防火墙策略原子化存储查询方法、系统、电子设备和介质技术方案

本发明专利技术涉及防火墙策略原子化存储查询方法、系统、电子设备和介质，方法包括如下步骤：从防火墙设备列表中提取防火墙策略配置；对各防火墙策略的源地址、目的地址和和端口号进行笛卡尔积运算，得到原子化策略集合；将原子化策略集合中的每一条防火墙策略的源地址、目的地址和端口号均转化为整数，得到整数形式的原子化策略集合；将整数形式的原子化策略集合存储至原子化防火墙策略数据库中；确定待查询的防火墙策略，将待查询的防火墙策略和原子化防火墙策略数据库中的各防火墙策略进行比较查询。与现有技术相比，本发明专利技术能够多台防火墙设备中的防火墙策略以整数形式存储于数据库中，进行统一查询，降低防火墙的性能消耗，提高处理效率。理效率。理效率。

【技术实现步骤摘要】
防火墙策略原子化存储查询方法、系统、电子设备和介质


[0001]本专利技术涉及网络安全
，尤其是涉及一种防火墙策略原子化存储查询方法、系统、电子设备和介质。

技术介绍

[0002]现有技术的防火墙策略存储在防火墙设备中，每一条防火墙策略都包含多个源地址、多个目的地址和多个端口号。进行防火墙策略查询时需在防火墙设备中对源地址、目的地址和端口号逐条逐个逐项比较，处理效率低且消耗防火墙计算资源，如果要从多台防火墙设备中查询同一条防火墙策略还需要逐台设备登陆进行查询，费时费力，且所有的查询都是基于IP地址的比较，较为复杂。

技术实现思路

[0003]本专利技术的目的就是为了克服上述现有技术存在的缺陷而提供一种防火墙策略原子化存储查询方法、系统、电子设备和介质，该专利技术能够多台防火墙设备中的防火墙策略以整数形式存储于数据库中，进行统一查询，降低防火墙的性能消耗，提高处理效率。
[0004]本专利技术的目的可以通过以下技术方案来实现：
[0005]根据本专利技术的第一个方面，本专利技术提供一种防火墙策略原子化存储查询方法，包括如下步骤：
[0006]S1：从防火墙设备列表中提取防火墙策略配置，所述防火墙策略配置中的每一条防火墙策略均为包含多个源地址、多个目的地址和多个端口号的三元组；
[0007]S2：对S1中各防火墙策略的源地址、目的地址和和端口号进行笛卡尔积运算，得到原子化策略集合；
[0008]S3：将所述原子化策略集合中的每一条防火墙策略的源地址、目的地址和端口号均转化为整数，得到整数形式的原子化策略集合；
[0009]S4：将S3中整数形式的原子化策略集合存储至数据库中，得到原子化防火墙策略数据库；
[0010]S5：确定待查询的防火墙策略，将待查询的防火墙策略和所述原子化防火墙策略数据库中的各防火墙策略进行比较查询。
[0011]优选地，所述原子化策略集合中的每一条防火墙策略均为包含一个源地址、一个目的地址和一个端口号的三元组。
[0012]优选地，描述所述原子化策略集合的公式为：
[0013]{(s1,d1,p1),(s2,d2,p2),(s3,d3,p3)......(s
N
,d
N
,p
N
)}＝
[0014]{s1,s2,s3......s
N
}x{d1,d2,d3......d
N
}x{p1,p2,p3......p
N
}
[0015]式中，{s1,s2,s3......s
N
}为S1中防火墙策略的源地址、{d1,d2,d3......d
N
}为S1中防火墙策略的目的地址，{p1,p2,p3......p
N
}为S1中防火墙策略的端口号，N为源地址的个数，{(s1,d1,p1),(s2,d2,p2),(s3,d3,p3)......(s
N
,d
N
,p
N
)}为原子化策略集合。
[0016]优选地，S5中，基于原子化匹配最小原则，将待查询的防火墙策略转化为整数，并和原子化防火墙策略数据库中的各防火墙策略进行整数比较。
[0017]优选地，当在多台防火墙设备中查询同一条防火墙策略时，将所有防火墙设备中的防火墙策略按照S1～S4存入原子化防火墙策略数据库中，执行S5。
[0018]根据本专利技术的第二个方面，本专利技术提供一种防火墙策略原子化存储查询系统，包括：
[0019]防火墙策略提取模块：用以从防火墙设备列表中提取防火墙策略配置；
[0020]防火墙策略原子化运算模块：用以将所述防火墙策略配置中各防火墙策略的源地址、目的地址和端口号进行笛卡尔积运算，得到原子化策略集合；
[0021]防火墙策略整数转换模块：用以将所述原子化策略集合中的源地址、目的地址和端口号均转化为整数，得到整数形式的原子化策略集合；
[0022]防火墙策略存储模块：用以将所述整数形式的原子化策略集合存储；
[0023]防火墙策略查询模块：用以将待查询的防火墙策略与存储在所述防火墙策略存储模块中的各防火墙策略进行比较查询。
[0024]优选地，所述防火墙策略配置中的每一条防火墙策略均为包含多个源地址、多个目的地址和多个端口号的三元组。
[0025]优选地，所述原子化策略集合中的每一条防火墙策略均为包含一个源地址、一个目的地址和一个端口号的三元组。
[0026]根据本专利技术的第三个方面，本专利技术提供一种电子设备，包括：
[0027]一个或多个处理器；存储器；和被存储在存储器中的一个或多个程序，所述一个或多个程序包括用于执行如上任一所述的防火墙策略原子化存储查询方法的指令。
[0028]根据本专利技术的第四个方面，本专利技术提供一种计算机可读存储介质，包括供电子设备的一个或多个处理器执行的一个或多个程序，所述一个或多个程序包括用于执行如上任一所述的防火墙策略原子化存储查询方法的指令。
[0029]与现有技术相比，本专利技术具有以如下有益效果：
[0030](1)本专利技术通过将防火墙设备中的防火墙策略依次进行提取、计算和整数转换操作，最后生成原子化策略集合存储至数据库中，查询时，将待查询的防火墙策略和原子化防火墙策略数据库中的各防火墙策略进行比较查询，使得防火墙策略查询不在防火墙设备上进行运算，降低防火墙性能消耗。
[0031](2)本专利技术基于原子化最小匹配原则，将IP地址的比较转化为整数比较，且可以对多台防火墙进行统一查询，提高处理效率。
附图说明
[0032]图1为本专利技术提供的一种防火墙策略原子化存储查询方法的流程示意图。
[0033]图2为本专利技术提供的一种防火墙策略原子化存储查询系统的结构示意图。
具体实施方式
[0034]下面结合附图和具体实施例对本专利技术进行详细说明。本实施例以本专利技术技术方案为前提进行实施，给出了详细的实施方式和具体的操作过程，但本专利技术的保护范围不限于
下述的实施例。
[0035]参考图1所示，根据本专利技术的第一个方面，本实施例提供一种防火墙策略原子化存储查询方法，包括如下步骤：
[0036]S1：从防火墙设备列表{fw1,fw2,fw3......fw
N
}中提取防火墙策略配置，该配置中的每一条防火墙策略均为包含多个源地址、多个目的地址和多个端口号的三元组；
[0037]S2：对S1中各防火墙策略的源地址{s1,s2,s3......s
N
}、目的地址{d1,d2,d3......d
N
}和端口号{p1,p2,p3......p
N
}进行笛卡尔积运算，得到原子化策略集合，原子化策略集合中的每一条防火墙策略均为包含一个源地址、一个目的地址和一个端口号的三元组；
[0038]描述原子化策略集合的公式为：本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种防火墙策略原子化存储查询方法，其特征在于，包括如下步骤：S1：从防火墙设备列表中提取防火墙策略配置，所述防火墙策略配置中的每一条防火墙策略均为包含多个源地址、多个目的地址和多个端口号的三元组；S2：对S1中各防火墙策略的源地址、目的地址和和端口号进行笛卡尔积运算，得到原子化策略集合；S3：将所述原子化策略集合中的每一条防火墙策略的源地址、目的地址和端口号均转化为整数，得到整数形式的原子化策略集合；S4：将S3中整数形式的原子化策略集合存储至数据库中，得到原子化防火墙策略数据库；S5：确定待查询的防火墙策略，将待查询的防火墙策略和所述原子化防火墙策略数据库中的各防火墙策略进行比较查询。2.根据权利要求1所述的一种防火墙策略原子化存储查询方法，其特征在于，所述原子化策略集合中的每一条防火墙策略均为包含一个源地址、一个目的地址和一个端口号的三元组。3.根据权利要求2所述的一种防火墙策略原子化存储查询方法，其特征在于，描述所述原子化策略集合的公式为：{(s1,d1,p1),(s2,d2,p2),(s3,d3,p3)......(s
N
,d
N
,p
N
)}＝{s1,s2,s3......s
N
}x{d1,d2,d3......d
N
}x{p1,p2,p3......p
N
}式中，{s1,s2,s3......s
N
}为S1中防火墙策略的源地址、{d1,d2,d3......d
N
}为S1中防火墙策略的目的地址，{p1,p2,p3......p
N
}为S1中防火墙策略的端口号，N为源地址的个数，{(s1,d1,p1),(s2,d2,p2),(s3,d3,p3)......(s
N
,d
N
,p<...

【专利技术属性】
技术研发人员：崔康乐，张理，冯宇平，严静雨，陶礼亮，
申请(专利权)人：中国人寿保险股份有限公司上海数据中心，
类型：发明
国别省市：