專利名稱：：防火墻策略生成裝置及系統(tǒng)的制作方法
技術(shù)領(lǐng)域：
：本實(shí)用新型涉及計(jì)算機(jī)網(wǎng)絡(luò)安全
技術(shù)領(lǐng)域：
，特別地，涉及一種防火墻策略生成裝置及系統(tǒng)。
背景技術(shù)：
：目前，銀行數(shù)據(jù)中心部署防火墻、實(shí)施防火墻策略的工作越來越多。據(jù)初步統(tǒng)計(jì)，一個銀行數(shù)據(jù)中心的防火墻策略變更數(shù)量占該銀行數(shù)據(jù)中心總變更數(shù)量的40%以上。由于目前防火墻策略變更步驟的編寫、實(shí)施是工作人員依據(jù)防火墻策略申請表手動操作完成的，因此，編寫、實(shí)施大量防火墻策略變更步驟不僅工作量巨大，而且容易出錯。一旦出錯就會影響銀行網(wǎng)絡(luò)的正常運(yùn)行，影響銀行業(yè)務(wù)的正常運(yùn)行。為此，相關(guān)行業(yè)一直在研究防火墻策略的自動化維護(hù)技術(shù)，但是都沒有取得實(shí)質(zhì)性進(jìn)展，主要原因在于由于防火墻策略表現(xiàn)為源IP地址、目的IP地址和策略端口(即服務(wù))三重緯度，每個緯度的元素都有多種表現(xiàn)形式，因此這三重緯度綜合表現(xiàn)形式就是一個天文數(shù)字，同時防火墻策略生成步驟編寫又需要依賴人工的運(yùn)維經(jīng)驗(yàn)，依賴人工的參與和判斷，因此，目前的防火墻策略生成技術(shù)存在操作復(fù)雜、準(zhǔn)確度較低的問題。
實(shí)用新型內(nèi)容本實(shí)用新型實(shí)施例的主要目的在于提供一種防火墻策略生成裝置及系統(tǒng)，以解決現(xiàn)有技術(shù)中的防火墻策略生成技術(shù)存在的操作復(fù)雜、準(zhǔn)確度較低的問題。為了實(shí)現(xiàn)上述目的，本實(shí)用新型實(shí)施例提供一種防火墻策略生成裝置，裝置包括存儲單元，存儲地址區(qū)域關(guān)系表和區(qū)域與策略關(guān)系表；需求信息接收單元，接收包含需求源地址、需求目的地址和需求服務(wù)類型的策略需求信息；區(qū)域獲取單元，與需求信息接收單元和存儲單元連接，根據(jù)需求源地址和需求目的地址從地址區(qū)域關(guān)系表中獲取源服務(wù)器和目的服務(wù)器所在的區(qū)域；區(qū)域策略獲取單元，與區(qū)域獲取單元和存儲單元連接，根據(jù)源服務(wù)器和目的服務(wù)器所在的區(qū)域從區(qū)域與策略關(guān)系表中獲取源服務(wù)器和目的服務(wù)器所在區(qū)域?qū)?yīng)的包含策略源地址、策略目的地址和策略服務(wù)類型的區(qū)域策略信息；邏輯運(yùn)算單元，與需求信息接收單元和區(qū)域獲取單元連接，將需求源地址與策略源地址進(jìn)行邏輯運(yùn)算生成源地址邏輯結(jié)果，將需求目的地址與策略目的地址進(jìn)行邏輯運(yùn)算生成目的地址邏輯結(jié)果，將需求服務(wù)類型與策略服務(wù)類型進(jìn)行邏輯運(yùn)算生成服務(wù)類型邏輯結(jié)果；防火墻策略生成單元，與邏輯運(yùn)算單元連接，根據(jù)源地址邏輯結(jié)果、目的地址邏輯結(jié)果和服務(wù)類型邏輯結(jié)果生成防火墻策略。具體地，上述防火墻策略生成單元包括第一防火墻策略生成模塊，與邏輯運(yùn)算單元連接，在源地址邏輯結(jié)果為策略源地址與需求源地址有交集，目的地址邏輯結(jié)果為策略目的地址與需求目的地址有交集，服務(wù)類型邏輯結(jié)果為策略服務(wù)類型與需求服務(wù)類型有交集，根據(jù)策略需求信息在區(qū)域策略信息中增加新的策略；第二防火墻策略生成模塊，與邏輯運(yùn)算單元連接，在源地址邏輯結(jié)果為策略源地址與需求源地址相同，目的地址邏輯結(jié)果為策略目的地址與需求目的地址相同，服務(wù)類型邏輯結(jié)果為策略服務(wù)類型與需求服務(wù)類型有交集，根據(jù)策略需求信息在區(qū)域策略信息中增加新的服務(wù)類型；第三防火墻策略生成模塊，與邏輯運(yùn)算單元連接，在源地址邏輯結(jié)果為策略源地址與需求源地址相同，目的地址邏輯結(jié)果為策略目的地址與需求目的地址有交集，服務(wù)類型邏輯結(jié)果為策略服務(wù)類型與需求服務(wù)類型相同，根據(jù)策略需求信息在區(qū)域策略信息中增加新的目的地址；第四防火墻策略生成模塊，與邏輯運(yùn)算單元連接，在源地址邏輯結(jié)果為策略源地址與需求源地址有交集，目的地址邏輯結(jié)果為策略目的地址與需求目的地址相同，服務(wù)類型邏輯結(jié)果為策略服務(wù)類型與需求服務(wù)類型相同，根據(jù)策略需求信息在區(qū)域策略信息中增加新的源地址。上述裝置還包括策略更新單元，與防火墻策略生成單元和區(qū)域獲取單元連接，將防火墻策略生成單元生成的防火墻策略更新到存儲單元存儲的區(qū)域與策略關(guān)系表中。本實(shí)用新型實(shí)施例還提供一種防火墻策略生成系統(tǒng)，該系統(tǒng)包括上述的防火墻策略生成裝置。借助于上述技術(shù)方案至少之一，通過根據(jù)需求源地址和需求目的地址從地址區(qū)域關(guān)系表中確定源服務(wù)器和目的服務(wù)器所在的區(qū)域，然后根據(jù)源服務(wù)器和目的服務(wù)器所在的區(qū)域從區(qū)域與策略關(guān)系表中確定區(qū)域策略信息，進(jìn)而將需求源地址與策略源地址、需求目的地址與策略目的地址、需求服務(wù)類型與策略服務(wù)類型分別進(jìn)行邏輯運(yùn)算，之后根據(jù)邏輯運(yùn)算結(jié)果生成防火墻策略，該生成防火墻策略的方案實(shí)現(xiàn)較簡單并且準(zhǔn)確度較高。為了更清楚地說明本實(shí)用新型實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對實(shí)施例描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本實(shí)用新型的一些實(shí)施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動性的前提下，還可以根據(jù)這些附圖獲得其他的附圖。圖1是根據(jù)本實(shí)用新型實(shí)施例的防火墻策略生成方法的流程圖；圖2是根據(jù)本實(shí)用新型實(shí)施例的數(shù)字化處理過程中multiple-communication的一個示意圖；圖3是現(xiàn)有技術(shù)中的一種網(wǎng)絡(luò)結(jié)構(gòu)的示意圖；圖4是根據(jù)本實(shí)用新型實(shí)施例的防火墻策略生成方法的詳細(xì)流程圖；圖5是根據(jù)本實(shí)用新型實(shí)施例生成的防火墻策略清單；圖6是根據(jù)本實(shí)用新型實(shí)施例的防火墻策略生成裝置的結(jié)構(gòu)框圖；圖7是根據(jù)本實(shí)用新型實(shí)施例的防火墻策略生成裝置中防火墻策略生成單元605的結(jié)構(gòu)框圖；圖8是根據(jù)本實(shí)用新型實(shí)施例的防火墻策略生成裝置的具體結(jié)構(gòu)框圖；圖9是根據(jù)本實(shí)用新型實(shí)施例的防火墻策略生成系統(tǒng)的結(jié)構(gòu)示意圖；圖10是根據(jù)本實(shí)用新型實(shí)施例的防火墻虛擬機(jī)策略匹配和現(xiàn)有技術(shù)中的防火墻引擎策略匹配的示意圖。具體實(shí)施方式下面將結(jié)合本實(shí)用新型實(shí)施例中的附圖，對本實(shí)用新型實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本實(shí)用新型一部分實(shí)施例，而不是全部的實(shí)施例?；诒緦?shí)用新型中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實(shí)施例，都屬于本實(shí)用新型保護(hù)的范圍。本實(shí)用新型實(shí)施例提供一種防火墻策略生成裝置及系統(tǒng)。以下結(jié)合附圖對本實(shí)用新型進(jìn)行詳細(xì)說明。首先，定義以下實(shí)施例中出現(xiàn)的術(shù)語防火墻(firewall)—個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的邊界上構(gòu)造的保護(hù)屏障；防火墻策略(policy)控制流量訪問的一些規(guī)則；變更對網(wǎng)絡(luò)設(shè)備或者應(yīng)用系統(tǒng)做的調(diào)整；地址(address)—個host地址或者子網(wǎng)地址；地址組(groupaddress)多個address的集合；服務(wù)(service)某種協(xié)議某種端口的訪問，例如tcp4100端口；服務(wù)組(groupservice)多個服務(wù)的集合；日程(scheduler)防火墻策略有效的時間范圍；區(qū)域(zone)防火墻隔離的不同網(wǎng)絡(luò)，例如內(nèi)網(wǎng)和外網(wǎng)分別可以作為一個區(qū)域；需求狀態(tài)(action)需求信息中的訪問控制狀態(tài)，包括開通狀態(tài)(permit)或者拒絕狀態(tài)(deny)；策略狀態(tài)(action)區(qū)域與策略關(guān)系表中的策略狀態(tài)，包括開通狀態(tài)(permit)或者拒絕狀態(tài)(deny)。實(shí)施例一步驟101，接收包含需求源地址、需求目的地址、需求服務(wù)類型和需求狀態(tài)的策略需求信息；步驟102，根據(jù)需求源地址和需求目的地址從預(yù)存的地址區(qū)域關(guān)系表中獲取源服務(wù)器和目的服務(wù)器所在的區(qū)域；步驟103，根據(jù)源服務(wù)器和目的服務(wù)器所在的區(qū)域從預(yù)存的區(qū)域與策略關(guān)系表中獲取源服務(wù)器和目的服務(wù)器所在區(qū)域?qū)?yīng)的包含策略源地址、策略目的地址、策略服務(wù)類型和策略狀態(tài)的區(qū)域策略信息；步驟104，將需求源地址與策略源地址進(jìn)行邏輯運(yùn)算生成源地址邏輯結(jié)果，將需求目的地址與策略目的地址進(jìn)行邏輯運(yùn)算生成目的地址邏輯結(jié)果，將需求服務(wù)類型與策略服務(wù)類型進(jìn)行邏輯運(yùn)算生成服務(wù)類型邏輯結(jié)果，將需求狀態(tài)與策略狀態(tài)進(jìn)行比較生成狀態(tài)比較結(jié)果；步驟105，根據(jù)源地址邏輯結(jié)果、目的地址邏輯結(jié)果、服務(wù)類型邏輯結(jié)果以及狀態(tài)比較結(jié)果生成防火墻策略。由以上描述可以看出，通過根據(jù)需求源地址和需求目的地址從地址區(qū)域關(guān)系表中確定源服務(wù)器和目的服務(wù)器所在的區(qū)域，然后根據(jù)源服務(wù)器和目的服務(wù)器所在的區(qū)域從區(qū)域與策略關(guān)系表中確定區(qū)域策略信息，進(jìn)而將需求源地址與策略源地址、需求目的地址與策略目的地址、需求服務(wù)類型與策略服務(wù)類型分別進(jìn)行邏輯運(yùn)算、以及將需求狀態(tài)與策略狀態(tài)進(jìn)行比較，之后根據(jù)邏輯運(yùn)算和比較結(jié)果生成防火墻策略，相比于現(xiàn)有技術(shù)，通過本發(fā)明實(shí)施例生成的防火墻策略實(shí)現(xiàn)較簡單并且準(zhǔn)確度較高。在執(zhí)行完步驟105之后，還需要將生成的防火墻策略更新到區(qū)域與策略關(guān)系表中，以及時更新區(qū)域與策略關(guān)系表，以便后續(xù)網(wǎng)絡(luò)的正常工作。以下分別詳細(xì)描述上述步驟102-105。(一)步驟102根據(jù)接收的策略需求信息中的需求源地址和需求目的地址分別從預(yù)存的地址區(qū)域關(guān)系表中查找與源地址對應(yīng)的源區(qū)域(即，源服務(wù)器所在的區(qū)域)、和與目的地址對應(yīng)的目的區(qū)域(即，目的服務(wù)器所在的區(qū)域)。其中，地址區(qū)域關(guān)系表用于表示區(qū)域與地址之間的映射關(guān)系，該地址區(qū)域關(guān)系表由網(wǎng)絡(luò)中的路由信息、接口信息和區(qū)域信息構(gòu)成。例如，區(qū)域A中包含地址為192.168.3.1和192.168.4.1的服務(wù)器，區(qū)域B中包含地址為172.16.3.1的服務(wù)器，則地址區(qū)域關(guān)系表可以用如下表1表示表1<table>tableseeoriginaldocumentpage7</column></row><table>如果從策略需求信息獲取的源地址和目的地址分別為192.168.3.1和172.16.3.1，則通過表1可知，源區(qū)域?yàn)锳區(qū)域，目的區(qū)域?yàn)锽區(qū)域。(二)步驟103根據(jù)源區(qū)域和目的區(qū)域在預(yù)存的區(qū)域與策略關(guān)系表獲取區(qū)域策略信息，該區(qū)域策略信息包括策略源地址、策略目的地址、策略服務(wù)類型和策略狀態(tài)。其中，區(qū)域與策略關(guān)系表用于表示區(qū)域訪問方向與策略之間的映射關(guān)系，S卩，表示區(qū)域之間訪問的策略。該區(qū)域與策略關(guān)系表按照區(qū)域的訪問方向?qū)⒉呗苑纸M，如將訪問方向相同(即源目區(qū)域相同)的策略歸為一組。例如，訪問方向與策略關(guān)系表可以用如下表2表不表2<table>tableseeoriginaldocumentpage7</column></row><table>一般情況下，防火墻是一種作為不同區(qū)域網(wǎng)絡(luò)進(jìn)行互聯(lián)的設(shè)備，同一個區(qū)域之間的相互訪問不經(jīng)過防火墻，因此防火墻上一般不存在控制相同區(qū)域設(shè)備之間相互訪問的策略；而不同區(qū)域之間的訪問會經(jīng)過防火墻，根據(jù)需求的不同，相同訪問方向也會有多條不同的策略。如果是從區(qū)域A訪問區(qū)域B，根據(jù)訪問的源地址、目的地址、服務(wù)類型以及策略狀態(tài)的不同，可能會被策略1或者策略2所決定是否能被允許通過。同一個訪問方向的多條策略之間是有優(yōu)先級區(qū)分的，優(yōu)先級由策略在配置中的順序決定，出現(xiàn)在前面的策略比出現(xiàn)在后面的策略的優(yōu)先級高，也就是說，如果A—B訪問方向的兩條策略1和2的源地址、目的地址、服務(wù)類型完全相同(例如，都是192.168.1.1訪問172.16.1.1的http服務(wù))，但是只有策略狀態(tài)(Action)不同，如，策略1的Action是deny，策略2的Action是permit，策略1出現(xiàn)在策略2前面，那么192.168.1.1訪問172.16.1.1的http服務(wù)優(yōu)先被策略1匹配，策略1的狀態(tài)為deny，則192.168.1.1訪問172.16.1.1的http服務(wù)被拒絕。(三)步驟104根據(jù)策略需求信息、以及區(qū)域策略信息確定策略匹配關(guān)系，S卩，分別將需求源地址與策略源地址、需求目的地址與策略目的地址、需求服務(wù)類型與策略服務(wù)類型進(jìn)行邏輯運(yùn)算、以及將需求狀態(tài)與策略狀態(tài)進(jìn)行比較。具體地，將策略需求信息中的源地址、目的地址、服務(wù)類型、分別與區(qū)域策略信息中的源地址、目的地址、服務(wù)類型以集合論算法進(jìn)行數(shù)字化處理，分別得到源地址邏輯結(jié)果、目的地址邏輯結(jié)果以及服務(wù)類型邏輯結(jié)果，以及將策略需求信息中的需求狀態(tài)與區(qū)域策略信息中的策略狀態(tài)進(jìn)行比較生成狀態(tài)比較結(jié)果；然后根據(jù)源地址邏輯結(jié)果、目的地址邏輯結(jié)果、服務(wù)類型邏輯結(jié)果以及狀態(tài)比較結(jié)果確定策略匹配關(guān)系。上述源地址邏輯結(jié)果、目的地址邏輯結(jié)果以及服務(wù)類型邏輯結(jié)果為以下之一相離、相交、包含、相等、被包含。其中，相離是指兩個集合沒有任何交集；相交是指兩個集合存在交集，但不包括包含、相等和被包含三種情況；包含和被包含是指其中一個集合包含另一個，但不包括相等這種情況，包含和被包含關(guān)系的區(qū)別僅限于描述的主體不同；相等是指兩個集合包含的元素完全相同。狀態(tài)比較結(jié)果為相同或者不同，S卩，比較需求狀態(tài)與策略狀態(tài)這兩者是否相同。以下分別描述源地址、目的地址和服務(wù)類型以集合論算法進(jìn)行數(shù)字化處理的過程。具體實(shí)施時，由于源地址與目的地址格式相同，因此，源地址和目的地址可以使用相同的比較算法來獲取邏輯結(jié)果，以下將以源地址為例說明數(shù)字化處理過程。1源地址數(shù)字化處理源地址數(shù)字化處理的主要思想是將源地址進(jìn)行數(shù)字化處理，使用離散數(shù)學(xué)關(guān)于集合論的算法對數(shù)字化處理后的地址集合進(jìn)行邏輯比較。這樣做既可以保證邏輯比較結(jié)果的準(zhǔn)確性，也可以提高比較速度。具體的算法過程分為以下三步(1)數(shù)字化有序合并處理具體的利用下述公式1先將源地址(即源IP地址)用對應(yīng)的十進(jìn)制數(shù)值表示，每段地址使用該段地址的起始地址的數(shù)值和結(jié)束地址的數(shù)值表示，然后將多段地址進(jìn)行合并，合并的時候需要把重疊的地址段做去重處理，并且使合并后的所有數(shù)值按照從小到大的順序排列，使合并后的結(jié)果對應(yīng)于不同的實(shí)際地址集合是唯一的。例如，IP地址為:P3.P2.Pl.P0,則IP數(shù)值為IP數(shù)值=ΣPix(256)i公式ιi=0以表3所示的防火墻配置清單中的策略10002、以及圖2所示的multiple-communication為例來詳細(xì)描述源地址數(shù)字化處理過程。[0068]表3<table>tableseeoriginaldocumentpage9</column></row><table>如表3所示，配置清單中策略10002的源地址將組地址解析成地址之后，變?yōu)樗亩蔚刂返募蟵192.168.2.1/32，192.168.2.2/32，192.168.3.0/24，192.168.4.1/32}；根據(jù)上述公式1的數(shù)字化處理之后變?yōu)閧[3232236033，3232236033]，[3232236034，3232236034],[3232236288,3232236543],[3232236545,3232236545]}；由于3232236033和3232236034為連續(xù)整數(shù)，因此，可以將[3232236033,3232236033]和[3232236034，3232236034]合并為[3232236033，3232236034]，從而有序合并之后pS={[3232236033，3232236034],[3232236288,3232236543],[3232236545,3232236545]}按照同樣的算法，對圖2中mc的需求源地址集合{192.168.1.1/32，192.168.2.1/32}進(jìn)行數(shù)字化有序合并處理之后變?yōu)镾={[3232235777,3232235777],[3232236033,3232236033]}(2)進(jìn)行求交集運(yùn)算對數(shù)字化有序合并處理后得到的集合S和pS進(jìn)行求交集運(yùn)算，其過程是對S和pS中的每段地址分別求交集，然后將每段交集合并在一起，這樣得到的結(jié)果就是S和pS的交集SΠpS={[3232236033,3232236033]}(3)根據(jù)交集判斷集合關(guān)系在得到S和pS的交集之后，根據(jù)交集結(jié)果判斷S和pS的集合關(guān)系由于SΠpS={[3232236033，3232236033]}，因此SΠpS與S不相等，與pS也不相等，并且不為空，由此可以推斷出S與pS的關(guān)系是相交關(guān)系，即，源地址邏輯結(jié)果為相交關(guān)系。2服務(wù)類型數(shù)字化處理防火墻配置中的服務(wù)分為預(yù)定義和用戶定義兩種。預(yù)定義服務(wù)是指ftp、http、https、telnet等常用服務(wù)，這些服務(wù)用戶使用的時候不需要定義，可以直接引用。用戶定義服務(wù)是指那些不經(jīng)常使用的服務(wù)，用戶使用時需要先定義，這樣的服務(wù)通常通過tcp、udp端口來定義。服務(wù)類型數(shù)字化處理是將預(yù)定義服務(wù)的信息進(jìn)行轉(zhuǎn)換，轉(zhuǎn)換后的格式和用戶定義的服務(wù)格式一致，即，協(xié)議加端口的格式。然后，采用與上述源地址數(shù)字化處理相同的方式，對轉(zhuǎn)換格式后的服務(wù)類型進(jìn)行數(shù)字化有序合并處理，不同之處在于服務(wù)需要注意端口對應(yīng)的協(xié)議有可能不同，數(shù)字化有序合并處理后結(jié)果需要和協(xié)議對應(yīng)。如圖2所示，mc的需求服務(wù)集合為{ftp，http}，該ftp服務(wù)對應(yīng)tcp協(xié)議21號端口，http服務(wù)對應(yīng)tcp協(xié)議80號端口，數(shù)字化有序合并處理之后得到tcp協(xié)議的集合Sv={[21，21]，[80，80]}。類似地，如表3所示，配置清單中的策略10002的服務(wù)開通的是1352號端口，因此，策略10002的服務(wù)經(jīng)過數(shù)字化有序合并處理后也得到tcp協(xié)議的集合pSv={[1352,1352]}。通過對Sv和pSv求交集運(yùn)算之后，得到SvηPSv為空集，因此Sv和PSv的集合關(guān)系為相離關(guān)系，即，服務(wù)類型邏輯結(jié)果為相離關(guān)系。由以上描述可知，通過將multiple-communication的源地址S和區(qū)域策略的源地址PS進(jìn)行比較，目的地址D和區(qū)域策略的目的地址pD進(jìn)行比較，服務(wù)類型Sv和區(qū)域策略的服務(wù)類型PSv進(jìn)行比較，分別得到了S和pS、D和pD、Sv和pSv之間的邏輯結(jié)果，從而可以得到multiple-communication和區(qū)域策略之間的策略匹配關(guān)系。具體的策略匹配關(guān)系如表4所示表4<table>tableseeoriginaldocumentpage10</column></row><table>[0081]<table>tableseeoriginaldocumentpage10</column></row><table>(四)步驟105根據(jù)上述源地址邏輯結(jié)果、目的地址邏輯結(jié)果、服務(wù)類型邏輯結(jié)果以及狀態(tài)比較結(jié)果，依據(jù)策略生成表生成防火墻策略。策略生成表用于表示上述策略匹配關(guān)系與防火墻策略之間的映射關(guān)系，該策略生成表可以由系統(tǒng)或者工作人員根據(jù)網(wǎng)絡(luò)實(shí)際情況預(yù)先生成。例如，根據(jù)網(wǎng)絡(luò)實(shí)際情況可以預(yù)先生成如表5所示的策略生成信息。也就是說，在執(zhí)行步驟104之后，可以得出源地址邏輯結(jié)果、目的地址邏輯結(jié)果、服務(wù)邏輯以及狀態(tài)比較結(jié)果，利用這四個條件查詢表5，不同的情況給出當(dāng)前策略P的權(quán)重以及生成策略的方法。如表5所示其中，策略需求信息的源地址集合為S、目的地址集合為D、服務(wù)集合為Sv；ρ為當(dāng)前區(qū)域策略(以下用策略P表示)，p的源地址為pS、目的地址為pD、服務(wù)為pSv；Action是指該策略的狀態(tài)是開通/拒絕(permit/deny)。需要說明的是，策略ρ是遍歷當(dāng)前訪問方向的所有策略依據(jù)表5比較之后找到權(quán)重最小的策略，權(quán)重值越小優(yōu)先級越高。表5中的權(quán)重表示當(dāng)前區(qū)域策略與需求策略之間的關(guān)聯(lián)程度，權(quán)重值越小，表示關(guān)聯(lián)程度越高，權(quán)重值小的策略將替代權(quán)重值大的策略成為新的策略P。該策略P是將要生成策略的參考策略，因?yàn)閷⒁傻牟呗钥赡苁窃诓呗驭训幕A(chǔ)上追加需求信息，例如，在策略P之前或之后新增策略以滿足需求，當(dāng)然還可能是策略P已經(jīng)滿足了需求而無需再生成新的策略。表5<table>tableseeoriginaldocumentpage11</column></row><table>[0089]根據(jù)表5可知如果源地址邏輯結(jié)果為策略源地址包含需求源地址，目的地址邏輯結(jié)果為策略目的地址包含需求目的地址，服務(wù)類型邏輯結(jié)果為策略服務(wù)類型包含需求服務(wù)類型，且需求狀態(tài)與策略狀態(tài)為相同，則表示區(qū)域策略已完全滿足需求，無需生成策略；例如，對于“允許192.168.1.2訪問172.168.1.1的http服務(wù)”這樣的需求，執(zhí)行步驟104之后，依據(jù)表5找到策略P，例如，該策略P為192.168.1.1和192.168.1.2允許訪問172.168.1.1的http服務(wù)，則此時可以知道“策略P已滿足需求，無需生成策略”；如果源地址邏輯結(jié)果為策略源地址與需求源地址有交集，目的地址邏輯結(jié)果為策略目的地址與需求目的地址有交集，服務(wù)類型邏輯結(jié)果為策略服務(wù)類型與需求服務(wù)類型有交集，且需求狀態(tài)與策略狀態(tài)不同，則生成的防火墻策略為根據(jù)策略需求信息在區(qū)域策略信息之前增加新的策略，這條新增策略的源地址、目的地址、服務(wù)類型和策略狀態(tài)分別對應(yīng)需求信息中的源地址、目的地址、服務(wù)類型和需求狀態(tài)，這條新增策略的Action與策略ρ的Action剛好相反，這樣才能滿足需求；例如，對于“允許192.168.1.2訪問172.16.1.1的http服務(wù)”這樣的需求，執(zhí)行步驟104之后，依據(jù)表5找到策略p，例如，該策略ρ為192.168.1.1和192.168.1.2拒絕訪問172.16.1.1的http服務(wù)，則此時可以知道需要“在策略P之前新增策略”，即，生成的策略為“允許192.168.1.2訪問172.16.1.1的http服務(wù)”；如果源地址邏輯結(jié)果為策略源地址與需求源地址相同，目的地址邏輯結(jié)果為策略目的地址與需求目的地址相同，服務(wù)類型邏輯結(jié)果為需求服務(wù)類型包含策略服務(wù)類型，且需求狀態(tài)與策略狀態(tài)相同，則生成的防火墻策略為根據(jù)策略需求信息在區(qū)域策略信息中增加新的服務(wù)類型，即，生成策略為“追加策略P的服務(wù)”，表示需要對區(qū)域策略P的服務(wù)進(jìn)行擴(kuò)大；例如，對于“允許192.168.1.2訪問172.16.1.1的http服務(wù)”這樣的需求，執(zhí)行步驟104之后，依據(jù)表5找到策略p，例如，該策略ρ為192.168.1.2允許訪問172.16.1.1的ftp服務(wù)，此時可以知道將策略ρ的服務(wù)擴(kuò)大為http和ftp，就可以滿足需求，即，生成的策略為“允許192.168.1.2訪問172.16.1.1的http和ftp服務(wù)”；[0093]如果源地址邏輯結(jié)果為策略源地址與需求源地址相同，目的地址邏輯結(jié)果為需求目的地址包含策略目的地址，服務(wù)類型邏輯結(jié)果為策略服務(wù)類型與需求服務(wù)類型相同，且需求狀態(tài)與策略狀態(tài)相同，則生成的防火墻策略為根據(jù)策略需求信息在區(qū)域策略信息中增加新的目的地址，即，生成策略為“追加策略P的目的地址”。例如，對于“允許192.168.1.2訪問172.16.1.1和172.16.1.2的http服務(wù)”這樣的需求，執(zhí)行步驟104之后，依據(jù)表5找到策略P，例如，該策略P為=192.168.1.2允許訪問172.16.1.1的http服務(wù)，此時可以知道將策略P的目的地址擴(kuò)大為172.16.1.1和172.16.1.2，就可以滿足需求，S卩，生成的策略為“允許192.168.1.2訪問172.16.1.1和172.16.1.2的http服務(wù)”；如果源地址邏輯結(jié)果為需求源地址包含策略源地址，目的地址邏輯結(jié)果為策略目的地址與需求目的地址相同，服務(wù)類型邏輯結(jié)果為策略服務(wù)類型與需求服務(wù)類型相同，且需求狀態(tài)與策略狀態(tài)相同，則生成的防火墻策略為根據(jù)策略需求信息在區(qū)域策略信息中增加新的源地址，即，生成策略為“追加策略P的源地址”。例如，對于“允許192.168.1.1和192.168.1.2訪問172.16.1.1的http服務(wù)”這樣的需求，執(zhí)行步驟104之后，依據(jù)表5找到策略P，例如，該策略P為=192.168.1.2允許訪問172.16.1.1的ttp服務(wù)，此時可以知道將策略P的源地址擴(kuò)大為192.168.1.1和192.168.1.2，就可以滿足需求，S卩，生成的策略為“允許192.168.1.1和192.168.1.2訪問172.16.1.1的http服務(wù)”；對于策略匹配關(guān)系為“其他情況”時，表示策略需求信息與區(qū)域策略不相關(guān)，此時生成的策略為“在當(dāng)前訪問方向的所有策略之后新增策略”，以滿足策略需求信息。此處的“在當(dāng)前訪問方向的所有策略之后新增策略”與上述生成策略為“在策略P之前新增策略”是不同的，因?yàn)?，“在策略P之前新增策略”對應(yīng)的策略匹配關(guān)系為“SηPS興Φ、ηPD興φ、SvηpSv^Φ、Action=不相同”，該策略匹配關(guān)系表示策略需求信息與當(dāng)前區(qū)域策略是相關(guān)的，因此，“在策略P之前新增策略”也應(yīng)在策略P的基礎(chǔ)上進(jìn)行修改，而此處的“新增策略”，與策略P是沒有關(guān)系的。在滿足同樣的策略需求時，如果不加任何限制條件的話，會有很多種防火墻策略能讓變更后的配置滿足需求，因此，如表5所示，在這張表中不同的動作有不同的權(quán)重，選擇權(quán)重最小(即優(yōu)先級最高)的策略去生成防火墻策略，在該表5，權(quán)重都是相等的，表示如果發(fā)現(xiàn)了一個權(quán)重為0的策略，那么這個策略就成為參考策略，后面如果存在其他權(quán)重為0的策略也無法替代成為當(dāng)前的參考策略，這樣的設(shè)置在實(shí)際使用過程中被證明是有效的，當(dāng)然也可以適當(dāng)調(diào)整追加參考策略的源地址、目的地址、服務(wù)這三種情況的權(quán)值，調(diào)整之后，可以在同時滿足兩種或三種情況的時候，能優(yōu)先按某種追加方式來修改參考策略。在根據(jù)生成的防火墻策略修改策略之前，還需要檢查當(dāng)前配置的狀態(tài)，以確保不會發(fā)生和現(xiàn)有配置有沖突的情況，然后將生成的防火墻策略更新到區(qū)域與策略關(guān)系表中，以及時更新防火墻策略，這樣就可以使下一需求能參考最新的防火墻策略去生成策略。下面基于圖3所示的網(wǎng)絡(luò)結(jié)構(gòu)、以及表6所示的防火墻策略申請(即上述的策略需求信息)為例，來說明防火墻策略的生成過程。表6<table>tableseeoriginaldocumentpage13</column></row><table>如圖3所示，區(qū)域A和區(qū)域B之間的訪問需要經(jīng)過防火墻FW，區(qū)域A服務(wù)器分配的網(wǎng)段為192.168.0.0/16，區(qū)域B服務(wù)器分配的網(wǎng)段為172.16.0.0/16。防火墻FW的當(dāng)前配置可以參考表7，如表7所示，從當(dāng)前的配置可以看出，防火墻FW只開通了兩條訪問策略，允許區(qū)域A地址為192.168.3.1和192.168.4.1的服務(wù)器可以訪問區(qū)域B地址為172.16.3.1的服務(wù)器，且僅開通了tcp的1352端口，策略10002完全被策略10006所包含，策略10002不會被任何session命中；除此之外，其他任何訪問都被拒絕。表7<table>tableseeoriginaldocumentpage13</column></row><table>如圖4所示，防火墻策略生成方法包括步驟401，以“行”為單位分析策略需求信息，根據(jù)預(yù)存的地址區(qū)域表確定需求源區(qū)域和需求目的區(qū)域，即，根據(jù)源地址“192.168.1.1和192.168.2.1”以及圖3所示的網(wǎng)絡(luò)結(jié)構(gòu)確定源區(qū)域?yàn)閰^(qū)域A，根據(jù)目的地址“172.16.1.1和172.16.2.1”以及圖3所示的網(wǎng)絡(luò)結(jié)構(gòu)確定目的區(qū)域?yàn)閰^(qū)域B;步驟402，根據(jù)源、目的區(qū)域以及預(yù)存的區(qū)域與策略關(guān)系表確定區(qū)域策略，g卩，根據(jù)源區(qū)域?yàn)閰^(qū)域A、目的區(qū)域?yàn)閰^(qū)域B以及表7所示的配置確定當(dāng)前區(qū)域策略，為策略10002和策略10006；步驟403，根據(jù)上述的步驟104中所述的匹配方法，確定第一行策略需求信息與當(dāng)前區(qū)域策略之間的策略匹配關(guān)系，并根據(jù)策略匹配關(guān)系、以及如表5所示的策略生成表生成防火墻策略，在本例中，將會生成的防火墻策略是策略10001，該訪問是被拒絕的；步驟404，根據(jù)步驟403生成的防火墻策略更新區(qū)域與策略關(guān)系表，即更新表7所示的配置清單。在本示例中，生成的防火墻策略為表5中的第二條策略，S卩，為滿足需求需要在策略10001之前新增條策略。在增加新策略之前，還需要查看新策略要引用的地址、服務(wù)是否都已經(jīng)存在，并將新策略的相關(guān)配置更新到區(qū)域與策略關(guān)系表中；步驟405，判斷是否還有策略需求信息，如果有，則執(zhí)行步驟401；否則，執(zhí)行步驟406；在本例中，還需要執(zhí)行第二行需求；步驟406，將針對于每行需求信息的防火墻策略進(jìn)行收集整合。以便于呈現(xiàn)給用戶。在執(zhí)行相應(yīng)于第二行需求的防火墻策略時，由于區(qū)域策略表中新增了一條策略，這條策略為滿足第一行需求添加的。此時，根據(jù)防火墻策略生成表(表5所示)會匹配到新增的這條策略，為滿足需求需要在新增的這條策略上追加http服務(wù)，在追加http服務(wù)之前，需要查看http服務(wù)是否需要定義，如果沒有，則在新增的這條策略上追加http服務(wù)，并更新到區(qū)域與策略關(guān)系表中。最后，用戶會得到如圖5所示的防火墻策略，不難看出來生成的防火墻策略能夠較好理解用戶的需求，成功的模擬了人工邏輯，生成了在當(dāng)前配置中用于滿足需求的防火墻策略。實(shí)施例二本實(shí)用新型實(shí)施例還提供一種防火墻策略生成裝置，該裝置優(yōu)選地用于實(shí)現(xiàn)上述實(shí)施例一中的方法，如圖6所示，該裝置包括存儲單元600，存儲地址區(qū)域關(guān)系表和區(qū)域與策略關(guān)系表，其中，地址區(qū)域關(guān)系表用于表示區(qū)域與地址之間的對應(yīng)關(guān)系，區(qū)域與策略關(guān)系表用于表示表示區(qū)域訪問方向與策略之間的映射關(guān)系；需求信息接收單元601，接收包含需求源地址、需求目的地址、需求服務(wù)類型和需求狀態(tài)的策略需求信息；區(qū)域獲取單元602，與需求信息接收單元601和存儲單元600連接，根據(jù)需求源地址和需求目的地址從地址區(qū)域關(guān)系表中獲取源服務(wù)器和目的服務(wù)器所在的區(qū)域；區(qū)域策略獲取單元603，與區(qū)域獲取單元602和存儲單元600連接，根據(jù)源服務(wù)器和目的服務(wù)器所在的區(qū)域從區(qū)域與策略關(guān)系表中獲取源服務(wù)器和目的服務(wù)器所在區(qū)域?qū)?yīng)的包含策略源地址、策略目的地址、策略服務(wù)類型和策略狀態(tài)的區(qū)域策略信息；邏輯運(yùn)算單元604，與需求信息接收單元601和區(qū)域獲取單元603連接，將需求源地址與策略源地址進(jìn)行邏輯運(yùn)算生成源地址邏輯結(jié)果，將需求目的地址與策略目的地址進(jìn)行邏輯運(yùn)算生成目的地址邏輯結(jié)果，將需求服務(wù)類型與策略服務(wù)類型進(jìn)行邏輯運(yùn)算生成服務(wù)類型邏輯結(jié)果，將所述的需求狀態(tài)與策略狀態(tài)進(jìn)行比較生成狀態(tài)比較結(jié)果；防火墻策略生成單元605，與邏輯運(yùn)算單元604連接，用于根據(jù)源地址邏輯結(jié)果、目的地址邏輯結(jié)果、服務(wù)類型邏輯結(jié)果和狀態(tài)比較結(jié)果生成防火墻策略。由以上描述可以看出，通過區(qū)域獲取單元根據(jù)需求源地址和需求目的地址從地址區(qū)域關(guān)系表中確定源服務(wù)器和目的服務(wù)器所在的區(qū)域，然后區(qū)域策略獲取單元根據(jù)源服務(wù)器和目的服務(wù)器所在的區(qū)域從區(qū)域與策略關(guān)系表中確定區(qū)域策略信息，進(jìn)而邏輯運(yùn)算單元將需求源地址與策略源地址、需求目的地址與策略目的地址、需求服務(wù)類型與策略服務(wù)類型分別進(jìn)行邏輯運(yùn)算、以及將需求狀態(tài)與策略狀態(tài)進(jìn)行比較，之后防火墻策略生成單元根據(jù)邏輯運(yùn)算和比較結(jié)果生成防火墻策略，相比于現(xiàn)有技術(shù)，通過本發(fā)明實(shí)施例生成的防火墻策略實(shí)現(xiàn)較簡單并且準(zhǔn)確度較高。具體地，如圖7所示，上述防火墻策略生成單元605包括第一防火墻策略生成模塊6051，與邏輯運(yùn)算單元連接，在源地址邏輯結(jié)果為策略源地址與需求源地址有交集、目的地址邏輯結(jié)果為策略目的地址與需求目的地址有交集、服務(wù)類型邏輯結(jié)果為策略服務(wù)類型與需求服務(wù)類型有交集、且狀態(tài)比較結(jié)果為需求狀態(tài)與策略狀態(tài)不同時，根據(jù)策略需求信息在區(qū)域策略信息之前增加新的策略；第二防火墻策略生成模塊6052，與邏輯運(yùn)算單元連接，在源地址邏輯結(jié)果為策略源地址與需求源地址相同、目的地址邏輯結(jié)果為策略目的地址與需求目的地址相同、服務(wù)類型邏輯結(jié)果為需求服務(wù)類型包含策略服務(wù)類型、且狀態(tài)比較結(jié)果為需求狀態(tài)與策略狀態(tài)相同時，根據(jù)策略需求信息在區(qū)域策略信息中增加新的服務(wù)類型；第三防火墻策略生成模塊6053，與邏輯運(yùn)算單元連接，在源地址邏輯結(jié)果為策略源地址與需求源地址相同、目的地址邏輯結(jié)果為需求目的地址包含策略目的地址、服務(wù)類型邏輯結(jié)果為策略服務(wù)類型與需求服務(wù)類型相同、且狀態(tài)比較結(jié)果為需求狀態(tài)與策略狀態(tài)相同時，根據(jù)策略需求信息在區(qū)域策略信息中增加新的目的地址；第四防火墻策略生成模塊6054，與邏輯運(yùn)算單元連接，在源地址邏輯結(jié)果為需求源地址包含策略源地址、目的地址邏輯結(jié)果為策略目的地址與需求目的地址相同、服務(wù)類型邏輯結(jié)果為策略服務(wù)類型與需求服務(wù)類型相同、且狀態(tài)比較結(jié)果為需求狀態(tài)與策略狀態(tài)相同時，根據(jù)策略需求信息在區(qū)域策略信息中增加新的源地址。在具體實(shí)施時，防火墻策略生成單元605還包括第五防火墻策略生成模塊，與邏輯運(yùn)算單元連接(圖中未示出)，在源地址邏輯結(jié)果為策略源地址包含需求源地址、目的地址邏輯結(jié)果為策略目的地址包含需求目的地址、服務(wù)類型邏輯結(jié)果為策略服務(wù)類型包含需求服務(wù)類型、狀態(tài)比較結(jié)果為需求狀態(tài)與策略狀態(tài)相同時，將區(qū)域策略獲取單元獲取的區(qū)域策略信息作為生成的防火墻策略。如圖8所示，該防火墻策略生成裝置還包括策略更新單元606，與防火墻策略生成單元605和存儲單元600連接，將防火墻策略生成單元生成的防火墻策略更新到存儲單元存儲的區(qū)域與策略關(guān)系表中。上述各單元、各模塊的具體執(zhí)行過程可以參考上述實(shí)施例一中的相關(guān)描述，本實(shí)施例不再贅述。實(shí)施例三本實(shí)用新型實(shí)施例還提供一種防火墻策略生成系統(tǒng)，包括如實(shí)施例二所述的防火墻策略生成裝置，如圖9所示，該系統(tǒng)采用三層結(jié)構(gòu)，自上而下依次為展現(xiàn)層1、功能邏輯層2、和數(shù)據(jù)層3，以下以從下至上的順序分別描述這三層結(jié)構(gòu)。數(shù)據(jù)層3負(fù)責(zé)向功能邏輯層2提供防火墻的配置信息，分為配置文件31和配置信息數(shù)據(jù)庫30兩種方式，配置信息數(shù)據(jù)庫中的數(shù)據(jù)是通過提前解析配置文件獲取的，該數(shù)據(jù)層具有上述存儲單元600的功能。功能邏輯層2用于根據(jù)防火墻配置信息模擬防火墻設(shè)備，向展現(xiàn)層1提供不同的功能。功能邏輯層2按照封裝的理念又分為兩層，上層為功能接口層21，下層為防火墻虛擬機(jī)22。功能接口層具有高可擴(kuò)展性，便于以后擴(kuò)展其他功能。目前功能接口層包括防火墻策略校驗(yàn)功能接口210、防火墻策略生成功能接口211、垃圾配置清除功能接口212以及擴(kuò)展功能接口213。其中，防火墻策略校驗(yàn)功能接口用于向展現(xiàn)層提供防火墻策略校驗(yàn)功能；防火墻策略生成功能接口用于向展現(xiàn)層提供防火墻策略生成功能，該防火墻策略生成功能接口具有上述防火墻策略生成裝置的功能；垃圾配置清除功能接口用于向展現(xiàn)層提供垃圾配置清除功能。防火墻虛擬機(jī)用于維護(hù)和管理防火墻的各種配置信息，向功能接口層提供配置查詢、配置更新以及策略匹配的服務(wù)。展現(xiàn)層1用于提供與用戶交互的界面，用戶可以通過web瀏覽器10使用防火墻策略生成系統(tǒng)提供的各種功能。以下結(jié)合圖9所示的結(jié)構(gòu)，詳細(xì)描述防火墻虛擬機(jī)22。防火墻虛擬機(jī)是防火墻策略生成系統(tǒng)的主要組成部分，分為中央處理單元220和配置信息管理單元221。其中，中央處理單元220包括配置查詢模塊2200、配置更新模塊2201和策略匹配模塊2202，這些模塊可以高效的獲取或者更新配置信息。配置信息管理單元221包含各個子配置管理器，這些子配置管理器用于有條不紊的管理各自的信息，保持各自信息的完整性。其中配置信息管理單元是以防火墻配置中各種子元素為類別，分別建立對應(yīng)的管理器來管理這些子元素。這些管理器按照信息來源分為原始元素管理器和擴(kuò)展元素管理器(圖中未示出)。原始元素管理器是指管理的元素是防火墻配置信息中有直接定義的管理器，這些元素包括策略、地址、地址組、服務(wù)、服務(wù)組、日程、區(qū)域、路由以及接口等等；擴(kuò)展元素管理器管理的元素在防火墻的配置中找不到直接信息，但是為了滿足一些查詢功能的需求，需要進(jìn)行擴(kuò)展定義。如圖9所示，元原始元素管理器包括地址-區(qū)域管理器2210和區(qū)域_策略管理器2211。其中，地址-區(qū)域管理器用于存儲地址-區(qū)域表，該地址-區(qū)域表描述了區(qū)域及其地址范圍的對應(yīng)關(guān)系，該地址_區(qū)域表對應(yīng)于上述的地址區(qū)域表。該地址_區(qū)域表可以根據(jù)路由表管理器22100中的路有表、接口表管理器22101中的接口表和區(qū)域表管理器22102中的區(qū)域表這三個原始元素表建立起來，用于快速查詢用戶提交的防火墻策略需求信息中每行需求的源目區(qū)域。區(qū)域_策略管理器2211用于存儲區(qū)域-策略表，該區(qū)域_策略表對應(yīng)于上述的區(qū)域與策略關(guān)系表，該區(qū)域_策略表按照區(qū)域的訪問方向把策略進(jìn)行分組，訪問方向相同(即源目區(qū)域相同)的策略歸為一組。該區(qū)域-策略表是根據(jù)區(qū)域表管理器22102中區(qū)域表和策略管理器22110中的策略表建立起來的，策略表又是由區(qū)域表管理器22102中區(qū)域表、地址管理器221100中的地址表、地址組管理器221101中的地址組表、服務(wù)組管理器221102中的服務(wù)組表、服務(wù)管理器221103中的服務(wù)表以及日程表管理器221104中的日程表建立而成。策略管理器22110中的策略表和地址-區(qū)域管理器2210中的地址-區(qū)域表一起使用來加快定位與用戶提交的防火墻策略需求匹配的策略，這樣可以避免每次策略匹配都和整個策略表進(jìn)行匹配，縮小了需要匹配的策略的范圍，從而可以進(jìn)一步提高需求與策略匹配過程的性能。中央處理單元是防火墻虛擬機(jī)的核心邏輯單元，該單元通過調(diào)用各個元素管理器，對虛擬機(jī)中的各個表進(jìn)行查詢和更新操作，對整個虛擬機(jī)進(jìn)行完整性維護(hù)。如圖9所示，中央處理單元包含了配置查詢模塊2200、配置更新模塊2201以及策略匹配模塊2202，其中配置查詢模塊，具有上述區(qū)域獲取單元和區(qū)域策略獲取單元的功能，可以對配置中的所有信息進(jìn)行查詢，比如根據(jù)策略id查詢策略信息、根據(jù)特定ip地址可以查詢那些16地址、地址組、策略跟這個ip地址有關(guān)、查詢某個ip地址是否已經(jīng)定義過等等。配置更新模塊，具有上述策略更新單元的功能，可以向配置中添加、刪除以及更新任何元素的信息，比如向配置中增加一個地址、從配置中刪除一個策略、向配置中某個策略追加服務(wù)等等，所有這些更新操作都會檢查當(dāng)前配置的狀態(tài)，確保不會發(fā)生和現(xiàn)有配置有沖突的情況，以確保虛擬機(jī)中配置信息的完整。策略匹配模塊，具有邏輯運(yùn)算單元和防火墻策略生成單元的功能，該策略匹配模塊可以根據(jù)提供的源地址、目的地址和服務(wù)類型和需求狀態(tài)去匹配策略。本實(shí)施例中的防火墻虛擬機(jī)與現(xiàn)有技術(shù)中的防火墻處理引擎的最大不同是:防火墻處理引擎中策略匹配算法處理的單位是single-communication(單通信)，而在防火墻虛擬機(jī)中與策略匹配的單位既可能是single-communication，又可能是multiple-communication(多通信，可以簡禾爾為mc)。其中，single-communication是指一次網(wǎng)絡(luò)通信，通信報(bào)文的源地址、目的地址和服務(wù)(可以對應(yīng)一個像pingdraceroute這樣的三層服務(wù)，也可以對應(yīng)一個tcp/udp端口)各只有一個。而multiple-communication是多個single-communication的集合，multiple-communication的表不方式為源地址集合S，目的地址集合D和服務(wù)集合Sv的笛卡爾積(SXDXSv)。在multiple-communication和當(dāng)前區(qū)域策略進(jìn)行匹配的時候，如果把multiple-communication分解為若干個single-communication的集合,然后按照防火墻引擎的算法和策略進(jìn)行匹配理論上是可行的，但是在實(shí)際操作中，這種方法是不可取的，理由如下以圖10所示為例:mc源地址有兩個地址{192.168.1.1,192.168.2.1}，目的地址有兩個地址{172.16.1.1，172.16.2.1}，服務(wù)有兩個{ftp,http}，則mc會分解成包含S.sizeXD.sizeXSv.size=2X2X2=8個single-communication的集合{(192.168.1.1，172.16.1.1，ftp)，(192.168.1.1，172.16.1.1，http)，(192.168.1.1，172.16.1.2，ftp)，(192.168.1.1，172.16.1.2，http)，(192.168.1.2，172.16.1.1，ftp)，(192.168.1.2，172.16.1.1，http)，(192.168.1.2，172.16.1.2，ftp)，(192.168.1.2，172.16.1.2，http)}；此時，一個multiple-communication將會被分解為8個single-communication去和當(dāng)前區(qū)域策略匹配。由于圖10中所示得S、D和Sv每個集合的元素個數(shù)都比較少，分解前后策略匹配的性能看不出明顯的差異，但是當(dāng)其中某個集合元素個數(shù)很多的時候，分解出來的single-communication數(shù)量會很大，比如說當(dāng)源地址中增加一個A類地址，那么將會產(chǎn)生數(shù)量龐大的single-communication，這時性能上的差異將十分明顯。在本實(shí)施例中，防火墻虛擬機(jī)的策略匹配模塊采用的是集合處理方法，即實(shí)施例一中步驟104所述的將源地址、目的地址和服務(wù)類型以集合論算法進(jìn)行數(shù)字化處理，該數(shù)字化處理，由于不需要對multiple-communication進(jìn)行分解，省去了數(shù)量龐大的策略比較帶來的性能開銷。具體地處理過程，可以參考上述的相關(guān)描述，這里不再贅述。在具體實(shí)施時，防火墻策略生成系統(tǒng)以“行”為單位分析策略需求信息，根據(jù)策略需求信息中的源、目的地址調(diào)用虛擬機(jī)的配置查詢模塊，配置查詢模塊通過檢索“地址_區(qū)域表”返回源、目的區(qū)域；然后，根據(jù)源、目的區(qū)域，配置查詢模塊再次通過檢索“區(qū)域_策略表”確定當(dāng)前區(qū)域策略；最后在返回的當(dāng)前區(qū)域策略中調(diào)用虛擬機(jī)的策略匹配模塊，得到最后的匹配結(jié)果，以生成防火墻策略。通過本實(shí)施例，可以實(shí)現(xiàn)防火墻策略的自動化維護(hù)處理，提高了防火墻策略生成和變更的效率。綜上所述，通過本實(shí)用新型實(shí)施例生成的防火墻策略實(shí)現(xiàn)較簡單、準(zhǔn)確度較高，從而可以提高防火墻系統(tǒng)的安全性、穩(wěn)定性。本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例方法中的全部或部分步驟可以通過程序來指令相關(guān)的硬件來完成，該程序可以存儲于一計(jì)算機(jī)可讀取存儲介質(zhì)中，比如ROM/RAM、磁碟、光盤等。以上所述的具體實(shí)施例，對本實(shí)用新型的目的、技術(shù)方案和有益效果進(jìn)行了進(jìn)一步詳細(xì)說明，所應(yīng)理解的是，以上所述僅為本實(shí)用新型的具體實(shí)施例而已，并不用于限定本實(shí)用新型的保護(hù)范圍，凡在本實(shí)用新型的精神和原則之內(nèi)，所做的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本實(shí)用新型的保護(hù)范圍之內(nèi)。權(quán)利要求一種防火墻策略生成裝置，其特征在于，所述的裝置包括存儲單元，存儲地址區(qū)域關(guān)系表和區(qū)域與策略關(guān)系表；需求信息接收單元，接收包含需求源地址、需求目的地址、需求服務(wù)類型和需求狀態(tài)的策略需求信息；區(qū)域獲取單元，與所述的需求信息接收單元和所述的存儲單元連接，根據(jù)所述的需求源地址和需求目的地址從所述的地址區(qū)域關(guān)系表中獲取源服務(wù)器和目的服務(wù)器所在的區(qū)域；區(qū)域策略獲取單元，與所述的區(qū)域獲取單元和所述的存儲單元連接，根據(jù)所述的源服務(wù)器和目的服務(wù)器所在的區(qū)域，從所述的區(qū)域與策略關(guān)系表中獲取所述源服務(wù)器和目的服務(wù)器所在區(qū)域?qū)?yīng)的包含策略源地址、策略目的地址、策略服務(wù)類型和策略狀態(tài)的區(qū)域策略信息；邏輯運(yùn)算單元，與所述的需求信息接收單元和區(qū)域獲取單元連接，將所述的需求源地址與策略源地址進(jìn)行邏輯運(yùn)算生成源地址邏輯結(jié)果，將所述的需求目的地址與策略目的地址進(jìn)行邏輯運(yùn)算生成目的地址邏輯結(jié)果，將所述的需求服務(wù)類型與策略服務(wù)類型進(jìn)行邏輯運(yùn)算生成服務(wù)類型邏輯結(jié)果，將所述的需求狀態(tài)與策略狀態(tài)進(jìn)行比較生成狀態(tài)比較結(jié)果；防火墻策略生成單元，與所述的邏輯運(yùn)算單元連接，根據(jù)所述的源地址邏輯結(jié)果、目的地址邏輯結(jié)果、服務(wù)類型邏輯結(jié)果和狀態(tài)比較結(jié)果生成防火墻策略。2.根據(jù)權(quán)利要求1所述的裝置，其特征在于，所述的防火墻策略生成單元包括第一防火墻策略生成模塊，與所述的邏輯運(yùn)算單元連接，在所述的源地址邏輯結(jié)果為策略源地址與需求源地址有交集、所述的目的地址邏輯結(jié)果為策略目的地址與需求目的地址有交集、所述的服務(wù)類型邏輯結(jié)果為策略服務(wù)類型與需求服務(wù)類型有交集、所述的狀態(tài)比較結(jié)果為需求狀態(tài)與策略狀態(tài)不同時，根據(jù)所述的策略需求信息在所述的區(qū)域策略信息之前增加新的策略；第二防火墻策略生成模塊，與所述的邏輯運(yùn)算單元連接，在所述的源地址邏輯結(jié)果為策略源地址與需求源地址相同、所述的目的地址邏輯結(jié)果為策略目的地址與需求目的地址相同、所述的服務(wù)類型邏輯結(jié)果為需求服務(wù)類型包含策略服務(wù)類型、所述的狀態(tài)比較結(jié)果為需求狀態(tài)與策略狀態(tài)相同時，根據(jù)所述的策略需求信息在所述的區(qū)域策略信息中增加新的服務(wù)類型；第三防火墻策略生成模塊，與所述的邏輯運(yùn)算單元連接，在所述的源地址邏輯結(jié)果為策略源地址與需求源地址相同、所述的目的地址邏輯結(jié)果為需求目的地址包含策略目的地址、所述的服務(wù)類型邏輯結(jié)果為策略服務(wù)類型與需求服務(wù)類型相同、所述的狀態(tài)比較結(jié)果為需求狀態(tài)與策略狀態(tài)相同時，根據(jù)所述的策略需求信息在所述的區(qū)域策略信息中增加新的目的地址；第四防火墻策略生成模塊，與所述的邏輯運(yùn)算單元連接，在所述的源地址邏輯結(jié)果為需求源地址包含策略源地址、所述的目的地址邏輯結(jié)果為策略目的地址與需求目的地址相同、所述的服務(wù)類型邏輯結(jié)果為策略服務(wù)類型與需求服務(wù)類型相同、所述的狀態(tài)比較結(jié)果為需求狀態(tài)與策略狀態(tài)相同時，根據(jù)所述的策略需求信息在所述的區(qū)域策略信息中增加新的源地址。3.根據(jù)權(quán)利要求1所述的裝置，其特征在于，所述的防火墻策略生成單元還包括第五防火墻策略生成模塊，與所述的邏輯運(yùn)算單元連接，在所述的源地址邏輯結(jié)果為策略源地址包含需求源地址、所述的目的地址邏輯結(jié)果為策略目的地址包含需求目的地址、所述的服務(wù)類型邏輯結(jié)果為策略服務(wù)類型包含需求服務(wù)類型、所述的狀態(tài)比較結(jié)果為需求狀態(tài)與策略狀態(tài)相同時，將所述區(qū)域策略獲取單元獲取的區(qū)域策略信息作為所述生成的防火墻策略。4.根據(jù)權(quán)利要求1所述的裝置，其特征在于，所述的裝置還包括策略更新單元，與所述的防火墻策略生成單元和存儲單元連接，將所述防火墻策略生成單元生成的防火墻策略更新到所述存儲單元存儲的區(qū)域與策略關(guān)系表中。5.一種防火墻策略生成系統(tǒng)，其特征在于，所述的系統(tǒng)包括如權(quán)利要求1至4中任一項(xiàng)所述的防火墻策略生成裝置。專利摘要本實(shí)用新型提供一種防火墻策略生成裝置及系統(tǒng)，其中，該裝置包括存儲單元，存儲地址區(qū)域關(guān)系表和區(qū)域與策略關(guān)系表；需求信息接收單元，接收包含需求源地址、需求目的地址和需求服務(wù)類型的策略需求信息區(qū)域獲取單元，根據(jù)需求源地址和需求目的地址從地址區(qū)域關(guān)系表中獲取源服務(wù)器和目的服務(wù)器所在的區(qū)域；區(qū)域策略獲取單元，根據(jù)源服務(wù)器和目的服務(wù)器所在的區(qū)域從區(qū)域與策略關(guān)系表中獲取對應(yīng)的包含策略源地址、策略目的地址和策略服務(wù)類型的區(qū)域策略信息；邏輯運(yùn)算單元，將需求源地址與策略源地址、需求目的地址與策略目的地址、需求服務(wù)類型與策略服務(wù)類型分別進(jìn)行邏輯運(yùn)算生成邏輯結(jié)果；防火墻策略生成單元，根據(jù)邏輯結(jié)果生成防火墻策略。文檔編號H04L9/00GK201577106SQ20102000045公開日2010年9月8日申請日期2010年1月15日優(yōu)先權(quán)日2010年1月15日發(fā)明者岳紅超,張曉丹,張穎,李新印,王希,王穎,肖國彬申請人:中國工商銀行股份有限公司