一種基于二部圖的防火墻規(guī)則更新方法
【專(zhuān)利摘要】本發(fā)明公開(kāi)了一種基于二部圖的防火墻規(guī)則更新方法,該方法首先根據(jù)防火墻規(guī)則構(gòu)建表示防火墻規(guī)則的二部圖,然后將防火墻規(guī)則更新需求與表示防火墻規(guī)則的二部圖進(jìn)行匹配,確認(rèn)防火墻規(guī)則更新需求并對(duì)防火墻規(guī)則進(jìn)行更新。本發(fā)明將防火墻規(guī)則的更新轉(zhuǎn)換為在防火墻規(guī)則的二部圖中進(jìn)行邊和頂點(diǎn)的修改,防火墻規(guī)則的二部圖清晰地表示了防火墻中各規(guī)則之間的關(guān)系。當(dāng)更新防火墻規(guī)則指令產(chǎn)生意想不到的結(jié)果時(shí),將及時(shí)提醒管理人員修正更新需求,避免因粗心引發(fā)的錯(cuò)誤。同時(shí),根據(jù)管理人員確認(rèn)的更新請(qǐng)求及當(dāng)前防火墻規(guī)則,自動(dòng)產(chǎn)生最優(yōu)更新指令完成防火墻規(guī)則更新,使更新后防火墻中的規(guī)則盡可能地少,以滿足用戶(hù)對(duì)防火墻更新的要求。
【專(zhuān)利說(shuō)明】一種基于二部圖的防火墻規(guī)則更新方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于網(wǎng)絡(luò)安全領(lǐng)域,主要涉及一種基于二部圖的防火墻規(guī)則更新方法。
【背景技術(shù)】
[0002]防火墻訪問(wèn)控制是保證網(wǎng)絡(luò)安全最重要的核心策略之一,訪問(wèn)控制列表(AccessControl List, ACL)是路由器和交換機(jī)接口的指令列表,ACL不但可控制網(wǎng)絡(luò)流量及流向,而且在很大程度上起到保護(hù)網(wǎng)絡(luò)設(shè)備、服務(wù)器的關(guān)鍵作用。作為外網(wǎng)進(jìn)入企業(yè)內(nèi)網(wǎng)的第一道關(guān)卡,路由器上的訪問(wèn)控制列表成為保護(hù)內(nèi)網(wǎng)安全的有效手段。
[0003]目前還沒(méi)有針對(duì)防火墻更新需求而設(shè)計(jì)的防火墻更新方法,美國(guó)密西根州立大學(xué)Alex Liu教授的論文“Change-1mpact Analysis of Firewall Policies”提出的方法幫助防火墻管理人員認(rèn)識(shí)所進(jìn)行的修改會(huì)產(chǎn)生什么樣的實(shí)質(zhì)結(jié)果,但沒(méi)有提出如何進(jìn)行修改來(lái)滿足管理人員的要求。
[0004]在防火墻的錯(cuò)誤定位以及修護(hù)方面,目前最新的研究成果是Fei Chen博士和AlexLiu教授提出的“The First Step Toward Automatic Correction of Firewall Faults,,,他們的方法是通過(guò)采用測(cè)試數(shù)據(jù)包去測(cè)試防火墻,然后根據(jù)測(cè)試結(jié)果采用不同的方法對(duì)防火墻進(jìn)行修護(hù),使得所有的測(cè)試數(shù)據(jù)包都能通過(guò)測(cè)試,但在他們的研究成果中,他們承認(rèn)在規(guī)則缺失以及防火墻域的錯(cuò)誤方面沒(méi)有取得滿意的結(jié)果,該方法另外一個(gè)問(wèn)題是:在進(jìn)行糾錯(cuò)的同時(shí)可能引入新的錯(cuò)誤,另外,對(duì)防火墻進(jìn)行自動(dòng)糾錯(cuò)是不可取的,因?yàn)闆](méi)有一個(gè)正確的標(biāo)準(zhǔn)存在。
[0005]防火墻是網(wǎng)絡(luò)安全防御的第一道防線,通常安置在私有網(wǎng)絡(luò)到公有網(wǎng)絡(luò)的入口處,以便所有進(jìn)入私有網(wǎng)絡(luò)和從私有網(wǎng)絡(luò)出去的數(shù)據(jù)包都經(jīng)過(guò)防火墻,防火墻的功能就是根據(jù)預(yù)先設(shè)定好的政策決定接收數(shù)據(jù)包或者丟棄數(shù)據(jù)包,防火墻的政策是由一系列的規(guī)則組成,這些規(guī)則稱(chēng)之為訪問(wèn)控制列表。訪問(wèn)控制列表中的規(guī)則通常存在重疊,甚至沖突。防火墻采取第一匹配的方式,來(lái)解決規(guī)則的沖突問(wèn)題,即防火墻應(yīng)用與該數(shù)據(jù)包匹配的第一條規(guī)則的動(dòng)作。
[0006]防火墻規(guī)則經(jīng)常需要進(jìn)行更新,如新服務(wù)的提供、新安全威脅的出現(xiàn)以及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的變化等等。但是在實(shí)際中由于防火墻規(guī)則的高度復(fù)雜以及缺乏先進(jìn)的工具,防火墻更新遠(yuǎn)比構(gòu)建一個(gè)新的防火墻更難。有兩個(gè)主要原因?qū)е路阑饓σ?guī)則的復(fù)雜,第一、由于規(guī)則之間存在沖突,規(guī)則之間的邏輯關(guān)系異常復(fù)雜,規(guī)則對(duì)順序敏感;第二、訪問(wèn)控制列表中的規(guī)則數(shù)量通常很大,一個(gè)企業(yè)防火墻中的規(guī)則數(shù)量通常達(dá)到數(shù)百甚至數(shù)千,Avishai等人證明防火墻的復(fù)雜度與其中的規(guī)則數(shù)量成比率增長(zhǎng)。
[0007]因此,在含有數(shù)量較多、邏輯復(fù)雜的防火墻上進(jìn)行更新是非常困難的工作,有效的防火墻更新方法和工具對(duì)防火墻更新至關(guān)重要,目前還沒(méi)有相關(guān)工具,因此防火墻的更新往往會(huì)不經(jīng)意引入人為錯(cuò)誤以及使得防火墻的規(guī)則數(shù)量不斷增大。
[0008]研究表明,管理人員引入的錯(cuò)誤是導(dǎo)致網(wǎng)絡(luò)服務(wù)失敗的主要原因,其中防火墻規(guī)則的不正確分類(lèi)是其中最主要的,防火墻中的錯(cuò)誤產(chǎn)生兩個(gè)方面的影響:(I)產(chǎn)生安全漏洞,使得不想要的甚至惡意的數(shù)據(jù)流進(jìn)入私有網(wǎng)絡(luò),對(duì)私有網(wǎng)絡(luò)造成損害;(2)妨礙了合法數(shù)據(jù)流的進(jìn)入,防礙了正常義務(wù)的開(kāi)展,導(dǎo)致公司收入的銳減。
[0009]訪問(wèn)控制列表中的規(guī)則數(shù)量對(duì)于防火墻非常關(guān)鍵。主要有以下兩個(gè)原因:(I) 一些防火墻產(chǎn)品對(duì)防火墻中的規(guī)則數(shù)量嚴(yán)格限制,例如NetScreenlOO最多容納733條規(guī)則;
(2)防火墻規(guī)則匹配無(wú)外乎兩種方式:順序匹配和并行匹配,對(duì)于線性匹配,規(guī)則越多,匹配耗時(shí)越長(zhǎng);對(duì)于并行匹配,規(guī)則越多意味著需要消耗的能量越多。
【發(fā)明內(nèi)容】
[0010]本發(fā)明提供了一種基于二部圖的防火墻規(guī)則更新方法,旨在解決目前還沒(méi)有針對(duì)防火墻更新需求而設(shè)計(jì)的防火墻更新方法,無(wú)法幫助防火墻管理人員確認(rèn)更新需求,避免由于粗心引入新的錯(cuò)誤,同時(shí)無(wú)法根據(jù)更新需求以及當(dāng)前防火墻的規(guī)則,產(chǎn)生最優(yōu)更新指令完成更新的問(wèn)題。
[0011]本發(fā)明的目的在于提供一種基于二部圖的防火墻規(guī)則更新方法,該防火墻規(guī)則更新方法包括以下步驟:
[0012]步驟一:根據(jù)防火墻規(guī)則,構(gòu)建表示防火墻規(guī)則的二部圖;
[0013]步驟二:將防火墻規(guī)則更新需求與表示防火墻規(guī)則的二部圖進(jìn)行匹配,確認(rèn)防火墻規(guī)則更新需求,對(duì)防火墻規(guī)則進(jìn)行更新。
[0014]進(jìn)一步,在步驟一中,在表示防火墻規(guī)則的二部圖中,每一個(gè)頂點(diǎn)代表防火墻中的一條規(guī)則,所有的頂點(diǎn)根據(jù)對(duì)應(yīng)防火墻規(guī)則采取的動(dòng)作是接收或丟棄而分成兩個(gè)集合:接收集合、丟棄集合;
[0015]表示防火墻規(guī)則的二部圖中的邊表示防火墻規(guī)則之間的關(guān)系,當(dāng)兩條防火墻規(guī)則之間存在重疊時(shí),兩條防火墻規(guī)則之間就存在一條邊,邊上的域值表示這兩條防火墻規(guī)則的交集,邊的方向表示兩條防火墻規(guī)則的順序;
[0016]根據(jù)始點(diǎn)和終點(diǎn)的不同,有三種類(lèi)型的邊:自環(huán)、內(nèi)部邊、外部邊,其中自環(huán)的始點(diǎn)和終點(diǎn)是同一個(gè)頂點(diǎn),內(nèi)部邊的始點(diǎn)和終點(diǎn)屬于同一個(gè)集合,外部邊的始點(diǎn)和終點(diǎn)分屬不同的集合;
[0017]在步驟二中,將防火墻規(guī)則更新需求與表示防火墻規(guī)則的二部圖進(jìn)行匹配,確認(rèn)防火墻規(guī)則更新需求是通過(guò)提醒防火墻管理人員該防火墻規(guī)則更新會(huì)造成的數(shù)據(jù)包動(dòng)作的變化,同時(shí)防火墻管理人員可做出相應(yīng)的調(diào)整;
[0018]當(dāng)防火墻管理人員確認(rèn)防火墻規(guī)則更新需求后,防火墻規(guī)則更新分兩步:
[0019]第一步,根據(jù)防火墻規(guī)則更新需求,在表示防火墻規(guī)則的二部圖中修改相應(yīng)的邊和頂點(diǎn);
[0020]首先設(shè)計(jì)一個(gè)稱(chēng)之為FRRG的新穎數(shù)據(jù)結(jié)構(gòu),該結(jié)構(gòu)是一個(gè)特殊的表示防火墻政策的二部圖。在FRRG中每一個(gè)頂點(diǎn)代表防火墻中的一條規(guī)則,所有的頂點(diǎn)根據(jù)對(duì)應(yīng)規(guī)則采取的動(dòng)作是接收或丟棄而分成兩個(gè)集合:接收集合、丟棄集合。在FRRG中的邊表示規(guī)則之間的關(guān)系,當(dāng)兩條規(guī)則的域值之間存在重疊時(shí),它們之間就存在一條邊,邊上的域值表示這兩條規(guī)則的交集,邊的方向表示這兩條規(guī)則的順序。根據(jù)始點(diǎn)和終點(diǎn)的不同,有三種類(lèi)型的邊:自環(huán)(始點(diǎn)和終點(diǎn)是同一個(gè)頂點(diǎn))、內(nèi)部邊(始點(diǎn)和終點(diǎn)屬于同一個(gè)集合)和外部邊(始點(diǎn)和終點(diǎn)分屬不同的集合)。[0021]第二步,根據(jù)表示防火墻規(guī)則的二部圖,計(jì)算最少的防火墻規(guī)則輸出方法,并將防火墻規(guī)則進(jìn)行輸出。
[0022]構(gòu)建完FRRG后,將規(guī)則更新需求與FRRG中的邊進(jìn)行匹配。更新需求確認(rèn)是通過(guò)提醒該更新會(huì)造成哪些數(shù)據(jù)包動(dòng)作的變化,管理員可以做出相應(yīng)的調(diào)整;當(dāng)更新需求確認(rèn)后,更新步驟分兩步:第一步根據(jù)更新需求在FRRG中修改相應(yīng)的邊和頂點(diǎn);第二步,根據(jù)FRRG,計(jì)算最少的規(guī)則輸出方法并將規(guī)則進(jìn)行輸出。在輸出過(guò)程中,只需要考慮外部邊,外部邊之間可能存在環(huán),采取相應(yīng)的破環(huán)方法,并基于拓?fù)渑判蚝蜆?shù)搜索算法設(shè)計(jì)出最優(yōu)規(guī)則輸出算法。
[0023]進(jìn)一步,在根據(jù)表示防火墻規(guī)則的二部圖,計(jì)算最少的防火墻規(guī)則輸出方法,并將防火墻規(guī)則進(jìn)行輸出時(shí),只需考慮表示防火墻規(guī)則的二部圖的外部邊,外部邊之間存在環(huán)時(shí),采取相應(yīng)的破環(huán)方法,并基于拓?fù)渑判蚝虯*算法設(shè)計(jì)出最優(yōu)規(guī)則輸出算法。
[0024]本發(fā)明提供的基于二部圖的防火墻規(guī)則更新方法,將防火墻規(guī)則的更新轉(zhuǎn)換成在防火墻規(guī)則的二部圖中進(jìn)行邊和頂點(diǎn)的修改,防火墻規(guī)則的二部圖非常清晰地表示了防火墻中各規(guī)則之間的關(guān)系,當(dāng)更新防火墻規(guī)則指令產(chǎn)生意想不到的結(jié)果時(shí),本發(fā)明能及時(shí)進(jìn)行提醒,幫助管理人員修正更新需求,避免了由于粗心引起的錯(cuò)誤,同時(shí)根據(jù)管理人員確認(rèn)的更新請(qǐng)求以及當(dāng)前防火墻規(guī)則,采用基于拓?fù)渑判蚝虯*算法設(shè)計(jì)出防火墻規(guī)則的最優(yōu)輸出方法,自動(dòng)產(chǎn)生最優(yōu)更新指令來(lái)完成防火墻規(guī)則更新,使得更新后防火墻中的規(guī)則盡可能的少,達(dá)到了用戶(hù)對(duì)防火墻更新的要求。
【專(zhuān)利附圖】
【附圖說(shuō)明】
[0025]圖1是本發(fā)明實(shí)施例提供的基于二部圖的防火墻規(guī)則更新方法的流程圖;
[0026]圖2是本發(fā)明實(shí)施例提供的防火墻規(guī)則的示意圖;
[0027]圖3是本發(fā)明實(shí)施例提供的表示圖2中防火墻規(guī)則的二部圖;
[0028]圖4是本發(fā)明實(shí)施例提供的對(duì)圖3中防火墻規(guī)則的二部圖的邊進(jìn)行約簡(jiǎn)的示意圖;
[0029]圖5是本發(fā)明實(shí)施例提供的對(duì)圖3中防火墻規(guī)則的二部圖的內(nèi)部邊的修改示意圖;
[0030]圖6是本發(fā)明實(shí)施例提供的對(duì)圖3中防火墻規(guī)則的二部圖的自環(huán)的修改示意圖;
[0031]圖7是本發(fā)明實(shí)施例提供的對(duì)圖3中防火墻規(guī)則的二部圖的外部邊的修改示意圖;
[0032]圖8是本發(fā)明實(shí)施例提供的在不增加規(guī)則的情況下進(jìn)行破環(huán)處理的示意圖;
[0033]圖9是本發(fā)明實(shí)施例提供的必須增加新的頂點(diǎn)的情況下進(jìn)行破環(huán)處理的示意圖。
【具體實(shí)施方式】
[0034]為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白,以下結(jié)合附圖及實(shí)施例,對(duì)本發(fā)明進(jìn)行進(jìn)一步的詳細(xì)說(shuō)明。應(yīng)當(dāng)理解,此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明,并不用于限定發(fā)明。
[0035]圖1示出了本發(fā)明實(shí)施例提供的基于二部圖的防火墻規(guī)則更新方法的實(shí)現(xiàn)流程。
[0036]該防火墻規(guī)則更新方法包括以下步驟:[0037]步驟S101,根據(jù)防火墻規(guī)則,構(gòu)建表示防火墻規(guī)則的二部圖;
[0038]步驟S102,將防火墻規(guī)則更新需求與表示防火墻規(guī)則的二部圖進(jìn)行匹配,確認(rèn)防火墻規(guī)則更新需求,對(duì)防火墻規(guī)則進(jìn)行更新。
[0039]作為本發(fā)明實(shí)施例的優(yōu)選方案,在步驟SlOl中,在表示防火墻規(guī)則的二部圖中,每一個(gè)頂點(diǎn)代表防火墻中的一條規(guī)則,所有的頂點(diǎn)根據(jù)對(duì)應(yīng)防火墻規(guī)則采取的動(dòng)作是接收或丟棄而分成兩個(gè)集合:接收集合、丟棄集合;
[0040]表示防火墻規(guī)則的二部圖中的邊表示防火墻規(guī)則之間的關(guān)系,當(dāng)兩條防火墻規(guī)則之間存在重疊時(shí),兩條防火墻規(guī)則之間就存在一條邊,邊上的域值表示這兩條防火墻規(guī)則的交集,邊的方向表示兩條防火墻規(guī)則的順序;
[0041]根據(jù)始點(diǎn)和終點(diǎn)的不同,有三種類(lèi)型的邊:自環(huán)、內(nèi)部邊、外部邊,其中自環(huán)的始點(diǎn)和終點(diǎn)是同一個(gè)頂點(diǎn),內(nèi)部邊的始點(diǎn)和終點(diǎn)屬于同一個(gè)集合,外部邊的始點(diǎn)和終點(diǎn)分屬不同的集合;
[0042]在步驟S102中,將防火墻規(guī)則更新需求與表示防火墻規(guī)則的二部圖進(jìn)行匹配,確認(rèn)防火墻規(guī)則更新需求是通過(guò)提醒防火墻管理人員該防火墻規(guī)則更新會(huì)造成的數(shù)據(jù)包動(dòng)作的變化,同時(shí)防火墻管理人員可做出相應(yīng)的調(diào)整;
[0043]當(dāng)防火墻管理人員確認(rèn)防火墻規(guī)則更新需求后,防火墻規(guī)則更新分兩步:
[0044]第一步,根據(jù)防火墻規(guī)則更新需求,在表示防火墻規(guī)則的二部圖中修改相應(yīng)的邊和頂點(diǎn);
[0045]第二步,根據(jù)表示防火墻規(guī)則的二部圖,計(jì)算最少的防火墻規(guī)則輸出方法,并將防火墻規(guī)則進(jìn)行輸出。
[0046]作為本發(fā)明實(shí)施例的優(yōu)選方案,在根據(jù)表示防火墻規(guī)則的二部圖,計(jì)算最少的防火墻規(guī)則輸出方法,并將防火墻規(guī)則進(jìn)行輸出時(shí),只需考慮表示防火墻規(guī)則的二部圖的外部邊,外部邊之間存在環(huán)時(shí),采取相應(yīng)的破環(huán)方法,并基于拓?fù)渑判蚝虯*算法設(shè)計(jì)出最優(yōu)規(guī)則輸出算法。
[0047]下面結(jié)合附圖及具體實(shí)施例對(duì)本發(fā)明的應(yīng)用原理作進(jìn)一步描述。
[0048]本發(fā)明首先構(gòu)建了 一個(gè)特殊的表示防火墻規(guī)則的二部圖,在表示防火墻規(guī)則的二部圖中,每一個(gè)頂點(diǎn)代表防火墻中的一條規(guī)則,所有的頂點(diǎn)根據(jù)對(duì)應(yīng)防火墻規(guī)則采取的動(dòng)作是接收或丟棄而分成兩個(gè)集合:接收集合、丟棄集合;在表示防火墻規(guī)則的二部圖中的邊表示防火墻規(guī)則之間的關(guān)系,當(dāng)兩條防火墻規(guī)則之間存在重疊時(shí),兩條防火墻規(guī)則之間就存在一條邊,邊上的域值表示這兩條規(guī)則的交集,邊的方向表示這兩條防火墻規(guī)則的順序,根據(jù)始點(diǎn)和終點(diǎn)的不同,有三種類(lèi)型的邊:自環(huán)(始點(diǎn)和終點(diǎn)是同一個(gè)頂點(diǎn))、內(nèi)部邊(始點(diǎn)和終點(diǎn)屬于同一個(gè)集合)和外部邊(始點(diǎn)和終點(diǎn)分屬不同的集合)。圖2所示是一個(gè)防火墻政策的例子,在該政策中有6條規(guī)則。根據(jù)圖2建立起來(lái)的FRRG如圖3所示。對(duì)圖3中邊進(jìn)一步分解,讓邊和邊對(duì)應(yīng)的域值之間的關(guān)系只存在兩種:相等或者不相交,結(jié)果如圖4所示。
[0049]構(gòu)建完表示防火墻規(guī)則的二部圖后,將防火墻規(guī)則更新需求與表示防火墻規(guī)則的二部圖中的邊進(jìn)行匹配,防火墻規(guī)則更新需求確認(rèn)是通過(guò)提醒防火墻管理員該更新會(huì)造成哪些數(shù)據(jù)包動(dòng)作的變化,防火墻管理員可做出相應(yīng)的調(diào)整;當(dāng)更新需求確認(rèn)后,更新步驟分兩步:第一步根據(jù)更新需求在防火墻規(guī)則的二部圖中修改相應(yīng)的邊和頂點(diǎn);圖5、圖6和圖7分別表示更新與內(nèi)部邊、自環(huán)和外部邊存在交集的情況。同樣第二步,根據(jù)防火墻規(guī)則的二部圖,計(jì)算最少的規(guī)則輸出方法并將規(guī)則進(jìn)行輸出;在輸出過(guò)程中,只需要考慮外部邊,外部邊之間可能存在環(huán),采取相應(yīng)的破環(huán)方法,圖8是在不增加規(guī)則的情況下進(jìn)行破環(huán)處理的示意圖;圖9表示的是必須增加新的頂點(diǎn)(對(duì)應(yīng)一條新的規(guī)則)的情況下進(jìn)行破環(huán)處里。當(dāng)圖中不存在環(huán)的情況下,可以對(duì)圖進(jìn)行拓?fù)渑判?,每一個(gè)拓?fù)溆行蚨际菨M足防火墻政策的規(guī)則序列。接下來(lái)采取樹(shù)搜索策略來(lái)確定規(guī)則的輸出序列,在輸出過(guò)程中對(duì)規(guī)則進(jìn)行壓縮,使得最后產(chǎn)生的規(guī)則序列還有的規(guī)則數(shù)量達(dá)到最少。
[0050]本發(fā)明的優(yōu)點(diǎn):本發(fā)明將防火墻的更新轉(zhuǎn)換成在防火墻規(guī)則的二部圖中進(jìn)行邊和頂點(diǎn)的修改,防火墻規(guī)則的二部圖非常清晰地表示了各規(guī)則之間的關(guān)系,因此當(dāng)更新指令產(chǎn)生意想不到的結(jié)果時(shí),該方法能及時(shí)進(jìn)行提醒,幫助防火墻管理員避免引入新的錯(cuò)誤;另夕卜,基于拓?fù)渑判蚝蜆?shù)搜索算法設(shè)計(jì)了規(guī)則的最優(yōu)輸出方法,保證輸出的規(guī)則數(shù)量最少,達(dá)到了用戶(hù)對(duì)防火墻更新的要求。
[0051]本方法從兩個(gè)方面幫助防火墻管理人員進(jìn)行規(guī)則更新:(I)幫助管理人員修正更新需求,避免由于粗心引起的錯(cuò)誤;(2)根據(jù)管理人員確認(rèn)的更新請(qǐng)求以及當(dāng)前防火墻規(guī)貝U,自動(dòng)產(chǎn)生最優(yōu)更新指令來(lái)完成更新,最優(yōu)更新指令是指更新后防火墻中的規(guī)則盡可能的少。
[0052]本發(fā)明實(shí)施例提供的基于二部圖的防火墻規(guī)則更新方法,將防火墻規(guī)則的更新轉(zhuǎn)換成在防火墻規(guī)則的二部圖中進(jìn)行邊和頂點(diǎn)的修改,防火墻規(guī)則的二部圖非常清晰地表示了防火墻中各規(guī)則之間的關(guān)系,當(dāng)更新防火墻規(guī)則指令產(chǎn)生意想不到的結(jié)果時(shí),本發(fā)明能及時(shí)進(jìn)行提醒,幫助管理人員修正更新需求,避免了由于粗心引起的錯(cuò)誤,同時(shí)根據(jù)管理人員確認(rèn)的更新請(qǐng)求以及當(dāng)前防火墻規(guī)則,采用基于拓?fù)渑判蚝蜆?shù)搜索算法設(shè)計(jì)出防火墻規(guī)則的最優(yōu)輸出方法,自動(dòng)產(chǎn)生最優(yōu)更新指令來(lái)完成防火墻規(guī)則更新,使得更新后防火墻中的規(guī)則盡可能的少,達(dá)到了用戶(hù)對(duì)防火墻更新的要求。
[0053]以上所述僅為本發(fā)明的較佳實(shí)施例而已,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換和改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
【權(quán)利要求】
1.一種基于二部圖的防火墻規(guī)則更新方法,其特征在于,該防火墻規(guī)則更新方法包括以下步驟: 步驟一:根據(jù)防火墻規(guī)則,構(gòu)建表示防火墻規(guī)則的二部圖; 步驟二:將防火墻規(guī)則更新需求與表示防火墻規(guī)則的二部圖進(jìn)行匹配,確認(rèn)防火墻規(guī)則更新需求,對(duì)防火墻規(guī)則進(jìn)行更新。
2.如權(quán)利要求1所述的防火墻規(guī)則更新方法,其特征在于:在步驟一中,在表示防火墻規(guī)則的二部圖中,每一個(gè)頂點(diǎn)代表防火墻中的一條規(guī)則,所有的頂點(diǎn)根據(jù)對(duì)應(yīng)防火墻規(guī)則采取的動(dòng)作是接收或丟棄而分成兩個(gè)集合:接收集合、丟棄集合; 表示防火墻規(guī)則的二部圖中的邊表示防火墻規(guī)則之間的關(guān)系,當(dāng)兩條防火墻規(guī)則之間存在重疊時(shí),兩條防火墻規(guī)則之間就存在一條邊,邊上的域值表示這兩條防火墻規(guī)則的交集,邊的 方向表示兩條防火墻規(guī)則的順序; 根據(jù)始點(diǎn)和終點(diǎn)的不同,有三種類(lèi)型的邊:自環(huán)、內(nèi)部邊、外部邊,其中自環(huán)的始點(diǎn)和終點(diǎn)是同一個(gè)頂點(diǎn),內(nèi)部邊的始點(diǎn)和終點(diǎn)屬于同一個(gè)集合,外部邊的始點(diǎn)和終點(diǎn)分屬不同的集合; 在步驟二中,將防火墻規(guī)則更新需求與表示防火墻規(guī)則的二部圖進(jìn)行匹配,確認(rèn)防火墻規(guī)則更新需求是通過(guò)提醒防火墻管理人員該防火墻規(guī)則更新會(huì)造成的數(shù)據(jù)包動(dòng)作的變化,同時(shí)防火墻管理人員可做出相應(yīng)的調(diào)整; 當(dāng)防火墻管理人員確認(rèn)防火墻規(guī)則更新需求后,防火墻規(guī)則更新分兩步: 第一步,根據(jù)防火墻規(guī)則更新需求,在表示防火墻規(guī)則的二部圖中修改相應(yīng)的邊和頂占.首先設(shè)計(jì)一個(gè)稱(chēng)之為FRRG的新穎數(shù)據(jù)結(jié)構(gòu),該結(jié)構(gòu)是一個(gè)特殊的表示防火墻政策的二部圖;在?1--中每一個(gè)頂點(diǎn)代表防火墻中的一條規(guī)則,所有的頂點(diǎn)根據(jù)對(duì)應(yīng)規(guī)則采取的動(dòng)作是接收或丟棄而分成兩個(gè)集合:接收集合、丟棄集合中的邊表示規(guī)則之間的關(guān)系,當(dāng)兩條規(guī)則的域值之間存在重疊時(shí),它們之間就存在一條邊,邊上的域值表示這兩條規(guī)則的交集,邊的方向表示這兩條規(guī)則的順序;根據(jù)始點(diǎn)和終點(diǎn)的不同,有三種類(lèi)型的邊:自環(huán)、內(nèi)部邊和外部邊; 第二步,根據(jù)表示防火墻規(guī)則的二部圖,計(jì)算最少的防火墻規(guī)則輸出方法,并將防火墻規(guī)則進(jìn)行輸出; 構(gòu)建完FRRG后,將規(guī)則更新需求與FRRG中的邊進(jìn)行匹配;更新需求確認(rèn)是通過(guò)提醒該更新會(huì)造成哪些數(shù)據(jù)包動(dòng)作的變化,管理員可以做出相應(yīng)的調(diào)整;當(dāng)更新需求確認(rèn)后,更新步驟分兩步:第一步根據(jù)更新需求在FRRG中修改相應(yīng)的邊和頂點(diǎn);第二步,根據(jù)FRRG,計(jì)算最少的規(guī)則輸出方法并將規(guī)則進(jìn)行輸出;在輸出過(guò)程中,只需要考慮外部邊,外部邊之間可能存在環(huán),采取相應(yīng)的破環(huán)方法,并基于拓?fù)渑判蚝蜆?shù)搜索算法設(shè)計(jì)出最優(yōu)規(guī)則輸出算法。
3.如權(quán)利要求2所述的防火墻規(guī)則更新方法,其特征在于:在根據(jù)表示防火墻規(guī)則的二部圖,計(jì)算最少的防火墻規(guī)則輸出方法,并將防火墻規(guī)則進(jìn)行輸出時(shí),只需考慮表示防火墻規(guī)則的二部圖的外部邊,外部邊之間存在環(huán)時(shí),采取相應(yīng)的破環(huán)方法,并基于拓?fù)渑判蚝虯*算法設(shè)計(jì)出最優(yōu)規(guī)則輸出算法。
【文檔編號(hào)】H04L29/06GK103841095SQ201310180635
【公開(kāi)日】2014年6月4日 申請(qǐng)日期:2013年5月10日 優(yōu)先權(quán)日:2013年5月10日
【發(fā)明者】李睿, 陳浩 申請(qǐng)人:湖南大學(xué)