[发明专利]一种防火墙策略管理方法及系统

说明书

本发明提供了计算机技术领域的一种防火墙策略管理方法及系统，方法包括：步骤S10、获取现网的所有第一防火墙策略，将各第一防火墙策略的第一五元组数据划分为两组第一三元组数据；步骤S20、将各第一三元组数据进行范式化后，结合各第一防火墙策略携带的策略属性，生成包括若干个节点的源端二叉树和目的端二叉树；步骤S30、获取新增的第二防火墙策略，基于第二防火墙策略得到两组第二三元组数据，对第二三元组数据进行范式化后，分别从源端二叉树和目的端二叉树检索匹配的节点，生成检索结果；步骤S40、基于检索结果对第二防火墙策略进行管理。本发明的优点在于：极大的提升了防火墙策略管理的质量以及效率，进而极大的提升了防火墙的安全性。

技术领域

本发明涉及计算机技术领域，特别指一种防火墙策略管理方法及系统。

背景技术

在网络服务中，防火墙是分隔内部网络与外部网络的网络设备，网络间传输的数据流由防火墙来判别能否允许继续传输，由此保护内部网络免受外部的攻击和入侵。

防火墙策略是决定防火墙是否放行数据流的规则，防火墙通常配置有多条防火墙策略，在判别是否放行数据流时，根据各防火墙策略的优先级，将数据流的特征与防火墙安全策略按优先级依次进行匹配，只有匹配成功的数据流才予以继续传输。在防火墙的实际使用中，新增的防火墙策略与现网的防火墙策略可能存在交叉、冲突、重复、包含等的关系，而这些关系目前主要靠管理员人员进行人工的比对排查，很容易在新增防火墙策略时，因为无法理清防火墙策略间的复杂关系给防火墙安全带来隐患。

因此，如何提供一种防火墙策略管理方法及系统，实现提升防火墙策略管理的质量以及效率，进而提升防火墙的安全性，成为一个亟待解决的问题。

发明内容

本发明要解决的技术问题，在于提供一种防火墙策略管理方法及系统，实现提升防火墙策略管理的质量以及效率，进而提升防火墙的安全性。

第一方面，本发明提供了一种防火墙策略管理方法，包括如下步骤：

步骤S10、获取现网的所有第一防火墙策略，将各所述第一防火墙策略的第一五元组数据划分为两组第一三元组数据；

步骤S20、将各所述第一三元组数据进行范式化后，结合各所述第一防火墙策略携带的策略属性，生成包括若干个节点的源端二叉树和目的端二叉树；

步骤S30、获取新增的第二防火墙策略，基于所述第二防火墙策略得到两组第二三元组数据，对所述第二三元组数据进行范式化后，分别从所述源端二叉树和目的端二叉树检索匹配的节点，生成检索结果；

步骤S40、基于所述检索结果对第二防火墙策略进行管理。

进一步地，所述步骤S10中，所述将各所述第一防火墙策略的第一五元组数据划分为两组第一三元组数据具体为：

将各所述第一防火墙策略的第一五元组数据均划分为一个源端的第一三元组数据以及一个目的端的第一三元组数据；

所述第一五元组数据包括源IP地址、源端口、目的IP地址、目的端口以及传输层协议；

所述源端的第一三元组数据包括源IP地址、源端口以及传输层协议；

所述目的端的第一三元组数据包括目的IP地址、目的端口以及传输层协议。

进一步地，所述步骤S20具体为：

将各所述第一三元组数据进行二进制转换的范式化后，结合各所述第一防火墙策略携带的策略属性，生成若干个源端的节点以及目的端的节点，并在各源端的所述节点生成过程中，逐步生成源端二叉树，在各目的端的所述节点生成过程中，逐步生成目的端二叉树；