[发明专利]一种防火墙策略优化检查方法及装置

说明书

本申请提供一种防火墙策略优化检查方法及装置，其中，所述方法通过将目标防火墙策略与目标防火墙包含的其他防火墙策略进行比较，判断目标防火墙策略的参数信息集合是否包含在目标防火墙包含的其他防火墙策略的参数信息集合中，如果判断结果为是，则判定该目标防火墙策略为无用的垃圾策略。本申请提供的方法不需要管理员进行观察，能够有效地解决现有优化检查方法中耗费管理员大量时间和精力的问题，同时，本申请提供的方法在进行优化检查时对目标防火墙策略中的每个参数信息均进行了比较，能够准确地将无用的垃圾策略找出，有效地解决了现有优化检查方法中由于管理员的疏忽而遗漏一些垃圾策略的问题，从而提高防火墙的工作效率。

技术领域

本申请涉及防火墙技术领域，特别涉及一种防火墙策略优化检查方法及装置。

背景技术

防火墙是一种位于内部网络与外部网络之间的网络安全系统，参阅图1，由外部网络传输至内部网络的数据流通常需要经过防火墙，并由防火墙来决定这些数据流能否继续传输。防火墙能够对外部网络传输的数据流进行实时监测，一旦发现异常的数据流，防火墙就能将其拦截下来，并阻止其访问内部网络，从而确保内部网络的安全。

防火墙策略是指防火墙在进行实时监测时所遵循的匹配标准，每个防火墙中包含有多个防火墙策略，每个访问内部网络的数据流通常需要与所述多个防火墙策略进行匹配，只有匹配成功的数据流才能通过防火墙。但是，由于防火墙在长期使用之后，防火墙内部配置了大量的防火墙策略，在这些防火墙策略中，通常包含一些无用的垃圾策略，导致防火墙在进行实时监测时多次利用垃圾策略进行匹配，增加了防火墙对同一数据流的匹配次数，最终导致防火墙对同一数据流的匹配时间较长，影响了防火墙的工作效率，因此，需要对防火墙策略进行优化检查。

在现有的防火墙策略优化检查方法中，管理员需要打开防火墙策略日志，通过观察将防火墙策略中的垃圾策略找出。但是，防火墙中通常包括上千个防火墙策略，在这种情况下，管理员在进行优化检查时会耗费大量的时间和精力，同时，由于管理员的疏忽可能会遗漏一些垃圾策略，从而影响防火墙策略优化检查的准确性，最终影响防火墙的工作效率。

发明内容

本申请提供一种防火墙策略优化检查方法及装置，以解决现有的防火墙策略优化检查方法中出现的耗费管理员大量时间和精力以及防火墙工作效率较低的问题。

第一方面，本申请实施例提供一种防火墙策略优化检查方法，所述方法包括：

在对目标防火墙进行防火墙策略优化检查时，根据预设的优化检查顺序，依次选择所述目标防火墙中包含的防火墙策略为目标防火墙策略；

分别将所述目标防火墙策略与所述目标防火墙包含的其他防火墙策略进行比较，判断所述目标防火墙策略的参数信息集合是否包含在所述目标防火墙包含的其他防火墙策略的参数信息集合中；

如果是，则判定所述目标防火墙策略为垃圾策略，其中，所述垃圾策略包括隐藏策略或冗余策略。

结合第一方面，在一种实现方式中，所述分别将所述目标防火墙策略与所述目标防火墙包含的其他防火墙策略进行比较，判断所述目标防火墙策略的参数信息集合是否包含在所述目标防火墙包含的其他防火墙策略的参数信息集合中，包括：

确定目标参数信息集合中的参数信息的类型，并确定其他参数信息集合中的参数信息的类型，其中，所述目标参数信息集合为目标防火墙策略中的参数信息集合，所述其他参数信息集合为所述目标防火墙包含的其他防火墙策略的参数信息集合；

选择所述目标参数信息集合中所属类型与所述其他参数信息集合中类型相同的参数信息；

根据所述参数信息的类型，分别将所述目标参数信息集合中的参数信息与所述其他参数信息集合中的参数信息进行比较，其中，进行比较的参数信息的类型相同。