防火墙策略分析方法、装置、设备及存储介质制造方法及图纸

本发明专利技术属于通信技术领域，公开了一种防火墙策略分析方法、装置、设备及存储介质。该方法包括获取通过防火墙的数据包，对数据包进行动态分析，获得动态分析结果；获取防火墙对应的待优化访问控制列表策略和预设的静态分析逻辑，并根据静态分析逻辑对待优化访问控制列表策略进行分析，获得静态分析结果；对动态分析结果和静态分析结果进行预处理，获得防火墙策略分析结果。由于本发明专利技术是根据动态分析结果和静态分析结果共同获得防火墙策略分析结果，相对于现有的未匹配检测和策略冗余检查获得防火墙策略分析结果的方式，本发明专利技术上述方式获得的防火墙策略分析结果更加精确和全面。

【技术实现步骤摘要】
防火墙策略分析方法、装置、设备及存储介质
本专利技术涉及通信
，尤其涉及一种防火墙策略分析方法、装置、设备及存储介质。
技术介绍
用户在管理配置防火墙过程中，经常会需要根据业务部门需求不断地去配置设备的访问控制列表策略(AccessControlLists，ACL)，随着使用时间的增长，访问控制列表策略越来越多，策略管理混乱所带来的暴露面增加问题也越来越严重地威胁用户的网络安全，目前业界在网络防火墙上的已有的策略优化方案较为简单，只能做到基本的未匹配检测和策略冗余检查，无法满足用户深度优化策略的需求。上述内容仅用于辅助理解本专利技术的技术方案，并不代表承认上述内容是现有技术。
技术实现思路
本专利技术的主要目的在于提供了一种防火墙策略分析方法、装置、设备及存储介质，旨在解决现有的未匹配检测和策略冗余检查获得的防火墙策略分析结果不够全面和准确的技术问题。为实现上述目的，本专利技术提供了一种防火墙策略分析方法，所述方法包括以下步骤：获取通过防火墙的数据包，对所述数据包进行动态分析，获得动态分析结果；获取所述防火墙对应的待优化访问控制列表策略和预设的静态分析逻辑，并根据所述静态分析逻辑对所述待优化访问控制列表策略进行分析，获得静态分析结果；对所述动态分析结果和所述静态分析结果进行预处理，获得防火墙策略分析结果。优选地，所述获取通过防火墙的数据包，对所述数据包进行动态分析，获得动态分析结果的步骤之前，还包括：检测预设动态流量分析引擎是否开启；<br>在所述预设动态流量分析引擎开启时，执行所述获取通过防火墙的数据包，对所述数据包进行动态分析，获得动态分析结果的步骤。优选地，所述检测预设动态流量分析引擎是否开启的步骤之后，还包括：在所述预设动态流量分析引擎关闭时，获取所述防火墙对应的待优化访问控制列表策略和预设的静态分析逻辑，根据所述静态分析逻辑对所述待优化访问控制列表策略进行分析，获得静态分析结果；对所述静态分析结果进行预处理，获得防火墙策略分析结果。优选地，所述获取通过防火墙的数据包，对所述数据包进行动态分析，获得动态分析结果的步骤，包括：获取通过防火墙的数据包；对所述数据包进行动态流量分析，获得动态流量分析结果；根据所述动态流量分析结果对所述数据包进行流量策略对比分析，获得流量策略对比分析结果；将所述流量策略对比分析结果作为动态分析结果。优选地，所述对所述数据包进行动态流量分析，获得动态流量分析结果的步骤，包括：获取动态流量分析策略以及所述数据包对应的五元组信息；根据所述动态流量分析策略和所述五元组信息对所述数据包进行分类，获得分类结果；根据所述分类结果对所述数据包进行压缩，获得动态流量分析结果。优选地，所述根据所述动态流量分析结果对所述数据包进行流量策略对比分析，获得流量策略对比分析结果的步骤，包括：根据所述动态流量分析结果对所述数据包进行资产分析，获得资产分析结果；读取所述资产分析结果中包含的活跃服务器IP信息和活跃端口信息；根据所述活跃服务器IP信息和活跃端口信息获得对应的策略活跃信息；将所述策略活跃信息作为流量策略对比分析结果。优选地，所述对所述静态分析结果和所述动态分析结果进行预处理，获得防火墙策略分析结果的步骤，包括：根据所述静态分析结果和所述动态分析结果确定策略风险问题；根据预设的风险维度对所述策略风险问题进行聚类划分，获得聚类划分结果；根据所述聚类划分结果，生成策略优化报告；将所述策略优化报告作为防火墙策略分析结果。此外，为实现上述目的，本专利技术还提供一种防火墙策略分析装置，其特征在于，所述防火墙策略分析装置包括动态分析模块、静态分析模块和预处理模块；所述动态分析模块，用于获取通过防火墙的数据包，对所述数据包进行动态分析，获得动态分析结果；所述静态分析模块，用于获取所述防火墙对应的待优化访问控制列表策略和预设的静态分析逻辑，并根据所述静态分析逻辑对所述待优化访问控制列表策略进行分析，获得静态分析结果；所述预处理模块，用于对所述动态分析结果和所述静态分析结果进行预处理，获得防火墙策略分析结果。此外，为实现上述目的，本专利技术还提出一种防火墙策略分析设备，其特征在于，所述防火墙策略分析设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的防火墙策略分析程序，所述防火墙策略分析程序被所述处理器执行时实现如上文所述的防火墙策略分析方法的步骤。此外，为实现上述目的，本专利技术还提出一种存储介质，其特征在于，所述存储介质为计算机可读存储介质，所述存储介质上存储有防火墙策略分析程序，所述防火墙策略分析程序被处理器执行时实现如上文所述的防火墙策略分析方法的步骤。本专利技术通过获取通过防火墙的数据包，对数据包进行动态分析，获得动态分析结果；获取防火墙对应的待优化访问控制列表策略和预设的静态分析逻辑，并根据静态分析逻辑对待优化访问控制列表策略进行分析，获得静态分析结果；对动态分析结果和静态分析结果进行预处理，获得防火墙策略分析结果。由于本专利技术是根据动态分析结果和静态分析结果共同获得防火墙策略分析结果，相对于现有的未匹配检测和策略冗余检查获得防火墙策略分析结果的方式，本专利技术上述方式获得的防火墙策略分析结果更加精确和全面。附图说明图1是本专利技术实施例方案涉及的硬件运行环境的防火墙策略分析设备的结构示意图；图2为本专利技术防火墙策略分析方法第一实施例的流程示意图；图3为本专利技术防火墙策略分析方法第一实施例中逻辑分析示意图；图4为本专利技术防火墙策略分析方法第二实施例的流程示意图；图5为本专利技术防火墙策略分析方法第三实施例的流程示意图；图6为本专利技术防火墙策略分析方法第四实施例的流程示意图；图7为本专利技术防火墙策略分析装置第一实施例的结构框图。本专利技术目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。具体实施方式应当理解，此处所描述的具体实施例仅用以解释本专利技术，并不用于限定本专利技术。参照图1，图1为本专利技术实施例方案涉及的硬件运行环境的防火墙策略分析设备结构示意图。如图1所示，该防火墙策略分析设备可以包括：处理器1001，例如中央处理器(CentralProcessingUnit，CPU)，通信总线1002、用户接口1003，网络接口1004，存储器1005。其中，通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard)，可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(WIreless-FIdelity，WI-FI)接口)。存储器1005可以是高速的随机存取存储器(RandomAccessMemory，RAM)存储器本文档来自技高网...

【技术保护点】
1.一种防火墙策略分析方法，其特征在于，所述方法包括以下步骤：/n获取通过防火墙的数据包，对所述数据包进行动态分析，获得动态分析结果；/n获取所述防火墙对应的待优化访问控制列表策略和预设的静态分析逻辑，并根据所述静态分析逻辑对所述待优化访问控制列表策略进行分析，获得静态分析结果；/n对所述动态分析结果和所述静态分析结果进行预处理，获得防火墙策略分析结果。/n

【技术特征摘要】
1.一种防火墙策略分析方法，其特征在于，所述方法包括以下步骤：
获取通过防火墙的数据包，对所述数据包进行动态分析，获得动态分析结果；
获取所述防火墙对应的待优化访问控制列表策略和预设的静态分析逻辑，并根据所述静态分析逻辑对所述待优化访问控制列表策略进行分析，获得静态分析结果；
对所述动态分析结果和所述静态分析结果进行预处理，获得防火墙策略分析结果。


2.如权利要求1所述的防火墙策略分析方法，其特征在于，所述获取通过防火墙的数据包，对所述数据包进行动态分析，获得动态分析结果的步骤之前，还包括：
检测预设动态流量分析引擎是否开启；
在所述预设动态流量分析引擎开启时，执行所述获取通过防火墙的数据包，对所述数据包进行动态分析，获得动态分析结果的步骤。


3.如权利要求2所述的防火墙策略分析方法，其特征在于，所述检测预设动态流量分析引擎是否开启的步骤之后，还包括：
在所述预设动态流量分析引擎关闭时，获取所述防火墙对应的待优化访问控制列表策略和预设的静态分析逻辑，根据所述静态分析逻辑对所述待优化访问控制列表策略进行分析，获得静态分析结果；
对所述静态分析结果进行预处理，获得防火墙策略分析结果。


4.如权利要求1所述的防火墙策略分析方法，其特征在于，所述获取通过防火墙的数据包，对所述数据包进行动态分析，获得动态分析结果的步骤，包括：
获取通过防火墙的数据包；
对所述数据包进行动态流量分析，获得动态流量分析结果；
根据所述动态流量分析结果对所述数据包进行流量策略对比分析，获得流量策略对比分析结果；
将所述流量策略对比分析结果作为动态分析结果。


5.如权利要求4所述的防火墙策略分析方法，其特征在于，所述对所述数据包进行动态流量分析，获得动态流量分析结果的步骤，包括：
获取动态流量分析策略以及所述数据包对应的五元组信息；
根据所述动态流量分析策略和所述五元组信息对所述数据包进行分类，获得分类结果；
根据所述分类结果对所述数据包进行压缩，获得动态流量分析结果。
...

【专利技术属性】
技术研发人员：许茂林，
申请(专利权)人：深信服科技股份有限公司，
类型：发明
国别省市：广东;44