一种安全策略处理方法、装置、介质和设备制造方法及图纸

本发明专利技术涉及一种安全策略处理方法、装置、介质和设备。根据本发明专利技术实施例提供的方案，可以在接收到一条新配置的安全策略时，即进行一次优化校验，并可以利用当前配置的安全策略的五元组信息与每条已配置的安全策略的五元组信息逐一比对的方式，根据五元组信息比对结果以及安全策略对应的动作，确定对安全策略的优化校验结果。无需用户在防火墙设备上完成所有安全策略的配置之后，再批量地对各安全策略进行优化校验，且无需用户人为地进行安全策略优化，实现对安全策略的实时优化校验和自动优化，避免在短时间内消耗掉大量的系统内存，影响系统性能，甚至影响防火墙设备的安全功能，降低系统安全风险。降低系统安全风险。降低系统安全风险。

【技术实现步骤摘要】
一种安全策略处理方法、装置、介质和设备


[0001]本专利技术涉及网络安全
，特别涉及一种安全策略处理方法、装置、介质和设备。

技术介绍

[0002]本部分旨在为权利要求书中陈述的本专利技术的实施方式提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。
[0003]防火墙的基本作用是保护特定网络免受不信任网络的攻击，但是同时需要允许两个网络之间可以进行合法的通信。防火墙的安全策略的作用就是对通过防火墙的数据流进行检验，使得符合安全策略的数据流可以通过防火墙，实现两个网络之间的合法通信。因此，在防火墙设备上，需要进行安全策略的配置。
[0004]在防火墙设备上配置多条不同的安全策略时，可能会出现两条或多条安全策略的交叉、包含或冲突等，因此，需要对防火墙设备上配置的安全策略进行优化校验，确定安全策略之间是否存在交叉、包含或冲突等，并根据优化校验结果进行安全策略优化。
[0005]安全策略优化可以包括安全策略合并、安全策略去重和安全策略去冲突等。对配置的安全策略进行优化可以消除安全策略之间的交叉或包含，减少安全策略条数，减少系统资源的占用。另外，对配置的安全策略进行优化还可以消除安全策略之间的冲突，避免防火墙设备不能确定应该执行哪个动作。
[0006]现有技术中，用户在防火墙设备上完成所有安全策略的配置之后，再批量地对各安全策略进行优化校验，并将优化校验结果呈现给用户。进一步的，用户可以依据优化校验结果，人为地进行安全策略优化。
[0007]在用户完成所有安全策略的配置之后，批量地对各安全策略进行优化校验，无法在每条安全策略配置时，实时地对安全策略进行优化校验，且会在短时间内消耗掉大量的系统内存，影响系统性能，并有可能影响防火墙设备的安全功能，使防火墙设备保护的内部网络面临安全风险。
[0008]另外，批量地进行安全策略优化校验，会产生大量重复和无效的结果记录，增加人为筛选和排查的工作量，费时费力，难以保证优化的准确性和有效性，可能会造成安全策略优化不当，不能按照预期生效，存在安全风险。

技术实现思路

[0009]本专利技术实施例提供一种安全策略处理方法、装置、介质和设备，用于解决无法实时地对安全策略进行优化校验，安全策略批量进行优化校验导致系统存在安全风险的问题。
[0010]第一方面，本专利技术提供了一种安全策略处理方法，所述方法包括：
[0011]接收配置的安全策略；
[0012]若接收到一条配置的安全策略，利用当前配置的安全策略的五元组信息与每条已配置的安全策略的五元组信息逐一比对，根据五元组信息比对结果以及安全策略对应的动
作，确定对安全策略的优化校验结果。
[0013]可选的，利用当前配置的安全策略的五元组信息与每条已配置的安全策略的五元组信息逐一比对，根据五元组信息比对结果以及安全策略对应的动作，确定对安全策略的优化校验结果，包括：
[0014]利用当前配置的安全策略对应的位图表与每条已配置的安全策略对应的位图表逐一比对，根据位图表比对结果以及安全策略对应的动作，确定对安全策略的优化校验结果；
[0015]其中，一张位图表包括一条安全策略的五元组信息分别对应的五个位图区域，每个位图区域对应一张位图，一张位图中的每个比特表示该位图对应的五元组信息的一种报文特征。
[0016]可选的，利用当前配置的安全策略对应的位图表与每条已配置的安全策略对应的位图表逐一比对，根据位图表比对结果以及安全策略对应的动作，确定对安全策略的优化校验结果，包括：
[0017]确定所述当前配置的安全策略对应保存的第一位图表，并确定一条已配置的安全策略对应保存的第二位图表；
[0018]将所述第一位图表的五张位图分别与所述第二位图表对应的位图进行位与计算，分别确定所述第一位图表与所述第二位图表五张位图的重合度；
[0019]根据确定出的所述第一位图表与所述第二位图表五张位图的重合度、所述当前配置的安全策略所对应的动作以及所述已配置的安全策略所对应的动作，确定对安全策略的优化校验结果；
[0020]重复执行上述操作，直至针对所有已配置的安全策略对应保存的位图表，均执行完毕如上操作或者所述第一位图表被删除。
[0021]可选的，每个位图区域还对应一个偏移量指示信息和一个长度指示信息，其中，所述偏移量指示信息表示该位图区域对应的位图的真实起始索引位置，所述长度指示信息表示该位图区域对应的位图的有效连续比特数量；
[0022]将所述第一位图表的五张位图分别与所述第二位图表对应的位图进行位与计算，分别确定所述第一位图表与所述第二位图表五张位图的重合度，包括：
[0023]根据对应的偏移量指示信息和长度指示信息，分别将所述第一位图表的五张位图以及所述第二位图表的五张位图转换为完整位图；
[0024]将转换后得到的所述第一位图表的五张位图，分别与转换后得到的所述第二位图表对应的位图逐位进行位与计算；
[0025]根据位与计算结果，分别确定所述第一位图表与所述第二位图表五张位图的重合度。
[0026]可选的，根据确定出的所述第一位图表与所述第二位图表五张位图的重合度、所述当前配置的安全策略所对应的动作以及所述已配置的安全策略所对应的动作，确定对安全策略的优化校验结果，包括：
[0027]若确定出的所述第一位图表与所述第二位图表五张位图的重合度，至少有一个重合度为零，则确定对安全策略的优化校验结果为无需优化；
[0028]若确定出的所述第一位图表与所述第二位图表五张位图的重合度，至少有一个重
合度为大于零且小于一，且所述当前配置的安全策略所对应的动作以及所述已配置的安全策略所对应的动作相同，则确定对安全策略的优化校验结果为合并；
[0029]若确定出的所述第一位图表与所述第二位图表五张位图的重合度，至少有一个重合度为大于零且小于一，且所述当前配置的安全策略所对应的动作以及所述已配置的安全策略所对应的动作不相同，则确定对安全策略的优化校验结果为需要消除冲突；
[0030]若确定出的所述第一位图表与所述第二位图表五张位图的重合度，每一个重合度均为一，且所述当前配置的安全策略所对应的动作以及所述已配置的安全策略所对应的动作不相同，则确定对安全策略的优化校验结果为需要消除冲突；
[0031]若确定出的所述第一位图表与所述第二位图表五张位图的重合度，每一个重合度均为一，且所述当前配置的安全策略所对应的动作以及所述已配置的安全策略所对应的动作相同，则确定对安全策略的优化校验结果为去重。
[0032]可选的，根据确定出的所述第一位图表与所述第二位图表五张位图的重合度、所述当前配置的安全策略所对应的动作以及所述已配置的安全策略所对应的动作，确定对安全策略的优化校验结果之后，所述方法还包括：
[0033]若确定对安全策略的优化校验结果为合并，则在接收到确认合并指示后，对所述第一位图表的五张位图分别与所述第二位图表对应的位图进行位或计算，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种安全策略处理方法，其特征在于，所述方法包括：接收配置的安全策略；若接收到一条配置的安全策略，利用当前配置的安全策略的五元组信息与每条已配置的安全策略的五元组信息逐一比对，根据五元组信息比对结果以及安全策略对应的动作，确定对安全策略的优化校验结果。2.如权利要求1所述的方法，其特征在于，利用当前配置的安全策略的五元组信息与每条已配置的安全策略的五元组信息逐一比对，根据五元组信息比对结果以及安全策略对应的动作，确定对安全策略的优化校验结果，包括：利用当前配置的安全策略对应的位图表与每条已配置的安全策略对应的位图表逐一比对，根据位图表比对结果以及安全策略对应的动作，确定对安全策略的优化校验结果；其中，一张位图表包括一条安全策略的五元组信息分别对应的五个位图区域，每个位图区域对应一张位图，一张位图中的每个比特表示该位图对应的五元组信息的一种报文特征。3.如权利要求2所述的方法，其特征在于，利用当前配置的安全策略对应的位图表与每条已配置的安全策略对应的位图表逐一比对，根据位图表比对结果以及安全策略对应的动作，确定对安全策略的优化校验结果，包括：确定所述当前配置的安全策略对应保存的第一位图表，并确定一条已配置的安全策略对应保存的第二位图表；将所述第一位图表的五张位图分别与所述第二位图表对应的位图进行位与计算，分别确定所述第一位图表与所述第二位图表五张位图的重合度；根据确定出的所述第一位图表与所述第二位图表五张位图的重合度、所述当前配置的安全策略所对应的动作以及所述已配置的安全策略所对应的动作，确定对安全策略的优化校验结果；重复执行上述操作，直至针对所有已配置的安全策略对应保存的位图表，均执行完毕如上操作或者所述第一位图表被删除。4.如权利要求3所述的方法，其特征在于，每个位图区域还对应一个偏移量指示信息和一个长度指示信息，其中，所述偏移量指示信息表示该位图区域对应的位图的真实起始索引位置，所述长度指示信息表示该位图区域对应的位图的有效连续比特数量；将所述第一位图表的五张位图分别与所述第二位图表对应的位图进行位与计算，分别确定所述第一位图表与所述第二位图表五张位图的重合度，包括：根据对应的偏移量指示信息和长度指示信息，分别将所述第一位图表的五张位图以及所述第二位图表的五张位图转换为完整位图；将转换后得到的所述第一位图表的五张位图，分别与转换后得到的所述第二位图表对应的位图逐位进行位与计算；根据位与计算结果，分别确定所述第一位图表与所述第二位图表五张位图的重合度。5.如权利要求3所述的方法，其特征在于，根据确定出的所述第一位图表与所述第二位图表五张位图的重合度、所述当前配置的安全策略所对应的动作以及所述已配置的安全策略所对应的动作，确定对安全策略的优化校验结果，包括：若确定出的所述第一位图表与所述第二位图表五张位图的重合度，至少有一个重合度
为零，则确定对安全策略的优化校验结果为无需优化；若确定出的所述第一位图表与所述第二位图表五张位图的重合度，至少有一个重合度为大于零且小于一，且所述当前配置的安全策略所对应的动作以及所述已配置的安全策略所对应的动作相同，则确定对...

【专利技术属性】
技术研发人员：吴桂津，
申请(专利权)人：北京神州绿盟科技有限公司神州绿盟成都科技有限公司，
类型：发明
国别省市：