本發明公開一種針對不同網絡安全功能的安全規則管理系統，該系統包括安全規則管理模塊，用于網絡管理員使用與功能無關的規則描述語言進行可視化安全規則配置，然后通過安全控制器自動翻譯成特定安全功能對應的安全配置信息，分離安全規則的配置過程與實際部署過程，從而實現不同網絡安全功能的安全規則統一配置；以及多個安全功能節點，基于所述的安全配置信息解析安全規則并寫入對應安全功能實例的配置文件，使安全規則生效。本發明進一步公開了一種針對不同網絡安全功能的安全規則管理方法。

技術領域

本發明涉及網絡安全規則管理領域，更具體地，涉及一種針對不同網絡安全功能的安全規則管理系統及方法。

背景技術

隨著互聯網的高速發展與普及，網絡用戶對于安全服務的需求愈加靈活與多樣。而傳統網絡安全服務靜態僵化的部署方式，已無法適應動態可變的安全需求。提出軟件定義網絡(SDN，Software-Defined Networking)，實現網絡功能可編程，以滿足動態可變的用戶需求，同時，得益于虛擬化技術的發展，提出網絡功能虛擬化(NFV，Network FunctionsVirtualization)，將不同網絡功能組件虛擬化，提高資源利用率的同時，也便于網絡資源的靈活調度。因此，基于軟件定義網絡和網絡功能虛擬化技術，提出虛擬化的按需安全服務組合架構，將網絡用戶所需的安全功能有序、動態組合，令多種安全功能協同為網絡用戶提供安全保障。

為實現面向用戶需求的安全服務組合，需要同時考慮安全功能的排列方式與安全規則的協同方式。然而，現有網絡安全服務協作研究大多集中于安全功能的排列順序與網絡資源分配之間的權衡關系，并未討論安全規則協同對實際安全效果的影響。事實上，安全規則的錯配一直是網絡管理亟待解決的問題。例如，在傳統防火墻規則配置過程中，由于規則配置方式的復雜性和規則條目的數量繁多，導致網絡管理員難以避免較高的錯配概率。Ehab Al-Shaer等人研究發現，即使專業的網絡管理員，仍然會出現10％以上的錯配條目，因而在實際的策略配置過程中，往往需要浪費大量的人力、物力進行錯誤排查。此外，針對當今用戶靈活多變的安全服務需求，網絡管理員需要進行更加動態且支持多樣化功能的安全規則配置，仍采用傳統安全規則配置方式勢必引發更加嚴重的錯配問題，無法滿足用戶的安全需求。

近年來，學術界和工業界已意識到安全規則配置問題對網絡安全的重要影響，其中最具代表性的研究是國際互聯網工程任務組中(IETF，The Internet Engineering TaskForce)的網絡安全功能接口(I2NSF,Interface to Network Security Functions)工作組提出的安全功能接口框架。該框架首次提出了統一不同廠商生產的安全設備接口，以降低網絡安全管理員對安全設備的維護管理難度，從而提高安全功能的部署效率。然而，迄今為止，尚未見到針對復雜網絡環境下，多種不同安全功能的規則進行統一管理的有效實施方案。考慮多種安全規則配置方式的復雜性與現有安全規則配置過程的易錯性，解耦安全規則配置過程與具體安全功能的配置方式勢在必行。

因此，需要提供一種針對不同網絡安全功能的安全規則管理系統及方法，以實現一種相對簡單與自動化的安全規則配置流程，降低網絡管理員配置安全規則的難度，從而有效減少網絡管理員配置安全規則時產生錯配的概率。

發明內容

本發明的一個目的在于提供一種針對不同網絡安全功能的安全規則管理方法，將網絡安全管理員的安全規則配置過程與實際安全規則部署過程解耦，實現多種安全規則的邏輯統一管理。

本發明的另一個目的在于提供一種針對不同網絡安全功能的安全規則管理系統，實現網絡安全管理員可配置與具體功能無關的安全規則，并通過該系統將規則翻譯為特定安全功能可讀取的安全配置，從而降低配置難度，提高配置效率與準確性。

為達到上述目的，一方面，本發明的一個實施例提供一種針對不同網絡完全功能的安全規則管理方法，包括

一種針對不同網絡安全功能的安全規則管理方法，包括