[发明专利]网络防火墙的安全策略部署方法和装置

权利要求书

1.一种网络防火墙的安全策略部署方法，其特征在于，所述安全策略包括至少两个业务单元，包括：

按所述业务单元的层级和属性将待部署到网络防火墙的新安全策略与所述网络防火墙已部署的原安全策略进行比较，以确定策略变化部分，其中所述业务单元的属性包括类型和业务代码，所述业务单元的层级表示所述业务单元之间的引用关系；以及

对所述网络防火墙部署所述策略变化部分。

2.根据权利要求1所述的安全策略部署方法，其特征在于，

按所述业务单元的层级和属性将待部署到网络防火墙的新安全策略与所述网络防火墙已部署的原安全策略进行比较，以确定策略变化部分，包括以下至少一种情况：

若在某一层级，所述新安全策略包括所述原安全策略所不包括的类型的业务单元，则将该业务单元记录为新增业务单元；

若在某一层级，所述原安全策略包括所述新安全策略所不包括的类型的业务单元，则将该业务单元记录为删除业务单元；

若在某一层级，所述新安全策略包括与所述原安全策略中的业务单元相比类型相同、但业务代码有变化的业务单元，则判断该业务单元是否引用了下一层级的业务单元，并在所述判断结果为否的情况下，将该业务单元记录为变化业务单元，以及在所述判断结果为是的情况下，将所述新安全策略在所述下一层级的业务单元与所述原安全策略在所述下一层级的业务单元进行比较，并重复上述处理；

对所述网络防火墙部署所述策略变化部分，包括以下至少一种情况：

对所述网络防火墙部署所述新增业务单元；

将所述删除业务单元从所述网络防火墙删除；

修改所述变化业务单元的业务代码。

3.根据权利要求2所述的安全策略部署方法，其特征在于，

对所述网络防火墙部署所述新增业务单元，包括以下至少一种情况：

若所述新增业务单元没有被上一层级的业务单元引用，则将所述新增业务单元写入所述网络防火墙；

若所述新增业务单元被上一层级的业务单元引用，则将所述新增业务单元写入所述原安全策略，然后将所述上一层级的业务单元与所述新增业务单元的引用关系写入所述原安全策略；

或者，将所述删除业务单元从所述网络防火墙删除，包括以下至少一种情况：

若所述删除业务单元没有被上一层级的业务单元引用，则将被所述删除业务单元引用的业务单元与所述删除业务单元之间的引用关系从所述原安全策略中删除；

若所述删除业务单元被上一层级的业务单元引用，则将所述上一层级的业务单元与所述删除业务单元之间的引用关系从所述原安全策略中删除。

4.根据权利要求1至3中任一项所述的安全策略部署方法，其特征在于，按所述业务单元的层级和属性将待部署到网络防火墙的新安全策略与所述网络防火墙已部署的原安全策略进行比较，以确定策略变化部分之前，还包括：

根据所述业务单元的业务代码计算所述新安全策略的循环冗余码校验CRC值；以及

加载所述原安全策略的CRC值，其中，所述新安全策略的CRC值包括所述新安全策略的所有业务单元的CRC值，所述原安全策略的CRC值包括所述原安全策略的所有业务单元的CRC值；

按所述业务单元的层级和属性将待部署到网络防火墙的新安全策略与所述网络防火墙已部署的原安全策略进行比较，以确定策略变化部分，包括以下至少一种情况：

若在某一层级，所述新安全策略包括所述原安全策略所不包括的类型的业务单元，则将该业务单元记录为新增业务单元；

若在某一层级，所述原安全策略包括所述新安全策略所不包括的类型的业务单元，则将该业务单元记录为删除业务单元；

若在某一层级，所述新安全策略包括与所述原安全策略中的业务单元相比类型相同、但CRC值有变化的业务单元，则判断该业务单元是否引用了下一层级的业务单元，并在所述判断结果为否的情况下，将该业务单元记录为变化业务单元，以及在所述判断结果为是的情况下，将所述新安全策略在所述下一层级的业务单元与所述原安全策略在所述下一层级的业务单元进行比较，并重复上述处理。

5.根据权利要求4所述的安全策略部署方法，其特征在于，根据所述业务单元的业务代码计算所述新安全策略的循环冗余码校验CRC值，包括：

按所述业务单元的层级逐层计算所述新安全策略的业务单元的CRC值，并且某一层级的业务单元的CRC值包括该业务单元引用的下一层级的业务单元的CRC值。