防火牆策略生成裝置及系統的製作方法

2023-05-27 12:35:46

專利名稱：：防火牆策略生成裝置及系統的製作方法
技術領域：
：本實用新型涉及計算機網絡安全
技術領域：
，特別地，涉及一種防火牆策略生成裝置及系統。
背景技術：
：目前，銀行數據中心部署防火牆、實施防火牆策略的工作越來越多。據初步統計，一個銀行數據中心的防火牆策略變更數量佔該銀行數據中心總變更數量的40%以上。由於目前防火牆策略變更步驟的編寫、實施是工作人員依據防火牆策略申請表手動操作完成的，因此，編寫、實施大量防火牆策略變更步驟不僅工作量巨大，而且容易出錯。一旦出錯就會影響銀行網絡的正常運行，影響銀行業務的正常運行。為此，相關行業一直在研究防火牆策略的自動化維護技術，但是都沒有取得實質性進展，主要原因在於由於防火牆策略表現為源IP位址、目的IP位址和策略埠(即服務)三重緯度，每個緯度的元素都有多種表現形式，因此這三重緯度綜合表現形式就是一個天文數字，同時防火牆策略生成步驟編寫又需要依賴人工的運維經驗，依賴人工的參與和判斷，因此，目前的防火牆策略生成技術存在操作複雜、準確度較低的問題。
實用新型內容本實用新型實施例的主要目的在於提供一種防火牆策略生成裝置及系統，以解決現有技術中的防火牆策略生成技術存在的操作複雜、準確度較低的問題。為了實現上述目的，本實用新型實施例提供一種防火牆策略生成裝置，裝置包括存儲單元，存儲地址區域關係表和區域與策略關係表；需求信息接收單元，接收包含需求源地址、需求目的地址和需求服務類型的策略需求信息；區域獲取單元，與需求信息接收單元和存儲單元連接，根據需求源地址和需求目的地址從地址區域關係表中獲取源伺服器和目的伺服器所在的區域；區域策略獲取單元，與區域獲取單元和存儲單元連接，根據源伺服器和目的伺服器所在的區域從區域與策略關係表中獲取源伺服器和目的伺服器所在區域對應的包含策略源地址、策略目的地址和策略服務類型的區域策略信息；邏輯運算單元，與需求信息接收單元和區域獲取單元連接，將需求源地址與策略源地址進行邏輯運算生成源地址邏輯結果，將需求目的地址與策略目的地址進行邏輯運算生成目的地址邏輯結果，將需求服務類型與策略服務類型進行邏輯運算生成服務類型邏輯結果；防火牆策略生成單元，與邏輯運算單元連接，根據源地址邏輯結果、目的地址邏輯結果和服務類型邏輯結果生成防火牆策略。具體地，上述防火牆策略生成單元包括第一防火牆策略生成模塊，與邏輯運算單元連接，在源地址邏輯結果為策略源地址與需求源地址有交集，目的地址邏輯結果為策略目的地址與需求目的地址有交集，服務類型邏輯結果為策略服務類型與需求服務類型有交集，根據策略需求信息在區域策略信息中增加新的策略；第二防火牆策略生成模塊，與邏輯運算單元連接，在源地址邏輯結果為策略源地址與需求源地址相同，目的地址邏輯結果為策略目的地址與需求目的地址相同，服務類型邏輯結果為策略服務類型與需求服務類型有交集，根據策略需求信息在區域策略信息中增加新的服務類型；第三防火牆策略生成模塊，與邏輯運算單元連接，在源地址邏輯結果為策略源地址與需求源地址相同，目的地址邏輯結果為策略目的地址與需求目的地址有交集，服務類型邏輯結果為策略服務類型與需求服務類型相同，根據策略需求信息在區域策略信息中增加新的目的地址；第四防火牆策略生成模塊，與邏輯運算單元連接，在源地址邏輯結果為策略源地址與需求源地址有交集，目的地址邏輯結果為策略目的地址與需求目的地址相同，服務類型邏輯結果為策略服務類型與需求服務類型相同，根據策略需求信息在區域策略信息中增加新的源地址。上述裝置還包括策略更新單元，與防火牆策略生成單元和區域獲取單元連接，將防火牆策略生成單元生成的防火牆策略更新到存儲單元存儲的區域與策略關係表中。本實用新型實施例還提供一種防火牆策略生成系統，該系統包括上述的防火牆策略生成裝置。藉助於上述技術方案至少之一，通過根據需求源地址和需求目的地址從地址區域關係表中確定源伺服器和目的伺服器所在的區域，然後根據源伺服器和目的伺服器所在的區域從區域與策略關係表中確定區域策略信息，進而將需求源地址與策略源地址、需求目的地址與策略目的地址、需求服務類型與策略服務類型分別進行邏輯運算，之後根據邏輯運算結果生成防火牆策略，該生成防火牆策略的方案實現較簡單並且準確度較高。為了更清楚地說明本實用新型實施例或現有技術中的技術方案，下面將對實施例描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本實用新型的一些實施例，對於本領域普通技術人員來講，在不付出創造性勞動性的前提下，還可以根據這些附圖獲得其他的附圖。圖1是根據本實用新型實施例的防火牆策略生成方法的流程圖；圖2是根據本實用新型實施例的數位化處理過程中multiple-communication的一個示意圖；圖3是現有技術中的一種網絡結構的示意圖；圖4是根據本實用新型實施例的防火牆策略生成方法的詳細流程圖；圖5是根據本實用新型實施例生成的防火牆策略清單；圖6是根據本實用新型實施例的防火牆策略生成裝置的結構框圖；圖7是根據本實用新型實施例的防火牆策略生成裝置中防火牆策略生成單元605的結構框圖；圖8是根據本實用新型實施例的防火牆策略生成裝置的具體結構框圖；圖9是根據本實用新型實施例的防火牆策略生成系統的結構示意圖；圖10是根據本實用新型實施例的防火牆虛擬機策略匹配和現有技術中的防火牆引擎策略匹配的示意圖。具體實施方式下面將結合本實用新型實施例中的附圖，對本實用新型實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本實用新型一部分實施例，而不是全部的實施例。基於本實用新型中的實施例，本領域普通技術人員在沒有作出創造性勞動前提下所獲得的所有其他實施例，都屬於本實用新型保護的範圍。本實用新型實施例提供一種防火牆策略生成裝置及系統。以下結合附圖對本實用新型進行詳細說明。首先，定義以下實施例中出現的術語防火牆(firewall)—個由軟體和硬體設備組合而成、在內部網和外部網之間、專用網與公共網之間的邊界上構造的保護屏障；防火牆策略(policy)控制流量訪問的一些規則；變更對網絡設備或者應用系統做的調整；地址(address)—個host地址或者子網地址；地址組(groupaddress)多個address的集合；服務(service)某種協議某種埠的訪問，例如tcp4100埠；服務組(groupservice)多個服務的集合；日程(scheduler)防火牆策略有效的時間範圍；區域(zone)防火牆隔離的不同網絡，例如內網和外網分別可以作為一個區域；需求狀態(action)需求信息中的訪問控制狀態，包括開通狀態(permit)或者拒絕狀態(deny)；策略狀態(action)區域與策略關係表中的策略狀態，包括開通狀態(permit)或者拒絕狀態(deny)。實施例一步驟101，接收包含需求源地址、需求目的地址、需求服務類型和需求狀態的策略需求信息；步驟102，根據需求源地址和需求目的地址從預存的地址區域關係表中獲取源伺服器和目的伺服器所在的區域；步驟103，根據源伺服器和目的伺服器所在的區域從預存的區域與策略關係表中獲取源伺服器和目的伺服器所在區域對應的包含策略源地址、策略目的地址、策略服務類型和策略狀態的區域策略信息；步驟104，將需求源地址與策略源地址進行邏輯運算生成源地址邏輯結果，將需求目的地址與策略目的地址進行邏輯運算生成目的地址邏輯結果，將需求服務類型與策略服務類型進行邏輯運算生成服務類型邏輯結果，將需求狀態與策略狀態進行比較生成狀態比較結果；步驟105，根據源地址邏輯結果、目的地址邏輯結果、服務類型邏輯結果以及狀態比較結果生成防火牆策略。由以上描述可以看出，通過根據需求源地址和需求目的地址從地址區域關係表中確定源伺服器和目的伺服器所在的區域，然後根據源伺服器和目的伺服器所在的區域從區域與策略關係表中確定區域策略信息，進而將需求源地址與策略源地址、需求目的地址與策略目的地址、需求服務類型與策略服務類型分別進行邏輯運算、以及將需求狀態與策略狀態進行比較，之後根據邏輯運算和比較結果生成防火牆策略，相比於現有技術，通過本發明實施例生成的防火牆策略實現較簡單並且準確度較高。在執行完步驟105之後，還需要將生成的防火牆策略更新到區域與策略關係表中，以及時更新區域與策略關係表，以便後續網絡的正常工作。以下分別詳細描述上述步驟102-105。(一)步驟102根據接收的策略需求信息中的需求源地址和需求目的地址分別從預存的地址區域關係表中查找與源地址對應的源區域(即，源伺服器所在的區域)、和與目的地址對應的目的區域(即，目的伺服器所在的區域)。其中，地址區域關係表用於表示區域與地址之間的映射關係，該地址區域關係表由網絡中的路由信息、接口信息和區域信息構成。例如，區域A中包含地址為192.168.3.1和192.168.4.1的伺服器，區域B中包含地址為172.16.3.1的伺服器，則地址區域關係表可以用如下表1表示表1tableseeoriginaldocumentpage7如果從策略需求信息獲取的源地址和目的地址分別為192.168.3.1和172.16.3.1，則通過表1可知，源區域為A區域，目的區域為B區域。(二)步驟103根據源區域和目的區域在預存的區域與策略關係表獲取區域策略信息，該區域策略信息包括策略源地址、策略目的地址、策略服務類型和策略狀態。其中，區域與策略關係表用於表示區域訪問方向與策略之間的映射關係，S卩，表示區域之間訪問的策略。該區域與策略關係表按照區域的訪問方向將策略分組，如將訪問方向相同(即源目區域相同)的策略歸為一組。例如，訪問方向與策略關係表可以用如下表2表不表2tableseeoriginaldocumentpage7一般情況下，防火牆是一種作為不同區域網絡進行互聯的設備，同一個區域之間的相互訪問不經過防火牆，因此防火牆上一般不存在控制相同區域設備之間相互訪問的策略；而不同區域之間的訪問會經過防火牆，根據需求的不同，相同訪問方向也會有多條不同的策略。如果是從區域A訪問區域B，根據訪問的源地址、目的地址、服務類型以及策略狀態的不同，可能會被策略1或者策略2所決定是否能被允許通過。同一個訪問方向的多條策略之間是有優先級區分的，優先級由策略在配置中的順序決定，出現在前面的策略比出現在後面的策略的優先級高，也就是說，如果A—B訪問方向的兩條策略1和2的源地址、目的地址、服務類型完全相同(例如，都是192.168.1.1訪問172.16.1.1的http服務)，但是只有策略狀態(Action)不同，如，策略1的Action是deny，策略2的Action是permit，策略1出現在策略2前面，那麼192.168.1.1訪問172.16.1.1的http服務優先被策略1匹配，策略1的狀態為deny，則192.168.1.1訪問172.16.1.1的http服務被拒絕。(三)步驟104根據策略需求信息、以及區域策略信息確定策略匹配關係，S卩，分別將需求源地址與策略源地址、需求目的地址與策略目的地址、需求服務類型與策略服務類型進行邏輯運算、以及將需求狀態與策略狀態進行比較。具體地，將策略需求信息中的源地址、目的地址、服務類型、分別與區域策略信息中的源地址、目的地址、服務類型以集合論算法進行數位化處理，分別得到源地址邏輯結果、目的地址邏輯結果以及服務類型邏輯結果，以及將策略需求信息中的需求狀態與區域策略信息中的策略狀態進行比較生成狀態比較結果；然後根據源地址邏輯結果、目的地址邏輯結果、服務類型邏輯結果以及狀態比較結果確定策略匹配關係。上述源地址邏輯結果、目的地址邏輯結果以及服務類型邏輯結果為以下之一相離、相交、包含、相等、被包含。其中，相離是指兩個集合沒有任何交集；相交是指兩個集合存在交集，但不包括包含、相等和被包含三種情況；包含和被包含是指其中一個集合包含另一個，但不包括相等這種情況，包含和被包含關係的區別僅限於描述的主體不同；相等是指兩個集合包含的元素完全相同。狀態比較結果為相同或者不同，S卩，比較需求狀態與策略狀態這兩者是否相同。以下分別描述源地址、目的地址和服務類型以集合論算法進行數位化處理的過程。具體實施時，由於源地址與目的地址格式相同，因此，源地址和目的地址可以使用相同的比較算法來獲取邏輯結果，以下將以源地址為例說明數位化處理過程。1源地址數位化處理源地址數位化處理的主要思想是將源地址進行數位化處理，使用離散數學關於集合論的算法對數位化處理後的地址集合進行邏輯比較。這樣做既可以保證邏輯比較結果的準確性，也可以提高比較速度。具體的算法過程分為以下三步(1)數位化有序合併處理具體的利用下述公式1先將源地址(即源IP位址)用對應的十進位數值表示，每段地址使用該段地址的起始地址的數值和結束地址的數值表示，然後將多段地址進行合併，合併的時候需要把重疊的地址段做去重處理，並且使合併後的所有數值按照從小到大的順序排列，使合併後的結果對應於不同的實際地址集合是唯一的。例如，IP位址為:P3.P2.Pl.P0,則IP數值為IP數值=ΣPix(256)i公式ιi=0以表3所示的防火牆配置清單中的策略10002、以及圖2所示的multiple-communication為例來詳細描述源地址數位化處理過程。[0068]表3tableseeoriginaldocumentpage9如表3所示，配置清單中策略10002的源地址將組地址解析成地址之後，變為四段地址的集合{192.168.2.1/32，192.168.2.2/32，192.168.3.0/24，192.168.4.1/32}；根據上述公式1的數位化處理之後變為{[3232236033，3232236033]，[3232236034，3232236034],[3232236288,3232236543],[3232236545,3232236545]}；由於3232236033和3232236034為連續整數，因此，可以將[3232236033,3232236033]和[3232236034，3232236034]合併為[3232236033，3232236034]，從而有序合併之後pS={[3232236033，3232236034],[3232236288,3232236543],[3232236545,3232236545]}按照同樣的算法，對圖2中mc的需求源地址集合{192.168.1.1/32，192.168.2.1/32}進行數位化有序合併處理之後變為S={[3232235777,3232235777],[3232236033,3232236033]}(2)進行求交集運算對數位化有序合併處理後得到的集合S和pS進行求交集運算，其過程是對S和pS中的每段地址分別求交集，然後將每段交集合併在一起，這樣得到的結果就是S和pS的交集SΠpS={[3232236033,3232236033]}(3)根據交集判斷集合關係在得到S和pS的交集之後，根據交集結果判斷S和pS的集合關係由於SΠpS={[3232236033，3232236033]}，因此SΠpS與S不相等，與pS也不相等，並且不為空，由此可以推斷出S與pS的關係是相交關係，即，源地址邏輯結果為相交關係。2服務類型數位化處理防火牆配置中的服務分為預定義和用戶定義兩種。預定義服務是指ftp、http、https、telnet等常用服務，這些服務用戶使用的時候不需要定義，可以直接引用。用戶定義服務是指那些不經常使用的服務，用戶使用時需要先定義，這樣的服務通常通過tcp、udp埠來定義。服務類型數位化處理是將預定義服務的信息進行轉換，轉換後的格式和用戶定義的服務格式一致，即，協議加埠的格式。然後，採用與上述源地址數位化處理相同的方式，對轉換格式後的服務類型進行數位化有序合併處理，不同之處在於服務需要注意埠對應的協議有可能不同，數位化有序合併處理後結果需要和協議對應。如圖2所示，mc的需求服務集合為{ftp，http}，該ftp服務對應tcp協議21號埠，http服務對應tcp協議80號埠，數位化有序合併處理之後得到tcp協議的集合Sv={[21，21]，[80，80]}。類似地，如表3所示，配置清單中的策略10002的服務開通的是1352號埠，因此，策略10002的服務經過數位化有序合併處理後也得到tcp協議的集合pSv={[1352,1352]}。通過對Sv和pSv求交集運算之後，得到SvηPSv為空集，因此Sv和PSv的集合關係為相離關係，即，服務類型邏輯結果為相離關係。由以上描述可知，通過將multiple-communication的源地址S和區域策略的源地址PS進行比較，目的地址D和區域策略的目的地址pD進行比較，服務類型Sv和區域策略的服務類型PSv進行比較，分別得到了S和pS、D和pD、Sv和pSv之間的邏輯結果，從而可以得到multiple-communication和區域策略之間的策略匹配關係。具體的策略匹配關係如表4所示表4tableseeoriginaldocumentpage10[0081]tableseeoriginaldocumentpage10(四)步驟105根據上述源地址邏輯結果、目的地址邏輯結果、服務類型邏輯結果以及狀態比較結果，依據策略生成表生成防火牆策略。策略生成表用於表示上述策略匹配關係與防火牆策略之間的映射關係，該策略生成表可以由系統或者工作人員根據網絡實際情況預先生成。例如，根據網絡實際情況可以預先生成如表5所示的策略生成信息。也就是說，在執行步驟104之後，可以得出源地址邏輯結果、目的地址邏輯結果、服務邏輯以及狀態比較結果，利用這四個條件查詢表5，不同的情況給出當前策略P的權重以及生成策略的方法。如表5所示其中，策略需求信息的源地址集合為S、目的地址集合為D、服務集合為Sv；ρ為當前區域策略(以下用策略P表示)，p的源地址為pS、目的地址為pD、服務為pSv；Action是指該策略的狀態是開通/拒絕(permit/deny)。需要說明的是，策略ρ是遍歷當前訪問方向的所有策略依據表5比較之後找到權重最小的策略，權重值越小優先級越高。表5中的權重表示當前區域策略與需求策略之間的關聯程度，權重值越小，表示關聯程度越高，權重值小的策略將替代權重值大的策略成為新的策略P。該策略P是將要生成策略的參考策略，因為將要生成的策略可能是在策略ρ的基礎上追加需求信息，例如，在策略P之前或之後新增策略以滿足需求，當然還可能是策略P已經滿足了需求而無需再生成新的策略。表5tableseeoriginaldocumentpage11[0089]根據表5可知如果源地址邏輯結果為策略源地址包含需求源地址，目的地址邏輯結果為策略目的地址包含需求目的地址，服務類型邏輯結果為策略服務類型包含需求服務類型，且需求狀態與策略狀態為相同，則表示區域策略已完全滿足需求，無需生成策略；例如，對於「允許192.168.1.2訪問172.168.1.1的http服務」這樣的需求，執行步驟104之後，依據表5找到策略P，例如，該策略P為192.168.1.1和192.168.1.2允許訪問172.168.1.1的http服務，則此時可以知道「策略P已滿足需求，無需生成策略」；如果源地址邏輯結果為策略源地址與需求源地址有交集，目的地址邏輯結果為策略目的地址與需求目的地址有交集，服務類型邏輯結果為策略服務類型與需求服務類型有交集，且需求狀態與策略狀態不同，則生成的防火牆策略為根據策略需求信息在區域策略信息之前增加新的策略，這條新增策略的源地址、目的地址、服務類型和策略狀態分別對應需求信息中的源地址、目的地址、服務類型和需求狀態，這條新增策略的Action與策略ρ的Action剛好相反，這樣才能滿足需求；例如，對於「允許192.168.1.2訪問172.16.1.1的http服務」這樣的需求，執行步驟104之後，依據表5找到策略p，例如，該策略ρ為192.168.1.1和192.168.1.2拒絕訪問172.16.1.1的http服務，則此時可以知道需要「在策略P之前新增策略」，即，生成的策略為「允許192.168.1.2訪問172.16.1.1的http服務」；如果源地址邏輯結果為策略源地址與需求源地址相同，目的地址邏輯結果為策略目的地址與需求目的地址相同，服務類型邏輯結果為需求服務類型包含策略服務類型，且需求狀態與策略狀態相同，則生成的防火牆策略為根據策略需求信息在區域策略信息中增加新的服務類型，即，生成策略為「追加策略P的服務」，表示需要對區域策略P的服務進行擴大；例如，對於「允許192.168.1.2訪問172.16.1.1的http服務」這樣的需求，執行步驟104之後，依據表5找到策略p，例如，該策略ρ為192.168.1.2允許訪問172.16.1.1的ftp服務，此時可以知道將策略ρ的服務擴大為http和ftp，就可以滿足需求，即，生成的策略為「允許192.168.1.2訪問172.16.1.1的http和ftp服務」；[0093]如果源地址邏輯結果為策略源地址與需求源地址相同，目的地址邏輯結果為需求目的地址包含策略目的地址，服務類型邏輯結果為策略服務類型與需求服務類型相同，且需求狀態與策略狀態相同，則生成的防火牆策略為根據策略需求信息在區域策略信息中增加新的目的地址，即，生成策略為「追加策略P的目的地址」。例如，對於「允許192.168.1.2訪問172.16.1.1和172.16.1.2的http服務」這樣的需求，執行步驟104之後，依據表5找到策略P，例如，該策略P為=192.168.1.2允許訪問172.16.1.1的http服務，此時可以知道將策略P的目的地址擴大為172.16.1.1和172.16.1.2，就可以滿足需求，S卩，生成的策略為「允許192.168.1.2訪問172.16.1.1和172.16.1.2的http服務」；如果源地址邏輯結果為需求源地址包含策略源地址，目的地址邏輯結果為策略目的地址與需求目的地址相同，服務類型邏輯結果為策略服務類型與需求服務類型相同，且需求狀態與策略狀態相同，則生成的防火牆策略為根據策略需求信息在區域策略信息中增加新的源地址，即，生成策略為「追加策略P的源地址」。例如，對於「允許192.168.1.1和192.168.1.2訪問172.16.1.1的http服務」這樣的需求，執行步驟104之後，依據表5找到策略P，例如，該策略P為=192.168.1.2允許訪問172.16.1.1的ttp服務，此時可以知道將策略P的源地址擴大為192.168.1.1和192.168.1.2，就可以滿足需求，S卩，生成的策略為「允許192.168.1.1和192.168.1.2訪問172.16.1.1的http服務」；對於策略匹配關係為「其他情況」時，表示策略需求信息與區域策略不相關，此時生成的策略為「在當前訪問方向的所有策略之後新增策略」，以滿足策略需求信息。此處的「在當前訪問方向的所有策略之後新增策略」與上述生成策略為「在策略P之前新增策略」是不同的，因為，「在策略P之前新增策略」對應的策略匹配關係為「SηPS興Φ、ηPD興φ、SvηpSv^Φ、Action=不相同」，該策略匹配關係表示策略需求信息與當前區域策略是相關的，因此，「在策略P之前新增策略」也應在策略P的基礎上進行修改，而此處的「新增策略」，與策略P是沒有關係的。在滿足同樣的策略需求時，如果不加任何限制條件的話，會有很多種防火牆策略能讓變更後的配置滿足需求，因此，如表5所示，在這張表中不同的動作有不同的權重，選擇權重最小(即優先級最高)的策略去生成防火牆策略，在該表5，權重都是相等的，表示如果發現了一個權重為0的策略，那麼這個策略就成為參考策略，後面如果存在其他權重為0的策略也無法替代成為當前的參考策略，這樣的設置在實際使用過程中被證明是有效的，當然也可以適當調整追加參考策略的源地址、目的地址、服務這三種情況的權值，調整之後，可以在同時滿足兩種或三種情況的時候，能優先按某種追加方式來修改參考策略。在根據生成的防火牆策略修改策略之前，還需要檢查當前配置的狀態，以確保不會發生和現有配置有衝突的情況，然後將生成的防火牆策略更新到區域與策略關係表中，以及時更新防火牆策略，這樣就可以使下一需求能參考最新的防火牆策略去生成策略。下面基於圖3所示的網絡結構、以及表6所示的防火牆策略申請(即上述的策略需求信息)為例，來說明防火牆策略的生成過程。表6tableseeoriginaldocumentpage13如圖3所示，區域A和區域B之間的訪問需要經過防火牆FW，區域A伺服器分配的網段為192.168.0.0/16，區域B伺服器分配的網段為172.16.0.0/16。防火牆FW的當前配置可以參考表7，如表7所示，從當前的配置可以看出，防火牆FW只開通了兩條訪問策略，允許區域A地址為192.168.3.1和192.168.4.1的伺服器可以訪問區域B地址為172.16.3.1的伺服器，且僅開通了tcp的1352埠，策略10002完全被策略10006所包含，策略10002不會被任何session命中；除此之外，其他任何訪問都被拒絕。表7tableseeoriginaldocumentpage13如圖4所示，防火牆策略生成方法包括步驟401，以「行」為單位分析策略需求信息，根據預存的地址區域表確定需求源區域和需求目的區域，即，根據源地址「192.168.1.1和192.168.2.1」以及圖3所示的網絡結構確定源區域為區域A，根據目的地址「172.16.1.1和172.16.2.1」以及圖3所示的網絡結構確定目的區域為區域B;步驟402，根據源、目的區域以及預存的區域與策略關係表確定區域策略，g卩，根據源區域為區域A、目的區域為區域B以及表7所示的配置確定當前區域策略，為策略10002和策略10006；步驟403，根據上述的步驟104中所述的匹配方法，確定第一行策略需求信息與當前區域策略之間的策略匹配關係，並根據策略匹配關係、以及如表5所示的策略生成表生成防火牆策略，在本例中，將會生成的防火牆策略是策略10001，該訪問是被拒絕的；步驟404，根據步驟403生成的防火牆策略更新區域與策略關係表，即更新表7所示的配置清單。在本示例中，生成的防火牆策略為表5中的第二條策略，S卩，為滿足需求需要在策略10001之前新增條策略。在增加新策略之前，還需要查看新策略要引用的地址、服務是否都已經存在，並將新策略的相關配置更新到區域與策略關係表中；步驟405，判斷是否還有策略需求信息，如果有，則執行步驟401；否則，執行步驟406；在本例中，還需要執行第二行需求；步驟406，將針對於每行需求信息的防火牆策略進行收集整合。以便於呈現給用戶。在執行相應於第二行需求的防火牆策略時，由於區域策略表中新增了一條策略，這條策略為滿足第一行需求添加的。此時，根據防火牆策略生成表(表5所示)會匹配到新增的這條策略，為滿足需求需要在新增的這條策略上追加http服務，在追加http服務之前，需要查看http服務是否需要定義，如果沒有，則在新增的這條策略上追加http服務，並更新到區域與策略關係表中。最後，用戶會得到如圖5所示的防火牆策略，不難看出來生成的防火牆策略能夠較好理解用戶的需求，成功的模擬了人工邏輯，生成了在當前配置中用於滿足需求的防火牆策略。實施例二本實用新型實施例還提供一種防火牆策略生成裝置，該裝置優選地用於實現上述實施例一中的方法，如圖6所示，該裝置包括存儲單元600，存儲地址區域關係表和區域與策略關係表，其中，地址區域關係表用於表示區域與地址之間的對應關係，區域與策略關係表用於表示表示區域訪問方向與策略之間的映射關係；需求信息接收單元601，接收包含需求源地址、需求目的地址、需求服務類型和需求狀態的策略需求信息；區域獲取單元602，與需求信息接收單元601和存儲單元600連接，根據需求源地址和需求目的地址從地址區域關係表中獲取源伺服器和目的伺服器所在的區域；區域策略獲取單元603，與區域獲取單元602和存儲單元600連接，根據源伺服器和目的伺服器所在的區域從區域與策略關係表中獲取源伺服器和目的伺服器所在區域對應的包含策略源地址、策略目的地址、策略服務類型和策略狀態的區域策略信息；邏輯運算單元604，與需求信息接收單元601和區域獲取單元603連接，將需求源地址與策略源地址進行邏輯運算生成源地址邏輯結果，將需求目的地址與策略目的地址進行邏輯運算生成目的地址邏輯結果，將需求服務類型與策略服務類型進行邏輯運算生成服務類型邏輯結果，將所述的需求狀態與策略狀態進行比較生成狀態比較結果；防火牆策略生成單元605，與邏輯運算單元604連接，用於根據源地址邏輯結果、目的地址邏輯結果、服務類型邏輯結果和狀態比較結果生成防火牆策略。由以上描述可以看出，通過區域獲取單元根據需求源地址和需求目的地址從地址區域關係表中確定源伺服器和目的伺服器所在的區域，然後區域策略獲取單元根據源伺服器和目的伺服器所在的區域從區域與策略關係表中確定區域策略信息，進而邏輯運算單元將需求源地址與策略源地址、需求目的地址與策略目的地址、需求服務類型與策略服務類型分別進行邏輯運算、以及將需求狀態與策略狀態進行比較，之後防火牆策略生成單元根據邏輯運算和比較結果生成防火牆策略，相比於現有技術，通過本發明實施例生成的防火牆策略實現較簡單並且準確度較高。具體地，如圖7所示，上述防火牆策略生成單元605包括第一防火牆策略生成模塊6051，與邏輯運算單元連接，在源地址邏輯結果為策略源地址與需求源地址有交集、目的地址邏輯結果為策略目的地址與需求目的地址有交集、服務類型邏輯結果為策略服務類型與需求服務類型有交集、且狀態比較結果為需求狀態與策略狀態不同時，根據策略需求信息在區域策略信息之前增加新的策略；第二防火牆策略生成模塊6052，與邏輯運算單元連接，在源地址邏輯結果為策略源地址與需求源地址相同、目的地址邏輯結果為策略目的地址與需求目的地址相同、服務類型邏輯結果為需求服務類型包含策略服務類型、且狀態比較結果為需求狀態與策略狀態相同時，根據策略需求信息在區域策略信息中增加新的服務類型；第三防火牆策略生成模塊6053，與邏輯運算單元連接，在源地址邏輯結果為策略源地址與需求源地址相同、目的地址邏輯結果為需求目的地址包含策略目的地址、服務類型邏輯結果為策略服務類型與需求服務類型相同、且狀態比較結果為需求狀態與策略狀態相同時，根據策略需求信息在區域策略信息中增加新的目的地址；第四防火牆策略生成模塊6054，與邏輯運算單元連接，在源地址邏輯結果為需求源地址包含策略源地址、目的地址邏輯結果為策略目的地址與需求目的地址相同、服務類型邏輯結果為策略服務類型與需求服務類型相同、且狀態比較結果為需求狀態與策略狀態相同時，根據策略需求信息在區域策略信息中增加新的源地址。在具體實施時，防火牆策略生成單元605還包括第五防火牆策略生成模塊，與邏輯運算單元連接(圖中未示出)，在源地址邏輯結果為策略源地址包含需求源地址、目的地址邏輯結果為策略目的地址包含需求目的地址、服務類型邏輯結果為策略服務類型包含需求服務類型、狀態比較結果為需求狀態與策略狀態相同時，將區域策略獲取單元獲取的區域策略信息作為生成的防火牆策略。如圖8所示，該防火牆策略生成裝置還包括策略更新單元606，與防火牆策略生成單元605和存儲單元600連接，將防火牆策略生成單元生成的防火牆策略更新到存儲單元存儲的區域與策略關係表中。上述各單元、各模塊的具體執行過程可以參考上述實施例一中的相關描述，本實施例不再贅述。實施例三本實用新型實施例還提供一種防火牆策略生成系統，包括如實施例二所述的防火牆策略生成裝置，如圖9所示，該系統採用三層結構，自上而下依次為展現層1、功能邏輯層2、和數據層3，以下以從下至上的順序分別描述這三層結構。數據層3負責向功能邏輯層2提供防火牆的配置信息，分為配置文件31和配置信息資料庫30兩種方式，配置信息資料庫中的數據是通過提前解析配置文件獲取的，該數據層具有上述存儲單元600的功能。功能邏輯層2用於根據防火牆配置信息模擬防火牆設備，向展現層1提供不同的功能。功能邏輯層2按照封裝的理念又分為兩層，上層為功能接口層21，下層為防火牆虛擬機22。功能接口層具有高可擴展性，便於以後擴展其他功能。目前功能接口層包括防火牆策略校驗功能接口210、防火牆策略生成功能接口211、垃圾配置清除功能接口212以及擴展功能接口213。其中，防火牆策略校驗功能接口用於向展現層提供防火牆策略校驗功能；防火牆策略生成功能接口用於向展現層提供防火牆策略生成功能，該防火牆策略生成功能接口具有上述防火牆策略生成裝置的功能；垃圾配置清除功能接口用於向展現層提供垃圾配置清除功能。防火牆虛擬機用於維護和管理防火牆的各種配置信息，向功能接口層提供配置查詢、配置更新以及策略匹配的服務。展現層1用於提供與用戶交互的界面，用戶可以通過web瀏覽器10使用防火牆策略生成系統提供的各種功能。以下結合圖9所示的結構，詳細描述防火牆虛擬機22。防火牆虛擬機是防火牆策略生成系統的主要組成部分，分為中央處理單元220和配置信息管理單元221。其中，中央處理單元220包括配置查詢模塊2200、配置更新模塊2201和策略匹配模塊2202，這些模塊可以高效的獲取或者更新配置信息。配置信息管理單元221包含各個子配置管理器，這些子配置管理器用於有條不紊的管理各自的信息，保持各自信息的完整性。其中配置信息管理單元是以防火牆配置中各種子元素為類別，分別建立對應的管理器來管理這些子元素。這些管理器按照信息來源分為原始元素管理器和擴展元素管理器(圖中未示出)。原始元素管理器是指管理的元素是防火牆配置信息中有直接定義的管理器，這些元素包括策略、地址、地址組、服務、服務組、日程、區域、路由以及接口等等；擴展元素管理器管理的元素在防火牆的配置中找不到直接信息，但是為了滿足一些查詢功能的需求，需要進行擴展定義。如圖9所示，元原始元素管理器包括地址-區域管理器2210和區域_策略管理器2211。其中，地址-區域管理器用於存儲地址-區域表，該地址-區域表描述了區域及其地址範圍的對應關係，該地址_區域表對應於上述的地址區域表。該地址_區域表可以根據路由表管理器22100中的路有表、接口表管理器22101中的接口表和區域表管理器22102中的區域表這三個原始元素表建立起來，用於快速查詢用戶提交的防火牆策略需求信息中每行需求的源目區域。區域_策略管理器2211用於存儲區域-策略表，該區域_策略表對應於上述的區域與策略關係表，該區域_策略表按照區域的訪問方向把策略進行分組，訪問方向相同(即源目區域相同)的策略歸為一組。該區域-策略表是根據區域表管理器22102中區域表和策略管理器22110中的策略表建立起來的，策略表又是由區域表管理器22102中區域表、地址管理器221100中的地址表、地址組管理器221101中的地址組表、服務組管理器221102中的服務組表、服務管理器221103中的服務表以及日程表管理器221104中的日程表建立而成。策略管理器22110中的策略表和地址-區域管理器2210中的地址-區域表一起使用來加快定位與用戶提交的防火牆策略需求匹配的策略，這樣可以避免每次策略匹配都和整個策略表進行匹配，縮小了需要匹配的策略的範圍，從而可以進一步提高需求與策略匹配過程的性能。中央處理單元是防火牆虛擬機的核心邏輯單元，該單元通過調用各個元素管理器，對虛擬機中的各個表進行查詢和更新操作，對整個虛擬機進行完整性維護。如圖9所示，中央處理單元包含了配置查詢模塊2200、配置更新模塊2201以及策略匹配模塊2202，其中配置查詢模塊，具有上述區域獲取單元和區域策略獲取單元的功能，可以對配置中的所有信息進行查詢，比如根據策略id查詢策略信息、根據特定ip地址可以查詢那些16地址、地址組、策略跟這個ip地址有關、查詢某個ip地址是否已經定義過等等。配置更新模塊，具有上述策略更新單元的功能，可以向配置中添加、刪除以及更新任何元素的信息，比如向配置中增加一個地址、從配置中刪除一個策略、向配置中某個策略追加服務等等，所有這些更新操作都會檢查當前配置的狀態，確保不會發生和現有配置有衝突的情況，以確保虛擬機中配置信息的完整。策略匹配模塊，具有邏輯運算單元和防火牆策略生成單元的功能，該策略匹配模塊可以根據提供的源地址、目的地址和服務類型和需求狀態去匹配策略。本實施例中的防火牆虛擬機與現有技術中的防火牆處理引擎的最大不同是:防火牆處理引擎中策略匹配算法處理的單位是single-communication(單通信)，而在防火牆虛擬機中與策略匹配的單位既可能是single-communication，又可能是multiple-communication(多通信，可以簡禾爾為mc)。其中，single-communication是指一次網絡通信，通信報文的源地址、目的地址和服務(可以對應一個像pingdraceroute這樣的三層服務，也可以對應一個tcp/udp埠)各只有一個。而multiple-communication是多個single-communication的集合，multiple-communication的表不方式為源地址集合S，目的地址集合D和服務集合Sv的笛卡爾積(SXDXSv)。在multiple-communication和當前區域策略進行匹配的時候，如果把multiple-communication分解為若干個single-communication的集合,然後按照防火牆引擎的算法和策略進行匹配理論上是可行的，但是在實際操作中，這種方法是不可取的，理由如下以圖10所示為例:mc源地址有兩個地址{192.168.1.1,192.168.2.1}，目的地址有兩個地址{172.16.1.1，172.16.2.1}，服務有兩個{ftp,http}，則mc會分解成包含S.sizeXD.sizeXSv.size=2X2X2=8個single-communication的集合{(192.168.1.1，172.16.1.1，ftp)，(192.168.1.1，172.16.1.1，http)，(192.168.1.1，172.16.1.2，ftp)，(192.168.1.1，172.16.1.2，http)，(192.168.1.2，172.16.1.1，ftp)，(192.168.1.2，172.16.1.1，http)，(192.168.1.2，172.16.1.2，ftp)，(192.168.1.2，172.16.1.2，http)}；此時，一個multiple-communication將會被分解為8個single-communication去和當前區域策略匹配。由於圖10中所示得S、D和Sv每個集合的元素個數都比較少，分解前後策略匹配的性能看不出明顯的差異，但是當其中某個集合元素個數很多的時候，分解出來的single-communication數量會很大，比如說當源地址中增加一個A類地址，那麼將會產生數量龐大的single-communication，這時性能上的差異將十分明顯。在本實施例中，防火牆虛擬機的策略匹配模塊採用的是集合處理方法，即實施例一中步驟104所述的將源地址、目的地址和服務類型以集合論算法進行數位化處理，該數位化處理，由於不需要對multiple-communication進行分解，省去了數量龐大的策略比較帶來的性能開銷。具體地處理過程，可以參考上述的相關描述，這裡不再贅述。在具體實施時，防火牆策略生成系統以「行」為單位分析策略需求信息，根據策略需求信息中的源、目的地址調用虛擬機的配置查詢模塊，配置查詢模塊通過檢索「地址_區域表」返回源、目的區域；然後，根據源、目的區域，配置查詢模塊再次通過檢索「區域_策略表」確定當前區域策略；最後在返回的當前區域策略中調用虛擬機的策略匹配模塊，得到最後的匹配結果，以生成防火牆策略。通過本實施例，可以實現防火牆策略的自動化維護處理，提高了防火牆策略生成和變更的效率。綜上所述，通過本實用新型實施例生成的防火牆策略實現較簡單、準確度較高，從而可以提高防火牆系統的安全性、穩定性。本領域普通技術人員可以理解實現上述實施例方法中的全部或部分步驟可以通過程序來指令相關的硬體來完成，該程序可以存儲於一計算機可讀取存儲介質中，比如ROM/RAM、磁碟、光碟等。以上所述的具體實施例，對本實用新型的目的、技術方案和有益效果進行了進一步詳細說明，所應理解的是，以上所述僅為本實用新型的具體實施例而已，並不用於限定本實用新型的保護範圍，凡在本實用新型的精神和原則之內，所做的任何修改、等同替換、改進等，均應包含在本實用新型的保護範圍之內。權利要求一種防火牆策略生成裝置，其特徵在於，所述的裝置包括存儲單元，存儲地址區域關係表和區域與策略關係表；需求信息接收單元，接收包含需求源地址、需求目的地址、需求服務類型和需求狀態的策略需求信息；區域獲取單元，與所述的需求信息接收單元和所述的存儲單元連接，根據所述的需求源地址和需求目的地址從所述的地址區域關係表中獲取源伺服器和目的伺服器所在的區域；區域策略獲取單元，與所述的區域獲取單元和所述的存儲單元連接，根據所述的源伺服器和目的伺服器所在的區域，從所述的區域與策略關係表中獲取所述源伺服器和目的伺服器所在區域對應的包含策略源地址、策略目的地址、策略服務類型和策略狀態的區域策略信息；邏輯運算單元，與所述的需求信息接收單元和區域獲取單元連接，將所述的需求源地址與策略源地址進行邏輯運算生成源地址邏輯結果，將所述的需求目的地址與策略目的地址進行邏輯運算生成目的地址邏輯結果，將所述的需求服務類型與策略服務類型進行邏輯運算生成服務類型邏輯結果，將所述的需求狀態與策略狀態進行比較生成狀態比較結果；防火牆策略生成單元，與所述的邏輯運算單元連接，根據所述的源地址邏輯結果、目的地址邏輯結果、服務類型邏輯結果和狀態比較結果生成防火牆策略。2.根據權利要求1所述的裝置，其特徵在於，所述的防火牆策略生成單元包括第一防火牆策略生成模塊，與所述的邏輯運算單元連接，在所述的源地址邏輯結果為策略源地址與需求源地址有交集、所述的目的地址邏輯結果為策略目的地址與需求目的地址有交集、所述的服務類型邏輯結果為策略服務類型與需求服務類型有交集、所述的狀態比較結果為需求狀態與策略狀態不同時，根據所述的策略需求信息在所述的區域策略信息之前增加新的策略；第二防火牆策略生成模塊，與所述的邏輯運算單元連接，在所述的源地址邏輯結果為策略源地址與需求源地址相同、所述的目的地址邏輯結果為策略目的地址與需求目的地址相同、所述的服務類型邏輯結果為需求服務類型包含策略服務類型、所述的狀態比較結果為需求狀態與策略狀態相同時，根據所述的策略需求信息在所述的區域策略信息中增加新的服務類型；第三防火牆策略生成模塊，與所述的邏輯運算單元連接，在所述的源地址邏輯結果為策略源地址與需求源地址相同、所述的目的地址邏輯結果為需求目的地址包含策略目的地址、所述的服務類型邏輯結果為策略服務類型與需求服務類型相同、所述的狀態比較結果為需求狀態與策略狀態相同時，根據所述的策略需求信息在所述的區域策略信息中增加新的目的地址；第四防火牆策略生成模塊，與所述的邏輯運算單元連接，在所述的源地址邏輯結果為需求源地址包含策略源地址、所述的目的地址邏輯結果為策略目的地址與需求目的地址相同、所述的服務類型邏輯結果為策略服務類型與需求服務類型相同、所述的狀態比較結果為需求狀態與策略狀態相同時，根據所述的策略需求信息在所述的區域策略信息中增加新的源地址。3.根據權利要求1所述的裝置，其特徵在於，所述的防火牆策略生成單元還包括第五防火牆策略生成模塊，與所述的邏輯運算單元連接，在所述的源地址邏輯結果為策略源地址包含需求源地址、所述的目的地址邏輯結果為策略目的地址包含需求目的地址、所述的服務類型邏輯結果為策略服務類型包含需求服務類型、所述的狀態比較結果為需求狀態與策略狀態相同時，將所述區域策略獲取單元獲取的區域策略信息作為所述生成的防火牆策略。4.根據權利要求1所述的裝置，其特徵在於，所述的裝置還包括策略更新單元，與所述的防火牆策略生成單元和存儲單元連接，將所述防火牆策略生成單元生成的防火牆策略更新到所述存儲單元存儲的區域與策略關係表中。5.一種防火牆策略生成系統，其特徵在於，所述的系統包括如權利要求1至4中任一項所述的防火牆策略生成裝置。專利摘要本實用新型提供一種防火牆策略生成裝置及系統，其中，該裝置包括存儲單元，存儲地址區域關係表和區域與策略關係表；需求信息接收單元，接收包含需求源地址、需求目的地址和需求服務類型的策略需求信息區域獲取單元，根據需求源地址和需求目的地址從地址區域關係表中獲取源伺服器和目的伺服器所在的區域；區域策略獲取單元，根據源伺服器和目的伺服器所在的區域從區域與策略關係表中獲取對應的包含策略源地址、策略目的地址和策略服務類型的區域策略信息；邏輯運算單元，將需求源地址與策略源地址、需求目的地址與策略目的地址、需求服務類型與策略服務類型分別進行邏輯運算生成邏輯結果；防火牆策略生成單元，根據邏輯結果生成防火牆策略。文檔編號H04L9/00GK201577106SQ20102000045公開日2010年9月8日申請日期2010年1月15日優先權日2010年1月15日發明者嶽紅超,張曉丹,張穎,李新印,王希,王穎,肖國彬申請人:中國工商銀行股份有限公司