網(wǎng)絡(luò)防火墻的安全策略部署方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域�,尤其涉及一種網(wǎng)絡(luò)防火墻的安全策略部署方法和裝置�����。
【背景技術(shù)】
[0002]目前�,防火墻已經(jīng)在企業(yè)網(wǎng)絡(luò)中廣泛應(yīng)用。并且���,一般來說�����,防火墻的訪問控制策略(以下又稱為防火墻策略或安全策略)的變化很頻繁����,以能夠盡量實時地滿足企業(yè)對網(wǎng)絡(luò)信息安全的需求。
[0003]在現(xiàn)有技術(shù)中�����,通常以先刪除�����、再部署的方式來進行防火墻策略的修改��。具言之�����,當(dāng)要修改某個網(wǎng)絡(luò)設(shè)備的防火墻策略時��,通常先將已部署該網(wǎng)絡(luò)設(shè)備的原防火墻策略刪除����,再將新防火墻策略部署至該網(wǎng)絡(luò)設(shè)備����,以使得該網(wǎng)絡(luò)設(shè)備能夠基于新防火墻策略進行網(wǎng)絡(luò)訪問控制。
[0004]這種方式不僅耗時較長,而且風(fēng)險較高���。
【發(fā)明內(nèi)容】
[0005]摶術(shù)問是頁
[0006]有鑒于此����,本發(fā)明要解決的技術(shù)問題是�,如何盡量降低安全策略部署所需的時間以及部署過程中的風(fēng)險。
_7] 解決方案
[0008]為了解決上述技術(shù)問題���,根據(jù)本發(fā)明的一實施例��,提供了一種網(wǎng)絡(luò)防火墻的安全策略部署方法����,所述安全策略包括至少兩個業(yè)務(wù)單元�,包括:按所述業(yè)務(wù)單元的層級和屬性將待部署到網(wǎng)絡(luò)防火墻的新安全策略與所述網(wǎng)絡(luò)防火墻已部署的原安全策略進行比較,以確定策略變化部分��,其中所述業(yè)務(wù)單元的屬性包括類型和業(yè)務(wù)代碼�����,所述業(yè)務(wù)單元的層級表示所述業(yè)務(wù)單元之間的引用關(guān)系����;以及對所述網(wǎng)絡(luò)防火墻部署所述策略變化部分��。
[0009]對于上述安全策略部署方法�,在一種可能的實現(xiàn)方式中�,按所述業(yè)務(wù)單元的層級和屬性將待部署到網(wǎng)絡(luò)防火墻的新安全策略與所述網(wǎng)絡(luò)防火墻已部署的原安全策略進行比較,以確定策略變化部分��,包括以下至少一種情況:若在某一層級�����,所述新安全策略包括所述原安全策略所不包括的類型的業(yè)務(wù)單元����,則將該業(yè)務(wù)單元記錄為新增業(yè)務(wù)單元;若在某一層級���,所述原安全策略包括所述新安全策略所不包括的類型的業(yè)務(wù)單元,則將該業(yè)務(wù)單元記錄為刪除業(yè)務(wù)單元��;若在某一層級�����,所述新安全策略包括與所述原安全策略中的業(yè)務(wù)單元相比類型相同、但業(yè)務(wù)代碼有變化的業(yè)務(wù)單元��,則判斷該業(yè)務(wù)單元是否引用了下一層級的業(yè)務(wù)單元�����,并在所述判斷結(jié)果為否的情況下���,將該業(yè)務(wù)單元記錄為變化業(yè)務(wù)單元����,以及在所述判斷結(jié)果為是的情況下��,將所述新安全策略在所述下一層級的業(yè)務(wù)單元與所述原安全策略在所述下一層級的業(yè)務(wù)單元進行比較�,并重復(fù)上述處理;對所述網(wǎng)絡(luò)防火墻部署所述策略變化部分����,包括以下至少一種情況:對所述網(wǎng)絡(luò)防火墻部署所述新增業(yè)務(wù)單元;將所述刪除業(yè)務(wù)單元從所述網(wǎng)絡(luò)防火墻刪除�����;修改所述變化業(yè)務(wù)單元的業(yè)務(wù)代碼��。
[0010]對于上述安全策略部署方法,在一種可能的實現(xiàn)方式中�����,對所述網(wǎng)絡(luò)防火墻部署所述新增業(yè)務(wù)單元����,包括以下至少一種情況:若所述新增業(yè)務(wù)單元沒有被上一層級的業(yè)務(wù)單元引用,則將所述新增業(yè)務(wù)單元寫入所述網(wǎng)絡(luò)防火墻���;若所述新增業(yè)務(wù)單元被上一層級的業(yè)務(wù)單元引用����,則將所述新增業(yè)務(wù)單元寫入所述原安全策略���,然后將所述上一層級的業(yè)務(wù)單元與所述新增業(yè)務(wù)單元的引用關(guān)系寫入所述原安全策略��;或者�����,將所述刪除業(yè)務(wù)單元從所述網(wǎng)絡(luò)防火墻刪除,包括以下至少一種情況:若所述刪除業(yè)務(wù)單元沒有被上一層級的業(yè)務(wù)單元引用�����,則將被所述刪除業(yè)務(wù)單元引用的業(yè)務(wù)單元與所述刪除業(yè)務(wù)單元之間的引用關(guān)系從所述原安全策略中刪除;若所述刪除業(yè)務(wù)單元被上一層級的業(yè)務(wù)單元引用��,則將所述上一層級的業(yè)務(wù)單元與所述刪除業(yè)務(wù)單元之間的引用關(guān)系從所述原安全策略中刪除�。
[0011]對于上述安全策略部署方法,在一種可能的實現(xiàn)方式中��,按所述業(yè)務(wù)單元的層級和屬性將待部署到網(wǎng)絡(luò)防火墻的新安全策略與所述網(wǎng)絡(luò)防火墻已部署的原安全策略進行比較����,以確定策略變化部分之前,還包括:根據(jù)所述業(yè)務(wù)單元的業(yè)務(wù)代碼計算所述新安全策略的循環(huán)冗余碼校驗CRC值��;以及加載所述原安全策略的CRC值��,其中����,所述新安全策略的CRC值包括所述新安全策略的所有業(yè)務(wù)單元的CRC值,所述原安全策略的CRC值包括所述原安全策略的所有業(yè)務(wù)單元的CRC值����;按所述業(yè)務(wù)單元的層級和屬性將待部署到網(wǎng)絡(luò)防火墻的新安全策略與所述網(wǎng)絡(luò)防火墻已部署的原安全策略進行比較,以確定策略變化部分�����,包括以下至少一種情況:若在某一層級,所述新安全策略包括所述原安全策略所不包括的類型的業(yè)務(wù)單元�,則將該業(yè)務(wù)單元記錄為新增業(yè)務(wù)單元;若在某一層級����,所述原安全策略包括所述新安全策略所不包括的類型的業(yè)務(wù)單元,則將該業(yè)務(wù)單元記錄為刪除業(yè)務(wù)單元���;若在某一層級��,所述新安全策略包括與所述原安全策略中的業(yè)務(wù)單元相比類型相同�����、但CRC值有變化的業(yè)務(wù)單元���,則判斷該業(yè)務(wù)單元是否引用了下一層級的業(yè)務(wù)單元,并在所述判斷結(jié)果為否的情況下�,將該業(yè)務(wù)單元記錄為變化業(yè)務(wù)單元,以及在所述判斷結(jié)果為是的情況下�,將所述新安全策略在所述下一層級的業(yè)務(wù)單元與所述原安全策略在所述下一層級的業(yè)務(wù)單元進行比較,并重復(fù)上述處理。
[0012]對于上述安全策略部署方法����,在一種可能的實現(xiàn)方式中�����,根據(jù)所述業(yè)務(wù)單元的業(yè)務(wù)代碼計算所述新安全策略的循環(huán)冗余碼校驗CRC值�����,包括:按所述業(yè)務(wù)單元的層級逐層計算所述新安全策略的業(yè)務(wù)單元的CRC值����,并且某一層級的業(yè)務(wù)單元的CRC值包括該業(yè)務(wù)單元引用的下一層級的業(yè)務(wù)單元的CRC值。
[0013]為了解決上述技術(shù)問題����,根據(jù)本發(fā)明的一實施例,提供了一種網(wǎng)絡(luò)防火墻的安全策略部署裝置�,所述安全策略包括至少兩個業(yè)務(wù)單元,包括:比較模塊��,用于按所述業(yè)務(wù)單元的層級和屬性將待部署到網(wǎng)絡(luò)防火墻的新安全策略與所述網(wǎng)絡(luò)防火墻已部署的原安全策略進行比較���,以確定策略變化部分�,其中所述業(yè)務(wù)單元的屬性包括類型和業(yè)務(wù)代碼,所述業(yè)務(wù)單元的層級表示所述業(yè)務(wù)單元之間的引用關(guān)系�����;以及部署模塊���,與所述比較模塊連接��,用于對所述網(wǎng)絡(luò)防火墻部署所述策略變化部分�����。
[0014]對于上述安全策略部署裝置����,在一種可能的實現(xiàn)方式中��,所述比較模塊包括:第一比較器�����,用于比較所述新安全策略在某一層級包括的業(yè)務(wù)單元的類型與所述原安全策略在該層級包括的業(yè)務(wù)單元的類型是否相同�,并且若在某一層級�,所述新安全策略包括所述原安全策略所不包括的類型的業(yè)務(wù)單元�����,則將該業(yè)務(wù)單元記錄為新增業(yè)務(wù)單元����,若在某一層級����,所述原安全策略包括所述新安全策略所不包括的類型的業(yè)務(wù)單元,則將該業(yè)務(wù)單元記錄為刪除業(yè)務(wù)單元���;第二比較器����,與所述第一比較器連接��,用于將所述新安全策略在某一層級的業(yè)務(wù)單元與所述原安全策略在該層級的相同類型的業(yè)務(wù)單元的業(yè)務(wù)代碼進行比較��,并且若在某一層級�,所述新安全策略包括與所述原安全策略中的業(yè)務(wù)單元相比類型相同、但業(yè)務(wù)代碼有變化的業(yè)務(wù)單元���,則判斷該業(yè)務(wù)單元是否引用了下一層級的業(yè)務(wù)單元�,并在所述判斷結(jié)果為否的情況下,將該業(yè)務(wù)單元記錄為變化業(yè)務(wù)單元�,以及在所述判斷結(jié)果為是的情況下,將所述新安全策略在所述下一層級的業(yè)務(wù)單元與所述原安全策略在所述下一層級的業(yè)務(wù)單元輸出至所述第一比較器進行比較�����;所述部署模塊被配置為執(zhí)行以下至少一種操作:對所述網(wǎng)絡(luò)防火墻部署所述新增業(yè)務(wù)單元����;將所述刪除業(yè)務(wù)單元從所述網(wǎng)絡(luò)防火墻刪除;修改所述變化業(yè)務(wù)單元的業(yè)務(wù)代碼���。
[0015]對于上述安全策略部署裝置�,在一種可能的實現(xiàn)方式中��,還包括判斷模塊�����,所述判斷模塊與所述比較模塊以及所述部署模塊連接����,用于判斷所述新增業(yè)務(wù)單元以及所述刪除業(yè)務(wù)單元是否被上一層級的業(yè)務(wù)單元引用�;并且����,所述部署模塊被配置為執(zhí)行以下至少一種操作:若所述新增業(yè)務(wù)單元沒有被上一層級的業(yè)務(wù)單元引用,將所述新增業(yè)務(wù)單元寫入所述網(wǎng)絡(luò)防火墻����;若所述新增業(yè)務(wù)單元被上一層級的業(yè)務(wù)單元引用,將所述新增業(yè)務(wù)單元寫入所述原安全策略���,然后將所述上一層級的業(yè)務(wù)單元與所述新增業(yè)務(wù)單元的引用關(guān)系寫入所述原安全策略;若所述刪除業(yè)務(wù)單元沒有被上一層級的業(yè)務(wù)單元引用����,將被所述刪除業(yè)務(wù)單元引用的業(yè)務(wù)單元與所述刪除業(yè)務(wù)單元之間的引用關(guān)系從所述原安全策略中刪除;若所述刪除業(yè)務(wù)單元被上一層級的業(yè)務(wù)單元引用��,將所述上一層級的業(yè)務(wù)單元與所述刪除業(yè)務(wù)單元之間的引用關(guān)系從所述原安全策略中刪除�。
[0016]對于上述安全策略部署裝置,在一種可能的實現(xiàn)方式中����,還包括:計算模塊,與所述比較模塊連接����,用于根據(jù)所述業(yè)務(wù)單元的業(yè)務(wù)代碼計算所述新安全策略的循環(huán)冗余碼校驗CRC值���;以及加載模塊,與所述計算模塊連接��,用于加載所述原安全策略的CRC值����,其中,所述新安全策略的CRC值包括所述新安全策略的所有業(yè)務(wù)單元的CRC值�,所述原安全策略的CRC值包括所述原安全策略的所有業(yè)務(wù)單元的CRC值;所述第二比較器具體被配置為���,將所述新安全策略在某一層級的業(yè)務(wù)單元與所述原安全策略在該層級的相同類型的業(yè)務(wù)單元的CRC值進行比較�����,并且若在某一層級�����,所述新安全策略包括與所述原安全策略中的業(yè)務(wù)單元相比類型相同�、但CRC值有變化的業(yè)務(wù)單元�����,則判斷該業(yè)務(wù)單元是否引用了下一層級的業(yè)務(wù)單元,并在所述判斷結(jié)果為否的情況下�����,將該業(yè)務(wù)單元記錄為變化業(yè)務(wù)單元�����,以及在所述判斷結(jié)果為是的情況下�,將所述新安全策略在所述下一層級的業(yè)務(wù)單元與所述原安全策略在所述下一層級的業(yè)務(wù)單元輸出至所述第一比較器進行比較。
[0017]對于上述安全策略部署裝置��,在一種可能的實現(xiàn)方式中�,所述計算模塊具體被配置為:按所述業(yè)務(wù)單元的層級逐層計