本申请提供一种防火墙规则处理方法、装置、网络设备及可读存储介质。方法包括:当接收到用于对规则更新的指令时,获取用于更新的第一规则;根据第一规则所在的目标区域,从策略库中确定与目标区域对应的目标规则集,其中,策略库包括多组规则集,同一组规则集的区域相同;根据第一规则对目标规则集中的规则更新,得到更新后的目标规则集。在本方案中,当需要在策略库中添加第一规则时,直接利用与第一规则所在的目标区域的规则集,对第一规则进行匹配检测,以实现规则更新。如此,无需对除去目标规则集之外的其他规则进行检测,从而有利于降低运算量,提高规则匹配及规则更新的效率。提高规则匹配及规则更新的效率。提高规则匹配及规则更新的效率。
【技术实现步骤摘要】
防火墙规则处理方法、装置、网络设备及可读存储介质
[0001]本申请涉及网络安全
,具体而言,涉及一种防火墙规则处理方法、装置、网络设备及可读存储介质。
技术介绍
[0002]在网络设备的防火墙中,通常配置有访问控制策略,用于对网络设备的所接收的各类网络数据进行安全检测。由于网络设备接收的数据种类繁多,所配置的策略中的规则也比较多。当需要规则进行更新时,需要将新增的规则与历史的规则集进行匹配检测,以将新规则融合在历史的规则集中。目前,由于防火墙访问控制策略的匹配方式是由上至下,根据优先级由高到低去匹配,在对新规则进行匹配时,存在对所有规则集中的每条规则进行检测匹配的情况,从而导致匹配及规则更新的效率低。
技术实现思路
[0003]本申请实施例的目的在于提供一种防火墙规则处理方法、装置、网络设备及可读存储介质,能够在需要进行规则更新时,改善规则匹配及规则更新的效率低。
[0004]为了实现上述目的,本申请的实施例通过如下方式实现:
[0005]第一方面,本申请实施例提供一种防火墙规则处理方法,所述方法包括:
[0006]当接收到用于对规则更新的指令时,获取用于更新的第一规则;
[0007]根据所述第一规则所在的目标区域,从策略库中确定与所述目标区域对应的目标规则集,其中,所述策略库包括多组规则集,同一组规则集对应的区域相同;
[0008]根据所述第一规则对所述目标规则集中的规则更新,得到更新后的目标规则集。
[0009]在上述的实施方式中,当需要在策略库中添加第一规则时,直接利用与第一规则所在的目标区域的规则集,对第一规则进行匹配检测,以实现规则更新。如此,无需对除去目标规则集之外的其他规则进行检测,从而有利于降低运算量,提高规则匹配及规则更新的效率。
[0010]结合第一方面,在一些可选的实施方式中,根据所述第一规则对所述目标规则集中的规则更新,得到更新后的目标规则集,包括:
[0011]判断所述第一规则与所述目标规则集中的规则是否存在冲突;
[0012]当存在冲突时,在所述目标规则集中添加所述第一规则,删除所述目标规则集中的与所述第一规则冲突的第二规则;或者,删除所述第一规则;或者,对所述第一规则和所述第二规则进行融合运算,得到所述更新后的目标规则集;
[0013]当不存在冲突时,将所述第一规则添加于所述目标规则集中,得到所述更新后的目标规则集。
[0014]在上述的实施方式中,通过检测第一规则与目标规则集中的规则是否存在冲突,然后根据是否存在冲突的检测结果,进行针对性的规则更新,如此,可以快速实现规则的更新与优化。
[0015]结合第一方面,在一些可选的实施方式中,当存在冲突时,对所述第一规则和所述第二规则进行融合运算,得到所述更新后的目标规则集,包括:
[0016]基于标识名称与区间的对应关系,将所述第一规则对应的标识名称转换为第一区间,以及将所述第二规则对应的标识名称转换为第二区间,所述标识名包括与规则对应的端口名称或地址名称;
[0017]当所述第一规则与所述第二规则对应的动作相冲突,且所述第一区间为需要删除的区间,且与所述第二规则的第二区间存在交集时,从所述第二区间中删除与所述第一区间重叠的区间,得到所述更新后的目标规则集。
[0018]结合第一方面,在一些可选的实施方式中,当不存在冲突时,将所述第一规则添加于所述目标规则集中,得到所述更新后的目标规则集,包括:
[0019]基于标识名称与区间的对应关系,将所述第一规则对应的标识名称转换为第一区间,以及将所述第二规则对应的标识名称转换为第二区间,所述标识名包括与规则对应的端口名称或地址名称;
[0020]当所述第一规则与所述第二规则对应的动作相同,且所述第一区间为不需要删除的区间,且与所述第二规则的第二区间存在交集时,对所述第一区间、第二区间进行合并,得到所述更新后的目标规则集;
[0021]当所述第一区间为不需要删除的区间,且与所述第二规则的第二区间不存在交集时,将所述第一规则添加在所述目标规则集,得到所述更新后的目标规则集。
[0022]结合第一方面,在一些可选的实施方式中,在判断所述第一规则与所述目标规则集中的规则是否存在冲突之前,所述方法还包括:
[0023]根据所述规则中的状态标志,滤除所述目标规则集中的所述状态标志为第一标志的规则,所述状态标志包括表示规则失效的所述第一标志或表示规则有效的第二标志。
[0024]结合第一方面,在一些可选的实施方式中,在获取用于更新的第一规则之前,方法还包括:
[0025]获取与防火墙的访问控制策略对应的所有规则;
[0026]对所述所有规则进行分组,得到多组规则集,其中,同一组规则集的区域相同;
[0027]针对每组规则集,当所述规则集中,存在相同动作的规则时,对存在相同动作的规则的区间进行合并,所述区间为与所述规则对应的地址区间或端口范围。
[0028]结合第一方面,在一些可选的实施方式中,所述方法还包括:
[0029]当所述第一规则所述所述目标规则集中的第二规则存在冲突时,发出提示信息。
[0030]第二方面,本申请实施例还提供一种防火墙规则处理装置,所述装置包括:
[0031]获取单元,用于当接收到用于对规则更新的指令时,获取用于更新的第一规则;
[0032]确定单元,用于根据所述第一规则所在的目标区域,从策略库中确定与所述目标区域对应的目标规则集,其中,所述策略库包括多组规则集,同一组规则集对应的区域相同;
[0033]更新单元,用于根据所述第一规则对所述目标规则集中的规则更新,得到更新后的目标规则集。
[0034]第三方面,本申请实施例还提供一种网络设备,所述网络设备包括相互耦合的处理器及存储器,所述存储器内存储计算机程序,当所述计算机程序被所述处理器执行时,使
得所述网络设备执行上述的方法。
[0035]第四方面,本申请实施例还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,当所述计算机程序在计算机上运行时,使得所述计算机执行上述的方法。
附图说明
[0036]为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
[0037]图1为本申请实施例提供的网络设备的结构示意图。
[0038]图2为本申请实施例提供的防火墙规则处理方法的流程示意图。
[0039]图3为本申请实施例提供的策略库与第一规则的分布示意图。
[0040]图4为本申请实施例提供的防火墙规则处理装置的框图。
[0041]图标:10
‑
网络设备;11
‑
处理模块;12...
【技术保护点】
【技术特征摘要】
1.一种防火墙规则处理方法,其特征在于,所述方法包括:当接收到用于对规则更新的指令时,获取用于更新的第一规则;根据所述第一规则所在的目标区域,从策略库中确定与所述目标区域对应的目标规则集,其中,所述策略库包括多组规则集,同一组规则集对应的区域相同;根据所述第一规则对所述目标规则集中的规则更新,得到更新后的目标规则集。2.根据权利要求1所述的方法,其特征在于,根据所述第一规则对所述目标规则集中的规则更新,得到更新后的目标规则集,包括:判断所述第一规则与所述目标规则集中的规则是否存在冲突;当存在冲突时,在所述目标规则集中添加所述第一规则,删除所述目标规则集中的与所述第一规则冲突的第二规则;或者,删除所述第一规则;或者,对所述第一规则和所述第二规则进行融合运算,得到所述更新后的目标规则集;当不存在冲突时,将所述第一规则添加于所述目标规则集中,得到所述更新后的目标规则集。3.根据权利要求2所述的方法,其特征在于,当存在冲突时,对所述第一规则和所述第二规则进行融合运算,得到所述更新后的目标规则集,包括:基于标识名称与区间的对应关系,将所述第一规则对应的标识名称转换为第一区间,以及将所述第二规则对应的标识名称转换为第二区间,所述标识名包括与规则对应的端口名称或地址名称;当所述第一规则与所述第二规则对应的动作相冲突,且所述第一区间为需要删除的区间,且与所述第二规则的第二区间存在交集时,从所述第二区间中删除与所述第一区间重叠的区间,得到所述更新后的目标规则集。4.根据权利要求2所述的方法,其特征在于,当不存在冲突时,将所述第一规则添加于所述目标规则集中,得到所述更新后的目标规则集,包括:基于标识名称与区间的对应关系,将所述第一规则对应的标识名称转换为第一区间,以及将所述第二规则对应的标识名称转换为第二区间,所述标识名包括与规则对应的端口名称或地址名称;当所述第一规则与所述第二规则对应的动作相同,且所述第一区间为不需要删除的区间,且与所述第二规则的第二区间存在交集时,对所述第一区间、第二区间进...
【专利技术属性】
技术研发人员:王亚森,汪洋,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。