79]ip2:10001111 ipmask2:11100011
[0180]e.g.19情况下,ipmaskl和ipmask2 二进制数值中0的个数差为1,ipmaskl和ipmask2 二进制数值中不同位数差为0,除去两者不关心位的集(即最后五位),两者源码其它位一样,此时比较归并前与归并后的ip个数变化,首先计算归并前两者包含的ip个数:ipl 与 ipmaskl 中包含的 ip 有 4 个(10010100,10010101,10010110,10010111),而ip2 与 ipmask2 中包含的 ip 有 8 个(10000011,10000111,10001011,10001111,10010011,10010111,10011011,10011111),这里有I个重复的iplOOlOlll,因此ip个数共计为11个;再计算归并后的ip个数:2~5 = 32,因此相较与归并前增加了 21个ip。这种情况的特点是ipmaskl与ipmask2的二进制数值为O的位是没有对齐的,(ipl&ipmaskl&ipmask2)=(ip2&ipmaskl&ipmask2),两者包含的ip有重复,重复的ip个数计算参看上面的e.g.11,假设与两个掩码中公共为O的bit位个数q是有关系的,不难推出,ip重复个数为2的q次方,假设ipmaskl 二进制数值位为O的个数为nl, ipmask2 二进制数值位为O的个数为n2,则归并后增加的ip个数为(2' (nl+n2-q)_2~nl - 2'n2+2'q)。
[0181]确定两个掩码中二进制数值位为O的位是否对齐的推导如下:e.g.17中两个掩码二进制数值位为O的位是对齐的,而e.g.19中两个掩码中二进制数值位为O的位是没有对齐的,比较两个掩码的每一位,不难发现前者两个掩码的不相同的位数与两个掩码二进制为O的位数差值相等,而后者两个掩码的不相同的位数与两个掩码二进制为O的位数差值不相等,由这个规律可以确定两个掩码中二进制位为O的位是否对齐。
[0182]e.g.20
[0183]ipl:10000101 ipmaskl:11111100
[0184]ip2:10001111 ipmask2:11110001
[0185]e.g.20的分析过程与e.g.19 一样,只不过这里ipmaskl与ipmask2的二进制数值位为O的公共位数为I,两者包含的ip重复个数为2~1 = 2。
[0186]e.g.21
[0187]ipl:10010101 ipmaskl:11111100
[0188]ip2:10101111 ipmask2:11100011
[0189]e.g.21与e.g.19的区别在于,除去两者不关心位的集(即最后五位),两者源码其它位bit3是不一样的,这样两者包含的ip没有重复部分,归并后的ip计算为:假设(ipl&ipmaskl&ipmask2) xor (ip2&ipmaskl&ipmask2)的结果中 bit 位为 I 的个数为m(m> =
I),ipmaskl 二进制数值位为O的个数为nl, ipmask2 二进制数值位为O的个数为n2,则归并后增加的 ip 个数为(2~ (nl+n2+m)-2~nl - 2'n2)。
[0190]本发明实施例提供的技术方案,通过以IP为例,具体说明了第一待操作规则和第二待操作规则合并或归并过程,上述访问控制策略规则的操作,在不影响数据放行规则的前提下大大减少访问控制策略规则数量,提高整体访问控制策略规则研判效率,同时解决了访问控制策略规则数量限制问题,使访问控制策略规则可以在超大型企业应用中无限配置。
[0191]注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
【主权项】
1.一种访问控制策略规则的操作方法,其特征在于,包括: 获取新产生的访问控制策略规则作为第一待操作规则,获取访问控制策略规则集中的任一访问控制策略规则作为第二待操作规则,判断所述第一待操作规则与所述第二待操作规则包含的防火墙策略元素数量及类别是否相同; 若是,依次判断所述第一待操作规则与所述第二待操作规则所有相同防火墙策略元素之间是否满足合并条件; 若是,合并所述第一待操作规则与所述第二待操作规则; 若否,依次判断所述第一待操作规则与所述第二待操作规则所有相同防火墙策略元素之间是否满足归并条件; 若是,归并所述第一待操作规则与所述第二待操作规则。2.根据权利要求1所述的方法,其特征在于,所述获取新产生的访问控制策略规则作为第一待操作规则,获取访问控制策略规则集中的任一访问控制策略规则作为第二待操作规则,包括: 针对所述第一待操作规则,重复获取第二待操作规则,直至所述访问控制策略规则集中不存在剩余的访问控制策略规则。3.根据权利要求2所述的方法,其特征在于,所述归并所述第一待操作规则与所述第二待操作规则,包括: 依次对所述第一待操作规则与所述第二待操作规则所有相同元素做归并算法; 根据所述第二待操作规则在访问控制策略规则集中的排列顺序,将归并算法结果保存在三角矩阵对应的位置; 按照归并后增加的元素值个数与归并前元素值个数的百分比最小的方式进行归并。4.根据权利要求3所述的方法,其特征在于,所述根据所述第二待操作规则在访问控制策略规则集中的排列顺序,将归并算法结果保存在三角矩阵对应的位置之后,还包括: 将所述三角矩阵中的归并算法结果按数值降序排列,并存储在预设的队列中。5.根据权利要求1所述的方法,其特征在于,所述获取访问控制策略规则集中的任一访问控制策略规则作为第二待操作规则之前,还包括: 根据硬件中实际存储的访问控制策略规则集,在内存中形成对应的虚拟访问控制策略规则表,用于实现对访问控制策略规则进行实际操作前的虚拟操作。6.根据权利要求5所述的方法,其特征在于,所述归并所述第一待操作规则与所述第二待操作规则之后,还包括: 根据用户的确认归并指令,控制硬件中实际存储的访问控制策略规则集原始规则表中的规则进行相应的合并或归并。7.根据权利要求1-6任一所述的方法,其特征在于,所述满足合并条件,包括: 所述第一待操作规则与所述第二待操作规则所有相同元素之间满足任一种合并条件,所述合并条件包括以下三种, 所述第一待操作规则与所述第二待操作规则相同元素的掩码不关心位数相同、值相同,且源码和掩码与值相等; 所述第一待操作规则与所述第二待操作规则相同元素的掩码不关心位数不同、掩码不关心位数之差与掩码不相同位数相等、除去掩码与值不关心的位数,掩码的其他位相同,且源码和掩码与值相等; 所述第一待操作规则与所述第二待操作规则相同元素的掩码不关心位数相同、值相同、源码和掩码与值不相等,且源码和掩码与值中存在1位不相同。8.根据权利要求1-6任一所述的方法,其特征在于,所述满足归并条件,包括: 所述第一待操作规则与所述第二待操作规则所有相同元素之间满足任一种归并条件,所述归并条件包括以下四种, 所述第一待操作规则与所述第二待操作规则相同元素的掩码不关心的位数相同、值相同、源码和掩码与值不相等,源码和掩码与值不相同位数大于1,且将掩码中与所述不相同位对应的位变为0后,增加的元素值个数小于指定值或增加的比例小于指定值; 所述第一待操作规则与所述第二待操作规则相同元素的掩码不关心的位数不同、掩码不关心的位数之差与掩码不相同的位数不相等、将掩码中与源码和掩码与值不相同位对应的位变为0后,增加的元素值个数小于指定值或增加的比例小于指定值; 所述第一待操作规则与所述第二待操作规则相同元素的掩码不关心的位数不同、掩码不关心的位数之差与掩码不同的位数相等、除去掩码与值不关心的位数,掩码的其他位存在不同的位,且将掩码与所述不相同位对应的位变为0后,增加的元素值个数小于指定值或增加的比例小于指定值; 所述第一待操作规则与所述第二待操作规则相同元素的掩码不关心的位数相同、值不同、除去掩码与值不关心的位数,掩码的其他位存在不同的位,且将掩码与所述不相同位对应的位变为0后,增加的元素值个数小于指定值或增加的比例小于指定值。9.根据权利要求1-8任一所述的方法,其特征在于:所述防火墙策略元素为IP地址。
【专利摘要】本发明公开了一种访问控制策略规则的操作方法,所述方法包括:获取新产生的访问控制策略规则作为第一待操作规则,获取访问控制策略规则集中的任一访问控制策略规则作为第二待操作规则,判断所述第一待操作规则与所述第二待操作规则包含的防火墙策略元素数量及类别是否相同;若是,依次判断所述第一待操作规则与所述第二待操作规则所有相同防火墙策略元素之间是否满足合并条件;若是,合并所述第一待操作规则与所述第二待操作规则;若否,依次判断所述第一待操作规则与所述第二待操作规则所有相同防火墙策略元素之间是否满足归并条件;若是,归并所述第一待操作规则与所述第二待操作规则。
【IPC分类】H04L29/06
【公开号】CN105306481
【申请号】CN201510770279
【发明人】欧阳明
【申请人】北京锐安科技有限公司
【公开日】2016年2月3日
【申请日】2015年11月12日