本發(fā)明涉及一種網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，特別是涉及一種網(wǎng)絡(luò)安全策略的處理系統(tǒng)及處理方法。

背景技術(shù)：

隨著互聯(lián)網(wǎng)的發(fā)展，數(shù)據(jù)中心的網(wǎng)絡(luò)安全防護(hù)越來(lái)越復(fù)雜，網(wǎng)絡(luò)安全策略配置越來(lái)越復(fù)雜，人工配置越來(lái)越困難?，F(xiàn)有的網(wǎng)絡(luò)安全策略管理方法無(wú)法滿足服務(wù)器快速上線的實(shí)際需求，并且人工維護(hù)成本過(guò)高。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明要解決的技術(shù)問(wèn)題是為了克服現(xiàn)有技術(shù)中網(wǎng)絡(luò)安全策略管理方法無(wú)法滿足服務(wù)器快速上線的實(shí)際需求并且人工維護(hù)成本過(guò)高的缺陷，提供一種網(wǎng)絡(luò)安全策略的處理系統(tǒng)及處理方法。

本發(fā)明是通過(guò)下述技術(shù)方案來(lái)解決上述技術(shù)問(wèn)題的：

本發(fā)明提供了一種網(wǎng)絡(luò)安全策略的處理系統(tǒng)，其特點(diǎn)在于，包括：

IP(網(wǎng)絡(luò)之間互連的協(xié)議)地址發(fā)送模塊，用于在服務(wù)器上線或網(wǎng)絡(luò)發(fā)生改變時(shí)，將服務(wù)器的IP地址發(fā)送出去；

流量學(xué)習(xí)模塊，用于接收所述IP地址，將所述IP地址對(duì)應(yīng)的網(wǎng)絡(luò)安全策略設(shè)置為全部放行策略，并開(kāi)始進(jìn)行流量學(xué)習(xí)，收集所述IP地址的所有流量信息；

提取模塊，用于根據(jù)收集的每條流量信息提取源IP地址、目的IP地址、目的端口以及協(xié)議以生成基礎(chǔ)安全策略；

第一合并模塊，用于將目的IP地址、目的端口以及協(xié)議均相同的基礎(chǔ)安全策略進(jìn)行源IP地址合并，以生成包括源IP組、目的IP地址、目的端口以及協(xié)議的初始安全策略；

第二合并模塊，用于將源IP組、目的端口以及協(xié)議均相同的初始安全策略進(jìn)行目的IP地址合并，以生成包括源IP組、目的IP組、目的端口以及協(xié)議的最終安全策略；

處理模塊，用于將所述最終安全策略發(fā)送至網(wǎng)絡(luò)安全設(shè)備中，并刪除所述流量學(xué)習(xí)模塊設(shè)置的全部放行策略。

較佳地，所述流量學(xué)習(xí)模塊還用于設(shè)置流量學(xué)習(xí)時(shí)間。

較佳地，所述IP地址發(fā)送模塊還用于在服務(wù)器下線時(shí)將下線服務(wù)器的IP地址發(fā)送至所述流量學(xué)習(xí)模塊，所述流量學(xué)習(xí)模塊還用于調(diào)用所述處理模塊刪除所有與所述下線服務(wù)器的IP地址相關(guān)的網(wǎng)絡(luò)安全策略。

本發(fā)明的目的在于還提供了一種網(wǎng)絡(luò)安全策略的處理方法，其特點(diǎn)在于，其利用上述的處理系統(tǒng)實(shí)現(xiàn)，包括以下步驟：

S₁、所述IP地址發(fā)送模塊在服務(wù)器上線或網(wǎng)絡(luò)發(fā)生改變時(shí)，將服務(wù)器的IP地址發(fā)送出去；

S₂、所述流量學(xué)習(xí)模塊接收所述IP地址，將所述IP地址對(duì)應(yīng)的網(wǎng)絡(luò)安全策略設(shè)置為全部放行策略，并開(kāi)始進(jìn)行流量學(xué)習(xí)，收集所述IP地址的所有流量信息；

S₃、所述提取模塊根據(jù)收集的每條流量信息提取源IP地址、目的IP地址、目的端口以及協(xié)議以生成基礎(chǔ)安全策略；

S₄、所述第一合并模塊將目的IP地址、目的端口以及協(xié)議均相同的基礎(chǔ)安全策略進(jìn)行源IP地址合并，以生成包括源IP組、目的IP地址、目的端口以及協(xié)議的初始安全策略；

S₅、所述第二合并模塊將源IP組、目的端口以及協(xié)議均相同的初始安全策略進(jìn)行目的IP地址合并，以生成包括源IP組、目的IP組、目的端口以及協(xié)議的最終安全策略；

S₆、所述處理模塊將所述最終安全策略發(fā)送至網(wǎng)絡(luò)安全設(shè)備中，并刪除所述流量學(xué)習(xí)模塊設(shè)置的全部放行策略。

較佳地，步驟S₂中所述流量學(xué)習(xí)模塊還設(shè)置流量學(xué)習(xí)時(shí)間。

較佳地，所述處理方法還包括：

所述IP地址發(fā)送模塊在服務(wù)器下線時(shí)將下線服務(wù)器的IP地址發(fā)送至所述流量學(xué)習(xí)模塊，所述流量學(xué)習(xí)模塊調(diào)用所述處理模塊刪除所有與所述下線服務(wù)器的IP地址相關(guān)的網(wǎng)絡(luò)安全策略。

本發(fā)明的積極進(jìn)步效果在于：本發(fā)明通過(guò)流量學(xué)習(xí)的方式自動(dòng)生成網(wǎng)絡(luò)安全策略，策略的配置全程都不需要人工進(jìn)行參與，實(shí)現(xiàn)了全自動(dòng)的配置，實(shí)現(xiàn)了安全配置的智能化，免去了人工配置的復(fù)雜度，提高了網(wǎng)絡(luò)安全配置的效率，實(shí)現(xiàn)了安全策略的智能化配置。

附圖說(shuō)明

圖1為本發(fā)明的較佳實(shí)施例的網(wǎng)絡(luò)安全策略的處理系統(tǒng)的模塊示意圖。

圖2為本發(fā)明的較佳實(shí)施例的網(wǎng)絡(luò)安全策略的處理方法的流程圖。

具體實(shí)施方式

下面通過(guò)實(shí)施例的方式進(jìn)一步說(shuō)明本發(fā)明，但并不因此將本發(fā)明限制在所述的實(shí)施例范圍之中。

如圖1所示，本發(fā)明的網(wǎng)絡(luò)安全策略的處理系統(tǒng)包括IP地址發(fā)送模塊1、流量學(xué)習(xí)模塊2、提取模塊3、第一合并模塊4、第二合并模塊5以及處理模塊6。

其中，所述IP地址發(fā)送模塊會(huì)在服務(wù)器上線或者網(wǎng)絡(luò)發(fā)生改變時(shí)，將服務(wù)器的IP地址(即新增的IP地址或者發(fā)生變更的IP地址)發(fā)送至所述流量學(xué)習(xí)模塊2；

所述流量學(xué)習(xí)模塊2在接收到所述IP地址后，則將所述IP地址對(duì)應(yīng)的網(wǎng)絡(luò)安全策略設(shè)置為全部放行策略，即對(duì)所述IP地址開(kāi)啟全通策略；并且開(kāi)始進(jìn)行流量學(xué)習(xí)，設(shè)置一學(xué)習(xí)時(shí)間，然后收集在所述學(xué)習(xí)時(shí)間內(nèi)所述IP地址的所有流量信息；

所述提取模塊3根據(jù)所述流量學(xué)習(xí)模塊2收集的每條流量信息提取源IP地址、目的IP地址、目的端口以及協(xié)議以生成基礎(chǔ)安全策略，即每條流量信息可以生成一個(gè)基礎(chǔ)安全策略，所述基礎(chǔ)安全策略均包括源IP地址、目的IP地址、目的端口以及協(xié)議；

所述第一合并模塊4會(huì)將目的IP地址、目的端口以及協(xié)議均相同的基礎(chǔ)安全策略進(jìn)行源IP地址合并，以生成包括源IP組、目的IP地址、目的端口以及協(xié)議的初始安全策略；即，所述初始安全策略中包括的目的IP地址、目的端口以及協(xié)議均相同，所述源IP組表示包括多個(gè)不同的源IP地址；

所述第二合并模塊5會(huì)將源IP組、目的端口以及協(xié)議均相同的初始安全策略進(jìn)行目的IP地址合并，以生成包括源IP組、目的IP組、目的端口以及協(xié)議的最終安全策略；即所述最終安全策略中包括的源IP組、目的端口以及協(xié)議均相同，所述目的IP組表示包括多個(gè)不同的目的IP地址；

所述處理模塊6則將所述最終安全策略發(fā)送至網(wǎng)絡(luò)安全設(shè)備中，并刪除所述流量學(xué)習(xí)模塊2設(shè)置的全部放行策略，即將所述IP地址的全通策略進(jìn)行刪除。

其中，在本發(fā)明的具體實(shí)施過(guò)程中，所述IP地址發(fā)送模塊1還用于在服務(wù)器下線時(shí)將下線服務(wù)器的IP地址發(fā)送至所述流量學(xué)習(xí)模塊2，所述流量學(xué)習(xí)模塊2還用于調(diào)用所述處理模塊6刪除所有與所述下線服務(wù)器的IP地址相關(guān)的網(wǎng)絡(luò)安全策略。

本發(fā)明通過(guò)服務(wù)器上線或者服務(wù)器網(wǎng)絡(luò)發(fā)生變更將變更的IP地址的網(wǎng)絡(luò)安全策略默認(rèn)先放行，然后通過(guò)學(xué)習(xí)指定時(shí)間范圍內(nèi)的流量的方式，相應(yīng)的流量進(jìn)行轉(zhuǎn)換、合并，最終形成對(duì)應(yīng)的網(wǎng)絡(luò)安全策略規(guī)則信息；本發(fā)明通過(guò)學(xué)習(xí)的方式，使得網(wǎng)絡(luò)安全策略的生成不需要人工進(jìn)行配置，策略配置實(shí)現(xiàn)了全程自動(dòng)化。

本發(fā)明還提供了一種網(wǎng)絡(luò)安全策略的處理方法，利用上述的網(wǎng)絡(luò)安全策略的處理系統(tǒng)實(shí)現(xiàn)，如圖2所示，本發(fā)明的網(wǎng)絡(luò)安全策略的處理方法包括以下步驟：

步驟101、所述IP地址發(fā)送模塊在服務(wù)器上線或網(wǎng)絡(luò)發(fā)生改變時(shí)，將服務(wù)器的IP地址發(fā)送出去；

步驟102、所述流量學(xué)習(xí)模塊接收所述IP地址，將所述IP地址對(duì)應(yīng)的網(wǎng)絡(luò)安全策略設(shè)置為全部放行策略，并開(kāi)始進(jìn)行流量學(xué)習(xí)，收集所述IP地址的所有流量信息；

步驟103、所述提取模塊根據(jù)收集的每條流量信息提取源IP地址、目的IP地址、目的端口以及協(xié)議以生成基礎(chǔ)安全策略；

步驟104、所述第一合并模塊將目的IP地址、目的端口以及協(xié)議均相同的基礎(chǔ)安全策略進(jìn)行源IP地址合并，以生成包括源IP組、目的IP地址、目的端口以及協(xié)議的初始安全策略；

步驟105、所述第二合并模塊將源IP組、目的端口以及協(xié)議均相同的初始安全策略進(jìn)行目的IP地址合并，以生成包括源IP組、目的IP組、目的端口以及協(xié)議的最終安全策略；

步驟106、所述處理模塊將所述最終安全策略發(fā)送至網(wǎng)絡(luò)安全設(shè)備中，并刪除所述流量學(xué)習(xí)模塊設(shè)置的全部放行策略。

其中，步驟S₂中所述流量學(xué)習(xí)模塊還設(shè)置流量學(xué)習(xí)時(shí)間。

并且優(yōu)選地，所述處理方法還可以包括：

所述IP地址發(fā)送模塊在服務(wù)器下線時(shí)將下線服務(wù)器的IP地址發(fā)送至所述流量學(xué)習(xí)模塊，所述流量學(xué)習(xí)模塊調(diào)用所述處理模塊刪除所有與所述下線服務(wù)器的IP地址相關(guān)的網(wǎng)絡(luò)安全策略。

雖然以上描述了本發(fā)明的具體實(shí)施方式，但是本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解，這些僅是舉例說(shuō)明，本發(fā)明的保護(hù)范圍是由所附權(quán)利要求書(shū)限定的。本領(lǐng)域的技術(shù)人員在不背離本發(fā)明的原理和實(shí)質(zhì)的前提下，可以對(duì)這些實(shí)施方式做出多種變更或修改，但這些變更和修改均落入本發(fā)明的保護(hù)范圍。