[发明专利]一种防火墙策略检测方法

权利要求书

1.一种防火墙策略检测方法，其特征在于，包括以下步骤：

S10.构建防火墙策略数据库和防火墙日志文件，分析防火墙可视化页面的地址簿信息、策略配置信息以及端口信息的记录和显示方式，建立防火墙数据提取模式；

S20.利用爬虫工具和步骤S10中所述防火墙策略数据库的匹配功能，提取所述策略配置信息中配置的IP地址，并将IP地址转化为特有数值或数值范围，在所述特有数值或数值范围满足告警规则时告警；

S30.分析步骤S10中所述防火墙日志文件记录方式，分析防火墙日志文件中每个字段存储信息的含义并进行分类，将字段分类写入防火墙策略数据库中；

S40.将防火墙策略数据库存储于终端，以用于显示和查询策略配置信息；

步骤S20按以下步骤进行：

S21.提取所述策略配置信息中配置的IP地址，并对所述IP地址进行判断：若为单个IP地址，则直接进行计算；若为IP地址段，则提取IP地址段中的最小值与最大值；

S22.计算提取所述IP地址的数值，并对所述数值进行编号；

S23.对步骤S22中所述数值进行求和转化得到IP转化值；

S24.遍历所有IP地址，进行IP地址转化得到转化值N，将任意两IP地址的转化值N₁、N₂进行比对，若满足下列规则则告警：当N₁、N₂为单个地址时，若满足N₁＝N₂则告警；当N₁为单个地址、N₂为地址段时，若满足N_2min≤N₁≤N_2max则告警；当N₁、N₂均为地址段时，若满足或则告警。

2.根据权利要求1所述的防火墙策略检测方法，其特征在于，步骤S10按以下步骤进行：利用爬虫技术定时登录防火墙抓取防火墙数据，所述防火墙数据包括策略ID、命中数、源地址名称、源地址IP、源接口、目的地址名称、目的地址IP以及目的端口；将所述防火墙数据相互匹配后显示于一张表格上并导出。

3.根据权利要求1所述的防火墙策略检测方法，其特征在于，步骤S22中，根据IPV4地址的特征，每一个IPV4地址为4字节，32位二进制，以“.”进行分割，则表示为IPV4＝(P1.P2.P3.P4)，通过去点提取的方式提取出4组8位二进制数转化而来的十进制数字，提取的数值分别表示为P1、P2、P3、P4，且0≤P1、P2、P3、P4≤256。

4.根据权利要求3所述的防火墙策略检测方法，其特征在于，步骤S22中，为第一步计算出来的4组数值P1、P2、P3、P4设置位数值编号i，分别表示为：i(P1)＝0，i(P2)＝1，i(P3)＝2，i(P4)＝3。

5.根据权利要求4所述的防火墙策略检测方法，其特征在于，步骤S23中，按以下公式对所述数值进行求和转化得到IP转化值：∑N＝P/256×256^3-i，N为转化值，P为IP地址提取值，i为地址提取值编号。

6.根据权利要求1至5任一项所述的防火墙策略检测方法，其特征在于，步骤S30按以下步骤进行：导入防火墙日志文件，拆分日志字段，按照字段类别归集存储于防火墙策略数据库中。

7.根据权利要求6所述的防火墙策略检测方法，其特征在于，利用脚本对防火墙日志文件按照字段分类。

8.根据权利要求7所述的防火墙策略检测方法，其特征在于，所述字段类别包括数值类别、字符串类别及日期类别。

9.根据权利要求7所述的防火墙策略检测方法，其特征在于，步骤S40中，在查询策略配置信息时，采用匹配关键字的方式查询。