[发明专利]一种防火墙策略集中优化管理方法及其系统

权利要求书

1.一种防火墙策略集中优化管理方法，其特征在于，该方法包括以下步骤：

S1、定制策略转化规则进行规则转换，定义防火墙策略模型；

S2、初始化现有设备；

S3、集中管理和分发策略；

S4、定期检测策略并更新策略集合，策略检测完成后继续分发策略。

2.根据权利要求1所述的一种防火墙策略集中优化管理方法，其特征在于，所述S1中定制策略转化规则进行规则转换包括通过各厂家防火墙访问策略定义格式中对基础防火墙策略的聚合处理确定标准模型以适配各个厂家、各个型号的防火墙策略，所述S1中定义防火墙策略模型包括定义该模型由协议类型、源IP地址集合、源端口集合、目的IP地址集合、目的端口集合和动作六个域组成，其中，源IP地址、源端口、目的IP地址与目的端口均为集合，以满足地址段、端口段的批量处理。

3.根据权利要求1所述的一种防火墙策略集中优化管理方法，其特征在于，所述S2初始化现有设备包括以下步骤：

S21、定期通过ssh连接防火墙设备获取防火墙配置文件并将策略根据所述S1定义的策略模型转化为防火墙策略模型进行存储；

S22、定期通过ssh连接防火墙设备获取防火墙配置文件并针对不同类型的防火墙设备根据所述S1定制策略转化规则进行规则转换，形成标准模型策略；

S23、针对新上线的设备，防火墙配置在系统中进行统一维护完成初始化。

4.根据权利要求1所述的一种防火墙策略集中优化管理方法，其特征在于，所述S3中集中管理和分发策略包括以下步骤：

S31、策略间无效配置检测，其检测规则包括：

S311、协议类型一致，源地址集合、源端口集合同时存在交集，目的地址集合、目的端口集合同时存在交集，但动作域不一致；

S312、序号小的策略中的协议类型为IP，序号大的策略中的协议类型为TCP或UDP，源地址集合、源端口集合同时存在交集，目的地址集合、目的端口集合同时存在交集，但动作域不一致；

根据S311和S312检测出的有冲突的策略，则冲突的策略间存在无效策略；

S32、策略不合理配置检测，其检测规则包括：

S321、协议类型一致或第一策略协议为IP、第二策略协议类型为TCP/UDP，第一策略的源地址集合、源端口集合包含第二策略的源地址集合、源端口集合，第一策略的目的地址集合、目的端口集合包含第二策略的目的地址集合、目的端口集合，则标记第二策略为待合并策略；

S322、协议类型一致或第一策略协议为IP、第二策略协议类型为TCP/UDP，第一策略的源地址集合、源端口集合被包含在第二策略的源地址集合、源端口集合，第一策略的目的地址集合、目的端口集合被包含第二策略的目的地址集合、目的端口集合，则标记第一和第二策略为待拆分策对；

S33、分发策略，通过S31和S32对策略集合进行合理性检测后，将策略结合根据防火墙设备类型转换为特定格式的配置文件并通过SSH连接防火墙设备推送配置文件。

5.根据权利要求1所述的一种防火墙集中优化管理方法，其特征在于，所述S4中定期检测策略并更新策略集合包括以下步骤：

S41、定期通过SSH连接防火墙设备获取防火墙配置文件，并解析为策略集合；

S42、将解析到的策略集合与集中管理的策略集合逐条逐项进行一致性比对，发现差异时给出提示；

S43、管理员接收提示后，对差异策略进行选择，如保留设备内的策略，则更新集中管理的策略集合；

S44、通过S41、S42和S43完成一致性比对后再继续进行所述S3中策略集中管理的合理性检测与策略分发。