(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111651866.5 (22)申请日 2021.12.3 0 (71)申请人 奇安信科技 集团股份有限公司 地址 100088 北京市西城区新 街口外大街 28号102号楼3层3 32号 申请人 网神信息技 术 （北京） 股份有限公司 (72)发明人 褚福涛　 (74)专利代理 机构 北京路浩知识产权代理有限 公司 11002 专利代理师 王宇杨 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 基于防火墙流量自动推荐安全 策略的方法、 装置及防火墙 (57)摘要 本申请提供一种基于防火墙流量自动推荐 安全策略的方法、 装置及防火墙， 该方法包括： 获 取防火墙在目标统计周期内的第一流量日志； 所 述第一流量日志为所述防火墙在未设置任何安 全策略的情况下生成的； 根据所述第一流量日志 的目标参数， 对所述第一流量日志进行合并； 根 据所述第一流量日志的合并结果， 生成候选安全 策略； 其中， 所述目标参数包括以下至少一项： 源 IP地址， 目的IP地址。 本申请提供的基于防火墙 流量自动推荐安全策略的方法、 装置及防火墙， 用于根据防火墙的流量日志自动推荐出精细化 的防火墙访问控制规则， 很大程度上降低运维的 难度。 权利要求书2页 说明书13页 附图5页 CN 114465771 A 2022.05.10 CN 114465771 A 1.一种基于防火墙流 量自动推荐安全策略的方法， 其特 征在于， 包括： 获取防火墙在目标统计周期内的第 一流量日志； 所述第 一流量日志为所述防火墙在未 设置任何安全策略的情况 下生成的； 根据所述第一 流量日志的目标参数， 对所述第一 流量日志进行合并； 根据所述第一 流量日志的合并结果， 生成候选安全策略； 其中， 所述目标参数包括以下至少一项： 源IP地址， 目的IP地址 。 2.根据权利要求1所述的方法， 其特征在于， 所述根据所述第一流量日志 的目标参数， 对所述第一 流量日志进行合并， 包括： 将所述第一流量日志中源IP地址相邻， 和/或， 目的IP地址相邻的日志进行合并， 生成 第二流量日志。 3.根据权利要求2所述的方法， 其特征在于， 所述将所述第一流量日志中源IP地址相 邻， 和/或， 目的IP地址相邻的日志进行合并， 生成第二 流量日志之后， 所述方法还 包括： 按照不同位数的子网掩码的网络地址位， 对所述第 二流量日志中具有相邻关系的源IP 地址， 和/或， 具有相邻关系的IP地址的日志进行合并， 生成具有 多层级的网络结构树； 其中， 所述网络结构树中的任一子节点对应的子网为所述子节点的父节点对应网络的 子网。 4.根据权利要求2所述的方法， 其特征在于， 所述将所述第一流量日志中源IP地址相 邻， 和/或， 目的IP地址相邻的日志进行合并， 生成第二 流量日志之后， 所述方法还 包括： 按照具有第 一位数的网络地址位的第 一子网掩码， 对所述第 二流量日志中位于同一子 网的源IP地址的日志进行合并， 得到包 含第一子网的第三 流量日志； 其中， 所述第 一子网为所述第 二流量日志中位于同一子网的源IP地址按照所述第一子 网掩码合并后组成的子网。 5.根据权利要求4所述的方法， 其特征在于， 所述将所述第一流量日志中源IP地址相 邻， 和/或， 目的IP地址相邻的日志进行合并， 生成第二 流量日志之后， 所述方法还 包括： 按照具有第 二位数的网络地址位的第 二子网掩码， 对所述第 二流量日志中位于同一子 网的IP地址的日志进行合并， 得到包 含第二子网的第四流 量日志； 或者， 按照具有第 三位数的网络地址位的第 三子网掩码， 对所述第 三流量日志中位于同一子 网的IP地址的日志进行合并， 得到包 含第三子网的第五流 量日志； 其中， 所述第 二子网为所述第 二流量日志中位于同一子网的IP地址按照所述第 二子网 掩码合并后组成的子网； 所述第三子网为所述第三流量日志中位于同一子网的IP地址按照 所述第三子网掩码合并后组成的子网。 6.根据权利要求2所述的方法， 其特征在于， 所述将所述第一流量日志中源IP地址相 邻， 和/或， 目的IP地址相邻的日志进行合并， 生成第二 流量日志之后， 所述方法还 包括： 按照具有第四位数的网络地址位的第四子网掩码， 对所述第 二流量日志中位于同一子 网的目的IP地址进行合并， 得到包 含第四子网的第六流 量日志； 按照具有第五位数的网络地址位的第五子网掩码， 对所述第六流量日志中位于同一子 网的源IP地址的日志进行合并， 得到包 含第五子网的第七流 量日志； 其中， 所述第四子网为所述第 二流量日志中位于同一子网的目的IP地址按照所述第四权　利　要　求　书 1/2 页 2 CN 114465771 A 2子网掩码合并后组成的子网； 所述第五子网为所述第六流量日志中位于同一子网的源IP地 址按照所述第五子网掩码合并后组成的子网。 7.根据权利要求3所述的方法， 其特征在于， 所述根据所述第一流量日志 的合并结果， 生成候选安全策略， 包括： 根据所述网络结构树对应的不同网络层级， 生成与网络层级对应的具有层级关系的候 选安全策略； 其中， 不同层级对应的候选安全策略的策略宽松度不同， 每个候选安全策略包含至少 一个通信路径。 8.根据权利要求4至6中任一项所述的方法， 其特征在于， 所述根据所述第一流量日志 的合并结果， 生成候选安全策略， 包括： 根据所述第 一流量日志的合并结果中各个通信路径的命中数， 生成对应的候选安全策 略； 其中， 一个候选安全策略包括至少一个通信路径。 9.一种基于防火墙流 量自动推荐安全策略的装置， 其特 征在于， 所述装置包括： 获取模块， 用于获取防火墙在目标统计周期内的第一流量日志； 所述第一流量日志为 所述防火墙在未设置任何安全策略的情况 下生成的； 合并模块， 用于根据所述获取模块获取的第一流量日志 的目标参数， 对所述第一流量 日志进行合并； 策略生成模块， 用于根据所述合并模块得到的第一流量日志 的合并结果， 生成候选安 全策略； 其中， 所述目标参数包括以下至少一项： 源IP地址， 目的IP地址 。 10.一种防火墙， 包括存储器、 处理器及存储在所述存储器上并可在所述处理器上运行 的计算机程序， 其特征在于， 所述处理器执行所述程序时实现如权利要求1至8任一项所述 基于防火墙流 量自动推荐安全策略的方法的步骤。权　利　要　求　书 2/2 页 3 CN 114465771 A 3