一种网络设备的防火墙策略检查方法、装置及存储介质制造方法及图纸

本发明专利技术涉及一种网络设备的防火墙策略检查方法、装置及计算机可读存储介质，所述网络设备的防火墙策略检查方法方法包括以下步骤：将策略五元组转换为数字格式并定义七元组变量，跳过过期策略、空策略、禁用策略、默认策略及已隐藏策略；在策略五元组是第一个策略情况下，将源域、目的域作为键值，根据所述键值与策略五元组，确定七元组变量的内容；在策略列表不为空情况下，根据七元组变量的内容获取每个键值对应的五元组集合；根据当前待检查策略五元组是否为最大范围以及当前待检查策略五元组与五元组集合取交集、取剩集操作后是否有剩集，确定当前待检查策略五元组是否为隐藏策略。本发明专利技术所述方法，提高了隐藏策略的检查效率。

A firewall policy checking method, device and storage medium of network equipment

【技术实现步骤摘要】
一种网络设备的防火墙策略检查方法、装置及存储介质
本专利技术涉及网络设备防火墙
，尤其涉及一种网络设备的防火墙策略检查方法、装置及计算机可读存储介质。
技术介绍
防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。企业网络规模大，对安全要求比较高；安全设备及交换设备非常多，设备规模庞大从几百上千甚至万台设备，防火墙策略日积月累，影响运行效率，管理维护成本逐年增高；防火墙上的无效策略、宽松策略越来越多，增大了安全风险，扩大了业务资产暴露面；检查出各种类的无效策略，然后针对无效策略给出处置建议，隐藏策略作为无效策略的关键值一种，对其检查于减小安全风险具有重要意义；现有技术中隐藏策略检查效率较低。
技术实现思路
有鉴于此，有必要提供一种网络设备的防火墙策略检查方法、装置及计算机可读存储介质，用以解决现有技术中对隐藏策略检查效率较低的问题。本专利技术提供一种网络设备的防火墙策略检查方法，包括以下步骤：将策略五元组转换为数字格式并定义七元组变量，跳过过期策略、空策略、禁用策略、默认策略及已隐藏策略；在策略五元组是第一个策略情况下，将源域、目的域作为键值，根据所述键值与策略五元组，确定七元组变量的内容；在策略列表不为空情况下，根据七元组变量的内容获取每个键值对应的五元组集合；根据当前待检查策略五元组是否为最大范围以及当前待检查策略五元组与五元组集合取交集、取剩集操作后是否有剩集，确定当前待检查策略五元组是否为隐藏策略。进一步地，所述网络设备的防火墙策略检查方法还包括，对于单域策略或多域未交叉策略，若所述策略五元组是第一个策略，则跳过对该策略五元组的检查，将策略五元组按最小原子拆成对象，将策略源、目的域组合成对象作为键值，将按最小原子拆成的对象与键值分别作对象值、键值存储到七元组变量中。进一步地，所述网络设备的防火墙策略检查方法还包括，若策略列表为空，则跳过对该策略五元组的检查，将策略五元组添加到七元组。进一步地，所述网络设备的防火墙策略检查方法还包括，对于多域交叉策略，若所述策略五元组是第一个策略，则跳过对该策略五元组的检查，将源域和目的域进行拆分后，与五元组组合成唯一七元组。进一步地，在策略列表不为空情况下，根据七元组变量的内容获取每个键值对应的五元组集合，具体包括，对于多域交叉策略，在策略列表不为空情况下，判断策略域大小和域匹配的五元组集合的大小是否一致，若否，则跳过策略检测，若是，根据七元组变量的内容获取每个键值对应的五元组集合。进一步地，对于单域策略或多域未交叉策略，根据当前待检查策略五元组是否为最大范围以及当前待检查策略五元组与五元组集合取交集、取剩集操作后是否有剩集，确定当前待检查策略五元组是否为隐藏策略，具体包括，若当前待检查策略五元组是最大范围，则判断五元组集合是否为最大范围，若五元组集合不是最大范围，则将五元组集合清空，添加最大范围进去，若五元组集合为最大范围，则当前待检查策略五元组是隐藏策略；若当前策略的五元组不是最大范围，将当前策略五元组与五元组集合进行取交、取剩操作，判断是否有剩集，若没有，则当前策略五元组为隐藏策略。进一步地，对于多域交叉策略，根据当前待检查策略五元组是否为最大范围以及当前待检查策略五元组与五元组集合取交集、取剩集操作后是否有剩集，确定当前待检查策略五元组是否为隐藏策略，具体包括，若当前策略五元组是最大范围，判断五元组集合中是否是最大范围，若五元组集合中是最大范围，则当前待检查策略是隐藏策略；若当前待检查策略五元组不是最大范围，将当前待检查策略五元组与五元组集合进行取交，取剩操作，判断是否存在剩集，若否，则当前待检查策略五元组为隐藏策略。进一步地，所述网络设备的防火墙策略检查方法，还包括，对于多域交叉策略，若策略五元组对应的隐藏标识位大小与域大小相等，该策略五元组为隐藏策略。本专利技术还提供一种网络设备的防火墙策略检查装置，包括处理器以及存储器，所述存储器上存储有计算机程序，所述计算机程序被所述处理器执行时，实现如上述任一技术方案所述的网络设备的防火墙策略检查方法。本专利技术还提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机该程序被处理器执行时，实现如上述任一技术方案所述的网络设备的防火墙策略检查方法。与现有技术相比，本专利技术的有益效果包括：通过将策略五元组转换为数字格式并定义七元组变量，跳过过期策略、空策略、禁用策略、默认策略及已隐藏策略；在策略五元组是第一个策略情况下，将源域、目的域作为键值，根据所述键值与策略五元组，确定七元组变量的内容；在策略列表不为空情况下，根据七元组变量的内容获取每个键值对应的五元组集合；根据当前待检查策略五元组是否为最大范围以及当前待检查策略五元组与五元组集合取交集、取剩集操作后是否有剩集，确定当前待检查策略五元组是否为隐藏策略；提高了隐藏策略的检查效率。附图说明图1为本专利技术提供的网络设备的防火墙策略检查方法的流程示意图；图2为本专利技术提供的策略数据；图3为本专利技术提供的隐藏策略的可视化图。具体实施方式下面结合附图来具体描述本专利技术的优选实施例，其中，附图构成本申请一部分，并与本专利技术的实施例一起用于阐释本专利技术的原理，并非用于限定本专利技术的范围。实施例1本专利技术实施例提供了一种网络设备的防火墙策略检查方法，所述方法的流程示意图，如图1所示，其包括以下步骤：S1、将策略五元组转换为数字格式并定义七元组变量，跳过过期策略、空策略、禁用策略、默认策略及已隐藏策略；S2、在策略五元组是第一个策略情况下，将源域、目的域作为键值，根据所述键值与策略五元组，确定七元组变量的内容；S3、在策略列表不为空情况下，根据七元组变量的内容获取每个键值对应的五元组集合；S4、根据当前待检查策略五元组是否为最大范围以及当前待检查策略五元组与五元组集合取交集、取剩集操作后是否有剩集，确定当前待检查策略五元组是否为隐藏策略。需要说明的是，所述五元组为源地址、目的地址、协议、源端口、目的端口，五个元素组成的组合；七元组为源域、目的域、源地址、目的地址、协议、源端口、目的端口，七个元素组成的组合；七元组变量map为键值对（key=value）集合，每个key（键值）对应着相应的对象值（value），通过键值能得到相应的对象值value；trafficList为策略格式化后转换成数字范围格式的集合交集为取两个集合的公共部分；并集为取两个集合所有的元素；剩集为两个集合所有元素减去其中一个集合；无效策略为策略在防火墙配置中是不起作用的策略，使废弃的，是垃圾数据，被其他策略隐藏或冗余了；生效策略为对防火墙起作用的策略，七元组范围包含或等于其他优先级的策略，数据流永远命中生效策略；一个具体实施例中，将待检查策略数据格式化，包括，安全策略、acl策略格式化，将源IP、目的IP、服务、源端口、目的端口五元组转本文档来自技高网...

【技术保护点】
1.一种网络设备的防火墙策略检查方法，其特征在于，包括以下步骤：/n将策略五元组转换为数字格式并定义七元组变量，跳过过期策略、空策略、禁用策略、默认策略及已隐藏策略；/n在策略五元组是第一个策略情况下，将源域、目的域作为键值，根据所述键值与策略五元组，确定七元组变量的内容；/n在策略列表不为空情况下，根据七元组变量的内容获取每个键值对应的五元组集合；/n根据当前待检查策略五元组是否为最大范围以及当前待检查策略五元组与五元组集合取交集、取剩集操作后是否有剩集，确定当前待检查策略五元组是否为隐藏策略。/n

【技术特征摘要】
1.一种网络设备的防火墙策略检查方法，其特征在于，包括以下步骤：
将策略五元组转换为数字格式并定义七元组变量，跳过过期策略、空策略、禁用策略、默认策略及已隐藏策略；
在策略五元组是第一个策略情况下，将源域、目的域作为键值，根据所述键值与策略五元组，确定七元组变量的内容；
在策略列表不为空情况下，根据七元组变量的内容获取每个键值对应的五元组集合；
根据当前待检查策略五元组是否为最大范围以及当前待检查策略五元组与五元组集合取交集、取剩集操作后是否有剩集，确定当前待检查策略五元组是否为隐藏策略。


2.根据权利要求1所述的网络设备的防火墙策略检查方法，其特征在于，还包括，对于单域策略或多域未交叉策略，若所述策略五元组是第一个策略，则跳过对该策略五元组的检查，将策略五元组按最小原子拆成对象，将策略源、目的域组合成对象作为键值，将按最小原子拆成的对象与键值分别作对象值、键值存储到七元组变量中。


3.根据权利要求1所述的网络设备的防火墙策略检查方法，其特征在于，还包括，若策略列表为空，则跳过对该策略五元组的检查，将策略五元组添加到七元组。


4.根据权利要求1所述的网络设备的防火墙策略检查方法，其特征在于，其特征在于，还包括，对于多域交叉策略，若所述策略五元组是第一个策略，则跳过对该策略五元组的检查，将源域和目的域进行拆分后，与五元组组合成唯一七元组。


5.根据权利要求1所述的网络设备的防火墙策略检查方法，其特征在于，在策略列表不为空情况下，根据七元组变量的内容获取每个键值对应的五元组集合，具体包括，对于多域交叉策略，在策略列表不为空情况下，判断策略域大小和域匹配的五元组集合的大小是否一致，若否，则跳过策略检测，若是，根据七元组变量的内容获取每个键值对应的五元组集合。


6.根据权利要求1所述的网络设备的防火墙策...

【专利技术属性】
技术研发人员：鲁薇，袁慧，
申请(专利权)人：武汉思普崚技术有限公司，
类型：发明
国别省市：湖北;42