一种访问控制策略规则的操作方法
【技术领域】
[0001]本发明实施例涉及网络安全领域,尤其涉及一种访问控制策略规则的操作方法。
【背景技术】
[0002]在全球移动互联网、大数据以及云计算兴起的时代,网络安全的关注度不断提升。
[0003]防火墙在网络安全领域占有最大的市场比例,访问控制策略(ACL,AccessControl List)的策略管理和处理性能成为防火墙的关键技术,在网络数据请求通过时根据数据报文头进行是否允许通过的判断,如图1所示。
[0004]大型企业级防火墙或者国家级防火墙的访问控制策略中的规则数量变更极快,往往会出现超过100万条的情况,如此大量的规则会极大的影响到防火墙的性能,甚至拖垮硬件设备,此外,由于访问控制策略变更过快将导致很多访问控制策略规则冲突和失效,严重占用防火墙系统资源。
【发明内容】
[0005]本发明提供一种访问控制策略规则的操作方法,以提高防火墙的数据包处理能力。
[0006]本发明实施例提供了一种访问控制策略规则的操作方法,所述方法包括:
[0007]获取新产生的访问控制策略规则作为第一待操作规则,获取访问控制策略规则集中的任一访问控制策略规则作为第二待操作规则,判断所述第一待操作规则与所述第二待操作规则包含的防火墙策略元素数量及类别是否相同;
[0008]若是,依次判断所述第一待操作规则与所述第二待操作规则所有相同防火墙策略元素之间是否满足合并条件;
[0009]若是,合并所述第一待操作规则与所述第二待操作规则;
[0010]若否,依次判断所述第一待操作规则与所述第二待操作规则所有相同防火墙策略元素之间是否满足归并条件;
[0011]若是,归并所述第一待操作规则与所述第二待操作规则。
[0012]本发明实施例提供的技术方案,通过将防火墙策略元素数量及类别相同的新产生的访问控制策略规则和访问控制策略规则集中的任一访问控制策略规则进行合并或归并,实现了对已存在的大量访问控制策略规则进行整合,在不影响数据放行规则的前提下大大减少访问控制策略规则数量,提高整体访问控制策略规则研判效率,同时解决了访问控制策略规则数量限制问题,使访问控制策略规则可以在超大型企业应用中无限配置。
【附图说明】
[0013]图1是现有技术中访问控制策略规则的数据放行过程示意图;
[0014]图2是本发明实施例一提供的访问控制策略规则的操作方法流程示意图;
[0015]图3是本发明实施例二提供的访问控制策略规则的操作方法流程示意图;
[0016]图4是本发明实施例二提供的归并算法结果保存在三角矩阵中的示意图;
[0017]图5是本发明实施例三提供的访问控制策略规则的操作方法流程示意图;
[0018]图6是本发明实施例四提供的IP源码及掩码关系比较算法流程图。
【具体实施方式】
[0019]下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
[0020]实施例一
[0021]图2是本发明实施例一提供的访问控制策略规则的操作方法流程示意图。本实施例可适用于访问控制策略规则的整合。
[0022]参见图2,本实施例提供的访问控制策略规则的操作方法具体可以包括如下:
[0023]步骤110、获取新产生的访问控制策略规则作为第一待操作规则,获取访问控制策略规则集中的任一访问控制策略规则作为第二待操作规则,判断所述第一待操作规则与所述第二待操作规则包含的防火墙策略元素数量及类别是否相同;
[0024]本实施例用于将新产生的访问控制策略规则与访问控制策略集中的访问控制策略进行合并或归并,以减少访问控制策略规则数量,达到提高防火墙的数据包处理能力,新产生的访问控制策略规则和访问控制策略规则集中的任一访问控制策略规则为本实施例的操作对象。因此首先获取新产生的访问控制策略规则作为第一待操作规则,获取访问控制策略规则集中的任一访问控制策略规则作为第二待操作规则。判断所述第一待操作规则和所述第二待操作规则包含的防火墙策略元素数量及类别是否相同。其中防火墙策略元素指用以构成访问控制策略规则的参数类别,包括访问控制策略规则的源IP、目的IP、端口、特征串以及时间段。每个访问控制策略规则由至少一个上述防火墙策略元素组成,本实施例将包含所述防火墙策略元素数量和类别相同的访问控制策略规则分为一类。例如,第一待操作规则包括的防火墙策略规则为源IP和目的IP,第二待操作规则包括的防火墙策略规则也为源IP和目的IP,那么第一待操作规则和第二待操作规则属于同类规则。本发明技术方案针对同类访问控制策略规则进行合并或归并。
[0025]进一步的,所述获取新产生的访问控制策略规则作为第一待操作规则,获取访问控制策略规则集中的任一访问控制策略规则作为第二待操作规则,包括:
[0026]针对所述第一待操作规则,重复获取第二待操作规则,直至所述访问控制策略规则集中不存在剩余的访问控制策略规则。
[0027]访问控制策略规则集包括多个已存在的访问控制策略规则,为使合并或归并操作最大程度的提高防火墙性能,需要依次判断新产生的访问控制策略规则与访问控制策略规则中的所有访问控制策略规则是否可以合并或归并,即首先针对所述第一待操作规则,重复获取第二待操作规则,直至所述访问控制策略规则集中不存在剩余的访问控制策略规贝1J。需要说明的是,上述重复获取第二待操作规则之前,根据优先级顺序对访问控制策略规则集中的规则进行排序,具体的,可以按照形成时间从近至远的顺序排列。
[0028]步骤120、若是,依次判断所述第一待操作规则与所述第二待操作规则所有相同防火墙策略元素之间是否满足合并条件;
[0029]确定第一待操作规则与第二待操作规则包含的防火墙策略元素数量及类别相同后,判断第一待操作规则和第二待操作规则相同防火墙策略元素之间是否满足合并条件,值得注意的是,第一待操作规则和第二待操作规则所有相同防火墙策略元素之间均需判断是否满足合并条件。
[0030]具体的,所述满足合并条件,包括:
[0031]所述第一待操作规则与所述第二待操作规则所有相同元素之间满足任一种合并条件,所述合并条件包括以下三种,
[0032]所述第一待操作规则与所述第二待操作规则相同元素的掩码不关心位数相同、值相同,且源码和掩码与值相等;
[0033]所述第一待操作规则与所述第二待操作规则相同元素的掩码不关心位数不同、掩码不关心位数之差与掩码不相同位数相等、除去掩码与值不关心的位数,掩码的其他位相同,且源码和掩码与值相等;
[0034]所述第一待操作规则与所述第二待操作规则相同元素的掩码不关心位数相同、值相同、源码和掩码与值不相等,且源码和掩码与值中存在I位不相同。
[0035]需要说明的是,本实施例中的掩码是针对防火墙策略元素源码对应设置的,与传统意义上的掩码不同,本方案掩码中“O”表示不关心这个O所在的“位”。
[0036]步骤130、若是,合并所述第一待操作规则与所述第二待操作规则;
[0037]合并第一待操作规则与第二待操作规则只是将上述两个规则用一个同类别的概括性访问控制策略规则替代上述两个规则,并没有引入新的访问控制策略规则。当第一待操作规则和第二待操作规则所有相同元素之间都满足合并条件时,合并第一待操作规则和第二待操作规则。具体的,当访问控制策略规则集中包括不止一个可以和新产生的访问控制策略规则合并的访问控制策略规则时,选择优先级最高的访问控制策略与新产生的访问控制策略规则合并。
[0038]步骤140、若否,依次判断所述第一待操作规则与所述第二待操作规则所有相同防火墙策略元素之间是否满足归并条件;
[0039]确定第一待操作规则和第二待操作规则不能合并时,进一步判断第一待操作规则与第二待操作规则所有相同防火墙策略元素之间是否满足归并条件。
[0040]步骤150、若是,归并所述第一待操作规则与所述第二待操作规则。
[0041]归并第一待操作规则与第二待操作规则是引入至少一个新的访问控制策略规则,使第一待操作规则、第二待操作和引入的至少一个新的访问控制策略规则连续后,使用一个同类高优先级别的访问控制策略规则或不同类别访问控制策略规则替代上述规则。当第一待操作规则和第二待操作规则所有相同元素之间都满足归并条件时,归并第一待操作规则和第二待操作规则。
[0042]进一步的,所述满足归并条件,包括:
[0043]所述第一待操作规则与所述第二待操作规则所有相同元素之间满足任一种归并条件,所述归并条件包括以下四种,
[0044]所述第一待操作规则与所述第二待操作规则相同元素的掩码不关心的位数相同、值相同、源码和掩码与值不相等,源码和掩码与值不相同位数大于1,且将掩码中与所述不相同位对应的位变为O后,增加的元素值个数小于指定值或增加的比例小于指定值;
[0045]所述第一待操作规则与所述第二待操作规则相同元素的掩码不关心的位数不同、掩码不关心的位数之差与掩码不相同的位数不相等、将掩码中与源码和掩码与值不相同位对应的位变为O后,增加的元素值个数小于指定值或增加的比例小于指定值;
[0046]所述第一待操作规则与所述第二待操作规则相同元素的掩码不关心的位数不同、掩码不关心的位数之差与掩码不同的位数相等、除去掩码与