| 主权项 |
一种基于二部图的防火墙规则更新方法,其特征在于,该防火墙规则更新方法包括以下步骤:步骤一:根据防火墙规则,构建表示防火墙规则的二部图;步骤二:将防火墙规则更新需求与表示防火墙规则的二部图进行匹配,确认防火墙规则更新需求,对防火墙规则进行更新;在步骤一中,在表示防火墙规则的二部图中,每一个顶点代表防火墙中的一条规则,所有的顶点根据对应防火墙规则采取的动作是接收或丢弃而分成两个集合:接收集合、丢弃集合;表示防火墙规则的二部图中的边表示防火墙规则之间的关系,当两条防火墙规则之间存在重叠时,两条防火墙规则之间就存在一条边,边上的域值表示这两条防火墙规则的交集,边的方向表示两条防火墙规则的顺序;根据始点和终点的不同,有三种类型的边:自环、内部边、外部边,其中自环的始点和终点是同一个顶点,内部边的始点和终点属于同一个集合,外部边的始点和终点分属不同的集合;在步骤二中,将防火墙规则更新需求与表示防火墙规则的二部图进行匹配,确认防火墙规则更新需求是通过提醒防火墙管理人员该防火墙规则更新会造成的数据包动作的变化,同时防火墙管理人员可做出相应的调整;当防火墙管理人员确认防火墙规则更新需求后,防火墙规则更新分两步:第一步,根据防火墙规则更新需求,在表示防火墙规则的二部图中修改相应的边和顶点;首先设计一个称之为FRRG的新颖数据结构,该结构是一个特殊的表示防火墙政策的二部图;在FRRG中每一个顶点代表防火墙中的一条规则,所有的顶点根据对应规则采取的动作是接收或丢弃而分成两个集合:接收集合、丢弃集合;在FRRG中的边表示规则之间的关系,当两条规则的域值之间存在重叠时,它们之间就存在一条边,边上的域值表示这两条规则的交集,边的方向表示这两条规则的顺序;根据始点和终点的不同,有三种类型的边:自环、内部边和外部边;第二步,根据表示防火墙规则的二部图,计算最少的防火墙规则输出方法,并将防火墙规则进行输出;构建完FRRG后,将规则更新需求与FRRG中的边进行匹配;更新需求确认是通过提醒该更新会造成哪些数据包动作的变化,管理员可以做出相应的调整;当更新需求确认后,更新步骤分两步:第一步根据更新需求在FRRG中修改相应的边和顶点;第二步,根据FRRG,计算最少的规则输出方法并将规则进行输出;在输出过程中,只需要考虑外部边,外部边之间可能存在环,采取相应的破环方法,并基于拓扑排序和树搜索算法设计出最优规则输出算法;在根据表示防火墙规则的二部图,计算最少的防火墙规则输出方法,并将防火墙规则进行输出时,只需考虑表示防火墙规则的二部图的外部边,外部边之间存在环时,采取相应的破环方法,并基于拓扑排序和A*算法设计出最优规则输出算法。 |
