【技术实现步骤摘要】
一种策略冲突检测方法、装置及电子设备
[0001]本申请涉及计算机
,可用于金融领域,特别涉及一种策略冲突检测方法、装置及电子设备。
技术介绍
[0002]随着云数据技术的不断发展,网络运维规模也在快速扩大,运维复杂度也在逐渐扩增。基于网络安全必要,各应用业务部署的网络区域边界部署防火墙做访问控制,基于当前的情况下,各种不同的应用业务上下游之间存在着交错复杂的访问关系,同理也需要在防火墙部署各种各样的访问策略,有些需要开通访问权限,而有些重要应用或者高危访问(例如敏感端口等)需要严格控制不能访问,那么防火墙上就部署了大量且复杂的策略。所以建立一种策略冲突检测系统,及时准确的发现允许放通和严格控制不能访问的策略之间是否存在ip或者端口上的冲突就显得尤为重要。
[0003]现有方法通常采用策略树进行防火墙策略的冲突检测。这种检测方法的逻辑较为复杂,容易出错,且不易理解。
技术实现思路
[0004]本说明书提供一种策略冲突检测方法,以解决现有策略冲突检测方法较为复杂、容易出错的问题。
[000...
【技术保护点】
【技术特征摘要】
1.一种策略冲突检测方法,其特征在于,包括:将防火墙的第一策略和第二策略进行如下转换:将源目地址转换成去除点号的十进制的数值,将服务类型中的第一服务类型转换为第一数值、第二服务类型转换为第二数值,将服务动作中的第一动作转换为第一数值、第二动作转换为第二数值;其中,第一数值和第二数值的预定运算为第一数值,第二数值与第二数值的预定运算为第一数值,第一数值与第二数值的预定运算为第二数值;根据转换后的地址格式判断第一策略和第二策略中的源地址是否有交集、目标地址是否有交集;将第一策略和第二策略中的服务类型的取值进行预定运算,并将第一策略和第二策略中的服务动作的取值进行预定运算;在第一策略和第二策略中的源地址、目标地址均有交集,且服务类型的预定运算取值为第一数值、服务动作的预定运算取值为预定数值的情况下,确定第一策略和第二策略存在冲突。2.根据权利要求1所述的方法,其特征在于,所述第一数值为二进制类型的1,第二数值为二进制类型的0,所述预定运算为二进制的求和、取末位数的运算。3.根据权利要求1所述的方法,其特征在于,所述第一服务类型为TCP,第二服务类型为UDP;和/或,所述第一动作为允许访问,第二动作为拒绝访问。4.根据权利要求1所述的方法,其特征在于,将源目地址转换成去除点号的十进制的数值,包括:将点分十进制表示的源目地址转换成32位的点分二进制;将32位的点分二进制表示的源目地址中的点号去除,得到32位去除点号的二进制表示的源目地址;将用于表示源目地址的32位去除点号的二进制数值转换成十进制数值,得到去除点号的十进制的数值。5.根据权利要求1所述的方法,其特征在于,将源目地址转换成去除点号的十进制的数值,包括:将用于表示源目地址的十六进制数值转换成十进制数值,得到去除点号的十进制的数值。6.根据权利要求1所述的方法,其特征在于,根据转换后的地址格式判断第一策略和第二策略中的源地址是否有交集、目标地址是否有交集,包括通过以下方法判断第一策略和第二策略中的目标类型地址是否有交集,所述目标类型地址为源地址或者目标地址:判断第一策略、第二策略的目标类型地址中是否有地址组;在第一策略、第二策略的目标类型地址中均没有地址组的情况下,将第一策略中格式转换后的各地址分别与第二策略中格式转换后的各地址进行比较;若有地址的取值相同,则确定第一策略、第二策略的目标类型地址有交集;和/或,在第一策略、第二策略的目标类型地址均为地址组的情况下,获取第一策略中格式转换后的第一地址组的第一起始地址、第一终止地址,获取第二策略中格式转换后的第二地址组的第二起始地址、第二终止地址;
判断第一起始地址至第一终止地址的取值区间,与第二起始地址至第二终止地址的取值区间是否相交;在取值区间相交的情况下,确定第一策略、第二策略的目标类型地址有交集;...
【专利技术属性】
技术研发人员:朱敏敏,汪闻杰,李萌,
申请(专利权)人:中国工商银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。