本发明专利技术公开了一种网络防火墙的安全策略部署方法和装置,所述安全策略包括至少两个业务单元,所述安全策略部署方法包括:按所述业务单元的层级和属性将待部署到网络防火墙的新安全策略与所述网络防火墙已部署的原安全策略进行比较,以确定策略变化部分,其中所述业务单元的属性包括类型和业务代码,所述业务单元的层级表示所述业务单元之间的引用关系;以及对所述网络防火墙部署所述策略变化部分。根据本发明专利技术实施例的安全策略部署方法,能够有效降低安全策略部署所需的时间以及部署过程中的风险,从而保证了网络运维的稳定性。
【技术实现步骤摘要】
本专利技术涉及网络安全领域,尤其涉及一种网络防火墙的安全策略部署方法和装置。
技术介绍
目前,防火墙已经在企业网络中广泛应用。并且,一般来说,防火墙的访问控制策略(以下又称为防火墙策略或安全策略)的变化很频繁,以能够尽量实时地满足企业对网络信息安全的需求。在现有技术中,通常以先删除、再部署的方式来进行防火墙策略的修改。具言之,当要修改某个网络设备的防火墙策略时,通常先将已部署该网络设备的原防火墙策略删除,再将新防火墙策略部署至该网络设备,以使得该网络设备能够基于新防火墙策略进行网络访问控制。这种方式不仅耗时较长,而且风险较高。
技术实现思路
抟术问是页有鉴于此,本专利技术要解决的技术问题是,如何尽量降低安全策略部署所需的时间以及部署过程中的风险。_7] 解决方案为了解决上述技术问题,根据本专利技术的一实施例,提供了一种网络防火墙的安全策略部署方法,所述安全策略包括至少两个业务单元,包括:按所述业务单元的层级和属性将待部署到网络防火墙的新安全策略与所述网络防火墙已部署的原安全策略进行比较,以确定策略变化部分,其中所述业务单元的属性包括类型和业务代码,所述业务单元的层级表示所述业务单元之间的引用关系;以及对所述网络防火墙部署所述策略变化部分。对于上述安全策略部署方法,在一种可能的实现方式中,按所述业务单元的层级和属性将待部署到网络防火墙的新安全策略与所述网络防火墙已部署的原安全策略进行比较,以确定策略变化部分,包括以下至少一种情况:若在某一层级,所述新安全策略包括所述原安全策略所不包括的类型的业务单元,则将该业务单元记录为新增业务单元;若在某一层级,所述原安全策略包括所述新安全策略所不包括的类型的业务单元,则将该业务单元记录为删除业务单元;若在某一层级,所述新安全策略包括与所述原安全策略中的业务单元相比类型相同、但业务代码有变化的业务单元,则判断该业务单元是否引用了下一层级的业务单元,并在所述判断结果为否的情况下,将该业务单元记录为变化业务单元,以及在所述判断结果为是的情况下,将所述新安全策略在所述下一层级的业务单元与所述原安全策略在所述下一层级的业务单元进行比较,并重复上述处理;对所述网络防火墙部署所述策略变化部分,包括以下至少一种情况:对所述网络防火墙部署所述新增业务单元;将所述删除业务单元从所述网络防火墙删除;修改所述变化业务单元的业务代码。对于上述安全策略部署方法,在一种可能的实现方式中,对所述网络防火墙部署所述新增业务单元,包括以下至少一种情况:若所述新增业务单元没有被上一层级的业务单元引用,则将所述新增业务单元写入所述网络防火墙;若所述新增业务单元被上一层级的业务单元引用,则将所述新增业务单元写入所述原安全策略,然后将所述上一层级的业务单元与所述新增业务单元的引用关系写入所述原安全策略;或者,将所述删除业务单元从所述网络防火墙删除,包括以下至少一种情况:若所述删除业务单元没有被上一层级的业务单元引用,则将被所述删除业务单元引用的业务单元与所述删除业务单元之间的引用关系从所述原安全策略中删除;若所述删除业务单元被上一层级的业务单元引用,则将所述上一层级的业务单元与所述删除业务单元之间的引用关系从所述原安全策略中删除。对于上述安全策略部署方法,在一种可能的实现方式中,按所述业务单元的层级和属性将待部署到网络防火墙的新安全策略与所述网络防火墙已部署的原安全策略进行比较,以确定策略变化部分之前,还包括:根据所述业务单元的业务代码计算所述新安全策略的循环冗余码校验CRC值;以及加载所述原安全策略的CRC值,其中,所述新安全策略的CRC值包括所述新安全策略的所有业务单元的CRC值,所述原安全策略的CRC值包括所述原安全策略的所有业务单元的CRC值;按所述业务单元的层级和属性将待部署到网络防火墙的新安全策略与所述网络防火墙已部署的原安全策略进行比较,以确定策略变化部分,包括以下至少一种情况:若在某一层级,所述新安全策略包括所述原安全策略所不包括的类型的业务单元,则将该业务单元记录为新增业务单元;若在某一层级,所述原安全策略包括所述新安全策略所不包括的类型的业务单元,则将该业务单元记录为删除业务单元;若在某一层级,所述新安全策略包括与所述原安全策略中的业务单元相比类型相同、但CRC值有变化的业务单元,则判断该业务单元是否引用了下一层级的业务单元,并在所述判断结果为否的情况下,将该业务单元记录为变化业务单元,以及在所述判断结果为是的情况下,将所述新安全策略在所述下一层级的业务单元与所述原安全策略在所述下一层级的业务单元进行比较,并重复上述处理。对于上述安全策略部署方法,在一种可能的实现方式中,根据所述业务单元的业务代码计算所述新安全策略的循环冗余码校验CRC值,包括:按所述业务单元的层级逐层计算所述新安全策略的业务单元的CRC值,并且某一层级的业务单元的CRC值包括该业务单元引用的下一层级的业务单元的CRC值。为了解决上述技术问题,根据本专利技术的一实施例,提供了一种网络防火墙的安全策略部署装置,所述安全策略包括至少两个业务单元,包括:比较模块,用于按所述业务单元的层级和属性将待部署到网络防火墙的新安全策略与所述网络防火墙已部署的原安全策略进行比较,以确定策略变化部分,其中所述业务单元的属性包括类型和业务代码,所述业务单元的层级表示所述业务单元之间的引用关系;以及部署模块,与所述比较模块连接,用于对所述网络防火墙部署所述策略变化部分。对于上述安全策略部署装置,在一种可能的实现方式中,所述比较模块包括:第一比较器,用于比较所述新安全策略在某一层级包括的业务单元的类型与所述原安全策略在该层级包括的业务单元的类型是否相同,并且若在某一层级,所述新安全策略包括所述原安全策略所不包括的类型的业务单元,则将该业务单元记录为新增业务单元,若在某一层级,所述原安全策略包括所述新安全策略所不包括的类型的业务单元,则将该业务单元记录为删除业务单元;第二比较器,与所述第一比较器连接,用于将所述新安全策略在某一层级的业务单元与所述原安全策略在该层级的相同类型的业务单元的业务代码进行比较,并且若在某一层级,所述新安全策略包括与所述原安全策略中的业务单元相比类型相同、但业务代码有变化的业务单元,则判断该业务单元是否引用了下一层级的业务单元,并在所述判断结果为否的情况下,将该业务单元记录为变化业务单元,以及在所述判断结果为是的情况下,将所述新安全策略在所述下一层级的业务单元与所述原安全策略在所述下一层级的业务单元输出至所述第一比较器进行比较;所述部署模块被配置为执行以下至少一种操作:对所述网络防火墙部署所述新增业务单元;将所述删除业务单元从所述网络防火墙删除;修改所述变化业务单元的业务代码。对于上述安全策略部署装置,在一种可能的实现方式中,还包括判断模块,所述判断模块与所述比较模块以及所述部署模块连接,用于判断所述新增业务单元以及所述删除业务单元是否被上一层级的业务单元引用;并且,所述部署模块被配置为执行以下至少一种操作:若所述新增业务单元没有被上一层级的业务单元引用,将所述新增业务单元写入所述网络防火墙;若所述新增业务单元被上一层级的业务单元引用,将所述新增业务单元写入所述原安全策略,然后将所述上一层级的业务单元与所述新增业务单元本文档来自技高网...
【技术保护点】
一种网络防火墙的安全策略部署方法,其特征在于,所述安全策略包括至少两个业务单元,包括:按所述业务单元的层级和属性将待部署到网络防火墙的新安全策略与所述网络防火墙已部署的原安全策略进行比较,以确定策略变化部分,其中所述业务单元的属性包括类型和业务代码,所述业务单元的层级表示所述业务单元之间的引用关系;以及对所述网络防火墙部署所述策略变化部分。
【技术特征摘要】
【专利技术属性】
技术研发人员:顾传彪,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。