目录
一、整体需求
防火墙自动封禁工具,应包含资产管理、一键部署、一键封禁、一键解封、资产在线状态诊断、日志记录等功能模块。
资产管理:资产属性资产属性设计(主机名、登陆IP、登陆方式、用户名、密码、API、部署区域、虚拟墙名等)、资产添加、删除、修改功能操作。
一键部署:通过对选择的资产,采用一键方式进行拦截策略部署。部署拦截策略时应检查策略ID是否已存在,并可自定义拦截策略ID号,拦截策略应移至策略最顶端位置等。
一键封禁:通过前端页面提交批量IP地址对象,IP地址对象应支持单ip、子网段、IP地址范围等格式,需要对IP地址格式检查去重。通过一键方式实现批量IP地址封禁。后端程序执行一系列操作,例如建立地址对象、将地址对象添加至拦截地质组、判断地址组容量是否达到阈值、动态创建新的地址组并加入拦截策略从而实现批量封禁。
一键解禁:针对需要解禁的IP地址对象,判断输入IP格式、获取防火墙所有拦截组及其成员,判断解禁IP地址归属哪些地质组并对其移除从而实现解封操作。
临时封禁:基于时间进行动态封禁,时间到达阈值后防火墙自动对其解封。时间单位可以是分钟、小时和天。
日志记录:所有以上功能模块执行过程均需要生成对应的日志,便于后续分析回溯。
二、整体架构设计
工具采用 “分层架构 + 模块化设计”,核心分为前端交互层、业务逻辑层、数据存储层、设备适配层,各层通过标准化接口交互,支持多品牌防火墙(如华为、飞塔、山石...)适配。
- 前端交互层:提供可视化操作界面,支持管理员配置与监控;
- 业务逻辑层:实现核心功能(资产、封禁、解禁、日志等)的逻辑处理;
- 数据存储层:存储资产信息,封禁IP、操作日志等数据;
- 设备适配层:封装不同品牌防火墙的 API / 协议(如 SSH、RESTful API),实现 “一次开发,多设备兼容”。
三、功能模块设计
3.1 资产管理
3.1.1 功能描述
统一管理所有边界防护的防火墙设备,为封禁操作提供基础资产信息。包括主机名、管理IP、虚拟系统、登陆方法、用户名、密码、API-key、位置(部署区域)、厂商、启用状态、创建时间等。
3.1.2 资产属性
| 属性名 |
|---|
最低0.47元/天 解锁文章
扫一扫
930
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
