[发明专利]一种网络业务诊断方法

权利要求书

1.一种网络业务诊断方法，其特征在于，包括：

获取业务请求经过的安全设备的配置信息，所述配置信息包括安全策略规则；

根据所述业务请求和所述安全设备的配置信息进行预处理；所述预处理包括：根据每个所述安全设备的类型，选择对应的安全策略匹配方式，并且确定所述业务请求经过的安全设备的入接口和出接口，生成待分析的业务请求；

根据选择的安全策略匹配方式和预设匹配算法，将所述待分析的业务请求与所述安全设备的安全策略规则进行匹配，生成每个所述安全设备对所述业务请求的准许情况；

所述安全设备的类型包括第一类型、第二类型和第三类型，其中，所述第一类型的安全设备的安全策略规则按照配置顺序形成优先级列表，所述第二类型的安全设备的安全策略规则包括区域间安全策略规则和全局安全策略规则，所述第三类型的安全设备的安全策略规则包括入接口和出接口上的安全策略规则；

所述根据每个所述安全设备的类型，选择对应的安全策略匹配方式，包括：

当所述设备类型为所述第一类型时，选择将所述业务请求按照所述优先级列表的顺序与所述安全策略规则进行匹配的安全策略匹配方式；

当所述设备类型为所述第二类型时，选择先将所述业务请求与所述区域间安全策略规则进行匹配，再将所述业务请求与所述全局安全策略规则进行匹配的安全策略匹配方式；

当所述设备类型为所述第三类型时，选择将所述业务请求分别与所述安全设备上的入接口和出接口上的安全策略规则进行匹配的安全策略匹配方式。

2.根据权利要求1所述的网络业务诊断方法，其特征在于，所述配置信息还包括阻断策略和目的地址转换DNAT中的一项或多项，所述预处理还包括以下处理中的一项或多项：

将所述业务请求与每个所述安全设备的阻断策略进行比较，过滤掉本安全设备被所述阻断策略阻断的业务请求；

根据每个所述安全设备的安全策略规则使用DNAT转换前或DNAT转换后的地址，确定是否对本安全设备上的所述业务请求进行DNAT转换；其中，当其中一个安全设备的安全策略规则使用DNAT转换后的地址时，对所述安全设备上的所述业务请求进行DNAT转换。

3.根据权利要求1所述的网络业务诊断方法，其特征在于，所述根据选择的安全策略匹配方式和预设匹配算法，将所述待分析的业务请求与所述安全设备的安全策略规则进行匹配，生成每个所述安全设备对所述业务请求的准许情况，包括：

根据选择的安全策略匹配方式和预设匹配算法，将所述待分析的业务请求与所述安全设备的安全策略规则进行匹配，获取允许请求列表、拒绝请求列表和所述业务请求的匹配情况；

根据所述允许请求列表、所述拒绝请求列表和所述业务请求的匹配情况，生成每个所述安全设备对所述业务请求的准许情况。

4.根据权利要求3所述的网络业务诊断方法，其特征在于，所述根据选择的安全策略匹配方式和预设匹配算法，将所述待分析的业务请求与所述安全设备的安全策略规则进行匹配，包括：

当所述安全设备中有未匹配的安全策略规则，且所述业务请求没有完全匹配时，判断所述业务请求和所述安全策略规则是否有重复部分；

当判断出有重复部分时，根据每个所述安全策略规则的动作将本安全策略规则添加到所述允许请求列表或所述拒绝请求列表中；

将所述重复部分从所述业务请求中删除，构成新的业务请求。

5.根据权利要求3所述的网络业务诊断方法，其特征在于，所述根据选择的安全策略匹配方式和预设匹配算法，将所述待分析的业务请求与所述安全设备的安全策略规则进行匹配，包括：

当所述安全设备中有未匹配的安全策略规则，且所述业务请求和所述安全策略规则有重复部分时，将所述重复部分与所述安全策略规则构成新的安全策略加入重复部分列表；

当所述重复部分列表中有重复元素时，判断所述业务请求是否完全匹配；

当判断出所述业务请求没有完全匹配时，判断所述业务请求和当前重复部分列表中安全策略规则是否有重复部分；

当判断出有重复部分时，根据所述当前重复部分列表中每个所述安全策略规则的动作将本安全策略规则添加到所述允许请求列表或所述拒绝请求列表中；

将所述重复部分从所述业务请求中删除，构成新的业务请求。