[发明专利]基于拉伸过滤的防火墙规则更新方法及其系统

说明书

本发明涉及基于拉伸过滤的防火墙规则更新方法及其系统，该方法包括获取IP规则文本集；对IP规则文本集进行识别与重构，获取对应的规则策略；根据对应的规则策略，对某一安全层数下的某一输入端与某一输出端，基于拉伸过滤算法进行识别运算，获取并输出运算结果。本发明将时间复杂度由IP总数量的层级次幂降低至查询条件相关的层级数与相关节点数之和，在某一安全层级数下，检测某一输入端与某一输出端是否有效联通，若联通则输出其联通路径，若不联通则输出相近安全层数下的有效路径或无有效路径，实现降低检索时间与资源消耗，适用大规模防火墙集群的相关基础配置，便于在大规模防火墙集群中的快速寻找某一联通路径下的防火墙IP最优组合。

技术领域

本发明涉及防火墙规则更新方法，更具体地说是指基于拉伸过滤的防火墙规则更新方法及其系统。

背景技术

防火墙访问控制是保证网络安全最重要的核心策略之一，访问控制列表(AccessControl List，ACL)是路由器和交换机接口的指令列表，ACL不但可控制网络流量及流向，而且在很大程度上起到保护网络设备、服务器的关键作用。作为外网进入企业内网的第一道关卡，路由器上的访问控制列表成为保护内网安全的有效手段。

目前对已有海量IP防火墙的更新配置时，防火墙配置系统对已有IP配置检索所出现的检索效率低、最优配置的计算中算法复杂度较高，中国专利201310180635X提供了一种基于二部图的防火墙规则更新方法，将根据防火墙规则构建表示为防火墙规则的二部图，然后将防火墙规则更新需求与表示防火墙规则的二部图进行匹配，确认防火墙规则更新需求并对防火墙规则进行更新，将防火墙规则更新转换为在防火墙规则的二部图中进行边和定点的修改，防火墙规则的二部图清晰地表示了防火墙中各规则之间的关系，将IP规则全文抽象化成二部图进行规则识别检索，若新规则符合二部图的循环圈数，则符合规则，若否则为不符，该方法每一次计算均需要加载IP规则全文检索进行图计算，其算法复杂度较高，IP规则全文检索需要将IP规则全文加载，各IP段为节点，是否连通作为边进行计算，其算法复杂度与两者数量正相关。

但是，在实际应用中，由于安全性需要，防火墙IP规则配置通常是单向的即是有向的，利用二部图这种无向图原理进行计算虽有利于规则的抽象，但也增加了计算的复杂程度，且随着IP规则数量的增长，IP规则全文检索的图运算效率呈指数下降，不利于计算资源的高效利用，针对不同的业务场景，存在安全层级设置等复杂任务需求，需要规则更新算法能够适应此类配置需要，高效计算其最优路径等问题。

因此，有必要设计一种新的防火墙规则更新方法，实现降低检索时间与资源消耗，适用大规模防火墙集群的相关基础配置，便于在大规模防火墙集群中的快速寻找某一联通路径下的防火墙IP最优组合。

发明内容

本发明的目的在于克服现有技术的缺陷，提供基于拉伸过滤的防火墙规则更新方法及其系统。

为实现上述目的，本发明采用以下技术方案：基于拉伸过滤的防火墙规则更新方法，所述方法包括：

获取IP规则文本集；

对IP规则文本集进行识别与重构，获取对应的规则策略；

根据对应的规则策略，对某一安全层数下的某一输入端与某一输出端，基于拉伸过滤算法进行识别运算，获取并输出运算结果。

其进一步技术方案为：对IP规则文本集进行识别与重构，获取对应的规则策略的步骤，包括以下具体步骤：

对IP规则文本集进行过滤，去除不符合IP识别规则的文本；

对过滤后的IP规则文本集进行去重，去除重复的IP规则文本；

对去重后的IP规则文本集进行排序；

对排序后的IP规则文本集进行切割，并分配至编号为A～J数字组，以映射方式标记各数字组元素之间的关系，获取映射关系的数字组；