一种防火墙访问控制策略查错方法、装置及系统制造方法及图纸
【技术实现步骤摘要】
一种防火墙访问控制策略查错方法、装置及系统
本专利技术涉及互联网信息处理
,更具体的涉及一种防火墙访问控制策略查错方法、装置及系统。
技术介绍
电信运营公司的网络规模巨大,为了更好的保护不同设备上的数据信息,通常针对不同安全级别的设备划分不同的安全域及子安全域。而不同的安全域及子安全域之间通过部署防火墙来隔离并控制其访问安全,这样就形成了多级的分布式的防火墙架构。多级的分布式防火墙架构大大增加了企业安全策略设置的工作量和难度。随着公司业务的增长,公司网络规模不断扩大与业务的不断变换,导致防火墙设备的增加及防火墙访问控制策略的不断修改。当管理多个防火墙时,管理员越来越容易漏掉防火墙策略中及不同防火墙间存在错误的或者矛盾的策略配置。综上所述,现有技术中随着网络规模的不断扩大和网络接口的不断增加,防火墙中的访问策略越来越多,若需要构建多个级的处理服务器,或者通过改动相关网络设备的访问控制列表使待查防火墙设备可通过有线网远程访问,实施难度非常大。
技术实现思路
本专利技术实施例提供一种防火墙访问控制策略查错方法及装置,能够有效的提高防火墙访问控制策略的分析效率,并且包括向管理员指出最优先解决的防火墙设备。本专利技术实施例提供一种防火墙访问控制策略查错方法,包括:接收采集端发送的防火墙访问控制策略;所述防火墙访问控制策略中包括至少一条防火墙策略;获取第X防火墙访问控制策略,确定所述第X防火墙自身的防火墙策略异常权重;获取所述第X防火墙的紧邻防火墙的防火墙访问控制策略,根据所述第X防火墙的防火墙策略与所述紧邻防火墙的防火墙策略,确定防火墙间的防火墙策略异常权重;其中...
【技术保护点】
一种防火墙访问控制策略查错方法,其特征在于,包括: 接收采集端发送的防火墙访问控制策略;所述防火墙访问控制策略中包括至少一条防火墙策略; 获取第X防火墙访问控制策略,确定所述第X防火墙自身的防火墙策略异常权重; 获取所述第X防火墙的紧邻防火墙的防火墙访问控制策略,根据所述第X防火墙的防火墙策略与所述紧邻防火墙的防火墙策略,确定防火墙间的防火墙策略异常权重;其中,所述紧邻防火墙为与所述第X防火墙存在直接父子关系的防火墙; 根据所述第X防火墙自身的防火墙策略异常权重及所述防火墙间的防火墙策略异常权重确定所述第X防火墙访问控制策略的异常程度以供查错。
【技术特征摘要】
1.一种防火墙访问控制策略查错方法,其特征在于,包括:接收采集端发送的防火墙访问控制策略;所述防火墙访问控制策略中包括至少一条防火墙策略;获取第X防火墙访问控制策略,确定所述第X防火墙自身的防火墙策略异常权重;获取所述第X防火墙的紧邻防火墙的防火墙访问控制策略,根据所述第X防火墙的防火墙策略与所述紧邻防火墙的防火墙策略,确定防火墙间的防火墙策略异常权重;其中,所述紧邻防火墙为与所述第X防火墙存在直接父子关系的防火墙;根据所述第X防火墙自身的防火墙策略异常权重及所述防火墙间的防火墙策略异常权重确定所述第X防火墙访问控制策略的异常程度以供查错。2.如权利要求1所述方法,其特征在于,所述确定所述第X防火墙自身的防火墙策略异常权重,包括:根据下列公式确定第X防火墙自身的防火墙策略异常权重:其中,WX为第X防火墙自身的防火墙策略异常权重,Mi为第X防火墙访问控制策略中第i条防火墙策略的异常程度,NX为第X防火墙访问控制策略中包括的防火墙策略总数。3.如权利要求2所述方法,其特征在于,所述第X防火墙访问控制策略中第i条防火墙策略的异常程度根据如下公式确定的:其中,Mi为第X防火墙访问控制策略中第i条防火墙策略的异常程度,NX为第X防火墙访问控制策略中包括的防火墙策略总数,Wir为第X防火墙访问控制策略中第i条防火墙策略与所述第X防火墙访问控制策略中其他NX-1条防火墙策略的异常程度权重。4.如权利要求3所述方法,其特征在于,所述第X防火墙访问控制策略中第i条防火墙策略与所述第X防火墙访问控制策略中其他NX-1条防火墙策略的异常程度权重包括下列任一项:若RA[order]<RB[order]且RA[action]≠RB[action],则确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙访问控制策略中第B条防火墙策略的异常程度权重为W1;或若RA[order]<RB[order]且RA[action]=RB[action],则确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙访问控制策略中第B条防火墙策略的异常程度权重为W2;或若且RA[action]≠RB[action],则确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙访问控制策略中第B条防火墙策略的异常程度权重为W3;或若且RA[action]=RB[action],则确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙访问控制策略中第B条防火墙策略的异常程度权重为W4;其中,R[order]为防火墙访问控制策略中一条防火墙策略的规则序号;R[action]为防火墙访问控制策略中一条防火墙策略的动作部分;{R[filter]}为防火墙访问控制策略中规则R过滤域中所有子项的笛卡尔积。5.如权利要求1所述方法,其特征在于,所述确定所述第X防火墙间的防火墙策略异常权重,包括:根据下列公式确定所述第X防火墙间的防火墙策略异常权重:其中,W′X为第X防火墙间的防火墙策略异常权重,M'Xi为第X防火墙访问控制策略中第i条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中所有防火墙策略的异常程度,NX为第X防火墙访问控制策略中包括的防火墙策略总数。6.如权利要求5所述方法,其特征在于,所述第X防火墙访问控制策略中第i条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中所有防火墙策略的异常程度根据如下公式确定的:其中,MX为第X防火墙访问控制策略中第i条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中所有防火墙策略的异常程度,NY为与第X防火墙紧邻的第Y防火墙访问控制策略中包括的防火墙策略总数,W′ir为第X防火墙访问控制策略中第i条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中任一条防火墙策略的异常程度权重。7.如权利要求6所述方法,其特征在于,所述第X防火墙访问控制策略中第i条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中任一条防火墙策略的异常程度权重包括下列任一项:如果Fx,Fy∈Domain1,Fy为Fx的父级,FxRA[filter]=FyRB[filter],若FxRA[action]≠FyRB[action],则防火墙Fx的RA被Fy的RB覆盖,确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第B条防火墙策略的异常程度权重为W1;或如果Fx,Fy∈Domain1,Fy为Fx的父级,若FxRA[action]≠FyRB[action],则防火墙Fx的RA被Fy的RB覆盖,确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第B条防火墙策略的异常程度权重为W1;或如果Fx,Fy∈Domain1,Fy为Fx的父级,FxRA[filter]=FyRB[filter],若FxRA[action]=FyRB[action],则防火墙Fx的RA与Fy的RB冗余,确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第B条防火墙策略的异常程度权重为W2;或如果Fx,Fy∈Domain1,Fy为Fx的父级,若FxRA[action]=FyRB[action],则防火墙Fx的RA与Fy的RB冗余,确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第B条防火墙策略的异常程度权重为为W2;或如果Fx,Fy∈Domain1,Fy为Fx的父级,FxRA[action]≠FyRB[action]则称FxRA与FyRB关联不规则,确定所述第X防火墙访问控制策略中第A条防火墙策略与所述第X防火墙紧邻的第Y防火墙访问控制策略中第B条防火墙策略的异常程度权重为W3;其中,R[filter]为防火墙控制策略中第i条防火墙策略的过滤部分;R[action]为防火墙控制策略中第i条防火墙策略的动作部分;domain∈{1,2,3,4,…,+∞}。8.一种防火墙访问控制策略查错装置,其特征在于,包括:接收单元:用于接收采集端发送的防火墙访问控制策略;所述防火墙访...
【专利技术属性】
技术研发人员:马力鹏,杜雪涛,赵蓓,吴日切夫,张高山,洪东,常玲,薛姗,刘佳,张艋,张琳,杜刚,
申请(专利权)人:中国移动通信集团设计院有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。