(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111344481.4 (22)申请日 2021.11.15 (65)同一申请的已公布的文献号 申请公布号 CN 114024765 A (43)申请公布日 2022.02.08 (73)专利权人 北京智维盈讯网络科技有限公司 地址 100025 北京市朝阳区住邦20 00商务 楼2号楼807号 (72)发明人 范伟导　周飞　李永杰　范原瑞　 苗蔚然　 (74)专利代理 机构 北京市鼎立 东审知识产权代 理有限公司 1 1751 专利代理师 朱慧娟　刘瑛 (51)Int.Cl. H04L 9/40(2022.01)(56)对比文件 CN 109495 508 A,2019.0 3.19 US 2016036856 A1,2016.02.04 US 2010043067 A1,2010.02.18 CN 110830325 A,2020.02.21 CN 101547126 A,20 09.09.30 US 9553845 B1,2017.01.24 CN 112637179 A,2021.04.09 CN 111786949 A,2020.10.16 US 2019182 213 A1,2019.0 6.13 US 201725 0951 A1,2017.08.31 左晓军等.基 于域名系统流 量Fast-Flu x僵 尸网络检测方法. 《计算机 工程》 .2017,全 文. 吴劲锋.浅论企业防火墙安全策略优化及收 敛. 《信息通信》 .2016,(第04期),全 文. 审查员 徐旭 (54)发明名称 基于旁路流量与 防火墙配置相结合的防火 墙策略收敛 方法 (57)摘要 本申请涉及一种基于旁路流量与 防火墙配 置相结合的防火墙策略收敛方法、 装置、 控制系 统和可读存储介质， 通过通过旁路根据预设数据 流方向识别条件采集并分析网络流量， 记录每一 个IP通讯对的五元组信息并保存在数据流表中； 并对所述数据流中的每一条数据流五元组进行 防火墙策略匹配， 获取所匹配的防火墙策略ID并 更新所述数据流表； 从更新后的所述数据流表中 获取IP通 讯对命中结果， 根据所述命中结果收敛 所述防火墙策略。 本发明基于旁路流量与防火墙 配置结合， 用于判断每一个IP通讯对是否命中防 火墙策略， 从而可以记录防火墙每一条策略所命 中的所有五元组信息， 进而基于命中记录来收敛 防火墙策略。 权利要求书2页 说明书9页 附图2页 CN 114024765 B 2022.07.22 CN 114024765 B 1.一种基于旁路流量与防火墙配置相结合的防火墙策略收敛方法， 其特征在于， 包括 如下步骤： S100、 获取并解析防火墙 配置信息， 包括： S110、 解析所述防火墙 配置信息并获取防火墙策略解析信息； 以及， S120、 将所述防火墙策略解析信息格式化处 理， 获取格式化策略； 以及， S130、 将所述格式化策略使用到的地址 /应用解析到预设指定的目的端IP和端口； S200、 通过旁路根据预设数据流方向识别条件和解析信息采集并分析网络流量， 记录 每一个IP通讯对的五元组信息并保存在数据流表中， 包括： S210、 获取防火墙策略解析信息； 以及， S220、 根据预设策略顺序将所述防火墙策略解析信息中的防火墙策略自动生成策略序 号； 以及， S230、 将所述目的端IP和端口按照所述策略序 号生成用于所述数据流中IP五元组通讯 对的方向识别的服 务端列表， 根据所述 服务端列表采集并分析网络流 量； S300、 预设策略匹配条件， 并对所述数据流中的每一条数据流五元组进行防火墙策略 匹配， 获取 所匹配的防火墙策略ID并更新所述数据流表， 包括： S310、 根据所述服务端列表， 识别判断所述数据流中的IP五元组的方向是否确定； 以 及， S320、 在所述数据流中的IP五元组的方向确定时， 采用客户端作 为源地址、 服务端作 为 目的地址直接进行防火墙匹配； 以及， S330、 在所述数据流 中的IP五元组的方向不确定时， 采用双向匹配方式， 包括： 第一步， 用客户端IP、 服务端IP、 服务端口对应的源IP、 目的IP和应用进行第一次匹配； 第二步， 用服 务端IP、 客户端IP、 客户端端口对应的源IP、 目的IP和应用进行第二次匹配； 第三步， 将 两次 匹配结果序号 最小的防火墙策略作为命中策略并记录在所述数据流表中； S400、 从更新后的所述数据流表中获取IP通讯对命中结果， 根据所述命中结果收敛所 述防火墙策略。 2.一种基于旁路流 量与防火墙 配置相结合的防火墙策略收敛装置， 其特 征在于， 包括： 解析模块： 用于获取并解析防火墙 配置信息； 所述 解析模块包括： 防火墙策略解析模块： 用于解析所述防火墙配置信息并获取防火墙策略解析信息； 以 及， 格式化模块： 用于将所述防火墙策略解析信息格式化处 理， 获取格式化策略； 以及， 解析端口： 用于将所述格式化策略使用到的地址/应用解析到预设指定的目的端IP和 端口； 旁路流量采集模块： 用于通过旁路根据预设数据流方向识别条件采集并分析网络流 量， 记录每一个IP通讯对的五元组信息并保存在数据流表中； 所述旁路流 量采集模块包括： 解析信息获取模块： 用于获取防火墙策略解析信息； 以及， 策略序号生成模块： 用于根据 预设策略顺序将所述防火墙策略解析信 息中的防火墙策 略自动生成策略序号； 以及， 服务端列表识别模块： 用于将所述目的端IP和端口按照所述策略序号生成用于所述数 据流中IP五元组通讯对的方向识别的服务端列 表， 根据所述服务端列 表采集并分析网络流权　利　要　求　书 1/2 页 2 CN 114024765 B 2量； 策略匹配模块： 用于预设策略匹配条件， 并对所述数据流中的每一条数据流五元组进 行防火墙策略匹配， 获取所匹配的防火墙策略ID并更新所述数据流表； 所述策略匹配模块 包括： IP五元组方向确定模块： 用于根据所述服务端列表， 识别判断所述数据流中的IP五元 组的方向是否确定； 以及， 第一匹配模块： 用于在所述数据流中的IP五元组的方向确定时， 采用客户端作为源地 址、 服务端作为目的地址直接进行防火墙匹配； 以及， 第二匹配模块： 用于在所述数据流中的IP五元组的方向不确定时， 采用双向匹配方式， 包括： 第一步， 用客户端IP、 服务端IP、 服务端口对应的源IP、 目的IP和应用进行第一次匹 配； 第二步， 用服务端IP、 客户端IP、 客户端端口对应的源IP、 目的IP和应用进行第二次匹 配； 第三步， 将两次匹配结果序号最小的防火墙策略作为命中策略并记录在所述数据流表 中； 收敛模块： 用于从更新后的所述数据流表中获取IP通讯对命中结果， 根据所述命中结 果收敛所述防火墙策略。 3.一种控制系统， 其特 征在于， 包括： 处理器； 用于存储处理器可执行指令的存 储器； 其中， 所述处理器被配置为执行所述可执行指令时实现权利要求1所述的基于旁路流 量与防火墙 配置相结合的防火墙策略收敛 方法。 4.一种非易失性计算机可读存储介质， 其上存储有计算机程序指令， 其特征在于， 所述 计算机程序指 令被处理器执行时实现权利要求1所述的基于旁路流量与防火墙配置相结合 的防火墙策略收敛 方法。权　利　要　求　书 2/2 页 3 CN 114024765 B 3