[发明专利]一种减少网络防火墙所采用的多个规则中的规则的数量的方法、系统及存储介质

权利要求书

1.一种减少网络防火墙(101,401-408)所采用的多个规则中的规则的数量的方法，其中所述规则至少部分地由一个或更多个复合组定义，所述复合组识别耦连至所述网络防火墙(101,401-408)的各组源或目的地虚拟机，所述方法包括：

扩展并比较所述规则的源和目的地字段中的所述复合组，以识别所述网络防火墙(101)使用的所述多个规则之中的相关规则，其中当存在至少一个网络流量模式，并且所述至少一个网络流量模式将至少满足两个规则两者的源和目的地标准时，所述两个规则为相关规则；

基于所述相关规则之间的关系，识别所述相关规则中的一个或更多个无效规则，其中无效规则至少部分地由所述多个规则中具有较高优先级的至少一个相关规则遮蔽，针对特定网络流量模式，所述具有较高优先级的至少一个相关规则将在达到所述无效规则之前被应用；

通过删除规则、合并规则或改变规则来调整所述多个规则中的一个或更多个无效规则，以消除所述一个或更多个无效规则的无效性；以及

将经调整的规则应用于所述网络防火墙(101,401-408)中的网络流量。

2.如权利要求1所述的方法，还包括：

向所述网络防火墙(101,401-408)的管理员呈现所述多个规则中的所述无效规则的指示；

接收来自所述网络防火墙(101)的管理员的、对应该调整所述多个规则中的所述一个或更多个无效规则的确认；以及

其中响应于所述确认，调整所述一个或更多个无效规则。

3.如权利要求1所述的方法，其中识别所述相关规则包括：

使用多个高优先级规则过滤所述多个规则中的每个规则，以确定所述高优先级规则中的一个或更多个是否相关。

4.如权利要求3所述的方法，其中识别所述相关规则还包括：

在过滤每个规则之后，识别所述多个规则内的复合组对象；以及

对所述复合组对象执行一对一匹配。

5.如权利要求4所述的方法，其中识别所述相关规则还包括：

在执行一对一匹配之后，针对所述多个规则中的每个规则，生成与所述规则匹配的所有可能的流量场景；以及

针对每个可能的流量场景，确定所述多个高优先级规则中的一个或更多个是否涵盖所述可能的流量场景。

6.如权利要求1所述的方法，还包括：

识别所述多个规则的更新的规则；

确定所述更新的规则是否影响所述规则之间的关系。

7.如权利要求6所述的方法，其中确定所述更新的规则是否影响所述规则之间的关系包括：

确定在规则应用期间在所述更新的规则之后出现的所述多个规则中的规则是否将由于所述更新的规则而变得无效；以及

确定在所述规则应用期间在所述更新的规则之前出现的所述多个规则中的规则是否将导致所述更新的规则无效。

8.如权利要求6所述的方法，其中所述更新的规则包括附加规则、对规则的修改或对规则的删除。

9.如权利要求1所述的方法，其中调整所述一个或更多个无效规则包括删除由相关较高优先级规则或相关较高优先级规则的组合完全遮蔽的无效规则。

10.如权利要求1所述的方法，其中调整所述一个或更多个无效规则包括：将所述一个或更多个无效规则中的至少一个的未遮蔽部分与一个或更多个其他规则合并。

11.一种用于减少网络防火墙所采用的规则的数量的系统，所述系统包括：

一个或更多个计算机可读存储介质；

处理系统，可操作地与所述一个或更多个计算机可读存储介质耦合；以及

程序指令，存储在所述一个或更多个计算机可读存储介质上，当由所述处理系统读取和执行时，指示所述处理系统执行权利要求1-10中的任一项所述的方法。

12.一种计算机可读存储介质，其上存储有程序指令，所述程序指令在被执行时，指示处理系统执行权利要求1-10中的任一项所述的方法。