140可以是固态存储器，例如，只读存储器(rom)、随机存取存储器(ram)、sim卡等。还可以是这样的存储器，其即使在断电时也保存信息，可被选择性地擦除且设有更多数据，该存储器的示例有时被称为eprom等。存储器9140还可以是某种其它类型的装置。存储器9140包括缓冲存储器9141(有时被称为缓冲器)。存储器9140可以包括应用/功能存储部9142，该应用/功能存储部9142用于存储应用程序和功能程序或用于通过中央处理器9100执行电子设备9600的操作的流程。
[0229]
存储器9140还可以包括数据存储部9143，该数据存储部9143用于存储数据，例如联系人、数字数据、图片、声音和/或任何其他由电子设备使用的数据。存储器9140的驱动程序存储部9144可以包括电子设备的用于通信功能和/或用于执行电子设备的其他功能(如消息传送应用、通讯录应用等)的各种驱动程序。
[0230]
通信模块9110即为经由天线9111发送和接收信号的发送机/接收机9110。通信模块(发送机/接收机)9110耦合到中央处理器9100，以提供输入信号和接收输出信号，这可以和常规移动通信终端的情况相同。
[0231]
基于不同的通信技术，在同一电子设备中，可以设置有多个通信模块9110，如蜂窝网络模块、蓝牙模块和/或无线局域网模块等。通信模块(发送机/接收机)9110还经由音频处理器9130耦合到扬声器9131和麦克风9132，以经由扬声器9131提供音频输出，并接收来自麦克风9132的音频输入，从而实现通常的电信功能。音频处理器9130可以包括任何合适的缓冲器、解码器、放大器等。另外，音频处理器9130还耦合到中央处理器9100，从而使得可以通过麦克风9132能够在本机上录音，且使得可以通过扬声器9131来播放本机上存储的声音。
[0232]
本技术的实施例还提供能够实现上述实施例中的防火墙策略迁移方法中全部步
骤的一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，该计算机程序被处理器执行时实现上述实施例中的执行主体为服务器或客户端的防火墙策略迁移方法的全部步骤，例如，所述处理器执行所述计算机程序时实现下述步骤：
[0233]
步骤100：根据当前应用系统已迁移至云平台的目标服务器的迁移前ip地址和预设的防火墙策略关键信息表，获取所述目标服务器的迁移前应用访问关系策略，并根据该迁移前应用访问关系策略生成所述目标服务器的迁移后应用访问关系策略。
[0234]
步骤200：基于所述迁移后应用访问关系策略和预设的防火墙路由信息表，确定所述目标服务器对应的目标防火墙设备的防火墙设备ip地址。
[0235]
步骤300：若在所述防火墙策略关键信息表中未查询到包含有所述目标防火墙设备的防火墙设备ip地址和所述迁移后应用访问关系策略之间的对应关系，则生成所述目标防火墙设备对应的防火墙策略，并将该防火墙策略写入所述目标防火墙设备。
[0236]
本领域内的技术人员应明白，本发明的实施例可提供为方法、装置、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd
‑
rom、光学存储器等)上实施的计算机程序产品的形式。
[0237]
本发明是参照根据本发明实施例的方法、设备(装置)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0238]
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0239]
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0240]
本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。