[发明专利]防火墙规则处理方法、装置、网络设备及可读存储介质

说明书

本申请提供一种防火墙规则处理方法、装置、网络设备及可读存储介质。方法包括：当接收到用于对规则更新的指令时，获取用于更新的第一规则；根据第一规则所在的目标区域，从策略库中确定与目标区域对应的目标规则集，其中，策略库包括多组规则集，同一组规则集的区域相同；根据第一规则对目标规则集中的规则更新，得到更新后的目标规则集。在本方案中，当需要在策略库中添加第一规则时，直接利用与第一规则所在的目标区域的规则集，对第一规则进行匹配检测，以实现规则更新。如此，无需对除去目标规则集之外的其他规则进行检测，从而有利于降低运算量，提高规则匹配及规则更新的效率。

技术领域

本申请涉及网络安全技术领域，具体而言，涉及一种防火墙规则处理方法、装置、网络设备及可读存储介质。

背景技术

在网络设备的防火墙中，通常配置有访问控制策略，用于对网络设备的所接收的各类网络数据进行安全检测。由于网络设备接收的数据种类繁多，所配置的策略中的规则也比较多。当需要规则进行更新时，需要将新增的规则与历史的规则集进行匹配检测，以将新规则融合在历史的规则集中。目前，由于防火墙访问控制策略的匹配方式是由上至下，根据优先级由高到低去匹配，在对新规则进行匹配时，存在对所有规则集中的每条规则进行检测匹配的情况，从而导致匹配及规则更新的效率低。

发明内容

本申请实施例的目的在于提供一种防火墙规则处理方法、装置、网络设备及可读存储介质，能够在需要进行规则更新时，改善规则匹配及规则更新的效率低。

为了实现上述目的，本申请的实施例通过如下方式实现：

第一方面，本申请实施例提供一种防火墙规则处理方法，所述方法包括：

当接收到用于对规则更新的指令时，获取用于更新的第一规则；

根据所述第一规则所在的目标区域，从策略库中确定与所述目标区域对应的目标规则集，其中，所述策略库包括多组规则集，同一组规则集对应的区域相同；

根据所述第一规则对所述目标规则集中的规则更新，得到更新后的目标规则集。

在上述的实施方式中，当需要在策略库中添加第一规则时，直接利用与第一规则所在的目标区域的规则集，对第一规则进行匹配检测，以实现规则更新。如此，无需对除去目标规则集之外的其他规则进行检测，从而有利于降低运算量，提高规则匹配及规则更新的效率。

结合第一方面，在一些可选的实施方式中，根据所述第一规则对所述目标规则集中的规则更新，得到更新后的目标规则集，包括：

判断所述第一规则与所述目标规则集中的规则是否存在冲突；

当存在冲突时，在所述目标规则集中添加所述第一规则，删除所述目标规则集中的与所述第一规则冲突的第二规则；或者，删除所述第一规则；或者，对所述第一规则和所述第二规则进行融合运算，得到所述更新后的目标规则集；

当不存在冲突时，将所述第一规则添加于所述目标规则集中，得到所述更新后的目标规则集。

在上述的实施方式中，通过检测第一规则与目标规则集中的规则是否存在冲突，然后根据是否存在冲突的检测结果，进行针对性的规则更新，如此，可以快速实现规则的更新与优化。

结合第一方面，在一些可选的实施方式中，当存在冲突时，对所述第一规则和所述第二规则进行融合运算，得到所述更新后的目标规则集，包括：

基于标识名称与区间的对应关系，将所述第一规则对应的标识名称转换为第一区间，以及将所述第二规则对应的标识名称转换为第二区间，所述标识名包括与规则对应的端口名称或地址名称；

当所述第一规则与所述第二规则对应的动作相冲突，且所述第一区间为需要删除的区间，且与所述第二规则的第二区间存在交集时，从所述第二区间中删除与所述第一区间重叠的区间，得到所述更新后的目标规则集。