[发明专利]一种策略模拟仿真给出策略开通建议的方法及装置

权利要求书

1.一种策略模拟仿真给出策略开通建议的方法，其特征在于，包括如下步骤：

根据用户输入的仿真数据寻找出仿真网络路径，并获取所述仿真网络路径上的设备信息；

使用所述仿真数据逐一匹配所述仿真网络路径上的各个设备中预设的安全策略，根据策略动作信息得到设备的状态信息；其中，所述策略动作信息包括允许和禁止；

所述设备的状态信息至少包括全通状态、半通状态和不通状态；

根据所述设备的状态信息生成仿真策略；

当设备为全通状态时，无需生成仿真策略；

当设备为半通状态或不通状态时，根据设备的安全策略中禁止的仿真数据中的源地址、目的地址、服务端口以及所述设备的进出接口生成仿真策略；

当设备为全通状态时，表示仿真数据能够自由通过，此时无需开通策略；当设备为半通状态时，取出设备禁止的仿真数据，然后再生成仿真策略，以使用户输入的仿真数据能够通过；当设备为不通状态时，则直接生成仿真策略，使用户输入的仿真数据能够通过；

将所述仿真策略与设备上预设的安全策略进行对比，判断所述仿真策略是否有冲突或者可合并，并根据判断结果生成检查报告；

分析所述仿真策略的风险，并生成风险分析报告；

根据所述仿真网络路径、仿真策略、检查报告和风险分析报告生成策略开通建议报告，将所述仿真策略与设备上预设的安全策略进行对比，判断所述仿真策略是否有冲突或者可合并的步骤包括：

当仿真策略中的五元组与设备上预设的安全策略的五元组均有重叠部分时，判断所述仿真策略有冲突；

当仿真策略中的五元组与设备上预设的安全策略的五元组中有至少四项完全相同时，判断所述仿真策略可合并。

2.根据权利要求1所述的策略模拟仿真给出策略开通建议的方法，其特征在于，所述仿真数据为五元组。

3.根据权利要求2所述的策略模拟仿真给出策略开通建议的方法，其特征在于，所述设备的状态信息至少包括全通状态、半通状态和不通状态。

4.根据权利要求3所述的策略模拟仿真给出策略开通建议的方法，其特征在于，所述根据设备的状态信息生成仿真策略的步骤具体为：

当设备为全通状态时，无需生成仿真策略；

当设备为半通状态或不通状态时，根据设备的安全策略中禁止的仿真数据中的源地址、目的地址、服务端口以及所述设备的进出接口生成仿真策略。

5.根据权利要求1所述的策略模拟仿真给出策略开通建议的方法，其特征在于，所述仿真策略的风险分析至少包括仿真策略内容是否包括高危端口以及仿真策略内容的五元组信息是否过于宽松。

6.根据权利要求1所述的策略模拟仿真给出策略开通建议的方法，其特征在于，判断所述仿真策略内容的五元组信息是否过于宽松的方位为：

判断所述仿真策略内容的五元组信息中的协议范围是否超过预设协议范围或端口是否超过预设的端口范围，如果是，则判断所述仿真策略内容的五元组信息过于宽松。

7.一种策略模拟仿真给出策略开通建议的装置，根据权利要求1所述的策略模拟仿真给出策略开通建议的方法设计得到，其特征在于，包括：

仿真网络路径生成模块，用于根据用户输入的仿真数据寻找出仿真网络路径，并获取所述仿真网络路径上的设备信息；

安全策略匹配模块，用于使用所述仿真数据逐一匹配所述仿真网络路径上的各个设备中预设的安全策略，根据策略动作信息得到设备的状态信息；其中，所述策略动作信息包括允许和禁止；

仿真策略生成模块，用于根据所述设备的状态信息生成仿真策略；

检查模块，用于将所述仿真策略与设备上预设的安全策略进行对比，判断所述仿真策略是否有冲突或者可合并，并根据判断结果生成检查报告；

风险分析模块，用于分析所述仿真策略的风险，并生成风险分析报告；

策略建议生成模块，用于根据所述仿真网络路径、仿真策略、检查报告和风险分析报告生成策略开通建议报告。