防火墙自动部署方法、装置和服务器与流程

1.本技术涉及计算机领域，尤其涉及一种防火墙自动部署方法、装置和服务器。


背景技术：

2.防火墙一般连接在专用网络与公共网络之间，用于控制和保护专用网络。在防火墙投入使用之前，通常先需要在测试环境和生产环境中进行验证，其后才能在网络环境中启动并投入使用。
3.现有技术中，项目组可以通过版本持续交付系统，提交防火墙申请表。该防火墙申请表可以通过该持续交付系统先后流转到测试环境和生产环境。测试环境和生产环境的维护人员会对防火墙进行验证，并通过防火墙申请系统提交防火墙申请。网络环境的维护人员会根据该防火墙申请，实现该防火墙的开通和使用。
4.在上述过程中，防火墙的验证和开通需要经过多个系统和多道人工操作工序，其操作准确性和验证全面性均依赖于维护人员的经验，存在防火墙验证效果差的问题。


技术实现要素：

5.本技术提供一种防火墙自动部署方法、装置和服务器，用以解决防火墙的验证和开通需要经过多个系统和多道人工操作工序，其操作准确性和验证全面性均依赖于维护人员的经验，存在防火墙验证效果差的问题。
6.第一方面，本技术提供一种防火墙自动部署方法，包括：
7.获取防火墙申请，防火墙申请中包括源服务器名称、目的服务器名称、协议类型、目的端口信息；
8.根据防火墙申请和环境信息，生成防火墙策略，并根据防火墙策略自动开通防火墙；
9.当验证确定防火墙开通成功时，将防火墙部署到生产环境的网络中；
10.其中，环境信息中包括服务器ip地址和服务器名称之间的对应关系。
11.可选地，根据防火墙申请和环境信息，生成防火墙策略，具体包括：
12.根据源服务器名称和环境信息确定源服务器ip地址，根据目的服务器名称和环境信息确定目的服务器ip地址；
13.根据源服务器ip地址、目的服务器ip地址和环境信息，确定源服务器ip地址和目的服务器ip地址之间的区域策略关系；
14.根据区域策略关系、协议类型、目的端口信息，生成防火墙策略。
15.可选地，验证确定防火墙开通成功，具体包括：
16.根据源服务器ip地址和目的服务器ip地址之间的路由匹配结果，确定源服务器ip地址和目的服务器ip地址之间是否存在路由路径；
17.当存在路由路径时，根据目的端口和协议对路由路径进行接口比较，确定路由路径是否满足目的端口和协议的要求；
18.当满足时，确定防火墙开通成功。
19.可选地，环境信息包括测试环境信息和生产环境信息；根据防火墙申请和环境信息，生成防火墙策略，并根据防火墙策略自动开通防火墙，具体包括：
20.根据防火墙申请和测试环境信息，生成测试环境防火墙策略，并根据测试环境防火墙策略在测试环境中自动开通防火墙；
21.根据防火墙申请和生产环境信息，生成生产环境防火墙策略，并根据生产环境防火墙策略在生产环境中自动开通防火墙。
22.可选地，当验证确定防火墙开通失败时，方法，还包括：
23.根据环境信息，通过防火墙静态路由匹配和接口比较，生成防火墙拓扑结构图；
24.根据防火墙申请和防火墙拓扑结构图，重新生成防火墙策略，防火墙策略用于新增或者修改两个服务器之间的路由。
25.可选地，方法，还包括：
26.周期性维护环境信息。
27.第二方面，本技术提供一种防火墙自动部署装置，包括：
28.获取模块，用于获取防火墙申请，防火墙申请中包括源服务器名称、目的服务器名称、协议类型、目的端口信息；
29.处理模块，用于根据防火墙申请和环境信息，生成防火墙策略，并根据防火墙策略自动开通防火墙；当验证确定防火墙开通成功时，将防火墙部署到生产环境的网络中；
30.其中，环境信息中包括服务器ip地址和服务器名称之间的对应关系。
31.可选地，处理模块，具体用于：
32.根据源服务器名称和环境信息确定源服务器ip地址，根据目的服务器名称和环境信息确定目的服务器ip地址；
33.根据源服务器ip地址、目的服务器ip地址和环境信息，确定源服务器ip地址和目的服务器ip地址之间的区域策略关系；
34.根据区域策略关系、协议类型、目的端口信息，生成防火墙策略。
35.可选地，处理模块，具体用于：
36.根据源服务器ip地址和目的服务器ip地址之间的路由匹配结果，确定源服务器ip地址和目的服务器ip地址之间是否存在路由路径；
37.当存在路由路径时，根据目的端口和协议对路由路径进行接口比较，确定路由路径是否满足目的端口和协议的要求；
38.当满足时，确定防火墙开通成功。
39.可选地，环境信息包括测试环境信息和生产环境信息；处理模块，具体用于：
40.根据防火墙申请和测试环境信息，生成测试环境防火墙策略，并根据测试环境防火墙策略在测试环境中自动开通防火墙；
41.根据防火墙申请和生产环境信息，生成生产环境防火墙策略，并根据生产环境防火墙策略在生产环境中自动开通防火墙。
42.可选地，当验证确定防火墙开通失败时，处理模块，还用于：
43.根据环境信息，通过防火墙静态路由匹配和接口比较，生成防火墙拓扑结构图；
44.根据防火墙申请和防火墙拓扑结构图，重新生成防火墙策略，防火墙策略用于新
增或者修改两个服务器之间的路由。
45.可选地，处理模块，还用于：
46.周期性维护环境信息。
47.第三方面，本技术提供一种服务器，包括：存储器和处理器；存储器用于存储计算机程序；处理器用于根据存储器存储的计算机程序执行第一方面及第一方面任一种可能的设计中的防火墙自动部署方法。
48.第四方面，本技术提供一种计算机可读存储介质，计算机可读存储介质中存储有计算机程序，当服务器的至少一个处理器执行该计算机程序时，服务器执行第一方面及第一方面任一种可能的设计中的防火墙自动部署方法。
49.第五方面，本技术提供一种计算机程序产品，计算机程序产品包括计算机程序，当服务器的至少一个处理器执行该计算机程序时，服务器执行第一方面及第一方面任一种可能的设计中的防火墙自动部署方法。
50.本技术提供的防火墙自动部署方法、装置和服务器，通过获取防火墙申请，该防火墙申请中包括源服务器名称、目的服务器名称、协议类型、目的端口信息；从数据库中获取环境信息；根据防火墙申请和该环境信息，生成防火墙策略；根据该防火墙策略，在达到变更执行时间窗口时，自动完成防火墙的开通；对防火墙是否开通成功进行验证；当服务器确定该防火墙开通成功时，确定该防火墙已经完成在该生产环境的网络中的部署的手段，实现提高防火墙开启的准确性，有效避免开启的防火墙出现范围过小或者过大的问题，提高该防火墙在测试环境和生产环境中的一致性，避免从测试环境交接到生产环境可能出现的遗漏，以及提高测试环境中该防火墙测试的有效性的效果。
附图说明
51.为了更清楚地说明本技术或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
52.图1为本技术一实施例提供的一种防火墙自动部署系统的结构示意图；
53.图2为本技术一实施例提供的一种防火墙自动部署系统的执行流程图；
54.图3为本技术一实施例提供的一种防火墙自动部署方法的流程图；
55.图4为本技术一实施例提供的一种防火墙开通模块的执行流程图；
56.图5为本技术一实施例提供的一种防火墙自动部署方法的流程图；
57.图6为本技术一实施例提供的一种防火墙自动部署装置的结构示意图；
58.图7为本技术一实施例提供的一种服务器的硬件结构示意图。
具体实施方式
59.为使本技术的目的、技术方案和优点更加清楚，下面将结合本技术中的附图，对本技术中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
60.本技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换。例如，在不脱离本文范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。
61.取决于语境，如在此所使用的词语“如果”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”。
62.再者，如同在本文中所使用的，单数形式“一”、“一个”和“该”旨在也包括复数形式，除非上下文中有相反的指示。
63.应当进一步理解，术语“包含”、“包括”表明存在的特征、步骤、操作、元件、组件、项目、种类、和/或组，但不排除一个或多个其他特征、步骤、操作、元件、组件、项目、种类、和/或组的存在、出现或添加。
64.此处使用的术语“或”和“和/或”被解释为包括性的，或意味着任一个或任何组合。因此，“a、b或c”或者“a、b和/或c”意味着“以下任一个：a；b；c；a和b；a和c；b和c；a、b和c”。仅当元件、功能、步骤或操作的组合在某些方式下内在地互相排斥时，才会出现该定义的例外。
65.防火墙一般连接在专用网络与公共网络之间，用于控制和保护专用网络。或者，该防火墙可以通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。在防火墙投入使用之前，通常先需要在测试环境和生产环境中进行验证，其后才能在网络环境中启动并投入使用。其中，测试环境是指为了完成软件测试工作所必须的计算机硬件、软件、网络设备、历史数据的总称。生产环境是指正式对外提供服务的所必须的计算机硬件、软件、网络设备、数据等的总称。
66.现有技术中，测试环境与生产环境的防火墙开通主要包括以下两种方法。其一，项目组提交防火墙申请表给测试环境和生产环境的环境维护人员。火墙申请表中可以包括源服务器名称、源服务器地址、目的服务器名称、目的服务器地址、协议类型、目的端口等信息。测试环境和生产环境的环境维护人员在收到防火墙申请表后，可以在自行评估后，手工开通网络防火墙。其二，项目组可以通过版本持续交付系统，提交防火墙申请表。该防火墙申请表可以通过该持续交付系统先后流转到测试环境和生产环境。测试环境和生产环境的环境维护人员会在收到防火墙申请表后，对防火墙进行验证，并通过防火墙申请系统提交防火墙申请。防火墙申请可以通过防火墙申请系统流转到网络管理部门，该网络管理部门的网络环境维护人员可以手工开通防火墙。
67.根据上述防火墙开通方法可以发现，现有技术中，每次提交防火墙申请都需要先在持续交付系统中提交防火墙申请表。然而，由于该防火墙申请表通常没有系统记录，因此，容易导致管理成本增加，管理混乱的问题。并且，现有技术中，从项目组申请到防火墙开通需要经过持续交付系统、防火墙申请系统、变更管理系统等多个系统。并且在该过程中，每个系统都需要进行权限审批、操作方案编写等步骤，存在流程复杂、周期长、效率低的问题。此外，目前防火墙的开通主要通过手工操作完成，稍有疏忽就会导致错误操作，容易出现误删或错误修改防火墙的情况。该手工操作的方式相对自动化开通的方式存在操作风险高的问题。而且，过多的人工参与容易导致防火墙申请流程管理不规范、防火墙开通内容存
在遗漏、防火墙开通范围过大等问题，导致防火墙开通准确性低的问题。尤其是对于测试环境交接到生产环境的防火墙申请，现有技术中还存在无法验证防火墙申请是否全面的问题。综上，防火墙的验证和开通需要经过多个系统和多道人工操作工序，其操作准确性和验证全面性均依赖于维护人员的经验，存在防火墙验证效果差的问题。
68.针对上述问题，本技术提出了一种克服了现有防火墙申请技术中的缺点，且流程简单、管理规范、效率高、准确性高的防火墙自动部署方法。本技术的防火墙自动部署方法具体可以包括防火墙申请、自动开通、验证三个部分。本技术中，服务器可以获取防火墙申请。该防火墙申请可以由项目组提交以工单的形式提交。该防火墙申请可以在经过测试环境的运维人员的层层审核与验证后，流转到生产环境的运维人员手中。在该过程中，服务器可以周期性维护环境信息。该环境信息中可以包括服务器ip地址和服务器名称之间的对应关系。该环境信息的周期性维护，可以使维护人员尽可能少的关注集群中各个服务器的ip地址。维护人员只需要关注集群中各个服务器的名称即可。服务器可以根据防火墙申请和环境信息，自行生成防火墙策略。在该防火墙策略完成审核后，服务器还可以自动化开通防火墙。服务器可以根据该防火墙策略验证防火墙是否开通成功。本技术通过上述方法，降低了人工参与防火墙部署过程可能产生的风险，并且，本技术通过自动化实现该防火墙部署过程，提高了防火墙部署效率和部署准确性。
69.本技术可以通过防火墙自动部署系统实现防火墙在测试环境和生产环境中的申请、自动开通和验证。该防火墙自动部署系统可以针对测试环境与生产环境，根据服务器类型或者服务器特点为一组服务器定义一个名称。防火墙自动部署系统可以针对测试环境与生产环境，根据实际情况分别维护该组服务器下各个服务器ip地址和服务器名称之间的对应关系。项目组提交防火墙申请时，可以针对源服务器与目的服务器，在对应的选择界面中选择服务器类型和端口类型即可。项目组可以在该防火墙自动部署系统中提交该防火墙申请。该防火墙申请可以经项目组领导审核后流转到测试环境维护人员领导手中。该防火墙申请可以经测试环境维护人员领导审批后流转到测试环境维护人员手中。测试环境维护人员需要审核防火墙策略。当到达系统变更时间窗口时，防火墙自动部署系统可以自动开通测试环境防火墙。防火墙申请经测试环境维护人员验证无误后，流转到生产环境维护人员领导手中。防火墙申请可以在生产环境维护人员领导审批后流转到生产环境维护人员手中。生产环境维护人员审核该防火墙策略。当到达系统变更时间时，防火墙自动部署系统自动开通生产环境防火墙。
70.本技术的防火墙自动部署系统为一套全流程系统。该防火墙自动部署系统实现了防火墙自动部署方法。并且，该防火墙自动部署方法实现了防火墙的申请与开通，简化了防火墙申请流程，缩短了防火墙审核周期。该防火墙自动部署方法实现了环境信息中服务器ip地址与服务器名称之间的关联信息的维护，方便了服务器根据该环境信息和防火墙申请生成防火墙策略。本技术还可以通过防火墙自动部署系统来维护防火墙的开通，防火墙更准确的被开通，有效避免防火墙范围过大或者不准确的问题。此外，项目组可以在防火墙自动部署系统的显示界面中，把防火墙申请提交测试环境。经测试环境验证后，防火墙自动部署系统可以将该防火墙申请流转到生产环境。防火墙自动部署方法还可以实现对防火墙准确性的验证，同时避免了交接到生产环境的防火墙有遗漏的问题。本技术提供的防火墙申请还可以通过附件导入的方式进行生成和提交，简化了防火墙申请的提交步骤。本技术的
防火墙自动部署系统中还包括审核模块、防火墙自动开通模块。该审核模块的使用可以实现防火墙申请流程更规范的管理，避免防火墙申请未经审核直接提交的风险。该防火墙自动开通模块可以根据防火墙申请表自动生成的防火墙策略进行防火墙的开通，降低了人工操作过程可能产生的风险，减少了人工操作的工作量，提高了工作效率。此外，本技术提供防火墙策略审核功能，进一步降低防火墙开通风险。
71.下面以具体地实施例对本技术的技术方案进行详细说明。下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例不再赘述。
72.图1示出了本技术一实施例提供的一种防火墙自动部署系统的结构示意图。如图1所示，该防火墙自动部署系统至少可以包括测试环境信息维护模块、测试环境提交模块、测试环境审核模块、测试环境开通模块、测试环境防火墙验证模块、生产环境信息维护模块、生产环境审核模块、生产环境开通模块、生产环境防火墙验证模块以及基础数据模块。
73.其中，测试环境信息维护模块由测试环境维护人员负责维护。该测试环境信息维护模块中包括测试环境服务器ip地址所在服务器名称。该维护可以包括将服务器ip地址与服务器名称的对应关系存储在数据库中。由于现有技术中，开通防火墙时，通常需要开发人员明确服务器ip地址。测试环境维护模块使开发人员不需要关注具体的服务器ip地址，只需要关注服务器名称即可。该预测环境维护模块的使用可减少防火墙申请过程中的误差，可提高防火墙申请的效率。并且，该测试环境维护模块中，服务器ip地址与服务器名称之间关联关系的维护，还可以提高防火墙申请的工单在测试环境与生产环境的流转效率。
74.其中，测试环境防火墙提交模块用于在接收到项目组提交的防火墙申请数据后，对应生成并提交该防火墙申请。防火墙自动部署系统接收该测试环境防火墙提交模块提交的防火墙申请后，可以使用该防火墙申请对应的工单在后续流程中流转。本技术中，申请人员在该测试环境防火墙提交模块中只需要关注源服务器名称、目的服务器名称、协议类型、目的端口信息即可，不需要关注服务器ip地址。服务器在导入附件的同时还可以导入基础数据。该基础数据可以包括存储数据表、地址区域关系表、区域策略关系表、防火墙设备信息表、防火墙端口服务表等信息。本技术在使用测试环境信息维护模块对测试环境信息进行维护后，在测试环境防火墙提交模块只需获取少量防火墙申请的数据即可完成防火墙申请的生成，减少了项目组申请防火墙时需要填写的数据内容，提高了项目组的提交防火墙申请的工作效率。
75.其中，测试环境防火墙审核模块用于在项目组提交防火墙申请后，将任务节点流转到项目组领导处。项目组领导可以通过该测试环境防火墙审核模块的交互界面中对该防火墙申请进行审核。当该项目组领导审核完成后，该测试环境防火墙审核模块可以将该防火墙申请的工单流转到测试环境维护人员领导处。当测试环境维护人员领导可以通过该测试环境防火墙审核模块的交互界面中对该防火墙申请进行审批。该测试环境防火墙审核模块可以在该防火墙申请完成审批后，将该防火墙申请的工单流转到测试环境维护人员处。在该测试环境防火审核模块，主要通过人工审核对风险进行把控。由于放火墙涉及系统安全，且不同服务器之间开通防火墙的危险程度不同，因此，为了进一步提高安全性，本技术在完成自动验证的基础上，还增加了人工审核，提高安全性。
76.其中，测试环境防火墙开通模块用于在自动生成的防火墙策略后，由测试人员完成对防火墙策略的审核。并且，该测试环境防火墙开通模块还可以在到达变更执行时间窗
口时，根据该防火墙策略自动完成防火墙的开通。该测试环境在开通该防火墙后，该测试环境可以进行正常的业务测试。该业务测试主要用于验证该防火墙的开通是否会对业务产生不良影响。当确定业务正常后，该防火墙申请的工单可以通过该测试环境防火墙开通模块，继续流转到生产环境中。
77.其中，测试环境防火墙验证模块的执行可以在测试环境开通模块期间完成。当测试环境开通模块完成防火墙的自动开通后，该测试环境防火墙验证模块自动执行。当该测试环境防火墙验证模块的执行，可以与测试环境防火墙开通模块中的业务测试并行执行。或者，该测试环境防火墙开通模块中的业务测试可以在该测试环境防火墙验证模块验证完成后执行。该测试环境防火墙验证模块可以调用系统提供的方法进行防火墙是否开通的验证。该测试环境防火墙验证模块中可以包括可针对不同操作系统的服务器进行防火墙验证命令封装。例如：针对windows与linux操作系统可以调用ping命令或者telnet命令进行服务器间端口是否连通的验证。该测试环境防火墙验证模块可以实现验证模块自动进行验证。
78.其中，生产环境信息维护模块由生产环境维护人员负责维护。该生产环境信息维护模块中包括生产环境服务器ip地址所在服务器名称。该维护可以包括将服务器ip地址与服务器名称的对应关系存储在数据库中。
79.需要注意的是，本技术的生产系统在上线流程中首先需要在测试环境进行充分验证，其后才会在生产环境中进行部署。但是，现有技术中防火墙在测试环境中的测试主要依赖测试维护人员记性，容易出现不规范操作。这些不规范操作容易导致防火墙在测试环境中的测试结果与生产环境使用结果不一致的情况，导致在生产环境部署后的出现各种未被测试到的隐藏风险。本技术可以通过测试环境防火墙开通模块和测试环境防火墙验证模块，实现防火墙在测试环境中的充分验证。并且，本技术中人工操作仅涉及测试环境防火墙审核模块中的审核，并不涉及测试和验证内容，因此保证了测试环境与生产环境的同步，规范了防火墙的验证步骤，减少了各种隐藏风险。
80.其中，生产环境防火墙审核模块用于在将防火墙申请的工单流转到生产环境运维人员领导处。生产环境运维人员领导可以通过该测试环境防火墙审核模块的交互界面中对该防火墙申请进行审核。当生产环境运维人员领导完成审核后，该防火墙申请的工单可以流转到生产环境运维人员处。
81.其中，生产环境防火墙开通模块用于在自动生成的防火墙策略后，由生产环境运维人员完成对防火墙策略的审核。并且，该生产环境防火墙开通模块还可以在到达变更执行时间窗口时，根据该防火墙策略自动完成防火墙的开通。
82.其中，生产环境防火墙验证模块用于在防火墙自动完成开通后，验证防火墙是否开通成功。该验证过程中，生产环境运维人员可以登录该防火墙自动部署系统。生产环境运维人员可以在该防火墙自动部署系统的交互界面中选择源服务器名称、协议类型、目的端口信息，以及目的服务器名称、协议类型、目的端口信息。该生产环境防火墙验证模块可以根据上述信息，调用系统提供的方法，对该生产环境的防火墙进行是否开通的验证。
83.此外，服务器中还可以包括基础数据模块。该基础数据模块中可以包括服务器节点名称对应关系库、防火墙申请数据库、防火墙路由数据库三个数据库。其中，服务器节点名称对应关系库中储存了防火墙的服务器名称与服务器ip地址之间的对应关系的明细信
息。防火墙申请数据库中储存了防火墙申请的明细信息。防火墙路由数据库中储存了防火墙路由的明细信息。
84.图2示出了上述防火墙自动部署系统的执行流程图。如图2所示，测试环境维护模块可以在获取测试环境信息后，将该测试环境信息存储到服务器名称对应关系库中，实现对该服务器名称对应关系库的维护。测试环境防火墙提交模块可以在获取防火墙申请数据后，将该防火墙申请数据存储到防火墙申请数据库中。该测试环境防火墙提交模块还可以获取测试环境维护模块中的环境信息。该测试环境防火墙提交模块可以根据该防火墙申请数据和该环境数据，生成防火墙申请。防火墙自动部署系统可以将该防火墙申请流转到测试环境防火墙审核模块。在该测试环境防火墙申请模块，该防火墙自动部署系统可以根据该防火墙申请伸长防火墙策略。该测试环境防火墙审核模块还可以对该防火墙申请、防火墙策略进行审核。当审核通过后，防火墙自动部署系统还可以将该防火墙申请和该防火策略流转到测试环境防火墙开通模块。该测试环境防火墙开通模块可以在达变更执行时间窗口时，根据该防火墙策略开通该防火墙。
85.当该测试环境中的防火墙开通后，该防火墙自动部署系统还可以使用测试环境防火墙验证模块，对防火墙是否开启成功进行验证。该防火墙自动部署系统还可以对该防火墙进行业务测试，以确定该防火墙是否存在异常。
86.该防火墙自动部署系统可以通过生产环境维护模块，将获取到的生产环境信息存储到服务器名称对应关系库中，实现对该服务器名称对应关系库的维护。该防火墙自动部署系统可以在完成测试环境的测试后，将该防火墙申请流传到生产环境防火墙审核模块。该生产环境防火墙审核模块可以对该防火墙申请、根据该防火墙申请和环境信息确定的防火墙策略进行审核。当审核通过后，防火墙自动部署系统还可以将该防火墙申请和该防火策略流转到生产环境防火墙开通模块。该生产环境防火墙开通模块可以在达变更执行时间窗口时，根据该防火墙策略开通该防火墙。防火墙自动部署系统还可以将该防火墙的信息添加到防火墙路由数据库中。
87.本技术中，该防火墙自动部署系统通常部署在该一个服务器集群中，而该服务器集群中通常存在一个服务器作为该服务器集群的主节点或者存储该防火墙自动部署系统的节点。因此，以该主节点或者该存储有防火墙自动部署系统的节点对应的服务器为执行主体，执行如下实施例的防火墙自动部署方法。具体地，该执行主体可包括该服务器的硬件装置，或者为该防火墙自动部署系统的软件应用，或者为安装有该防火墙自动部署系统的计算机可读存储介质，或者为该防火墙自动部署系统的软件应用的代码。需要注意的是，在本实施例中提及的环境信息中包括的服务器ip地址和服务器名称的对应关系。该环境信息中，服务器ip地址和服务器名称对应的服务器可以为该服务器集群中任意服务器节点。
88.图3示出了本技术一实施例提供的一种防火墙自动部署方法的流程图。在图1和图2所示实施例的基础上，如图3所示，以服务器为执行主体，本实施例的方法可以包括如下步骤：
89.s101、获取防火墙申请，防火墙申请中包括源服务器名称、目的服务器名称、协议类型、目的端口信息。
90.本实施例中，服务器可以获取防火墙申请。该防火墙申请可以通过部署在该服务器上的防火墙自动部署系统中的测试环境防火墙提交模块生成。服务器可以通过该防火墙
自动部署系统中的测试环境防火墙提交模块的交互界面，获取工作人员上传的防火墙申请数据。在该交互界面中，工作人员可以以直接填写的方式，在交互页面中填写源服务器名称、目的服务器名称、协议类型、目的端口等信息。或者，服务器可以通过该防火墙自动部署系统中的测试环境防火墙提交模块的交互界面获取导入的附件。服务器可以自动解析该附件中的信息，并从该附件中获取防火墙申请数据。该附件中同样需要包括源服务器名称、目的服务器名称、协议类型、目的端口信息等信息。
91.当服务器获取该防火墙申请数据后，该服务器可以将该防火墙申请数据存储在如图1所示的基础数据模块的防火墙申请数据库中。该防火墙申请数据库可以为该防火墙自动部署系统中共享数据库。该防火墙自动部署系统中任意模块可以在该防火墙申请数据库中读写数据。该工作人员可以为项目组的申请人员。服务器可以根据该防火墙申请数据，生成防火墙申请。
92.s102、根据防火墙申请和环境信息，生成防火墙策略，并根据防火墙策略自动开通防火墙。其中，环境信息中包括服务器ip地址和服务器名称之间的对应关系。
93.本实施例中，服务器可以从数据库中获取环境信息。该环境信息可以存储在如图1所示的技术数据模块的数据库中。
94.该环境信息中具体可以包括服务器ip地址与服务器名称之间的对应关系。由于本技术的环境主要包括测试环境和生产环境，因此，该关系库中可以分别包括测试环境的服务器ip地址与测试环境的服务器名称之间的对应关系，以及，生产环境的服务器ip地址与生产环境的服务器名称之间的对应关系。服务器可以根据防火墙申请中源服务器名称和目的服务器名称，从该环境信息确定其对应的服务器ip地址。服务器根据该源服务器名称与服务器ip地址，实现两者之间的自动关联。服务器还可以根据该目的服务器名称与该服务器ip地址，实现两者之间的自动关联。
95.该环境信息中还可以包括防火墙的路由数据。服务器可以根据防火墙申请和该环境信息，生成防火墙策略。该防火墙策略中包括从源服务器到目的服务器的路由的构建指令。服务器可以根据该防火墙策略，在达到变更执行时间窗口时，自动完成防火墙的开通。
96.一种示例中，防火墙策略的生成过程具体可以包括如下步骤：
97.步骤1、服务器可以根据源服务器名称和环境信息中服务器名称和服务器ip地址的对应关系，确定源服务器ip地址。服务器还可以根据目的服务器名称和环境信息中服务器名称和服务器ip地址的对应关系，确定目的服务器ip地址。
98.步骤2、服务器可以根据源服务器ip地址、目的服务器ip地址和环境信息中的防火墙路由数据，确定源服务器ip地址和目的服务器ip地址之间的区域策略关系。该区域策略关系可以包括根据源服务器ip地址和目的服务器ip地址之间确定的路由路径。
99.步骤3、服务器可以根据区域策略关系、协议类型、目的端口信息，生成防火墙策略。该防火墙策略用于指示服务器构建该源服务器ip地址和目的服务器ip地址之间的路由路径需要执行的新增或者删除操作。
100.一种示例中，本技术的环境具体可以包括测试环境和生产环境两种。因此，该环境信息中具体可以包括测试环境信息和生产环境信息两种。针对该两种信息，本步骤具体可以分为以下两个步骤：
101.步骤1、服务器根据防火墙申请和测试环境信息，生成测试环境防火墙策略，并根
据测试环境防火墙策略在测试环境中自动开通防火墙。
102.步骤2、服务器根据防火墙申请和生产环境信息，生成生产环境防火墙策略，并根据生产环境防火墙策略在生产环境中自动开通防火墙。
103.上述两个步骤可以分别对应测试环境防火墙开通模块和生产环境防火墙开通模块两个模块。该两个步骤中，具体生成防火墙策略和自动开通防火墙的步骤可以如上一示例所示。该两个步骤的差异主要由于不同的环境信息产生。
104.s103、当验证确定防火墙开通成功时，将防火墙部署到生产环境的网络中。
105.本实施例中，在执行本步骤之前，服务器可以对防火墙是否开通成功进行验证。当服务器确定该防火墙开通成功时，服务器可以确定该防火墙已经完成在该生产环境的网络中的部署。当完成该防火墙在该生产环境中部署后，该服务器可以根据预设的生产流程进行试生产。
106.一种示例中，服务器验证防火墙是否开通成功的具体过程可以包括如下步骤：
107.步骤1、服务器可以根据防火墙申请确定其对应的源服务器ip地址和目的服务器ip地址。服务器可以根据该源服务器ip地址和该目的服务器ip地址之间的路由匹配，确定源服务器ip地址和目的服务器ip地址之间是否存在路由路径。
108.步骤2、当存在路由路径时，服务器可以根据目的端口和协议进行接口比较，确定该源服务器ip地址和目的服务器ip地址之间的路由路径是否满足目的端口和协议的要求。
109.步骤3、当满足时，服务器可以确定防火墙开通成功。
110.一种示例中，当验证确定防火墙开通失败时，服务器可以执行如下步骤：
111.步骤4、服务器可以根据环境信息，确定服务器集群中各个服务器的路由信息和接口。服务器可以通过静态路由匹配和接口比较，实现该防火墙拓扑结构图的构建。由于本技术中包括测试环境和生产环境两个服务器群组，因此，服务器需要测试环境防火墙验证模块和生产环境防火墙验证模块两个模块执行时，分别根据其对应的环境信息生成防火墙拓扑结构图。
112.步骤5、服务器可以根据防火墙申请确定其对应的源服务器ip地址和目的服务器ip地址。服务器可以根据步骤4中生成的防火墙拓扑结构图，确定该源服务器ip地址和目的服务器ip地址是否存在已经连通的路由路径。当存在连通的路由路径时，服务器可以防火墙开通成功。否则，服务器可以根据该源服务器ip地址、目的服务器ip地址和防火墙拓扑结构图，重新生成防火墙策略。该防火墙策略用于新增或者修改两个服务器之间的路由，以使该源服务器ip地址和目的服务器ip地址可以生产新的连通的路由路径。
113.一种示例中，如图4所示，服务器还可根据拓扑计算、策略生成、策略审核、策略执行四个步骤，完成防火墙的开通和验证。其具体过程包括：
114.步骤1、服务器通过拓扑计算得到源服务器ip地址和目的服务器ip地址之间的路由路径。服务器首先可以通过路由计算的方法形成一个拓扑结构图。该拓扑结构图用于记录该防火墙申请的源服务器ip地址和目的服务器ip地址之间跨越了哪些防火墙。服务器可以将对应的详细信息存入防火墙路由数据中。该拓扑计算过程具体可以包括以下三个步骤：
115.步骤11、服务器通过防火墙静态路由匹配，确定该集群中的两个服务器节点之间是否存在匹配路由。若两个服务器节点之间存在匹配路由，则服务器可以继续对该两个服
务器节点的接口进行比较。否则，若两个服务器节点之间不存在匹配路由，则服务器继续查询其他服务器节点之间的防火墙。
116.步骤12、当匹配到的路由对应的两个服务器节点之间接口相同时，服务器可以将该两个服务器节点之间对应的防火墙添加到拓扑结构图。否则，服务器可以比较该两个服务器节点之间的其他接口。
117.步骤13、当两个服务器节点之间所有防火墙已被遍历时，服务器可以将该两个服务器节点输入防火墙拓扑图，并构建该两个服务器节点之间的拓扑关系。服务器可以返回步骤11并进行下次循环。
118.步骤2、服务器在策略生成步骤，可以根据新提交的防火墙申请生成对应的防火墙策略。在该策略生成过程中，服务器可以对用户防火墙申请的源服务器名称、目的服务器名称、目标端口和协议4个元素先后在防火墙拓扑图上进行查询。若该防火墙拓扑图中存在满足存量防火墙路径，则说明该防火墙申请的源服务器与目的服务器之间的防火墙是通的，无需添加策略。否则，若该防火墙拓扑图中不存在满足存量防火墙路径，则服务器需要生成对应的防火墙策略。该防火墙策略中包括生成路由路径的动作。该动作可以包括新增或修改服务器节点之间的路由或者接口。具体地，服务器可以按照对应防火墙的命令格式生成相应的动作指令。该动作指令集合构成该防火墙策略。
119.步骤3、服务器可以在生成该防火墙策略后，将该防火墙策略发送到对应环境维护人员处，由该对应环境维护人员对该防火墙策略进行人工审核。审核完成后，服务器可以将该防火墙申请的工单标记为审核通过。
120.步骤4、服务器可以在到达变更执行窗口时，根据该防火墙策略自动执行该防火墙的开启操作。
121.本技术提供的防火墙自动部署方法，服务器可以获取防火墙申请。该防火墙申请中包括源服务器名称、目的服务器名称、协议类型、目的端口信息。服务器可以从数据库中获取环境信息。服务器可以根据防火墙申请和该环境信息，生成防火墙策略。服务器可以根据该防火墙策略，在达到变更执行时间窗口时，自动完成防火墙的开通。服务器可以对防火墙是否开通成功进行验证。当服务器确定该防火墙开通成功时，服务器可以确定该防火墙已经完成在该生产环境的网络中的部署。本技术中，通过防火墙策略的自动生成和防火墙的自动开启，提高防火墙开启的准确性，可以有效避免开启的防火墙出现范围过小或者过大的问题。该准确性的提高，可以提高该防火墙在测试环境和生产环境中的一致性，从而避免从测试环境交接到生产环境可能出现的遗漏，以及提高测试环境中该防火墙测试的有效性。
122.图5示出了本技术一实施例提供的一种防火墙自动部署方法的流程图。在图1至图4所示实施例的基础上，如图5所示，以服务器为执行主体，本实施例的方法可以包括如下步骤：
123.s201、周期性维护环境信息。
124.本实施例中，服务器可以周期性维护该集群的环境信息。该环境信息中可以包括测试环境信息和生产环境信息两个部分。其中，测试环境信息主要包括测试环境的集群中各个测试服务器的服务器ip地址和服务器名称之间的对应关系。生产环境信息主要包括生产环境的集群中各个生产服务器的服务器ip地址和服务器名称之间的对应关系。服务器可
以周期性获取该测试环境和生产环境中各个服务器的服务器ip地址和服务器名称。服务器可以将新增的服务器ip地址和服务器名称添加到该环境信息中。服务器还可以将被删除的服务器ip地址和服务器名称从该环境信息中删除。服务器还可以修改发明变化的服务器ip地址和服务器名称的对应关系。
125.该周期可以根据实际需要确定。例如，该周期可以为一天一次、一周一次等。
126.s202、获取防火墙申请，防火墙申请中包括源服务器名称、目的服务器名称、协议类型、目的端口信息。
127.s203、根据防火墙申请和环境信息，生成防火墙策略，并根据防火墙策略自动开通防火墙。
128.s204、当验证确定防火墙开通成功时，将防火墙部署到生产环境的网络中。
129.其中，步骤s202至s204与图2实施例中的步骤s101至s103实现方式类似，本实施例此处不再赘述。
130.本技术提供的防火墙自动部署方法，服务器可以周期性维护环境信息。服务器可以获取防火墙申请。服务器可以根据防火墙申请和该环境信息，生成防火墙策略。服务器可以根据该防火墙策略，在达到变更执行时间窗口时，自动完成防火墙的开通。服务器可以对防火墙是否开通成功进行验证。当服务器确定该防火墙开通成功时，服务器可以确定该防火墙已经完成在该生产环境的网络中的部署。本技术中，通过周期性维护环境信息，使该环境信息中服务器ip地址和服务器名称的对应关系持续有效。服务器可以根据该环境信息更加便捷的获知服务器名称对应的服务器ip地址，而不需要由工作人员提供该服务器ip地址和集群中各个服务器ip地址之间的连接关系，可以减少工作人员输入的数据种类，从而提高工作效率，提高用户体验。同时，该环境信息的使用，还可以极大的提高服务器根据服务器名称确定服务器ip地址的准确性，提高服务器根据源服务器ip地址和目标服务器ip地址生成防火墙策略的速度。
131.图6示出了本技术一实施例提供的一种防火墙自动部署装置的结构示意图，如图6所示，本实施例的防火墙自动部署装置10用于实现上述任一方法实施例中对应于服务器的操作，本实施例的防火墙自动部署装置10包括：
132.获取模块11，用于获取防火墙申请，防火墙申请中包括源服务器名称、目的服务器名称、协议类型、目的端口信息。
133.处理模块12，用于根据防火墙申请和环境信息，生成防火墙策略，并根据防火墙策略自动开通防火墙。当验证确定防火墙开通成功时，将防火墙部署到生产环境的网络中。
134.其中，环境信息中包括服务器ip地址和服务器名称之间的对应关系。
135.可选地，处理模块12，具体用于：
136.根据源服务器名称和环境信息确定源服务器ip地址，根据目的服务器名称和环境信息确定目的服务器ip地址；
137.根据源服务器ip地址、目的服务器ip地址和环境信息，确定源服务器ip地址和目的服务器ip地址之间的区域策略关系；
138.根据区域策略关系、协议类型、目的端口信息，生成防火墙策略。
139.可选地，处理模块12，具体用于：
140.根据源服务器ip地址和目的服务器ip地址之间的路由匹配结果，确定源服务器ip
地址和目的服务器ip地址之间是否存在路由路径；
141.当存在路由路径时，根据目的端口和协议对路由路径进行接口比较，确定路由路径是否满足目的端口和协议的要求；
142.当满足时，确定防火墙开通成功。
143.可选地，环境信息包括测试环境信息和生产环境信息。处理模块12，具体用于：
144.根据防火墙申请和测试环境信息，生成测试环境防火墙策略，并根据测试环境防火墙策略在测试环境中自动开通防火墙。
145.根据防火墙申请和生产环境信息，生成生产环境防火墙策略，并根据生产环境防火墙策略在生产环境中自动开通防火墙。
146.可选地，当验证确定防火墙开通失败时，处理模块12，还用于：
147.根据环境信息，通过防火墙静态路由匹配和接口比较，生成防火墙拓扑结构图；
148.根据防火墙申请和防火墙拓扑结构图，重新生成防火墙策略，防火墙策略用于新增或者修改两个服务器之间的路由。
149.可选地，处理模块12，还用于：
150.周期性维护环境信息。
151.本技术实施例提供的防火墙自动部署装置10，可执行上述方法实施例，其具体实现原理和技术效果，可参见上述方法实施例，本实施例此处不再赘述。
152.图7示出了本技术实施例提供的一种服务器的硬件结构示意图。如图7所示，该服务器20，用于实现上述任一方法实施例中对应于服务器的操作，本实施例的服务器20可以包括：存储器21，处理器22。
153.存储器21，用于存储计算机程序。该存储器21可能包含高速随机存取存储器(random access memory，ram)，也可能还包括非易失性存储(non-volatile memory，nvm)，例如至少一个磁盘存储器，还可以为u盘、移动硬盘、只读存储器、磁盘或光盘等。
154.处理器22，用于执行存储器存储的计算机程序，以实现上述实施例中的防火墙自动部署方法。具体可以参见前述方法实施例中的相关描述。该处理器22可以是中央处理单元(central processing unit，cpu)，还可以是其他通用处理器、数字信号处理器(digital signal processor，dsp)、专用集成电路(application specific integrated circuit，asic)等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合发明所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。
155.可选地，存储器21既可以是独立的，也可以跟处理器22集成在一起。
156.当存储器21是独立于处理器22之外的器件时，服务器20还可以包括总线23。该总线23用于连接存储器21和处理器22。该总线23可以是工业标准体系结构(industry standard architecture，isa)总线、外部设备互连(peripheral component interconnect，pci)总线或扩展工业标准体系结构(extended industry standard architecture，eisa)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示，本技术附图中的总线并不限定仅有一根总线或一种类型的总线。
157.本实施例提供的服务器可用于执行上述的防火墙自动部署方法，其实现方式和技术效果类似，本实施例此处不再赘述。
158.本技术还提供一种计算机可读存储介质，计算机可读存储介质中存储有计算机程序，计算机程序被处理器执行时用于实现上述的各种实施方式提供的方法。
159.其中，计算机可读存储介质可以是计算机存储介质，也可以是通信介质。通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。计算机存储介质可以是通用或专用计算机能够存取的任何可用介质。例如，计算机可读存储介质耦合至处理器，从而使处理器能够从该计算机可读存储介质读取信息，且可向该计算机可读存储介质写入信息。当然，计算机可读存储介质也可以是处理器的组成部分。处理器和计算机可读存储介质可以位于专用集成电路(application specific integrated circuits，asic)中。另外，该asic可以位于用户设备中。当然，处理器和计算机可读存储介质也可以作为分立组件存在于通信设备中。
160.具体地，该计算机可读存储介质可以是由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(static random-access memory，sram)，电可擦除可编程只读存储器(electrically-erasable programmable read-only memory，eeprom)，可擦除可编程只读存储器(erasable programmable read only memory，eprom)，可编程只读存储器(programmable read-only memory，prom)，只读存储器(read-only memory，rom)，磁存储器，快闪存储器，磁盘或光盘。存储介质可以是通用或专用计算机能够存取的任何可用介质。
161.本技术还提供一种计算机程序产品，该计算机程序产品包括计算机程序，该计算机程序存储在计算机可读存储介质中。设备的至少一个处理器可以从计算机可读存储介质中读取该计算机程序，至少一个处理器执行该计算机程序使得设备实施上述的各种实施方式提供的方法。
162.本技术实施例还提供一种芯片，该芯片包括存储器和处理器，存储器用于存储计算机程序，处理器用于从存储器中调用并运行计算机程序，使得安装有芯片的设备执行如上各种可能的实施方式中的方法。
163.在本技术所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅是示意性的，例如，模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个模块可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或模块的间接耦合或通信连接，可以是电性，机械或其它的形式。
164.其中，各个模块可以是物理上分开的，例如安装于一个的设备的不同位置，或者安装于不同的设备上，或者分布到多个网络单元上，或者分布到多个处理器上。各个模块也可以是集成在一起的，例如，安装于同一个设备中，或者，集成在一套代码中。各个模块可以以硬件的形式存在，或者也可以以软件的形式存在，或者也可以采用软件加硬件的形式实现。本技术可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
165.当各个模块以软件功能模块的形式实现的集成的模块，可以存储在一个计算机可读取存储介质中。上述软件功能模块存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器执行本技术各个实施例方法的部分步骤。
166.应该理解的是，虽然上述实施例中的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，其可以以其他的顺序执行。而且，图中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，其执行顺序也不必然是依次进行，而是可以与其他步骤或者其他步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
167.最后应说明的是：以上各实施例仅用以说明本技术的技术方案，而非对其限制。尽管参照前述各实施例对本技术进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换。而这些修改或者替换，并不使相应技术方案的本质脱离本技术各实施例技术方案的范围。