【技术实现步骤摘要】
一种防火墙策略管理方法及系统
[0001]本专利技术涉及计算机
,特别指一种防火墙策略管理方法及系统。
技术介绍
[0002]在网络服务中,防火墙是分隔内部网络与外部网络的网络设备,网络间传输的数据流由防火墙来判别能否允许继续传输,由此保护内部网络免受外部的攻击和入侵。
[0003]防火墙策略是决定防火墙是否放行数据流的规则,防火墙通常配置有多条防火墙策略,在判别是否放行数据流时,根据各防火墙策略的优先级,将数据流的特征与防火墙安全策略按优先级依次进行匹配,只有匹配成功的数据流才予以继续传输。在防火墙的实际使用中,新增的防火墙策略与现网的防火墙策略可能存在交叉、冲突、重复、包含等的关系,而这些关系目前主要靠管理员人员进行人工的比对排查,很容易在新增防火墙策略时,因为无法理清防火墙策略间的复杂关系给防火墙安全带来隐患。
[0004]因此,如何提供一种防火墙策略管理方法及系统,实现提升防火墙策略管理的质量以及效率,进而提升防火墙的安全性,成为一个亟待解决的问题。
技术实现思路
[0005]本专利技术要解决的技术问题,在于提供一种防火墙策略管理方法及系统,实现提升防火墙策略管理的质量以及效率,进而提升防火墙的安全性。
[0006]第一方面,本专利技术提供了一种防火墙策略管理方法,包括如下步骤:
[0007]步骤S10、获取现网的所有第一防火墙策略,将各所述第一防火墙策略的第一五元组数据划分为两组第一三元组数据;
[0008]步骤S20、将各所述第一三元组数据进行...
【技术保护点】
【技术特征摘要】
1.一种防火墙策略管理方法,其特征在于:包括如下步骤:步骤S10、获取现网的所有第一防火墙策略,将各所述第一防火墙策略的第一五元组数据划分为两组第一三元组数据;步骤S20、将各所述第一三元组数据进行范式化后,结合各所述第一防火墙策略携带的策略属性,生成包括若干个节点的源端二叉树和目的端二叉树;步骤S30、获取新增的第二防火墙策略,基于所述第二防火墙策略得到两组第二三元组数据,对所述第二三元组数据进行范式化后,分别从所述源端二叉树和目的端二叉树检索匹配的节点,生成检索结果;步骤S40、基于所述检索结果对第二防火墙策略进行管理。2.如权利要求1所述的一种防火墙策略管理方法,其特征在于:所述步骤S10中,所述将各所述第一防火墙策略的第一五元组数据划分为两组第一三元组数据具体为:将各所述第一防火墙策略的第一五元组数据均划分为一个源端的第一三元组数据以及一个目的端的第一三元组数据;所述第一五元组数据包括源IP地址、源端口、目的IP地址、目的端口以及传输层协议;所述源端的第一三元组数据包括源IP地址、源端口以及传输层协议;所述目的端的第一三元组数据包括目的IP地址、目的端口以及传输层协议。3.如权利要求1所述的一种防火墙策略管理方法,其特征在于:所述步骤S20具体为:将各所述第一三元组数据进行二进制转换的范式化后,结合各所述第一防火墙策略携带的策略属性,生成若干个源端的节点以及目的端的节点,并在各源端的所述节点生成过程中,逐步生成源端二叉树,在各目的端的所述节点生成过程中,逐步生成目的端二叉树;所述节点包括根节点、路径节点以及叶节点;所述路径节点用于检索,所述叶节点至少携带一组的策略属性;所述策略属性包括策略编号、策略动作以及状态信息;所述策略编号决定策略优先级;所述策略动作为允许或者拒绝;所述状态信息为正在使用或者未使用。4.如权利要求3所述的一种防火墙策略管理方法,其特征在于:所述步骤S30具体为:获取新增的第二防火墙策略,将所述第二防火墙策略的第二五元组数据均划分为一个源端的第二三元组数据以及一个目的端的第二三元组数据,所述第二三元组数据进行二进制转换的范式化后,分别在所述源端二叉树和目的端二叉树进行检索,判断有无匹配的叶节点,进而生成检索结果。5.如权利要求1所述的一种防火墙策略管理方法,其特征在于:所述步骤S40具体为:解析所述检索结果,判断所述检索结果是否是否包含匹配的节点,若否,则说明所述第二防火墙策略与各第一防火墙策略不冲突,允许新增所述第二防火墙策略;若是,则:基于匹配节点携带的策略属性判断所述第二防火墙策略的各子策略属性是否与第一防火墙策略存在冲突,若是,则基于策略编号设置所述第二防火墙策略的策略优先级;若否,则第二防火墙策略优先级没有限制,根据匹配情况简化或与第一防火墙相应编号策略合并;所述第二防火墙策略包括对第一防火墙策略进行增、删以及改而生成的策略。6.一种防火墙策略管理系统,其特征在于:包括如下模块:现网...
【专利技术属性】
技术研发人员:李泽欣,李炜,雷志平,丛柏红,林韡,余尧夏,郑铮灵,陈坚松,
申请(专利权)人:中国农业银行股份有限公司福建省分行,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。