策略压缩方法、装置、设备、存储介质和计算机程序产品与流程

1.本技术涉及云计算技术、信息安全技术领域，特别是涉及一种策略压缩方法、装置、设备、存储介质和计算机程序产品。


背景技术：

2.随着网络技术的不断进步及云计算进程的不断加深，越来越多的企业开始使用云计算技术。由于云计算技术的普及，导致传统的物理硬件防火墙难以满足日益增长的网络规模和复杂度提升，引入适应云计算的虚拟网络架构更加符合企业及用户需求，从而使软件防火墙技术得到快速发展。
3.目前采用软件防火墙技术，若使用过程中防火墙策略数量临近或超过软件防火墙能接受的防火墙策略上限，软件防火墙则会达到性能瓶颈，使软件防火墙生命周期缩短。


技术实现要素：

4.基于此，有必要针对上述技术问题，提供一种能够延长软件防火墙生命周期的策略压缩方法、装置、设备、存储介质和计算机程序产品。
5.第一方面，本技术提供了一种策略压缩方法。所述方法包括：
6.利用第一接口获取防火墙策略配置信息，利用第二接口获取各防火墙的防火墙信息；
7.根据各该防火墙的防火墙信息，确定各该防火墙的防火墙策略配置信息；
8.根据用户输入的目标防火墙标识和各该防火墙所对应的防火墙策略配置信息，确定目标防火墙标识对应的目标防火墙的目标防火墙策略配置信息；
9.若该目标防火墙策略配置信息中的防火墙策略数量满足预设策略压缩条件，则对该目标防火墙策略配置信息中的防火墙策略进行压缩。
10.在其中一个实施例中，若该防火墙信息包括策略标识；则根据各该防火墙的防火墙信息，确定各该防火墙的防火墙策略配置信息，包括：
11.根据各该防火墙的防火墙信息中的策略标识、该策略标识所关联的防火墙策略配置信息中的规则标识，确定各该防火墙的防火墙策略配置信息。
12.在其中一个实施例中，根据各该防火墙的防火墙信息，确定各该防火墙的防火墙策略配置信息之前，还包括：
13.利用第三接口获取各子网网段的防火墙策略配置信息。
14.在其中一个实施例中，若该防火墙信息包括子网网段标识；则根据各该防火墙的防火墙信息，确定各该防火墙的防火墙策略配置信息，包括：
15.根据各该防火墙的防火墙信息中的子网网段标识、利用该第三接口获取的各该子网网段的防火墙策略配置信息，确定各该防火墙的防火墙策略配置信息。
16.在其中一个实施例中，若该目标防火墙策略配置信息中的防火墙策略数量满足预设策略压缩条件，则对该目标防火墙策略配置信息中的防火墙策略进行压缩，包括：
17.若该目标防火墙策略配置信息中的防火墙策略数量大于等于第一预设策略数量阈值，则对该目标防火墙策略配置信息中的防火墙策略进行压缩；
18.其中，压缩后的该目标防火墙策略配置信息中的防火墙策略的防火墙策略数量小于该第一预设策略数量阈值。
19.在其中一个实施例中，若该目标防火墙策略配置信息中的防火墙策略数量满足预设策略压缩条件，则对该目标防火墙策略配置信息中的防火墙策略进行压缩，包括：
20.若该目标防火墙策略配置信息中的防火墙策略数量与第二预设策略数量阈值的差值小于等于预设差值，则对该目标防火墙策略配置信息中的防火墙策略进行压缩。
21.在其中一个实施例中，对该目标防火墙策略配置信息中的防火墙策略进行压缩之后，该方法还包括：
22.将压缩后的该目标防火墙策略配置信息中的防火墙策略与压缩前的该目标防火墙策略配置信息中的防火墙策略进行比对得到比对结果；
23.若该比对结果为比对一致，则输出压缩后的该目标防火墙策略配置信息中的防火墙策略。
24.在其中一个实施例中，若该目标防火墙策略配置信息中的防火墙策略数量满足预设策略压缩条件，则对该目标防火墙策略配置信息中的防火墙策略进行压缩，包括：
25.该若该目标防火墙策略配置信息中的防火墙策略数量满足预设策略压缩条件，则将该目标防火墙策略配置信息中的具有多个目的端口标识的同一行策略配置信息，按照该多个目的端口标识分离出对应的多条防火墙策略；
26.对分离出的具有相同目的端口标识的多条防火墙策略进行合并处理，以对该目标防火墙策略配置信息中的防火墙策略进行压缩。
27.第二方面，本技术还提供了一种策略压缩装置。该装置包括：
28.第一获取模块，用于利用第一接口获取防火墙策略配置信息，利用第二接口获取各防火墙的防火墙信息；
29.第一确定模块，用于根据各该防火墙的防火墙信息，确定各该防火墙的防火墙策略配置信息；
30.第二确定模块，用于根据用户输入的目标防火墙标识和各该防火墙所对应的防火墙策略配置信息，确定目标防火墙标识对应的目标防火墙的目标防火墙策略配置信息；
31.压缩模块，用于若该目标防火墙策略配置信息中的防火墙策略数量满足预设策略压缩条件，则对该目标防火墙策略配置信息中的防火墙策略进行压缩。
32.第三方面，本技术还提供了一种计算机设备。该计算机设备包括存储器和处理器，该存储器存储有计算机程序，该处理器执行该计算机程序时实现以下步骤：
33.利用第一接口获取防火墙策略配置信息，利用第二接口获取各防火墙的防火墙信息；
34.根据各该防火墙的防火墙信息，确定各该防火墙的防火墙策略配置信息；
35.根据用户输入的目标防火墙标识和各该防火墙所对应的防火墙策略配置信息，确定目标防火墙标识对应的目标防火墙的目标防火墙策略配置信息；
36.若该目标防火墙策略配置信息中的防火墙策略数量满足预设策略压缩条件，则对该目标防火墙策略配置信息中的防火墙策略进行压缩。
37.第四方面，本技术还提供了一种计算机可读存储介质。该计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以下步骤：
38.利用第一接口获取防火墙策略配置信息，利用第二接口获取各防火墙的防火墙信息；
39.根据各该防火墙的防火墙信息，确定各该防火墙的防火墙策略配置信息；
40.根据用户输入的目标防火墙标识和各该防火墙所对应的防火墙策略配置信息，确定目标防火墙标识对应的目标防火墙的目标防火墙策略配置信息；
41.若该目标防火墙策略配置信息中的防火墙策略数量满足预设策略压缩条件，则对该目标防火墙策略配置信息中的防火墙策略进行压缩。
42.第五方面，本技术还提供了一种计算机程序产品。该计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现以下步骤：
43.利用第一接口获取防火墙策略配置信息，利用第二接口获取各防火墙的防火墙信息；
44.根据各该防火墙的防火墙信息，确定各该防火墙的防火墙策略配置信息；
45.根据用户输入的目标防火墙标识和各该防火墙所对应的防火墙策略配置信息，确定目标防火墙标识对应的目标防火墙的目标防火墙策略配置信息；
46.若该目标防火墙策略配置信息中的防火墙策略数量满足预设策略压缩条件，则对该目标防火墙策略配置信息中的防火墙策略进行压缩。
47.上述策略压缩方法、装置、设备、存储介质和计算机程序产品，利用第一接口获取防火墙策略配置信息，利用第二接口获取各防火墙的防火墙信息，根据各防火墙的防火墙信息，确定各防火墙的防火墙策略配置信息，根据用户输入的目标防火墙标识和各防火墙所对应的防火墙策略配置信息，确定目标防火墙标识对应的目标防火墙的目标防火墙策略配置信息，若目标防火墙策略配置信息中的防火墙策略数量满足预设策略压缩条件，则对目标防火墙策略配置信息中的防火墙策略进行压缩。而传统技术中，并没有对防火墙策略配置信息中的防火墙策略进行压缩，若在使用过程中防火墙策略数量临近或超过云虚拟防火墙所能接受的策略上限，云虚拟软件防火墙则会达到性能瓶颈，从而影响云虚拟软件防火墙的正常使用。而本技术对满足预设策略压缩条件的防火墙策略进行策略压缩，延长了软件防火墙的生命周期。
附图说明
48.图1是本技术实施例中提供的一种计算机设备的内部结构图；
49.图2是本技术实施例提供的策略压缩方法的流程示意图之一；
50.图3是本技术实施例提供的一种防火墙策略输出方法的流程示意图；
51.图4是本技术实施例提供的策略压缩方法的流程示意图之二；
52.图5是本技术实施例提供的一种策略压缩装置的结构框图。
具体实施方式
53.为了使本技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本技术进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本技术，并不
用于限定本技术。
54.本技术提供的实施例可以应用于如图1所示的计算机设备上，参照图1，图1是本技术实施例中提供的计算机设备的内部结构图。该计算机设备可以是终端。该计算机设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信，无线方式可通过wifi、移动蜂窝网络、nfc(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种资源伸缩方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏，该计算机设备的输入装置可以是显示屏上覆盖的触摸层，也可以是计算机设备外壳上设置的按键、轨迹球或触控板，还可以是外接的键盘、触控板或鼠标等。
55.本领域技术人员可以理解，图1中示出的结构，仅仅是与本技术方案相关的部分结构的框图，并不构成对本技术方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。
56.在一个实施例中，如图2所示，图2是本技术实施例提供的策略压缩方法的流程示意图之一，以该方法应用于图1中的计算机设备为例进行说明，包括以下步骤：
57.s201，利用第一接口获取防火墙策略配置信息，利用第二接口获取各防火墙的防火墙信息。
58.其中，第一接口表示的是获取防火墙策略配置信息的规则应用程序编程接口(application programming interface，api)，第二接口是获取防火墙信息的防火墙信息api接口。
59.具体的，利用第一接口获取防火墙策略配置信息，防火墙策略配置信息包括：策略五元组、策略动作、策略描述以及资源域(region)。利用第二接口获取各防火墙的防火墙信息，此处的防火墙信息是所有资源域下的防火墙信息。
60.s202，根据各防火墙的防火墙信息，确定各防火墙的防火墙策略配置信息。
61.由于利用第一接口获取的防火墙策略配置信息，利用第二接口获取的各防火墙的防火墙信息是独立存在的，不利于后续的压缩处理，因此本技术实施例通过根据各防火墙的防火墙信息，确定各防火墙的防火墙策略配置信息。
62.s203，根据用户输入的目标防火墙标识和各防火墙所对应的防火墙策略配置信息，确定目标防火墙标识对应的目标防火墙的目标防火墙策略配置信息。
63.其中，目标防火墙标识表示的是用户输入的防火墙标识。
64.具体的，用户输入需要进行策略压缩的目标防火墙信息标识，根据目标防火墙标识和各防火墙所对应的防火墙策略配置信息，确定目标防火墙标识对应的目标防火墙的目标防火墙策略配置信息。例如表1所示，表1是防火墙配置信息中的五元组信息，该五元组信息包括了协议、源地址、源端口范围、目的地址以及目的端口范围、除了表1给出的防火墙策略配置信息之外，防火墙策略配置信息还可以包括方向、状态、动作、描述、防火墙名称、防火墙id以及资源域。根据目的端口的不同，确定不同的防火墙策略。表1中第二行的策略配置信息与第三行的防火墙策略配置信息除目的端口外其余信息都相同，从表面上看是两条
防火墙策略。但由于两列防火墙策略配置信息中一共有8个目的端口，因而在软件防火墙的内部逻辑中被看作共有8条防火墙策略。
65.表1
[0066][0067]
s204，若目标防火墙策略配置信息中的防火墙策略数量满足预设策略压缩条件，则对目标防火墙策略配置信息中的防火墙策略进行压缩。
[0068]
结合上述表1中的举例介绍，传统技术中，若当前的8条防火墙策略达到防火墙策略上限数值，则会导致软件防火墙由于达到性能瓶颈，影响软件防火墙的寿命。而本技术实施例中若目标防火墙策略配置信息中的防火墙策略数量满足预设策略压缩条件，则对目标防火墙策略配置信息中的防火墙策略进行压缩，从而实现降低目标防火墙策略配置信息中的防火墙策略的数量，延长软件防火墙的生命周期。
[0069]
具体的，检测目标防火墙策略配置信息中的防火墙策略数量，若该防火墙策略数量满足预设策略压缩条件，则对目标防火墙策略配置信息中的防火墙策略进行压缩。例如，可以设置一个阈值，若防火墙策略数量大于或等于该阈值，则对该防火墙策略进行压缩。以表1给出的防火墙策略配置信息为例，将预设策略压缩条件的阈值设置为8，表1中给出的防火墙策略配置信息中目的端口有8个，由于每个目的端口对应一条防火墙策略，所以表1中给出的防火墙策略也是8条，满足预设策略压缩条件，此时需要对表1中的防火墙策略进行压缩。
[0070]
本技术实施例提供的策略压缩方法，通过利用第一接口获取防火墙策略配置信息，利用第二接口获取各防火墙的防火墙信息，根据各防火墙的防火墙信息，确定各防火墙的防火墙策略配置信息，根据用户输入的目标防火墙标识和各防火墙所对应的防火墙策略配置信息，确定目标防火墙标识对应的目标防火墙的目标防火墙策略配置信息，若目标防火墙策略配置信息中的防火墙策略数量满足预设策略压缩条件，则对目标防火墙策略配置信息中的防火墙策略进行压缩。使得软件防火墙可以继续使用，延长了软件防火墙的生命周期。
[0071]
在其中一个实施例中，若防火墙信息包括策略标识，则上述s202根据各防火墙的防火墙信息，确定各防火墙的防火墙策略配置信息，包括：
[0072]
根据各防火墙的防火墙信息中的策略标识、策略标识所关联的防火墙策略配置信息中的规则标识，确定各防火墙的防火墙策略配置信息。
[0073]
其中，规则标识表示的是防火墙策略配置信息中的策略规则的标识。
[0074]
例如，若用户输入的防火墙标识对应的防火墙信息中包括策略标识policy_id，则根据该防火墙信息中的策略标识policy_id与对应的防火墙策略配置信息中的规则标识rule_id的关联信息，确定该防火墙的防火墙策略配置信息。
[0075]
本实施例中，若防火墙信息包括策略标识，则根据各防火墙的防火墙信息中的策
略标识、策略标识所关联的防火墙策略配置信息中的规则标识，确定各防火墙的防火墙策略配置信息，进而能够根据各防火墙的防火墙策略配置信息，确定目标防火墙标识对应的目标防火墙的目标防火墙策略配置信息，以对目标防火墙策略配置信息中的防火墙策略进行压缩，实现延长软件防火墙的生命周期。
[0076]
在其中一个实施例中，若目标防火墙为新创建的防火墙，由于新创建的防火墙的防火墙信息中不包括策略标识，因此，为了确定新创建的防火墙的防火墙策略配置信息，本技术实施例在上述s202根据各所述防火墙的防火墙信息，确定各所述防火墙的防火墙策略配置信息之前，还可以包括如下步骤：
[0077]
利用第三接口获取各子网网段的防火墙策略配置信息；
[0078]
对应地，若防火墙信息包括子网网段标识，则上述s202根据各防火墙的防火墙信息，确定各防火墙的防火墙策略配置信息，包括：
[0079]
根据各防火墙的防火墙信息中的子网网段标识、利用第三接口获取的各子网网段的防火墙策略配置信息，确定各防火墙的防火墙策略配置信息。
[0080]
其中，第三接口表示的是api接口，获取的是各子网网段的防火墙策略配置信息。
[0081]
具体的，利用第三接口获取各子网网段的防火墙策略配置信息，该防火墙策略配置信息中包括了与子网网段标识相关联的network_id，因此，根据上述防火墙策略配置信息中的network id与子网网段标识，能够确定该防火墙的防火墙策略配置信息。
[0082]
例如，如表2所示，获取的各子网网段的防火墙策略配置信息包括子网网段a的防火墙策略配置信息1、子网网段b的防火墙策略配置信息2、子网网段c的防火墙策略配置信息3、子网网段d的防火墙策略配置信息4。若防火墙信息1包括子网网段a和子网网段b，则根据下表2可以确定防火墙1对应的防火墙策略配置信息包括防火墙策略配置信息1和防火墙策略配置信息2；防火墙信息2包括子网网段c和子网网段d，则根据下表2可以确定防火墙2对应的防火墙策略配置信息包括防火墙策略配置信息3和防火墙策略配置信息4。
[0083]
表2
[0084][0085]
本实施例中，若目标防火墙为新创建的防火墙，由于新创建的防火墙的防火墙信息中不包括策略标识，因此，为了确定新创建的防火墙的防火墙策略配置信息，利用第三接口获取的各子网网段的防火墙策略配置信息，确定各防火墙的防火墙策略配置信息，进而能够根据各防火墙的防火墙策略配置信息，确定目标防火墙标识对应的目标防火墙的目标防火墙策略配置信息，以对目标防火墙策略配置信息中的防火墙策略进行压缩，实现延长软件防火墙的生命周期。
[0086]
在其中一个实施例中，上述s204若目标防火墙策略配置信息中的防火墙策略数量满足预设策略压缩条件，则对目标防火墙策略配置信息中的防火墙策略进行压缩，可以通
过如下方式实现：
[0087]
若目标防火墙策略配置信息中的防火墙策略数量大于等于第一预设策略数量阈值，则对目标防火墙策略配置信息中的防火墙策略进行压缩；
[0088]
其中，压缩后的目标防火墙策略配置信息中的防火墙策略的防火墙策略数量小于第一预设策略数量阈值。
[0089]
例如，以表1为例，设第一预设策略数量阈值为8条，则表1中的防火墙策略等于第一预设策略数量阈值8条，则对该防火墙策略进行压缩，压缩之后得到的该防火墙策略数量为6条，小于第一预设策略数量阈值。
[0090]
本实施例中，通过设置第一预设策略数量阈值，将目标防火墙策略配置信息中的防火墙策略数量与第一预设策略数量阈值进行比较，若目标防火墙策略配置信息中的防火墙策略数量大于等于第一预设策略数量阈值，则对目标防火墙策略配置信息中的防火墙策略进行压缩，由于只对满足防火墙策略数量大于等于第一预设策略数量阈值的条件的防火墙策略进行压缩，在最终输出结果中降低了达到性能瓶颈的防火墙策略的数量。
[0091]
在其中一个实施例中，上述s204若目标防火墙策略配置信息中的防火墙策略数量满足预设策略压缩条件，则对目标防火墙策略配置信息中的防火墙策略进行压缩，还可以通过以下方式实现：
[0092]
若目标防火墙策略配置信息中的防火墙策略数量与第二预设策略数量阈值的差值小于等于预设差值，则对目标防火墙策略配置信息中的防火墙策略进行压缩。
[0093]
例如，设第二预设策略数量阈值为9条，预设差值为2，以表1为例，表1中的防火墙策略数量为8条，与第二预设策略数量阈值的差值为1，小于预设差值，则对表1中的防火墙策略进行压缩，压缩之后的表1中防火墙策略数量为6条。
[0094]
本实施例中，通过设置第二预设策略数量阈值与预设差值，将目标防火墙策略配置信息中的防火墙策略数量与第二预设策略数量阈值的差值，与预设差值进行比较，若该差值小于等于预设差值，则对目标防火墙策略配置信息中的防火墙策略进行压缩。由于只对与第二预设策略数量阈值的差值相比较，小于等于预设差值的防火墙策略进行压缩，对不满足上述条件的防火墙策略不进行策略压缩，在最终输出结果中降低了临近达到性能瓶颈的防火墙策略的数量。
[0095]
图3是本技术实施例提供的一种防火墙策略输出方法的流程示意图，本实施例涉及的是对目标防火墙策略配置信息中的防火墙策略进行压缩之后，上述策略压缩方法可以包括：
[0096]
s301，将压缩后的目标防火墙策略配置信息中的防火墙策略与压缩前的目标防火墙策略配置信息中的防火墙策略进行比对得到比对结果。
[0097]
具体的，将压缩后的目标防火墙策略配置信息中的防火墙策略与压缩前的目标防火墙策略配置信息中的防火墙策略进行比对，是将压缩后的该防火墙策略配置信息中的五元组信息与压缩前的该防火墙策略配置信息中的五元组信息进行对比。以表1为例，对比压缩前的防火墙策略与压缩后的防火墙策略的tcp协议、源地址1.1.1.1、目的地址2.2.2.2、源端口范围1-65535以及目的端口范围1002-1007是否一致，对比之后得到对比结果。
[0098]
s302，若比对结果为比对一致，则输出压缩后的目标防火墙策略配置信息中的防火墙策略。
[0099]
具体的，以表1为例，经过上述对比之后，若对比结果为比对一致，则自动输出压缩后的目标防火墙策略配置信息中的防火墙策略，将表1中的防火墙策略进行策略压缩之后，得到压缩后的防火墙策略配置信息，关键信息如表3所示：
[0100]
表3
[0101]
源地址目的地址服务类型目的端口1.1.1.12.2.2.2tcp10021.1.1.12.2.2.2tcp10031.1.1.12.2.2.2tcp10041.1.1.12.2.2.2tcp10051.1.1.12.2.2.2tcp10061.1.1.12.2.2.2tcp1007
[0102]
在本实施例中，将压缩后的目标防火墙策略配置信息中的防火墙策略与压缩前的目标防火墙策略配置信息中的防火墙策略进行比对得到比对结果，若比对结果为比对一致，则输出压缩后的目标防火墙策略配置信息中的防火墙策略。传统技术中需要人工进行输出防火墙策策略，在本实施例中，将压缩后的目标防火墙策略配置信息中的防火墙策略与压缩前的目标防火墙策略配置信息中的防火墙策略进行比对得到比对结果，若比对结果为比对一致，则实现自动化输出压缩后的防火墙策略，无需人工操作，提高了防火墙的运维效率，降低了人工成本。
[0103]
图4是本技术实施例提供的策略压缩方法的流程示意图之二，本实施例涉及的是若目标防火墙策略配置信息中的防火墙策略数量满足预设策略压缩条件，则对目标防火墙策略配置信息中的防火墙策略进行压缩的一种可能的实现方式，在上述实施例的基础上，如图4所示，上述s204包括：
[0104]
s401，若目标防火墙策略配置信息中的防火墙策略数量满足预设策略压缩条件，则将目标防火墙策略配置信息中的具有多个目的端口标识的同一行策略配置信息，按照多个目的端口标识分离出对应的多条防火墙策略。
[0105]
具体的，以表1为例，若表1中的防火墙策略数量满足预设压缩条件，则将表1中具有多个目的端口标识的同一行策略配置信息，按照多个目的端口标识分离出对应的多条防火墙策略。表1中的目的端口共有8个，则根据该目的端口分离出8条防火墙策略。
[0106]
s402，对分离出的具有相同目的端口标识的多条防火墙策略进行合并处理，以对目标防火墙策略配置信息中的防火墙策略进行压缩。
[0107]
具体的，以表1为例，从表1中可以看出，表1的两行防火墙策略配置信息中，除目的端口之外，其余信息均相同，第二行的防火墙策略配置信息中目的端口包括了1002、1003、1004，第三行的防火墙策略配置信息中目的端口包括了1002、1003、1005、1006、1007，则根据相同的目的端口将第二行的目的端口为1002的防火墙策略，与第三行的目的端口为1002的防火墙策略进行合并处理，合并为一条防火墙策略。将第三行的目的端口为1003的防火墙策略，与第三行的目的端口为1003的防火墙策略进行合并处理，合并为一条防火墙策略。合并处理后的防火墙策略配置信息中目的端口有1002、1003、1004、1005、1006、1007，则对应的防火墙策略合并之后为6条，对比原有的防火墙策略数量减少了两条。
[0108]
本实施例中，若目标防火墙策略配置信息中的防火墙策略数量满足预设策略压缩
条件，则将目标防火墙策略配置信息中的具有多个目的端口标识的同一行策略配置信息，按照多个目的端口标识分离出对应的多条防火墙策略，对分离出的具有相同目的端口标识的多条防火墙策略进行合并处理，以对目标防火墙策略配置信息中的防火墙策略进行压缩。由于通过合并处理对满足预设策略压缩条件的防火墙进行了压缩，在最终输出结果中降低了防火墙策略数量，延长了软件防火墙的生命周期。
[0109]
应该理解的是，虽然如上的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
[0110]
基于同样的发明构思，本技术实施例还提供了一种用于实现上述所涉及的策略压缩方法的策略压缩装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似，故下面所提供的一个或多个策略压缩装置实施例中的具体限定可以参见上文中对于策略压缩方法的限定，在此不再赘述。
[0111]
在一个实施例中，如图5所示，提供了一种策略压缩装置500，包括：第一获取模块501、第一确定模块502、第二确定模块503和压缩模块504，其中：
[0112]
第一获取模块501，用于利用第一接口获取防火墙策略配置信息，利用第二接口获取各防火墙的防火墙信息。
[0113]
第一确定模块502，用于根据各防火墙的防火墙信息，确定各防火墙的防火墙策略配置信息。
[0114]
第二确定模块503，用于根据用户输入的目标防火墙标识和各防火墙所对应的防火墙策略配置信息，确定目标防火墙标识对应的目标防火墙的目标防火墙策略配置信息。
[0115]
压缩模块504，用于若目标防火墙策略配置信息中的防火墙策略数量满足预设策略压缩条件，则对目标防火墙策略配置信息中的防火墙策略进行压缩。
[0116]
在其中一个实施例中，若防火墙信息包括策略标识，则第一确定模块502具体用于根据各防火墙的防火墙信息中的策略标识、策略标识所关联的防火墙策略配置信息中的规则标识，确定各防火墙的防火墙策略配置信息。
[0117]
在其中一个实施例中，策略压缩装置500还包括：
[0118]
第二获取模块，用于利用第三接口获取各子网网段的防火墙策略配置信息。
[0119]
在其中一个实施例中，第一确定模块502具体用于根据各防火墙的防火墙信息中的子网网段标识、利用第三接口获取的各子网网段的防火墙策略配置信息，确定各防火墙的防火墙策略配置信息。
[0120]
在其中一个实施例中，压缩模块504具体用于若目标防火墙策略配置信息中的防火墙策略数量大于等于第一预设策略数量阈值，则对目标防火墙策略配置信息中的防火墙策略进行压缩；其中，压缩后的目标防火墙策略配置信息中的防火墙策略的防火墙策略数量小于第一预设策略数量阈值。
[0121]
在其中一个实施例中，压缩模块504具体用于若目标防火墙策略配置信息中的防
火墙策略数量与第二预设策略数量阈值的差值小于等于预设差值，则对目标防火墙策略配置信息中的防火墙策略进行压缩。
[0122]
在其中一个实施例中，策略压缩装置500还包括：
[0123]
比对模块，用于将压缩后的目标防火墙策略配置信息中的防火墙策略与压缩前的目标防火墙策略配置信息中的防火墙策略进行比对得到比对结果；
[0124]
输出模块，用于若比对结果为比对一致，则输出压缩后的目标防火墙策略配置信息中的防火墙策略。
[0125]
在其中一个实施例中，压缩模块504包括：
[0126]
分离单元，用于若目标防火墙策略配置信息中的防火墙策略数量满足预设策略压缩条件，则将目标防火墙策略配置信息中的具有多个目的端口标识的同一行策略配置信息，按照多个目的端口标识分离出对应的多条防火墙策略。
[0127]
合并单元，用于对分离出的具有相同目的端口标识的多条防火墙策略进行合并处理，以对目标防火墙策略配置信息中的防火墙策略进行压缩。
[0128]
上述策略压缩装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
[0129]
在一个实施例中，提供了一种计算机设备，包括存储器和处理器，存储器中存储有计算机程序，该处理器执行计算机程序时实现以下步骤：
[0130]
步利用第一接口获取防火墙策略配置信息，利用第二接口获取各防火墙的防火墙信息；
[0131]
根据各防火墙的防火墙信息，确定各防火墙的防火墙策略配置信息；
[0132]
根据用户输入的目标防火墙标识和各防火墙所对应的防火墙策略配置信息，确定目标防火墙标识对应的目标防火墙的目标防火墙策略配置信息；
[0133]
若目标防火墙策略配置信息中的防火墙策略数量满足预设策略压缩条件，则对目标防火墙策略配置信息中的防火墙策略进行压缩。
[0134]
在一个实施例中，处理器执行计算机程序时还实现以下步骤：
[0135]
根据各防火墙的防火墙信息中的策略标识、策略标识所关联的防火墙策略配置信息中的规则标识，确定各防火墙的防火墙策略配置信息。在一个实施例中，处理器执行计算机程序时还实现以下步骤：
[0136]
利用第三接口获取各子网网段的防火墙策略配置信息。
[0137]
在一个实施例中，处理器执行计算机程序时还实现以下步骤：
[0138]
根据各防火墙的防火墙信息中的子网网段标识、利用第三接口获取的各子网网段的防火墙策略配置信息，确定各防火墙的防火墙策略配置信息。
[0139]
在一个实施例中，处理器执行计算机程序时还实现以下步骤：
[0140]
若目标防火墙策略配置信息中的防火墙策略数量大于等于第一预设策略数量阈值，则对目标防火墙策略配置信息中的防火墙策略进行压缩；
[0141]
其中，压缩后的目标防火墙策略配置信息中的防火墙策略的防火墙策略数量小于第一预设策略数量阈值。
[0142]
在一个实施例中，处理器执行计算机程序时还实现以下步骤：
[0143]
若目标防火墙策略配置信息中的防火墙策略数量与第二预设策略数量阈值的差值小于等于预设差值，则对目标防火墙策略配置信息中的防火墙策略进行压缩。
[0144]
在一个实施例中，处理器执行计算机程序时还实现以下步骤：
[0145]
将压缩后的目标防火墙策略配置信息中的防火墙策略与压缩前的目标防火墙策略配置信息中的防火墙策略进行比对得到比对结果；
[0146]
若比对结果为比对一致，则输出压缩后的目标防火墙策略配置信息中的防火墙策略。
[0147]
在一个实施例中，处理器执行计算机程序时还实现以下步骤：
[0148]
若目标防火墙策略配置信息中的防火墙策略数量满足预设策略压缩条件，则将目标防火墙策略配置信息中的具有多个目的端口标识的同一行策略配置信息，按照多个目的端口标识分离出对应的多条防火墙策略；
[0149]
对分离出的具有相同目的端口标识的多条防火墙策略进行合并处理，以对目标防火墙策略配置信息中的防火墙策略进行压缩。
[0150]
在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现以下步骤：
[0151]
利用第一接口获取防火墙策略配置信息，利用第二接口获取各防火墙的防火墙信息；
[0152]
根据各防火墙的防火墙信息，确定各防火墙的防火墙策略配置信息；
[0153]
根据用户输入的目标防火墙标识和各防火墙所对应的防火墙策略配置信息，确定目标防火墙标识对应的目标防火墙的目标防火墙策略配置信息；
[0154]
若目标防火墙策略配置信息中的防火墙策略数量满足预设策略压缩条件，则对目标防火墙策略配置信息中的防火墙策略进行压缩。
[0155]
在一个实施例中，计算机程序被处理器执行时还实现以下步骤：
[0156]
根据各防火墙的防火墙信息中的策略标识、策略标识所关联的防火墙策略配置信息中的规则标识，确定各防火墙的防火墙策略配置信息。在一个实施例中，计算机程序被处理器执行时还实现以下步骤：
[0157]
利用第三接口获取各子网网段的防火墙策略配置信息。
[0158]
在一个实施例中，计算机程序被处理器执行时还实现以下步骤：
[0159]
根据各防火墙的防火墙信息中的子网网段标识、利用第三接口获取的各子网网段的防火墙策略配置信息，确定各防火墙的防火墙策略配置信息。
[0160]
在一个实施例中，计算机程序被处理器执行时还实现以下步骤：
[0161]
若目标防火墙策略配置信息中的防火墙策略数量大于等于第一预设策略数量阈值，则对目标防火墙策略配置信息中的防火墙策略进行压缩；
[0162]
其中，压缩后的目标防火墙策略配置信息中的防火墙策略的防火墙策略数量小于第一预设策略数量阈值。
[0163]
在一个实施例中，计算机程序被处理器执行时还实现以下步骤：
[0164]
若目标防火墙策略配置信息中的防火墙策略数量与第二预设策略数量阈值的差值小于等于预设差值，则对目标防火墙策略配置信息中的防火墙策略进行压缩。
[0165]
在一个实施例中，计算机程序被处理器执行时还实现以下步骤：
[0166]
将压缩后的目标防火墙策略配置信息中的防火墙策略与压缩前的目标防火墙策略配置信息中的防火墙策略进行比对得到比对结果；
[0167]
若比对结果为比对一致，则输出压缩后的目标防火墙策略配置信息中的防火墙策略。
[0168]
在一个实施例中，计算机程序被处理器执行时还实现以下步骤：
[0169]
若目标防火墙策略配置信息中的防火墙策略数量满足预设策略压缩条件，则将目标防火墙策略配置信息中的具有多个目的端口标识的同一行策略配置信息，按照多个目的端口标识分离出对应的多条防火墙策略；
[0170]
对分离出的具有相同目的端口标识的多条防火墙策略进行合并处理，以对目标防火墙策略配置信息中的防火墙策略进行压缩。
[0171]
在一个实施例中，提供了一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现以下步骤：
[0172]
利用第一接口获取防火墙策略配置信息，利用第二接口获取各防火墙的防火墙信息；
[0173]
根据各防火墙的防火墙信息，确定各防火墙的防火墙策略配置信息；
[0174]
根据用户输入的目标防火墙标识和各防火墙所对应的防火墙策略配置信息，确定目标防火墙标识对应的目标防火墙的目标防火墙策略配置信息；
[0175]
若目标防火墙策略配置信息中的防火墙策略数量满足预设策略压缩条件，则对目标防火墙策略配置信息中的防火墙策略进行压缩。
[0176]
在一个实施例中，计算机程序被处理器执行时还实现以下步骤：
[0177]
根据各防火墙的防火墙信息中的策略标识、策略标识所关联的防火墙策略配置信息中的规则标识，确定各防火墙的防火墙策略配置信息。
[0178]
在一个实施例中，计算机程序被处理器执行时还实现以下步骤：
[0179]
利用第三接口获取各子网网段的防火墙策略配置信息。
[0180]
在一个实施例中，计算机程序被处理器执行时还实现以下步骤：
[0181]
根据各防火墙的防火墙信息中的子网网段标识、利用第三接口获取的各子网网段的防火墙策略配置信息，确定各防火墙的防火墙策略配置信息。
[0182]
在一个实施例中，计算机程序被处理器执行时还实现以下步骤：
[0183]
若目标防火墙策略配置信息中的防火墙策略数量大于等于第一预设策略数量阈值，则对目标防火墙策略配置信息中的防火墙策略进行压缩；
[0184]
其中，压缩后的目标防火墙策略配置信息中的防火墙策略的防火墙策略数量小于第一预设策略数量阈值。
[0185]
在一个实施例中，计算机程序被处理器执行时还实现以下步骤：
[0186]
若目标防火墙策略配置信息中的防火墙策略数量与第二预设策略数量阈值的差值小于等于预设差值，则对目标防火墙策略配置信息中的防火墙策略进行压缩。
[0187]
在一个实施例中，计算机程序被处理器执行时还实现以下步骤：
[0188]
将压缩后的目标防火墙策略配置信息中的防火墙策略与压缩前的目标防火墙策略配置信息中的防火墙策略进行比对得到比对结果；
[0189]
若比对结果为比对一致，则输出压缩后的目标防火墙策略配置信息中的防火墙策
略。
[0190]
在一个实施例中，计算机程序被处理器执行时还实现以下步骤：
[0191]
若目标防火墙策略配置信息中的防火墙策略数量满足预设策略压缩条件，则将目标防火墙策略配置信息中的具有多个目的端口标识的同一行策略配置信息，按照多个目的端口标识分离出对应的多条防火墙策略；
[0192]
对分离出的具有相同目的端口标识的多条防火墙策略进行合并处理，以对目标防火墙策略配置信息中的防火墙策略进行压缩。
[0193]
需要说明的是，本技术所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等)，均为经用户授权或者经过各方充分授权的信息和数据。
[0194]
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(read-only memory，rom)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(reram)、磁变存储器(magnetoresistive random access memory，mram)、铁电存储器(ferroelectric random access memory，fram)、相变存储器(phase change memory，pcm)、石墨烯存储器等。易失性存储器可包括随机存取存储器(random access memory，ram)或外部高速缓冲存储器等。作为说明而非局限，ram可以是多种形式，比如静态随机存取存储器(static random access memory，sram)或动态随机存取存储器(dynamic random access memory，dram)等。本技术所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等，不限于此。本技术所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等，不限于此。
[0195]
以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
[0196]
以上所述实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本技术专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术的保护范围应以所附权利要求为准。