本发明专利技术提供了一种防火墙策略优化方法、系统及计算机可读存储介质。其中,防火墙策略优化方法,包括:获取防火墙的所有策略,生成第一列表;获取每条策略的命中数,基于命中数从大到小排序生成第二列表;从第二列表中逐条取出策略,并判断策略在第二列表中的排位号是否小于在第一列表中的排位号;基于策略在第二列表中的排位号小于在第一列表中的排位号的判断结果,对策略在第一列表中的排位进行优化;根据每条策略优化后的排位号,生成第三列表,以供防火墙按照第三列表中的排位顺序对数据包进行策略匹配。通过本发明专利技术的防火墙策略优化方法,实现了能够针对命中数智能识别策略使用情况进行策略优化,极大地提高了防火墙的整体性能和效率。
Firewall Strategy Optimizing Method, System and Computer Readable Storage Media
【技术实现步骤摘要】
防火墙策略优化方法、系统及计算机可读存储介质
本专利技术涉及网络安全
,具体而言,涉及一种防火墙策略优化方法,一种防火墙策略优化系统,及一种计算机可读存储介质。
技术介绍
在传统的电信运营商、电子政务、移动互联网企业,防火墙在使用过程中,由于有很多网络上的业务规则往往配置非常多的防火墙策略,而且是在策略配置后往往不能随意删除,如果删除出错会导致业务访问异常,对于防火墙策略配置的只增加不删除已经是行业的事实标准。基于这种矛盾,防火墙策略会越加越多,有些核心防火墙策略往往会达到上万条规则。规则越来越多,防火墙效率和性能就越来越低下,因为其数据包要匹配的规则越来越多,匹配到符合的规则后才不往下面的规则进行匹配。目前现有的解决方法及技术:(1)基于人为判断哪个业务使用较多进行策略排名优化,而不是实时智能判断策略使用情况;(2)基于人为判断策略互斥情况,而不是智能判断互斥情况。
技术实现思路
本专利技术旨在至少解决现有技术或相关技术中存在的技术问题之一。为此,本专利技术的一方面在于提出了一种防火墙策略优化方法。本专利技术的另一方面在于提出了一种防火墙策略优化系统。本专利技术的再一方面在于提出了一种计算机可读存储介质。有鉴于此,本专利技术的一方面提出了一种防火墙策略优化方法,包括:获取防火墙的所有策略,生成第一列表;获取每条策略的命中数,基于命中数从大到小排序生成第二列表;从第二列表中逐条取出策略,并判断策略在第二列表中的排位号是否小于在第一列表中的排位号;基于策略在第二列表中的排位号小于在第一列表中的排位号的判断结果,对策略在第一列表中的排位进行优化;根据每条策略优化后的排位号,生成第三列表,以供防火墙按照第三列表中的排位顺序对数据包进行策略匹配。根据本专利技术的防火墙策略优化方法,首先获取防火墙的所有策略,形成原始策略列表,即第一列表,在未对策略进行顺序优化之前,防火墙按照第一列表中的顺序进行数据包匹配;然后获取第一列表中每条策略的命中数,根据命中数从大到小把所有策略进行排序形成第二列表;再在第二列表中逐条取出所有策略,优选地,逐条顺序取出所有策略,这样可以优先对命中数高的策略进行顺序优化;根据排位号判断当前取出的策略在第二列表中的排位顺序是否比在第一列表中的排位靠前,如果靠前,则需要对该策略在第一列表中的排位进行优化,否则,判断下一条策略是否需要进行顺序优化;具体地,需要在第一列表中把该策略的排位往前移动,逐条策略进行排位优化后,形成第三列表,防火墙按照第三列表的顺序进行数据包匹配。本专利技术提供的防火墙策略优化方法,能够针对命中数智能识别策略使用情况进行策略优化,使命中数较高的策略排名靠前,不仅提高了优化效率及准确性,而且极大地提高了防火墙的整体性能和效率。其中,防火墙策略的命中数,是反映该策略使用情况,命中数高则表示该策略经常使用,需要排名靠前,防火墙数据包检测时不用匹配太多策略就命中放行数据包,不再匹配其他策略。其中,排位号表示策略的优先级,排位号越低,该策略的优先级越高。根据本专利技术提供的上述防火墙策略优化方法,还可以具有以下技术特征:在上述技术方案中,优选地,对策略在第一列表中的排位进行优化的步骤,包括:在第一列表中,判断策略与策略从当前位置移动至策略在第二列表中的位置所跨越过的其他策略是否互斥;基于策略与其他策略都互斥的判断结果,将策略在第二列表中的排位号作为策略优化后的排位号;否则,确定其他策略中第一条与策略非互斥的策略,根据非互斥的策略的排位号确定策略优化后的排位号。在该技术方案中,对策略在第一列表中的排位进行优化,具体来说,判断该策略与该策略从第一列表中的当前位置向前移动至该策略在第二列表中的位置所跨越的其他策略是否互斥,在该策略与其他策略都互斥的情况下,将该策略在第二列表中的排位号作为该策略优化后的排位号,否则根据最近一条非互斥策略的排位号确定该策略优化后的排位号。本专利技术提供的防火墙策略优化方法,能够针对策略命中数来判断是否需要进行顺序优化,能够针对策略互斥性来决定优化之后的具体顺序位置,自动提高策略排序,从而提高防火墙效率和性能。在上述任一技术方案中,优选地,根据非互斥的策略的排位号确定该策略优化后的排位号的步骤,包括:将非互斥的策略的排位号加1作为该策略优化后的排位号。在该技术方案中,在该策略与其他策略不都是互斥的情况下,将最近一条非互斥的策略的排位号加1作为该策略优化后的排位号,即将该策略移动至最近一条非互斥的策略的下一条位置,以确保在互斥的情况下对策略的排位进行移动。在上述任一技术方案中,优选地,判断策略与策略从当前位置移动至策略在第二列表中的位置所跨越过的其他策略是否互斥的步骤,包括:在策略对应的源地址与其他策略对应的源地址之间为子集或交叉关系的情况下,和/或在策略对应的目的地址与其他策略对应的目的地址之间为子集或交叉关系的情况下,判定策略与其他策略非互斥。在该技术方案中,任意两条防火墙策略的源地址和/或目的地址包括有子集或交叉的关系时,则认为是非互斥的关系,因为如果两条策略之间有这种关系,当策略移动时可能会影响其原有的访问业务规则,比如原来数据包匹配策略A,移动了顺序后数据包匹配了策略B,这种情况是不允许的。所以必须判断是互斥的关系,才能进行移动。在上述任一技术方案中,优选地,第一列表、第二列表和第三列表中每条策略均包括:排位号、策略编号、源地址、目的地址,以及以下任一项或其组合:源端口、目的端口、动作;第二列表和第三列表中每条策略还包括命中数。本专利技术的另一方面提出了一种防火墙策略优化系统,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现:获取防火墙的所有策略,生成第一列表;获取每条策略的命中数,基于命中数从大到小排序生成第二列表;从第二列表中逐条取出策略,并判断策略在第二列表中的排位号是否小于在第一列表中的排位号;基于策略在第二列表中的排位号小于在第一列表中的排位号的判断结果,对策略在第一列表中的排位进行优化;根据每条策略优化后的排位号,生成第三列表,以供防火墙按照第三列表中的排位顺序对数据包进行策略匹配。根据本专利技术的防火墙策略优化系统,首先获取防火墙的所有策略,形成原始策略列表,即第一列表,在未对策略进行顺序优化之前,防火墙按照第一列表中的顺序进行数据包匹配;然后获取第一列表中每条策略的命中数,根据命中数从大到小把所有策略进行排序形成第二列表;再在第二列表中逐条取出所有策略,优选地,逐条顺序取出所有策略,这样可以优先对命中数高的策略进行顺序优化;根据排位号判断当前取出的策略在第二列表中的排位顺序是否比在第一列表中的排位靠前,如果靠前,则需要对该策略在第一列表中的排位进行优化,否则,判断下一条策略是否需要进行顺序优化;具体地,需要在第一列表中把该策略的排位往前移动,逐条策略进行排位优化后,形成第三列表,防火墙按照第三列表的顺序进行数据包匹配。本专利技术提供的防火墙策略优化系统,能够针对命中数智能识别策略使用情况进行策略优化,使命中数较高的策略排名靠前,不仅提高了优化效率及准确性,而且极大地提高了防火墙的整体性能和效率。其中,防火墙策略的命中数,是反映该策略使用情况,命中数高则表示该策略经常使用,需要排名靠前,防火墙数据包检测时不用匹配太多策略就命中放行本文档来自技高网...
【技术保护点】
1.一种防火墙策略优化方法,其特征在于,包括:获取防火墙的所有策略,生成第一列表;获取每条所述策略的命中数,基于所述命中数从大到小排序生成第二列表;从所述第二列表中逐条取出所述策略,并判断所述策略在所述第二列表中的排位号是否小于在所述第一列表中的排位号;基于所述策略在所述第二列表中的排位号小于在所述第一列表中的排位号的判断结果,对所述策略在所述第一列表中的排位进行优化;根据每条所述策略优化后的排位号,生成第三列表,以供所述防火墙按照所述第三列表中的排位顺序对数据包进行策略匹配。
【技术特征摘要】
1.一种防火墙策略优化方法,其特征在于,包括:获取防火墙的所有策略,生成第一列表;获取每条所述策略的命中数,基于所述命中数从大到小排序生成第二列表;从所述第二列表中逐条取出所述策略,并判断所述策略在所述第二列表中的排位号是否小于在所述第一列表中的排位号;基于所述策略在所述第二列表中的排位号小于在所述第一列表中的排位号的判断结果,对所述策略在所述第一列表中的排位进行优化;根据每条所述策略优化后的排位号,生成第三列表,以供所述防火墙按照所述第三列表中的排位顺序对数据包进行策略匹配。2.根据权利要求1所述的防火墙策略优化方法,其特征在于,对所述策略在所述第一列表中的排位进行优化的步骤,包括:在所述第一列表中,判断所述策略与所述策略从当前位置移动至所述策略在所述第二列表中的位置所跨越过的其他策略是否互斥;基于所述策略与所述其他策略都互斥的判断结果,将所述策略在第二列表中的排位号作为所述策略优化后的排位号;否则,确定所述其他策略中第一条与所述策略非互斥的策略,根据所述非互斥的策略的排位号确定所述策略优化后的排位号。3.根据权利要求2所述的防火墙策略优化方法,其特征在于,所述根据所述非互斥的策略的排位号确定所述策略优化后的排位号的步骤,包括:将所述非互斥的策略的排位号加1作为所述策略优化后的排位号。4.根据权利要求2所述的防火墙策略优化方法,其特征在于,所述判断所述策略与所述策略从当前位置移动至所述策略在所述第二列表中的位置所跨越过的其他策略是否互斥的步骤,包括:在所述策略对应的源地址与所述其他策略对应的源地址之间为子集或交叉关系的情况下,和/或在所述策略对应的目的地址与所述其他策略对应的目的地址之间为子集或交叉关系的情况下,判定所述策略与所述其他策略非互斥。5.根据权利要求1至4中任一项所述的防火墙策略优化方法,其特征在于,所述第一列表、所述第二列表和所述第三列表中每条所述策略均包括:所述排位号、策略编号、源地址、目的地址,以及以下任一项或其组合:源端口、目的端口、动作;所述第二列表和第三列表中每条所述策略还包括所述命中数。6.一种防火墙策略优化系统,其特征在于,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现:获取防火墙的所有策略,生成第一列表;获取每...
【专利技术属性】
技术研发人员:叶飞,刘亚军,
申请(专利权)人:深圳中兴网信科技有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。