[发明专利]一种生成访问控制列表规则的方法、装置及系统

说明书

本发明实施例提供了一种生成访问控制列表规则的方法、装置及系统，涉及通信领域，防备整个网络系统遇到的所有网络安全威胁，从而提高整个网络系统的安全性。所述方法，包括：服务器获取网络安全威胁信息及安全策略信息；所述服务器根据获取的所述网络安全威胁信息及所述安全策略信息生成访问控制列表ACL规则；所述服务器将生成的所述ACL规则发送至至少一个防火墙系统。本发明适用于网络安全的场景。

技术领域

本发明涉及通信领域，尤其涉及一种生成访问控制列表规则的方法、装置及系统。

背景技术

在现代通信系统中，为了保证数据的安全传输，通常在内部网络与外部网路之间加入防火墙，此防火墙允许合法数据包通过，禁止不合法数据包通过，从而实现数据的安全传输。防火墙技术的主要工作原理是采用ACL(Access Control List，访问控制列表)来实现数据的安全传输。其中，ACL中记录有多个ACL规则以便防火墙通过ACL规则确定接收到的数据包是否能够通过防火墙，从而实现数据的安全传输。

在现有技术中，具体生成ACL规则的过程为：防火墙在监测到网络安全威胁时，根据网络安全威胁来生成ACL规则，进而将生成的ACL规则进行生效设置，并将生效后的ACL规则记录至ACL中，更新ACL。并根据更新后的ACL记录的多个ACL规则进行网络安全保护。

在实现上述ACL规则生成的过程中，每个防火墙只能根据自身监测到的网络安全威胁来生成ACL规则，即生成的ACL规则只能防备自身遇到的网络安全威胁，而不能防备其他防火墙遇到的网络安全威胁。也就是说，每个防火墙均不能防备整个网络系统遇到的所有网络安全威胁，从而降低了整个网络系统的安全性。

发明内容

本发明的实施例提供了一种生成访问控制列表规则的方法、装置及系统，用于防备整个网络系统遇到的所有网络安全威胁，从而提高整个网络系统的安全性。

为达到上述目的，本发明的实施例采用如下技术方案：

第一方面，本发明实施例提供了一种服务器，包括：获取单元，用于获取网络安全威胁信息及安全策略信息；生成单元，用于根据所述获取单元获取的所述网络安全威胁信息及所述安全策略信息生成访问控制列表ACL规则；发送单元，用于将所述生成单元生成的所述ACL规则发送至至少一个防火墙系统。

在第一方面的第一种可能的实现方式中，所述安全策略信息包括：支持安全等级划分的安全策略信息；所述生成单元，具体用于根据所述获取单元获取的所述网络安全威胁信息及所述支持安全等级划分的安全策略信息生成不同安全等级的ACL规则；所述发送单元，具体用于将所述生成单元生成的所述不同安全等级的ACL规则发送至与安全等级对应的防火墙系统。

在第一方面的第二种可能的实现方式中，所述安全策略信息包括：支持区域划分的安全策略信息；所述生成单元，具体用于根据所述获取单元获取的所述网络安全威胁信息及所述支持区域划分的安全策略信息生成不同区域的ACL规则；所述发送单元，具体用于将所述生成单元生成的所述不同区域的ACL规则发送至与区域对应的防火墙系统。

在第一方面的第三种可能的实现方式中，所述安全策略信息包括：支持安全等级划分且支持区域划分的安全策略信息；所述生成单元，具体用于根据所述获取单元获取的所述网络安全威胁信息及所述支持安全等级划分且支持区域划分的安全策略信息生成不同区域的不同安全等级的ACL规则；所述发送单元，具体用于将所述生成单元生成的所述不同区域的不同安全等级的ACL规则发送至与所述区域对应的防火墙系统。