[发明专利]一种针对不同网络安全功能的安全规则管理系统及方法

权利要求书

1.一种针对不同网络安全功能的安全规则管理方法，其特征在于，包括

S1.响应于网络管理员的输入，对与具体安全功能无关的抽象安全规则进行配置；

S2.安全控制器根据配置的抽象安全规则自动生成具体安全功能可部署的安全配置信息，并分发所述安全配置信息到对应安全功能节点；

S3.所述安全功能节点接收所述安全配置信息，并写入安全功能实例的配置文件，使网络管理员配置的抽象安全规则生效。

2.根据权利要求1所述的方法，其特征在于，所述步骤S1包括

可视化配置界面接收所述网络管理员的输入，对与具体安全功能无关的抽象安全规则进行配置，所述配置为选择所需安全功能类别、安全规则的序号、安全规则的目标匹配规则和需要执行的动作。

3.根据权利要求1所述的方法，其特征在于，所述步骤S2包括

安全规则分析模块基于网络管理员配置的抽象安全规则分析所需安全功能，匹配能用的安全功能实例并获取相关位置信息；

安全规则格式化模块将安全规则进行格式化，形成便于后续管理的统一格式，并存入安全规则数据库；

基于格式化的安全规则，配置信息生成模块生成用于所述安全配置信息；

配置信息分发模块基于安全功能实例的位置信息，将所述安全配置信息下发到所述对应的安全功能节点。

4.根据权利1所述的方法，其特征在于，所述步骤S3包括

安全功能代理接收所述安全配置信息；

安全功能代理解析并翻译所述的安全配置信息为安全功能实例能识别的配置规则，并写入对应配置文件；

安全功能代理将所述的安全配置信息存储到本地的安全配置数据库。

5.一种针对不同网络安全功能的安全规则统一管理系统，其特征在于，包括

安全规则管理单元，响应于网络管理员的输入，对与具体安全功能无关的抽象安全规则进行配置，根据配置的抽象安全规则自动生成具体安全功能可部署的安全配置信息，并分发所述安全配置信息到对应安全功能节点；

多个安全功能节点，接收所述安全配置信息，并写入安全功能实例的配置文件，使网络管理员配置的抽象安全规则生效。

6.根据权利要求5所述的网络安全规则管理系统，其特征在于，所述安全规则管理单元包括

可视化配置界面，接收所述网络管理员的输入，对与具体安全功能无关的抽象安全规则进行配置，所述配置为选择所需安全功能类别、安全规则的序号、安全规则的目标匹配规则和需要执行的动作。

7.根据权利要求5或6所述的网络安全规则管理系统，其特征在于，所述安全控制器包括

安全规则分析模块，基于网络管理员配置的抽象安全规则分析所需安全功能，匹配能用的安全功能实例并获取相关位置信息；

安全规则格式化模块，将安全规则进行格式化，形成便于后续管理的统一格式，并存入安全规则数据库；

配置信息生成模块，基于格式化的安全规则，生成用于所述安全配置信息；

配置信息分发模块，基于安全功能实例的位置信息，将所述安全配置信息下发到所述对应的安全功能节点；

安全规则数据库，用于存储格式化后的安全规则。

8.根据权利要求5或6所述的网络安全规则管理系统，其特征在于，所述安全功能节点包括

安全功能代理，用于接收所述的安全规则管理单元发送的安全配置信息，解析并翻译所述的安全配置信息为安全功能实例能识别的配置规则并将安全配置信息写入安全功能实例的配置文件；

安全功能实例配置文件，基于更新后的安全配置文件，对相应的数据流执行安全操作；

安全配置数据库，用于在本地存储和管理所述的安全配置信息。

9.一种计算机可读存储介质，其特征在于，存储有一组指令，所述指令在处理器执行时进行如下操作

S1.响应于网络管理员的输入，对与具体安全功能无关的抽象安全规则进行配置；

S2.安全控制器根据配置的抽象安全规则自动生成具体安全功能可部署的安全配置信息，并分发所述安全配置信息到对应安全功能节点；

S3.所述安全功能节点接收所述安全配置信息，并写入安全功能实例的配置文件，使网络管理员配置的抽象安全规则生效。