本發(fā)明公開了一種在防火墻上監(jiān)控策略的管理方法和裝置。所述方法包括：接收對傳輸經(jīng)過防火墻的流量對應的監(jiān)控策略的管理請求；根據(jù)所述管理請求，輸出網(wǎng)絡傳輸媒介的標識列表，其中所述標識列表包括一個或多個標識；接收對所述標識列表中標識信息的選擇結果；根據(jù)所述選擇結果，生成傳輸經(jīng)過防火墻的流量對應的監(jiān)控策略。

技術領域

本發(fā)明涉及信息處理領域，尤指一種在防火墻上監(jiān)控策略的管理方法和裝置。

背景技術

所謂防火墻指的是一個由軟件和硬件設備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個安全網(wǎng)關(SecurityGateway)，從而保護內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務訪問規(guī)則、驗證工具、包過濾和應用網(wǎng)關4個部分組成，防火墻就是一個位于計算機和它所連接的網(wǎng)絡之間的軟件或硬件。該計算機流入流出的所有網(wǎng)絡通信和數(shù)據(jù)包均要經(jīng)過此防火墻。

在網(wǎng)絡中，所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法，它實際上是一種隔離技術。防火墻是在兩個網(wǎng)絡通訊時執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進入你的網(wǎng)絡，同時將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡中的黑客來訪問你的網(wǎng)絡。換句話說，如果不通過防火墻，公司內(nèi)部的人就無法訪問Internet，Internet上的人也無法和公司內(nèi)部的人進行通信。

網(wǎng)絡層防火墻可視為一種IP封包過濾器，運作在底層的TCP/IP協(xié)議堆棧上。以枚舉的方式，只允許符合特定規(guī)則的封包通過，其余的一概禁止穿越防火墻。這些規(guī)則通?？梢越?jīng)由管理員定義或修改，不過某些防火墻設備可能只能套用內(nèi)置的規(guī)則；當然，也能以另一種較寬松的角度來制定防火墻規(guī)則，只要封包不符合任何一項“否定規(guī)則”就予以放行。操作系統(tǒng)及網(wǎng)絡設備大多已內(nèi)置防火墻功能。防火墻能利用封包的多樣屬性來進行過濾，例如：來源IP地址、來源端口號、目的IP地址或端口號、服務類型(如HTTP或是FTP)。也能經(jīng)由通信協(xié)議、來源的網(wǎng)域名稱或網(wǎng)段等屬性來進行過濾。

在現(xiàn)有技術中，創(chuàng)建防火墻時，需要錄入規(guī)則，然后將規(guī)則添加到策略。如果是復雜的流量控制，就需要定義很多的規(guī)則，這樣做比較繁瑣，因此如何簡化防火墻規(guī)則的設置流程是亟待解決的問題。

發(fā)明內(nèi)容

為了解決上述技術問題，本發(fā)明提供了一種在防火墻上監(jiān)控策略的管理方法和裝置，能夠簡化防火墻規(guī)則的設置流程。

為了達到本發(fā)明目的，本發(fā)明提供了一種在防火墻上監(jiān)控策略的管理方法，包括：

接收對傳輸經(jīng)過防火墻的流量對應的監(jiān)控策略的管理請求；

根據(jù)所述管理請求，輸出網(wǎng)絡傳輸媒介的標識列表，其中所述標識列表包括一個或多個標識；

接收對所述標識列表中標識信息的選擇結果；

根據(jù)所述選擇結果，生成傳輸經(jīng)過防火墻的流量對應的監(jiān)控策略。

其中，所述方法還具有如下特點：所述根據(jù)所述管理請求，輸出網(wǎng)絡傳輸媒介的標識列表，包括：

根據(jù)所述管理請求，輸出網(wǎng)絡、子網(wǎng)和端口中至少一個的標識列表；

所述接收對所述標識列表中標識信息的選擇結果，包括：

接收對所述標識列表的選擇結果，其中所述選擇結果包括一個或多個網(wǎng)絡的標識信息、一個或多個子網(wǎng)的標識信息和一個或多個端口的標識信息中的至少一個。

其中，所述方法還具有如下特點：所述根據(jù)所述選擇結果，生成傳輸經(jīng)過防火墻的流量對應的監(jiān)控策略之后，所述方法還包括：

獲取傳輸經(jīng)過防火墻的流量對應的監(jiān)控策略，其中所述監(jiān)控策略是根據(jù)所述流量傳輸途徑的網(wǎng)絡傳輸媒介確定的；