[发明专利]结合底线策略实现虚拟防火墙安全策略的系统和方法

权利要求书

1.结合底线策略实现虚拟防火墙安全策略的系统，其特征在于，包括：

底线策略数据库，用于存储底线策略的内容；

子防火墙本地安全策略数据库，用于存储子防火墙本地安全策略的内容；

安全策略引擎，用于将用户请求与安全策略进行匹配并执行允许或拒绝操作，所述安全策略包括请求的所属子防火墙底线策略及本地安全策略；

底线策略维护模块，用于为主防火墙管理员服务，提供底线策略的维护功能； 

子防火墙本地安全策略维护模块，用于为子防火墙管理员服务，提供本地安全策略的维护功能，同时支持查看应用到所属子防火墙的底线策略的功能。

2.如权利要求1所述的系统，其特征在于：底线策略是一种全局安全策略，它独立于子防火墙的本地安全策略。

3.如权利要求1所述的系统，其特征在于：底线策略相对于子防火墙的本地安全策略具有更高的优先级，当二者发生冲突时，以底线策略为准。

4.如权利要求1所述的系统，其特征在于：底线策略由主防火墙管理员维护，子防火墙本地安全策略由子防火墙管理员维护，二者相互独立。

5.如权利要求1所述的系统，其特征在于：子防火墙管理员能够查看指定给所属子防火墙的底线策略，但不能对其进行修改。

6.如权利要求1所述的系统，其特征在于：主防火墙管理员选择指定一组底线策略给所有的子防火墙，或给不同子防火墙指定不同的底线策略。

7.权利要求1所述结合底线策略实现虚拟防火墙安全策略系统的实现方法，其特征在于，包括以下步骤：

（1）主防火墙管理员配置主防火墙；

（2）主防火墙管理员添加子防火墙配置，为其分配子接口资源，添加子防火墙管理员；

（3）主防火墙管理员设计整个防火墙系统的底线安全策略，并配置底线策略组；

（4）子防火墙管理员与底线安全策略进行匹配并给子防火墙分配底线策略；

（5）主防火墙管理员通知子防火墙管理员管理所属子防火墙信息；

（6）子防火墙管理员对所属子防火墙进行配置；

（7）主防火墙管理员完成防火墙系统的部署；

（8）主防火墙管理员维护底线策略；

（9）子防火墙管理员维护本地安全策略。

8.如权利要求7所述的方法，其特征在于步骤（4）中底线安全策略的匹配步骤如下：

（1）查找用户请求所属的子防火墙；

（2）将用户请求与子防火墙底线策略匹配，匹配成功则按照子防火墙底线策略处理；

（3）将用户请求与子防火墙本地安全策略匹配，匹配成功则按照子防火墙本地安全策略处理；

（4）对底线策略和本地安全策略都不匹配的用户请求按默认策略做拒绝处理。