(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111611734.X (22)申请日 2021.12.27 (71)申请人 中国工商银行股份有限公司 地址 100140 北京市西城区复兴门内大街 55号 (72)发明人 张倩倩　李利　陈卓　张润泽　 (74)专利代理 机构 华进联合专利商标代理有限 公司 44224 代理人 纪婷婧 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/0803(2022.01) (54)发明名称 防火墙配置转换方法、 装置、 设备、 存储介质 和程序产品 (57)摘要 本申请涉及一种防火墙配置转换方法、 装 置、 设备、 存储介质和程序产品， 可用于信息安全 技术领域， 该方法包括： 获取初始防火墙配置， 若 初始防火墙配置中存在垃圾配置， 则删除垃圾配 置， 得到待转换的防火墙配置， 对待转换的防火 墙配置中的目标策略进行转换， 得到转换后的防 火墙配置， 目标策略包括网络地址转换策略和/ 或Policy策略， 根据转换后的防火墙配置、 防火 墙端口和路由信息生成目标防火墙配置。 采用本 方法能够减少防火墙转换过程中资源的浪费， 提 高防火墙 配置的转换效率。 权利要求书2页 说明书17页 附图5页 CN 114257453 A 2022.03.29 CN 114257453 A 1.一种防火墙 配置转换 方法， 其特 征在于， 所述方法包括： 获取初始防火墙 配置； 若所述初始防火墙配置中存在垃圾配置， 则删除所述垃圾配置， 得到待转换的防火墙 配置； 对所述待转换的防火墙配置中的目标策略进行转换， 得到转换后的防火墙配置； 所述 目标策略包括网络地址转换 策略和/或Po licy策略； 根据所述 转换后的防火墙 配置、 防火墙端口和路由信息生成目标防火墙 配置。 2.根据权利要求1所述的方法， 其特征在于， 所述垃圾配置包括过期时间戳、 过期策略、 有定义无引用的地址、 有定义无引用的地址组、 有定义无引用的服务、 有定义无引用的服务 组、 无用地址组和无用服 务组中的至少一个。 3.根据权利要求2所述的方法， 其特征在于， 若所述初始防火墙配置中存在垃圾配置， 则删除所述垃圾配置， 包括以下中的至少一项： 根据预设时间戳确定所述初始防火墙配置中的过期时间戳， 并根据所述过期时间戳确 定所述过期策略， 删除所述过期时间戳和所述过期策略； 若所述初始防火墙配置 中存在有定义无引用的地址和地址组， 则删除所述有定义无引 用的地址和地址组； 若所述初始防火墙配置 中存在有定义无引用的服务和服务组， 则删除所述有定义无引 用的服务和服务组； 若根据目标防火墙的设备型号确定所述初始防火墙配置中存在无用地址组， 则删除所 述无用地址组； 若根据转换工具确定所述初始防火墙配置中存在无用服务组， 则删除所述无用服务 组。 4.根据权利要求1 ‑3任一项所述的方法， 其特征在于， 对所述待转换的防火墙配置 中的 目标策略进行转换， 得到转换后的防火墙 配置， 包括： 判断所述待转换的防火墙 配置中是否存在所述网络地址转换 策略； 若所述待转换的防火墙配置中存在所述网络地址转换策略， 则根据目标防火墙的设备 型号对所述网络地址转换策略进 行转换， 以及 对所述待转换的防火墙配置中的Polic y策略 进行转换， 得到所述 转换后的防火墙 配置。 5.根据权利要求 4所述的方法， 其特 征在于， 所述方法还 包括： 若所述待转换的防火墙配置中不存在所述网络地址转换策略， 则对所述待转换的防火 墙配置中的Po licy策略进行转换， 得到所述 转换后的防火墙 配置。 6.根据权利要求4所述的方法， 其特征在于， 所述根据目标防火墙的设备型号对所述网 络地址转换 策略进行转换， 包括： 根据所述设备 型号确定所述目标防火墙的网络架构； 根据所述目标防火墙的网络架构确定目标网络地址转换 策略； 将所述目标网络地址转换 策略替换 所述待转换的防火墙 配置中的网络地址转换 策略。 7.根据权利要求4或5所述的方法， 其特征在于， 所述对所述待转换的防火墙配置中的 Policy策略进行转换， 包括以下中的至少一项： 若所述Policy策略中存在无需定义的地址， 则在所述转换后的防火墙配置中引用所述权　利　要　求　书 1/2 页 2 CN 114257453 A 2无需定义的地址； 若所述Policy策略中存在转换工具不支持的服务组， 则在所述转换后的防火墙配置中 引用所述 转换工具不支持的服 务组中的所有服 务； 若所述Policy策略中存在长连接服务， 则所述长连接服务转换为所述目标防火墙支持 的长连接服 务； 若所述Policy策略中存在所述网络地址转换策略， 则对所述网络地址转换策略进行转 换。 8.一种防火墙 配置转换装置， 其特 征在于， 所述装置包括： 获取模块， 用于获取初始防火墙 配置； 第一处理模块， 用于在所述初始防火墙配置中存在垃圾配置的情况下， 删除所述垃圾 配置， 得到待转换的防火墙 配置； 第二处理模块， 用于对所述待转换的防火墙配置中的目标策略进行转换， 得到转换后 的防火墙 配置； 所述目标 策略包括网络地址转换 策略和/或Po licy策略； 生成模块， 用于根据所述转换后的防火墙配置、 防火墙端口和路由信息生成目标防火 墙配置。 9.一种计算机设备， 包括存储器和处理器， 所述存储器存储有计算机程序， 其特征在 于， 所述处 理器执行所述计算机程序时实现权利要求1至7中任一项所述的方法的步骤。 10.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序 被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。 11.一种计算机程序产品， 包括计算机程序， 其特征在于， 该计算机程序被处理器执行 时实现权利要求1至7中任一项所述的方法的步骤。权　利　要　求　书 2/2 页 3 CN 114257453 A 3