[发明专利]防火墙规则处理方法、装置、网络设备及可读存储介质

权利要求书

1.一种防火墙规则处理方法，其特征在于，所述方法包括：

当接收到用于对规则更新的指令时，获取用于更新的第一规则；

根据所述第一规则所在的目标区域，从策略库中确定与所述目标区域对应的目标规则集，其中，所述策略库包括多组规则集，同一组规则集对应的区域相同；所述第一规则的所述目标区域为所述第一规则适用的接口或区域；

根据所述第一规则对所述目标规则集中的规则更新，得到更新后的目标规则集。

2.根据权利要求1所述的方法，其特征在于，根据所述第一规则对所述目标规则集中的规则更新，得到更新后的目标规则集，包括：

判断所述第一规则与所述目标规则集中的规则是否存在冲突；

当存在冲突时，在所述目标规则集中添加所述第一规则，删除所述目标规则集中的与所述第一规则冲突的第二规则；或者，删除所述第一规则；或者，对所述第一规则和所述第二规则进行融合运算，得到所述更新后的目标规则集；

当不存在冲突时，将所述第一规则添加于所述目标规则集中，得到所述更新后的目标规则集。

3.根据权利要求2所述的方法，其特征在于，当存在冲突时，对所述第一规则和所述第二规则进行融合运算，得到所述更新后的目标规则集，包括：

基于标识名称与区间的对应关系，将所述第一规则对应的标识名称转换为第一区间，以及将所述第二规则对应的标识名称转换为第二区间，所述标识名包括与规则对应的端口名称或地址名称；

当所述第一规则与所述第二规则对应的动作相冲突，且所述第一区间为需要删除的区间，且与所述第二规则的第二区间存在交集时，从所述第二区间中删除与所述第一区间重叠的区间，得到所述更新后的目标规则集。

4.根据权利要求2所述的方法，其特征在于，当不存在冲突时，将所述第一规则添加于所述目标规则集中，得到所述更新后的目标规则集，包括：

基于标识名称与区间的对应关系，将所述第一规则对应的标识名称转换为第一区间，以及将所述第二规则对应的标识名称转换为第二区间，所述标识名包括与规则对应的端口名称或地址名称；

当所述第一规则与所述第二规则对应的动作相同，且所述第一区间为不需要删除的区间，且与所述第二规则的第二区间存在交集时，对所述第一区间、第二区间进行合并，得到所述更新后的目标规则集；

当所述第一区间为不需要删除的区间，且与所述第二规则的第二区间不存在交集时，将所述第一规则添加在所述目标规则集，得到所述更新后的目标规则集。

5.根据权利要求2所述的方法，其特征在于，在判断所述第一规则与所述目标规则集中的规则是否存在冲突之前，所述方法还包括：

根据所述规则中的状态标志，滤除所述目标规则集中的所述状态标志为第一标志的规则，所述状态标志包括表示规则失效的所述第一标志或表示规则有效的第二标志。

6.根据权利要求1所述的方法，其特征在于，在获取用于更新的第一规则之前，方法还包括：

获取与防火墙的访问控制策略对应的所有规则；

对所述所有规则进行分组，得到多组规则集，其中，同一组规则集的区域相同；

针对每组规则集，当所述规则集中，存在相同动作的规则时，对存在相同动作的规则的区间进行合并，所述区间为与所述规则对应的地址区间或端口范围。

7.根据权利要求1所述的方法，其特征在于，所述方法还包括：

当所述第一规则与 所述目标规则集中的第二规则存在冲突时，发出提示信息。

8.一种防火墙规则处理装置，其特征在于，所述装置包括：

获取单元，用于当接收到用于对规则更新的指令时，获取用于更新的第一规则；

确定单元，用于根据所述第一规则所在的目标区域，从策略库中确定与所述目标区域对应的目标规则集，其中，所述策略库包括多组规则集，同一组规则集对应的区域相同；所述第一规则的所述目标区域为所述第一规则适用的接口或区域；

更新单元，用于根据所述第一规则对所述目标规则集中的规则更新，得到更新后的目标规则集。