本發明公開了一種訪問控制策略規則的操作方法，所述方法包括：獲取新產生的訪問控制策略規則作為第一待操作規則，獲取訪問控制策略規則集中的任一訪問控制策略規則作為第二待操作規則，判斷所述第一待操作規則與所述第二待操作規則包含的防火墻策略元素數量及類別是否相同；若是，依次判斷所述第一待操作規則與所述第二待操作規則所有相同防火墻策略元素之間是否滿足合并條件；若是，合并所述第一待操作規則與所述第二待操作規則；若否，依次判斷所述第一待操作規則與所述第二待操作規則所有相同防火墻策略元素之間是否滿足歸并條件；若是，歸并所述第一待操作規則與所述第二待操作規則。

技術領域

本發明實施例涉及網絡安全領域，尤其涉及一種訪問控制策略規則的操作方法。

背景技術

在全球移動互聯網、大數據以及云計算興起的時代，網絡安全的關注度不斷提升。

防火墻在網絡安全領域占有最大的市場比例，訪問控制策略(ACL，AccessControl List)的策略管理和處理性能成為防火墻的關鍵技術，在網絡數據請求通過時根據數據報文頭進行是否允許通過的判斷，如圖1所示。

大型企業級防火墻或者國家級防火墻的訪問控制策略中的規則數量變更極快，往往會出現超過100萬條的情況，如此大量的規則會極大的影響到防火墻的性能，甚至拖垮硬件設備，此外，由于訪問控制策略變更過快將導致很多訪問控制策略規則沖突和失效，嚴重占用防火墻系統資源。

發明內容

本發明提供一種訪問控制策略規則的操作方法，以提高防火墻的數據包處理能力。

本發明實施例提供了一種訪問控制策略規則的操作方法,所述方法包括：

獲取新產生的訪問控制策略規則作為第一待操作規則，獲取訪問控制策略 規則集中的任一訪問控制策略規則作為第二待操作規則，判斷所述第一待操作規則與所述第二待操作規則包含的防火墻策略元素數量及類別是否相同；

若是，依次判斷所述第一待操作規則與所述第二待操作規則所有相同防火墻策略元素之間是否滿足合并條件；

若是，合并所述第一待操作規則與所述第二待操作規則；

若否，依次判斷所述第一待操作規則與所述第二待操作規則所有相同防火墻策略元素之間是否滿足歸并條件；

若是，歸并所述第一待操作規則與所述第二待操作規則。

本發明實施例提供的技術方案，通過將防火墻策略元素數量及類別相同的新產生的訪問控制策略規則和訪問控制策略規則集中的任一訪問控制策略規則進行合并或歸并，實現了對已存在的大量訪問控制策略規則進行整合，在不影響數據放行規則的前提下大大減少訪問控制策略規則數量，提高整體訪問控制策略規則研判效率，同時解決了訪問控制策略規則數量限制問題，使訪問控制策略規則可以在超大型企業應用中無限配置。

附圖說明

圖1是現有技術中訪問控制策略規則的數據放行過程示意圖；

圖2是本發明實施例一提供的訪問控制策略規則的操作方法流程示意圖；

圖3是本發明實施例二提供的訪問控制策略規則的操作方法流程示意圖；

圖4是本發明實施例二提供的歸并算法結果保存在三角矩陣中的示意圖；

圖5是本發明實施例三提供的訪問控制策略規則的操作方法流程示意圖；

圖6是本發明實施例四提供的IP源碼及掩碼關系比較算法流程圖。

具體實施方式