本發(fā)明公開了一種在防火墻上監(jiān)控策略的管理方法和裝置。所述方法包括：接收對(duì)傳輸經(jīng)過(guò)防火墻的流量對(duì)應(yīng)的監(jiān)控策略的管理請(qǐng)求；根據(jù)所述管理請(qǐng)求，輸出網(wǎng)絡(luò)傳輸媒介的標(biāo)識(shí)列表，其中所述標(biāo)識(shí)列表包括一個(gè)或多個(gè)標(biāo)識(shí)；接收對(duì)所述標(biāo)識(shí)列表中標(biāo)識(shí)信息的選擇結(jié)果；根據(jù)所述選擇結(jié)果，生成傳輸經(jīng)過(guò)防火墻的流量對(duì)應(yīng)的監(jiān)控策略。

技術(shù)領(lǐng)域

本發(fā)明涉及信息處理領(lǐng)域，尤指一種在防火墻上監(jiān)控策略的管理方法和裝置。

背景技術(shù)

所謂防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障.是一種獲取安全性方法的形象說(shuō)法，它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)(SecurityGateway)，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問(wèn)規(guī)則、驗(yàn)證工具、包過(guò)濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成，防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件。該計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信和數(shù)據(jù)包均要經(jīng)過(guò)此防火墻。

在網(wǎng)絡(luò)中，所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問(wèn)網(wǎng)(如Internet)分開的方法，它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問(wèn)控制尺度，它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來(lái)訪問(wèn)你的網(wǎng)絡(luò)。換句話說(shuō)，如果不通過(guò)防火墻，公司內(nèi)部的人就無(wú)法訪問(wèn)Internet，Internet上的人也無(wú)法和公司內(nèi)部的人進(jìn)行通信。

網(wǎng)絡(luò)層防火墻可視為一種IP封包過(guò)濾器，運(yùn)作在底層的TCP/IP協(xié)議堆棧上。以枚舉的方式，只允許符合特定規(guī)則的封包通過(guò)，其余的一概禁止穿越防火墻。這些規(guī)則通常可以經(jīng)由管理員定義或修改，不過(guò)某些防火墻設(shè)備可能只能套用內(nèi)置的規(guī)則；當(dāng)然，也能以另一種較寬松的角度來(lái)制定防火墻規(guī)則，只要封包不符合任何一項(xiàng)“否定規(guī)則”就予以放行。操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備大多已內(nèi)置防火墻功能。防火墻能利用封包的多樣屬性來(lái)進(jìn)行過(guò)濾，例如：來(lái)源IP地址、來(lái)源端口號(hào)、目的IP地址或端口號(hào)、服務(wù)類型(如HTTP或是FTP)。也能經(jīng)由通信協(xié)議、來(lái)源的網(wǎng)域名稱或網(wǎng)段等屬性來(lái)進(jìn)行過(guò)濾。

在現(xiàn)有技術(shù)中，創(chuàng)建防火墻時(shí)，需要錄入規(guī)則，然后將規(guī)則添加到策略。如果是復(fù)雜的流量控制，就需要定義很多的規(guī)則，這樣做比較繁瑣，因此如何簡(jiǎn)化防火墻規(guī)則的設(shè)置流程是亟待解決的問(wèn)題。

發(fā)明內(nèi)容

為了解決上述技術(shù)問(wèn)題，本發(fā)明提供了一種在防火墻上監(jiān)控策略的管理方法和裝置，能夠簡(jiǎn)化防火墻規(guī)則的設(shè)置流程。

為了達(dá)到本發(fā)明目的，本發(fā)明提供了一種在防火墻上監(jiān)控策略的管理方法，包括：

接收對(duì)傳輸經(jīng)過(guò)防火墻的流量對(duì)應(yīng)的監(jiān)控策略的管理請(qǐng)求；

根據(jù)所述管理請(qǐng)求，輸出網(wǎng)絡(luò)傳輸媒介的標(biāo)識(shí)列表，其中所述標(biāo)識(shí)列表包括一個(gè)或多個(gè)標(biāo)識(shí)；

接收對(duì)所述標(biāo)識(shí)列表中標(biāo)識(shí)信息的選擇結(jié)果；

根據(jù)所述選擇結(jié)果，生成傳輸經(jīng)過(guò)防火墻的流量對(duì)應(yīng)的監(jiān)控策略。

其中，所述方法還具有如下特點(diǎn)：所述根據(jù)所述管理請(qǐng)求，輸出網(wǎng)絡(luò)傳輸媒介的標(biāo)識(shí)列表，包括：

根據(jù)所述管理請(qǐng)求，輸出網(wǎng)絡(luò)、子網(wǎng)和端口中至少一個(gè)的標(biāo)識(shí)列表；

所述接收對(duì)所述標(biāo)識(shí)列表中標(biāo)識(shí)信息的選擇結(jié)果，包括：

接收對(duì)所述標(biāo)識(shí)列表的選擇結(jié)果，其中所述選擇結(jié)果包括一個(gè)或多個(gè)網(wǎng)絡(luò)的標(biāo)識(shí)信息、一個(gè)或多個(gè)子網(wǎng)的標(biāo)識(shí)信息和一個(gè)或多個(gè)端口的標(biāo)識(shí)信息中的至少一個(gè)。

其中，所述方法還具有如下特點(diǎn)：所述根據(jù)所述選擇結(jié)果，生成傳輸經(jīng)過(guò)防火墻的流量對(duì)應(yīng)的監(jiān)控策略之后，所述方法還包括：

獲取傳輸經(jīng)過(guò)防火墻的流量對(duì)應(yīng)的監(jiān)控策略，其中所述監(jiān)控策略是根據(jù)所述流量傳輸途徑的網(wǎng)絡(luò)傳輸媒介確定的；