您现在的位置是：首页 > 技术资料 > 基于Python语言的防火墙自动化运维工具的开发与应用

推荐星级：

基于Python语言的防火墙自动化运维工具的开发与应用

更新时间：2019-12-24 05:34:56 大小：595K 上传用户：songhuahua 查看TA发布的资源 标签：python 下载积分：1分评价赚积分（如何评价?）打赏收藏评论(0) 举报

资料介绍

国网四川省电力公司眉山供电公司建立了三道信息安全防线,一是边界防火墙,二是服务器区域防火墙,三是服务器主机本地防火墙防护。第三道防线需要通过设置主机的防火墙来实现,但由于Windows(或Linux)主机防火墙设置比较复杂,不直观,给运维人员带来了困难,设置效率过低。为了解决这一问题,提出并研发一款基于Python语言的跨平台可视化的防火墙自动运维工具,该工具具有典型性和推广性。

部分文件列表

文件名	大小
基于Python语言的防火墙自动化运维工具的开发与应用.pdf	595K

立即下载

【关注视频号领20积分】【关注公众号立即送20积分】

部分页面预览

（完整内容请下载后查看）

安全模型、算法与编程

基于 Python 语言的防火墙自动化运维工具的开发与

应用

◆吴红吕磊罗晨

（国网四川省电力公司眉山供电公司四川 620010）

摘要：国网四川省电力公司眉山供电公司建立了三道信息安全防线，一是边界防火墙，二是服务器区域防火墙，三是服务器主机本地

防火墙防护。第三道防线需要通过设置主机的防火墙来实现，但由于 W indows（或 Linux）主机防火墙设置比较复杂，不直观，给运

维人员带来了困难，设置效率过低。为了解决这一问题，提出并研发一款基于Python语言的跨平台可视化的防火墙自动运维工具，该

工具具有典型性和推广性。

关键词：防火墙；信息安全；运维；自动化；Python

（5）管理主机过多的情况下，同一条规则在不同主机上需

前言

要多次配置，工作繁琐，容易漏配误配；

（6）要管理主机过多，系统密码管理不便。

防火墙由CheckPoint创立者GilShwed于1993年发明并引入

国际互联网。防火墙是位于内部网和外部网之间的屏障，如图1。

将“内部网络”与“外部网络”有效隔离开来，按照系统管理员

预先定义好的规则来控制数据包的进出，只有满足预先设定好规

则的流量才能够通过防火墙，从而在两个网络通信之中实现访问

控制^[1]。

设计目标

主要通过开发设计实现以下目标：

（1）统一不同操作系统的防火墙配置接口，使相同防火墙

规则在不同操作系统上的配置对运维人员来说输入一致；

（2）简化防火墙配置输入，使防火墙配置更接近自然语言，

减轻运维管理的负担；

（3）优化已有防火墙配置的输出，使防火墙规则明细更直

观地呈现；

（4）创新防火墙规则的存储与分发机制，实现相同防火墙

规则在大规模网络系统中的快速、安全应用；

（5）实现主机集群的密码管理，方便对大规模主机密码的

统一记录与安全管理。

图1 防火墙

程序的设计与关键问题研究

该防火墙自动化运维工具的总体方案按软件设计的流程，需

众所周知，防火墙对于抵抗网络攻击、保护信息系统的安全

具有重要的意义，尤其是在当前网络威胁泛滥的环境下，恰当的

配置和利用防火墙可以防止大量的安全攻击威胁。目前，市面上

存在硬件和软件两种防火墙，而对于系统提供最直接保护的莫过

于系统自带的软件防火墙。W indows系统默认集成了W indows防

火墙，而 Linux 系统中默认也集成了 iptables 防火墙。合理并有

效的配置、利用系统自身提供的防火墙，能够有限防止黑客对信

息系统进行恶意的攻击^[2]。

讨论以下四大方面见图2。

眉山公司防火墙运维现状与问题

国网四川省电力公司眉山供电公司目前建立了三道信息安

全防线来阻隔外部安全风险，一是边界防火墙，二是服务器区域

防火墙，三是服务器主机本地防火墙防护。第三道防线需要通过

设置主机的防火墙来实现，但由于 W indows（或 Linux）主机防

火墙设置比较复杂，不直观，给运维人员带来了困难，设置效率

过低。通常运维工作存在以下问题：

（1）不同操作系统的防火墙规则配置命令不一致，容易记

混；

图2 总体方案分解图

2.1编程语言的选择

（2）配置命令参数过多，书写容易出错；

编程语言种类繁多，从项目创新目标上考虑，我们选择了

Java 和 Python 两种移植性较好，都可以实现图形化编程的语言

进行比较。小组对两种语言进行选择,如表1。

（3）查看已配置过的规则不方便；

（4）不同操作系统之间规则不通用；

‖44‖

安全模型、算法与编程

加密处理；代码实现较为

表1 编程语言的选择

方案目标：

复杂。

2.3C/S架构中服务器与客户端角色的选择

操作员与主机这二者谁是服务器谁是客户端将决定整个软

件设计的框架，方案的选择见表3。

表3 防火墙规则存储与分发机制的选择

方案目标：

（1）跨平台，以最小的代价使程序可以同时在 W indows、Linux

操作系统上运行。

（2）便于进行GUI界面编程。

待选方案方案分析

结论

Java

优点：跨平台移植性好；执行效率较高。

缺点：开发效率低下。

不选择

（1）控制软件部署与运行成本；

（2）提高软件运行性能和稳定性。

Python

优点：跨平台移植性好；开发效率极高，相同选择

功能平均代码量为java的1/5至1/10。

缺点：执行效率为 java 代码编译执行时间之

和的1/2。

待选方方案分析讨论

案

结论

操作员方案描述操作员作为架构中的服务端，监听本不选

2.2 防火墙规则存储与分发机制的选择

要想实现创新目标中“统一不同操作系统的防火墙配置接

口”与“高效完成相同防火墙规则大规模分发”的要求，需要实

现防火墙规则存储与分发机制的创新，见表2。

表2 防火墙规则存储与分发机制的选择

方案目标：

是服务

端

机端，被管理主机主动连接操作员主择

机。

优劣分析优点：不需要修改线上主机的防火墙

策略，以放行新的端口通信；线上主

机不开放端口，降低被攻击风险。

缺点：当运维人员的主机在内网中时，

公网线上主机回连的成本极高；当运

维人员网络环境变动时，所有线上主

机的回连地址必须变动，有巨大的弹

性变动维护成本；所有主机回连至操

作员主机的同一端口，对运维人员机

器性能要求与程序并发性能要求高。

（1）实现相同规则的快速大规模部署；

（2）降低防火墙规则维护成本。

待选方案

方案分析讨论

结论

基于规则数据库方案描述可以在一台机器上将防不选择

文件的分发形式

火墙配置完成后将规则

保存在数据库文件中，将

数据库文件发送给其他

相同网络环境的主机并

应用。

操作员方案描述主机作为架构中的服务端，监听主机选择

是客户

端

本机端口，操作员端主动连接主机

优劣分析优点：运维人员可以在任何地方对主

机进行连接、管理，对网络环境要求

低，运维成本低，提高运维效率。

缺点：线上主机必须开放特定端口，

增加了 DDOS、暴力破解等攻击的风

险。

优劣分析优点：相同防火墙规则配

置一次，可以多次应用；

在一定程度上降低了维

护成本。

缺点：各个主机的防火墙

规则并不完全相同，多余

的规则可能增加运维风

险及成本；分发完整数据

库会增加网络流量。

2.4 软件交付形式的选择

Python属于解释型语言，可以不经编译在主机上运行，也可

以通过第三方软件将源代码打包导出成二进制文件在主机上执

行^[4]。我们对两种方式进行分析讨论，见表4。

基于 Client/Server方案描述将防火墙规则管理作为选择

表4 软件交付形式的选择

框架的管理方式

一种服务，所有被管理的

机器通过网络与服务系

统建立链接，操作员通过

服务对所有与服务建立

了连接的主机进行防火

墙规则管理^[3]。

方案目标：

（1）交付的软件能在最小的系统变动之下运行

（2）降低软件部署时长

待选方案

方案分析讨论

结论

直接交付 Python 源优点：便于用户对软件进行二次开不选择

代码

发；便于用户审查程序安全性。

缺点：运行之前需要在目标系统上安

装各种依赖环境；软件部署时间长。

优劣分析优点：运维人员仅需要在

服务界面即可管理所有

机器，降低运维成本；C/S

架构可以对特定主机下

方特定规则，可以轻松实

现相同规则的大规模部

署

将源码打包成可执优点：部署不需要安装任何依赖环选择

行文件

境，部署时间几乎为0；软件以二进

制文件形式在主机上运行，代码完整

性、机密性更有保障^[5]。

缺点：不便于用户二次开发；导出后

软件较大，增加部署时分发流量。

缺点：操作员的一切管理

指令通过网络发送，增加

了网络劫持等攻击的风

险，需要对网络通信进行

2.5 确定最佳方案

经过以上多次讨论及技术验证，我们最终确定了软件的技术

‖45‖

全部评论(0)

暂无评论

评论赚积分>>

上传资源上传优质资源有赏金

最新上传

打赏
30日榜单

cai0603 打赏3.00元 1天前

用户：CJQ_ENJOY
21ic小能手打赏5.00元 1天前

资料：基于STM32f103c8t6的can回环测试
21ic小能手打赏10.00元 1天前

资料：特斯拉 TESLA AC DC 充电接口标准
cai0603 打赏3.00元 1天前

用户：dongshao
21ic小能手打赏5.00元 2天前

资料：先楫工业以太网高性能MCU HPM6E00系列PWM输出控制
21ic小能手打赏10.00元 2天前

资料：毕业设计：基于Vue的校园点餐移动平台设计与实现
21ic下载打赏310.00元 2天前

用户：gsy幸运
21ic下载打赏310.00元 2天前

用户：zhengdai
21ic下载打赏310.00元 2天前

用户：小猫做电路
21ic下载打赏310.00元 2天前

用户：liqiang9090
21ic下载打赏270.00元 2天前

用户：kk1957135547
21ic下载打赏160.00元 2天前

用户：w178191520
21ic下载打赏160.00元 2天前

用户：w1966891335
21ic下载打赏50.00元 2天前

用户：w993263495
21ic下载打赏40.00元 2天前

用户：w993263495
21ic下载打赏90.00元 2天前

用户：cooldog123pp
21ic下载打赏30.00元 2天前

用户：sun2152
21ic下载打赏40.00元 2天前

用户：xzxbybd
21ic下载打赏40.00元 2天前

用户：铁蛋锅
21ic下载打赏30.00元 2天前

用户：happypcb
21ic下载打赏50.00元 2天前

用户：forgot

21ic下载打赏10.00元 2天前

用户：xuzhen1
21ic下载打赏20.00元 2天前

用户：wanglu6666
21ic下载打赏5.00元 2天前

用户：人间留客
21ic下载打赏5.00元 2天前

用户：jyxjiyixing
21ic下载打赏5.00元 2天前

用户：akae_du
21ic下载打赏5.00元 2天前

用户：ouyang_56
21ic小能手打赏5.00元 3天前

资料：基于zigbee和stm32的智能家居系统
21ic小能手打赏5.00元 3天前

资料：stm32小车开环控制参考例程
21ic小能手打赏5.00元 3天前

资料：基于STM32的滚球平板控制系统
21ic小能手打赏5.00元 3天前

资料：小米电机STM32H750控制
21ic小能手打赏5.00元 3天前

资料：基于stm32的空气净化器
xlhtracy 打赏10.00元 3天前

资料：STM32F4智能萌宠小屋原理图
xlhtracy 打赏10.00元 3天前

资料：STM32智能家居系统项目资料原理图V1.1
21ic小能手打赏5.00元 3天前

资料：三端稳压电路的原理图和PCB
21ic小能手打赏5.00元 3天前

资料：uCOS 全家桶软件包，组件开源源码包
xlhtracy 打赏5.00元 3天前

资料：用杰理芯片开发带录音混响蓝牙功能的多功能路演音箱-原创
czmhcy 打赏1.00元 3天前

资料：bitboy
21ic小能手打赏5.00元 3天前

资料：GPSDOYT全套开发资料，包含原理图源码
21ic小能手打赏20.00元 3天前

资料：STM32控制小米电机

基于Python语言的防火墙自动化运维工具的开发与应用

资料介绍

部分文件列表

部分页面预览

相关下载

全部评论(0)

热门标签

最新上传

热门下载

推荐下载

专栏首页