[发明专利]一种安全策略处理方法、装置、介质和设备

说明书

本发明涉及一种安全策略处理方法、装置、介质和设备。根据本发明实施例提供的方案，可以在接收到一条新配置的安全策略时，即进行一次优化校验，并可以利用当前配置的安全策略的五元组信息与每条已配置的安全策略的五元组信息逐一比对的方式，根据五元组信息比对结果以及安全策略对应的动作，确定对安全策略的优化校验结果。无需用户在防火墙设备上完成所有安全策略的配置之后，再批量地对各安全策略进行优化校验，且无需用户人为地进行安全策略优化，实现对安全策略的实时优化校验和自动优化，避免在短时间内消耗掉大量的系统内存，影响系统性能，甚至影响防火墙设备的安全功能，降低系统安全风险。

技术领域

本发明涉及网络安全技术领域，特别涉及一种安全策略处理方法、装置、介质和设备。

背景技术

本部分旨在为权利要求书中陈述的本发明的实施方式提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。

防火墙的基本作用是保护特定网络免受不信任网络的攻击，但是同时需要允许两个网络之间可以进行合法的通信。防火墙的安全策略的作用就是对通过防火墙的数据流进行检验，使得符合安全策略的数据流可以通过防火墙，实现两个网络之间的合法通信。因此，在防火墙设备上，需要进行安全策略的配置。

在防火墙设备上配置多条不同的安全策略时，可能会出现两条或多条安全策略的交叉、包含或冲突等，因此，需要对防火墙设备上配置的安全策略进行优化校验，确定安全策略之间是否存在交叉、包含或冲突等，并根据优化校验结果进行安全策略优化。

安全策略优化可以包括安全策略合并、安全策略去重和安全策略去冲突等。对配置的安全策略进行优化可以消除安全策略之间的交叉或包含，减少安全策略条数，减少系统资源的占用。另外，对配置的安全策略进行优化还可以消除安全策略之间的冲突，避免防火墙设备不能确定应该执行哪个动作。

现有技术中，用户在防火墙设备上完成所有安全策略的配置之后，再批量地对各安全策略进行优化校验，并将优化校验结果呈现给用户。进一步的，用户可以依据优化校验结果，人为地进行安全策略优化。

在用户完成所有安全策略的配置之后，批量地对各安全策略进行优化校验，无法在每条安全策略配置时，实时地对安全策略进行优化校验，且会在短时间内消耗掉大量的系统内存，影响系统性能，并有可能影响防火墙设备的安全功能，使防火墙设备保护的内部网络面临安全风险。

另外，批量地进行安全策略优化校验，会产生大量重复和无效的结果记录，增加人为筛选和排查的工作量，费时费力，难以保证优化的准确性和有效性，可能会造成安全策略优化不当，不能按照预期生效，存在安全风险。

发明内容

本发明实施例提供一种安全策略处理方法、装置、介质和设备，用于解决无法实时地对安全策略进行优化校验，安全策略批量进行优化校验导致系统存在安全风险的问题。

第一方面，本发明提供了一种安全策略处理方法，所述方法包括：

接收配置的安全策略；

若接收到一条配置的安全策略，利用当前配置的安全策略的五元组信息与每条已配置的安全策略的五元组信息逐一比对，根据五元组信息比对结果以及安全策略对应的动作，确定对安全策略的优化校验结果。

可选的，利用当前配置的安全策略的五元组信息与每条已配置的安全策略的五元组信息逐一比对，根据五元组信息比对结果以及安全策略对应的动作，确定对安全策略的优化校验结果，包括：

利用当前配置的安全策略对应的位图表与每条已配置的安全策略对应的位图表逐一比对，根据位图表比对结果以及安全策略对应的动作，确定对安全策略的优化校验结果；

其中，一张位图表包括一条安全策略的五元组信息分别对应的五个位图区域，每个位图区域对应一张位图，一张位图中的每个比特表示该位图对应的五元组信息的一种报文特征。