(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111451920.1 (22)申请日 2021.11.30 (71)申请人 招商局金融科技有限公司 地址 518000 广东省深圳市福田区华 富街 道皇岗路5001号深业上城 （南区） 二期 35层、 36层 (72)发明人 卢亚军　龙喜洋　高宏　 (74)专利代理 机构 深圳众鼎专利商标代理事务 所(普通合伙) 44325 代理人 姚章国 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/0803(2022.01) H04L 41/12(2022.01) (54)发明名称 基于网络安全架构的防火墙部署方法、 装 置、 设备及 介质 (57)摘要 本发明涉及网络安全 领域， 公开了一种基于 网络安全架构的防火墙部署方法、 装置、 设备及 介质， 其方法包括： 通过用户数据层获取用户输 入的用于访问目标网络资源的安全设置信息； 将 安全设置信息发送给防火墙资源层， 以获取防火 墙资源层返回的与安全设置信息匹配的防火墙 配置信息； 将防火墙配置信息发送给网络安全架 构编排层， 以获取网络安全架构编排层返回的与 防火墙配置信息匹配的网络拓扑信息； 根据网络 拓扑信息设置用于访问目标网络资源的网络配 置信息。 本发明可以提高防火墙 部署的灵活性。 权利要求书2页 说明书7页 附图3页 CN 114143090 A 2022.03.04 CN 114143090 A 1.一种基于网络安全架构的防火墙部署方法， 其特 征在于， 包括： 通过用户数据层获取用户输入的用于访问目标网络资源的安全设置信息； 将所述安全设置信 息发送给防火墙资源层， 以获取所述防火墙资源层返回的与所述安 全设置信息匹配的防火墙 配置信息； 将所述防火墙配置信 息发送给网络安全架构编 排层， 以获取网络安全架构编排层返回 的与所述防火墙 配置信息匹配的网络 拓扑信息； 根据所述网络 拓扑信息设置用于访问所述目标网络资源的网络配置信息 。 2.如权利要求1所述的基于网络安全架构的防火墙部署方法， 其特征在于， 所述安全设 置信息包括源IP、 目标IP、 目标端口、 目标协议、 策 略生效时间、 策 略类型、 策 略有效期中的 至少一种。 3.如权利要求1所述的基于网络安全架构的防火墙部署方法， 其特征在于， 所述防火墙 配置信息包括防火墙设备信息、 防火墙安全区域信息、 网络IP地址段信息中的至少一种。 4.如权利要求1所述的基于网络安全架构的防火墙部署方法， 其特征在于， 所述防火墙 配置信息包括源防火墙和目标防火墙； 所述将所述防火墙配置信 息发送给网络安全架构编 排层， 以获取网络安全架构编排层 返回的与所述防火墙 配置信息匹配的网络 拓扑信息， 包括： 查询所述源防火墙在网络安全架构的第 一网络位置； 查询所述目标防火墙在所述网络 安全架构的第二网络位置； 根据所述第 一网络位置和所述第 二网络位置规划若干互联链路， 所述网络拓扑信 息包 括若干所述互联链路， 每一所述互联链路包括所述源防火墙、 所述目标防火墙、 以及所述源 防火墙与所述目标防火墙之间的中间防火墙。 5.如权利要求4所述的基于网络安全架构的防火墙部署方法， 其特征在于， 所述互联链 路的条数大于一； 所述根据所述网络 拓扑信息设置用于访问所述目标网络资源的网络配置信息， 包括： 获取各条所述互联链路的网络连通数据； 根据预设评价规则从所有所述网络连通数据选取出最优 网络连通数据， 将与 所述最优 网络连通数据对应的互联链路确定为目标互联链路； 获取所述目标互联链路上的所有防火墙的配置信息， 生成所述网络配置信息 。 6.一种基于网络安全架构的防火墙部署装置， 其特 征在于， 包括： 用户数据层， 用于获取用户输入的用于访问目标网络资源的安全设置信息； 逻辑处理层， 用于从所述用户数据层接收所述安全设置信息， 将所述安全设置信息发 送给防火墙资源层， 以获取所述防火墙资源层返回的与所述安全设置信息匹配的防火墙配 置信息； 所述防火墙资源层， 用于获取与所述安全设置信息匹配的防火墙配置信息， 并将所述 防火墙配置信息返回给 所述逻辑处 理层； 所述逻辑处 理层， 还用于将所述防火墙 配置信息发送给网络安全架构编排层； 所述网络安全架构编排层， 用于获取与所述防火墙配置信息匹配的网络拓扑信息， 并 将所述网络 拓扑信息返回给 所述逻辑处 理层； 所述逻辑处理层， 还用于根据 所述网络拓扑信 息设置用于访问所述目标网络资源的网权　利　要　求　书 1/2 页 2 CN 114143090 A 2络配置信息 。 7.如权利要求6所述的基于网络安全架构的防火墙部署装置， 其特征在于， 所述防火墙 配置信息包括源防火墙和目标防火墙； 所述网络安全架构编排层包括： 查询单元， 用于查询所述源 防火墙在网络安全架构的第一网络位置； 查询所述目标防 火墙在所述网络安全架构的第二网络位置； 规划互联链路单元， 用于根据 所述第一网络位置和所述第 二网络位置规划若干互联链 路， 所述网络拓扑信息包括若干所述互联链路， 每一所述互联链路包括所述源防火墙、 所述 目标防火墙、 以及所述源防火墙与所述目标防火墙之间的中间防火墙。 8.如权利要求7所述的基于网络安全架构的防火墙部署装置， 其特征在于， 所述互联链 路的条数大于一； 所述逻辑处 理层包括： 获取网络连通数据单 元， 用于获取 各条所述互联链路的网络连通数据； 确定目标互联链路单元， 用于根据 预设评价规则从所有所述网络连通数据选取出最优 网络连通数据， 将与所述 最优网络连通数据对应的互联链路确定为目标互联链路； 生成网络配置信息， 用于获取所述目标互联链路上的所有 防火墙的配置信息， 生成所 述网络配置信息 。 9.一种计算机设备， 包括存储器、 处理器以及存储在所述存储器中并可在所述处理器 上运行的计算机可读指令， 其特征在于， 所述处理器执行所述计算机可读指令时实现如权 利要求1至 5中任一项所述基于网络安全架构的防火墙部署方法。 10.一个或多个存储有计算机可读指令的可读存储介质， 所述计算机可读指令被一个 或多个处理器执行时， 使得所述一个或多个处理器执行如权利要求 1至5中任一项 所述基于 网络安全架构的防火墙部署方法。权　利　要　求　书 2/2 页 3 CN 114143090 A 3