CN111988273A - 一种防火墙策略管理方法及装置 - Google Patents

Abstract

本说明书一个或多个实施例提供一种防火墙策略管理方法及装置，包括：获取防火墙的策略信息，所述策略信息包括至少一条策略；对所述策略信息进行策略审计处理，得到策略审计结果；根据所述策略审计结果，确定策略优化指令；向所述防火墙发送所述策略优化指令，以使所述防火墙执行所述策略优化指令，得到优化后的策略。本说明书能够实现对防火墙策略进行统一管理。

Description

一种防火墙策略管理方法及装置

技术领域

本说明书一个或多个实施例涉及网络安全技术领域，尤其涉及一种防火墙策略管理方法及装置。

背景技术

防火墙是应用于计算机网络中的设备，通过在防火墙上配置策略、流量监控、行为检测等一系列功能，能够将内网与外网隔离，保护内网数据安全，保证内网安全稳定运行。在局域网中部署若干防火墙，不同管理员可分别配置部署于不同区域的防火墙的策略，随着防火墙的长期使用，所配置的策略可能存在冗余、安全威胁等不合理部分，需要对防火墙策略进行管理，以保证防火墙工作于最优功能状态，而目前还没有对防火墙策略进行统一管理的方案。

发明内容

有鉴于此，本说明书一个或多个实施例的目的在于提出一种防火墙策略管理方法及装置，以解决防火墙策略管理的问题。

基于上述目的，本说明书一个或多个实施例提供了一种防火墙策略管理方法，包括：

获取防火墙的策略信息，所述策略信息包括至少一条策略；

对所述策略信息进行策略审计处理，得到策略审计结果；

根据所述策略审计结果，确定策略优化指令；

向所述防火墙发送所述策略优化指令，以使所述防火墙执行所述策略优化指令，得到优化后的策略。

可选的，所述对所述策略信息进行审计处理，得到策略审计结果，包括：

对所述策略信息中的各策略进行分析处理，判断是否存在冗余策略，若存在，将所述冗余策略作为所述策略审计结果；

所述根据所述策略审计结果，确定策略优化指令，包括：根据所述冗余策略，确定用于删除所述冗余策略的策略删除指令。

可选的，所述策略包括五元组；所述判断是否存在冗余策略，包括以下情况中的一种或几种：

是否存在五元组重复的冗余策略、是否存在五元组交叉的冗余策略、是否存在五元组具有包含关系的冗余策略、是否存在五元组冲突的冗余策略、是否存在时间已超过配置时限的冗余策略、是否存在命中率低于预设的使用阈值的冗余策略。

可选的，所述对所述策略信息进行审计处理，得到策略审计结果，包括：

对所述策略信息中的各策略进行分析处理，判断是否存在威胁策略，若存在，将所述威胁策略作为策略审计结果；

所述根据所述策略审计结果，确定策略优化指令，包括：根据所述威胁策略，确定用于修复所述威胁策略的策略修复指令。

可选的，所述策略包括网络地址，所述判断是否存在威胁策略，包括：判断所述网络地址是否超过预设的地址范围和/或所述网络地址是否为预设的敏感地址。

可选的，所述策略信息包括各策略的命中次数，所述对所述策略信息进行审计处理，得到策略审计结果，包括：

根据各策略的命中次数，确定各策略的利用率；

按照各策略的利用率从高到低对各策略进行排序，将排序后的各策略作为所述策略审计结果；

所述根据所述策略审计结果，确定策略优化指令，包括：

根据排序后的各策略，确定包括排序后的各策略的重排序策略指令。

可选的，所述策略包括五元组，所述对所述策略信息进行审计处理，得到策略审计结果，包括：

根据各策略的五元组，确定流量统计结果；

根据所述流量统计结果，确定异常流量；

根据所述异常流量，确定异常策略，将所述异常策略作为策略审计结果；

所述根据策略审计结果，确定策略优化指令，包括：根据所述异常策略，确定用于修复异常策略的策略修复指令。

可选的，所述根据所述策略审计结果，确定策略优化指令，包括：

根据所述策略审计结果，按照策略优化模型确定待优化策略；

根据所述待优化策略，确定对所述待优化策略进行优化处理的所述策略优化指令。

可选的，所述方法还包括：

配置变更策略，

判断所述变更策略是否符合预设的策略规则；

若符合，根据所述变更策略，生成变更策略指令；

将所述变更策略指令发送给所述防火墙，以使所述防火墙根据所述变更策略指令变更策略。

本说明书实施例还提供一种防火墙策略管理装置，包括：

获取模块，用于获取防火墙的策略信息，所述策略信息包括至少一条策略；

策略处理模块，用于对所述策略信息进行策略审计处理，得到策略审计结果；

指令确定模块，用于根据所述策略审计结果，确定策略优化指令；

发送模块，用于向所述防火墙发送所述策略优化指令，以使所述防火墙执行所述策略优化指令，得到优化后的策略。

从上面所述可以看出，本说明书一个或多个实施例提供的防火墙策略管理方法及装置，通过获取防火墙的策略信息，对策略信息进行策略审计处理，得到策略审计结果，根据策略审计结果，确定策略优化指令，向防火墙发送策略优化指令，以使防火墙执行策略优化指令，得到优化后的策略，能够实现防火墙策略的统一管理与优化配置。

附图说明

为了更清楚地说明本说明书一个或多个实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本说明书一个或多个实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本说明书一个或多个实施例的方法流程示意图；

图2为本说明书一个或多个实施例的全局网络拓扑图；

图3为本说明书一个或多个实施例的装置结构示意图；

图4为本说明书一个或多个实施例的电子设备结构示意图。

具体实施方式

为使本公开的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本公开进一步详细说明。

需要说明的是，除非另外定义，本说明书一个或多个实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本说明书一个或多个实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性，而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同，而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电性的连接，不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系，当被描述对象的绝对位置改变后，则该相对位置关系也可能相应地改变。

如图1所示，本说明书一个或多个实施例提供一种防火墙策略管理方法，包括：

S101：获取防火墙的策略信息，策略信息包括至少一条策略；

本实施例中，为实现对防火墙的策略管理，首先需要获取防火墙的策略信息，例如，可利用SSH协议、TELNET协议、SNMP协议等网络协议获取网络内各防火墙的策略信息，管理员也可根据需要手动获取特定或所有防火墙的策略信息。需说明的是，只有具有一定权限的终端设备才能够获取防火墙的策略信息。

其中，策略信息包括防火墙当前所配置的至少一条策略，各策略的命中次数、流量数据、优先级等。策略包括所配置的五元组及操作动作，五元组包括网络地址(源IP地址、目的IP地址、源端口、目的端口)及协议，操作动作例如是“允许”(允许访问)、“阻断”(不允许访问，并删除报文)等对接收的报文执行的动作。例如，配置特定的五元组，操作动作为阻断，则当访问防火墙的报文的五元组在所配置的五元组范围内时，阻断该报文对内网的访问。

一种场景中，局域网中部署若干防火墙和用于管理防火墙的服务器，服务器定期采集获取各防火墙的策略信息，以便于根据各防火墙当前的策略信息，对各防火墙进行策略管理。

S102：对策略信息进行审计处理，得到策略审计结果；

本实施例中，获取防火墙的策略信息之后，对策略信息进行审计处理，得到策略审计结果。其中，对策略信息进行审计处理包括，对策略信息中的各条策略进行逐条分析，判断是否存在冗余策略和/或威胁策略等不合理的策略，每条策略分析之后，得到策略审计结果。

S103：根据策略审计结果，确定策略优化指令；

本实施例中，对每条策略进行分析，得到策略审计结果，根据测量审计结果确定出用于优化策略的策略优化指令。比如，策略审计分析之后，确定出冗余策略和/或威胁策略，则根据冗余策略确定用于删除冗余策略的策略删除指令，和/或根据威胁策略确定用于修复威胁策略的策略修复指令等。

S104：向防火墙发送策略优化指令，以使防火墙执行策略优化指令，得到优化后的策略。

本实施例中，在确定策略优化指令之后，向防火墙发生策略优化指令，防火墙接收到策略优化指令，执行策略优化指令，对当前所配置的策略进行优化，得到优化后的策略，使得防火墙能够工作于最优的功能状态。

一些方式中，利用服务器管理局域网内的若干防火墙，根据各防火墙当前的策略信息，经过审计分析，确定出分别优化各防火墙策略的策略优化指令，将各策略优化指令分别发送至对应的防火墙，分别对各防火墙策略进行优化；也可以是统一向网络内所有防火墙或者其中一个或几个防火墙下发相同的策略优化指令，实现防火墙策略的统一配置管理。

本实施例提供的防火墙策略管理方法，通过获取防火墙的策略信息，对策略信息进行审计处理，得到策略审计结果，根据策略审计结果，确定策略优化指令，向防火墙发送策略优化指令，以使防火墙执行策略优化指令，得到优化后的策略，能够实现防火墙策略的统一管理与优化配置。

一些实施例中，步骤S101中，除获取防火墙的策略信息之外，还可获取防火墙的配置信息，配置信息包括防火墙的网络地址和路由信息，路由信息包括防火墙在网络内作为源节点、目的节点或是中间节点的路由表信息。如图2所示，进一步还可获取网络内所有设备的配置信息，根据所获取的网络内所有设备的配置信息之后，可根据各设备的配置信息，构建全局网络拓扑图。

一些实施例中，对策略信息进行审计处理，得到策略审计结果，包括：

对策略信息中的各策略进行分析处理，判断是否存在冗余策略，若存在，将冗余策略作为策略审计结果；则，

根据策略审计结果，确定策略优化指令，包括：根据冗余策略，确定用于删除冗余策略的策略删除指令。

本实施例中，策略信息包括至少一条策略，随着防火墙使用时间的持续，所配置的策略中可能存在冗余策略，通过对所有策略进行逐条分析，判断是否存在冗余策略，若存在冗余策略，则确定出删除冗余策略的策略删除指令，防火墙执行策略删除指令后，可删除冗余策略，实现策略优化。

一些实施例中，判断是否存在冗余策略，包括以下情况中的一种或几种：

是否存在五元组重复的冗余策略、是否存在五元组交叉的冗余策略、是否存在五元组具有包含关系的冗余策略、是否存在五元组冲突的冗余策略、是否存在时间已超过配置时限的冗余策略、是否存在命中率低于预设使用阈值的冗余策略。

本实施例中，判断是否存在冗余策略的规则包括策略重复规则、策略交叉规则、策略包含规则、策略冲突规则、策略过期规则、幽灵策略规则等策略判别规则。其中，策略重复规则是指判断各策略中是否存在五元组重复的策略，若存在，则五元组重复的策略为冗余策略；策略交叉规则是指判断各策略中是否存在五元组存在交叉部分的策略，若存在，则五元组交叉的策略为冗余策略；策略包含规则是指判断各策略中是否存在五元组具有包含关系的策略，若存在，则五元组包含部分的策略为冗余策略；策略冲突规则是指判断各策略中是否存在五元组冲突的策略，若存在，则五元组冲突部分的策略为冗余策略；策略过期规则是指判断各策略中是否存在时间已经超过配置时限(配置策略时所设定的时限)，若存在，则已超时限的策略为冗余策略；幽灵策略规则是指判断各策略的命中率是否低于预设的使用阈值，若存在，则命中率低于使用阈值的策略为冗余策略。

按照上述规则逐条分析各条策略，确定出防火墙当前策略中所存在的冗余策略，根据确定出的冗余策略，确定包括删除冗余策略的策略删除指令，将策略删除指令发送给防火墙，防火墙接收到策略删除指令，确定出冗余策略，将冗余策略删除，优化当前所配置的策略，优化防火墙功能。

一些实施例中，对策略信息进行审计处理，得到策略审计结果，包括：

对策略信息中的各策略进行分析处理，判断是否存在威胁策略，若存在，将威胁策略作为策略审计结果；则，

根据策略审计结果，确定策略优化指令，包括：根据威胁策略，确定用于修复威胁策略的策略修复指令。

本实施例中，防火墙所配置的策略中可能存在威胁策略，通过对所有策略进行逐条分析，判断是否存在威胁策略，若存在威胁策略，则确定出修复威胁策略的策略修复指令，防火墙执行策略修复指令后，可修复威胁策略，实现策略优化。

一些实施例中，判断是否存在威胁策略，包括：判断网络地址是否超过预设的地址范围和/或网络地址是否为预设的敏感地址。

本实施例中，判断是否存在威胁策略的规则包括策略宽松规则和策略敏感规则。其中，策略宽松规则是指策略的网络地址是否过于宽泛而超过了预设的地址范围，若是，网络地址超过地址范围的策略为威胁策略；策略敏感规则是指策略的网络地址是否为预设的敏感地址，若是，网络地址为敏感地址的策略为威胁策略。

按照上述规则逐条分析各条策略，确定出防火墙当前策略中所存在的威胁策略，根据确定出的威胁策略，确定包括修复威胁策略的策略修复指令，将策略修复指令发送给防火墙，防火墙接收到策略修复指令，确定出威胁策略，对威胁策略进行修复处理，优化当前所配置的策略，优化防火墙功能，提高防火墙的安全性。

举例来说，管理员在防火墙配置了“Any”类型的策略，该策略是对任意五元组的报文均执行“允许”动作，即所有报文均可通过防火墙访问内网，这样的策略对于防火墙是不合理的，会对内网造成安全性威胁。通过对策略进行审计分析，确定出该条“Any”类型的策略为威胁策略；之后，对这条“Any”类型的策略进行流量监控，分析统计每个五元组对应的会话数，提取出会话数大于等于1的IP地址，根据该IP地址确定策略修复指令并下发给防火墙，防火墙接收该策略修复指令，将该IP地址的策略(例如，对于该IP地址的报文，执行“允许”动作)排在“Any”类型的策略前面，即接收的报文先按照该IP地址的策略进行匹配，然后按照“Any”类型的策略进行匹配。与此同时，持续对这条“Any”类型的策略进行流量监控，在预定的时间段后，若这条“Any”类型的策略的会话数为0，可删除这条“Any”策略，确定将“Any”类型的策略删除的策略修复指令，并下发给防火墙，防火墙接收该策略修复指令，将该条“Any”类型的策略删除。

一些实施例中，策略信息还包括各策略的命中次数，对策略信息进行审计处理，得到策略审计结果，包括：

根据各策略的命中次数，确定各策略的利用率；

按照各策略的利用率从高到低对各策略进行排序，将排序后的各策略作为策略审计结果；则，

根据策略审计结果，确定策略优化指令，包括：

根据排序后的各策略，确定包括排序后的各策略的重排序策略指令。

本实施例中，除了对冗余策略进行删除优化、对威胁策略进行修复优化，还对各策略的实际命中次数进行统计分析，确定出各策略的利用率，并按照各策略利用率的高低顺序对各策略进行重新排序，将重新排序的各策略以重排序策略指令发送给防火墙，防火墙接收重排序策略指令，按照重新排序的各策略对当前各策略进行重新排序，这样，通过所有策略的重新排序，能够将利用率高的策略排在前面，利用率低的策略排在后面，防火墙接收报文时，报文按照重排序的策略进行匹配，能够提高策略匹配效率，降低防火墙性能开销，同时，能够统计得到所配置的策略的实际使用情况，便于对防火墙策略进行统计分析。

一些实施例中，对策略信息进行审计处理，得到策略审计结果，还包括：

根据各策略的五元组，确定流量统计结果；

根据流量统计结果，确定异常流量；

根据异常流量，确定异常策略，将异常策略作为策略审计结果；则，

根据策略审计结果，确定策略优化指令，包括：根据异常策略，确定用于修复异常策略的策略修复指令。

本实施例中，根据策略的五元组，统计不同五元组的数据流量，得到流量统计结果，一方面，便于对访问防火墙的数据流量进行统计分析，另一方面，可根据流量统计结果，分析出访问防火墙的异常流量，进一步确定出异常流量所对应的不合理的异常策略，针对异常策略，确定修复异常策略的策略修复指令，将策略修复指令发送给防火墙，防火墙执行策略修复指令，确定出异常策略，对异常策略进行修复，得到优化的策略，提高防火墙的安全性，优化防火墙功能。

举例来说，通过策略的五元组，统计数据流量，得到HTTP协议的数据流量及其占总数据流量的比例，访问某特定端口的数据流量及其占总数据流量的比例，通过流量统计，不仅可统计出流量详细信息，实现流量监控，而且，可通过流量统计结果分析出防火墙的异常流量，进一步确定出优化防火墙策略的方案，提高防火墙安全性。

一些实施例中，策略信息包括各策略对应的优先级，根据策略审计结果，确定策略优化指令，包括：

根据策略审计结果，按照策略优化模型确定待优化策略；

根据待优化策略，确定对待优化策略进行优化处理的策略优化指令。

本实施例中，根据不同的策略规则，设定对应的策略优化模型，得到策略审计结果之后，按照策略优化模型确定需要进行优化的待优化策略，然后，根据待优化策略，确定对应的策略优化指令。

对于策略包含规则，建立包含策略优化模型为：1、策略审计结果是A策略包含B策略，且B策略的优先级低于A策略，则将B策略添加到策略优化管理列表中；2、策略审计结果是A策略包含B策略与C策略，B策略与C策略的优先级高于A策略，且B策略与C策略的五元组相加与A策略完全相等，则将A策略添加到策略优化管理列表中；3、策略审计结果为A策略包含B策略，B策略优先级高于A策略，且A策略与B策略之间没有与A策略动作相反的策略时，将A策略调序到B策略前面，然后删除B策略。

举例来说，防火墙X的当前策略有策略177和策略188，经过策略分析，判断策略188包含策略177，且策略188的优先级高于策略177的优先级，这种情况下，将策略177作为冗余策略添加于策略优化管理列表中；之后，对于策略优化管理列表中的冗余策略，确定用于删除冗余策略的策略优化指令，将策略优化指令下发给防火墙X，防火墙X接收到该策略优化指令，执行该策略优化指令，将冗余策略删除，实现防火墙当前策略的优化。

对于策略重复规则，建立重复策略优化模型为：策略审计结果中五元组完整一致的重复策略，删除优先级低的策略。例如，A策略和B策略的五元组完全相同，确定为重复策略，由于B策略的优先级低于A策略的优先级，所以将B策略添加至优化管理列表中，后续将B策略删除。

对于策略交叉规则，建立交叉策略优化模型为：1、策略审计结果是策略A与策略B的部分五元组、时间等配置项存在交叉部分，且B策略的优先级低于A策略,当交叉部分策略占动作为“允许”的总策略的比例低于预设比例值时不进行优化(例如低于50％时不进行优化，避免内存溢出)，否则计算B策略中动作为“允许”的策略相对于交叉部分策略中动作为“允许”的策略多出的策略数量，并将多出的策略整合为新策略，若整合后的新策略大于3条则不优化，若整合后的新策略小于等于3条，则将新策略添加到优化管理列表中。其中，整合新策略的方法为，分析策略的五元组，将五元组拆分后，将交叉部分策略的五元组删除，将删除之后的五元组组成新策略。

对于策略冲突规则，根据冲突策略情况，冲突策略优化模型可与重复策略优化模块或包含策略优化模型一致。

一些方式中，策略优化指令可以脚本、报文等多种形式实现。根据网络内各防火墙的策略情况，可以对各防火墙进行策略优化，此种情况下，将确定出的策略优化指令下发给相应的防火墙，以使各防火墙分别按照相应的策略优化指令进行策略优化处理；也可以是，统一制定网络内所有防火墙或者特定的一个或几个防火墙的策略优化指令，将策略优化指令下发给所有防火墙或是特定的一个或几个防火墙，方便对不同的防火墙进行快速、统一的策略配置管理，当网络内存在设备迁移的防火墙时，通过统一策略下发管理，可迅速恢复防火墙的安全防护功能。

一些实施例中，防火墙策略管理方法还包括：

配置变更策略，

判断变更策略是否符合预设的策略规则；

若符合，根据变更策略，生成变更策略指令；

将变更策略指令发送给防火墙，以使防火墙根据变更策略指令变更策略。

本实施例中，不仅可以对防火墙的当前策略进行分析及优化处理，还可以对当前策略进行变更配置，实现网络内防火墙的策略变更。为实现防火墙策略变更，需配置变更策略，然后判断所配置的变更策略是否符合预设的策略规则，如果符合策略规则，则根据配置的变更策略，生成变更策略指令，将变更策略指令发送给防火墙，防火墙接收到策略变更指令，执行策略变更指令，将当前策略进行变更。

一些实施方式中，预设的策略规则包括黑名单规则、白名单规则、域间规则等规则中的一种或几种。其中，黑名单规则中包含了不允许访问的五元组，白名单规则中包含了允许访问的五元组，域间规则中包含了可相互访问的域间五元组，其中，域是指预设的具有一定网络地址范围的用于实现不同业务的网络区域或者具有一定网络地址范围的具有一定安全级别的网络区域。

配置的变更策略包括五元组及操作动作，判断变更策略是否符合预设的策略规则，包括判断变更策略是否符合黑名单规则，即变更策略的五元组是否在黑名单规则的五元组范围之内，若符合，则该变更策略不可执行；判断变更策略的五元组是否符合白名单规则，即变更策略的五元组是否在白名单规则的五元组范围之内，若符合，则该变更策略允许执行，根据该变更策略，生成变更策略指令，将变更策略指令下发给防火墙，用于防火墙的策略变更；判断变更策略是否符合域间规则，若符合，则该变更策略允许执行。

一些实施例中，策略信息还包括策略版本号，获取防火墙的策略信息之后，将防火墙的策略信息进行备份，根据策略版本号对防火墙不同时期的策略进行对比分析，可跟踪发现策略变更内容，跟踪防火墙变更情况；同时，还可对不同防火墙设备的策略版本进行对比分析，当防火墙进行替换、迁移等操作时，方便防火墙策略恢复，提升工作效率。

一些实施例中，防火墙策略管理方法还包括，对防火墙的策略信息进行统计分析，输出统计报表或是图形化界面，还可以对向防火墙下发的策略优化指令进行日志记录和告警提示，方便查看各防火墙的策略情况。

需要说明的是，本说明书一个或多个实施例的方法可以由单个设备执行，例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下，由多台设备相互配合来完成。在这种分布式场景的情况下，这多台设备中的一台设备可以只执行本说明书一个或多个实施例的方法中的某一个或多个步骤，这多台设备相互之间会进行交互以完成所述的方法。

上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

如图3所示，本说明书实施例还提供一种防火墙策略管理装置，包括：

获取模块，用于获取防火墙的策略信息，所述策略信息包括至少一条策略；

策略处理模块，用于对所述策略信息进行策略审计处理，得到策略审计结果；

指令确定模块，用于根据所述策略审计结果，确定策略优化指令；

发送模块，用于向所述防火墙发送所述策略优化指令，以使所述防火墙执行所述策略优化指令，得到优化后的策略。

为了描述的方便，描述以上装置时以功能分为各种模块分别描述。当然，在实施本说明书一个或多个实施例时可以把各模块的功能在同一个或多个软件和/或硬件中实现。

上述实施例的装置用于实现前述实施例中相应的方法，并且具有相应的方法实施例的有益效果，在此不再赘述。

图4示出了本实施例所提供的一种更为具体的电子设备硬件结构示意图，该设备可以包括：处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。

处理器1010可以采用通用的CPU(Central Processing Unit，中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit，ASIC)、或者一个或多个集成电路等方式实现，用于执行相关程序，以实现本说明书实施例所提供的技术方案。

存储器1020可以采用ROM(Read Only Memory，只读存储器)、RAM(Random AccessMemory，随机存取存储器)、静态存储设备，动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序，在通过软件或者固件来实现本说明书实施例所提供的技术方案时，相关的程序代码保存在存储器1020中，并由处理器1010来调用执行。

输入/输出接口1030用于连接输入/输出模块，以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出)，也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等，输出设备可以包括显示器、扬声器、振动器、指示灯等。

通信接口1040用于连接通信模块(图中未示出)，以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信，也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。

总线1050包括一通路，在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。

需要说明的是，尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050，但是在具体实施过程中，该设备还可以包括实现正常运行所必需的其他组件。此外，本领域的技术人员可以理解的是，上述设备中也可以仅包含实现本说明书实施例方案所必需的组件，而不必包含图中所示的全部组件。

本实施例的计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。

所属领域的普通技术人员应当理解：以上任何实施例的讨论仅为示例性的，并非旨在暗示本公开的范围(包括权利要求)被限于这些例子；在本公开的思路下，以上实施例或者不同实施例中的技术特征之间也可以进行组合，步骤可以以任意顺序实现，并存在如上所述的本说明书一个或多个实施例的不同方面的许多其它变化，为了简明它们没有在细节中提供。

另外，为简化说明和讨论，并且为了不会使本说明书一个或多个实施例难以理解，在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外，可以以框图的形式示出装置，以便避免使本说明书一个或多个实施例难以理解，并且这也考虑了以下事实，即关于这些框图装置的实施方式的细节是高度取决于将要实施本说明书一个或多个实施例的平台的(即，这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如，电路)以描述本公开的示例性实施例的情况下，对本领域技术人员来说显而易见的是，可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本说明书一个或多个实施例。因此，这些描述应被认为是说明性的而不是限制性的。

尽管已经结合了本公开的具体实施例对本公开进行了描述，但是根据前面的描述，这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如，其它存储器架构(例如，动态RAM(DRAM))可以使用所讨论的实施例。

本说明书一个或多个实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此，凡在本说明书一个或多个实施例的精神和原则之内，所做的任何省略、修改、等同替换、改进等，均应包含在本公开的保护范围之内。

Claims (10)

1.一种防火墙策略管理方法，其特征在于，包括：

获取防火墙的策略信息，所述策略信息包括至少一条策略；

对所述策略信息进行策略审计处理，得到策略审计结果；

根据所述策略审计结果，确定策略优化指令；

向所述防火墙发送所述策略优化指令，以使所述防火墙执行所述策略优化指令，得到优化后的策略。

2.根据权利要求1所述的方法，其特征在于，所述对所述策略信息进行审计处理，得到策略审计结果，包括：

对所述策略信息中的各策略进行分析处理，判断是否存在冗余策略，若存在，将所述冗余策略作为所述策略审计结果；

所述根据所述策略审计结果，确定策略优化指令，包括：根据所述冗余策略，确定用于删除所述冗余策略的策略删除指令。

3.根据权利要求2所述的方法，其特征在于，所述策略包括五元组；所述判断是否存在冗余策略，包括以下情况中的一种或几种：

是否存在五元组重复的冗余策略、是否存在五元组交叉的冗余策略、是否存在五元组具有包含关系的冗余策略、是否存在五元组冲突的冗余策略、是否存在时间已超过配置时限的冗余策略、是否存在命中率低于预设的使用阈值的冗余策略。

4.根据权利要求1所述的方法，其特征在于，所述对所述策略信息进行审计处理，得到策略审计结果，包括：

对所述策略信息中的各策略进行分析处理，判断是否存在威胁策略，若存在，将所述威胁策略作为策略审计结果；

所述根据所述策略审计结果，确定策略优化指令，包括：根据所述威胁策略，确定用于修复所述威胁策略的策略修复指令。

5.根据权利要求4所述的方法，其特征在于，所述策略包括网络地址，所述判断是否存在威胁策略，包括：判断所述网络地址是否超过预设的地址范围和/或所述网络地址是否为预设的敏感地址。

6.根据权利要求1所述的方法，其特征在于，所述策略信息包括各策略的命中次数，所述对所述策略信息进行审计处理，得到策略审计结果，包括：

根据各策略的命中次数，确定各策略的利用率；

按照各策略的利用率从高到低对各策略进行排序，将排序后的各策略作为所述策略审计结果；

所述根据所述策略审计结果，确定策略优化指令，包括：

根据排序后的各策略，确定包括排序后的各策略的重排序策略指令。

7.根据权利要求6所述的方法，其特征在于，所述策略包括五元组，所述对所述策略信息进行审计处理，得到策略审计结果，包括：

根据各策略的五元组，确定流量统计结果；

根据所述流量统计结果，确定异常流量；

根据所述异常流量，确定异常策略，将所述异常策略作为策略审计结果；

所述根据策略审计结果，确定策略优化指令，包括：根据所述异常策略，确定用于修复异常策略的策略修复指令。

8.根据权利要求1所述的方法，其特征在于，所述根据所述策略审计结果，确定策略优化指令，包括：

根据所述策略审计结果，按照策略优化模型确定待优化策略；

根据所述待优化策略，确定对所述待优化策略进行优化处理的所述策略优化指令。

9.根据权利要求1所述的方法，其特征在于，还包括：

配置变更策略，

判断所述变更策略是否符合预设的策略规则；

若符合，根据所述变更策略，生成变更策略指令；

将所述变更策略指令发送给所述防火墙，以使所述防火墙根据所述变更策略指令变更策略。

10.一种防火墙策略管理装置，其特征在于，包括：

获取模块，用于获取防火墙的策略信息，所述策略信息包括至少一条策略；

策略处理模块，用于对所述策略信息进行策略审计处理，得到策略审计结果；

指令确定模块，用于根据所述策略审计结果，确定策略优化指令；

发送模块，用于向所述防火墙发送所述策略优化指令，以使所述防火墙执行所述策略优化指令，得到优化后的策略。

Images