[发明专利]一种防火墙策略分析与自动策略合并的方法及系统

说明书

本发明涉及安全技术领域，公开了一种防火墙策略分析与自动策略合并的方法及系统，包括以下步骤：步骤S1，获取防火墙访问控制策略及其对应的七元组信息，过滤掉访问控制策略中的忽略策略；步骤S2，根据过滤后的访问控制策略通过策略转换的方式转换成区间数据；步骤S3，将区间数据进行策略内分析和动作分组获取策略结果并存储；步骤S4，读取策略结果，并根据合并策略对策略结果进行合并和更新。本发明通过策略分析得到策略分析结果，通过提前配置的合并规则进行策略的自动合并，减少用户手动合并策略，提高策略合并的准确度和用户体验感。

技术领域

本发明涉及安全技术领域，具体地说，是一种防火墙策略分析与自动策略合并的方法及系统。

背景技术

随着现在网络科技的发展，信息网络技术的应用正日益广泛，应用层次深入，领域繁多，公共通信网络传输的数据安全越来越脱离不开防火墙的保护。由于业务繁多会部署大量的防火墙来保护业务安全，那么避免不了在各个墙上配置大量的策略，包括：访问控制策略、路由策略、NAT策略等，随着业务的变更也会去修改相应防火墙的策略。策略配置的日益繁多、错综复杂，长时间下来避免不了出差错造成网络安全隐患。我们需要对策略进行监控分析，有需要的情况进行策略的合并，可以根据检测结果进行优化对应的策略，减少防火墙负荷，提升防火墙性能。

现有的策略分析通过冗余检查得到结果不准确也不全面，并且只进行了访问控制策略进行分析。如专利CN202110974060.3中只针对了冗余检测，没有对其他策略结果进行计算分析，分析结果不准确。仅仅只针对了访问控制策略的分析，分析结果不全面。没有针对分析出来的结果进行进一步的处理，没有进行策略的自动优化。

现在大多数网络系统，进行的是策略之间进行匹配来分析策略之间是否冲突。大多数策略分析只策略冗余检查获得的防火墙策略分析结果不够全面和准确的技术问题。对检测后的结果没有进行相关的自动处理方式。因此，基于上述问题，本发明基于防火墙策略分析优化方法，基于策略的优先级和策略动作进行分组，通过策略分析得到策略分析结果，通过提前配置的合并规则进行策略的自动合并，减少用户手动合并策略，提高策略合并的准确度和用户体验感。

发明内容

本发明的目的在于提供一种防火墙策略分析与自动策略合并的方法及系统，通过策略分析得到策略分析结果，通过提前配置的合并规则进行策略的自动合并，减少用户手动合并策略，提高策略合并的准确度和用户体验感。

本发明通过下述技术方案实现：一种防火墙策略分析与自动策略合并的方法，包括以下步骤：

步骤S1，获取防火墙访问控制策略及其对应的七元组信息，过滤掉访问控制策略中的忽略策略；

步骤S2，根据过滤后的访问控制策略通过策略转换的方式转换成区间数据；

步骤S3，将区间数据进行策略内分析和动作分组获取策略结果并存储；

步骤S4，读取策略结果，并根据合并策略对策略结果进行合并和更新。

为了更好地实现本发明，进一步地，所述步骤S1中的七元组信息包括源地址信息、目的地址信息、源端口信息、目的端口信息、源域信息、目的域信息以及协议信息。

为了更好地实现本发明，进一步地，所述步骤S1中过滤掉访问控制策略中的忽略策略的方法包括：

每条策略拥有一个ID策略号，通过读取用户自己配置的不进行分析的忽略策略的ID将对应的忽略策略从策略中删除掉，得到需要分析的策略ID。

为了更好地实现本发明，进一步地，所述步骤S2包括：

将字符串模式的IP地址转换成ipv4的IP地址格式x.y.m.n，转换公式为x*255*255*255+y*255*255+m*255+n，其中x为第4个字节，y为第3个字节，m为第2个字节，n为第1个字节。

为了更好地实现本发明，进一步地，所述步骤S3包括： 通过策略内分析得到禁用策略与过期策略；