[发明专利]防火墙访问控制策略的检测方法及检测装置

说明书

本发明提出了一种防火墙访问控制策略的检测方法及检测装置，检测方法包括：获取防火墙访问控制策略，并转化为预设格式数据；根据访问控制策略的优先级，检测访问控制策略的预设检测信息；基于转化为预设格式数据后的访问控制策略，将访问控制策略中的地址和端口转换成区间数据；基于区间数据对访问控制策略进行分组，并基于访问控制策略的优先级和策略动作针对每一分组的访问控制策略进行冗余检测。本发明通过解析防火墙访问控制策略以及业务场景模拟，精确地计算出防火墙访问控制策略可能存在的一些问题，即是否存在冗余、隐藏、可合并、长链接、策略禁止、过期。从而可以根据检测结果进行优化访问控制策略表，减少防火墙负荷，提升防火墙性能。

技术领域

本发明涉及防火墙技术领域，尤其涉及一种防火墙访问控制策略的检测方法及检测装置。

背景技术

随着现在网络科技的发展，信息网络技术的应用正日益广泛，应用层次深入，领域繁多，例如：学校、银行、企业等。那么公共通信网络传输的数据安全就脱离不开防火墙的保护。

由于业务繁多会部署大量的防火墙来保护业务安全，那么避免不了在各个墙上配置大量的访问控制策略，随着业务的变更也会去修改相应防火墙的访问控制策略。访问控制策略配置的日益繁多、错综复杂，长时间下来避免不了出差错造成网络安全隐患。

发明内容

本发明要解决的技术问题是如何合理优化防火墙的访问控制策略，本发明提出一种防火墙访问控制策略的检测方法及检测装置。

根据本发明实施例的防火墙访问控制策略的检测方法，包括：

获取防火墙访问控制策略，并转化为预设格式数据；

根据所述访问控制策略的优先级，检测所述访问控制策略的预设检测信息；

基于转化为预设格式数据后的所述访问控制策略，将所述访问控制策略中的地址和端口转换成区间数据；

基于所述区间数据对所述访问控制策略进行分组，并基于所述访问控制策略的优先级和策略动作针对每一分组的所述访问控制策略进行冗余检测。

根据本发明的一些实施例，所述检测方法还包括：

根据过滤条件对转换为预设格式后的所述访问控制策略进行检测过滤；

其中，所述过滤条件包括：禁止检测、过期检测、策略隐藏检测及可合并检测。

在本发明的一些实施例中，所述基于转化为预设格式数据后的所述访问控制策略，将所述访问控制策略中的地址和端口转换成区间数据，包括：

将转换成预设格式数据的所述访问控制策略中的地址和端口的对象进行解析还原，转换为对应的地址数值和端口数值；

将所述地址数值和所述端口数值转换为对应的区间数据。

根据本发明的一些实施例，所述基于所述区间数据对所述访问控制策略进行分组，包括：

将具有所述区间数据交集的所述访问控制策略分至同组。

在本发明的一些实施例中，所述基于所述访问控制策略的优先级和策略动作针对每一分组的所述访问控制策略进行冗余检测，包括：

基于同组内的所述访问控制策略的优先级、策略动作及所述区间数据，形成源区间和目的区间；

循环遍历同组内的每一条访问控制策略，将访问控制策略的源区间数据删除后，判断所述源区间是否发生变化，若未发生变化，则判定所述访问控制策略源冗余；

将访问控制策略的目的区间数据删除后，判断所述目的区间是否发生变化，若未发生变化，则判定所述访问控制策略为冗余策略。

根据本发明的一些实施例，将所述访问控制策略中的地址和端口转换成区间数据后，所述方法还包括：