值不关心的位数,掩码的其他位存在不同的位,且将掩码与所述不相同位对应的位变为O后,增加的元素值个数小于指定值或增加的比例小于指定值;
[0047]所述第一待操作规则与所述第二待操作规则相同元素的掩码不关心的位数相同、值不同、除去掩码与值不关心的位数,掩码的其他位存在不同的位,且将掩码与所述不相同位对应的位变为O后,增加的元素值个数小于指定值或增加的比例小于指定值。
[0048]本实施例提供的技术方案,通过将防火墙策略元素数量及类别相同的新产生的访问控制策略规则和访问控制策略规则集中的任一访问控制策略规则进行合并或归并,实现了对已存在的大量访问控制策略规则进行整合,在不影响数据放行规则的前提下大大减少访问控制策略规则数量,提高整体访问控制策略规则研判效率,同时解决了访问控制策略规则数量限制问题,使访问控制策略规则可以在超大型企业应用中无限配置。
[0049]实施例二
[0050]本实施例在上述实施例一的基础上,对归并第一待操作规则与第二待操作规则的过程作进一步的解释。图3是本发明实施例二提供的访问控制策略规则的操作方法流程示意图,如图3所示,本实施例提供的访问控制策略规则的操作方法具体可以包括如下:
[0051]步骤210、获取新产生的访问控制策略规则作为第一待操作规则,获取访问控制策略规则集中的任一访问控制策略规则作为第二待操作规则,判断所述第一待操作规则与所述第二待操作规则包含的防火墙策略元素数量及类别是否相同;
[0052]步骤220、若是,依次判断所述第一待操作规则与所述第二待操作规则所有相同防火墙策略元素之间是否满足合并条件;
[0053]步骤230、若是,合并所述第一待操作规则与所述第二待操作规则;
[0054]步骤240、若否,依次判断所述第一待操作规则与所述第二待操作规则所有相同防火墙策略元素之间是否满足归并条件;
[0055]步骤250、若是,依次对所述第一待操作规则与所述第二待操作规则所有相同元素做归并算法;
[0056]确定第一待操作规则与第二待操作规则所有相同防火墙策略元素之间满足归并条件后,对第一待操作规则与第二待操作规则所有相同防火墙策略元素做归并算法。归并算法用以对第一待操作规则与第二待操作规则相同防火墙策略元素进行计算,得到第一待操作规则与第二待操作规则归并后增加的防火墙策略元素值个数与归并前防火墙策略元素值个数的百分比。其中,所述归并后增加的防火墙策略元素值是指第一待操作规则与第二待操作规则相同防火墙策略元素在第一待操作规则与第二待操作规则归并后增加的总防火墙策略元素值。例如,第一待操作规则包括的防火墙策略元素为源IP和目的IP,第二待操作规则包括的防火墙策略元素也为源IP和目的IP,若确定第一待操作规则和第二待操作规则所有相同元素,即源IP和目的IP都满足归并条件,将第一待操作规则和第二待操作规则归并后增加的源IP值和目的IP值的总个数,作为归并后增加的防火墙策略元素值个数。
[0057]步骤260、根据所述第二待操作规则在访问控制策略规则集中的排列顺序,将归并算法结果保存在三角矩阵对应的位置;
[0058]归并算法结果为第一待操作规则和第二待操作规则归并后增加的防火墙策略元素值个数与归并前防火墙策略元素值个数的百分比。访问控制策略规则在访问控制策略规则集中按照优先级顺序排列,从访问控制策略规则集中获取的第二待操作规则有各自的顺序编号,新产生的访问控制策略规则也可以进行排序,并跟随访问控制策略规则集中的访问控制策略规则进行顺次编号。根据做归并处理的新产生的访问控制策略规则以及第二待操作规则的编号即可将对应的归并算法结果保存在对应的三角矩阵中。
[0059]图4是本发明实施例二提供的归并算法结果保存在三角矩阵中的示意图。如图4
所示,a(i,j) (i = 0、1、2......n_l,j = 1、2、3......η)为编码为i的访问控制策略规则与编码为j的访问控制策略规则归并后增加的防火墙策略元素值个数与归并前防火墙策略元素值个数的百分比。
[0060]步骤270、按照归并后增加的元素值个数与归并前元素值个数的百分比最小的方式进行归并。
[0061]归并后增加的防火墙策略元素值个数与归并前防火墙策略元素值个数的百分比最小说明归并操作后防火墙的数据处理能力越好,因此按照归并后增加的防火墙策略元素值个数与归并前防火墙策略元素值个数的百分比最小的方式进行归并。
[0062]进一步的,所述根据所述第二待操作规则在访问控制策略规则集中的排列顺序,将归并算法结果保存在三角矩阵对应的位置之后,还包括:
[0063]将所述三角矩阵中的归并算法结果按数值降序排列,并存储在预设的队列中。
[0064]归并算法结果将第一待操作规则和第二待操作规则做归并算法结果放置在三角矩阵中,不方便直接获取值最小的归并算法结果,因此,将三角矩阵中的归并算法结果按照数值从小到大的顺序排列,并对应存入预设好的队列中,这样每次提取队列的第一个值即可方便快捷的得到数值最小的归并算法结果,进而推断出最佳的归并方式。
[0065]本实施例提供的技术方案,通过将防火墙策略元素数量及类别相同的新产生的访问控制策略规则和访问控制策略规则集中的任一访问控制策略规则进行合并或归并,将归并算法结果保存在三角矩阵中,并进一步对归并算法结果进行排序,采用预设的队列存储排列后的归并算法结果,实现了快速获取最佳归并方式,在不影响数据放行规则的前提下大大减少访问控制策略规则数量,提高整体访问控制策略规则研判效率,同时解决了访问控制策略规则数量限制问题,使访问控制策略规则可以在超大型企业应用中无限配置。
[0066]实施例三
[0067]本实施例在上述实施例的基础上提供一种访问控制策略规则的操作方法,所述方法中第一操作规则和第二操作规则的整合在虚拟规则表中进行,经用户确认后,对应操作硬件中存储的访问控制策略规则。图5是本发明实施例三提供的访问控制策略规则的操作方法流程示意图,如图5所示,本实施例提供的访问控制策略规则的操作方法具体可以包括如下:
[0068]步骤310、根据硬件中实际存储的访问控制策略规则集,在内存中形成对应的虚拟访问控制策略规则表,用于实现对访问控制策略规则进行实际操作前的虚拟操作。
[0069]直接对硬件中存储的访问控制策略规则进行操作可能会出现由于操作过程不确定导致的错误,在不便于进行撤销操作的情况下,就会使访问控制策略规则出现混乱。为避免上述问题,并提高操作效率,本实施例对应于硬件中实际存储的访问控制策略规则集,在内存中建立虚拟访问控制策略规则表,后续对访问控制策略规则的操作均先在这个虚拟访问控制策略规则表中进行。
[0070]步骤320、获取新产生的访问控制策略规则作为第一待操作规则,获取访问控制策略规则集中的任一访问控制策略规则作为第二待操作规则,判断所述第一待操作规则与所述第二待操作规则包含的防火墙策略元素数量及类别是否相同;
[0071]步骤330、若是,依次判断所述第一待操作规则与所述第二待操作规则所有相同防火墙策略元素之间是否满足合并条件;
[0072]步骤340、若是,合并所述第一待操作规则与所述第二待操作规则;
[0073]步骤350、若否,依次判断所述第一待操作规则与所述第二待操作规则所有相同防火墙策略元素之间是否满足归并条件;
[0074]步骤360、若是,归并所述第一待操作规则与所述第二待操作规则。
[0075]步骤370、根据用户的确认归并指令,控制硬件中实际存储的访问控制策略规则集原始规则表中的规则进行相应的合并或归并。
[0076]在虚拟访问控制策略规则表中确定访问控制策略规则最佳的合并或归并方式后,将该方式对应的操作过程展示给用户,经用户确认后,根据用户的确认指令,按照虚拟访问控制策略规则表中的操作方式对硬件中实际存储的访问控制策略规则进行合并或归并。
[0077]本实施例提供的技术方案,通过在虚拟访问控制策略规则表中将防火墙策略元素数量及类别相同的新产生的访问控制策略规则和访问控制策略规则集中的任一访问控制策略规则进行合并或归并,并在用户确认后,按照虚拟访问控制策略规则表的合并或归并方式,对硬件中实际存储的访问控制策略规则进行对应的操作,避免了错误操作对访问控制策略规则的不良影响,并在不影响数据放行规则的前提下大大减少访问控制策略规则数量,提高整体访问控制策略规则研判效率,同时解决了访问控制策略规则数量限制问题,使访问控制策略规则可以在超大型企业应用中无限配置。
[0078]实施例四
[0079]本实施例为上述实施例方案的具体实施例,本实施例以第一待操作规则和第二待操作规则的防火墙策略元素是IP地址为例,对上述实施例做进一步的解释。
[0080]图6是本发明实施例四提供的IP源码及掩码关系比较算法流程图。需要说明的是,由于源IP和目的IP均属于IP,具体比较过程相同,本实施例在此不做区分,仅使用IP举例说明。图6所示比较算法适用于上述源IP和掩码以及目的IP和IP掩码关系的比较,由于其他的防火墙策略元素,即端口、特征串以及时间段,都是以二进制码形式存储的,并在本实施例中可为其配置对应的掩码,因此图6中所示的IP源码及掩码关系比较过程也适用于上述防火墙策略元素关系的比较。为便于描述,图6中用ipl和ipmaskl分别表示第一待操作规则防火墙策略元素IP的源码和掩码,用ip2和ipmask2分别表示第二待操作规则防火墙策略元素IP的源码和掩码。
[0081]如图6所示,所述IP源码及掩码关系比较算法具体包