本技術(shù)涉及云計(jì)算領(lǐng)域，具體而言，涉及一種防火墻策略的驗(yàn)證方法、裝置及存儲(chǔ)介質(zhì)。

背景技術(shù)：

1、在信息網(wǎng)絡(luò)安全領(lǐng)域，防火墻策略的驗(yàn)證是確保網(wǎng)絡(luò)通信安全和業(yè)務(wù)連續(xù)性的重要環(huán)節(jié)。防火墻，作為網(wǎng)絡(luò)的第一道防線，其策略設(shè)置的準(zhǔn)確性直接關(guān)系到能否有效抵御外部攻擊、防止敏感數(shù)據(jù)泄露以及保證內(nèi)部網(wǎng)絡(luò)資源的合法訪問(wèn)。因此，對(duì)防火墻策略進(jìn)行及時(shí)有效的驗(yàn)證對(duì)于維護(hù)網(wǎng)絡(luò)安全至關(guān)重要。

2、傳統(tǒng)防火墻策略驗(yàn)證方法主要依賴于直接通過(guò)源地址機(jī)器發(fā)起網(wǎng)絡(luò)訪問(wèn)請(qǐng)求，以測(cè)試防火墻能否按預(yù)期策略放行或阻止數(shù)據(jù)流。這一方法在源地址機(jī)器處于可控環(huán)境中時(shí)是有效的，網(wǎng)絡(luò)管理員可以通過(guò)登錄源地址機(jī)器，手動(dòng)或通過(guò)腳本執(zhí)行訪問(wèn)命令，再觀察目的地址的響應(yīng)情況，從而判斷防火墻策略是否正確實(shí)現(xiàn)。然而，在銀企互聯(lián)、同業(yè)互聯(lián)等場(chǎng)景下，存在的一個(gè)顯著問(wèn)題是源地址機(jī)器往往不屬于金融機(jī)構(gòu)的管理范圍，而是由合作方或第三方控制。例如，企業(yè)級(jí)專線或互聯(lián)網(wǎng)vpn專線的另一端，可能是合作企業(yè)或監(jiān)管部門(mén)的服務(wù)器或網(wǎng)絡(luò)設(shè)備。這種情況下，網(wǎng)絡(luò)管理員沒(méi)有權(quán)限遠(yuǎn)程登錄合作方的源地址機(jī)器，也就無(wú)法直接通過(guò)源地址發(fā)起驗(yàn)證請(qǐng)求。這種權(quán)限限制不僅增加了防火墻策略驗(yàn)證的難度，也使得驗(yàn)證過(guò)程難以自動(dòng)化，降低了驗(yàn)證的效率和覆蓋范圍。

3、針對(duì)相關(guān)技術(shù)中通過(guò)源地址機(jī)器發(fā)起訪問(wèn)的方式驗(yàn)證防火墻策略，沒(méi)有權(quán)限執(zhí)行遠(yuǎn)程登錄源地址機(jī)器的操作時(shí)，則無(wú)法進(jìn)行驗(yàn)證的問(wèn)題，目前尚未提出有效的解決方案。

技術(shù)實(shí)現(xiàn)思路

1、本技術(shù)的主要目的在于提供一種防火墻策略的驗(yàn)證方法、裝置及存儲(chǔ)介質(zhì)，以解決相關(guān)技術(shù)中通過(guò)源地址機(jī)器發(fā)起訪問(wèn)的方式驗(yàn)證防火墻策略，沒(méi)有權(quán)限執(zhí)行遠(yuǎn)程登錄源地址機(jī)器的操作時(shí)，則無(wú)法進(jìn)行驗(yàn)證的問(wèn)題。

2、為了實(shí)現(xiàn)上述目的，根據(jù)本技術(shù)的一個(gè)方面，提供了一種防火墻策略的驗(yàn)證方法。該方法包括：在檢測(cè)到對(duì)防火墻策略的驗(yàn)證請(qǐng)求后，確定防火墻策略的信息，其中，防火墻策略的信息中至少包括源機(jī)器地址和目的機(jī)器地址；基于源機(jī)器地址和目的機(jī)器地址生成策略驗(yàn)證指令；響應(yīng)策略驗(yàn)證指令，配置臨時(shí)靜態(tài)路由，其中，臨時(shí)靜態(tài)路由用于連接目的機(jī)器和目標(biāo)容器實(shí)例，目標(biāo)容器實(shí)例的地址為源機(jī)器地址；根據(jù)策略驗(yàn)證指令，控制中心生成容器配置清單，其中，容器配置清單包括配置目標(biāo)容器實(shí)例和驗(yàn)證腳本的信息；基于臨時(shí)靜態(tài)路由、目標(biāo)容器實(shí)例以及驗(yàn)證腳本對(duì)防火墻策略執(zhí)行驗(yàn)證，得到驗(yàn)證結(jié)果。

3、進(jìn)一步地，基于源機(jī)器地址和目的機(jī)器地址生成策略驗(yàn)證指令包括：根據(jù)源機(jī)器地址和目的機(jī)器地址對(duì)防火墻策略中數(shù)據(jù)流的傳輸方向進(jìn)行方向驗(yàn)證，得到方向驗(yàn)證結(jié)果；若方向驗(yàn)證結(jié)果為正向訪問(wèn)關(guān)系，則生成第一策略驗(yàn)證指令，其中，正向訪問(wèn)關(guān)系是數(shù)據(jù)流的傳輸方向?yàn)閺姆阑饓?nèi)部區(qū)到防火墻外部區(qū)；若方向驗(yàn)證結(jié)果為逆向訪問(wèn)關(guān)系，則生成第二策略驗(yàn)證指令，其中，逆向訪問(wèn)關(guān)系是數(shù)據(jù)流的傳輸方向從防火墻外部區(qū)到防火墻內(nèi)部區(qū)。

4、進(jìn)一步地，在生成第一策略驗(yàn)證指令的情況下，響應(yīng)策略驗(yàn)證指令，配置臨時(shí)靜態(tài)路由包括：響應(yīng)第一策略驗(yàn)證指令，在防火墻內(nèi)部區(qū)構(gòu)建內(nèi)部檢測(cè)區(qū)，其中，內(nèi)部檢測(cè)區(qū)用于構(gòu)建第一容器實(shí)例，第一容器實(shí)例用于模擬防火墻內(nèi)部區(qū)的源機(jī)器；通過(guò)控制中心遠(yuǎn)程登陸內(nèi)部核心路由器，并配置第一臨時(shí)靜態(tài)路由，其中，第一臨時(shí)靜態(tài)路由是最高優(yōu)先級(jí)的靜態(tài)路由，第一臨時(shí)靜態(tài)路由的目的地址為防火墻內(nèi)部區(qū)的源機(jī)器地址。

5、進(jìn)一步地，在通過(guò)控制中心遠(yuǎn)程登陸內(nèi)部核心路由器，并配置第一臨時(shí)靜態(tài)路由之后，該方法還包括：通過(guò)控制中心發(fā)送第一配置生成請(qǐng)求至內(nèi)部容器云平臺(tái)，其中，第一配置生成請(qǐng)求中攜帶有第一容器配置清單的信息，第一容器配置清單包括配置第一容器實(shí)例和第一驗(yàn)證腳本的信息；通過(guò)內(nèi)部容器云平臺(tái)接收到第一配置生成請(qǐng)求后，內(nèi)部容器云平臺(tái)生成第一容器實(shí)例，并啟動(dòng)第一容器實(shí)例；通過(guò)第一容器實(shí)例執(zhí)行第一驗(yàn)證腳本得到第一驗(yàn)證結(jié)果；將第一驗(yàn)證結(jié)果通過(guò)第一臨時(shí)靜態(tài)路由發(fā)送至第一容器實(shí)例；通過(guò)第一容器實(shí)例接收到第一驗(yàn)證結(jié)果后，將第一驗(yàn)證結(jié)果發(fā)送至控制中心。

6、進(jìn)一步地，在生成第二策略驗(yàn)證指令的情況下，響應(yīng)策略驗(yàn)證指令，配置臨時(shí)靜態(tài)路由包括：響應(yīng)第二策略驗(yàn)證指令，在防火墻外部區(qū)構(gòu)建外部檢測(cè)區(qū)，其中，外部檢測(cè)區(qū)用于構(gòu)建第二容器實(shí)例，第二容器實(shí)例用于模擬防火墻外部區(qū)的源機(jī)器；通過(guò)控制中心遠(yuǎn)程登陸外部核心路由器，并配置第二臨時(shí)靜態(tài)路由，其中，第二臨時(shí)靜態(tài)路由是最高優(yōu)先級(jí)的靜態(tài)路由，第二臨時(shí)靜態(tài)路由的目的地址為防火墻外部區(qū)的源機(jī)器地址。

7、進(jìn)一步地，在通過(guò)控制中心遠(yuǎn)程登陸外部核心路由器，并配置第二臨時(shí)靜態(tài)路由之后，該方法還包括：通過(guò)控制中心發(fā)送第二配置生成請(qǐng)求至外部容器云平臺(tái)，其中，第二配置生成請(qǐng)求中攜帶有第二容器配置清單的信息，第二容器配置清單包括配置第二容器實(shí)例和第二驗(yàn)證腳本的信息；通過(guò)外部容器云平臺(tái)接收到第二配置生成請(qǐng)求后，外部容器云平臺(tái)生成第二容器實(shí)例，并啟動(dòng)第二容器實(shí)例；通過(guò)第二容器實(shí)例執(zhí)行第二驗(yàn)證腳本得到第二驗(yàn)證結(jié)果；將第二驗(yàn)證結(jié)果通過(guò)第二臨時(shí)靜態(tài)路由發(fā)送至第二容器實(shí)例；通過(guò)第二容器實(shí)例接收到第二驗(yàn)證結(jié)果后，將第二驗(yàn)證結(jié)果發(fā)送至控制中心。

8、進(jìn)一步地，在基于臨時(shí)靜態(tài)路由、目標(biāo)容器實(shí)例以及驗(yàn)證腳本對(duì)防火墻策略執(zhí)行驗(yàn)證，得到驗(yàn)證結(jié)果之后，該方法還包括：若驗(yàn)證結(jié)果表示訪問(wèn)驗(yàn)證通過(guò)且躍點(diǎn)跟蹤到達(dá)目的機(jī)器，則確定防火墻策略有效；若驗(yàn)證結(jié)果表示訪問(wèn)驗(yàn)證失敗但躍點(diǎn)跟蹤通過(guò)了防火墻，則確定防火墻策略有效，但目的機(jī)器未啟動(dòng)；若驗(yàn)證結(jié)果表示訪問(wèn)驗(yàn)證失敗且躍點(diǎn)跟蹤未通過(guò)防火墻，則確定防火墻策略無(wú)效。

9、進(jìn)一步地，在基于臨時(shí)靜態(tài)路由、目標(biāo)容器實(shí)例以及驗(yàn)證腳本對(duì)防火墻策略執(zhí)行驗(yàn)證，得到驗(yàn)證結(jié)果之后，該方法還包括：通過(guò)控制中心刪除臨時(shí)靜態(tài)路由；通過(guò)控制中心發(fā)送關(guān)閉請(qǐng)求至容器云平臺(tái)，其中，關(guān)閉請(qǐng)求是關(guān)閉目標(biāo)容器實(shí)例的請(qǐng)求；在容器云平臺(tái)接收到關(guān)閉請(qǐng)求后，關(guān)閉目標(biāo)容器實(shí)例。

10、為了實(shí)現(xiàn)上述目的，根據(jù)本技術(shù)的另一方面，提供了一種防火墻策略的驗(yàn)證裝置。該裝置包括：第一確定單元，用于在檢測(cè)到對(duì)防火墻策略的驗(yàn)證請(qǐng)求后，確定防火墻策略的信息，其中，防火墻策略的信息中至少包括源機(jī)器地址和目的機(jī)器地址；第一生成單元，用于基于源機(jī)器地址和目的機(jī)器地址生成策略驗(yàn)證指令；響應(yīng)單元，用于響應(yīng)策略驗(yàn)證指令，配置臨時(shí)靜態(tài)路由，其中，臨時(shí)靜態(tài)路由用于連接目的機(jī)器和目標(biāo)容器實(shí)例，目標(biāo)容器實(shí)例的地址為源機(jī)器地址；第二生成單元，用于根據(jù)策略驗(yàn)證指令，控制中心生成容器配置清單，其中，容器配置清單包括配置目標(biāo)容器實(shí)例和驗(yàn)證腳本的信息；驗(yàn)證單元，用于基于臨時(shí)靜態(tài)路由、目標(biāo)容器實(shí)例以及驗(yàn)證腳本對(duì)防火墻策略執(zhí)行驗(yàn)證，得到驗(yàn)證結(jié)果。

11、進(jìn)一步地，第一生成單元包括：驗(yàn)證模塊，用于根據(jù)源機(jī)器地址和目的機(jī)器地址對(duì)防火墻策略中數(shù)據(jù)流的傳輸方向進(jìn)行方向驗(yàn)證，得到方向驗(yàn)證結(jié)果；第一生成模塊，用于若方向驗(yàn)證結(jié)果為正向訪問(wèn)關(guān)系，則生成第一策略驗(yàn)證指令，其中，正向訪問(wèn)關(guān)系是數(shù)據(jù)流的傳輸方向?yàn)閺姆阑饓?nèi)部區(qū)到防火墻外部區(qū)；第二生成模塊，用于若方向驗(yàn)證結(jié)果為逆向訪問(wèn)關(guān)系，則生成第二策略驗(yàn)證指令，其中，逆向訪問(wèn)關(guān)系是數(shù)據(jù)流的傳輸方向從防火墻外部區(qū)到防火墻內(nèi)部區(qū)。

12、進(jìn)一步地，響應(yīng)單元包括：第一響應(yīng)模塊，用于在生成第一策略驗(yàn)證指令的情況下，響應(yīng)第一策略驗(yàn)證指令，在防火墻內(nèi)部區(qū)構(gòu)建內(nèi)部檢測(cè)區(qū)，其中，內(nèi)部檢測(cè)區(qū)用于構(gòu)建第一容器實(shí)例，第一容器實(shí)例用于模擬防火墻內(nèi)部區(qū)的源機(jī)器；第一配置模塊，用于通過(guò)控制中心遠(yuǎn)程登陸內(nèi)部核心路由器，并配置第一臨時(shí)靜態(tài)路由，其中，第一臨時(shí)靜態(tài)路由是最高優(yōu)先級(jí)的靜態(tài)路由，第一臨時(shí)靜態(tài)路由的目的地址為防火墻內(nèi)部區(qū)的源機(jī)器地址。

13、進(jìn)一步地，該裝置還包括：第一發(fā)送單元，用于在通過(guò)控制中心遠(yuǎn)程登陸內(nèi)部核心路由器，并配置第一臨時(shí)靜態(tài)路由之后，通過(guò)控制中心發(fā)送第一配置生成請(qǐng)求至內(nèi)部容器云平臺(tái)，其中，第一配置生成請(qǐng)求中攜帶有第一容器配置清單的信息，第一容器配置清單包括配置第一容器實(shí)例和第一驗(yàn)證腳本的信息；第三生成單元，用于通過(guò)內(nèi)部容器云平臺(tái)接收到第一配置生成請(qǐng)求后，內(nèi)部容器云平臺(tái)生成第一容器實(shí)例，并啟動(dòng)第一容器實(shí)例；第一執(zhí)行單元，用于通過(guò)第一容器實(shí)例執(zhí)行第一驗(yàn)證腳本得到第一驗(yàn)證結(jié)果；第二發(fā)送單元，用于將第一驗(yàn)證結(jié)果通過(guò)第一臨時(shí)靜態(tài)路由發(fā)送至第一容器實(shí)例；第三發(fā)送單元，用于通過(guò)第一容器實(shí)例接收到第一驗(yàn)證結(jié)果后，將第一驗(yàn)證結(jié)果發(fā)送至控制中心。

14、進(jìn)一步地，響應(yīng)單元包括：第二響應(yīng)模塊，用于在生成第二策略驗(yàn)證指令的情況下，響應(yīng)第二策略驗(yàn)證指令，在防火墻外部區(qū)構(gòu)建外部檢測(cè)區(qū)，其中，外部檢測(cè)區(qū)用于構(gòu)建第二容器實(shí)例，第二容器實(shí)例用于模擬防火墻外部區(qū)的源機(jī)器；第二配置模塊，用于通過(guò)控制中心遠(yuǎn)程登陸外部核心路由器，并配置第二臨時(shí)靜態(tài)路由，其中，第二臨時(shí)靜態(tài)路由是最高優(yōu)先級(jí)的靜態(tài)路由，第二臨時(shí)靜態(tài)路由的目的地址為防火墻外部區(qū)的源機(jī)器地址。

15、進(jìn)一步地，該裝置還包括：第四發(fā)送單元，用于在通過(guò)控制中心遠(yuǎn)程登陸外部核心路由器，并配置第二臨時(shí)靜態(tài)路由之后，通過(guò)控制中心發(fā)送第二配置生成請(qǐng)求至外部容器云平臺(tái)，其中，第二配置生成請(qǐng)求中攜帶有第二容器配置清單的信息，第二容器配置清單包括配置第二容器實(shí)例和第二驗(yàn)證腳本的信息；第四生成單元，用于通過(guò)外部容器云平臺(tái)接收到第二配置生成請(qǐng)求后，外部容器云平臺(tái)生成第二容器實(shí)例，并啟動(dòng)第二容器實(shí)例；第二執(zhí)行單元，用于通過(guò)第二容器實(shí)例執(zhí)行第二驗(yàn)證腳本得到第二驗(yàn)證結(jié)果；第五發(fā)送單元，用于將第二驗(yàn)證結(jié)果通過(guò)第二臨時(shí)靜態(tài)路由發(fā)送至第二容器實(shí)例；第六發(fā)送單元，用于通過(guò)第二容器實(shí)例接收到第二驗(yàn)證結(jié)果后，將第二驗(yàn)證結(jié)果發(fā)送至控制中心。

16、進(jìn)一步地，該裝置還包括：第二確定單元，用于在基于臨時(shí)靜態(tài)路由、目標(biāo)容器實(shí)例以及驗(yàn)證腳本對(duì)防火墻策略執(zhí)行驗(yàn)證，得到驗(yàn)證結(jié)果之后，若驗(yàn)證結(jié)果表示訪問(wèn)驗(yàn)證通過(guò)且躍點(diǎn)跟蹤到達(dá)目的機(jī)器，則確定防火墻策略有效；第三確定單元，用于若驗(yàn)證結(jié)果表示訪問(wèn)驗(yàn)證失敗但躍點(diǎn)跟蹤通過(guò)了防火墻，則確定防火墻策略有效，但目的機(jī)器未啟動(dòng)；第四確定單元，用于若驗(yàn)證結(jié)果表示訪問(wèn)驗(yàn)證失敗且躍點(diǎn)跟蹤未通過(guò)防火墻，則確定防火墻策略無(wú)效。

17、進(jìn)一步地，該裝置還包括：刪除單元，用于在基于臨時(shí)靜態(tài)路由、目標(biāo)容器實(shí)例以及驗(yàn)證腳本對(duì)防火墻策略執(zhí)行驗(yàn)證，得到驗(yàn)證結(jié)果之后，通過(guò)控制中心刪除臨時(shí)靜態(tài)路由；第七發(fā)送單元，用于通過(guò)控制中心發(fā)送關(guān)閉請(qǐng)求至容器云平臺(tái)，其中，關(guān)閉請(qǐng)求是關(guān)閉目標(biāo)容器實(shí)例的請(qǐng)求；關(guān)閉單元，用于在容器云平臺(tái)接收到關(guān)閉請(qǐng)求后，關(guān)閉目標(biāo)容器實(shí)例。

18、根據(jù)本技術(shù)的另一方面，提供了一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)包括存儲(chǔ)的程序，其中，在程序運(yùn)行時(shí)控制計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)所在設(shè)備執(zhí)行任意一種防火墻策略的驗(yàn)證方法。

19、根據(jù)本技術(shù)的另一方面，提供了一種電子設(shè)備，包括：一個(gè)或多個(gè)處理器，存儲(chǔ)器，以及一個(gè)或多個(gè)程序，其中，一個(gè)或多個(gè)程序被存儲(chǔ)在存儲(chǔ)器中，并且被配置為由一個(gè)或多個(gè)處理器執(zhí)行，一個(gè)或多個(gè)程序包括用于執(zhí)行任意一種防火墻策略的驗(yàn)證方法。

20、根據(jù)本技術(shù)的另一方面，提供了一種計(jì)算機(jī)程序產(chǎn)品，包括計(jì)算機(jī)指令，計(jì)算機(jī)指令被處理器執(zhí)行時(shí)實(shí)現(xiàn)上述任意一項(xiàng)的防火墻策略的驗(yàn)證方法的步驟。

21、在本技術(shù)實(shí)施例中，通過(guò)在檢測(cè)到對(duì)防火墻策略的驗(yàn)證請(qǐng)求后，確定防火墻策略的信息，其中，防火墻策略的信息中至少包括源機(jī)器地址和目的機(jī)器地址；基于源機(jī)器地址和目的機(jī)器地址生成策略驗(yàn)證指令；響應(yīng)策略驗(yàn)證指令，配置臨時(shí)靜態(tài)路由，其中，臨時(shí)靜態(tài)路由用于連接目的機(jī)器和目標(biāo)容器實(shí)例，目標(biāo)容器實(shí)例的地址為源機(jī)器地址；根據(jù)策略驗(yàn)證指令，控制中心生成容器配置清單，其中，容器配置清單包括配置目標(biāo)容器實(shí)例和驗(yàn)證腳本的信息；基于臨時(shí)靜態(tài)路由、目標(biāo)容器實(shí)例以及驗(yàn)證腳本對(duì)防火墻策略執(zhí)行驗(yàn)證，得到驗(yàn)證結(jié)果，解決了現(xiàn)有技術(shù)中通過(guò)源地址機(jī)器發(fā)起訪問(wèn)的方式驗(yàn)證防火墻策略，沒(méi)有權(quán)限執(zhí)行遠(yuǎn)程登錄源地址機(jī)器的操作時(shí)，則無(wú)法進(jìn)行驗(yàn)證的技術(shù)問(wèn)題。在本技術(shù)中，檢測(cè)到對(duì)防火墻策略的驗(yàn)證請(qǐng)求后，確定防火墻策略的信息，通過(guò)防火墻策略的信息中的源機(jī)器地址和目的機(jī)器地址生成策略驗(yàn)證指令，根據(jù)生成的策略驗(yàn)證指令配置臨時(shí)靜態(tài)路由和生成容器配置清單，進(jìn)而可以驗(yàn)證防火墻策略，得到驗(yàn)證結(jié)果，進(jìn)而實(shí)現(xiàn)了提高防火墻策略的驗(yàn)證效率的技術(shù)效果。