CN111935182A - 一种网络设备的防火墙策略检查方法、装置及存储介质 - Google Patents
一种网络设备的防火墙策略检查方法、装置及存储介质 Download PDFInfo
- Publication number
- CN111935182A CN111935182A CN202011024326.XA CN202011024326A CN111935182A CN 111935182 A CN111935182 A CN 111935182A CN 202011024326 A CN202011024326 A CN 202011024326A CN 111935182 A CN111935182 A CN 111935182A
- Authority
- CN
- China
- Prior art keywords
- quintuple
- policy
- strategy
- tuple
- domain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种网络设备的防火墙策略检查方法、装置及计算机可读存储介质,所述网络设备的防火墙策略检查方法方法包括以下步骤:将策略五元组转换为数字格式并定义七元组变量,跳过过期策略、空策略、禁用策略、默认策略及已隐藏策略;在策略五元组是第一个策略情况下,将源域、目的域作为键值,根据所述键值与策略五元组,确定七元组变量的内容;在策略列表不为空情况下,根据七元组变量的内容获取每个键值对应的五元组集合;根据当前待检查策略五元组是否为最大范围以及当前待检查策略五元组与五元组集合取交集、取剩集操作后是否有剩集,确定当前待检查策略五元组是否为隐藏策略。本发明所述方法,提高了隐藏策略的检查效率。
Description
技术领域
本发明涉及网络设备防火墙技术领域,尤其涉及一种网络设备的防火墙策略检查方法、装置及计算机可读存储介质。
背景技术
防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。
企业网络规模大,对安全要求比较高;安全设备及交换设备非常多,设备规模庞大从几百上千甚至万台设备,防火墙策略日积月累,影响运行效率,管理维护成本逐年增高;防火墙上的无效策略、宽松策略越来越多,增大了安全风险,扩大了业务资产暴露面;检查出各种类的无效策略,然后针对无效策略给出处置建议,隐藏策略作为无效策略的关键值一种,对其检查于减小安全风险具有重要意义;现有技术中隐藏策略检查效率较低。
发明内容
有鉴于此,有必要提供一种网络设备的防火墙策略检查方法、装置及计算机可读存储介质,用以解决现有技术中对隐藏策略检查效率较低的问题。
本发明提供一种网络设备的防火墙策略检查方法,包括以下步骤:
将策略五元组转换为数字格式并定义七元组变量,跳过过期策略、空策略、禁用策略、默认策略及已隐藏策略;
在策略五元组是第一个策略情况下,将源域、目的域作为键值,根据所述键值与策略五元组,确定七元组变量的内容;
在策略列表不为空情况下,根据七元组变量的内容获取每个键值对应的五元组集合;
根据当前待检查策略五元组是否为最大范围以及当前待检查策略五元组与五元组集合取交集、取剩集操作后是否有剩集,确定当前待检查策略五元组是否为隐藏策略。
进一步地,所述网络设备的防火墙策略检查方法还包括,对于单域策略或多域未交叉策略,若所述策略五元组是第一个策略,则跳过对该策略五元组的检查,将策略五元组按最小原子拆成对象,将策略源、目的域组合成对象作为键值,将按最小原子拆成的对象与键值分别作对象值、键值存储到七元组变量中。
进一步地,所述网络设备的防火墙策略检查方法还包括,若策略列表为空,则跳过对该策略五元组的检查,将策略五元组添加到七元组。
进一步地,所述网络设备的防火墙策略检查方法还包括,对于多域交叉策略,若所述策略五元组是第一个策略,则跳过对该策略五元组的检查,将源域和目的域进行拆分后,与五元组组合成唯一七元组。
进一步地,在策略列表不为空情况下,根据七元组变量的内容获取每个键值对应的五元组集合,具体包括,对于多域交叉策略,在策略列表不为空情况下,判断策略域大小和域匹配的五元组集合的大小是否一致,若否,则跳过策略检测,若是,根据七元组变量的内容获取每个键值对应的五元组集合。
进一步地,对于单域策略或多域未交叉策略,根据当前待检查策略五元组是否为最大范围以及当前待检查策略五元组与五元组集合取交集、取剩集操作后是否有剩集,确定当前待检查策略五元组是否为隐藏策略,具体包括,若当前待检查策略五元组是最大范围,则判断五元组集合是否为最大范围,若五元组集合不是最大范围,则将五元组集合清空,添加最大范围进去,若五元组集合为最大范围,则当前待检查策略五元组是隐藏策略;若当前策略的五元组不是最大范围,将当前策略五元组与五元组集合进行取交、取剩操作,判断是否有剩集,若没有,则当前策略五元组为隐藏策略。
进一步地,对于多域交叉策略,根据当前待检查策略五元组是否为最大范围以及当前待检查策略五元组与五元组集合取交集、取剩集操作后是否有剩集,确定当前待检查策略五元组是否为隐藏策略,具体包括,若当前策略五元组是最大范围,判断五元组集合中是否是最大范围,若五元组集合中是最大范围,则当前待检查策略是隐藏策略;若当前待检查策略五元组不是最大范围,将当前待检查策略五元组与五元组集合进行取交,取剩操作,判断是否存在剩集,若否,则当前待检查策略五元组为隐藏策略。
进一步地,所述网络设备的防火墙策略检查方法,还包括,对于多域交叉策略,若策略五元组对应的隐藏标识位大小与域大小相等,该策略五元组为隐藏策略。
本发明还提供一种网络设备的防火墙策略检查装置,包括处理器以及存储器,所述存储器上存储有计算机程序,所述计算机程序被所述处理器执行时,实现如上述任一技术方案所述的网络设备的防火墙策略检查方法。
本发明还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机该程序被处理器执行时,实现如上述任一技术方案所述的网络设备的防火墙策略检查方法。
与现有技术相比,本发明的有益效果包括:通过将策略五元组转换为数字格式并定义七元组变量,跳过过期策略、空策略、禁用策略、默认策略及已隐藏策略;在策略五元组是第一个策略情况下,将源域、目的域作为键值,根据所述键值与策略五元组,确定七元组变量的内容;在策略列表不为空情况下,根据七元组变量的内容获取每个键值对应的五元组集合;根据当前待检查策略五元组是否为最大范围以及当前待检查策略五元组与五元组集合取交集、取剩集操作后是否有剩集,确定当前待检查策略五元组是否为隐藏策略;提高了隐藏策略的检查效率。
附图说明
图1为本发明提供的网络设备的防火墙策略检查方法的流程示意图;
图2为本发明提供的策略数据;
图3为本发明提供的隐藏策略的可视化图。
具体实施方式
下面结合附图来具体描述本发明的优选实施例,其中,附图构成本申请一部分,并与本发明的实施例一起用于阐释本发明的原理,并非用于限定本发明的范围。
实施例1
本发明实施例提供了一种网络设备的防火墙策略检查方法,所述方法的流程示意图,如图1所示,其包括以下步骤:
S1、将策略五元组转换为数字格式并定义七元组变量,跳过过期策略、空策略、禁用策略、默认策略及已隐藏策略;
S2、在策略五元组是第一个策略情况下,将源域、目的域作为键值,根据所述键值与策略五元组,确定七元组变量的内容;
S3、在策略列表不为空情况下,根据七元组变量的内容获取每个键值对应的五元组集合;
S4、根据当前待检查策略五元组是否为最大范围以及当前待检查策略五元组与五元组集合取交集、取剩集操作后是否有剩集,确定当前待检查策略五元组是否为隐藏策略。
需要说明的是,所述五元组为源地址、目的地址、协议、源端口、目的端口,五个元素组成的组合;七元组为源域、目的域、源地址、目的地址、协议、源端口、目的端口,七个元素组成的组合;七元组变量map为键值对(key = value)集合,每个key(键值)对应着相应的对象值(value),通过键值能得到相应的对象值value;trafficList为策略格式化后转换成数字范围格式的集合交集为取两个集合的公共部分;并集为取两个集合所有的元素;
剩集为两个集合所有元素减去其中一个集合;无效策略为策略在防火墙配置中是不起作用的策略,使废弃的,是垃圾数据,被其他策略隐藏或冗余了;生效策略为对防火墙起作用的策略,七元组范围包含或等于其他优先级的策略,数据流永远命中生效策略;
一个具体实施例中,将待检查策略数据格式化,包括,安全策略、acl策略格式化,将源IP、目的IP、服务、源端口、目的端口五元组转换成数字范围格式,并以服务为最小颗粒度拆分,组合成五元组集合(trafficList);源nat格式化,将转换前源IP、转换前目的IP、转换前服务、源端口、目的端口五元组转换成数字范围格式,以服务为最小颗粒拆分,组合成nat转换前的五元组集合(preTrafficList);目的nat格式化,将转换后源IP、转换后目的IP、转换后服务、源端口、目的端口五元组转换成数字范围格式,以服务为最小颗粒拆分,组合成nat转换后的五元组集合(postTrafficList);
五元组转数字范围为五元组中直接配置IP地址,可根据位移、加权算法,将字符格式的IP地址转换为数字格式;若非直接配置,而是引用地址对象或地址组对象,则需要先查询地址或地址组对象的内容,得到详细IP地址,再进行转换;同理,服务若引用了服务对象或服务组对象,需要先查询得到详细协议、端口号之后,再进行转换;
优选的,所述网络设备的防火墙策略检查方法还包括,对于单域策略或多域未交叉策略,若所述策略五元组是第一个策略,则跳过对该策略五元组的检查,将策略五元组按最小原子拆成对象,将策略源、目的域组合成对象作为键值,将按最小原子拆成的对象与键值分别作对象值、键值存储到七元组变量中;
需要说明的是,策略都有域,没有的都默认为any(最大范围),将源域+目的域组合形成字符串,作为key(键值),通过策略的类型,将格式化后的五元组(trafficList /preTraffic / postTraffic)作为value;将策略按行号,升序排序;并开始循环,若策略是已过期、空策略、默认策略、状态是禁用的,则跳过;
将当前策略的七元组,生成key-value,一条策略可以包含多个源域、目的域,将其组合成[源域1,源域2,源域3…],[目的域1,目的域2…]的格式,作为唯一key;而策略格式化后的五元组(trafficList)作为value,表示该域的访问范围,其作用为唯一标识出域对应的五元组信息;
优选的,所述网络设备的防火墙策略检查方法还包括,若策略列表为空,则跳过对该策略五元组的检查,将策略五元组添加到七元组;
优选的,所述网络设备的防火墙策略检查方法还包括,对于多域交叉策略,若所述策略五元组是第一个策略,则跳过对该策略五元组的检查,将源域和目的域进行拆分后,与五元组组合成唯一七元组;
一个具体实施例中,根据key从七元组map中,获取包含或等于该key的元素集合,在已生成了策略唯一key 和对应的value,将该key去七元组map中进行匹配,若没匹配上,则表示该域是第一次出现,无需进行其他业务判断,将key和value放到七元组map中存储,以备后续使用;若匹配到了key,则将对应的value取出,将key和value组合出的七元组集合定义为containKeyList,则表示在此行配置之前,已有该域的信息,且是包含或等于的,需要循环五元组判定是否隐藏;
优选的,在策略列表不为空情况下,根据七元组变量的内容获取每个键值对应的五元组集合,具体包括,对于多域交叉策略,在策略列表不为空情况下,判断策略域大小和域匹配的五元组集合的大小是否一致,若否,则跳过策略检测,若是,根据七元组变量的内容获取每个键值对应的五元组集合;
优选的,对于单域策略或多域未交叉策略,根据当前待检查策略五元组是否为最大范围以及当前待检查策略五元组与五元组集合取交集、取剩集操作后是否有剩集,确定当前待检查策略五元组是否为隐藏策略,具体包括,若当前待检查策略五元组是最大范围,则判断五元组集合是否为最大范围,若五元组集合不是最大范围,则将五元组集合清空,添加最大范围进去,若五元组集合为最大范围,则当前待检查策略五元组是隐藏策略;若当前策略的五元组不是最大范围,将当前策略五元组与五元组集合进行取交、取剩操作,判断是否有剩集,若没有,则当前策略五元组为隐藏策略;
一个具体实施例中,循环containKeyList,进行取交取剩操作,不停拿剩集判断,判断是否被隐藏;若当前策略的五元组都是any,则判断containKeyList 中,是否存在都是any的五元组,存在则表示当前策略是隐藏策略,记录当前编号,执行“隐藏策略具体是被谁隐藏”的逻辑判断;若当前五元组是非any,则将当前策略的value与containKeyList 中的value进行取交取剩操作;判断是否有剩集,有则表示非包含,再拿剩集继续匹配下一个;若没有剩集,表示是包含关系,是隐藏策略,记录编号,执行“隐藏策略具体是被谁隐藏”的逻辑判断;
另一个具体实施例中,五元组取交取剩,先判断两个五元组之间是否存在交集,在已经获得格式化成数字范围格式后的五元组的基础上,去判断两个五元组元素之间的数字范围是否有重叠部分,两个五元组的五个元素都有重叠,即有关联,存在交集;存在交集,则分别取五元组每个元素数字范围重叠的部分为交集部分,未重叠的部分为剩余部分,然后每个元素的剩余部分与五元组中其它四元组组合即为剩余的五元组,每个元素重叠的部分组合即为交集的部分;不存在交集,则无交集部分,整个五元组都是剩余部分;
对于如何判断两个数字范围是否重叠,假设区间表示为[start,end],现存在两个区间A,B;两个区间的关系有两种,即重叠与不重叠;重叠的情况有4种,两种相交,两种包含(完全相等也是包含的一种),如(A:1-5,B:3-8),(A:3-8,B:1-5),(A:1-10,B:3-8),(A:3-8,B:1-10);不重叠有两种情况,A在B前面,A在B后面,如(A:1-5,B:7-9),(A:7-9,B:1-5);因此很容易得到判断区间重叠的方法,正向判断,列出四种重叠的情况,满足其一,则重叠;逆向判断,列出两种不重叠的情况,如果满足其一,则重叠;两种判断方式任选其一即可;
优选的,对于多域交叉策略,根据当前待检查策略五元组是否为最大范围以及当前待检查策略五元组与五元组集合取交集、取剩集操作后是否有剩集,确定当前待检查策略五元组是否为隐藏策略,具体包括,若当前策略五元组是最大范围,判断五元组集合中是否是最大范围,若五元组集合中是最大范围,则当前待检查策略是隐藏策略;若当前待检查策略五元组不是最大范围,将当前待检查策略五元组与五元组集合进行取交,取剩操作,判断是否存在剩集,若否,则当前待检查策略五元组为隐藏策略;
优选的,所述网络设备的防火墙策略检查方法,还包括,对于多域交叉策略,若策略五元组对应的隐藏标识位大小与域大小相等,该策略五元组为隐藏策略。
需要说明的是,对于已识别出了隐藏策略,记录了编号,且策略是升序的,则隐藏策略必定是被编号之前数据隐藏;回溯编号之前的所有策略,有交集的,即是生效策略;
结束containKeyList循环,如果非隐藏的,则判定是新添加还是覆盖非隐藏的,判断七元组map中key,是否有完全等于当前策略key,有则把当前策略的value追加到七元组map;没有,则将当前策略的key和value添加到七元组map中。
实施例2
本发明实施例也提供了一种网络设备的防火墙策略检查方法,对于单域策略或多域未交叉策略,有如下步骤:
S11、将策略五元组,转换为数字格式,定义七元组变量,具体为定义七元组变量map,key=源域+目的域,value=同源、目的域的五元组集合,定义隐藏策略uui及集合;
S12、开始循环策略;
S13、跳过过期、空、禁用、默认策略及已隐藏策略;
S14、判断策略五元组是否是第一个策略,若是,将策略的五元组,按最小原子拆成对象(traffic集合),将策略源、目的域组合成对象,作为key,将对象与key作为value、key存储到七元组map中,若否,则执行步骤S15;
S15、将源域、目的域作为key,得到七元组中所有包括或等于该key的containKeyList;判断containKeyList是否为空,若是,则说明第一次出现该域,将该策略添加到七元组,否则,执行S16;
S16、定义fullMap,存储待覆盖的七元组信息,遍历containKeyList,得到每个key对应的五元组集合uList;
S17、判断当前策略的五元组是否为any,若是,则判断五元组集合ulist是否有any,若没有,则将uList清空,添加any进去,若域相等,则将该集合添加到fullMap,若ulist有any,则策略同域,且五元组都是any,策略是隐藏策略,dataHiddenFlag=true,若当前策略的五元组不是any,则将当前策略的五元组与uList进行取交、取剩操作,并执行S18;
S18、判断是否有剩集,若没有,则当前策略为隐藏,记录当前策略下标索引index,并将uuid放到set中,dataHiddenFlag=true,结束流程,若有剩集,则将剩的部分添加到交集uList,若域相等,则将该集合添加到fullMap,将当前策略的五元组置为剩集(剩集只会越来越小或等于五元组,重新执行S17);
结束流程后,dataHiddenFlag=false,则表示非隐藏策略,若fullMap中有值,则表示有域相等,五元组不包括的情况,覆盖到七元组中;
对于多域交叉策略,有如下步骤:
S21、将策略五元组,转换为数字格式,定义七元组变量,具体为定义七元组变量map,key=源域+目的域,value=同源、目的域的五元组集合,定义隐藏策略uui及集合;
S22、开始循环策略;
S23、跳过过期、空、禁用、默认策略及已隐藏策略;
S24、判断策略五元组是否是第一个策略,若是,则将源域和目的域进行笛卡尔积拆分后,与五元组组合成唯一七元组,若否,则步执行骤S25;
S25、将源域与目的域作为key,得到七元组中所有等于该key的七元组信息uList;
S26、判断策略list是否为空,若是则说明第一次出现该域,将该策略信息添加到七元组中,执行S23,否则执行S27;
S27、判断策略域(笛卡尔积拆分后的)大小和域匹配的UList的大小是否一致,若否,则说明部分域是第一次出现,直接跳过匹配,将该策略信息添加至七元组中,执行S3步骤,若是,则定义隐藏标识位,遍历当前策略域;
S28、判断当前策略的五元组是否是any,若是,则判断uList中是否有any,若是则,表示同域,且五元组都是any,策略五元组是隐藏策略,使隐藏标识位加1,否则将当前策略的五元组与uList进行取交,取剩操作;
S29、判断是否存在剩集,若否,则使当前策略为隐藏,隐藏标识位加1,若是,取当前策略的下一个域,执行S28,
S30、若隐藏标识位大小与域大小相等,表示所有域、五元组都包含,该策略为隐藏策略,调用公共方法识别具体被隐藏的策略;
另一个具体实施例中,通过采集设备的配置文件,得到策略数据,如图2所示;
将每条策略五元组,转换成数字格式,IP通过位移、加权算法转,服务根据协议号、目的端口转换,图2转换后结果,如表1所示;
表1
| 名称 | 源IP | 目的IP | 协议 | 源端口 | 服务端口 |
| hws13 | 3232294942- 3232294947 | 3232241931- 3232241935 | 6-6 | 10-15 | |
| hwL13 | 3232294938-3232294941 | 3232241931-3232241935 | 6-6 | 6-15 | |
| hws1 | 3232294923-3232294927 | 3232241931-3232241935 | 6-6 | 10-15 | |
| hws2 | 3232294943- 3232294947 | 3232241931- 3232241935 | 6-6 | 10-15 |
表1的数据中,目的IP、协议、端口都一样,仅源IP不同;
定义七元组map,在后续步骤中,用来存储策略七元组信息;按行号优先级升序排序后,开始循环遍历;
第一次,取到名称为hws13策略,得到相应的五元组数据;判断编号,是第一个策略,则跳过判断,将该策略源域、目的域、五元组存到七元组中;
第二次,取到名称为hwL13策略,将该策略的源域、目的域作为key取七元组中所有包含或等于该key的value组信息,此时取到了hws13的五元组数据;对hwL13、hws13这2条策略的五元组数据进行取交取剩操作,发现有剩集,即2条策略不完全包含或等于,存在异同数据;有剩集了,且2条策略域相同,将hwL13的五元组追加到七元组value中;
第三次,取到名称为hws1的策略;判断同上述步骤;
第四次,取到名称为hws2的策略,从七元组中取到所有包含或等于该key的value组(前面步骤有追加操作,value可能会有多个,称之为一组数据),进行循环;循环value组,将每个value与hws2的五元组进行取交取剩判断,得到结果,即hws13隐藏了hws2,即在其他业务中,会永远命中hws13, hws2是不起作用的;
将当前策略与编号位之前的所有策略进行取交取剩,有剩集,则表示非隐藏,若发现无剩集,则使隐藏的,停止当前循环;
以上实施描述了隐藏策略检查,即根据七元组信息,忽略动作的不同,通过“取交取剩”的方式,快速识别出高优先级策略是否包含或等于低优先级,针对结果进行具体的元组标识;对于冗余策略检查,其与隐藏策略检查相反,低优先级策略的命中条件包含或等于高优先级策略的命中条件,且动作相同;针对上述检查结果,会给出“处置建议脚本”,可根据建议修复这些无效策略,也可以对策略进行适当的调整或备注,说明原因;隐藏策略的可视化图,如图3所示。
实施例3
本发明实施例提供了一种网络设备的防火墙策略检查装置,包括处理器以及存储器,所述存储器上存储有计算机程序,所述计算机程序被所述处理器执行时,实现如上述任一实施例所述的网络设备的防火墙策略检查方法。
实施例4
本发明实施例提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机该程序被处理器执行时,实现如上述任一实施例所述的网络设备的防火墙策略检查方法。
本发明公开了一种网络设备的防火墙策略检查方法、装置及计算机可读存储介质;通过将策略五元组转换为数字格式并定义七元组变量,跳过过期策略、空策略、禁用策略、默认策略及已隐藏策略;在策略五元组是否是第一个策略情况下,将源域、目的域作为键值,根据所述键值与策略五元组,确定七元组变量的内容;在策略列表不为空情况下,根据七元组变量的内容获取每个键值对应的五元组集合;根据当前待检查策略五元组是否为最大范围以及当前待检查策略五元组与五元组集合取交集、取剩集操作后是否有剩集,确定当前待检查策略五元组是否为隐藏策略;提高了隐藏策略的检查效率;
通过本发明技术方案,把所有设备防火墙配置采集回来,识别出各种类的无效策略(隐藏、冗余),针对无效策略给出处置建议,结合可视化页面和报告,完美的给用户呈现,以此来发现问题、定位问题、解决问题,持续助力安全合规。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。
Claims (10)
1.一种网络设备的防火墙策略检查方法,其特征在于,包括以下步骤:
将策略五元组转换为数字格式并定义七元组变量,跳过过期策略、空策略、禁用策略、默认策略及已隐藏策略;
在策略五元组是第一个策略情况下,将源域、目的域作为键值,根据所述键值与策略五元组,确定七元组变量的内容;
在策略列表不为空情况下,根据七元组变量的内容获取每个键值对应的五元组集合;
根据当前待检查策略五元组是否为最大范围以及当前待检查策略五元组与五元组集合取交集、取剩集操作后是否有剩集,确定当前待检查策略五元组是否为隐藏策略。
2.根据权利要求1所述的网络设备的防火墙策略检查方法,其特征在于,还包括,对于单域策略或多域未交叉策略,若所述策略五元组是第一个策略,则跳过对该策略五元组的检查,将策略五元组按最小原子拆成对象,将策略源、目的域组合成对象作为键值,将按最小原子拆成的对象与键值分别作对象值、键值存储到七元组变量中。
3.根据权利要求1所述的网络设备的防火墙策略检查方法,其特征在于,还包括,若策略列表为空,则跳过对该策略五元组的检查,将策略五元组添加到七元组。
4.根据权利要求1所述的网络设备的防火墙策略检查方法,其特征在于,其特征在于,还包括,对于多域交叉策略,若所述策略五元组是第一个策略,则跳过对该策略五元组的检查,将源域和目的域进行拆分后,与五元组组合成唯一七元组。
5.根据权利要求1所述的网络设备的防火墙策略检查方法,其特征在于,在策略列表不为空情况下,根据七元组变量的内容获取每个键值对应的五元组集合,具体包括,对于多域交叉策略,在策略列表不为空情况下,判断策略域大小和域匹配的五元组集合的大小是否一致,若否,则跳过策略检测,若是,根据七元组变量的内容获取每个键值对应的五元组集合。
6.根据权利要求1所述的网络设备的防火墙策略检查方法,其特征在于,其特征在于,对于单域策略或多域未交叉策略,根据当前待检查策略五元组是否为最大范围以及当前待检查策略五元组与五元组集合取交集、取剩集操作后是否有剩集,确定当前待检查策略五元组是否为隐藏策略,具体包括,若当前待检查策略五元组是最大范围,则判断五元组集合是否为最大范围,若五元组集合不是最大范围,则将五元组集合清空,添加最大范围进去,若五元组集合为最大范围,则当前待检查策略五元组是隐藏策略;若当前策略的五元组不是最大范围,将当前策略五元组与五元组集合进行取交、取剩操作,判断是否有剩集,若没有,则当前策略五元组为隐藏策略。
7.根据权利要求1所述的网络设备的防火墙策略检查方法,其特征在于,对于多域交叉策略,根据当前待检查策略五元组是否为最大范围以及当前待检查策略五元组与五元组集合取交集、取剩集操作后是否有剩集,确定当前待检查策略五元组是否为隐藏策略,具体包括,若当前策略五元组是最大范围,判断五元组集合中是否是最大范围,若五元组集合中是最大范围,则当前待检查策略是隐藏策略;若当前待检查策略五元组不是最大范围,将当前待检查策略五元组与五元组集合进行取交,取剩操作,判断是否存在剩集,若否,则当前待检查策略五元组为隐藏策略。
8.根据权利要求7所述的网络设备的防火墙策略检查方法,其特征在于,还包括,对于多域交叉策略,若策略五元组对应的隐藏标识位大小与域大小相等,该策略五元组为隐藏策略。
9.一种网络设备的防火墙策略检查装置,其特征在于,包括处理器以及存储器,所述存储器上存储有计算机程序,所述计算机程序被所述处理器执行时,实现如权利要求1-8任一所述的网络设备的防火墙策略检查方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机该程序被处理器执行时,实现如权利要求1-8任一所述的网络设备的防火墙策略检查方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011024326.XA CN111935182B (zh) | 2020-09-25 | 2020-09-25 | 一种网络设备的防火墙策略检查方法、装置及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011024326.XA CN111935182B (zh) | 2020-09-25 | 2020-09-25 | 一种网络设备的防火墙策略检查方法、装置及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111935182A true CN111935182A (zh) | 2020-11-13 |
| CN111935182B CN111935182B (zh) | 2021-01-15 |
Family
ID=73334782
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011024326.XA Active CN111935182B (zh) | 2020-09-25 | 2020-09-25 | 一种网络设备的防火墙策略检查方法、装置及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111935182B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114465809A (zh) * | 2022-03-04 | 2022-05-10 | 山东源鲁信息科技有限公司 | 一种安全策略粒度的计算方法 |
| US20220255930A1 (en) * | 2021-02-10 | 2022-08-11 | Ip Technology Labs, Llc | Systems and methods for automatic network virtualization between heterogeneous networks |
| CN116866000A (zh) * | 2023-06-08 | 2023-10-10 | 北京安博通科技股份有限公司 | 一种防火墙策略冗余关系的检测方法、装置以及处理设备 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104270384A (zh) * | 2014-10-20 | 2015-01-07 | 山石网科通信技术有限公司 | 防火墙策略冗余检测方法及装置 |
| CN105959331A (zh) * | 2016-07-19 | 2016-09-21 | 上海携程商务有限公司 | 防火墙策略的优化方法及装置 |
| US20180115470A1 (en) * | 2016-10-26 | 2018-04-26 | Arizona Board Of Regents On Behalf Of Arizona State University | Security policy analysis framework for distributed software defined networking (sdn) based cloud environments |
| CN109413019A (zh) * | 2018-04-28 | 2019-03-01 | 武汉思普崚技术有限公司 | 一种防火墙策略优化检查方法及装置 |
| CN109639743A (zh) * | 2018-12-13 | 2019-04-16 | 成都亚信网络安全产业技术研究院有限公司 | 一种防火墙策略检测方法及设备 |
| CN111490906A (zh) * | 2020-06-29 | 2020-08-04 | 武汉思普崚技术有限公司 | 一种网关设备策略的分析方法、装置及可读存储介质 |
| CN111641601A (zh) * | 2020-05-12 | 2020-09-08 | 中信银行股份有限公司 | 防火墙管理方法、装置、设备及存储介质 |
-
2020
- 2020-09-25 CN CN202011024326.XA patent/CN111935182B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104270384A (zh) * | 2014-10-20 | 2015-01-07 | 山石网科通信技术有限公司 | 防火墙策略冗余检测方法及装置 |
| CN105959331A (zh) * | 2016-07-19 | 2016-09-21 | 上海携程商务有限公司 | 防火墙策略的优化方法及装置 |
| US20180115470A1 (en) * | 2016-10-26 | 2018-04-26 | Arizona Board Of Regents On Behalf Of Arizona State University | Security policy analysis framework for distributed software defined networking (sdn) based cloud environments |
| CN109413019A (zh) * | 2018-04-28 | 2019-03-01 | 武汉思普崚技术有限公司 | 一种防火墙策略优化检查方法及装置 |
| CN109639743A (zh) * | 2018-12-13 | 2019-04-16 | 成都亚信网络安全产业技术研究院有限公司 | 一种防火墙策略检测方法及设备 |
| CN111641601A (zh) * | 2020-05-12 | 2020-09-08 | 中信银行股份有限公司 | 防火墙管理方法、装置、设备及存储介质 |
| CN111490906A (zh) * | 2020-06-29 | 2020-08-04 | 武汉思普崚技术有限公司 | 一种网关设备策略的分析方法、装置及可读存储介质 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220255930A1 (en) * | 2021-02-10 | 2022-08-11 | Ip Technology Labs, Llc | Systems and methods for automatic network virtualization between heterogeneous networks |
| US11799690B2 (en) * | 2021-02-10 | 2023-10-24 | Ip Technology Labs, Llc | Systems and methods for automatic network virtualization between heterogeneous networks |
| CN114465809A (zh) * | 2022-03-04 | 2022-05-10 | 山东源鲁信息科技有限公司 | 一种安全策略粒度的计算方法 |
| CN116866000A (zh) * | 2023-06-08 | 2023-10-10 | 北京安博通科技股份有限公司 | 一种防火墙策略冗余关系的检测方法、装置以及处理设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111935182B (zh) | 2021-01-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111935182B (zh) | 一种网络设备的防火墙策略检查方法、装置及存储介质 | |
| US10438016B2 (en) | Data processing systems for generating and populating a data inventory | |
| US20200042543A1 (en) | Data processing systems for generating and populating a data inventory | |
| US10025904B2 (en) | Systems and methods for managing a master patient index including duplicate record detection | |
| JP4222184B2 (ja) | セキュリティ管理支援システム、セキュリティ管理支援方法およびプログラム | |
| US7752312B1 (en) | Global view of service areas/local view of service needs | |
| CN108062202A (zh) | 一种文件分块存储方法及系统 | |
| CN105335855A (zh) | 一种交易风险识别方法及装置 | |
| DE202011111121U1 (de) | System zum Erfassen komplexer Schadsoftware | |
| CN109635276B (zh) | 一种信息匹配方法及终端 | |
| CN110019542B (zh) | 企业关系的生成、生成组织成员数据库及识别同名成员 | |
| WO2022134471A1 (zh) | 区块链节点的管理方法、装置、计算机设备和存储介质 | |
| CN111143430A (zh) | 一种担保数据挖掘的方法及系统 | |
| US20170278043A1 (en) | Task handling in a master data management system | |
| US20240232170A1 (en) | Merging and unmerging entity representations via resolver trees | |
| CN106934023A (zh) | 一种数据管理方法及装置 | |
| US11875234B2 (en) | Systems and/or methods for machine-learning based data correction and completion in sparse datasets | |
| US10282700B2 (en) | Data processing systems for generating and populating a data inventory | |
| CN111931234B (zh) | 一种数据访问控制方法及系统 | |
| AU2012334801A1 (en) | A method of analysing data | |
| CN104520821A (zh) | 动态目录控制 | |
| CN111026705B (zh) | 建筑工程文件管理方法、系统及终端设备 | |
| CN114124586A (zh) | 一种网络威胁检测方法及装置 | |
| KR101535807B1 (ko) | 하이브리드 규칙 추론 장치 및 그 방법 | |
| CN106649458A (zh) | 一种文件更新量检测方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230511 Address after: 100120 room c0310, building 6, No.3, Dongbinhe Road, Deshengmen, Xicheng District, Beijing Patentee after: BEIJING ABT NETWORKS CO.,LTD. Address before: 430070 room 01, 3rd floor, building 11, phase I, Guanggu power energy saving and environmental protection technology business incubator (accelerator), No. 308, Guanggu Avenue, Donghu New Technology Development Zone, Wuhan City, Hubei Province Patentee before: WUHAN SIPULING TECHNOLOGY Co.,Ltd. |