一种防火墙策略分析与自动策略合并的方法及系统技术方案

本发明专利技术涉及安全技术领域，公开了一种防火墙策略分析与自动策略合并的方法及系统，包括以下步骤：步骤S1，获取防火墙访问控制策略及其对应的七元组信息，过滤掉访问控制策略中的忽略策略；步骤S2，根据过滤后的访问控制策略通过策略转换的方式转换成区间数据；步骤S3，将区间数据进行策略内分析和动作分组获取策略结果并存储；步骤S4，读取策略结果，并根据合并策略对策略结果进行合并和更新。本发明专利技术通过策略分析得到策略分析结果，通过提前配置的合并规则进行策略的自动合并，减少用户手动合并策略，提高策略合并的准确度和用户体验感。提高策略合并的准确度和用户体验感。提高策略合并的准确度和用户体验感。

【技术实现步骤摘要】
一种防火墙策略分析与自动策略合并的方法及系统


[0001]本专利技术涉及安全
，具体地说，是一种防火墙策略分析与自动策略合并的方法及系统。

技术介绍

[0002]随着现在网络科技的发展，信息网络技术的应用正日益广泛，应用层次深入，领域繁多，公共通信网络传输的数据安全越来越脱离不开防火墙的保护。由于业务繁多会部署大量的防火墙来保护业务安全，那么避免不了在各个墙上配置大量的策略，包括：访问控制策略、路由策略、NAT策略等，随着业务的变更也会去修改相应防火墙的策略。策略配置的日益繁多、错综复杂，长时间下来避免不了出差错造成网络安全隐患。我们需要对策略进行监控分析，有需要的情况进行策略的合并，可以根据检测结果进行优化对应的策略，减少防火墙负荷，提升防火墙性能。
[0003]现有的策略分析通过冗余检查得到结果不准确也不全面，并且只进行了访问控制策略进行分析。如专利CN202110974060.3中只针对了冗余检测，没有对其他策略结果进行计算分析，分析结果不准确。仅仅只针对了访问控制策略的分析，分析结果不全面。没有针对分析出来的结果进行进一步的处理，没有进行策略的自动优化。
[0004]现在大多数网络系统，进行的是策略之间进行匹配来分析策略之间是否冲突。大多数策略分析只策略冗余检查获得的防火墙策略分析结果不够全面和准确的技术问题。对检测后的结果没有进行相关的自动处理方式。因此，基于上述问题，本专利技术基于防火墙策略分析优化方法，基于策略的优先级和策略动作进行分组，通过策略分析得到策略分析结果，通过提前配置的合并规则进行策略的自动合并，减少用户手动合并策略，提高策略合并的准确度和用户体验感。

技术实现思路

[0005]本专利技术的目的在于提供一种防火墙策略分析与自动策略合并的方法及系统，通过策略分析得到策略分析结果，通过提前配置的合并规则进行策略的自动合并，减少用户手动合并策略，提高策略合并的准确度和用户体验感。
[0006]本专利技术通过下述技术方案实现：一种防火墙策略分析与自动策略合并的方法，包括以下步骤：步骤S1，获取防火墙访问控制策略及其对应的七元组信息，过滤掉访问控制策略中的忽略策略；步骤S2，根据过滤后的访问控制策略通过策略转换的方式转换成区间数据；步骤S3，将区间数据进行策略内分析和动作分组获取策略结果并存储；步骤S4，读取策略结果，并根据合并策略对策略结果进行合并和更新。
[0007]为了更好地实现本专利技术，进一步地，所述步骤S1中的七元组信息包括源地址信息、目的地址信息、源端口信息、目的端口信息、源域信息、目的域信息以及协议信息。
[0008]为了更好地实现本专利技术，进一步地，所述步骤S1中过滤掉访问控制策略中的忽略策略的方法包括：每条策略拥有一个ID策略号，通过读取用户自己配置的不进行分析的忽略策略的ID将对应的忽略策略从策略中删除掉，得到需要分析的策略ID。
[0009]为了更好地实现本专利技术，进一步地，所述步骤S2包括：将字符串模式的IP地址转换成ipv4的IP地址格式x.y.m.n，转换公式为x*255*255*255+y*255*255+m*255+n，其中x为第4个字节，y为第3个字节，m为第2个字节，n为第1个字节。
[0010]为了更好地实现本专利技术，进一步地，所述步骤S3包括： 通过策略内分析得到禁用策略与过期策略；通过动作分组获取动作相同组与动作不同组；对动作不同组进行分析得到冲突策略，对动作相同组通过策略分析得到可合并策略、冗余策略和隐藏策略。
[0011]为了更好地实现本专利技术，进一步地，所述步骤S4中的合并策略包括：根据优先级顺序对策略进行合并。
[0012]为了更好地实现本专利技术，进一步地，本专利技术还提供了一种防火墙策略分析与自动策略合并的系统，包括策略预期模块、策略分析模块、策略转换模块和策略合并模块，其中：用户下发策略分析指令，策略分析系统将策略预取到策略预取模块；策略分析系统将忽略策略从策略预期模块中删除，并通过策略转换模块将访问控制策略通过策略转换的方式转换成区间数据，；策略分析模块将区间数据进行策略内分析和动作分组获取策略结果，并存储在策略分析系统中；策略分析模块读取策略结果，并根据合并策略对策略结果进行合并和更新。
[0013]为了更好地实现本专利技术，进一步地，所述策略分析模块进行策略内分析和策略间分析；通过策略内分析得到禁用策略与过期策略；通过策略间分析得到冗余策略、隐藏策略、可合并策略和冲突策略。
[0014]本专利技术与现有技术相比，具有以下优点及有益效果：（1）本专利技术可以针对其他策略进行分析、例如NAT策略、带宽管理策略等进行全面的分析；（2）本专利技术通过对策略优先级和动作进行分组，分别进行动作相同的分析与动作不同的分析，动作相同的可以直接通过分析得到冗余、可合并、隐藏策略。并且针对其特性进行准确的计算分析；（3）现有技术对策略分析后的结果，没有进行自动化的管理。本专利技术通过对分析结果进行配置相关处理方式，对隐藏、可合并、冗余策略根据配置进行排序、合并，更新策略优先级生成新策略，删除相关被合并的策略。进行策略的重新配置，减少防火墙的负荷。针对冲突策略进行提示。
附图说明
[0015]本专利技术结合下面附图和实施例做进一步说明，本专利技术所有构思创新应视为所公开内容和本专利技术保护范围。
[0016]图1为本专利技术提供的一种防火墙策略分析与自动策略合并方法的流程图。
[0017]图2为本专利技术提供的一种防火墙策略分析与自动策略合并方法的中得到冲突策略的优先级的示意图。
具体实施方式
[0018]为了更清楚地说明本专利技术实施例的技术方案，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，应当理解，所描述的实施例仅仅是本专利技术的一部分实施例，而不是全部的实施例，因此不应被看作是对保护范围的限定。基于本专利技术中的实施例，本领域普通技术工作人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0019]在本专利技术的描述中，需要说明的是，除非另有明确的规定和限定，术语“设置”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；也可以是直接相连，也可以是通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本专利技术中的具体含义。
[0020]在本专利技术的描述中，对不同的策略进行如下解释：忽略策略：不分析的策略。
[0021]禁用策略：被禁止的策略。
[0022]过期策略：配置了在多久时间段策略生效的策略，未使能的策略。时间计划是指策略在规定的时间使能其他时间失能。
[0023]冗余策略：优先级策略高的范围小于优先级策略低的范围，动作相同。
[0024]隐藏策略：优先级策略高的范围大于优先级策略低的范围，动作相同。
[0025]可合并策略：只有一个维度不同但是有交集，其他维度相同为可合并，动作相本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种防火墙策略分析与自动策略合并的方法，其特征在于，包括以下步骤：步骤S1，获取防火墙访问控制策略及其对应的七元组信息，过滤掉访问控制策略中的忽略策略；步骤S2，根据过滤后的访问控制策略通过策略转换的方式转换成区间数据；步骤S3，将区间数据进行策略内分析和动作分组获取策略结果并存储；步骤S4，读取策略结果，并根据合并策略对策略结果进行合并和更新。2.根据权利要求1所述的一种防火墙策略分析与自动策略合并的方法，其特征在于，所述步骤S1中的七元组信息包括源地址信息、目的地址信息、源端口信息、目的端口信息、源域信息、目的域信息以及协议信息。3.根据权利要求1所述的一种防火墙策略分析与自动策略合并的方法，其特征在于，所述步骤S1中过滤掉访问控制策略中的忽略策略的方法包括：每条策略拥有一个ID策略号，通过读取用户自己配置的不进行分析的忽略策略的ID将对应的忽略策略从策略中删除掉，得到需要分析的策略ID。4.根据权利要求1所述的一种防火墙策略分析与自动策略合并的方法，其特征在于，所述步骤S2包括：将字符串模式的IP地址转换成ipv4的IP地址格式x.y.m.n，转换公式为x*255*255*255+y*255*255+m*255+n，其中x为第4个字节，y为第3个字节，m为第2个字节，...

【专利技术属性】
技术研发人员：张考蕾，兰星，文浩，
申请(专利权)人：成都安恒信息技术有限公司，
类型：发明
国别省市：