[发明专利]一种策略优化装置及方法

说明书

本发明提供了一种策略优化装置及方法，用以为防火墙上配置的策略提供优化方案，进而提高策略管理的效率和准确度。本发明方法包括：获取防火墙的初始策略，以及获取采集器在预设时间范围内采集的流量日志；根据所述初始策略中的公共对象中的一个或多个，对所述初始策略进行扁平化处理，得到中间策略；根据所述中间策略的匹配索引查找所述流量日志，得到多条流量日志记录；根据所述多条流量日志记录和所述中间策略，生成多条命中策略，每条命中策略对应一条流量日志记录，每条命中策略包括对应的流量日志记录和所述中间策略；根据所述多条命中策略，生成所述初始策略的优化方案。

技术领域

本发明涉及通信领域，尤其涉及一种策略优化装置及方法。

背景技术

随着互联网的日益普及，人们能够便利地获取信息和资源的同时也经常受到病毒和黑客等攻击，网络安全也得到了越来越多的关注。防火墙作为保护内网安全、隔离外网攻击的有效手段备受青睐。

由于防火墙设备数量的逐渐增加，防火墙上配置的策略数量巨大，且策略数量存在不断增长的趋势，并且防火墙上配置的策略中存在大量有包含关系的策略或重复策略。策略的管理工作包括对防火墙上配置的策略进行优化。面对数量多且配置复杂的策略，策略的管理工作变的异常艰难。

现有技术中通常采用静态配置的方法进行策略优化，即根据策略管理人员的经验和历史数据进行策略优化，此种策略优化方法效率和准确度都很低，且容易造成策略覆盖范围过大的问题。若根据策略命中计数器来统计策略的使用频率，进而优化策略，由于策略命中计数器统计的策略命中次数是一个累计值，没有时间上的概念，当策略频繁变更时，导致策略命中计数器统计的策略使用频率不准确。

综上所述，采用现有技术对防护墙上配置的策略进行优化时，存在效率低、准确度低的问题。

发明内容

本发明提供了一种策略优化装置及方法，用以为防火墙上配置的策略提供优化方案，进而提高策略管理的效率和准确度。

第一方面，本发明提供一种策略优化装置，包括：

信息获取单元，用于获取防火墙的初始策略，以及获取采集器在预设时间范围内采集的流量日志；

中间策略生成单元，用于根据所述信息获取单元获取的所述初始策略中的公共对象中的一个或多个，对所述初始策略进行扁平化处理，生成中间策略；

流量日志记录确定单元，用于根据所述中间策略生成单元生成的所述中间策略的匹配索引查找所述信息获取单元获取的所述流量日志，确定多条流量日志记录；所述匹配索引包括策略标识、防火墙标识以及所述公共对象中的一个或多个；

命中策略生成单元，用于根据所述流量日志记录确定单元确定的多条流量日志记录和所述中间策略生成单元生成的中间策略，生成多条命中策略，每条命中策略对应一条流量日志记录，每条命中策略包括对应的流量日志记录和所述中间策略；

优化方案生成单元，用于根据所述命中策略生成单元生成的多条命中策略，生成所述初始策略的优化方案。

结合第一方面，在第一种可能的实现方式中，所述信息获取单元在获取防火墙的初始策略之前，还用于：

接收策略优化请求消息，所述策略优化请求消息包括所述防火墙的标识和预设时间范围。

结合第一方面，在第二种可能的实现方式中，所述公共对象包括地址集和服务协议集中的至少一个；

所述中间策略生成单元根据所述信息获取单元获取的所述初始策略中的公共对象中的一个或多个，对所述初始策略进行扁平化处理时，具体用于执行以下操作中的至少一个：

将所述初始策略中的地址集拆分成单个地址；和

将所述初始策略中的服务协议集拆分成单个服务协议。