[发明专利]一种减少网络防火墙所采用的多个规则中的规则的数量的方法、系统及存储介质

说明书

网络防火墙基于规则来操作，该规则定义防火墙应如何处理通过防火墙的流量。在最基本的情况下，防火墙规则可指示应拒绝某些网络流量通过网络防火墙或指示应允许某些网络流量通过网络防火墙。除了简单地允许或拒绝网络流量之外，处理网络流量的方式也可以由规则来定义。例如，规则可以指示某些网络流量应该路由到特定系统。因此，如果网络防火墙的管理员确定某网络流量应该由网络防火墙以某种方式处理，则管理员只需要实现定义如何在网络防火墙中处理该网络流量的防火墙规则。

相关申请

本申请涉及并要求2016年12月22日提交的标题为“识别和调整无效的防火墙规则(IDENTIFICATION AND ADJUSTMENT OF INEFFECTIVE FIREWALL RULES)”的美国非临时专利申请15/388,151的优先权，其全部内容通过引用并入本文。

技术背景

网络防火墙基于定义防火墙应如何处理通过防火墙的网络流量的规则来操作。在最基本的情况下，防火墙规则可指示应拒绝某些网络流量通过网络防火墙或指示应允许某些网络流量通过网络防火墙。除了简单地允许或拒绝网络流量之外，处理网络流量的方式也可以由规则来定义。例如，规则可以指示某些网络流量应该路由到特定系统。因此，如果网络防火墙的管理员确定某些网络流量应该由网络防火墙以某种方式处理，则管理员只需要实现定义应如何在网络防火墙中处理该网络流量的防火墙规则。

防火墙规则可以随着时间的推移被继续添加到网络防火墙的规则集。最终，网络防火墙可以使用数百或数千条规则进行操作。处理网络流量所需的处理资源量随着防火墙需要应用的每个规则而增加。尽管其中一些规则由于其他规则至少涵盖了无效规则所涵盖的某些网络流量条件而无效，但当它们属于大量其他规则时，识别这些无效规则可能会很困难。此外，管理员可能会犹豫是否移除无效规则以减少该无效规则可适用于其他规则未涵盖的某些无法预见的网络流量情况的机会。

为了帮助找到无效的防火墙规则，现有的解决方案分析针对简单网络地址(例如，互联网协议(IP)地址)、媒体访问控制(MAC)地址等的规则。但是，某些防火墙系统(如虚拟计算环境中的分布式防火墙)可以根据更复杂的网络概念定义规则。具体而言，通常基于复合组定义规则，例如IP集、安全组和服务组。当前识别无效防火墙规则的方法不能对以上述方式定义的规则进行操作。

发明内容

本文公开的技术通过调整无效的防火墙规则来减少网络防火墙所采用的规则的数量。在特定实施例中，一种方法提供识别由网络防火墙使用的多个规则中的相关规则。多个规则中的规则至少部分地由一个或更多个复合对象定义，并且当存在能够满足用于两个规则两者的标准的至少一个网络流量模式时，两个规则是相关规则。该方法还提供基于规则之间的关系识别相关规则中的一个或更多个无效规则，并调整多个规则中的一个或更多个无效规则，以消除一个或更多个无效规则的无效性。

在一些实施例中，该方法提供从网络防火墙的管理员接收对应该从多个规则中移除一个或更多个无效规则的确认。在这些实施例中，响应于该确认发生对一个或更多个无效规则的调整。

在一些实施例中，识别相关规则包括使用多个高优先级规则来过滤多个规则中的每个规则，以确定高优先级规则中的一个或更多个是否相关。在这些实施例中，识别相关规则可以包括：在过滤每个规则之后，识别多个规则内的复合组对象，并对复合组对象执行一对一匹配。此外，在一些实施例中，识别相关规则还可以包括：在执行一对一匹配之后，针对多个规则中的每个规则，生成与规则匹配的所有可能的流量场景，并且针对每个可能的流量场景，确定多个高优先级规则中的一个或更多个是否涵盖可能的流量场景。