本發(fā)明涉及一種網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，特別是涉及一種網(wǎng)絡(luò)安全策略的處理系統(tǒng)及處理方法。

背景技術(shù)：

隨著互聯(lián)網(wǎng)的發(fā)展，數(shù)據(jù)中心的網(wǎng)絡(luò)安全防護越來越復(fù)雜，網(wǎng)絡(luò)安全策略配置越來越復(fù)雜，人工配置越來越困難?，F(xiàn)有的網(wǎng)絡(luò)安全策略管理方法無法滿足服務(wù)器快速上線的實際需求，并且人工維護成本過高。

技術(shù)實現(xiàn)要素：

本發(fā)明要解決的技術(shù)問題是為了克服現(xiàn)有技術(shù)中網(wǎng)絡(luò)安全策略管理方法無法滿足服務(wù)器快速上線的實際需求并且人工維護成本過高的缺陷，提供一種網(wǎng)絡(luò)安全策略的處理系統(tǒng)及處理方法。

本發(fā)明是通過下述技術(shù)方案來解決上述技術(shù)問題的：

本發(fā)明提供了一種網(wǎng)絡(luò)安全策略的處理系統(tǒng)，其特點在于，包括：

IP(網(wǎng)絡(luò)之間互連的協(xié)議)地址發(fā)送模塊，用于在服務(wù)器上線或網(wǎng)絡(luò)發(fā)生改變時，將服務(wù)器的IP地址發(fā)送出去；

流量學(xué)習(xí)模塊，用于接收所述IP地址，將所述IP地址對應(yīng)的網(wǎng)絡(luò)安全策略設(shè)置為全部放行策略，并開始進行流量學(xué)習(xí)，收集所述IP地址的所有流量信息；

提取模塊，用于根據(jù)收集的每條流量信息提取源IP地址、目的IP地址、目的端口以及協(xié)議以生成基礎(chǔ)安全策略；

第一合并模塊，用于將目的IP地址、目的端口以及協(xié)議均相同的基礎(chǔ)安全策略進行源IP地址合并，以生成包括源IP組、目的IP地址、目的端口以及協(xié)議的初始安全策略；

第二合并模塊，用于將源IP組、目的端口以及協(xié)議均相同的初始安全策略進行目的IP地址合并，以生成包括源IP組、目的IP組、目的端口以及協(xié)議的最終安全策略；

處理模塊，用于將所述最終安全策略發(fā)送至網(wǎng)絡(luò)安全設(shè)備中，并刪除所述流量學(xué)習(xí)模塊設(shè)置的全部放行策略。

較佳地，所述流量學(xué)習(xí)模塊還用于設(shè)置流量學(xué)習(xí)時間。

較佳地，所述IP地址發(fā)送模塊還用于在服務(wù)器下線時將下線服務(wù)器的IP地址發(fā)送至所述流量學(xué)習(xí)模塊，所述流量學(xué)習(xí)模塊還用于調(diào)用所述處理模塊刪除所有與所述下線服務(wù)器的IP地址相關(guān)的網(wǎng)絡(luò)安全策略。

本發(fā)明的目的在于還提供了一種網(wǎng)絡(luò)安全策略的處理方法，其特點在于，其利用上述的處理系統(tǒng)實現(xiàn)，包括以下步驟：

S₁、所述IP地址發(fā)送模塊在服務(wù)器上線或網(wǎng)絡(luò)發(fā)生改變時，將服務(wù)器的IP地址發(fā)送出去；

S₂、所述流量學(xué)習(xí)模塊接收所述IP地址，將所述IP地址對應(yīng)的網(wǎng)絡(luò)安全策略設(shè)置為全部放行策略，并開始進行流量學(xué)習(xí)，收集所述IP地址的所有流量信息；

S₃、所述提取模塊根據(jù)收集的每條流量信息提取源IP地址、目的IP地址、目的端口以及協(xié)議以生成基礎(chǔ)安全策略；

S₄、所述第一合并模塊將目的IP地址、目的端口以及協(xié)議均相同的基礎(chǔ)安全策略進行源IP地址合并，以生成包括源IP組、目的IP地址、目的端口以及協(xié)議的初始安全策略；

S₅、所述第二合并模塊將源IP組、目的端口以及協(xié)議均相同的初始安全策略進行目的IP地址合并，以生成包括源IP組、目的IP組、目的端口以及協(xié)議的最終安全策略；

S₆、所述處理模塊將所述最終安全策略發(fā)送至網(wǎng)絡(luò)安全設(shè)備中，并刪除所述流量學(xué)習(xí)模塊設(shè)置的全部放行策略。

較佳地，步驟S₂中所述流量學(xué)習(xí)模塊還設(shè)置流量學(xué)習(xí)時間。

較佳地，所述處理方法還包括：

所述IP地址發(fā)送模塊在服務(wù)器下線時將下線服務(wù)器的IP地址發(fā)送至所述流量學(xué)習(xí)模塊，所述流量學(xué)習(xí)模塊調(diào)用所述處理模塊刪除所有與所述下線服務(wù)器的IP地址相關(guān)的網(wǎng)絡(luò)安全策略。

本發(fā)明的積極進步效果在于：本發(fā)明通過流量學(xué)習(xí)的方式自動生成網(wǎng)絡(luò)安全策略，策略的配置全程都不需要人工進行參與，實現(xiàn)了全自動的配置，實現(xiàn)了安全配置的智能化，免去了人工配置的復(fù)雜度，提高了網(wǎng)絡(luò)安全配置的效率，實現(xiàn)了安全策略的智能化配置。

附圖說明

圖1為本發(fā)明的較佳實施例的網(wǎng)絡(luò)安全策略的處理系統(tǒng)的模塊示意圖。

圖2為本發(fā)明的較佳實施例的網(wǎng)絡(luò)安全策略的處理方法的流程圖。

具體實施方式

下面通過實施例的方式進一步說明本發(fā)明，但并不因此將本發(fā)明限制在所述的實施例范圍之中。

如圖1所示，本發(fā)明的網(wǎng)絡(luò)安全策略的處理系統(tǒng)包括IP地址發(fā)送模塊1、流量學(xué)習(xí)模塊2、提取模塊3、第一合并模塊4、第二合并模塊5以及處理模塊6。

其中，所述IP地址發(fā)送模塊會在服務(wù)器上線或者網(wǎng)絡(luò)發(fā)生改變時，將服務(wù)器的IP地址(即新增的IP地址或者發(fā)生變更的IP地址)發(fā)送至所述流量學(xué)習(xí)模塊2；

所述流量學(xué)習(xí)模塊2在接收到所述IP地址后，則將所述IP地址對應(yīng)的網(wǎng)絡(luò)安全策略設(shè)置為全部放行策略，即對所述IP地址開啟全通策略；并且開始進行流量學(xué)習(xí)，設(shè)置一學(xué)習(xí)時間，然后收集在所述學(xué)習(xí)時間內(nèi)所述IP地址的所有流量信息；

所述提取模塊3根據(jù)所述流量學(xué)習(xí)模塊2收集的每條流量信息提取源IP地址、目的IP地址、目的端口以及協(xié)議以生成基礎(chǔ)安全策略，即每條流量信息可以生成一個基礎(chǔ)安全策略，所述基礎(chǔ)安全策略均包括源IP地址、目的IP地址、目的端口以及協(xié)議；

所述第一合并模塊4會將目的IP地址、目的端口以及協(xié)議均相同的基礎(chǔ)安全策略進行源IP地址合并，以生成包括源IP組、目的IP地址、目的端口以及協(xié)議的初始安全策略；即，所述初始安全策略中包括的目的IP地址、目的端口以及協(xié)議均相同，所述源IP組表示包括多個不同的源IP地址；

所述第二合并模塊5會將源IP組、目的端口以及協(xié)議均相同的初始安全策略進行目的IP地址合并，以生成包括源IP組、目的IP組、目的端口以及協(xié)議的最終安全策略；即所述最終安全策略中包括的源IP組、目的端口以及協(xié)議均相同，所述目的IP組表示包括多個不同的目的IP地址；

所述處理模塊6則將所述最終安全策略發(fā)送至網(wǎng)絡(luò)安全設(shè)備中，并刪除所述流量學(xué)習(xí)模塊2設(shè)置的全部放行策略，即將所述IP地址的全通策略進行刪除。

其中，在本發(fā)明的具體實施過程中，所述IP地址發(fā)送模塊1還用于在服務(wù)器下線時將下線服務(wù)器的IP地址發(fā)送至所述流量學(xué)習(xí)模塊2，所述流量學(xué)習(xí)模塊2還用于調(diào)用所述處理模塊6刪除所有與所述下線服務(wù)器的IP地址相關(guān)的網(wǎng)絡(luò)安全策略。

本發(fā)明通過服務(wù)器上線或者服務(wù)器網(wǎng)絡(luò)發(fā)生變更將變更的IP地址的網(wǎng)絡(luò)安全策略默認先放行，然后通過學(xué)習(xí)指定時間范圍內(nèi)的流量的方式，相應(yīng)的流量進行轉(zhuǎn)換、合并，最終形成對應(yīng)的網(wǎng)絡(luò)安全策略規(guī)則信息；本發(fā)明通過學(xué)習(xí)的方式，使得網(wǎng)絡(luò)安全策略的生成不需要人工進行配置，策略配置實現(xiàn)了全程自動化。

本發(fā)明還提供了一種網(wǎng)絡(luò)安全策略的處理方法，利用上述的網(wǎng)絡(luò)安全策略的處理系統(tǒng)實現(xiàn)，如圖2所示，本發(fā)明的網(wǎng)絡(luò)安全策略的處理方法包括以下步驟：

步驟101、所述IP地址發(fā)送模塊在服務(wù)器上線或網(wǎng)絡(luò)發(fā)生改變時，將服務(wù)器的IP地址發(fā)送出去；

步驟102、所述流量學(xué)習(xí)模塊接收所述IP地址，將所述IP地址對應(yīng)的網(wǎng)絡(luò)安全策略設(shè)置為全部放行策略，并開始進行流量學(xué)習(xí)，收集所述IP地址的所有流量信息；

步驟103、所述提取模塊根據(jù)收集的每條流量信息提取源IP地址、目的IP地址、目的端口以及協(xié)議以生成基礎(chǔ)安全策略；

步驟104、所述第一合并模塊將目的IP地址、目的端口以及協(xié)議均相同的基礎(chǔ)安全策略進行源IP地址合并，以生成包括源IP組、目的IP地址、目的端口以及協(xié)議的初始安全策略；

步驟105、所述第二合并模塊將源IP組、目的端口以及協(xié)議均相同的初始安全策略進行目的IP地址合并，以生成包括源IP組、目的IP組、目的端口以及協(xié)議的最終安全策略；

步驟106、所述處理模塊將所述最終安全策略發(fā)送至網(wǎng)絡(luò)安全設(shè)備中，并刪除所述流量學(xué)習(xí)模塊設(shè)置的全部放行策略。

其中，步驟S₂中所述流量學(xué)習(xí)模塊還設(shè)置流量學(xué)習(xí)時間。

并且優(yōu)選地，所述處理方法還可以包括：

所述IP地址發(fā)送模塊在服務(wù)器下線時將下線服務(wù)器的IP地址發(fā)送至所述流量學(xué)習(xí)模塊，所述流量學(xué)習(xí)模塊調(diào)用所述處理模塊刪除所有與所述下線服務(wù)器的IP地址相關(guān)的網(wǎng)絡(luò)安全策略。

雖然以上描述了本發(fā)明的具體實施方式，但是本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解，這些僅是舉例說明，本發(fā)明的保護范圍是由所附權(quán)利要求書限定的。本領(lǐng)域的技術(shù)人員在不背離本發(fā)明的原理和實質(zhì)的前提下，可以對這些實施方式做出多種變更或修改，但這些變更和修改均落入本發(fā)明的保護范圍。