一种防火墙对象策略规则优先级的实现方法与流程

技术特征：
1.一种防火墙对象策略规则优先级的实现方法，其特征在于：包括以下步骤：第一步，基于用户层，获取包含安全策略规则的目标对象策略，并依据运营平台对所述目标对象策略己身信息进行校验，校验成功，则顺序执行第二步，反之则重新获取目标对象策略；第二步，基于控制层的数据库，根据目标对象策略的基本信息得到该目标对象策略安全策略下的所有原来规则，拼接成旧规则集；将第一步获取的安全策略规和旧规则集进行合并或替换后，按优先级级别从大到小排序后得到新规则集；第三步，驱动层将控制层传递的json报文转换成netconf报文，并同步接收控制层传输的旧规则集和新规则集，以下发安全策略规则适配于不同的防火墙设备，其中，若配置下发成功，则，删除驱动层的redis报文缓存数据，并将结果反馈至运营平台；若配置下发失败，则，从驱动层的redis报文缓存数据中提取缓存报文，并重新调用驱动层进行配置，并将结果反馈至运营平台。2.根据权利要求1所述的一种防火墙对象策略规则优先级的实现方法，其特征在于：第一步中，所获取目标对象策略包含新增安全策略规则和更新安全策略规则两种安全策略规则。3.根据权利要求2所述的一种防火墙对象策略规则优先级的实现方法，其特征在于：当获取包含新增安全策略规则的目标对象策略时，第二步包括：s2-1，基于控制层的数据库，查询当前新增安全策略规则下是否已有原来规则：首先，若已有原来规则，则将除此新增安全策略规则外的所有原来规则拼接成旧规则集，并将此旧规则集以及此新增安全策略规则合并为新规则集，且以优先级级别从大到小在所述新规则集内排序；其次，若当前新增安全策略规则下无原来规则，则，将此新增的安全策略规加入形成一新规则集；s2-2，根据s2-1中的得到的已完成排序的新规则集，对所述控制层的数据库进行批量更新；s2-3，将新规则集按照排序传递至驱动层，并存redis报文缓存数据。4.根据权利要求2所述的一种防火墙对象策略规则优先级的实现方法，其特征在于：当获取包含更新安全策略规则的目标对象策略时，第二步中，需要基于控制层的数据库，查询当前更新的安全策略规则下是否已有原来规则，若已有规则，进一步进行是否更新优先级的判断，若需要更新时，将先创建一空规则集，批量修改数据库的优先级，并按照优先级级别从大到小进行排序后，将排序好的原来规则按照顺序放入至所述空规则集，且同时，将更新的安全策略规则加入至空规则集形成新规则集，将新规则集按照排序传递至驱动层，并存redis报文缓存数据；若不需要更新优先级时，则只对数据库进行更新，结束；反之，基于控制层的数据库，在查询当前更新的安全策略规则下无原来规则时，结束更新指令。5.根据权利要求1所述的一种防火墙对象策略规则优先级的实现方法，其特征在于：第三步中，在驱动层接收控制层传输的旧规则集和新规则集后，下发安全策略规则适配于不
同的防火墙设备时，需要将旧规则集中的原来规则移除，以新规则集中包含的新增或更新的安全策略规则进行下发。

技术总结
本发明提供一种防火墙对象策略规则优先级的实现方法，包括基于用户层，获取包含安全策略规则的目标对象策略，并依据运营平台对目标对象策略己身信息进行校验；基于控制层的数据库，根据目标对象策略的基本信息得到该目标对象策略安全策略下的所有原来规则，拼接成旧规则集；将获取的安全策略规和旧规则集进行合并或替换后，得到新规则集；驱动层同步接收控制层传输的旧规则集和新规则集，以下发安全策略规则适配于不同的防火墙设备，并将结果反馈至运营平台。本发明利用对象策略规则编号自动排序实现对象策略优先级的功能，实现对象策略优先级的功能，从而相比人力用move方式操作对象策略规则的方式，具备更加智能，出错率低的优点。优点。优点。


技术研发人员：范生越
受保护的技术使用者：紫光云（南京）数字技术有限公司
技术研发日：2021.12.03
技术公布日：2022/3/18