(19)中华人民共和国国家知识产权局
(12)发明专利申请
(10)申请公布号 (43)申请公布日 (21)申请号 201610571681.6
(22)申请日 2016.07.19
(71)申请人 上海携程商务有限公司
地址 200335 上海市长宁区金钟路968号16
号楼10楼
(72)发明人 吴善鹏 雷兵 朱志博
(74)专利代理机构 上海弼兴律师事务所 31283
代理人 薛琦 张冉
(51)Int.Cl.
H04L 29/06(2006.01)
(54)发明名称防火墙策略的优化方法及装置(57)摘要本发明公开了一种防火墙策略的优化方法及装置,其中所述优化方法包括:构建防火墙策略信息库和应用信息库,所述防火墙策略信息库包括至少一防火墙策略信息,所述应用信息库包括至少一应用信息;从所述应用信息库中查询所述防火墙策略信息对应 的应用信息,并将所述防火墙策略信息及所述防火墙策略信息对应的应用信息添加至应用策略信息库。本发明能够弥补现有技术中防火墙策略维护的工作量大、容易出现重复策略、增加防火墙负载甚至降低防火墙性能的缺陷,对防火墙策略进行集中式统一化的管理,基于应用将多条策略进行合并,减少了策略条目,避免了重复策略降低防火墙性能的可能性,
提高了防火墙策略的可读性。权利要求书3页 说明书7页 附图2页CN 105959331 A 2016.09.21
C N 105959331
A
1.一种防火墙策略的优化方法,其特征在于,所述优化方法包括:
S1、构建防火墙策略信息库和应用信息库,所述防火墙策略信息库包括至少一防火墙策略信息,所述应用信息库包括至少一应用信息;
S2、从所述应用信息库中查询所述防火墙策略信息对应的应用信息,并将所述防火墙策略信息及所述防火墙策略信息对应的应用信息添加至应用策略信息库。
2.如权利要求1所述的防火墙策略的优化方法,其特征在于,所述防火墙策略信息包括所述防火墙策略的源地址和目的地址;
S2包括:
S21、从所述防火墙策略信息库中取出一条防火墙策略信息中的源地址和目的地址;
S22、从所述应用信息库中查询被取出的源地址对应的应用信息及被取出的目的地址对应的应用信息;
S23、在应用策略信息库中生成一条应用策略信息,所述应用策略信息包括:被取出的源地址对应的应用信息、被取出的目的地址对应的应用信息和被取出的防火墙策略信息。
3.如权利要求2所述的防火墙策略的优化方法,其特征在于,所述应用信息包括应用对应的网段;
S22通过以下步骤实现从应用信息库中查询被取出的源地址对应的应用信息:
遍历所述应用信息库的一个应用信息,判断被取出的源地址是否为所述网段的子网,若是,则被遍历的应用信息为被取出的源地址对应的应用信息,若否,则被遍历的应用信息非被取出的源地址对应的应用信息;
S22还通过以下步骤实现从应用信息库中查询被取出的目的地址对应的应用信息:
遍历所述应用信息库的一个应用信息,判断被取出的目的地址是否为所述网段的子网,若是,则被遍历
的应用信息为被取出的目的地址对应的应用信息,若否,则被遍历的应用信息非被取出的目的地址对应的应用信息;
S22还包括:在查询到被取出的源地址对应的应用信息及被取出的目的地址对应的应用信息时,执行S23。
4.如权利要求3所述的防火墙策略的优化方法,其特征在于,S2还包括:将查询到的被取出的源地址对应的应用信息保存在源地址应用信息,将查询到的被取出的目的地址对应的应用信息保存在目的地址应用信息。
5.如权利要求2所述的防火墙策略的优化方法,其特征在于,所述优化方法还包括:
在未查询到被取出的源地址对应的应用信息时,或在未查询被取出的目的地址对应的应用信息时,或在执行完S23之后,执行以下步骤:
判断所述防火墙策略信息库中的全部防火墙策略信息是否均为取出过,若是,优化过程结束,若否,返回S21从所述防火墙策略信息库中重新取出一条防火墙策略信息中的源地址和目的地址。
6.如权利要求2所述的防火墙策略的优化方法,其特征在于,S23包括:
判断所述应用策略信息库中是否存在第一应用策略信息,所述第一应用策略信息包括被取出的源地址对应的应用信息和被取出的目的地址对应的应用信息的应用策略信息,若是,则将被取出的防火墙策略信息添加到所述第一应用策略信息中,若否,则在应用策略信息库中生成一条新的应用策略信息,所述应用策略信息包括:被取出的源地址对应的应用
信息、被取出的目的地址对应的应用信息和被取出的防火墙策略信息。
7.如权利要求2-6中任意一项所述的防火墙策略的优化方法,其特征在于,所述优化方法还包括:
S3、读取所述应用策略信息库,展示策略优化结果。
8.一种防火墙策略的优化装置,其特征在于,所述优化装置包括:
防火墙策略信息库所述防火墙策略信息库包括至少一防火墙策略信息;
应用信息库,所述应用信息库包括至少一应用信息;
查询单元,用于从所述应用信息库中查询所述防火墙策略信息对应的应用信息,并将所述防火墙策略信息及所述防火墙策略信息对应的应用信息添加至应用策略信息库。
9.如权利要求8所述的防火墙策略的优化装置,其特征在于,所述防火墙策略信息包括所述防火墙策略的源地址和目的地址;
所述查询单元包括:
策略取出模块,用于从所述防火墙策略信息库中取出一条防火墙策略信息中的源地址和目的地址;
应用信息查询模块,用于从所述应用信息库中查询被取出的源地址对应的应用信息及被取出的目的地址对应的应用信息;
生成模块,用于在应用策略信息库中生成一条应用策略信息,所述应用策略信息包括:被取出的源地址对应的应用信息、被取出的目的地址对应的应用信息和被取出的防火墙策略信息。
10.如权利要求9所述的防火墙策略的优化装置,其特征在于,所述应用信息包括应用对应的网段;
所述应用信息查询模块通过以下模块实现从应用信息库中查询被取出的源地址对应的应用信息:
第一遍历模块,用于遍历所述应用信息库的一个应用信息,判断被取出的源地址是否为所述网段的子网,若是,则被遍历的应用信息为被取出的源地址对应的应用信息,若否,则被遍历的应用信息非被取出的源地址对应的应用信息;
所述应用信息查询模块还通过以下模块实现从应用信息库中查询被取出的目的地址对应的应用信息:
第二遍历模块,用于遍历所述应用信息库的一个应用信息,判断被取出的目的地址是否为所述网段的子网,若是,则被遍历的应用信息为被取出的目的地址对应的应用信息,若否,则被遍历的应用信息非被取出的目的地址对应的应用信息;
所述应用信息查询模块还包括:
调用模块,用于在查询到被取出的源地址对应的应用信息及被取出的目的地址对应的应用信息时,调用所述生成模块。
11.如权利要求10所述的防火墙策略的优化装置,其特征在于,所述查询单元还包括:
保存模块,用于将查询到的被取出的源地址对应的应用信息保存在源地址应用信息,将查询到的被取出的目的地址对应的应用信息保存在目的地址应用信息。
12.如权利要求9所述的防火墙策略的优化装置,其特征在于,所述查询单元还包括:
判断模块,用于在未查询到被取出的源地址对应的应用信息时,或在未查询被取出的
目的地址对应的应用信息时,或在调用完所述生成模块之后,判断所述防火墙策略信息库中的全部防火墙策略信息是否均为取出过,若是,优化过程结束,若否,调用所述策略取出模块,从所述防火墙策略信息库中重新取出一条防火墙策略信息中的源地址和目的地址。
13.如权利要求9所述的防火墙策略的优化装置,其特征在于,所述生成模块用于判断所述应用策略信息库中是否存在第一应用策略信息,所述第一应用策略信息包括被取出的源地址对应的应用信息和被取出的目的地址对应的应用信息的应用策略信息,若是,则将被取出的防火墙策略信息添加到所述第一应用策略信息中,若否,则在应用策略信息库中生成一条新的应用策略信息,所述应用策略信息包括:被取出的源地址对应的应用信息、被取出的目的地址对应的应用信息和被取出的防火墙策略信息。
14.如权利要求9-13中任意一项所述的防火墙策略的优化装置,其特征在于,所述优化装置还包括:
展示单元,用于读取所述应用策略信息库,展示策略优化结果。
防火墙策略的优化方法及装置技术领域
[0001]本发明属于网络安全领域,尤其涉及一种防火墙策略的优化方法及装置。背景技术
[0002]随着互联网技术的不断发展,在线网站的规模越来越大,防火墙作为网站的安全屏障,被大量的使用。防火墙数量的增加以及防火墙中安全策略条目的增加,安全工程师的工作量成倍的增长。由于大
量策略是基于当时的需求通过人工添加的,这样使得防火墙策略可读性越来越差,同一个应用可能会涉及多个策略,同一个策略可能会涉及多个应用。由于防火墙策略的杂乱,使得防火墙策略维护的工作量成倍增加,不可避免的会出现重复策略,增加了防火墙的负载,甚至会降低防火墙的性能。
发明内容
[0003]本发明要解决的技术问题是如何克服现有技术中防火墙策略维护的工作量大、容易出现重复策略、增加防火墙负载甚至降低防火墙性能的缺陷,提供一种防火墙策略的优化方法及装置。
[0004]本发明是通过以下技术方案解决上述技术问题的:
[0005]一种防火墙策略的优化方法,所述优化方法包括:
[0006]S 1、构建防火墙策略信息库和应用信息库,所述防火墙策略信息库包括至少一防火墙策略信息,所述应用信息库包括至少一应用信息;
[0007]S 2、从所述应用信息库中查询所述防火墙策略信息对应的应用信息,并将所述防火墙策略信息及所述防火墙策略信息对应的应用信息添加至应用策略信息库。
[0008]本技术方案能够将分别存储于防火墙策略信息库中的防火墙策略信息和存储于应用信息库中的应
用信息整合至应用策略信息库,在整合的同时合并多余策略,减少策略数量,增强防火墙策略的可读性和有序性,减少防火墙的负载,进一步提高防火墙的性能,为防火墙策略审计提供基础数据,使安全工程师从繁琐的策略维护工作中解放出来,减少工作量,提供工作效率。
[0009]较佳地,所述防火墙策略信息包括所述防火墙策略的源地址和目的地址;
[0010]S 2包括:
[0011]S 21、从所述防火墙策略信息库中取出一条防火墙策略信息中的源地址和目的地址;
[0012]S 22、从所述应用信息库中查询被取出的源地址对应的应用信息及被取出的目的地址对应的应用信息;
[0013]S 23、在应用策略信息库中生成一条应用策略信息,所述应用策略信息包括:被取出的源地址对应的应用信息、被取出的目的地址对应的应用信息和被取出的防火墙策略信息。
[0014]较佳地,所述应用信息包括应用对应的网段;
说 明 书
1/7页CN 105959331 A
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议