CN109302409A - Acl访问控制策略的分析方法、装置、设备及存储介质 - Google Patents
Acl访问控制策略的分析方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN109302409A CN109302409A CN201811291108.5A CN201811291108A CN109302409A CN 109302409 A CN109302409 A CN 109302409A CN 201811291108 A CN201811291108 A CN 201811291108A CN 109302409 A CN109302409 A CN 109302409A
- Authority
- CN
- China
- Prior art keywords
- port
- rule
- access control
- data packet
- control policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种ACL访问控制策略的分析方法、装置、设备及存储介质,该方法包括:确定ACL访问控制策略中每个规则包括的条件项和动作项,将所述每个规则中所述条件项组合成第一子集合,根据所述动作项将所述ACL访问控制策略中的规则分为允许规则和不允许规则,将所述允许规则对应的所述第一子集合进行合并处理,得到允许数据包通过的第一集合,将所述不允许规则对应的所述第一子集合进行合并处理,得到不允许数据包通过的第二集合,判断所述第一集合与所述第二集合是否存在交集,若不存在,则确定所述ACL访问控制策略不冲突。解决了现有技术中检测所述ACL访问控制策略的效率较低的技术问题。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种ACL访问控制策略的分析方法、装置、设备及存储介质。
背景技术
访问控制列表(Access Control List,ACL)作为一种访问控制策略,由一系列的规则组成,主要用于阻止非法访问资源节点和限制用户对资源节点的访问权限,因此,ACL访问控制策略对于保证网络安全性和可用性至关重要。为了保证在ACL访问控制策略下数据包能够在电子设备中正常的传输,需要对所述ACL访问控制策略逻辑进行分析,只有ACL访问控制策略逻辑不存在冲突时,数据包才能够在电子设备中正常传输。目前,ACL访问控制策略分析的方法,是通过将ACL访问控制策略烧录到电子设备中,确定电子设备是否能够传输数据包,当电子设备无法实现数据包的传输时,通过人工的手段在电子设备中对ACL访问控制策略的每一规则进行检测,以便确定ACL访问控制策略中存在冲突的规则,但是,随着电子设备功能的增加,ACL访问控制策略规模的增加以及越来越复杂,导致检测所述ACL访问控制策略的效率较低。
发明内容
本申请提供一种ACL访问控制策略的分析方法、装置、设备及存储介质,用以解决现有技术中检测所述ACL访问控制策略的效率较低的技术问题。
第一方面,本申请提供一种ACL访问控制策略的分析方法,该方法包括:电子设备确定ACL访问控制策略中每个规则包括的条件项和动作项,将所述每个规则中所述条件项组合成第一子集合,其中,所述每个规则至少包括一个所述条件项,所述条件项用于指示数据包的一个属性参数的范围,所述动作项用于指示是否允许满足所述规则中所述条件项的数据包通过,根据所述动作项将所述ACL访问控制策略中的规则分为允许规则和不允许规则,将所述允许规则对应的所述第一子集合进行合并处理,得到允许数据包通过的第一集合,将所述不允许规则对应的所述第一子集合进行合并处理,得到不允许数据包通过的第二集合,判断所述第一集合与所述第二集合是否存在交集,若不存在,则确定所述ACL访问控制策略不冲突。
可选地,将所述每个规则中所述条件项组合成第一子集合,包括:
将同一规则中的每个所述条件项对应的所述参数的范围以第二子集合的形式表示;将所述同一规则中所有所述条件项对应的所述第二子集合组合成所述规则对应的所述第一子集合。
可选地,确定所述ACL访问控制策略不冲突之后,还包括:
确定预设的数据包的第一流通方向中允许数据包流入的第一端口,以及所述第一端口对应的所述第一集合和除所述第一端口之外的其他各个端口对应的所述第二集合;
将除所述第一端口之外的所有的端口对应的所述第二集合进行合并处理,得到第三集合;
判断所述第一端口对应的所述第一集合和所述第三集合是否存在交集;
若不存在,则确定所述第一端口对应的所述ACL访问控制策略与除所述第一端口之外的其他端口对应的所述ACL访问控制策略不冲突。
可选地,确定所述ACL访问控制策略不冲突之后,还包括:
在电子设备A和电子设备B连接的情况下,确定预设的数据包的第二流通方向中所述电子设备A中允许数据包流出的第二端口和所述电子设备B中允许流入数据包的第三端口;
确定所述第二端口对应的所述第一集合和所述第三端口对应的所述第二集合;
判断所述第二端口对应的所述第一集合与所述第三端口对应的所述第二集合是否存在交集;
若不存在,则确定所述第二端口对应的所述ACL访问控制策略与所述第三端口对应的所述ACL访问控制策略不冲突。
第二方面,本申请提供一种ACL访问控制策略的分析装置,所述装置包括:
组合单元,用于确定ACL访问控制策略中每个规则包括的条件项和动作项,将所述每个规则中所有所述条件项组合成第一子集合,其中,所述每个规则至少包括一个所述条件项,所述条件项用于指示数据包的一个属性参数的范围,所述动作项用于指示是否允许满足所述规则中所有所述条件项的数据包通过;
划分单元,用于根据所述动作项将所述ACL访问控制策略中的规则分为允许规则和不允许规则;
合并单元,用于将所有所述允许规则对应的所述第一子集合进行合并处理,得到允许数据包通过的第一集合,将所述不允许规则对应的所述第一子集合进行合并处理,得到不允许数据包通过的第二集合;
判断单元,用于判断所述第一集合与所述第二集合是否存交集;
确定单元,用于若不存在交集,则确定所述ACL访问控制策略不冲突。
可选地,所述组合单元,具体用于:
将同一规则中的每个所述条件项对应的所述参数的范围以第二子集合的形式表示;
将所述同一规则中所有所述条件项对应的所述第二子集合组合成所述规则对应的所述第一子集合。
可选地,所述确定单元,还用于确定预设的数据包的第一流通方向中允许数据包流入的第一端口,以及所述第一端口对应的所述第一集合和除所述第一端口之外的其他各个端口对应的所述第二集合;
所述合并单元,还用于将除所述第一端口之外的所有的端口对应的所述第二集合进行合并处理,得到第三集合;
所述判断单元,还用于判断所述第一端口对应的所述第一集合与所述第三集合是否存在交集;
所述确定单元,还用于若不存在交集,则确定所述第一端口对应的所述ACL访问控制策略与除所述第一端口之外的其他端口对应的所述ACL访问控制策略不冲突。
可选地,所述确定单元,还用于在电子设备A和电子设备B连接的情况下,确定预设的数据包的第二流通方向中所述电子设备A中允许数据包流出的第二端口和所述电子设备B中允许流入数据包的第三端口,以及确定所述第二端口对应的所述第一集合和所述第三端口对应的所述第二集合;
所述判断单元,还用于判断所述第二端口对应的所述第一集合与所述第三端口对应的所述第二集合是否存在交集;
所述确定单元,还用于若不存在交集,则确定所述第二端口对应的所述ACL访问控制策略与所述第三端口对应的所述ACL访问控制策略不冲突。
第三方面,本申请提供一种电子设备,所述电子设备,包括:
存储器,用于存储处理器所执行的指令;
处理器,用于执行所述存储器中存储的指令执行第一方面所述的方法。
第四方面,本申请提供一种计算机存储介质,所述计算机存储介质存储有计算机指令,当所述计算机指令在计算机上运行时,使得计算机执行第一方面所述的方法。
本申请实施例中的上述一个或多个技术方案,至少具有如下一种或多种技术效果:
1、在本申请实施例的技术方案中,电子设备将所述ACL访问控制策略中每个规则转换成第一子集合,通过所述ACL访问控制策略中每个规则的动作项将所述规则分为允许规则和不允许规则,将相同类型的规则对应的第一子集合进行合并,得到允许数据包通过的第一集合和不允许数据包通过的第二集合,通过判断第一集合和第二集合是否有交集,来确定所述ACL访问控制策略中的规则是否冲突。本申请实施例通过检测允许规则整体与不允许规则整体之间是否冲突,来确定所述ACL访问控制策略是否冲突,避免了对所述ACL访问控制策略中的各个规则分别进行检测,提高了检测所述ACL访问控制策略的效率。
2、进一步,在同一电子设备,通过判断流入数据包的端口对应的所述ACL访问控制策略中允许数据包通过的第一集合与电子设备中除所述流入端口之外的其他端口对应的所述ACL访问控制策略中不允许数据包通过的第三集合是否存在交集,来确定电子设备中不同端口对应的所述ACL访问控制策略之间是否冲突,不仅能够检测同一ACL访问控制策略中不同规则之间是否存在冲突,还能检测不同端口设置的ACL访问控制策略之间是否存在冲突,提高了检测所述ACL访问控制策略冲突的准确性,进一步保证数据包在该电子设备中的正常传输。
3、进一步,在两个不同电子设备之间直连的情况下,在所述第二流通方向中,通过判断电子设备A流出数据包的端口对应的所述ACL访问控制策略中允许数据包通过的第一集合与电子设备B流入数据包的端口对应的所述ACL访问控制策略中不允许数据包通过的第二集合是否存在交集,来确定不同电子设备中不同端口对应的所述ACL访问控制策略之间是否冲突,提高了ACL访问控制策略适用性。
附图说明
图1为本申请实施例所提供的一种ACL访问控制策略的分析方法的流程图;
图2为本申请实施例所提供的一个电子设备不同端口的结构示意图;
图3为本申请实施例所提供的一种两个电子设备级联的结构示意图;
图4为本申请实施例所提供的一种ACL访问控制策略的分析装置的结构示意图;
图5本申请实施例所提供的一种电子设备的结构示意图。
具体实施方式
本申请实施例提供的方案中,所描述的实施例仅是本申请一部份实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
为了更好的理解上述技术方案,下面通过附图以及具体实施例对本申请技术方案做详细的说明,应当理解本申请实施例以及实施例中的具体特征是对本申请技术方案的详细的说明,而不是对本申请技术方案的限定,在不冲突的情况下,本申请实施例以及实施例中的技术特征可以相互组合。
实施例一
以下结合说明书附图对本申请实施例所提供的一种ACL访问控制策略的分析方法做进一步详细的说明,该方法具体实现方式可以包括以下步骤(方法流程如图1所示):
步骤101,电子设备确定ACL访问控制策略中每个规则包括的条件项和动作项,将所述每个规则中所述条件项组合成第一子集合,其中,所述每个规则至少包括一个所述条件项,所述条件项用于指示数据包的一个属性参数的范围,所述动作项用于指示是否允许满足所述规则中所述条件项的数据包通过。
电子设备将所述每个规则中所述条件项组合成第一子集合,包括:将同一规则中的每个所述条件项对应的所述参数的范围以第二子集合的形式表示;
将所述同一规则中所有所述条件项对应的所述第二子集合组合成所述规则对应的所述第一子集合。
具体的,电子设备中每个端口都设置有所述ACL访问控制策略,所述ACL访问控制策略包括多个规则,所述每个规则包括用于指示数据包通过或数据包不通过的至少一个条件项和用于指示是否允许数据包通过的动作项,例如,所述条件项包括源地址、目的地址、源端口、目的端口、网络协议或自定义的条件等,在所述ACL访问控制策略中,将同一规则的所述至少一个条件项以第二子集合的形式表示,当同一规则中所有的条件项都满足时,该规则才成立,将同一规则的所有条件项对应的第二子集合组合成所述规则对应的第一子集合,根据所述规则中的动作项允许数据包通过或不允许数据包通过。
例如,所述ACL访问控制策略为IP访问控制列表,所述条件项包括源地址、源端口、目的地址、目的端口或IP协议,在所述IP访问控制列表中某一规则,该规则对应的条件项包括源地址为192.168.23.10,源端口为1~3端口,将所述源地址192.168.23.10表示为{源地址/源地址=192.168.23.10}第一子集合的形式,将源端口为1~3端口表示为{源端口/源端口=1,源端口=2,源端口=3}第一子集合的形式,将所述源地址和源端口对应的第一子集合组成的第二子集合为{(源地址,源端口)/(源地址=192.168.23.10,源端口=1),(源地址=192.168.23.10,源端口=2),(源地址=192.168.23.10,源端口=3)}。
步骤102,电子设备根据所述动作项将所述ACL访问控制策略中的规则分为允许规则和不允许规则。
根据所述ACL访问控制策略中所有规则的动作项为允许数据包通过的规则划分为允许规则,将不允许数据包通过的规则划分为不允许规则。
步骤103,电子设备将所述允许规则对应的所述第一子集合进行合并处理,得到允许数据包通过的第一集合,将所述不允许规则对应的所述第一子集合进行合并处理,得到不允许数据包通过的第二集合。
例如,所述ACL访问控制策略中包括两条允许规则,其中,第一条允许规则对应的第一子集合为{(源地址,源端口)/(源地址=192.168.23.10,源端口=1),(源地址=192.168.23.10,源端口=2),(源地址=192.168.23.10,源端口=3)},第二条允许规则的对应的第一子集合为{(源地址,协议)/(源地址=192.168.23.2,协议=IP协议),(源地址=192.168.23.3,协议=IP协议),(源地址=192.168.23.4,协议=IP协议)},当电子设备接收到数据包满足所述第一条允许规则或第二条允许规则中的任一条规则时,电子设备将允许数据包通过,即数据包满足所述第一条允许规则对应的第一子集合中任意元素或所述第二条允许规则对应的第一子集合中任意元素,若使得电子设备允许数据包通过,则将所述第一条规则的表达式和第二规则对应的第一子集合进行合并处理,得到允许数据包通过的第一集合{{(源地址,源端口)/(源地址=192.168.23.10,源端口=1),(源地址=192.168.23.10,源端口=2),(源地址=192.168.23.10,源端口=3)},{(源地址,协议)/(源地址=192.168.23.2,协议=IP协议),(源地址=192.168.23.3,协议=IP协议),(源地址=192.168.23.4,协议=IP协议)}}。
将所有所述不允许规则对应的第一子集合进行合并处理,得到不允许数据包通过的第二集合的方式相同,在此不再赘述。
步骤104,电子设备判断所述第一集合与所述第二集合是否存在交集。
例如,所述允许数据包通过的第一集合为{(源地址=192.168.23.0,源端口=1),(源地址=192.168.23.0,源端口=2),(源地址=192.168.23.0,源端口=3)},不允许数据包通过的第二集合为{(源地址=192.168.23.0,源端口=1),(源地址=192.168.23.3,源端口=1),(源地址=192.168.23.0,协议=IP协议)},则所述允许数据包通过的第一集合和所述不允许数据包通过的第二集合都包括(源地址=192.168.23.0,源端口=1)这个元素,则(源地址=192.168.23.0,源端口=1)即为第一集合和第二集合的交集。
具体的,电子设备判断所述第一集合与所述第二集合是否存在相同的规则项包括多种方式:
方式1,将所述第一集合中的每个元素分别与所述第二集合中的所有元素进行比对,若检测到所述第一集合中的某一元素在所述第二集合中找到匹配的元素,则停止检测,所述第一集合和所述第二集合之间存在交集。
方式2,将所述第一集合中的每个元素分别与所述第二集合中的所有元素进行比对,直到所述第一集合中所有元素与所述第二集合中的所有元素进行比对后,确定所述第一集合中与所述第二集合所有相同的元素。
应理解,所述第二集合可以包括所述第一集合中所有的元素,也可以包括所述第一结合中部分元素,在此不做限定。
步骤105,若不存在相同的所述规则项,电子设备则确定所述ACL访问控制策略不冲突。
本申请公开了一种ACL访问控制策略的分析方法及装置,该方法包括:将所述ACL访问控制策略中每个规则转换成第一子集合,通过所述ACL访问控制策略中每个规则的动作项将所述规则分为允许规则和不允许规则,将相同类型的规则对应的第一子集合进行合并,得到允许数据包通过的第一集合和不允许数据包通过的第二集合,通过判断所述第一集合和所述第二集合是否存在交集,来确定所述ACL访问控制策略中的规则是否冲突。本申请实施例通过检测允许规则整体与不允许规则整体之间是否冲突,来确定所述ACL访问控制策略是否冲突,避免了对所述ACL访问控制策略中的各个规则分别进行检测,提高了检测所述ACL访问控制策略的效率。
进一步,为了检测同一电子设备不同端口上设置的ACL访问控制策略是否存在冲突,在确定所述ACL访问控制策略整体不冲突之后,还包括:
确定预设的数据包的第一流通方向中允许数据包流入的第一端口,以及所述第一端口对应的所述第一集合和除所述第一端口之外的其他各个端口对应的所述第二集合;
将除所述第一端口之外的所有的端口对应的所述第二集合进行合并处理,得到第三集合;
判断所述第一端口对应的所述第一集合和所述第三集合是否存在交集;
若不存在,则确定所述第一端口对应的所述ACL访问控制策略与除所述第一端口之外的其他端口对应的所述ACL访问控制策略不冲突。
本申请实施例提供的方法中,在所述第一流通方向中,电子设备通过判断流入数据包的端口对应的所述ACL访问控制策略中允许数据包通过的所述第一集合与电子设备中除所述流入端口之外的其他端口对应的所述ACL访问控制策略中不允许数据包通过的第三集合是否存在交集,来确定电子设备中不同端口对应的所述ACL访问控制策略之间是否冲突,不仅能够检测同一ACL访问控制策略中不同规则之间是否存在冲突,还能检测不同端口设置的ACL访问控制策略之间是否存在冲突,提高了检测所述ACL访问控制策略冲突的准确性,进一步保证数据包在该电子设备中的正常传输。
如图2所示,在电子设备A的八个端口分别设置不同的ACL访问控制策略,其中,所述八个端口分别为第一端口、第二端口、第三端口、第四端口、第五端口、第六端口、第七端口和第八端口,将第一端口设置为数据包流入的端口,除所述第一端口之外的其他端口都可以为数据包流出的端口,为了保证数据包按照预定的方向从电子设备A第一端口流入的数据包能够从其他端口流出,首先确定所述电子设备A中所述第一端口对应的允许数据包通过的所述第一集合为P1和除所述第一端口之外的其他端口对应的不允许数据包通过的所述第二集合Pn,其中,Pn为第n个端口对应的第二集合,n是大于1的正整数,将除第一端口之外的其他各个端口对应的所述第二集合Pn进行合并处理,得到第三集合M={P2,P3,P4,……,……,Pn},判断所述第一端口对应的所述第一集合P1与所述第三集合M是否存在交集,若不存在,则确定在所述电子设备A中,从第一端口流入的数据包可以从其他端口流出,所述第一端口对应的所述ACL访问控制策略与电子设备A中其他端口对应的所述ACL访问控制策略不冲突。
进一步,为了检测不同电子设备的不同端口设置的ACL访问控制策略是否存在冲突,在确定所述ACL访问控制策略整体不冲突之后,还包括:
在电子设备A和电子设备B连接的情况下,确定预设的数据包的第二流通方向中所述电子设备A中允许数据包流出的第二端口和所述电子设备B中允许流入数据包的第三端口;
确定所述第二端口对应的所述第一集合和所述第三端口对应的所述第二集合;
判断所述第二端口对应的所述第一集合与所述第三端口对应的所述第二集合是否存在交集;
若不存在,则确定所述第二端口对应的所述ACL访问控制策略与所述第三端口对应的所述ACL访问控制策略不冲突。
本申请实施例提供的方法中,在两个不同电子设备之间直连的情况下,在所述第二流通方向中,电子设备通过判断电子设备A流出数据包的端口对应的所述ACL访问控制策略中允许数据包通过的所述第一集合与电子设备B流入数据包的端口对应的所述ACL访问控制策略中不允许数据包通过的第二集合是否存在交集,来确定不同电子设备中不同端口对应的所述ACL访问控制策略之间是否冲突,提高了ACL访问控制策略适用性。
如图3所示,所述电子设备A和电子设备B都包括八个端口,分别为第一端口、第二端口、第三端口、第四端口、第五端口、第六端口、第七端口和第八端口,所述电子设备A通过第五端口与所述电子设备B的第一端口连接,基于预设的数据包传输方向,将从所述电子设备A中流出的数据包传输到所述电子设备B中,其中,所述预设的数据包传输方向包括所述电子设备A的第五端口为数据包流出的端口,所述电子设备B的第一端口为数据包流入端口,为了保证数据包能够按照预定的方向从电子设备A传输到电子设备B中,首先确定所述电子设备A的第五端口对应的允许数据包通过的所述第一集合Pa5和所述电子设备B的第一端口对应的不允许数据包通过的所述第二集合Pb1,当所述电子设备A的第五端口对应的所述第一集合Pa5和所述电子设备B的第一端口对应的所述第二集合Pb1没有交集的情况下,数据包才能按照预定的方向从电子设备A传输到电子设备B,判断所述第一集合Pa5与所述第二集合Pb1是否存在交集,若不存在,则所述电子设备A的第五端口对应的ACL访问控制策略与所述电子设备B的第一端口对应的所述ACL访问控制策略不冲突。
实施例二
本申请提供一种ACL访问控制策略的分析装置,如图4所示,所述装置包括:
组合单元401,用于确定ACL访问控制策略中每个规则包括的条件项和动作项,将所述每个规则中所有所述条件项组合成第一子集合,其中,所述每个规则至少包括一个所述条件项,所述条件项用于指示数据包的一个属性参数的范围,所述动作项用于指示是否允许满足所述规则中所有所述条件项的数据包通过;
划分单元402,用于根据所述动作项将所述ACL访问控制策略中的规则分为允许规则和不允许规则;
合并单元403,用于将所有所述允许规则对应的所述第一子集合进行合并处理,得到允许数据包通过的第一集合,将所述不允许规则对应的所述第一子集合进行合并处理,得到不允许数据包通过的第二集合;
判断单元404,用于判断所述第一集合与所述第二集合是否存交集;
确定单元405,用于若不存在交集,则确定所述ACL访问控制策略不冲突。
可选地,所述组合单元401,具体用于:
将同一规则中的每个所述条件项对应的所述参数的范围以第二子集合的形式表示;
将所述同一规则中所有所述条件项对应的所述第二子集合组合成所述规则对应的所述第一子集合。
可选地,所述确定单元405,还用于确定预设的数据包的第一流通方向中允许数据包流入的第一端口,以及所述第一端口对应的所述第一集合和除所述第一端口之外的其他各个端口对应的所述第二集合;
所述合并单元403,还用于将除所述第一端口之外的所有的端口对应的所述第二集合进行合并处理,得到第三集合;
所述判断单元404,还用于判断所述第一端口对应的所述第一集合与所述第三集合是否存在交集;
所述确定单元405,还用于若不存在交集,则确定所述第一端口对应的所述ACL访问控制策略与除所述第一端口之外的其他端口对应的所述ACL访问控制策略不冲突。
可选地,所述确定单元405,还用于在电子设备A和电子设备B连接的情况下,确定预设的数据包的第二流通方向中所述电子设备A中允许数据包流出的第二端口和所述电子设备B中允许流入数据包的第三端口,以及确定所述第二端口对应的所述第一集合和所述第三端口对应的所述第二集合;
所述判断单元404,还用于判断所述第二端口对应的所述第一集合与所述第三端口对应的所述第二集合是否存在交集;
所述确定单元405,还用于若不存在交集,则确定所述第二端口对应的所述ACL访问控制策略与所述第三端口对应的所述ACL访问控制策略不冲突。
实施例三
本申请提供一种电子设备,如图5所示,所述电子设备,包括:
存储器501,用于存储处理器所执行的指令;
处理器502,用于执行所述存储器501中存储的指令执行实施例一所述的方法。
实施例四
本申请提供一种计算机存储介质,所述计算机存储介质存储有计算机指令,当所述计算机指令在计算机上运行时,使得计算机执行实施例一所述的方法。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (10)
1.一种ACL访问控制策略的分析方法,其特征在于,包括:
确定ACL访问控制策略中每个规则包括的条件项和动作项,将所述每个规则中所述条件项组合成第一子集合,其中,所述每个规则至少包括一个所述条件项,所述条件项用于指示数据包的一个属性参数的范围,所述动作项用于指示是否允许满足所述规则中所述条件项的数据包通过;
根据所述动作项将所述ACL访问控制策略中的规则分为允许规则和不允许规则;
将所述允许规则对应的所述第一子集合进行合并处理,得到允许数据包通过的第一集合,将所述不允许规则对应的所述第一子集合进行合并处理,得到不允许数据包通过的第二集合;
判断所述第一集合与所述第二集合是否存在交集;
若不存在,则确定所述ACL访问控制策略不冲突。
2.如权利要求1所述的方法,其特征在于,将所述每个规则中所述条件项组合成第一子集合,包括:
将同一规则中的每个所述条件项对应的所述参数的范围以第二子集合的形式表示;
将所述同一规则中所有所述条件项对应的所述第二子集合组合成所述规则对应的所述第一子集合。
3.如权利要求1或2所述的方法,其特征在于,确定所述ACL访问控制策略不冲突之后,还包括:
确定预设的数据包的第一流通方向中允许数据包流入的第一端口,以及所述第一端口对应的所述第一集合和除所述第一端口之外的其他各个端口对应的所述第二集合;
将除所述第一端口之外的所有的端口对应的所述第二集合进行合并处理,得到第三集合;
判断所述第一端口对应的所述第一集合和所述第三集合是否存在交集;
若不存在,则确定所述第一端口对应的所述ACL访问控制策略与除所述第一端口之外的其他端口对应的所述ACL访问控制策略不冲突。
4.如权利要求1或2所述的方法,其特征在于,确定所述ACL访问控制策略不冲突之后,还包括:
在电子设备A和电子设备B连接的情况下,确定预设的数据包的第二流通方向中所述电子设备A中允许数据包流出的第二端口和所述电子设备B中允许流入数据包的第三端口;
确定所述第二端口对应的所述第一集合和所述第三端口对应的所述第二集合;
判断所述第二端口对应的所述第一集合与所述第三端口对应的所述第二集合是否存在交集;
若不存在,则确定所述第二端口对应的所述ACL访问控制策略与所述第三端口对应的所述ACL访问控制策略不冲突。
5.一种ACL访问控制策略的分析装置,其特征在于,包括:
组合单元,用于确定ACL访问控制策略中每个规则包括的条件项和动作项,将所述每个规则中所有所述条件项组合成第一子集合,其中,所述每个规则至少包括一个所述条件项,所述条件项用于指示数据包的一个属性参数的范围,所述动作项用于指示是否允许满足所述规则中所有所述条件项的数据包通过;
划分单元,用于根据所述动作项将所述ACL访问控制策略中的规则分为允许规则和不允许规则;
合并单元,用于将所有所述允许规则对应的所述第一子集合进行合并处理,得到允许数据包通过的第一集合,将所述不允许规则对应的所述第一子集合进行合并处理,得到不允许数据包通过的第二集合;
判断单元,用于判断所述第一集合与所述第二集合是否存交集;
确定单元,用于若不存在交集,则确定所述ACL访问控制策略不冲突。
6.如权利要求5所述的装置,其特征在于,所述组合单元具体用于:
将同一规则中的每个所述条件项对应的所述参数的范围以第二子集合的形式表示;
将所述同一规则中所有所述条件项对应的所述第二子集合组合成所述规则对应的所述第一子集合。
7.如权利要求5或6所述的装置,其特征在于,
所述确定单元,还用于确定预设的数据包的第一流通方向中允许数据包流入的第一端口,以及所述第一端口对应的所述第一集合和除所述第一端口之外的其他各个端口对应的所述第二集合;
所述合并单元,还用于将除所述第一端口之外的所有的端口对应的所述第二集合进行合并处理,得到第三集合;
所述判断单元,还用于判断所述第一端口对应的所述第一集合与所述第三集合是否存在交集;
所述确定单元,还用于若不存在交集,则确定所述第一端口对应的所述ACL访问控制策略与除所述第一端口之外的其他端口对应的所述ACL访问控制策略不冲突。
8.如权利要求5或6所述的装置,其特征在于,
所述确定单元,还用于在电子设备A和电子设备B连接的情况下,确定预设的数据包的第二流通方向中所述电子设备A中允许数据包流出的第二端口和所述电子设备B中允许流入数据包的第三端口,以及确定所述第二端口对应的所述第一集合和所述第三端口对应的所述第二集合;
所述判断单元,还用于判断所述第二端口对应的所述第一集合与所述第三端口对应的所述第二集合是否存在交集;
所述确定单元,还用于若不存在交集,则确定所述第二端口对应的所述ACL访问控制策略与所述第三端口对应的所述ACL访问控制策略不冲突。
9.一种电子设备,其特征在于,包括:
存储器,用于存储处理器所执行的指令;
处理器,用于执行所述存储器中存储的指令执行权利要求1-4中任一项所述的方法。
10.一种计算机存储介质,其特征在于,所述计算机存储介质存储有计算机指令,当所述计算机指令在计算机上运行时,使得计算机执行权利要求1-4中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811291108.5A CN109302409A (zh) | 2018-10-31 | 2018-10-31 | Acl访问控制策略的分析方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811291108.5A CN109302409A (zh) | 2018-10-31 | 2018-10-31 | Acl访问控制策略的分析方法、装置、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109302409A true CN109302409A (zh) | 2019-02-01 |
Family
ID=65146132
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811291108.5A Pending CN109302409A (zh) | 2018-10-31 | 2018-10-31 | Acl访问控制策略的分析方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109302409A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113328973A (zh) * | 2020-02-28 | 2021-08-31 | 华为技术有限公司 | 一种检测访问控制列表acl规则无效的方法和装置 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101459576A (zh) * | 2007-12-14 | 2009-06-17 | 上海博达数据通信有限公司 | 一种ip acl归并优化处理的实现方法 |
| CN101582900A (zh) * | 2009-06-24 | 2009-11-18 | 成都市华为赛门铁克科技有限公司 | 防火墙安全策略配置方法及管理装置 |
| CN103905407A (zh) * | 2012-12-28 | 2014-07-02 | 中国移动通信集团公司 | 一种防火墙访问控制策略的分析方法及装置 |
| CN104104615A (zh) * | 2014-07-21 | 2014-10-15 | 华为技术有限公司 | 策略冲突解决方法以及装置 |
| CN106453387A (zh) * | 2016-07-28 | 2017-02-22 | 电子科技大学 | 基于Hicuts算法的安全策略冲突检测及消除方法 |
| US20170346857A1 (en) * | 2012-05-22 | 2017-11-30 | Sri International | Security mediation for dynamically programmable network |
| CN107645502A (zh) * | 2017-09-20 | 2018-01-30 | 新华三信息安全技术有限公司 | 一种报文检测方法及装置 |
-
2018
- 2018-10-31 CN CN201811291108.5A patent/CN109302409A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101459576A (zh) * | 2007-12-14 | 2009-06-17 | 上海博达数据通信有限公司 | 一种ip acl归并优化处理的实现方法 |
| CN101582900A (zh) * | 2009-06-24 | 2009-11-18 | 成都市华为赛门铁克科技有限公司 | 防火墙安全策略配置方法及管理装置 |
| US20170346857A1 (en) * | 2012-05-22 | 2017-11-30 | Sri International | Security mediation for dynamically programmable network |
| CN103905407A (zh) * | 2012-12-28 | 2014-07-02 | 中国移动通信集团公司 | 一种防火墙访问控制策略的分析方法及装置 |
| CN104104615A (zh) * | 2014-07-21 | 2014-10-15 | 华为技术有限公司 | 策略冲突解决方法以及装置 |
| CN106453387A (zh) * | 2016-07-28 | 2017-02-22 | 电子科技大学 | 基于Hicuts算法的安全策略冲突检测及消除方法 |
| CN107645502A (zh) * | 2017-09-20 | 2018-01-30 | 新华三信息安全技术有限公司 | 一种报文检测方法及装置 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113328973A (zh) * | 2020-02-28 | 2021-08-31 | 华为技术有限公司 | 一种检测访问控制列表acl规则无效的方法和装置 |
| US11503032B2 (en) | 2020-02-28 | 2022-11-15 | Huawei Technologies Co., Ltd. | Method and apparatus for detecting invalidity of access control list ACL rule |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102017756B1 (ko) | 이상행위 탐지 장치 및 방법 | |
| CN105224606B (zh) | 一种用户标识的处理方法及装置 | |
| CN116506217B (zh) | 业务数据流安全风险的分析方法、系统、存储介质及终端 | |
| CN103870751A (zh) | 入侵检测方法及系统 | |
| KR20090087122A (ko) | 평판-기반 권한부여 결정 | |
| CN106529283B (zh) | 一种面向软件定义网络的控制器安全性定量分析方法 | |
| US20180054397A1 (en) | Filtration of Network Traffic Using Virtually-Extended Ternary Content-Addressable Memory (TCAM) | |
| CN108769070A (zh) | 一种越权漏洞检测方法及装置 | |
| CN106027520A (zh) | 一种检测处理盗取网站帐号的方法及装置 | |
| CN109344611A (zh) | 应用的访问控制方法、终端设备及介质 | |
| US20200186429A1 (en) | Determining violation of a network invariant | |
| CN108200032A (zh) | 一种数据检测方法、装置及电子设备 | |
| CN111414402A (zh) | 一种日志威胁分析规则生成方法及装置 | |
| CN108830470A (zh) | 一种账号处理的方法及装置 | |
| CN106210129A (zh) | 一种基于Web服务器配置的限流方法及系统 | |
| CN109873790A (zh) | 网络安全检测方法、装置以及计算机可读存储介质 | |
| CN109324959A (zh) | 一种自动转移数据的方法、服务器及计算机可读存储介质 | |
| CN103279414A (zh) | 一种适用于Xen虚拟化平台的隐蔽通道检测方法 | |
| CN103780592B (zh) | 一种用户账号被盗确定方法及装置 | |
| CN109302409A (zh) | Acl访问控制策略的分析方法、装置、设备及存储介质 | |
| CN106257482B (zh) | 数据分析结果的管控放置 | |
| Al-Ahmad et al. | Fuzz test case generation for penetration testing in mobile cloud computing applications | |
| CN105989276B (zh) | Rbac权限体系中的角色优化方法和装置 | |
| CN106411860B (zh) | 一种网络互连协议ip检测的方法及装置 | |
| Smrithy et al. | A statistical technique for online anomaly detection for big data streams in cloud collaborative environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190201 |