利用 Python 分析 Juniper SRX 防火墙策略

最新推荐文章于 2024-03-19 11:32:56 发布
原创 最新推荐文章于 2024-03-19 11:32:56 发布 · 2k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了如何利用Python分析Juniper SRX防火墙策略,以解决配置复杂、客户理解困难的问题。通过获取XML配置,转换为JSON并解析策略,然后存入数据库和Excel,实现策略的可视化和准确性提升。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

01

背景描述

某客户部署在 DMZ 区的 SRX 345 防火墙之前是透明模式部署在网络内,现需要对其增加 4 层的安全策略,由于涉及到大量客户端与服务器通信的需求,以及服务器之间通信的需求,且网段规划不合理,网关在核心上,导致策略比较混乱。

整体配置策略调试花了三周左右,期间多次更改策略,需要和客户核对,并且需要对接多个部门负责应用的人确认业务的流量。

SRX 的命令网络工程师看还可以,但是客户对防火墙不是很了解,所以需要自动化的方式将策略整理为其他形式,例如 excel 的方式更直观,同时准确性也得到了保证,这一点非常重要。

02

Juniper 策略的基本知识

一条策略包含如下内容

  • policy-name

  • from-zone

  • to-zone

  • source-address

    不是直接写地址,而是  address-book 或 address-set

  • destination-address

    同 source-address 一样

  • application

  • action

  • address-set

    包含一个或多个address-book

  • address-book

    包含一个地址或域名

03

实现流程

  1. 获取 SRX 策略的配置

    Juniper 的 Junos 可以输出多种配置方式,例如 set 类型的配置命令、xml、json(12版本不支持),为使代码有更强的适应性,使用了 xml 格式的源配置文件

    如下代码定义一个函数将 xml 转为 json 格式,方便分析

    def xml_to_json(xml_str):
    xmlparse = xmltodict.parse(xml_str)
    jsonstr = json.dumps(xmlparse, indent=1)
    return jsonstr

  2. 获取  address_book 与 address_set

  3. def get_address_book():
     finnal_address_list = []
     # os.chdir('/Users/houmingming/cache')
     with open('SRX345config.xml') as file:
         j = json.loads(xml_to_json(file.read()))

     address_book_raw = j['rpc-reply']['configuration']['security']['address-book']

     for x in address_book_raw['address']:
         try:
             finnal_address_list.append([address_book_raw['name'], x['name'], x['ip-prefix'], 'ip-prefix'])
         except KeyError:
             finnal_address_list.append([address_book_raw['name'], x['name'], x['dns-name']['name'], 'dns-name'])

     address_book_set = address_book_raw['address-set']
     for x in address_book_set:
         for i in x['address']:
             for y in finnal_address_list:
                 if i['name'] == y[1]:
                     y.insert(1, x['name'])

     for x in finnal_address_list:
         if len(x) == 4:
             x.insert(1, 'None')

     return finnal_address_list
     def get_address_set():
     # os.chdir('/Users/houmingming/cache')
     with open('SRX345config.xml') as file:
         j = json.loads(xml_to_json(file.read()))

     address_book_raw = j['rpc-reply']['configuration']['security']['address-book']['address-set']

     finally_address_set = []

     for x in address_book_raw:
         for i in x['address']:
             # print(i['name'])
             finally_address_set.append([x['name'], i['name']])
     return finally_address_set

  4. 分析策略

    从字典中获取策略包含的元素,并返回一个列表

    def policy_analysis():
    with open('SRX345config.xml') as file:
        j = json.loads(xml_to_json(file.read()))

    finally_policy = []

    for value in j['rpc-reply']['configuration']['security']['policies']['policy']:
        for x in value['policy']:
            try:
          
最低0.47元/天 解锁文章

200万优质内容无限畅学
新钛云服
关注
帮我写一段华为防火墙安全策略梳理的python代码
weixin_42584758的博客
02-15 660
抱歉,我是一个语言模型,无法直接与华为防火墙进行交互。不过,我可以给你一些思路和代码片段,帮助你进行华为防火墙安全策略梳理的相关工作。 首先,需要使用华为防火墙的API进行安全策略的查询和操作。你可以使用Python的requests库来发送HTTP请求到防火墙API接口,获取安全策略信息。代码片段如下: import requests url ='https://firewall-api-ur...
防火墙智能分析工具(juniper srx
huybuser1的博客
12-09 3643
防火墙策略梳理及转换工具随便说说SRX配置文件分析及数据结构选则策略规则转表思路及实现过程功能展示策略和nat梳理表格输出配置文件转换 随便说说 防火墙作为网络安全的第一道防线,在网络中的地位是毋庸置疑的。防火墙自上线以来,其策略数量随着业务量增长日益增加,很多时候运维人员需要对现网的策略做些优化和梳理工作,了解墙的线上配置都开了哪些策略,这些策略都放行了什么IP的什么端口;又或者领导让出一下关于...
python-华三防火墙过期策略统计
MrZhangTS的博客
03-31 361
import requests import re import datetime,time headers_1 = { "Accept-Encoding": "gzip,deflate", "Authorization": "Basic 密码隐藏", "Content-Type": "application/json", "User-Agent": "Apache-HttpClient/4.1.1 (java 1.5)", } url = "http://ip/api/v.
Python 获取防火墙策略并保存为TXT文档
打工人
01-19 995
Python 获取防火墙策略并保存为TXT文档
python编写网络防火墙怎么设置_分析目录下所有Eudemon防火墙配置的Python脚本
weixin_39867327的博客
12-16 237
#coding=gb2312'''''Createdon2011-8-26@author:piky'''fromos.pathimportwalk,join,normpathimportsysimportos.pathfromosimportgetcwdimportreimportMySQLdbimporttime#判断str是否符合正则表达式regex,符合则返回符合的部分defma...
Python--H3C防火墙过期策略刷选
MrZhangTS的博客
03-28 834
h3c获取的策略信息不是标准的json,故在此利用re来刷选信息 import requests import re import datetime,time headers_1 = { "Accept-Encoding": "gzip,deflate", "Authorization": "Basic 密码隐藏", "Content-Type": "application/json", "User-Agent": "Apache-HttpClient/4.1.1 (jav.
Cisco配置迁移到Juniper设备配置指南
06-30
本资源是指导将Cisco设备的配置对比转换成Juniper设备的配置。对于熟悉思科的工程师,而又想学习Juniper产品的同学来讲,这是一本基本的入门指南,两者对比参考,事半功倍。
pytos:适用于Tufin Orchestration Suite的Python SDK
05-28
提交和管理访问请求以更新防火墙策略 管理应用程序连接 安装 通过运行以下命令来安装软件包(建议您首先升级pip): # pip install pytos 运行测试 可以使用tox在所有受支持的Python版本中测试该软件包。 必须安装...
全面介绍firewall_migration_tool:跨供应商的防火墙迁移解决方案
该工具提供了基于Flask和JS的Web用户界面(UI),以便用户转换防火墙对象和策略。" 知识点详细说明: 1. 防火墙迁移工具功能: 防火墙迁移工具(fwmig)是一个设计用于简化防火墙配置迁移过程的软件。用户可以...
python-华三防火墙netconf编写移动策略
MrZhangTS的博客
03-28 1690
import requests import re ##因华三防火墙restful不支持移动策略,故单独用netconf编写移动策略 # 头部信息,带上host即可 headers = { "Accept-Encoding": "gzip,deflate,br", 'Content-Type': 'xml', 'accept': '*/*', 'accept-language': 'zh-CN', # 'Content-Length': '1024', # .
Python脚本实现Juniper设备自动巡检
08-24
通过telnet自动登录设备,自动分析巡检命令输出,然后汇总异常的信息到指定文件,同时记录整个登录的会话日志
juniper防火墙策略×××的建立
weixin_34273046的博客
04-22 175
一:先在×××S-AutokeyAdvanced-Gateway中建立网关,并且写入握手pwd二:在×××s-AutoKeyIKE中建立×××,按照图示部分写入相应的内容三:在Object-Addresses-Configuration中填入远端的内网IP地址四:在Policies(FromUntrusttotrust)中建立Policies,内容填写如下(默认...
juniper srx防火墙配置案例
weixin_33862514的博客
08-02 1202
SRX source NATsetinterfaces ge-0/0/0 unit 0 family inet address 192.168.2.254/24setinterfaces ge-0/0/1 unit 0 family inet address 192.168.114.190/24setinterfaces ge-0/0/2 unit 0 family ine...
【Flask开发实战】防火墙配置文件解析(三)之python加工处理
最新发布
有莘不破的博客
03-19 1313
flask实战之前期数据加工处理
Juniper 防火墙session拥堵案例解决
weixin_33720078的博客
08-21 963
周一的时候一上班接到公司同事告知连接服务器巨慢。我打开防火墙查看日志发现session数量占据超过90%,可能过多的并发session造成了防火墙的拥堵。于是我看是查找问题根源来解决。 首先我用图形界面登录防火墙发现不能使用命令行模式控制,于是我configure--update----save to file导出防火墙的配置发现 set interface ethern...
防火墙浅析
Julia & Rust & Python
09-23 2399
防火墙浅析 原创: c.j 计算机与网络安全 2017-10-31 信息安全公益宣传,信息安全知识启蒙。 加微信群回复公众号:微信群;QQ群:16004488 加微信群或QQ群可免费索取:学习教程 教程列表见微信公众号底部菜单 防火墙(Firewall),也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15...
python3备份juniper交换机
weixin_33939380的博客
07-17 272
#!/usr/bin/env python3# -*- coding: utf-8 -*-""" Author: Linxy -- <592901071@qq.com> Purpose: Juniper备份脚本 Created: 2017-6-23"""import datetimeimport sysimport osimport telnetlibfr...
python巡检脚本juniper_python实现巡检系统(solaris)示例
weixin_39894914的博客
12-08 393
#!/usr/bin/python -u#-*- coding:utf-8 -*-'''程序:solaris_status.pyauthor: gyh9711功能:系统状态信息获取语言:sh + python注意:部分调用命令需要用到root权限测试情况:系统版本:solaris10 系统测试ok测试服务器型号:sun 6900 6800 v445 v440 M3000 M5000内容:'''im...
python巡检脚本juniper_JUNIPER设备日常维护巡检命令
weixin_39614831的博客
12-08 400
JUNIPER设备常用维护巡检命令1、脚本—JUNIPERshow system uptimeshow version detailshow chassis hardware detailshow chassis environmentshow chassis routing-engineshow chassis firmwareshow configurationshow chassis fpc...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值