(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211123926.0 (22)申请日 2022.09.15 (71)申请人 中国工商银行股份有限公司 地址 100140 北京市西城区复兴门内大街 55号 (72)发明人 王伟　孙海泉　张子腾　张标　 (74)专利代理 机构 北京同立钧成知识产权代理 有限公司 1 1205 专利代理师 李湘　臧建明 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 防火墙自动部署方法、 装置和服 务器 (57)摘要 本申请提供一种防火墙自动部署方法、 装置 和服务器。 该方法包括： 服务器获取防火墙申请。 该防火墙申请中包括源服务器名称、 目的服务器 名称、 协议类型、 目的端口信息。 服务器从数据库 中获取环 境信息。 服务器根据防火墙申请和该环 境信息， 生成防火墙策略。 服务器根据该防火墙 策略， 在达到变更执行时间窗口时， 自动完成防 火墙的开通。 服务器对防火墙是否开通成功进行 验证。 当服务器确定该防火墙开通成功时， 服务 器确定该防火墙已经完成在该生产环境的网络 中的部署。 本申请的方法， 提高防火墙开启的准 确性， 提高该防火墙在测试环 境和生产环境中的 一致性。 权利要求书2页 说明书15页 附图4页 CN 115333856 A 2022.11.11 CN 115333856 A 1.一种防火墙自动部署方法， 其特 征在于， 所述方法包括： 获取防火墙申请， 所述防火墙申请中包括源服务器名称、 目的服务器名称、 协议类型、 目的端口信息； 根据所述防火墙申请和环境信息， 生成防火墙策略， 并根据所述防火墙策略自动开通 所述防火墙； 当验证确定所述防火墙开 通成功时， 将所述防火墙部署到生产环境的网络中； 其中， 所述环境信息中包括 服务器IP地址和服 务器名称之间的对应关系。 2.根据权利要求1所述的方法， 其特征在于， 所述根据所述防火墙申请和环境信息， 生 成防火墙策略， 具体包括： 根据所述源服务器名称和所述环境信 息确定源服务器IP地址， 根据 所述目的服务器名 称和所述环境信息确定目的服 务器IP地址； 根据所述源服务器IP地址、 所述目的服务器IP地址和所述环境信息， 确定所述源服务 器IP地址和所述目的服 务器IP地址之间的区域策略关系； 根据所述区域策略关系 、 所述协议类型、 所述目的端口信息， 生成所述防火墙策略。 3.根据权利要求2所述的方法， 其特征在于， 所述验证确定所述防火墙开通成功， 具体 包括： 根据所述源服务器IP地址和所述目的服务器IP地址之间的路由匹配结果， 确定所述源 服务器IP地址和所述目的服 务器IP地址之间是否存在路由路径； 当存在所述路由路径时， 根据所述目的端口和所述协议对所述路由路径进行接口比 较， 确定所述路由路径是否满足所述目的端口和所述协议的要求； 当满足时， 确定所述防火墙开 通成功。 4.根据权利要求1 ‑3中任一项所述的方法， 其特征在于， 所述环境信 息包括测试环境信 息和生产 环境信息； 所述根据所述防火墙申请和环境信息， 生成防火墙策略， 并根据所述防 火墙策略自动开 通所述防火墙， 具体包括： 根据所述防火墙申请和所述测试环境信息， 生成测试环境防火墙策略， 并根据所述测 试环境防火墙策略在测试环境中自动开 通所述防火墙； 根据所述防火墙申请和所述生产环境信息， 生成生产环境防火墙策略， 并根据所述生 产环境防火墙策略在生产环境中自动开 通所述防火墙。 5.根据权利要求1 ‑3中任一项所述的方法， 其特征在于， 当验证确定所述防火墙开通失 败时， 所述方法， 还 包括： 根据所述环境信息， 通过防火墙静态路由匹配和接口比较， 生成防火墙拓扑 结构图； 根据所述防火墙申请和防火墙拓扑结构图， 重新生成防火墙策略， 所述防火墙策略用 于新增或者 修改两个服 务器之间的路由。 6.根据权利要求1 ‑3中任一项所述的方法， 其特 征在于， 所述方法， 还 包括： 周期性维护所述环境信息 。 7.一种防火墙自动部署装置， 其特 征在于， 所述装置， 包括： 获取模块， 用于获取防火墙申请， 所述防火墙申请中包括源服务器名称、 目的服务器名 称、 协议类型、 目的端口信息； 处理模块， 用于根据 所述防火墙申请和环境信 息， 生成防火墙策略， 并根据所述防火墙权　利　要　求　书 1/2 页 2 CN 115333856 A 2策略自动开通所述防火墙； 当验证确定所述防火墙开通成功 时， 将所述防火墙部署到生产 环境的网络中； 其中， 所述环境信息中包括 服务器IP地址和服 务器名称之间的对应关系。 8.一种服务器， 其特征在于， 所述服务器， 包括： 存储器， 处理器； 所述存储器用于存储 计算机程序； 所述处理器用于根据所述存储器存储的计算机程序， 实现如权利要求1至6中 任意一项所述的防火墙自动部署方法。 9.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质中存储有计算机 程序， 所述计算机程序被处理器执行时用于实现如权利要求 1至6任一项 所述的防火墙自动 部署方法。 10.一种计算机程序产品， 其特征在于， 所述计算机程序产品包括计算机程序， 所述计 算机程序被处 理器执行时实现权利要求1至 6任一项所述的防火墙自动部署方法。权　利　要　求　书 2/2 页 3 CN 115333856 A 3