[发明专利]一种防火墙策略处理的方法及装置在审
| 申请号: | 201310163682.3 | 申请日: | 2013-05-02 |
| 公开(公告)号: | CN104135461A | 公开(公告)日: | 2014-11-05 |
| 发明(设计)人: | 王立川 | 申请(专利权)人: | 中国移动通信集团河北有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 北京中誉威圣知识产权代理有限公司 11279 | 代理人: | 郭振兴;彭晓玲 |
| 地址: | 050021 *** | 国省代码: | 河北;13 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 防火墙 策略 处理 方法 装置 | ||
1.一种防火墙策略处理的方法,其特征在于,包括:
采集防火墙策略,将所述防火墙策略进行标准化生成防火墙策略访问控制列表;
采集防火墙内部网络和内外部网络之间的网络流量,获得网络流量配比统计数据;
根据所述网络流量配比统计数据对所述防火墙策略访问控制列表进行量化处理;
根据预设的策略优化规则对所述量化处理后的防火墙策略访问控制列表进行策略优化处理。
2.根据权利要求1所述的方法,其特征在于,所述根据预设的策略优化规则对所述量化处理后的防火墙策略访问控制列表进行策略优化处理的步骤之后还包括:
根据预设的安全审计规则对所述量化后的防火墙策略访问控制列表进行安全审计处理。
3.根据权利要求1或2所述的方法,其特征在于,所述采集防火墙策略,将所述防火墙策略进行标准化生成防火墙策略访问控制列表的步骤进一步包括:
向Probe采集机下发防火墙策略采集命令;
获取防火墙策略原始结果并使用解析类语句对所述原始结果进行标准化;
将所述标准化的防火墙策略作为Probe采集机的策略基线。
4.根据权利要求3所述的方法,其特征在于,所述将所述标准化的防火墙策略作为Probe采集机的策略基线的步骤之后还包括:
按预设时间间隔重复上述步骤,更新所述策略基线。
5.根据权利要求1或2所述的方法,其特征在于,所述采集防火墙内部网络和内外部网络之间的网络流量,获得网络流量配比统计数据的步骤进一步包括:
根据预设周期采集防火墙内部网络和内外部网络之间的网络流量;
对所述网络流量的配比进行统计,获得网络流量配比统计数据。
6.一种防火墙策略处理的装置,其特征在于,包括采集模块、统计模块、量化模块和优化模块,其中:
所述采集模块,用于采集防火墙策略,将所述防火墙策略进行标准化生成防火墙策略访问控制列表;
所述统计模块,用于采集防火墙内部网络和内外部网络之间的网络流量,获得网络流量配比统计数据;
所述量化模块,用于根据所述网络流量配比统计数据对所述防火墙策略访问控制列表进行量化处理;
所述优化模块,用于根据预设的策略优化规则对所述量化处理后的防火墙策略访问控制列表进行策略优化处理。
7.根据权利要求6所述的装置,其特征在于,还包括审计模块,用于根据预设的安全审计规则对所述量化后的防火墙策略访问控制列表进行安全审计处理。
8.根据权利要求6或7所述的装置,其特征在于,所述采集模块进一步包括命令下发单元、标准化单元和策略基线生成单元,其中:
所述命令下发单元,用于向Probe采集机下发防火墙策略采集命令;
所述标准化单元,用于获取防火墙策略原始结果并使用解析类语句对所述原始结果进行标准化;
所述策略基线生成单元,用于将所述标准化的防火墙策略作为Probe采集机的策略基线。
9.根据权利要求8所述的装置,其特征在于,所述采集模块还包括更新单元,用于按预设时间间隔通过所述命令下发单元、标准化单元和策略基线生成单元的执行动作更新所述策略基线。
10.根据权利要求6或7所述的装置,其特征在于,所述统计模块进一步用于:
根据预设周期采集防火墙内部网络和内外部网络之间的网络流量;
对所述网络流量的配比进行统计,获得网络流量配比统计数据。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国移动通信集团河北有限公司,未经中国移动通信集团河北有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201310163682.3/1.html,转载请声明来源钻瓜专利网。
