[发明专利]防火墙策略优化方法、系统及计算机可读存储介质

说明书

本发明提供了一种防火墙策略优化方法、系统及计算机可读存储介质。其中，防火墙策略优化方法，包括：获取防火墙的所有策略，生成第一列表；获取每条策略的命中数，基于命中数从大到小排序生成第二列表；从第二列表中逐条取出策略，并判断策略在第二列表中的排位号是否小于在第一列表中的排位号；基于策略在第二列表中的排位号小于在第一列表中的排位号的判断结果，对策略在第一列表中的排位进行优化；根据每条策略优化后的排位号，生成第三列表，以供防火墙按照第三列表中的排位顺序对数据包进行策略匹配。通过本发明的防火墙策略优化方法，实现了能够针对命中数智能识别策略使用情况进行策略优化，极大地提高了防火墙的整体性能和效率。

技术领域

本发明涉及网络安全技术领域，具体而言，涉及一种防火墙策略优化方法，一种防火墙策略优化系统，及一种计算机可读存储介质。

背景技术

在传统的电信运营商、电子政务、移动互联网企业，防火墙在使用过程中，由于有很多网络上的业务规则往往配置非常多的防火墙策略，而且是在策略配置后往往不能随意删除，如果删除出错会导致业务访问异常，对于防火墙策略配置的只增加不删除已经是行业的事实标准。基于这种矛盾，防火墙策略会越加越多，有些核心防火墙策略往往会达到上万条规则。规则越来越多，防火墙效率和性能就越来越低下，因为其数据包要匹配的规则越来越多，匹配到符合的规则后才不往下面的规则进行匹配。

目前现有的解决方法及技术：

(1)基于人为判断哪个业务使用较多进行策略排名优化，而不是实时智能判断策略使用情况；

(2)基于人为判断策略互斥情况，而不是智能判断互斥情况。

发明内容

本发明旨在至少解决现有技术或相关技术中存在的技术问题之一。

为此，本发明的一方面在于提出了一种防火墙策略优化方法。

本发明的另一方面在于提出了一种防火墙策略优化系统。

本发明的再一方面在于提出了一种计算机可读存储介质。

有鉴于此，本发明的一方面提出了一种防火墙策略优化方法，包括：获取防火墙的所有策略，生成第一列表；获取每条策略的命中数，基于命中数从大到小排序生成第二列表；从第二列表中逐条取出策略，并判断策略在第二列表中的排位号是否小于在第一列表中的排位号；基于策略在第二列表中的排位号小于在第一列表中的排位号的判断结果，对策略在第一列表中的排位进行优化；根据每条策略优化后的排位号，生成第三列表，以供防火墙按照第三列表中的排位顺序对数据包进行策略匹配。

根据本发明的防火墙策略优化方法，首先获取防火墙的所有策略，形成原始策略列表，即第一列表，在未对策略进行顺序优化之前，防火墙按照第一列表中的顺序进行数据包匹配；然后获取第一列表中每条策略的命中数，根据命中数从大到小把所有策略进行排序形成第二列表；再在第二列表中逐条取出所有策略，优选地，逐条顺序取出所有策略，这样可以优先对命中数高的策略进行顺序优化；根据排位号判断当前取出的策略在第二列表中的排位顺序是否比在第一列表中的排位靠前，如果靠前，则需要对该策略在第一列表中的排位进行优化，否则，判断下一条策略是否需要进行顺序优化；具体地，需要在第一列表中把该策略的排位往前移动，逐条策略进行排位优化后，形成第三列表，防火墙按照第三列表的顺序进行数据包匹配。本发明提供的防火墙策略优化方法，能够针对命中数智能识别策略使用情况进行策略优化，使命中数较高的策略排名靠前，不仅提高了优化效率及准确性，而且极大地提高了防火墙的整体性能和效率。

其中，防火墙策略的命中数，是反映该策略使用情况，命中数高则表示该策略经常使用，需要排名靠前，防火墙数据包检测时不用匹配太多策略就命中放行数据包，不再匹配其他策略。

其中，排位号表示策略的优先级，排位号越低，该策略的优先级越高。

根据本发明提供的上述防火墙策略优化方法，还可以具有以下技术特征：