本申请提供一种ACL策略的关系分析方法及装置,该方法包括:遍历多个ACL策略引用的多个ip地址段集合;其中,多个ACL策略与多个ip地址段集合一一对应;对每个ip地址段集合进行整数转换,得到多个ip整数区间集合;对每个ip整数区间集合进行整合处理,得到多个ip处理区间集合;循环对每两个ip处理区间集合进行策略关系分析,得到策略关系分析结果。可见,该方法及装置能够突破目前ACL策略分析的核心性能瓶颈,并能够提高ACL策略的关系分析效率。并能够提高ACL策略的关系分析效率。并能够提高ACL策略的关系分析效率。
【技术实现步骤摘要】
一种ACL策略的关系分析方法及装置
[0001]本申请涉及策略分析
,具体而言,涉及一种ACL策略的关系分析方法及装置。
技术介绍
[0002]众所周知,防火墙提供的核心服务是控制网络访问权限,该服务主要依赖ACL策略(也被称为访问控制策略)来完成。但是,随着各类网络规模的膨胀以及网络访问控制精细化的需求愈加强烈,防火墙上配置的ACL策略数量也愈加膨胀。面对数量庞大的ACL策略,运维人员已经无法再快速地寻找出其中所有可能存在的互相冲突、冗余的策略。因此,为了实现该效果,运维人员开始使用了防火墙上提供的ACL策略间关系分析功能。
[0003]然而,在实践中发现,防火墙上目前的ACL策略分析功能通常使用暴力分析的算法进行分析,该暴力分析算法在面对几千甚至上万条ACL策略时已然成为了整个功能的性能瓶颈,从而使得其无法满足运维人员的需求,进而影响防火墙的正常使用。
技术实现思路
[0004]本申请实施例的目的在于提供一种ACL策略的关系分析方法及装置,能够突破目前ACL策略分析的核心性能瓶颈,并能够提高ACL策略的关系分析效率。
[0005]本申请实施例第一方面提供了一种ACL策略的关系分析方法,包括:
[0006]遍历多个ACL策略引用的多个ip地址段集合;其中,多个所述ACL策略与多个所述ip地址段集合一一对应;
[0007]对每个所述ip地址段集合进行整数转换,得到多个ip整数区间集合;
[0008]对每个所述ip整数区间集合进行整合处理,得到多个ip处理区间集合;
[0009]循环对每两个所述ip处理区间集合进行策略关系分析,得到策略关系分析结果。
[0010]在上述实现过程中,该方法可以优先遍历多个ACL策略引用的多个ip地址段集合;可见,该方法可以优先获取与多个ACL策略一一对应的多个ip地址段集合,从而便于后续步骤对每个ACL策略都进行简化描述,进而便于后续步骤对不同的ACL策略进行全面且准确的关系分析。然后,该方法可以对每个ip地址段集合进行整数转换,得到多个ip整数区间集合;可见,该方法可以将ip地址转换为ip整数,从而以此来简化地址之间的比较难度,进而实现更快更有效的简化效果。再后,该方法可以对每个ip整数区间集合进行整合处理,得到多个ip处理区间集合;可见,该方法可以进一步对每个ACL策略中的ip整数区间进行整合,从而实现去除冗余数据的效果,进而进一步提高ACL策略的关系分析效率。最后,该方法再循环对每两个ip处理区间集合进行策略关系分析,得到策略关系分析结果;可见,该方法可以采用多种方式对不同的两个ACL策略进行策略关系分析,从而得到每两个ACL策略之间的策略关系;同时,基于该方法能够简化策略关系的分析难度,提高策略关系的分析效率,从而以此来突破传统暴力分析算法的性能瓶颈,进而更好更快地提供相应服务。
[0011]进一步地,所述遍历多个ACL策略引用的多个ip地址段集合的步骤包括:
[0012]获取每个ACL策略引用的多个ip地址;
[0013]将每个所述ACL策略引用的所述多个ip地址转换为ip地址段集合,得到与多个所述ACL策略一一对应的多个所述ip地址段集合。
[0014]在上述实现过程中,该方法在遍历多个ACL策略引用的多个ip地址段集合的过程中,可以优先获取每个ACL策略引用的多个ip地址;然后再将每个ACL策略引用的多个ip地址转换为ip地址段集合,得到与多个ACL策略一一对应的多个ip地址段集合。可见,该方法可以获取所有ip地址,并将所有具有连续关系的ip地址整合成ip地址段,再将所有非连续关系的ip地址段置入同一个ip地址段集合,从而以此来避免对每个ip地址进行两两判断,进而能够提高ACL策略的关系分析效率。
[0015]进一步地,所述对每个所述ip地址段集合进行整数转换,得到多个ip整数区间集合的步骤包括:
[0016]基于每个所述ip地址段集合使用的ip协议,对所述ip地址段集合进行整数转换,得到多个ip整数区间集合。
[0017]在上述实现过程中,该方法可以基于每个ip地址段集合使用的ip协议,对ip地址段集合进行整数转换,得到多个ip整数区间集合。可见,该方法可以将ip地址转换为整数,以便后续步骤基于整数进行关系分析,提高关系分析的效率。
[0018]进一步地,所述ip地址段集合包括多个ip地址;其中,
[0019]当所述ip协议为ipv4时,所述整数转换的过程为将所述ip地址转换为32位二进制数,并将所述32位二进制数转换为十进制数;所述十进制数为所述ip整数;
[0020]当所述ip协议为ipv6时,所述整数转换的过程为将所述ip地址转换为4个32位二进制数,并将所述4个32位二进制数转换为4个十进制数;所述4个十进制数为所述ip整数。
[0021]在上述实现过程中,该方法针对于ipv4和ipv6两种ip协议提供了两种整数转换方式,使得该方法能够是在该两种协议下进行有效的ACL策略关系分析,从而提高该方法的通用性。同时,该方法以小端格式存储为核心,以此来实现十进制整数的转换,从而于根本上实现简单转换的效果,进而有利于提高ACL策略关系分析的效率。
[0022]进一步地,所述对每个所述ip整数区间集合进行整合处理,得到多个ip处理区间集合的步骤包括:
[0023]对每个所述ip整数区间集合进行去重、合并及排序处理,得到多个ip处理区间集合。
[0024]在上述实现过程中,该方法可以对每个ip整数区间集合进行去重、合并及排序处理,得到多个ip处理区间集合。可见,该方法可以在内部去除冗余数据,并将其按照预设顺序加以排列,从而有助于后续对其进行顺序分析,进而便于确定ACL策略之间的关系。
[0025]进一步地,所述策略关系分析结果包括策略完全相同、策略部分相同和策略完全不同。
[0026]在上述实现过程中,该方法可以检测出不同ACL策略是否完全相同,并在不同的ACL策略不是完全相同时,确定两者时间是部分相同还是完全不同,从而以此来给出ACL策略关系分析结果,进而能够在提高分析效果的同时保障以往的分析效果。
[0027]本申请实施例第二方面提供了一种ACL策略的关系分析装置,所述ACL策略的关系分析装置包括:
[0028]遍历单元,用于遍历多个ACL策略引用的多个ip地址段集合;其中,多个所述ACL策略与多个所述ip地址段集合一一对应;
[0029]转换单元,用于对每个所述ip地址段集合进行整数转换,得到多个ip整数区间集合;
[0030]处理单元,用于对每个所述ip整数区间集合进行整合处理,得到多个ip处理区间集合;
[0031]分析单元,用于循环对每两个所述ip处理区间集合进行策略关系分析,得到策略关系分析结果。
[0032]在上述实现过程中,该装置可以通过遍历单元遍历多个ACL策略各自引用的多个ip地址段集合;通过转换单元对每个ip地址段集合进行整数转换,得到本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种ACL策略的关系分析方法,其特征在于,包括:遍历多个ACL策略引用的多个ip地址段集合;其中,多个所述ACL策略与多个所述ip地址段集合一一对应;对每个所述ip地址段集合进行整数转换,得到多个ip整数区间集合;对每个所述ip整数区间集合进行整合处理,得到多个ip处理区间集合;循环对每两个所述ip处理区间集合进行策略关系分析,得到策略关系分析结果。2.根据权利要求1所述的ACL策略的关系分析方法,其特征在于,所述遍历多个ACL策略引用的多个ip地址段集合的步骤包括:获取每个ACL策略引用的多个ip地址;将每个所述ACL策略引用的所述多个ip地址转换为ip地址段集合,得到与多个所述ACL策略一一对应的多个所述ip地址段集合。3.根据权利要求1所述的ACL策略的关系分析方法,其特征在于,所述对每个所述ip地址段集合进行整数转换,得到多个ip整数区间集合的步骤包括:基于每个所述ip地址段集合使用的ip协议,对所述ip地址段集合进行整数转换,得到多个ip整数区间集合。4.根据权利要求3所述的ACL策略的关系分析方法,其特征在于,所述ip地址段集合包括多个ip地址;其中,当所述ip协议为ipv4时,所述整数转换的过程为将所述ip地址转换为32位二进制数,并将所述32位二进制数转换为十进制数;所述十进制数为所述ip整数;当所述ip协议为ipv6时,所述整数转换的过程为将所述ip地址转换为4个32位二进制数,并将所述4个32位二进制数转换为4个十进制数;所述4个十进制数为所述ip整数。5.根据权利要求1所述的ACL策略的关系分析方法,其特征在于,所述对每个所述ip...
【专利技术属性】
技术研发人员:李亚南,晏尉,范鸿雷,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。