[发明专利]一种防火墙策略位置优化方法、系统、终端及存储介质

说明书

本发明公开了一种防火墙策略位置优化方法，与现有技术相比，本发明整个策略分析和移动过程由程序完成，无需人工参与，风险稳定可控，且运维效率明显提升。

技术领域

本发明涉及防火墙技术领域，具体涉及一种防火墙策略位置优化方法、系统、终端及存储介质。

背景技术

在防火墙策略运维场景中，运维人员在下发新的策略时应该充分考虑新下发策略和已有策略之间的关系，找到一个合适的插入位置，防止策略冗余或者冲突。但并不是每次运维人员都能严格按照最佳实践来操作。另外，随着时间推移，之前已下发的策略可能会变得不适用，影响防火墙的设备性能，日积月累，问题越来越严重。通过人工几乎无法完成数以千计，甚至几万条策略的优化工作，而且策略优化过程会删除部分策略，人工操作会有很高的风险。

在策略优化方面，策略位置的优化有助于加快策略匹配的速度，从而帮助企业降低由于性能问题而购买新设备的成本。

例如，有两条策略A,B如下：

A-permit 192.168.1.0/24 192.168.2.0/24tcp 80-90(100hit)

B-permit 192.168.3.0/24 192.168.1.0/24tcp 456(10000hit)

策略B被匹配到的次数远高于策略A，所以应该把策略B移动到策略A之前，这样大部分流量能快速通过。

发明内容

本发明要解决的技术问题在于，针对现有技术的上述缺陷，提供一种防火墙策略位置优化方法，整个策略分析和移动过程由程序完成，无需人工参与，风险稳定可控，且运维效率明显提升。

本发明是这样实现的，本发明提供的一种防火墙策略位置优化方法所采用的技术方案是：一种防火墙策略位置优化方法，其特征在于，设防火墙已有策略为列表policies，policies中每个policy为一个六元组SrcAddr,DstAddr,protocol,SrcPort,DstPort,HitCount，所述六元组的最后一个元素是该策略被匹配到的次数，该元素的数值是优化策略位置的主要参考；设策略位置移动的动作列表为Move,初始为空；

所述防火墙策略位置优化方法包括以下步骤：

S1：遍历列表policies，取当前策略policies[i]赋值给变量p；定义整形变量left和right，将left赋值为0，right赋值为i–1；

S1.1：循环,直到leftright；

S1.2：在循环内，计算(right-left)/2+left的值，并赋值给变量mid，如果policies[mid].HitCountp.HitCount，则将left赋值为mid+1，否则将right赋值为mid–1；

S2：如果left！＝i且policies[left]policies[i]，转入S2.1，否则转入S1；

S2.1：定义整形变量legal，并赋值为1；

S2.2：定义局部变量j，并赋值为i–1，对j进行循环迭代，每次减1，直到jleft；

S2.3：在循环内，分析policies[j]和p的关系，如果将p放在policies[j]之间是合理的，即不会导致冗余或者冲突，转入S2.3.1，否则转入S2.3.2；

S2.3.1：将policies[j+1]赋值为policies[j]；

S2.3.2：将legal赋值为1，如果j+！不等于i，转入S2.3.2.1；