一種訪問(wèn)控制策略規(guī)則的操作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明實(shí)施例涉及網(wǎng)絡(luò)安全領(lǐng)域,尤其涉及一種訪問(wèn)控制策略規(guī)則的操作方法。
【背景技術(shù)】
[0002]在全球移動(dòng)互聯(lián)網(wǎng)、大數(shù)據(jù)以及云計(jì)算興起的時(shí)代,網(wǎng)絡(luò)安全的關(guān)注度不斷提升。
[0003]防火墻在網(wǎng)絡(luò)安全領(lǐng)域占有最大的市場(chǎng)比例,訪問(wèn)控制策略(ACL,AccessControl List)的策略管理和處理性能成為防火墻的關(guān)鍵技術(shù),在網(wǎng)絡(luò)數(shù)據(jù)請(qǐng)求通過(guò)時(shí)根據(jù)數(shù)據(jù)報(bào)文頭進(jìn)行是否允許通過(guò)的判斷,如圖1所示。
[0004]大型企業(yè)級(jí)防火墻或者國(guó)家級(jí)防火墻的訪問(wèn)控制策略中的規(guī)則數(shù)量變更極快,往往會(huì)出現(xiàn)超過(guò)100萬(wàn)條的情況,如此大量的規(guī)則會(huì)極大的影響到防火墻的性能,甚至拖垮硬件設(shè)備,此外,由于訪問(wèn)控制策略變更過(guò)快將導(dǎo)致很多訪問(wèn)控制策略規(guī)則沖突和失效,嚴(yán)重占用防火墻系統(tǒng)資源。
【發(fā)明內(nèi)容】
[0005]本發(fā)明提供一種訪問(wèn)控制策略規(guī)則的操作方法,以提高防火墻的數(shù)據(jù)包處理能力。
[0006]本發(fā)明實(shí)施例提供了一種訪問(wèn)控制策略規(guī)則的操作方法,所述方法包括:
[0007]獲取新產(chǎn)生的訪問(wèn)控制策略規(guī)則作為第一待操作規(guī)則,獲取訪問(wèn)控制策略規(guī)則集中的任一訪問(wèn)控制策略規(guī)則作為第二待操作規(guī)則,判斷所述第一待操作規(guī)則與所述第二待操作規(guī)則包含的防火墻策略元素?cái)?shù)量及類(lèi)別是否相同;
[0008]若是,依次判斷所述第一待操作規(guī)則與所述第二待操作規(guī)則所有相同防火墻策略元素之間是否滿足合并條件;
[0009]若是,合并所述第一待操作規(guī)則與所述第二待操作規(guī)則;
[0010]若否,依次判斷所述第一待操作規(guī)則與所述第二待操作規(guī)則所有相同防火墻策略元素之間是否滿足歸并條件;
[0011]若是,歸并所述第一待操作規(guī)則與所述第二待操作規(guī)則。
[0012]本發(fā)明實(shí)施例提供的技術(shù)方案,通過(guò)將防火墻策略元素?cái)?shù)量及類(lèi)別相同的新產(chǎn)生的訪問(wèn)控制策略規(guī)則和訪問(wèn)控制策略規(guī)則集中的任一訪問(wèn)控制策略規(guī)則進(jìn)行合并或歸并,實(shí)現(xiàn)了對(duì)已存在的大量訪問(wèn)控制策略規(guī)則進(jìn)行整合,在不影響數(shù)據(jù)放行規(guī)則的前提下大大減少訪問(wèn)控制策略規(guī)則數(shù)量,提高整體訪問(wèn)控制策略規(guī)則研判效率,同時(shí)解決了訪問(wèn)控制策略規(guī)則數(shù)量限制問(wèn)題,使訪問(wèn)控制策略規(guī)則可以在超大型企業(yè)應(yīng)用中無(wú)限配置。
【附圖說(shuō)明】
[0013]圖1是現(xiàn)有技術(shù)中訪問(wèn)控制策略規(guī)則的數(shù)據(jù)放行過(guò)程示意圖;
[0014]圖2是本發(fā)明實(shí)施例一提供的訪問(wèn)控制策略規(guī)則的操作方法流程示意圖;
[0015]圖3是本發(fā)明實(shí)施例二提供的訪問(wèn)控制策略規(guī)則的操作方法流程示意圖;
[0016]圖4是本發(fā)明實(shí)施例二提供的歸并算法結(jié)果保存在三角矩陣中的示意圖;
[0017]圖5是本發(fā)明實(shí)施例三提供的訪問(wèn)控制策略規(guī)則的操作方法流程示意圖;
[0018]圖6是本發(fā)明實(shí)施例四提供的IP源碼及掩碼關(guān)系比較算法流程圖。
【具體實(shí)施方式】
[0019]下面結(jié)合附圖和實(shí)施例對(duì)本發(fā)明作進(jìn)一步的詳細(xì)說(shuō)明??梢岳斫獾氖?,此處所描述的具體實(shí)施例僅僅用于解釋本發(fā)明,而非對(duì)本發(fā)明的限定。另外還需要說(shuō)明的是,為了便于描述,附圖中僅示出了與本發(fā)明相關(guān)的部分而非全部結(jié)構(gòu)。
[0020]實(shí)施例一
[0021]圖2是本發(fā)明實(shí)施例一提供的訪問(wèn)控制策略規(guī)則的操作方法流程示意圖。本實(shí)施例可適用于訪問(wèn)控制策略規(guī)則的整合。
[0022]參見(jiàn)圖2,本實(shí)施例提供的訪問(wèn)控制策略規(guī)則的操作方法具體可以包括如下:
[0023]步驟110、獲取新產(chǎn)生的訪問(wèn)控制策略規(guī)則作為第一待操作規(guī)則,獲取訪問(wèn)控制策略規(guī)則集中的任一訪問(wèn)控制策略規(guī)則作為第二待操作規(guī)則,判斷所述第一待操作規(guī)則與所述第二待操作規(guī)則包含的防火墻策略元素?cái)?shù)量及類(lèi)別是否相同;
[0024]本實(shí)施例用于將新產(chǎn)生的訪問(wèn)控制策略規(guī)則與訪問(wèn)控制策略集中的訪問(wèn)控制策略進(jìn)行合并或歸并,以減少訪問(wèn)控制策略規(guī)則數(shù)量,達(dá)到提高防火墻的數(shù)據(jù)包處理能力,新產(chǎn)生的訪問(wèn)控制策略規(guī)則和訪問(wèn)控制策略規(guī)則集中的任一訪問(wèn)控制策略規(guī)則為本實(shí)施例的操作對(duì)象。因此首先獲取新產(chǎn)生的訪問(wèn)控制策略規(guī)則作為第一待操作規(guī)則,獲取訪問(wèn)控制策略規(guī)則集中的任一訪問(wèn)控制策略規(guī)則作為第二待操作規(guī)則。判斷所述第一待操作規(guī)則和所述第二待操作規(guī)則包含的防火墻策略元素?cái)?shù)量及類(lèi)別是否相同。其中防火墻策略元素指用以構(gòu)成訪問(wèn)控制策略規(guī)則的參數(shù)類(lèi)別,包括訪問(wèn)控制策略規(guī)則的源IP、目的IP、端口、特征串以及時(shí)間段。每個(gè)訪問(wèn)控制策略規(guī)則由至少一個(gè)上述防火墻策略元素組成,本實(shí)施例將包含所述防火墻策略元素?cái)?shù)量和類(lèi)別相同的訪問(wèn)控制策略規(guī)則分為一類(lèi)。例如,第一待操作規(guī)則包括的防火墻策略規(guī)則為源IP和目的IP,第二待操作規(guī)則包括的防火墻策略規(guī)則也為源IP和目的IP,那么第一待操作規(guī)則和第二待操作規(guī)則屬于同類(lèi)規(guī)則。本發(fā)明技術(shù)方案針對(duì)同類(lèi)訪問(wèn)控制策略規(guī)則進(jìn)行合并或歸并。
[0025]進(jìn)一步的,所述獲取新產(chǎn)生的訪問(wèn)控制策略規(guī)則作為第一待操作規(guī)則,獲取訪問(wèn)控制策略規(guī)則集中的任一訪問(wèn)控制策略規(guī)則作為第二待操作規(guī)則,包括:
[0026]針對(duì)所述第一待操作規(guī)則,重復(fù)獲取第二待操作規(guī)則,直至所述訪問(wèn)控制策略規(guī)則集中不存在剩余的訪問(wèn)控制策略規(guī)則。
[0027]訪問(wèn)控制策略規(guī)則集包括多個(gè)已存在的訪問(wèn)控制策略規(guī)則,為使合并或歸并操作最大程度的提高防火墻性能,需要依次判斷新產(chǎn)生的訪問(wèn)控制策略規(guī)則與訪問(wèn)控制策略規(guī)則中的所有訪問(wèn)控制策略規(guī)則是否可以合并或歸并,即首先針對(duì)所述第一待操作規(guī)則,重復(fù)獲取第二待操作規(guī)則,直至所述訪問(wèn)控制策略規(guī)則集中不存在剩余的訪問(wèn)控制策略規(guī)貝1J。需要說(shuō)明的是,上述重復(fù)獲取第二待操作規(guī)則之前,根據(jù)優(yōu)先級(jí)順序?qū)υL問(wèn)控制策略規(guī)則集中的規(guī)則進(jìn)行排序,具體的,可以按照形成時(shí)間從近至遠(yuǎn)的順序排列。
[0028]步驟120、若是,依次判斷所述第一待操作規(guī)則與所述第二待操作規(guī)則所有相同防火墻策略元素之間是否滿足合并條件;
[0029]確定第一待操作規(guī)則與第二待操作規(guī)則包含的防火墻策略元素?cái)?shù)量及類(lèi)別相同后,判斷第一待操作規(guī)則和第二待操作規(guī)則相同防火墻策略元素之間是否滿足合并條件,值得注意的是,第一待操作規(guī)則和第二待操作規(guī)則所有相同防火墻策略元素之間均需判斷是否滿足合并條件。
[0030]具體的,所述滿足合并條件,包括:
[0031]所述第一待操作規(guī)則與所述第二待操作規(guī)則所有相同元素之間滿足任一種合并條件,所述合并條件包括以下三種,
[0032]所述第一待操作規(guī)則與所述第二待操作規(guī)則相同元素的掩碼不關(guān)心位數(shù)相同、值相同,且源碼和掩碼與值相等;
[0033]所述第一待操作規(guī)則與所述第二待操作規(guī)則相同元素的掩碼不關(guān)心位數(shù)不同、掩碼不關(guān)心位數(shù)之差與掩碼不相同位數(shù)相等、除去掩碼與值不關(guān)心的位數(shù),掩碼的其他位相同,且源碼和掩碼與值相等;
[0034]所述第一待操作規(guī)則與所述第二待操作規(guī)則相同元素的掩碼不關(guān)心位數(shù)相同、值相同、源碼和掩碼與值不相等,且源碼和掩碼與值中存在I位不相同。
[0035]需要說(shuō)明的是,本實(shí)施例中的掩碼是針對(duì)防火墻策略元素源碼對(duì)應(yīng)設(shè)置的,與傳統(tǒng)意義上的掩碼不同,本方案掩碼中“O”表示不關(guān)心這個(gè)O所在的“位”。
[0036]步驟130、若是,合并所述第一待操作規(guī)則與所述第二待操作規(guī)則;
[0037]合并第一待操作規(guī)則與第二待操作規(guī)則只是將上述兩個(gè)規(guī)則用一個(gè)同類(lèi)別的概括性訪問(wèn)控制策略規(guī)則替代上述兩個(gè)規(guī)則,并沒(méi)有引入新的訪問(wèn)控制策略規(guī)則。當(dāng)?shù)谝淮僮饕?guī)則和第二待操作規(guī)則所有相同元素之間都滿足合并條件時(shí),合并第一待操作規(guī)則和第二待操作規(guī)則。具體的,當(dāng)訪問(wèn)控制策略規(guī)則集中包括不止一個(gè)可以和新產(chǎn)生的訪問(wèn)控制策略規(guī)則合并的訪問(wèn)控制策略規(guī)則時(shí),選擇優(yōu)先級(jí)最高的訪問(wèn)控制策略與新產(chǎn)生的訪問(wèn)控制策略規(guī)則合并。
[0038]步驟140、若否,依次判斷所述第一待操作規(guī)則與所述第二待操作規(guī)則所有相同防火墻策略元素之間是否滿足歸并條件;
[0039]確定第一待操作規(guī)則和第二待操作規(guī)則不能合并時(shí),進(jìn)一步判斷第一待操作規(guī)則與第二待操作規(guī)則所有相同防火墻策略元素之間是否滿足歸并條件。
[0040]步驟150、若是,歸并所述第一待操作規(guī)則與所述第二待操作規(guī)則。
[0041]歸并第一待操作規(guī)則與第二待操作規(guī)則是引入至少一個(gè)新的訪問(wèn)控制策略規(guī)則,使第一待操作規(guī)則、第二待操作和引入的至少一個(gè)新的訪問(wèn)控制策略規(guī)則連續(xù)后,使用一個(gè)同類(lèi)高優(yōu)先級(jí)別的訪問(wèn)控制策略規(guī)則或不同類(lèi)別訪問(wèn)控制策略規(guī)則替代上述規(guī)則。當(dāng)?shù)谝淮僮饕?guī)則和第二待操作規(guī)則所有相同元素之間都滿足歸并條件時(shí),歸并第一待操作規(guī)則和第二待操作規(guī)則。
[0042]進(jìn)一步的,所述滿足歸并條件,包括:
[0043]所述第一待操作規(guī)則與所述第二待操作規(guī)則所有相同元素之間滿足任一種歸并條件,所述歸并條件包括以下四種,
[0044]所述第一待操作規(guī)則與所述第二待操作規(guī)則相同元素的掩碼不關(guān)心的位數(shù)相同、值相同、源碼和掩碼與值不相等,源碼和掩碼與值不相同位數(shù)大于1,且將掩碼中與所述不相同位對(duì)應(yīng)的位變?yōu)镺后,增加的元素值個(gè)數(shù)小于指定值或增加的比例小于指定值;
[0045]所述第一待操作規(guī)則與所述第二待操作規(guī)則相同元素的掩碼不關(guān)心的位數(shù)不同、掩碼不關(guān)心的位數(shù)之差與掩碼不相同的位數(shù)不相等、將掩碼中與源碼和掩碼與值不相同位對(duì)應(yīng)的位變?yōu)镺后,增加的元素值個(gè)數(shù)小于指定值或增加的比例小于指定值;
[0046]所述第一待操作規(guī)則與所述第二待操作規(guī)則相同元素的掩碼不關(guān)心的位數(shù)不同、掩碼不關(guān)心的位數(shù)之差與掩碼不同的位數(shù)相等、除去掩碼與