The present invention provides a method and a device for detecting redundancy strategy, the method comprises the following steps: the target security strategy in the group the preset field of pre configured object group respectively, and combining the redundant object obtained after the merger; when the redundant object is completed, the number of the target object security strategy in each group the default field corresponds to the group based on the target security strategy group split into several security strategies; among them, the preset field and a plurality of security policy corresponding to group objects only; then traverse split out a plurality of security strategy, security strategy of redundant preset strategy and a plurality of safety detection based on the strategy. This application scheme can be redundant safely policy in effectively detect, by the user for the redundant security strategy for processing, to improve the safety of equipment maintenance detection efficiency and redundancy relations strategy.
【技术实现步骤摘要】
本申请涉及信息安全领域,特别涉及一种策略冗余的检测方法及装置。
技术介绍
安全设备根据用户配置的安全策略处理接收到的报文。用户配置的安全策略数量众多,通常多达上万条。安全设备根据安全策略匹配时,基于安全策略的优先级,优先匹配位置靠前的安全策略。然而,由于安全策略为长期积累,且数量众多,用户往往无法记住安全策略是否存在冗余,例如,优先级靠前的策略1为源IP:192.168.0.0/16,目的IP无限制,动作为丢包;新增的策略2为源IP192.168.1.0/24,目的IP无限制,动作为通过,如果策略2的优先级在策略1之后,则策略2无法生效。真实规则比上述举例更为复杂,因此,用户在维护安全设备,检测安全策略冗余时,工作量巨大,检测效率较低。
技术实现思路
有鉴于此,本申请提供一种策略冗余的检测方法及装置,用于快速有效地检测安全策略中的冗余安全策略,提高了安全设备的可维护性和策略冗余检测的检测效率。具体地,本申请是通过如下技术方案实现的:一种策略冗余的检测方法,应用于安全设备,所述安全设备预配置了若干条安全策略组,其中,所述安全策略组由若干预设字段构成;各预设字段分别对应若干待匹配的对象组;包括:将目标安全策略组中各预设字段预配置的对象组分别进行展开,并合并展开后得到的冗余对象;当所述冗余对象合并完成后,基于所述目标安全策略组中各预设字段对应的对象组的数量,将所述目标安全策略组拆分为若干条安全策略;其中,所述若干条安全策略的各预设字段分别对应唯一的对象组;遍历拆分出的所述若干条安全策略,基于预设策略检测所述若干条安全策略中的冗余安全策略。在所述策略冗余的检测方法中 ...
【技术保护点】
一种策略冗余的检测方法,应用于安全设备,所述安全设备预配置了若干条安全策略组,其中,所述安全策略组由若干预设字段构成;各预设字段分别对应若干待匹配的对象组;其特征在于,包括:将目标安全策略组中各预设字段预配置的对象组分别进行展开,并合并展开后得到的冗余对象;当所述冗余对象合并完成后,基于所述目标安全策略组中各预设字段对应的对象组的数量,将所述目标安全策略组拆分为若干条安全策略;其中,所述若干条安全策略的各预设字段分别对应唯一的对象组;遍历拆分出的所述若干条安全策略,基于预设策略检测所述若干条安全策略中的冗余安全策略。
【技术特征摘要】
1.一种策略冗余的检测方法,应用于安全设备,所述安全设备预配置了若干条安全策略组,其中,所述安全策略组由若干预设字段构成;各预设字段分别对应若干待匹配的对象组;其特征在于,包括:将目标安全策略组中各预设字段预配置的对象组分别进行展开,并合并展开后得到的冗余对象;当所述冗余对象合并完成后,基于所述目标安全策略组中各预设字段对应的对象组的数量,将所述目标安全策略组拆分为若干条安全策略;其中,所述若干条安全策略的各预设字段分别对应唯一的对象组;遍历拆分出的所述若干条安全策略,基于预设策略检测所述若干条安全策略中的冗余安全策略。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:当所述冗余对象合并完成后,将所述目标安全策略组中的IP对象组转换为标准的表示格式。3.根据权利要求2所述的方法,其特征在于,所述标准的表示格式,为IP+通配符的表示格式。4.根据权利要求1所述的方法,其特征在于,所述基于预设策略检测所述若干条安全策略中的冗余安全策略,包括:将所述若干条安全策略依次选定为目标安全策略;将所述目标安全策略与其它安全策略进行匹配;如果所述目标安全策略包含任一其它安全策略,记录所述目标安全策略与该其它安全策略的冗余关系。5.根据权利要求4所述的方法,其特征在于,所述方法还包括:在基于预设策略检测所述若干条安全策略中的冗余安全策略前,基于各安全策略的优先级,对所述若干条安全策略进行排序。6.一种策略冗余的...
【专利技术属性】
技术研发人员:袁野,
申请(专利权)人:杭州迪普科技股份有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。