一种防火墙访问控制策略的分析方法及装置制造方法及图纸

本申请公开了一种防火墙访问控制策略的分析方法及装置，包括：分析装置获取防火墙的全部访问控制策略；在各个访问控制策略中，当动作标识为不允许时，访问控制策略为安全的访问控制策略；当动作标识为允许，且源IP地址集合包含于非可信的IP地址集合，且目的IP地址集合包含于允许访问的IP地址集合，且目的端口号集合包含于允许访问的目的端口号集合时，访问控制策略为安全的访问控制策略，否则，访问控制策略为不安全的访问控制策略，当安全的访问控制策略的个数大于或等于两个时，分析装置将每两个安全的访问控制策略进行优化分析。不仅能够有效地提高防火墙访问控制策略的分析效率，而且还能够保证对防火墙访问控制策略分析的正确性。

【技术实现步骤摘要】

【技术保护点】
一种防火墙访问控制策略的分析方法，其特征在于，包括：分析装置获取防火墙的全部访问控制策略，其中，各个所述访问控制策略包括：源IP地址集合、目的IP地址集合、目的端口号集合和动作标识，其中，所述动作标识包括：允许和不允许；在各个所述访问控制策略中，当所述动作标识为不允许时，所述访问控制策略为安全的访问控制策略；当所述动作标识为允许，且所述源IP地址集合包含于预先设置的非可信的IP地址集合，且所述目的IP地址集合包含于预先设置的允许访问的IP地址集合，且所述目的端口号集合包含于预先设置的允许访问的目的端口号集合时，所述访问控制策略为安全的访问控制策略，否则，所述访问控制策略为不安全的访问控制策略；当所述安全的访问控制策略的个数大于或等于两个时，所述分析装置根据每两个安全的访问控制策略中的源IP地址集合、目的IP地址集合以及目的端口号集合的包含关系，将每两个安全的访问控制策略进行优化分析，获取每两个安全的访问控制策略的优化分析结果。

【技术特征摘要】

【专利技术属性】
技术研发人员：付俊，张峰，冯运波，李友国，莫晓斌，卢楠，
申请(专利权)人：中国移动通信集团公司，
类型：发明
国别省市：北京;11