算所述新安全策略的業(yè)務(wù)單元的CRC值�,并且某一層級的業(yè)務(wù)單元的CRC值包括該業(yè)務(wù)單元引用的下一層級的業(yè)務(wù)單元的CRC值。
[0018]有益.效果
[0019]通過首先確定網(wǎng)絡(luò)防火墻中原安全策略的變化部分�����,然后僅針對所述變化部分進(jìn)行部署���,本發(fā)明的網(wǎng)絡(luò)防火墻的安全策略部署方法����,能夠有效降低安全策略部署所需的時間以及部署過程中的風(fēng)險��。
[0020]根據(jù)下面參考附圖對示例性實(shí)施例的詳細(xì)說明���,本發(fā)明的其它特征及方面將變得清楚����。
【附圖說明】
[0021]包含在說明書中并且構(gòu)成說明書的一部分的附圖與說明書一起示出了本發(fā)明的示例性實(shí)施例����、特征和方面,并且用于解釋本發(fā)明的原理�����。
[0022]圖1示出本發(fā)明實(shí)施例的網(wǎng)絡(luò)防火墻的安全策略的數(shù)據(jù)模型�����;
[0023]圖2示出根據(jù)本發(fā)明一實(shí)施例的網(wǎng)絡(luò)防火墻的安全策略部署方法的流程圖���;
[0024]圖3示出根據(jù)本發(fā)明一實(shí)施例的確定策略變化部分的方法的流程圖����;
[0025]圖4a示出根據(jù)本發(fā)明一實(shí)施例的對網(wǎng)絡(luò)防火墻部署新增業(yè)務(wù)單元的流程圖;
[0026]圖4b示出根據(jù)本發(fā)明一實(shí)施例的將刪除業(yè)務(wù)單元從網(wǎng)絡(luò)防火墻刪除的流程圖��;
[0027]圖5示出根據(jù)本發(fā)明又一實(shí)施例的網(wǎng)絡(luò)防火墻的安全策略部署方法的流程圖�;
[0028]圖6示出根據(jù)本發(fā)明一實(shí)施例的確定變化業(yè)務(wù)單元的流程圖;
[0029]圖7示出根據(jù)本發(fā)明一實(shí)施例的網(wǎng)絡(luò)防火墻的安全策略部署方法的流程示意圖��;
[0030]圖8示出根據(jù)本發(fā)明一實(shí)施例的網(wǎng)絡(luò)防火墻的安全策略部署裝置的結(jié)構(gòu)框圖�;
[0031]圖9示出根據(jù)本發(fā)明另一實(shí)施例的網(wǎng)絡(luò)防火墻的安全策略部署裝置的結(jié)構(gòu)框圖;
[0032]圖10示出根據(jù)本發(fā)明另一實(shí)施例的網(wǎng)絡(luò)防火墻的安全策略部署裝置的結(jié)構(gòu)框圖����;
[0033]圖11示出根據(jù)本發(fā)明又一實(shí)施例的網(wǎng)絡(luò)防火墻的安全策略部署裝置的結(jié)構(gòu)框圖。
【具體實(shí)施方式】
[0034]以下將參考附圖詳細(xì)說明本發(fā)明的各種示例性實(shí)施例�����、特征和方面�����。附圖中相同的附圖標(biāo)記表示功能相同或相似的元件���。盡管在附圖中示出了實(shí)施例的各種方面����,但是除非特別指出,不必按比例繪制附圖��。
[0035]在這里專用的詞“示例性”意為“用作例子���、實(shí)施例或說明性”。這里作為“示例性”所說明的任何實(shí)施例不必解釋為優(yōu)于或好于其它實(shí)施例��。
[0036]另外�,為了更好的說明本發(fā)明,在下文的【具體實(shí)施方式】中給出了眾多的具體細(xì)節(jié)���。本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解�,沒有某些具體細(xì)節(jié)��,本發(fā)明同樣可以實(shí)施��。在一些實(shí)例中���,對于本領(lǐng)域技術(shù)人員熟知的方法�����、手段��、元件和電路未作詳細(xì)描述�,以便于凸顯本發(fā)明的主旨。
[0037]實(shí)施例1
[0038]本發(fā)明實(shí)施例的網(wǎng)絡(luò)防火墻的安全策略的數(shù)據(jù)模型如圖1所示��,安全策略secpolicy包括至少兩個業(yè)務(wù)單元��,圖1所示的每個結(jié)點(diǎn)均為一個業(yè)務(wù)單元�。除了頂層的結(jié)點(diǎn)安全策略secpolicy,訪問控制策略�、IPS策略以及應(yīng)用控制策略等結(jié)點(diǎn)為公共資源策略業(yè)務(wù)單元,也可以被其他安全策略引用�。以業(yè)務(wù)單元fwpolicy (訪問控制策略)、業(yè)務(wù)單元ipspolicy (IPS策略)�、業(yè)務(wù)單元signature-set (簽名集)、業(yè)務(wù)單元signature (覆蓋簽名)��、業(yè)務(wù)單元address-set (地址集)���、業(yè)務(wù)單元service-set (服務(wù)集)為例�����,構(gòu)建業(yè)務(wù)單元模型可以包括以下兩個方面��。
[0039]第一方面�、定義業(yè)務(wù)單元的實(shí)現(xiàn)類,也就是將業(yè)務(wù)單元與實(shí)現(xiàn)該業(yè)務(wù)單元的業(yè)務(wù)代碼對應(yīng)���,所述業(yè)務(wù)代碼主要用于表示該業(yè)務(wù)單元的具體內(nèi)容���,例如:
[0040]〈mapping〉
[0041]〈item id=〃ipspolicy〃>com.hs.vsm.secservice.service, feature, ips.1PSPolicy</item〉
[0042]〈item id=〃signature_set〃>com.hs.vsm.secservice.service, feature, ips.SignatureSet</item>
[0043]〈item id=〃signature〃>com.hs.vsm.secservice.service, feature, ips.Signature</item>
[0044]〈item id=〃fwpolicy〃>com.hs.vsm.secservice.service, feature, fwpolicy.FirewalIPolicy</item>
[0045]〈/mapping〉
[0046]第二方面、定義業(yè)務(wù)單元的依賴關(guān)系����,也就是業(yè)務(wù)單元之間的引用關(guān)系:
[0047]〈mapping〉
[0048]〈item id=//secpolicy//>ipspolicy</item>
[0049]〈item id=//secpolicy//>fwpolicy</item>
[0050]〈item id=〃ipspolicy〃>signature_set〈/item>
[0051]〈item id=〃ipspolicy〃>signature〈/item〉
[0052]〈item id=〃fwpolicy〃>address_set〈/item>
[0053]〈item id=〃fwpolicy〃>service_set〈/item>
[0054]〈mapping〉
[0055]圖2示出根據(jù)本發(fā)明一實(shí)施例的網(wǎng)絡(luò)防火墻的安全策略部署方法的流程圖���。如圖2所示,該安全策略部署方法主要包括:
[0056]步驟S210�、按所述業(yè)務(wù)單元的層級和屬性將待部署到網(wǎng)絡(luò)防火墻的新安全策略與所述網(wǎng)絡(luò)防火墻已部署的原安全策略進(jìn)行比較�,以確定策略變化部分,其中所述業(yè)務(wù)單元的屬性包括類型和業(yè)務(wù)代碼����,所述業(yè)務(wù)單元的層級表示所述業(yè)務(wù)單元之間的引用關(guān)系;以及
[0057]步驟S220����、對所述網(wǎng)絡(luò)防火墻部署所述策略變化部分。
[0058]這樣通過首先確定網(wǎng)絡(luò)防火墻中原安全策略的變化部分�,然后僅針對所述變化部分進(jìn)行部署�,本實(shí)施例的網(wǎng)絡(luò)防火墻的安全策略部署方法���,能夠有效降低安全策略部署所需的時間以及部署過程中的風(fēng)險��,從而保證了網(wǎng)絡(luò)運(yùn)維的穩(wěn)定性���。
[0059]實(shí)施例2
[0060]圖3示出根據(jù)本發(fā)明一實(shí)施例的確定策略變化部分的方法的流程圖,也就是實(shí)施例I中步驟S210的具體實(shí)現(xiàn)流程圖��,如圖3所示�����,在一種可能的實(shí)現(xiàn)方式中����,在某一層級,步驟S210可以具體包括:
[0061]步驟S310�、判斷所述新安全策略是否包括所述原安全策略所不包括的類型的業(yè)務(wù)單元;
[0062]步驟S320���、在步驟S310的判斷結(jié)果為是的情況下����,將該業(yè)務(wù)單元記錄為新增業(yè)務(wù)單元;
[0063]步驟S330�����、在步驟S310的判斷結(jié)果為否的情況下�����,判斷所述原安全策略是否包括所述新安全策略所不包括的類型的業(yè)務(wù)單元����;
[0064]步驟S340、在步驟S330的判斷結(jié)果為是的情況下����,將該業(yè)務(wù)單元記錄為刪除業(yè)務(wù)單元�;
[0065]步驟S350、在步驟S330的判斷結(jié)果為否的情況下����,判斷新安全策略是否包括與原安全策略中的業(yè)務(wù)單元相比類型相同、但業(yè)務(wù)代碼有變化的業(yè)務(wù)單元�;具體地,可以通過將新安全策略的業(yè)務(wù)單元的業(yè)務(wù)代碼與原安全策略的業(yè)務(wù)單元的業(yè)務(wù)代碼逐一比較�����,以確定業(yè)務(wù)代碼是否有變化,也可以按照預(yù)定規(guī)則僅比較部分業(yè)務(wù)代碼比如僅比較奇數(shù)位的業(yè)務(wù)代碼或者僅比較業(yè)務(wù)代碼的開頭部分與結(jié)尾部分��;
[0066]步驟S360�、在步驟S350的判斷結(jié)果為是的情況下,判斷該業(yè)務(wù)單元是否引用了下一層級的業(yè)務(wù)單元����;
[0067]步驟S370、在步驟S360的判斷結(jié)果為否的情況下�,將該業(yè)務(wù)單元記錄為變化業(yè)務(wù)單元。
[0068]需要說明的是���,在步驟S350的判斷結(jié)果為否的情況下��,說明在該層級沒有策略變化部分���,無需再進(jìn)行下一層級的業(yè)務(wù)單元的比較。在步驟S360的判斷結(jié)果為是的情況下���,將所述新安全策略在所述下一層級的業(yè)務(wù)單元與所述原安全策略在所述下一層級的業(yè)務(wù)單元進(jìn)行比較�,并重復(fù)上述處理。
[0069]也就是說��,按照業(yè)務(wù)單元的層級關(guān)系逐層比較以確定策略變化部分�����,首先從策略的最高層級業(yè)務(wù)單元比較�����,其中���,所述最高層級業(yè)務(wù)單元沒有被業(yè)務(wù)單元引用��。如果新安全策略包括原安全策略所不包括的類型的業(yè)務(wù)單元��,則將該業(yè)務(wù)單元記錄為新增業(yè)務(wù)單元���;如果原安全策略包括新安全策略所不包括的類型的業(yè)務(wù)單元���,則將該業(yè)務(wù)單元記錄為刪除業(yè)務(wù)單元����;如果所述原安全策略與所述新安全策略在最高層級的業(yè)務(wù)單元的業(yè)務(wù)代碼一致,則可以判斷本次策略沒有發(fā)生變化���,因此本次部署跳過����,不用處理�。如果不一致,則按照上述處理比較所述新安全策略