网络防火墙策略的管理方法、系统、终端设备及存储介质与流程

1.本发明涉及金融科技(fintech)技术领域，尤其涉及一种网络防火墙策略的管理方法、系统、终端设备以及计算机存储介质。


背景技术：

2.随着计算机技术的发展，越来越多的技术应用在金融领域，传统金融业正在逐步向金融科技转变，但由于金融行业的安全性、实时性以及稳定性等要求，也对技术提出了更高的要求。
3.网络防火墙是一种用来加强网络之间访问控制的特殊网络互联设备，计算机流入流出的所有网络通信均要经过此防火墙。现有的网络防火墙策略管理主要为依赖人工处理经验进行相关查询和管理，或者基于主流的nspm(network security policy management，网络安全策略管理)系统，通过可视化的用户交互页面来进行查询和管理。
4.然而，由于当今普遍的企业网络架构通常都会部署不同品牌的网络防火墙，而该不同品牌的网络防火墙各自防火墙策略相互之间往往存在较大差异，从而，无论是基于人工或者利用nspm系统来进行查询管理操作的复杂性都非常高，导致针对网络防火墙策略的管理效率低下。


技术实现要素：

5.本发明的主要目的在于提供一种网络防火墙策略的管理方法、系统、终端设备以及计算机存储介质，旨在解决现有网络防火墙策略的管理在网络防火墙的策略存在差异而缺少异构性支持情况下，管理操作复杂性高，导致管理效率低下的技术问题。
6.为实现上述目的，本发明提供一种网络防火墙策略的管理方法，所述网络防火墙策略的管理方法包括：
7.采集网络防火墙策略；
8.针对采集到的所述网络防火墙策略进行统一化存储；
9.读取统一化存储的所述网络防火墙策略，并将所述网络防火墙策略分解为最小策略组成元素；
10.根据所述最小策略组成元素针对所述网络防火墙策略进行集中化的管理操作。
11.此外，为实现上述目的，本发明还提供一种网络防火墙策略的管理系统，所述网络防火墙策略的管理系统，包括：
12.策略采集模块，用于采集网络防火墙策略；
13.策略存储模块,用于针对采集到的所述网络防火墙策略进行统一化存储；
14.策略分解模块,用于读取统一化存储的所述网络防火墙策略，并将所述网络防火墙策略分解为最小策略组成元素；
15.策略管理模块,用于根据所述最小策略组成元素针对所述网络防火墙策略进行集中化的管理操作。
16.其中，本发明网络防火墙策略的管理系统的多个任务调度节点各自在运行时均实现如上所述的网络防火墙策略的管理方法的步骤。
17.此外，为实现上述目的，本发明还提供一种终端设备，所述终端设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络防火墙策略的管理程序，所述网络防火墙策略的管理程序被所述处理器执行时实现如上所述的网络防火墙策略的管理方法的步骤。
18.此外，为实现上述目的，本发明还提供一种计算机存储介质，所述计算机存储介质上存储有网络防火墙策略的管理程序，所述网络防火墙策略的管理程序被处理器执行时实现如上所述的网络防火墙策略的管理方法的步骤。
19.此外，为实现上述目的，本发明还提供计算机程序产品，所述计算机程序产品包括计算机程序，所述计算机程序被处理器执行时实现如上所述的网络防火墙策略的管理方法的步骤。
20.本发明提供一种网络防火墙策略的管理方法、系统、终端设备、计算机存储介质以及计算机程序产品，通过采集网络防火墙策略；针对采集到的所述网络防火墙策略进行统一化存储；读取统一化存储的所述网络防火墙策略，并将所述网络防火墙策略分解为最小策略组成元素；根据所述最小策略组成元素针对所述网络防火墙策略进行集中化的管理操作。
21.本发明在针对网络防火墙策略进行集中化管理操作的过程中，通过先采集获取到需要管理的网络防火墙策略,然后将采集到的该网络防火墙策略进行数据格式一致的统一化存储,在需要针对统一化存储的该网络防火墙策略进行管理操作时,先读取该网络防火墙策略并将该网络防火墙策略进行分解得到各网络防火墙策略各自的最小策略组成元素,从而,基于该最小策略组成元素来针对该网络防火墙策略进行各种集中化的管理操作。
22.本发明相比于传统基于人工或者利用nspm系统来针对网络防火墙策略进行查询管理操作的方式，通过将采集到网络防火墙策略进行统一化存储和分解该网络防火墙策略为最小策略组成元素，从而基于该最小策略组成元素来索引查询该网络防火墙策略并对其进行相关管理，如此，能够在所采集到的网络防火墙策略相互之间在差异而缺少异构性支持情况下，基于最小策略组成元素方便、快捷的完成对防火墙策略的管理操作，降低了对防火墙策略进行管理操作的复杂性，提升了对防火墙策略的管理效率。
23.此外，本发明还能够避免基于人工操作时对于人员工作经验的高度依赖，而导致的耗费时间和人力资源的情况，和规避人为操作潜在的错误风险，进一步提升了对防火墙策略的管理效率。
附图说明
24.图1为本发明实施例方案涉及的终端设备硬件运行环境的设备结构示意图；
25.图2为本发明网络防火墙策略的管理方法第一实施例的流程示意图；
26.图3为本发明网络防火墙策略的管理方法一实施例所涉及的一应用流程示意图；
27.图4为本发明网络防火墙策略的管理方法一实施例所涉及的一应用场景中会议事项的依赖关系示意图；
28.图5为本发明网络防火墙策略的管理系统一实施例的功能模块示意图。
29.本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。
具体实施方式
30.应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
31.参照图1，图1为本发明实施例方案涉及的终端设备硬件运行环境的设备结构示意图。
32.本发明实施例终端设备可以是被配置为用于针对网络防火墙策略进行集中化管理操作的的终端设备，该终端设备可以是智能手机、pc(personal computer，个人计算机)、平板电脑、便携计算机等等。
33.如图1所示，该终端设备可以包括：处理器1001，例如cpu，通信总线1002，用户接口1003，网络接口1004，存储器1005。其中，通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(display)、输入单元比如键盘(keyboard)，可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如wi
‑
fi接口)。存储器1005可以是高速ram存储器，也可以是稳定的存储器(non
‑
volatile memory)，例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
34.本领域技术人员可以理解，图1中示出的终端设备结构并不构成对终端设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。
35.如图1所示，作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及网络防火墙策略的管理程序。
36.在图1所示的终端中，网络接口1004主要用于连接后台服务器，与后台服务器进行数据通信；用户接口1003主要用于连接客户端，与客户端进行数据通信；而处理器1001可以用于调用存储器1005中存储的网络防火墙策略的管理程序，并执行以下本发明网络防火墙策略的管理方法各实施例所述的操作。
37.基于上述硬件结构，提出本发明网络防火墙策略的管理方法的各实施例。
38.需要说明的是，网络防火墙是一种用来加强网络之间访问控制的特殊网络互联设备，计算机流入流出的所有网络通信均要经过此防火墙。
39.现有的网络防火墙策略管理主要包括：1、基于网络管理员根据经验人工管理若干台网络防火墙的策略，即，网络管理员首先会参考涉及的具体业务和当前网络架构，制定网络基线，然后以此基线为基础去撰写网络防火墙的策略。当需要查询某一次访问路径涉及的具体网络防火墙策略，一般先行查看网络基线同时根据网络安全工程师的经验将问题定位到若干台网络防火墙上，再通过syslog(一种用来在互联网协议(tcp/ip)的网上中传递记录消息的标准)或者直接使用ssh(ssh为secure shell的缩写，由ietf的网络小组所制定；ssh为建立在应用层基础上的安全协议)等协议直接登录网络防火墙得到全部策略，最后使用关键词搜索等方法搜索得到所需的策略。2、使用主流的nspm系统实现对网络防火墙策略的管理，由于，该nspm系统一般支持某几种主流厂商的网络防火墙，并提供定时采集全网网络防火墙策略并存储到本地数据库的功能，如此，当需要查询某一次访问路径涉及的具体网络防火墙策略，一般可以在该系统通过用户交互页面直接查询得到。
40.然而，上述现有的网络防火墙策略管理方式存在以下缺点：
41.1、管理依赖经验和人力资源，导致依赖人员工作经验且效率低下、容易出错。因为在使用传统技术方案，当网络防火墙数量较多的情况下，往往很难根据具体ip或者访问行为来定位目标设备和所匹配的防火墙策略；
42.2、防火墙策略缺少异构性支持时，管理操作复杂度高。由于当今的企业网络架构通常在不同的网络边界部署不同品牌的网络防火墙，尤其是金融机构应监管的安全要求，普遍会使用多个品牌的网络防火墙，如此，不同品牌的网络防火墙策略配置有较大差异导致缺少异构性支持，而主流的nspm系统通常只支持主流厂商的网络防火墙，尤其时当涉及到云网络的防火墙策略时，会大大增加对防火墙策略管理的复杂度；
43.3、防火墙策略数据难以精细化管理。由于防火墙策略的异构性，并且策略配置数据的修改操作较为频繁，而通常的策略管理方案为了提高兼容性，都会将策略数据集中完整存储之后再按需读取，从而导致策略数据的存储冗余性较大，读写数据的效率不高，难以实现对防火墙策略的精细化管理。
44.针对上述现象，本发明提供一种网络防火墙策略的管理方法。请参照图2，图2为本发明网络防火墙策略的管理方法第一实施例的流程示意图，在本实施例中，该网络防火墙策略的管理方法应用于上述终端设备，本发明网络防火墙策略的管理方法，包括：
45.步骤s10，采集网络防火墙策略；
46.终端设备通过采用syslog技术，根据对于网络防火墙设备的管理需求，定期的从该网络防火墙设备上获取需要进行相关管理操作的网络防火墙策略。
47.需要说明的是，在本实施例中，终端设备可预先与一个或者多个网络防火墙设备建立通信连接，以用于定期采集该一个或者多个网络防火墙设备各自为了实现防火墙功能所依据的网络防火墙策略，且，该多个网络防火墙设备各自依据的网络防火墙策略，可以是不同设备厂商品牌、不同策略种类或者不同软件版本。
48.具体地，例如，请参照如图3所示的应用流程，终端设备预先维护一个网络防火墙资源池来表示已经打通建立通信连接的一个或者多个网络防火墙设备，从而，终端设备在针对该网络防火墙资源池中，隶属于传统网络环境下的网络防火墙设备，可直接通过syslog工具采集得到该网络防火墙设备为实现防火墙功能所依赖的网络防火墙策略(图示的网络防火墙syslog文件1、网络防火墙syslog文件2...网络防火墙syslog文件n)。
49.需要说明的是，在本实施例中，终端设备在采用syslog技术以通过syslog工具，采集得到的各网络防火墙策略具体为一个个syslog文件。应当理解的是，基于实际应用的不同设计需要，在不同可行的实施例中，终端设备当然也可以采用其它可行的协议技术以通过对应工具实现网络防火墙策略的采集，本发明网络防火墙策略的管理方法并不针对采集该网络防火墙策略所依赖的具体技术进行限定。
50.进一步地，在另一种可行的实施例当中，终端设备所维护的网络防火墙资源池中，除了存在隶属于传统网络环境下的网络防火墙设备，当然还可以存在隶属于其它网络环境中的网络防火墙设备，因此，终端设备在除了针对传统网络环境下网络防火墙设备所依据的网络防火墙策略之外，还需要针对其它网络环境下网络防火墙设备所依据的网络防火墙策略进行采集。
51.具体地，例如，假定终端设备所维护的网络防火墙资源池中，还存在隶属于云环境的网络防火墙设备，如此，终端设备在针对该网络防火墙设备进行网络防火墙策略采集时，
先读取api(application programming interface,应用程序编程接口)信息配置文件，该配置文件上预先记录该网络防火墙设备的云服务提供商的api信息，如此，终端设备即可通过该api信息采集获取得到该网络防火墙设备所依据的网络防火墙策略。
52.步骤s20，针对采集到的所述网络防火墙策略进行统一化存储；
53.终端设备在根据对于网络防火墙设备的管理需求，定期从网络防火墙设备上获取到需要进行相关管理操作的网络防火墙策略之后，进一步针对该网络防火墙策略的策略配置数据进行文件格式的统一转化，从而将该网络防火墙策略进行统一化的归档存储。
54.需要说明的是，在本实施例中，终端设备可预先在本地构建一个数据库，以用于将采集到的网络防火墙策略统一化的归档存储在该数据库当中。应当理解的是，基于实际应用的不同设计需要，在其他不同可行的实施例当中，终端设备当然也可以基于外接形式构建数据库来统一化的归档存储采集到的网络防火墙策略。
55.具体地，例如，请参照如图3所示的应用流程，终端设备在通过syslog工具采集得到网络防火墙设备为实现防火墙功能所依赖的网络防火墙策略——网络防火墙syslog文件1、网络防火墙syslog文件2...网络防火墙syslog文件n之后，终端设备即可针对该网络防火墙syslog文件1、网络防火墙syslog文件2...网络防火墙syslog文件n进行文件格式转化，然后将文件格式统一的网络防火墙syslog文件1、网络防火墙syslog文件2...网络防火墙syslog文件n，按照各自的采集日期进行归档并存储在终端设备本地的数据库当中。
56.进一步地，在一种可行的实施例中，终端设备在采集到的网络防火墙策略为多个时，上述步骤s200，可以包括：
57.步骤s201，从采集到的各所述网络防火墙策略各自的策略配置数据中,确定数据文件格式与预设统一文件格式不同的目标策略配置数据；
58.需要说明的是，在本实施例中，由于终端设备针对所维护网络防火墙资源池中，隶属于传统网络环境的网络防火墙设备是采用syslog技术实现的防火墙策略采集，而针对隶属于云环境的网络防火墙设备则是基于api信息实现的防火墙策略采集，因此，通过两种不同方式分别采集到网络防火墙策略各自策略配置数据的文件格式是不同的，因此，终端设备需要将该文件格式转化为统一的格式以用于对采集到的各网络防火墙策略进行统一化的归档存储。
59.终端设备在针对采集到的多个网络防火墙策略进行统一化的归档存储时，先分析当前采集到的各网络防火墙策略各自的策略配置数据，以从该各策略配置数据中，确定出文件格式与预设统一文件格式不同的目标策略配置数据。
60.具体地，例如，假定预设统一文件格式为终端设备通过采用syslog工具，从隶属于传统网络环境下的网络防火墙设备中采集到的网络防火墙策略对应的文件格式——syslog文件，如此，终端设备在通过api信息采集获取得到隶属于云环境下的网络防火墙设备所依据的网络防火墙策略a之后，即可通过分析该网络防火墙策略a的策略配置数据，并在发现该网络防火墙策略a的策略配置数据的文件格式与预设统一文件格式——syslog文件不同时，将该网络防火墙策略a的策略配置数据确定为需要进行文件格式转化的目标策略配置数据。
61.步骤s202，将所述目标策略配置数据的文件格式转化为所述预设统一文件格式；
62.终端设备在从各网络防火墙策略各自的策略配置数据中，确定出文件格式与预设
统一文件格式不同的目标策略配置数据之后，即进一步将该目标策略配置数据的文件格式转化成为预设统一文件格式，从而得到全部策略配置数据的文件格式均为相同预设统一文件格式的网络防火墙策略。
63.具体地，例如，终端设备在分析通过api信息采集的隶属于云环境下的网络防火墙设备所依据的网络防火墙策略a，从而，确定该网络防火墙策略a的策略配置数据的文件格式与预设统一文件格式——syslog文件不同，并将该网络防火墙策略a的策略配置数据确定为需要进行文件格式转化的目标策略配置数据之后，基于任意成熟的文件格式转化技术将该网络防火墙策略a的策略配置数据的文件格式，转化成预设统一文件格式——syslog文件，从而得到策略配置数据的文件格式均为相同的syslog文件的各网络防火墙策略。
64.步骤s203，针对所述预设统一文件格式的策略配置数据进行归档存储。
65.终端设备在将目标策略配置数据的文件格式转化成为预设统一文件格式，从而得到全部策略配置数据的文件格式均为相同预设统一文件格式的网络防火墙策略之后，进一步按照采集到该各网络防火墙策略的日期，针对该各网络防火墙策略进行归档存储，以将该各网络防火墙策略统一化的保存在预先构建的数据库当中。
66.具体地，例如，终端设备在针对采集到的各网络防火墙策略各自的策略配置数据进行分析，以将确定出的目标策略配置数据的文件格式转化成为相同的预设统一文件格式——syslog文件之后，终端设备即按照采集到该各网络防火墙策略的日期，将在同一天采集到的全部网络防火墙策略的策略配置数据归档为当前日期关联的类别，并将该类别的全部网络防火墙策略的策略配置数据存储在预先在本地构建的数据库当中。
67.步骤s30，读取统一化存储的所述网络防火墙策略，并将所述网络防火墙策略分解为最小策略组成元素；
68.终端设备在针对采集到的网络防火墙策略进行统一化的归档存储之后，进一步基于针对该网络防火墙策略进行集中化的管理操作的需要，从统一化归档存储的网络防火墙策略当中读取出待处理的网络防火墙策略，然后，将该网络防火墙策略进行分解操作以得到该网络防火墙策略的各个最小策略组成元素。
69.具体地，例如，请参照如图3所示的应用流程，终端设备在将采集到的各网络防火墙策略统一化的存储在本地的数据库当中之后，终端设备基于前端面向相关管理工作人员的用户交互界面，接收该管理工作人员触发的针对网络防火墙策略进行集中化管理操作的策略应用请求，从而，终端设备基于该策略应用请求从统一化归档存储各网络防火墙策略的数据库当中，按照该各网络防火墙策略所对应的归档日期，读取出该归档日期距离当前时间最近的一期网络防火墙策略作为待处理的网络防火墙策略，针对读取出的该网络防火墙策略进行数据清洗以去除无关数据以及脏数据，从而得到该网络防火墙策略的策略配置数据，并开始针对读取出的该策略配置数据进行分解操作，以得到该网络防火墙策略的各个最小策略组成元素。
70.步骤s40，根据所述最小策略组成元素针对所述网络防火墙策略进行集中化的管理操作。
71.终端设备在从统一化归档存储的网络防火墙策略中读取到待处理的网络防火墙策略，并将该网络防火墙策略进行分解操作以得到各个最小策略组成元素之后，将该各个最小策略组成元素导入到运行内存当中，从而在该运行内存当中利用该各个最小策略组成
元素索引到网络防火墙策略，并针对该网络防火墙策略的策略配置数据进行集中化的管理操作。
72.需要说明的是，在本实施例中，终端设备针对网络防火墙策略进行集中化的管理操作包括但不限于：针对网络防火墙策略的策略配置数据进行更新、删除或者替换。应当理解的是，基于实际应用的不同设计需要，在不同可行的实施例中，终端设备当然还可以针对网络防火墙策略进行其他类型的管理操作，本发明网络防火墙策略的管理方法，并不针对该集中化的管理操作的具体种类进行限定。
73.具体地，例如，终端设备在接收管理工作人员触发的针对网络防火墙策略进行集中化管理操作的策略应用请求，基于该策略应用请求读取出该归档日期距离当前时间最近的一期网络防火墙策略作为待处理的网络防火墙策略，并针对读取出的该网络防火墙策略的策略配置数据进行分解操作，以得到该网络防火墙策略的各个最小策略组成元素之后，终端设备进一步将该各个最小策略组成元素拉取到运行内存当中，从而在该运行内存中查询索引出对应的网络防火墙策略，并针对该网络防火墙策略的策略配置数据进行对应的更新、删除或者替换等管理操作。
74.本发明实施例提供一种网络防火墙策略的管理方法，通过终端设备通过采用syslog技术，根据对于网络防火墙设备的管理需求，定期的从该网络防火墙设备上获取需要进行相关管理操作的网络防火墙策略；终端设备在根据对于网络防火墙设备的管理需求，定期从网络防火墙设备上获取到需要进行相关管理操作的网络防火墙策略之后，进一步针对该网络防火墙策略的策略配置数据进行文件格式的统一转化，从而将该网络防火墙策略进行统一化的归档存储；终端设备在针对采集到的网络防火墙策略进行统一化的归档存储之后，进一步基于针对该网络防火墙策略进行集中化的管理操作的需要，从统一化归档存储的网络防火墙策略当中读取出待处理的网络防火墙策略，然后，将该网络防火墙策略进行分解操作以得到该网络防火墙策略的各个最小策略组成元素。
75.本发明相比于传统基于人工或者利用nspm系统来针对网络防火墙策略进行查询管理操作的方式，通过将采集到网络防火墙策略进行统一化存储和分解该网络防火墙策略为最小策略组成元素，从而基于该最小策略组成元素来索引查询该网络防火墙策略并对其进行相关管理，如此，能够在所采集到的网络防火墙策略相互之间在差异而缺少异构性支持情况下，基于最小策略组成元素方便、快捷的完成对防火墙策略的管理操作，降低了对防火墙策略进行管理操作的复杂性，提升了对防火墙策略的管理效率。
76.此外，本发明还能够避免基于人工操作时对于人员工作经验的高度依赖，而导致的耗费时间和人力资源的情况，和规避人为操作潜在的错误风险，进一步提升了对防火墙策略的管理效率。
77.进一步地，基于上述第一实施例，提出本发明网络防火墙策略的管理方法的第二实施例。在本实施例中，上述步骤s30中，“将所述网络防火墙策略分解为最小策略组成元素”的步骤，可以包括：
78.步骤s301，调用预设的策略配置标准化模板，其中，所述策略配置标准化模板基于所述网络防火墙策略配置数据的文本格式构建得到；
79.步骤s302，基于所述策略配置标准化模板将所述网络防火墙策略分解为多个元素特征；
80.终端设备在针对读取出待处理的网络防火墙策略进行分解操作时，先调用预先基于网络防火墙策略配置数据的文本格式构建得到的策略配置标准化模板，然后按照该策略配置标准化模板，将读取出的该网络防火墙策略的策略配置数据分解成为多个元素特征。
81.需要说明的是，在本实施例中，终端设备预先基于所采集各网络防火墙策略的策略配置数据各自不同的文本格式，构建得到该策略配置数据各自对应的策略配置标准化模板。
82.具体地，例如，终端设备预先通过jinja(jinja是python的一种现代且设计友好的模板语言)模板语言，根据采集到的网络防火墙策略配置数据的文本格式，配置得到该文本格式对应的策略配置标准化模板。假定终端设备当前读取出待处理的网络防火墙策略为网络防火墙策略a，则终端设备在针对该网络防火墙策略a进行分解时，先调用预先通过jinja模板语言根据该网络防火墙策略a配置数据的文本格式，所配置得到策略配置标准化模板a，然后，按照该策略配置标准化模板a将该网络防火墙策略a的策略配置数据进行统一分解，从而将该策略配置数据抽象成：源对象、目的对象、协议对象、端口对象、动作和描述信息这六个元素特征。
83.需要说明的是，在本实施例中，终端设备对策略配置数据进行统一分解，以将该策略配置数据抽象成的六个元素特征中，源对象、目的对象、协议对象和端口对象都可能有多种格式，例如：源对象和目的对象可以为ip地址、ip网段、地址组名称或者主机id等等，协议对象可以为单个协议或者多个协议的集合等等，以及，端口对象可以为单个端口或者多个端口的集合等等。
84.步骤s303，针对各所述元素特征进行裂解处理以将所述网络防火墙策略分解为最小策略组成元素。
85.终端设备在通过调用策略配置标准化模板，以将读取出的网络防火墙策略的策略配置数据分解成为多个元素特征之后，进一步针对该多个元素特征进行裂解处理，从而将该网络防火墙策略的策略配置数据分解成为多个最小策略组成元素。
86.需要说明的是，在本实施例中，网络防火墙策略的策略配置数据的最小策略组成元素，即为终端设备针对各元素特征进行裂解处理得到的裂解结果。
87.具体地，例如，终端设备在按照调用的策略配置标准化模板a将网络防火墙策略a的策略配置数据进行统一分解，从而将该策略配置数据抽象成：源对象、目的对象、协议对象、端口对象、动作和描述信息这六个元素特征之后，终端设备进一步针对该源对象和该目的对象进行裂解处理时，终端设备先判断当前源对象或者目的对象的格式，如果当前格式为ip地址或者ip网段，则裂解结果即为当前对象，或者，如果当前格式为主机id或者其他数据id，则终端设备进一步搜索当前网络防火墙策略a全部相关的策略配置数据，以将该数据id对应的任意个有效ip找出并组合成数据集合，然后将该数据集合作为裂解结果，再或者，如果当前格式为地址组或者设备组等多个元素的集合对象，则终端设备额进一步搜索当前网络防火墙策略a全部相关的策略配置数据，将该集合对象的元素对应的有效ip找出并组合成数据集合，以将该数据集合作为裂解结果。
88.此外，终端设备进一步针对该端口对象进行裂解处理时，先判断当前端口对象是否存在，若存在则判断其格式(若不存在则直接跳过)，从而，如果判断到当前端口对象的格式为单个端口，则裂解结果即为当前对象，或者，若判断到当前端口对象为端口组，则搜索
当前网络防火墙策略a全部相关的策略配置数据，以将该端口组对应的任意个端口找出并组合成数据集合之后，将该数据集合作为裂解结果；
89.此外，终端设备进一步针对该协议对象进行裂解处理时，先判断当前协议对象的格式，如果当前格式为单个协议，则裂解结果即为当前对象，或者，如果当前格式为协议组，则搜索当前网络防火墙策略a全部相关的策略配置数据，以将该协议组对应的任意个协议找出并组合成数据集合之后，将该数据集合作为裂解结果。
90.需要说明的是，在本实施例中，终端设备在针对各元素特征中的端口对象和协议对象进行裂解处理之后，进一步判断当前端口对象的裂解结果是否为空，并在判断该裂解结果为空时，遍历协议对象的裂解结果，从而在该协议对象的裂解结果存在常用协议时，将该常用协议的默认端口组成集合作为端口对象的裂解结果。
91.在本实施例中，通过终端设备在针对读取出待处理的网络防火墙策略进行分解操作时，先调用预先基于网络防火墙策略配置数据的文本格式构建得到的策略配置标准化模板，然后按照该策略配置标准化模板，将读取出的该网络防火墙策略的策略配置数据分解成为多个元素特征；终端设备在通过调用策略配置标准化模板，以将读取出的网络防火墙策略的策略配置数据分解成为多个元素特征之后，进一步针对该多个元素特征进行裂解处理，从而将该网络防火墙策略的策略配置数据分解成为多个最小策略组成元素。
92.本发明相比于传统基于人工或者利用nspm系统来针对网络防火墙策略进行查询管理操作的方式，通过将网络防火墙策略的策略配置数据分解成为最小策略组成元素，从而可以满足集中化管理的要求，并且管理粒度更加细致，实现精准管理。
93.进一步地，基于上述第一实施例和第二实施例，提出本发明网络防火墙策略的管理方法的第三实施例，本实施例与上述第一实施例和第二实施例之间的主要区别在于，在本实施例中，步骤s40，根据所述最小策略组成元素针对所述网络防火墙策略进行集中化的管理操作，可以包括：
94.步骤s401，针对所述网络防火墙策略的各所述最小策略组成元素进行对象化处理得到各元素对象；
95.终端设备在将待处理的网络防火墙策略的各个最小策略组成元素导入到运行内存当中，以基于该各个最小策略组成元素针对该网络防火墙策略进行管理操作时，先进一步地针对该各个最小策略组成元素进行对象化处理从而得到对应的各个元素对象。
96.具体地，例如，终端设备采用任意成熟的对象化处理技术，在网络防火墙策略a策略配置数据对应的各最小策略组成元素中，针对该最小策略组成元素中的源ip、目的ip、策略端口、策略协议都统一进行对象化处理，得到该源ip、目的ip、策略端口、策略协议各自对应的元素对象。
97.步骤s402，建立各所述元素对象与所述网络防火墙策略之间的关联关系，并将各所述元素对象和所述网络防火墙策略分开存储至预设的防火墙策略表中；
98.终端设备在针对待处理的网络防火墙策略的各个最小策略组成元素进行对象化处理从而得到对应的各个元素对象之后，针对该各个元素对象和该网络防火墙策略都进行编号，并基于该编号建立各个元素对象与该网络防火墙策略之间的关联关系，然后，将该各个元素对象和该网络防火墙策略分开独立存储在预先构建的防火墙策略表当中。
99.需要说明的是，在本实施例中，防火墙策略表为终端设备预先在本地统一化归档
存储各网络防火墙策略的数据库当中，或者在本地运行内存当中构建的用于分开存储网络防火墙策略和该网络防火墙策略的策略配置数据所对应最小策略组成元素的策略表，该策略表定期迭代更新版本数据，并在最新一个版本数据作为基础进行增量更新。
100.具体地，例如，终端设备在网络防火墙策略a策略配置数据对应的各最小策略组成元素中，针对该最小策略组成元素中的源ip、目的ip、策略端口、策略协议都统一进行对象化处理，得到该源ip、目的ip、策略端口、策略协议各自对应的元素对象之后，分别构建得到：该源ip对应的元素对象的编号为a1、该目的ip对应的元素对象的编号为a2、该策略端口对应的元素对象的编号为a3、该策略协议对应的元素对象的编号为a4，以及，构建得到：该网络防火墙策略a的编号为a。从而，终端设备即可通过构建的各编号构建得到编号a共同关联编号a1
‑
a4的关联关系，并在预先构建的防火墙策略表中，单独存储该编号a共同关联编号a1
‑
a4的关联关系，和单独存储该网络防火墙策略a策略配置数据对应的各最小策略组成元素。
101.步骤s403，按照所述关联关系从所述防火墙策略表中索引目标防火墙策略以针对所述目标防火墙策略进行集中化的管理操作。
102.终端设备在基于构建的编号建立各个元素对象与网络防火墙策略之间的关联关系，并将该各个元素对象和该网络防火墙策略分开独立存储在预先构建的防火墙策略表当中之后，基于该关联关系从该防火墙策略表中查询索引出当前要进行处理的目标防火墙策略所对应的最小化组成元素，进而针对该最小策略组成元素进行对应处理，以完成对该目标防火墙策略集中化的管理操作。
103.具体地，例如，终端设备在基于接收到的策略应用请求，确定当前需要针对网络防火墙策略a的策略配置数据进行编辑处理时，基于该网络防火墙策略a对应的编号a，和该编号a共同关联编号a1
‑
a4的关联关系，从本地数据库或者运行内存当中的防火墙策略表中，先查询得到该网络防火墙策略a的策略配置数据所对应最小策略组成元素中，源ip、目的ip、策略端口、策略协议各自对应的元素对象，进而基于该各元素对象从该防火墙策略表中索引出该最小策略组成元素，进而，针对该最小策略组成元素进行编辑处理以完成对该网络防火墙策略a的管理操作。
104.终端设备即可通过构建的各编号构建得到编号a共同关联编号a1
‑
a4的关联关系，并在预先构建的防火墙策略表中，单独存储该编号a共同关联编号a1
‑
a4的关联关系，和单独存储该网络防火墙策略a策略配置数据对应的各最小策略组成元素。
105.在本实施例中，由于传统的策略管理不会将网络防火墙策略分解，而是以策略里定义的ip、端口、协议或者是ip组、端口组、协议组为元素直接进行管理，如此，需要要求所管理的网络防火墙策略配置数据格式较为统一，且元素和元素之间并不需要有数据层面的联系，例如，当用户想要在所有的访问控制策略里搜索某一个ip，这需要将所有策略数据都遍历一遍，逐个将策略的源ip或者目的ip格式转化成与搜索ip的格式一致，这样才能判断搜索的ip是否等于或者是存在于当前策略的ip或者ip组，如此，在所管理的网络防火墙策略的数量较大时，完整遍历一次所有数据的搜索效率会比较低。
106.考虑到上述问题，本发明网络防火墙策略的管理方法，通过终端设备在将待处理的网络防火墙策略的各个最小策略组成元素导入到运行内存当中，以基于该各个最小策略组成元素针对该网络防火墙策略进行管理操作时，先进一步地针对该各个最小策略组成元
素进行对象化处理从而得到对应的各个元素对象；针对该各个元素对象和该网络防火墙策略都进行编号，并基于该编号建立各个元素对象与该网络防火墙策略之间的关联关系，然后，将该各个元素对象和该网络防火墙策略分开独立存储在预先构建的防火墙策略表当中；基于该关联关系从该防火墙策略表中查询索引出当前要进行处理的目标防火墙策略所对应的最小化组成元素，进而针对该最小策略组成元素进行对应处理，以完成对该目标防火墙策略集中化的管理操作。
107.如此，本发明实现了在数据层面上将网络防火墙策略和策略配置数据的最小策略组成元素分离开来，如此，真实网络防火墙策略所关联的仅仅是一些编号而不是元素本身的具体数据，进而可以支持不同格式的策略组成元素，并且，在有多个网络防火墙策略共有一个相同的策略组成元素时，还可以针对该相同的策略组成元素进行去重后再对象化，从而有效的减少数据冗余。
108.进一步地，基于上述第一实施例和第二实施例，提出本发明网络防火墙策略的管理方法的第四实施例，本实施例与上述各实施例之间的主要区别在于，在本实施例中，在上述步骤s40，根据所述最小策略组成元素针对所述网络防火墙策略进行集中化的管理操作，还可以包括：
109.步骤s404，根据所述最小策略组成元素构建预设的字符树模型；
110.终端设备在基于接收到的策略应用请求，将防火墙策略的策略配置数据所对应各最小策略组成元素拉取到运行内存当中之后，随即在该运行内存当中利用该最小策略组成元素构建形成预设的字符树模型。
111.需要说明的是，在本实施例中，预设的字符树模型为lc
‑
trie(level compressed trie,字符树/字典树)树，终端设备使用该lc
‑
trie树来处理网络防火墙策略的策略配置数据，使得数据的查询效率很大程度上与该lc
‑
trie树的高度有关，即复杂度为o(w)，其中w为树的高度。
112.进一步地，在一种可行的实施例中，上述步骤s404，可以包括：
113.步骤s4041，确定所述网络防火墙策略的各所述最小策略组成元素各自所属的元素特征，其中，所述元素特征的数量大于一；
114.终端设备在将待处理的网络防火墙策略的配置数据对应的各最小策略组成元素拉取到运行内存当中之后，先确定预先调用策略配置标准化模板对策略配置数据进行分解之后形成的、该各最小策略组成元素各自对应的元素特征。
115.具体地，例如，假定终端设备预先通过调用根据网络防火墙策略a配置数据的文本格式，所配置得到策略配置标准化模板a，来针对该网络防火墙策略a的策略配置数据进行统一分解，从而将该策略配置数据抽象成：源对象、目的对象、协议对象、端口对象、动作和描述信息这六个元素特征，从而，终端设备在确定当前待处理的网络防火墙策略为该网络防火墙策略a，并将该网络防火墙策略a的策略配置数据对应的各最小策略组成元素，均拉取到运行内存当中之后，反向的确定该各最小策略组成元素各自所属的元素特征分别为：源对象、目的对象、协议对象、端口对象、动作和描述信息。
116.步骤s4042，拆分各所述元素特征以分别构建各所述元素特征对应的字符树模型，并针对各所述元素特征进行压缩以得到对应的压缩后的字符树模型。
117.终端设备在确定各最小策略组成元素各自对应的元素特征之后，即分别针对该各
元素特征进行拆分以构建得到各元素特征各自对应的字符树模型，然后，进一步针对该各元素特征进行压缩处理以将该各元素特征各自对应的字符树模型进行压缩，从而得到各压缩后的字符树模型。
118.需要说明的是，在本实施例中，终端设备通过将网络防火墙策略对应的元素特征进行拆分形成不重叠网段，然后将该元素特征的ip地址或者ip网段统一转化为网段进行表示，并计算出该网段的起始ip和末尾ip，再然后进一步将该网段分解成多个不重叠网段，同时记录每一个不重叠网段对应的一个或多个源对象id，最后以该元素特征的不重叠网段建立字符树模型。
119.具体地，例如，请参照如图4所示的应用场景，假定终端设备在确定待处理的网络防火墙策略a、网络防火墙策略b和网络防火墙策略c，各自的策略配置数据所对应各最小策略组成元素，各自所属的元素特征中，源对象分别为：src1、src2和src3，且该src1、src2和src3各自的ip网段分别为0.0.0.0/32、0.0.0.0/30和0.0.0.0/16，则终端设备针对该3个ip网段经过拆分后得到3个不重叠网段如下：
120.seg1:0.0.0.0
‑
0.0.0.0，关联源对象src1、src2、src3
121.seg2:0.0.0.1
‑
0.0.0.2，关联源对象src2、src3
122.seg3:0.0.0.3
‑
0.0.255.255，关联源对象src3
123.然后，终端设备将源对象的不重叠网段按起始ip数值从小到大排序，按左孩子表示0、右孩子表示1的方式生成如图4左侧所示的源对象对应的字符树模型——源对象trie树(该源对象trie树中，如果ip版本为ipv4，则该源对象高度h＝32)。终端设备针对其它各元素特征进行拆分以生成对应字符树模型的操作与此过程同理。
124.终端设备在生成如图4左侧所示的源对象对应的字符树模型——源对象trie树之后，进一步通过合并相同最小策略组成元素的方式针对该源对象trie树进行压缩，即，终端设备从生成的该源对象trie树的根节点开始使用层级遍历，如果某个节点有且只有左子节点和右子节点，则将该左子节点和右子节点合并到该节点的位置上，直到遍历到某节点的子节点为叶子节点，则遍历结束，从而得到如图4右侧所示经过压缩之后的源对象trie树，此时，源对象trie树高度已大大降低，h<32。终端设备针对其它各元素特征对应的字符树模型进行压缩以得到压缩后字符树模型的操作与此过程同理。
125.步骤s405，基于所述字符树模型索引目标防火墙策略，并在所述字符树模型中针对所述目标防火墙策略进行集中化的管理操作。
126.终端设备在运行内存当中利用最小策略组成元素构建形成预设的字符树模型之后，利用该字符树模型查询索引出在当前要进行集中化管理操作的目标防火墙策略，并直接在该字符树模型当中针对该目标防火墙策略对应的最小策略组成元素进行管理操作。
127.进一步，所述管理操作至少包括：策略更新，在一种可行的实施例中，步骤s405，可以包括：
128.步骤s4051，在所述字符树模型中遍历符合预设条件的目标节点，其中，所述预设条件包括:所述目标节点为空节点、所述目标节点与待插入节点相匹配或者所述目标节点能够与新节点合并；
129.终端设备若基于接收到的策略应用请求确定当前需要针对网络防火墙策略进行策略更新操作，则确定可通过在对应的字符树模型(该网络防火墙策略需要进行更新的策
略配置数据，所对应最小策略组成元素所在的字符树模型)中，插入一个新的节点，从而，终端设备即开始在该字符树模型当中遍历查询为空节点、与待插入节点相匹配或者能够与新节点合并的目标节点。
130.步骤s4052，将所述目标防火墙策略的策略更新内容对应填充在所述目标节点上以完成策略更新。
131.终端设备在确定出字符树模型上的目标节点之后，将当前需要针对网络防火墙策略中，需要进行更新的策略配置数据，对应填充在该目标节点之上以实现针对该网络防火墙策略的策略更新操作。
132.具体地，例如，终端设备在基于接收到的策略应用请求确定当前需要针对网络防火墙策略进行策略更新操作，确定可通过在对应的字符树模型——源对象trie树中插入一个新的节点时，终端设备即从该源对象trie树的根节点开始层次遍历子节点，如果终端设备遍历到了空节点，即直接将该空节点作为目标节点，并在该空节点位置上插入进行更新的策略配置数据对应的新节点；或者，如果终端设备遍历到了非叶子节点，则进一步判断该非叶子节点是否匹配待插入的节点(上述新节点)，如果匹配，则以该非叶子节点的子节点继续层次遍历，否则使用新节点来替换该非叶子节点；再或者，如果终端设备遍历到了叶子节点，则进一步判断该叶子节点是否与新节点可以合并，如果可以，则合并该叶子节点和新节点并更新该叶子节点，否则使用新节点来替换该叶子节点。
133.需要说明的是，在本实施例中，终端设备针对该源对象trie树插入新节点以完成对网络防火墙策略更新的时间复杂度同样为o(w)，其中w为树的高度。
134.进一步地，在另一种可行的实施例中，在运行内存当中利用最小策略组成元素构建形成预设的字符树模型之后，通过该字符树模型的匹配算法实现对目标防火墙策略的查询。具体地，假设终端设备当前需要查询某个源ip匹配的目标防火墙策略，则终端设备可以从根节点开始层次遍历子节点，直到遍历到某节点为叶子节点且该节点符合查询条件，则遍历结束(由于在生成lc
‑
trie树的过程中，已经把所有网段分解成多个不重叠网段，因此遍历找到的节点必然是唯一的)，而进一步地，终端设备可根据遍历得到的该节点的信息，找到该节点关联的策略对象id(构建字符树模型针对该策略对象id进行了记录)，最后根据该策略id即可找到匹配的网络防火墙策略作为目标防火墙。同样的，此时的匹配查询时间复杂度为o(w)，其中w为树的高度。
135.进一步地，在另一种可行的实施例中，终端设备在每一次针对字符树模型中插入节点以完成对目标防火墙策略的更新之后，还基于该字符树模型的平衡算法针对该字符树模型执行一次平衡操作，即，终端设备通过遍历或者其它方式找到新增或替换后节点的父节点，先判断该父节点是否需要平衡，如果需要平衡，则终端设备将该父节点的所有子节点合并到父节点上，并且继续判断该合并后的节点的父节点是否需要平衡，直到遍历到根节点或者第一个不需要平衡的节点时即结束。
136.在本实施例中，由于传统的防火墙策略管理方式大致的做法是将策略和策略的组成元素内容都集中存储，并且会把存储内容都会统一转为字符串或者整型等格式，这样的数据结构可以抽象成以多个单层字典组成的列表，每个单层字典记录一条策略的所有内容。尽管这种方式中一条策略数据对应一个单层字典，数据格式统一、存储方便，对策略数据进行增删查改时只需要按特定顺序查找出数据即可直接操作，但是，这种方式确存在数
据冗余较大的弊端，因为每条策略数据都需要完整存储，如此，这种情况下，如果需要使用源ip或者目的ip去查询匹配策略，则时间复杂度将非常大，导致对策略的管理效率低下。
137.考虑到上述现象，本发明网络防火墙策略的管理方法，通过终端设备在基于接收到的策略应用请求，将防火墙策略的策略配置数据所对应各最小策略组成元素拉取到运行内存当中之后，随即在该运行内存当中利用该最小策略组成元素构建形成预设的字符树模型；终端设备在运行内存当中利用最小策略组成元素构建形成预设的字符树模型之后，利用该字符树模型查询索引出在当前要进行集中化管理操作的目标防火墙策略，并直接在该字符树模型当中针对该目标防火墙策略对应的最小策略组成元素进行管理操作。
138.如此，本发明实现了基于防火墙策略配置数据的最小策略组成元素来构建字符树模型，从而利用该字符树模型索引查询该网络防火墙策略并对其进行相关管理，如此，能够在所采集到的网络防火墙策略相互之间在差异而缺少异构性支持情况下，基于最小策略组成元素方便、快捷的完成对防火墙策略的管理操作，降低了对防火墙策略进行管理操作的复杂性，提升了对防火墙策略的管理效率。
139.进一步地，本发明还提供一种网络防火墙策略的管理系统。请参照图5，图5为本发明网络防火墙策略的管理系统一实施例的功能模块示意图。如图5所示，本发明网络防火墙策略的管理系统，包括：
140.策略采集模块10，用于采集网络防火墙策略；
141.策略存储模块20,用于针对采集到的所述网络防火墙策略进行统一化存储；
142.策略分解模块30,用于读取统一化存储的所述网络防火墙策略，并将所述网络防火墙策略分解为最小策略组成元素；
143.策略管理模块40,用于根据所述最小策略组成元素针对所述网络防火墙策略进行集中化的管理操作。
144.进一步地，策略分解模块30，包括：
145.模板调用单元，用于调用预设的策略配置标准化模板，其中，所述策略配置标准化模板基于所述网络防火墙策略配置数据的文本格式构建得到；
146.第一分解单元，用于基于所述策略配置标准化模板将所述网络防火墙策略分解为多个元素特征；
147.第二分解单元，用于针对各所述元素特征进行裂解处理以将所述网络防火墙策略分解为最小策略组成元素。
148.进一步地，策略管理模块40，包括：
149.对象化单元，用于针对所述网络防火墙策略的各所述最小策略组成元素进行对象化处理得到各元素对象；
150.关联单元，用于建立各所述元素对象与所述网络防火墙策略之间的关联关系，并将各所述元素对象和所述网络防火墙策略分开存储至预设的防火墙策略表中；
151.第一管理单元，用于按照所述关联关系从所述防火墙策略表中索引目标防火墙策略以针对所述目标防火墙策略进行集中化的管理操作。
152.进一步地，策略管理模块40，还包括：
153.模型构建单元，用于根据所述最小策略组成元素构建预设的字符树模型；
154.第二管理单元，用于基于所述字符树模型索引目标防火墙策略，并在所述字符树
模型中针对所述目标防火墙策略进行集中化的管理操作。
155.进一步地，模型构建单元，包括：
156.确定子单元，用于确定所述网络防火墙策略的各所述最小策略组成元素各自所属的元素特征，其中，所述元素特征的数量大于一；
157.构建子单元，用于拆分各所述元素特征以分别构建各所述元素特征对应的字符树模型，并针对各所述元素特征进行压缩以得到对应的压缩后的字符树模型。
158.进一步地，所述管理操作至少包括：策略更新，第二管理单元，包括：
159.遍历子单元，用于在所述字符树模型中遍历符合预设条件的目标节点，其中，所述预设条件包括:所述目标节点为空节点、所述目标节点与待插入节点相匹配或者所述目标节点能够与新节点合并；
160.更新子单元，用于将所述目标防火墙策略的策略更新内容对应填充在所述目标节点上以完成策略更新。
161.进一步地，所述网络防火墙策略为多个,策略存储模块20，包括：
162.确定单元，用于从采集到的各所述网络防火墙策略各自的策略配置数据中,确定数据文件格式与预设统一文件格式不同的目标策略配置数据；
163.格式转化单元，用于将所述目标策略配置数据的文件格式转化为所述预设统一文件格式；
164.归档存储单元针对所述预设统一文件格式的策略配置数据进行归档存储。
165.其中，上述网络防火墙策略的管理系统中任务调度节点的各个模块的功能实现，与上述网络防火墙策略的管理方法实施例中各步骤相对应，其功能和实现过程在此处不再一一赘述。
166.本发明还提供一种计算机存储介质，该计算机存储介质上存储有网络防火墙策略的管理程序，所述网络防火墙策略的管理程序被处理器执行时实现如以上任一项实施例所述的网络防火墙策略的管理方法的步骤。
167.本发明计算机存储介质的具体实施例与上述网络防火墙策略的管理方法各实施例基本相同，在此不作赘述。
168.本发明还提供一种计算机程序产品，所述计算机程序产品包括计算机程序，所述计算机程序被处理器执行时实现如以上任一项实施例所述的网络防火墙策略的管理方法的步骤。
169.本发明计算机存储介质的具体实施例与上述网络防火墙策略的管理方法各实施例基本相同，在此不作赘述。
170.需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
171.上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。
172.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下
前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在如上所述的一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。
173.以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。