CN112291249B - 一种安全策略处理方法、装置、介质和设备 - Google Patents
一种安全策略处理方法、装置、介质和设备 Download PDFInfo
- Publication number
- CN112291249B CN112291249B CN202011196804.5A CN202011196804A CN112291249B CN 112291249 B CN112291249 B CN 112291249B CN 202011196804 A CN202011196804 A CN 202011196804A CN 112291249 B CN112291249 B CN 112291249B
- Authority
- CN
- China
- Prior art keywords
- bitmap
- security policy
- bitmaps
- bit
- configured security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/22—Indexing; Data structures therefor; Storage structures
- G06F16/2228—Indexing structures
- G06F16/2237—Vectors, bitmaps or matrices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2455—Query execution
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Computer Hardware Design (AREA)
- Data Mining & Analysis (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Computational Linguistics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种安全策略处理方法、装置、介质和设备。根据本发明实施例提供的方案,可以在接收到一条新配置的安全策略时,即进行一次优化校验,并可以利用当前配置的安全策略的五元组信息与每条已配置的安全策略的五元组信息逐一比对的方式,根据五元组信息比对结果以及安全策略对应的动作,确定对安全策略的优化校验结果。无需用户在防火墙设备上完成所有安全策略的配置之后,再批量地对各安全策略进行优化校验,且无需用户人为地进行安全策略优化,实现对安全策略的实时优化校验和自动优化,避免在短时间内消耗掉大量的系统内存,影响系统性能,甚至影响防火墙设备的安全功能,降低系统安全风险。
Description
技术领域
本发明涉及网络安全技术领域,特别涉及一种安全策略处理方法、装置、介质和设备。
背景技术
本部分旨在为权利要求书中陈述的本发明的实施方式提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。
防火墙的基本作用是保护特定网络免受不信任网络的攻击,但是同时需要允许两个网络之间可以进行合法的通信。防火墙的安全策略的作用就是对通过防火墙的数据流进行检验,使得符合安全策略的数据流可以通过防火墙,实现两个网络之间的合法通信。因此,在防火墙设备上,需要进行安全策略的配置。
在防火墙设备上配置多条不同的安全策略时,可能会出现两条或多条安全策略的交叉、包含或冲突等,因此,需要对防火墙设备上配置的安全策略进行优化校验,确定安全策略之间是否存在交叉、包含或冲突等,并根据优化校验结果进行安全策略优化。
安全策略优化可以包括安全策略合并、安全策略去重和安全策略去冲突等。对配置的安全策略进行优化可以消除安全策略之间的交叉或包含,减少安全策略条数,减少系统资源的占用。另外,对配置的安全策略进行优化还可以消除安全策略之间的冲突,避免防火墙设备不能确定应该执行哪个动作。
现有技术中,用户在防火墙设备上完成所有安全策略的配置之后,再批量地对各安全策略进行优化校验,并将优化校验结果呈现给用户。进一步的,用户可以依据优化校验结果,人为地进行安全策略优化。
在用户完成所有安全策略的配置之后,批量地对各安全策略进行优化校验,无法在每条安全策略配置时,实时地对安全策略进行优化校验,且会在短时间内消耗掉大量的系统内存,影响系统性能,并有可能影响防火墙设备的安全功能,使防火墙设备保护的内部网络面临安全风险。
另外,批量地进行安全策略优化校验,会产生大量重复和无效的结果记录,增加人为筛选和排查的工作量,费时费力,难以保证优化的准确性和有效性,可能会造成安全策略优化不当,不能按照预期生效,存在安全风险。
发明内容
本发明实施例提供一种安全策略处理方法、装置、介质和设备,用于解决无法实时地对安全策略进行优化校验,安全策略批量进行优化校验导致系统存在安全风险的问题。
第一方面,本发明提供了一种安全策略处理方法,所述方法包括:
接收配置的安全策略;
若接收到一条配置的安全策略,利用当前配置的安全策略的五元组信息与每条已配置的安全策略的五元组信息逐一比对,根据五元组信息比对结果以及安全策略对应的动作,确定对安全策略的优化校验结果。
可选的,利用当前配置的安全策略的五元组信息与每条已配置的安全策略的五元组信息逐一比对,根据五元组信息比对结果以及安全策略对应的动作,确定对安全策略的优化校验结果,包括:
利用当前配置的安全策略对应的位图表与每条已配置的安全策略对应的位图表逐一比对,根据位图表比对结果以及安全策略对应的动作,确定对安全策略的优化校验结果;
其中,一张位图表包括一条安全策略的五元组信息分别对应的五个位图区域,每个位图区域对应一张位图,一张位图中的每个比特表示该位图对应的五元组信息的一种报文特征。
可选的,利用当前配置的安全策略对应的位图表与每条已配置的安全策略对应的位图表逐一比对,根据位图表比对结果以及安全策略对应的动作,确定对安全策略的优化校验结果,包括:
确定所述当前配置的安全策略对应保存的第一位图表,并确定一条已配置的安全策略对应保存的第二位图表;
将所述第一位图表的五张位图分别与所述第二位图表对应的位图进行位与计算,分别确定所述第一位图表与所述第二位图表五张位图的重合度;
根据确定出的所述第一位图表与所述第二位图表五张位图的重合度、所述当前配置的安全策略所对应的动作以及所述已配置的安全策略所对应的动作,确定对安全策略的优化校验结果;
重复执行上述操作,直至针对所有已配置的安全策略对应保存的位图表,均执行完毕如上操作或者所述第一位图表被删除。
可选的,每个位图区域还对应一个偏移量指示信息和一个长度指示信息,其中,所述偏移量指示信息表示该位图区域对应的位图的真实起始索引位置,所述长度指示信息表示该位图区域对应的位图的有效连续比特数量;
将所述第一位图表的五张位图分别与所述第二位图表对应的位图进行位与计算,分别确定所述第一位图表与所述第二位图表五张位图的重合度,包括:
根据对应的偏移量指示信息和长度指示信息,分别将所述第一位图表的五张位图以及所述第二位图表的五张位图转换为完整位图;
将转换后得到的所述第一位图表的五张位图,分别与转换后得到的所述第二位图表对应的位图逐位进行位与计算;
根据位与计算结果,分别确定所述第一位图表与所述第二位图表五张位图的重合度。
可选的,根据确定出的所述第一位图表与所述第二位图表五张位图的重合度、所述当前配置的安全策略所对应的动作以及所述已配置的安全策略所对应的动作,确定对安全策略的优化校验结果,包括:
若确定出的所述第一位图表与所述第二位图表五张位图的重合度,至少有一个重合度为零,则确定对安全策略的优化校验结果为无需优化;
若确定出的所述第一位图表与所述第二位图表五张位图的重合度,至少有一个重合度为大于零且小于一,且所述当前配置的安全策略所对应的动作以及所述已配置的安全策略所对应的动作相同,则确定对安全策略的优化校验结果为合并;
若确定出的所述第一位图表与所述第二位图表五张位图的重合度,至少有一个重合度为大于零且小于一,且所述当前配置的安全策略所对应的动作以及所述已配置的安全策略所对应的动作不相同,则确定对安全策略的优化校验结果为需要消除冲突;
若确定出的所述第一位图表与所述第二位图表五张位图的重合度,每一个重合度均为一,且所述当前配置的安全策略所对应的动作以及所述已配置的安全策略所对应的动作不相同,则确定对安全策略的优化校验结果为需要消除冲突;
若确定出的所述第一位图表与所述第二位图表五张位图的重合度,每一个重合度均为一,且所述当前配置的安全策略所对应的动作以及所述已配置的安全策略所对应的动作相同,则确定对安全策略的优化校验结果为去重。
可选的,根据确定出的所述第一位图表与所述第二位图表五张位图的重合度、所述当前配置的安全策略所对应的动作以及所述已配置的安全策略所对应的动作,确定对安全策略的优化校验结果之后,所述方法还包括:
若确定对安全策略的优化校验结果为合并,则在接收到确认合并指示后,对所述第一位图表的五张位图分别与所述第二位图表对应的位图进行位或计算,并根据位或计算结果,更新所述第二位图表,并删除保存的所述第一位图表;
若确定对安全策略的优化校验结果为去重,则在接收到确认去重指示后,更新所述第一位图表,将所述第一位图表的五张位图中,与所述第二位图表对应的位图中重合的比特设置为零,并在更新后的所述第一位图表的五张位图中的每个比特均为零时,删除保存的所述第一位图表;
若确定对安全策略的优化校验结果为需要消除冲突,则更新所述第一位图表,将所述第一位图表的五张位图中,与所述第二位图表对应的位图中重合的比特设置为零,并在更新后的所述第一位图表的五张位图中的每个比特均为零时,删除保存的所述第一位图表。
可选的,所述方法还包括:
若所述第一位图表被删除,则删除保存的所述当前配置的安全策略的五元组信息;以及,
根据更新后的所述第二位图表确定对应的五元组信息,利用确定出的五元组信息更新保存的五元组信息;或者,根据更新后的所述第一位图表确定对应的五元组信息,利用确定出的五元组信息更新保存的五元组信息。
第二方面,本发明还提供了一种安全策略处理装置,所述装置包括:
接收模块,用于接收配置的安全策略;
优化校验模块,用于若所述接收模块接收到一条配置的安全策略,利用当前配置的安全策略的五元组信息与每条已配置的安全策略的五元组信息逐一比对,根据五元组信息比对结果以及安全策略对应的动作,确定对安全策略的优化校验结果。
可选的,所述优化校验模块,用于利用当前配置的安全策略的五元组信息与每条已配置的安全策略的五元组信息逐一比对,根据五元组信息比对结果以及安全策略对应的动作,确定对安全策略的优化校验结果,包括:
利用当前配置的安全策略对应的位图表与每条已配置的安全策略对应的位图表逐一比对,根据位图表比对结果以及安全策略对应的动作,确定对安全策略的优化校验结果;
其中,一张位图表包括一条安全策略的五元组信息分别对应的五个位图区域,每个位图区域对应一张位图,一张位图中的每个比特表示该位图对应的五元组信息的一种报文特征。
可选的,所述优化校验模块,用于利用当前配置的安全策略对应的位图表与每条已配置的安全策略对应的位图表逐一比对,根据位图表比对结果以及安全策略对应的动作,确定对安全策略的优化校验结果,包括:
确定所述当前配置的安全策略对应保存的第一位图表,并确定一条已配置的安全策略对应保存的第二位图表;
将所述第一位图表的五张位图分别与所述第二位图表对应的位图进行位与计算,分别确定所述第一位图表与所述第二位图表五张位图的重合度;
根据确定出的所述第一位图表与所述第二位图表五张位图的重合度、所述当前配置的安全策略所对应的动作以及所述已配置的安全策略所对应的动作,确定对安全策略的优化校验结果;
重复执行上述操作,直至针对所有已配置的安全策略对应保存的位图表,均执行完毕如上操作或者所述第一位图表被删除。
可选的,每个位图区域还对应一个偏移量指示信息和一个长度指示信息,其中,所述偏移量指示信息表示该位图区域对应的位图的真实起始索引位置,所述长度指示信息表示该位图区域对应的位图的有效连续比特数量;
所述优化校验模块,用于将所述第一位图表的五张位图分别与所述第二位图表对应的位图进行位与计算,分别确定所述第一位图表与所述第二位图表五张位图的重合度,包括:
根据对应的偏移量指示信息和长度指示信息,分别将所述第一位图表的五张位图以及所述第二位图表的五张位图转换为完整位图;
将转换后得到的所述第一位图表的五张位图,分别与转换后得到的所述第二位图表对应的位图逐位进行位与计算;
根据位与计算结果,分别确定所述第一位图表与所述第二位图表五张位图的重合度。
可选的,所述优化校验模块,用于根据确定出的所述第一位图表与所述第二位图表五张位图的重合度、所述当前配置的安全策略所对应的动作以及所述已配置的安全策略所对应的动作,确定对安全策略的优化校验结果,包括:
若确定出的所述第一位图表与所述第二位图表五张位图的重合度,至少有一个重合度为零,则确定对安全策略的优化校验结果为无需优化;
若确定出的所述第一位图表与所述第二位图表五张位图的重合度,至少有一个重合度为大于零且小于一,且所述当前配置的安全策略所对应的动作以及所述已配置的安全策略所对应的动作相同,则确定对安全策略的优化校验结果为合并;
若确定出的所述第一位图表与所述第二位图表五张位图的重合度,至少有一个重合度为大于零且小于一,且所述当前配置的安全策略所对应的动作以及所述已配置的安全策略所对应的动作不相同,则确定对安全策略的优化校验结果为需要消除冲突;
若确定出的所述第一位图表与所述第二位图表五张位图的重合度,每一个重合度均为一,且所述当前配置的安全策略所对应的动作以及所述已配置的安全策略所对应的动作不相同,则确定对安全策略的优化校验结果为需要消除冲突;
若确定出的所述第一位图表与所述第二位图表五张位图的重合度,每一个重合度均为一,且所述当前配置的安全策略所对应的动作以及所述已配置的安全策略所对应的动作相同,则确定对安全策略的优化校验结果为去重。
可选的,所述装置还包括优化模块,用于若确定对安全策略的优化校验结果为合并,则在接收到确认合并指示后,对所述第一位图表的五张位图分别与所述第二位图表对应的位图进行位或计算,并根据位或计算结果,更新所述第二位图表,并删除保存的所述第一位图表;
若确定对安全策略的优化校验结果为去重,则在接收到确认去重指示后,更新所述第一位图表,将所述第一位图表的五张位图中,与所述第二位图表对应的位图中重合的比特设置为零,并在更新后的所述第一位图表的五张位图中的每个比特均为零时,删除保存的所述第一位图表;
若确定对安全策略的优化校验结果为需要消除冲突,则更新所述第一位图表,将所述第一位图表的五张位图中,与所述第二位图表对应的位图中重合的比特设置为零,并在更新后的所述第一位图表的五张位图中的每个比特均为零时,删除保存的所述第一位图表。
可选的,所述优化模块,还用于若所述第一位图表被删除,则删除保存的所述当前配置的安全策略的五元组信息;以及,
根据更新后的所述第二位图表确定对应的五元组信息,利用确定出的五元组信息更新保存的五元组信息;或者,根据更新后的所述第一位图表确定对应的五元组信息,利用确定出的五元组信息更新保存的五元组信息。
第三方面,本发明还提供了一种非易失性计算机存储介质,所述计算机存储介质存储有可执行程序,该可执行程序被处理器执行实现如上所述的方法。
第四方面,本发明还提供了一种安全策略处理设备,包括处理器、通信接口、存储器和通信总线,其中,所述处理器,所述通信接口,所述存储器通过所述通信总线完成相互间的通信;
所述存储器,用于存放计算机程序;
所述处理器,用于执行所述存储器上所存储的程序时,实现如上所述的方法步骤。
根据本发明实施例提供的方案,可以在接收到一条新配置的安全策略时,即进行一次优化校验,并可以利用当前配置的安全策略的五元组信息与每条已配置的安全策略的五元组信息逐一比对的方式,根据五元组信息比对结果以及安全策略对应的动作,确定对安全策略的优化校验结果。无需用户在防火墙设备上完成所有安全策略的配置之后,再批量地对各安全策略进行优化校验,实现对安全策略的实时优化校验,避免在短时间内消耗掉大量的系统内存,影响系统性能,甚至影响防火墙设备的安全功能,降低系统安全风险。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的安全策略处理方法的流程示意图;
图2为本发明实施例提供的位图表的结构示意图;
图3(a)和图3(b)为本发明实施例提供的省略位图转换为完整位图的示意图;
图4为本发明实施例提供的位或计算的示意图;
图5为本发明实施例提供的安全策略处理方法的流程示意图;
图6为本发明实施例提供的安全策略处理装置的结构示意图;
图7为本发明实施例提供的安全策略处理设备的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,在本文中提及的“多个或者若干个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。
此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
两条或多条安全策略的五元组信息存在部分重合,且对应的动作相同时,可以理解为安全策略之间存在交叉。两条或多条安全策略的五元组信息存在重合,且对应的动作相同时,可以理解为安全策略之间存在包含。两条或多条安全策略的五元组信息存在至少部分重合,对应的动作却不能同时执行,会导致防火墙设备不能确定应该执行哪个动作时,可以理解为安全策略之间存在冲突。
对安全策略进行优化校验的目的,就是确定安全策略之间是否存在交叉、包含或冲突,以便根据优化校验结果,对安全策略进行优化,消除安全策略之间的交叉、包含或冲突。
针对现有技术无法实时地对安全策略进行优化校验,安全策略批量进行优化校验导致系统存在安全风险的不足,本发明实施例提出,可以在每次接收到一条新配置的安全策略时,即进行一次优化校验。利用当前配置的安全策略的五元组信息与每条已配置的安全策略的五元组信息逐一比对的方式,根据五元组信息比对结果以及安全策略对应的动作,确定对安全策略的优化校验结果。
进一步的,为了提高优化校验效率,加快优化校验速度,本发明实施例进一步提出,可以根据安全策略的五元组信息,将安全策略映射为位图表,进而可以通过位图表比对的方式,根据位图表比对结果以及安全策略对应的动作,确定对安全策略的优化校验结果。
需要说明的是,在每次接收到一条新配置的安全策略时,即进行一次优化校验,还可以避免产生大量重复和无效的结果记录,提高用户进行安全策略优化时,优化的准确性和有效性。
而更进一步的,本发明实施例提出,可以根据确定出的对安全策略的优化校验结果,对安全策略进行自动优化,从而进一步提高优化效率,并使得安全策略优化更加精准有效。
基于上述说明,本发明实施例提供一种安全策略处理方法,该方法的步骤流程可以如图1所示,包括:
步骤101、接收配置的安全策略。
在本步骤中,可以接收用户在防火墙设备上配置的安全策略,若接收到配置的安全策略,可以继续执行步骤102。
步骤102、利用当前配置的安全策略的五元组信息与每条已配置的安全策略的五元组信息逐一比对,根据五元组信息比对结果以及安全策略对应的动作,确定对安全策略的优化校验结果。
也就是说,在本实施例中,可以在接收到一条新配置的安全策略时,即进行一次优化校验,并可以利用当前配置的安全策略的五元组信息与每条已配置的安全策略的五元组信息逐一比对的方式,根据五元组信息比对结果以及安全策略对应的动作,确定对安全策略的优化校验结果。
当前配置的安全策略的五元组信息与每条已配置的安全策略的五元组信息逐一比对,可以是直接对五元组信息进行比对。
在一种可能的实现方式中,可以将安全策略的五元组信息映射为一张位图表,进而可以将安全策略五元组信息之间的比对,转换为位图表之间的比对,进而可以根据位图表比对结果确定对安全策略的优化校验结果。
即在本步骤中,可以利用当前配置的安全策略对应的位图表与每条已配置的安全策略对应的位图表逐一比对,根据位图表比对结果以及安全策略对应的动作,确定对安全策略的优化校验结果。
一张位图表包括一条安全策略的五元组信息分别对应的五个位图区域,每个位图区域对应一张位图,一张位图中的每个比特表示该位图对应的五元组信息的一种报文特征。
一张位图表的结构示意图可以如图2所示,包括源地址、目的地址、协议、源端口和目的端口分别对应的五个位图区域,可以分别记为源地址位图区域、目的地址位图区域、协议位图区域、源端口位图区域和目的端口位图区域。每个位图区域可以对应一张位图,一张位图中的每个比特表示该位图对应的五元组信息的一种报文特征。
例如,源地址对应的位图区域可以对应一张位图,该位图的第167837953比特可以表示一条安全策略的源地址是否包括IP地址10.1.1.1。并可以用该位图的第167837953比特的比特值为1表示一条安全策略的源地址包括IP地址10.1.1.1,用该位图的第167837953比特的比特值为0表示一条安全策略的源地址不包括IP地址10.1.1.1。
又如,协议对应的位图区域可以对应一张位图,该位图的第6比特可以表示一条安全策略的协议是否包括TCP协议。并可以用该位图的第6比特的比特值为1表示一条安全策略的协议包括TCP协议,用该位图的第6比特的比特值为0表示一条安全策略的协议不包括TCP协议。
为了便于进行位图表之间的比对,在每接收到一条配置的安全策略时,可以将该安全策略映射为位图表,并将该位图表保存到指定的数据库中,例如,持久化存储到指定的数据库中,使得后续可以从数据库中直接获取位图表进行比对。
在一种可能的实现方式中,为了便于查找每条安全策略对应的位图表,位图表的键可以与安全策略的键一一对应。
进一步的,为了节约保存位图表所占的空间,减少对系统资源的占用,在一种可能的实现方式中,每个位图区域还可以对应一个偏移量指示信息和一个长度指示信息,其中,所述偏移量指示信息表示该位图区域对应的位图的真实起始索引位置,所述长度指示信息表示该位图区域对应的位图的有效连续比特数量,进而可以结合偏移量指示信息以及长度指示信息,来保存位图表。
每个位图区域还对应一个偏移量指示信息和一个长度指示信息时,在图2中,对源地址位图区域的结构、目的地址位图区域的结构以及目的端口位图区域的结构进行了示意。
通过引入偏移量指示信息和长度指示信息,每个位图区域对应的位图可以实现省略保存。例如,仍假设源地址对应的位图区域所对应的位图的第167837953比特表示一条安全策略的源地址是否包括IP地址10.1.1.1,那么,若一条安全策略的源地址只包含IP地址10.1.1.1,则源地址对应的位图区域所对应位图中,第167837953比特之前和之后的比特的比特值均为0,只有第167837953比特的比特值为1。
此时,如果引入了偏移量指示信息和长度指示信息,无需保存位图第167837953比特之前的每个比特的比特值,也无需保存第167837953比特之后的每个比特的比特值,只需要记录偏移量指示信息为167837953,长度指示信息为1,并将位图保存为包括一个比特的位图(该比特下标可以为0,比特值可以为1),即可以清楚地记录源地址对应的位图区域所对应的完整位图所表示的位图信息。
又如,若一条安全策略的某个五元组信息为包括所有可能情况(为any),那么该安全策略的该五元组信息对应的位图区域所对应位图中,所有比特的比特值均为1。
此时,如果引入了偏移量指示信息和长度指示信息,只需要记录偏移量指示信息为0,长度指示信息为MAX,无需保存位图,即可以清楚地记录位图区域所对应的完整位图所表示的位图信息。
当然,保存位图表时,保存完整位图的方式也适用于本发明方案,引入了偏移量指示信息和长度指示信息来实现位图的省略保存,仅仅是本发明方案的一种可能的实现方式。
需要进一步说明的是,利用当前配置的安全策略对应的位图表与每条已配置的安全策略对应的位图表逐一比对,根据位图表比对结果以及安全策略对应的动作,确定对安全策略的优化校验结果,可以包括:
确定当前配置的安全策略对应保存的第一位图表,并确定一条已配置的安全策略对应保存的第二位图表;
将第一位图表的五张位图分别与第二位图表对应的位图进行位与计算,分别确定第一位图表与第二位图表五张位图的重合度;
根据确定出的第一位图表与第二位图表五张位图的重合度、当前配置的安全策略所对应的动作以及已配置的安全策略所对应的动作,确定对安全策略的优化校验结果;
重复执行上述操作,直至针对所有已配置的安全策略对应保存的位图表,均执行完毕如上操作或者第一位图表被删除。
需要说明的是,如果结合偏移量指示信息和长度指示信息来保存位图表,那么在将第一位图表的五张位图分别与第二位图表对应的位图进行位与计算,分别确定第一位图表与第二位图表五张位图的重合度时,可以先根据对应的偏移量指示信息和长度指示信息,分别将第一位图表的五张位图以及第二位图表的五张位图转换为完整位图。然后将转换后得到的第一位图表的五张位图,分别与转换后得到的第二位图表对应的位图逐位进行位与计算。并可以根据位与计算结果,分别确定第一位图表与第二位图表五张位图的重合度。
根据对应的偏移量指示信息和长度指示信息,将位图表的一张位图转换为完整位图,可以理解为根据一个位图区域对应的偏移量指示信息、长度指示信息和省略保存的位图,将该省略保存的位图转换为完整位图。
例如,假设当前配置的安全策略的源IP包括IP地址10.1.1.1/32,IP地址10.1.1.2/32和IP地址10.1.1.4/32,那么保存的第一位图表的源IP对应的位图区域对应的偏移量指示信息为167837953,长度指示信息为4,省略保存的位图包括4个比特,4个比特的比特值依次为1101。
转换时,可以补充省略保存的位图167837953比特之前的比特,167837953比特之前的每个比特的比特值均为0,假设完整位图包括167837956比特,那么由于长度指示信息为4,该位图167837956比特之后无需补充比特,省略保存的位图转换为完整位图的示意图可以如图3(a)所示。
假设已配置的一条安全策略的源IP包括IP地址10.1.1.2/32、IP地址10.1.1.3/32和IP地址10.1.1.4/32,那么保存的该安全策略对应的第二位图表的源IP对应的位图区域对应的偏移量指示信息为167837954,长度指示信息为3,省略保存的位图包括3个比特,3个比特的比特值依次为111。
转换时,可以补充省略保存的位图167837954比特之前的比特,167837954比特之前的每个比特的比特值均为0,并可以根据长度指示信息为3,确定该位图167837956比特之后无需补充比特,省略保存的位图转换为完整位图的示意图可以如图3(b)所示。
将第一位图表的源IP对应的位图区域对应的位图与第二位图表对应的位图进行位与计算,可以是将转换得到的两张完整位图逐位进行位与计算,进而可以根据位与计算结果,确定第一位图表与第二位图表源IP对应的位图区域对应的位图的重合度。
在本实施例中,重合度可以理解为重合比特数量和最小有效连续比特数量的商。重合比特数量为进行位与计算的两张位图重合比特的数量,最小有效连续比特数量为进行位与计算的两张位图分别对应的有效连续比特数量的最小值。
仍接上例,第一位图表与第二位图表源IP对应的位图区域对应的位图的重合度可以表示为:
另外,需要说明的是,根据确定出的第一位图表与第二位图表五张位图的重合度、当前配置的安全策略所对应的动作以及(第二位图表对应的)已配置的安全策略所对应的动作,确定对安全策略的优化校验结果,可以包括:
若确定出的第一位图表与第二位图表五张位图的重合度,至少有一个重合度为零,则确定对安全策略的优化校验结果为无需优化;
若确定出的第一位图表与第二位图表五张位图的重合度,至少有一个重合度为大于零且小于一,且当前配置的安全策略所对应的动作以及已配置的安全策略所对应的动作相同,则确定对安全策略的优化校验结果为合并;
若确定出的第一位图表与第二位图表五张位图的重合度,至少有一个重合度为大于零且小于一,且当前配置的安全策略所对应的动作以及已配置的安全策略所对应的动作不相同,则确定对安全策略的优化校验结果为需要消除冲突;
若确定出的第一位图表与第二位图表五张位图的重合度,每一个重合度均为一,且当前配置的安全策略所对应的动作以及已配置的安全策略所对应的动作不相同,则确定对安全策略的优化校验结果为需要消除冲突;
若确定出的第一位图表与第二位图表五张位图的重合度,每一个重合度均为一,且当前配置的安全策略所对应的动作以及已配置的安全策略所对应的动作相同,则确定对安全策略的优化校验结果为去重。
在确定出对安全策略的优化校验结果之后,可以将优化校验结果展示给用户,使得用户可以根据优化校验结果对安全策略进行优化。
而在一种可能的实现方式中,在本实施例中,还可以根据确定出的对安全策略的优化校验结果,对安全策略进行自动优化。
其中,若确定对安全策略的优化校验结果为合并,则在接收到确认合并指示后,对第一位图表的五张位图分别与第二位图表对应的位图进行位或计算,并根据位或计算结果,更新第二位图表,并删除保存的第一位图表。
也就是说,如果确定对安全策略的优化校验结果为合并,则可以将当前配置的安全策略合并到之前已经配置的一条安全策略,实现安全策略优化。且此时,当前配置的安全策略无需再与其他已配置的安全策略进行比对,可以删除当前配置的安全策略对应的第一位图表。
若确定对安全策略的优化校验结果为去重,则在接收到确认去重指示后,更新第一位图表,将第一位图表的五张位图中,与第二位图表对应的位图中重合的比特设置为零,并在更新后的第一位图表的五张位图中的每个比特均为零时,删除保存的第一位图表。
若确定对安全策略的优化校验结果为需要消除冲突,则更新第一位图表,将第一位图表的五张位图中,与第二位图表对应的位图中重合的比特设置为零,并在更新后的第一位图表的五张位图中的每个比特均为零时,删除保存的第一位图表。
也就是说,如果确定对安全策略的优化校验结果为去重或需要消除冲突,则可以将当前配置的安全策略进行配置更新,实现安全策略优化。如果配置更新后,当前配置的安全策略的五元组信息为空,当前配置的安全策略无需再与其他已配置的安全策略进行比对,此时也可以删除当前配置的安全策略对应的第一位图表。
与进行位与计算类似的,如果保存位图表时,还引入了偏移量指示信息和长度指示信息,那么进行位或计算时,也需要将省略保存的位图转换为完整位图,针对完整位图进行逐位位或计算。
此时,根据位或计算结果,更新第二位图表,可以是针对第二位图表的各个完整位图进行更新,并可以根据更新后的各个完整位图,更新对应的偏移量指示信息、长度指示信息和省略保存的位图,完成对第二位图表的更新。
假设第一位图表的一个省略保存的位图转换为完整位图的示意图仍如图3(a)所示,第二位图表对应的省略保存的位图转换为完整位图的示意图仍如图3(b)所示,那么可以对转换得到的两张完整位图逐位进行位或计算,进而可以根据位或计算结合,对如图3(b)所示的完整位图进行更新。并可以根据更新后的完整位图,更新对应的偏移量指示信息、长度指示信息和省略保存的位图,完成对第二位图表中一个位图区域对应的位图的更新。位或计算的示意图可以如图4所示,如图4所示,根据更新后的完整位图转换得到的更新后的偏移量指示信息为167837953、长度指示信息为4,省略保存的位图包括4个比特,4个比特的比特值依次为1111。
需要进一步说明的是,在本实施例中,除了保存每条安全策略对应的位图表,还可以保存安全策略的五元组信息。
如果对安全策略进行了优化,更新了位图表,那么也需要对保存的安全策略的五元组信息进行更新。
其中,若第一位图表被删除,则删除保存的当前配置的安全策略的五元组信息。如果对第二位图表进行了更新,则可以根据更新后的第二位图表确定对应的五元组信息,利用确定出的五元组信息更新保存的五元组信息,即更新第二位图表对应的安全策略的五元组信息。而如果对第一位图表进行了更新,则可以根据更新后的第一位图表确定对应的五元组信息,利用确定出的五元组信息更新保存的五元组信息,即更新第一位图表对应的安全策略的五元组信息。
下面通过一个具体的实例对本发明提供的安全策略处理方法进行说明。本发明实施例提供一种安全策略处理方法,该方法的步骤流程可以如图5所示,包括:
步骤201、在防火墙设备上新建一条安全策略(可以记为第一安全策略)时,将此安全策略中的五元组信息进行映射,计算生成一张位图表(可以记为第一位图表)。
步骤202、将新建的安全策略的位图表持久化存储到防火墙设备的数据库,位图表的键与安全策略的键一一对应。
步骤203、针对数据库内已保存的一张位图表,该位图表为本次新建安全策略之前已经建立的一条安全策略(可以记为第二安全策略)对应的位图表(可以记为第二位图表),将第二位图表的五张位图分别与第一位图表对应的位图进行位与计算,获得两张位图表每张位图对应的重合度。
步骤204、根据获得的两张位图表每张位图对应的重合度、第一安全策略所对应的动作以及第二安全策略所对应的动作,确定对安全策略的优化校验结果。
获得的两张位图表每张位图对应的重合度、第一安全策略所对应的动作(可以记为第一动作)以及第二安全策略所对应的动作(可以记为第二动作),与确定出的对安全策略的优化校验结果的关系示意图可以如表1所示。
表1
在表1中,源地址位图重合度可以理解为源地址对应的位图区域的位图重合度,目的地址位图重合度可以理解为目的地址对应的位图区域的位图重合度,协议位图重合度可以理解为协议对应的位图区域的位图重合度,源端口位图重合度可以理解为源端口对应的位图区域的位图重合度,目的端口位图重合度可以理解为目的端口对应的位图区域的位图重合度。
步骤205、若确定出的对安全策略的优化校验结果不是无需优化,则可以根据优化校验结果,提示用户第一安全策略与第二安全策略之间存在交叉、包含或冲突,并可以询问用户是否进行安全策略自动优化。
步骤206、若确定用户选择进行安全策略自动优化,则可以根据优化校验结果,对安全策略进行自动优化。
步骤207、判断是否对数据库内所有已保存的位图表均执行了步骤203~步骤207,或,第一位图表是否被删除,若满足两个条件中的任意一个,则可以提示用户安全策略优化成功,可以继续配置新的安全策略。
根据本发明实施例提供的方案,通过为每条安全策略建立对应的位图表,并根据位图表进行安全策略的优化校验以及自动优化,可以显著提升安全策略的优化校验的效率,以及自动优化的效率。
且,在每次配置一条新的安全策略时,即实时地利用位图表进行安全策略的优化校验,对系统内存和性能影响较小,且可以显著减少对安全策略进行批量的优化校验产生的重复和无效记录的数量,使得安全策略优化可以更加精准有效。
与提供的方法对应的,进一步提供以下的装置。
本发明实施例提供一种安全策略处理装置,该装置可以集成在防火墙设备中,该装置的结构可以如图6所示,包括接收模块11和优化校验模块12:
接收模块11用于接收配置的安全策略;优化校验模块12用于若所述接收模块接收到一条配置的安全策略,利用当前配置的安全策略的五元组信息与每条已配置的安全策略的五元组信息逐一比对,根据五元组信息比对结果以及安全策略对应的动作,确定对安全策略的优化校验结果。
可选的,所述优化校验模块12用于利用当前配置的安全策略的五元组信息与每条已配置的安全策略的五元组信息逐一比对,根据五元组信息比对结果以及安全策略对应的动作,确定对安全策略的优化校验结果,包括:
利用当前配置的安全策略对应的位图表与每条已配置的安全策略对应的位图表逐一比对,根据位图表比对结果以及安全策略对应的动作,确定对安全策略的优化校验结果;
其中,一张位图表包括一条安全策略的五元组信息分别对应的五个位图区域,每个位图区域对应一张位图,一张位图中的每个比特表示该位图对应的五元组信息的一种报文特征。
可选的,所述优化校验模块12用于利用当前配置的安全策略对应的位图表与每条已配置的安全策略对应的位图表逐一比对,根据位图表比对结果以及安全策略对应的动作,确定对安全策略的优化校验结果,包括:
确定所述当前配置的安全策略对应保存的第一位图表,并确定一条已配置的安全策略对应保存的第二位图表;
将所述第一位图表的五张位图分别与所述第二位图表对应的位图进行位与计算,分别确定所述第一位图表与所述第二位图表五张位图的重合度;
根据确定出的所述第一位图表与所述第二位图表五张位图的重合度、所述当前配置的安全策略所对应的动作以及所述已配置的安全策略所对应的动作,确定对安全策略的优化校验结果;
重复执行上述操作,直至针对所有已配置的安全策略对应保存的位图表,均执行完毕如上操作或者所述第一位图表被删除。
可选的,每个位图区域还对应一个偏移量指示信息和一个长度指示信息,其中,所述偏移量指示信息表示该位图区域对应的位图的真实起始索引位置,所述长度指示信息表示该位图区域对应的位图的有效连续比特数量;
所述优化校验模块12用于将所述第一位图表的五张位图分别与所述第二位图表对应的位图进行位与计算,分别确定所述第一位图表与所述第二位图表五张位图的重合度,包括:
根据对应的偏移量指示信息和长度指示信息,分别将所述第一位图表的五张位图以及所述第二位图表的五张位图转换为完整位图;
将转换后得到的所述第一位图表的五张位图,分别与转换后得到的所述第二位图表对应的位图逐位进行位与计算;
根据位与计算结果,分别确定所述第一位图表与所述第二位图表五张位图的重合度。
可选的,所述优化校验模块12用于根据确定出的所述第一位图表与所述第二位图表五张位图的重合度、所述当前配置的安全策略所对应的动作以及所述已配置的安全策略所对应的动作,确定对安全策略的优化校验结果,包括:
若确定出的所述第一位图表与所述第二位图表五张位图的重合度,至少有一个重合度为零,则确定对安全策略的优化校验结果为无需优化;
若确定出的所述第一位图表与所述第二位图表五张位图的重合度,至少有一个重合度为大于零且小于一,且所述当前配置的安全策略所对应的动作以及所述已配置的安全策略所对应的动作相同,则确定对安全策略的优化校验结果为合并;
若确定出的所述第一位图表与所述第二位图表五张位图的重合度,至少有一个重合度为大于零且小于一,且所述当前配置的安全策略所对应的动作以及所述已配置的安全策略所对应的动作不相同,则确定对安全策略的优化校验结果为需要消除冲突;
若确定出的所述第一位图表与所述第二位图表五张位图的重合度,每一个重合度均为一,且所述当前配置的安全策略所对应的动作以及所述已配置的安全策略所对应的动作不相同,则确定对安全策略的优化校验结果为需要消除冲突;
若确定出的所述第一位图表与所述第二位图表五张位图的重合度,每一个重合度均为一,且所述当前配置的安全策略所对应的动作以及所述已配置的安全策略所对应的动作相同,则确定对安全策略的优化校验结果为去重。
可选的,所述装置还包括优化模块13,用于若确定对安全策略的优化校验结果为合并,则在接收到确认合并指示后,对所述第一位图表的五张位图分别与所述第二位图表对应的位图进行位或计算,并根据位或计算结果,更新所述第二位图表,并删除保存的所述第一位图表;
若确定对安全策略的优化校验结果为去重,则在接收到确认去重指示后,更新所述第一位图表,将所述第一位图表的五张位图中,与所述第二位图表对应的位图中重合的比特设置为零,并在更新后的所述第一位图表的五张位图中的每个比特均为零时,删除保存的所述第一位图表;
若确定对安全策略的优化校验结果为需要消除冲突,则更新所述第一位图表,将所述第一位图表的五张位图中,与所述第二位图表对应的位图中重合的比特设置为零,并在更新后的所述第一位图表的五张位图中的每个比特均为零时,删除保存的所述第一位图表。
可选的,所述优化模块13还用于若所述第一位图表被删除,则删除保存的所述当前配置的安全策略的五元组信息;以及,
根据更新后的所述第二位图表确定对应的五元组信息,利用确定出的五元组信息更新保存的五元组信息;或者,根据更新后的所述第一位图表确定对应的五元组信息,利用确定出的五元组信息更新保存的五元组信息。
本发明上述实施例提供的各装置的各功能单元的功能,可以通过上述对应的各方法的步骤来实现,因此,本发明实施例提供的各装置中的各个功能单元的具体工作过程和有益效果,在此不复赘述。
基于同一发明构思,本发明实施例提供以下的设备和介质。
本发明实施例提供一种安全策略处理设备,该设备的结构可以如图7所示,包括处理器21、通信接口22、存储器23和通信总线24,其中,所述处理器21,所述通信接口22,所述存储器23通过所述通信总线24完成相互间的通信;
所述存储器23,用于存放计算机程序;
所述处理器21,用于执行所述存储器上所存储的程序时,实现本发明上述方法实施例所述的步骤。
可选的,所述处理器21具体可以包括中央处理器(CPU)、特定应用集成电路(ASIC,Application Specific Integrated Circuit),可以是一个或多个用于控制程序执行的集成电路,可以是使用现场可编程门阵列(FPGA,Field Programmable Gate Array)开发的硬件电路,可以是基带处理器。
可选的,所述处理器21可以包括至少一个处理核心。
可选的,所述存储器23可以包括只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)和磁盘存储器。存储器23用于存储至少一个处理器21运行时所需的数据。存储器23的数量可以为一个或多个。
本发明实施例还提供一种非易失性计算机存储介质,所述计算机存储介质存储有可执行程序,当可执行程序被处理器执行时,实现本发明上述方法实施例提供的方法。
在具体的实施过程中,计算机存储介质可以包括:通用串行总线闪存盘(USB,Universal Serial Bus Flash Drive)、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的存储介质。
在本发明实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。例如,以上所描述的设备实施例仅仅是示意性的,例如,所述单元或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性或其它的形式。
在本发明实施例中的各功能单元可以集成在一个处理单元中,或者各个单元也可以均是独立的物理模块。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备,例如可以是个人计算机,服务器,或者网络设备等,或处理器(processor)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:通用串行总线闪存盘(Universal Serial Bus Flash Drive)、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、装置(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (9)
1.一种安全策略处理方法,其特征在于,所述方法包括:
接收配置的安全策略;
若接收到一条配置的安全策略,利用当前配置的安全策略的五元组信息与每条已配置的安全策略的五元组信息逐一比对,根据五元组信息比对结果以及安全策略对应的动作,确定对安全策略的优化校验结果;
利用当前配置的安全策略的五元组信息与每条已配置的安全策略的五元组信息逐一比对,根据五元组信息比对结果以及安全策略对应的动作,确定对安全策略的优化校验结果,包括:利用当前配置的安全策略对应的位图表与每条已配置的安全策略对应的位图表逐一比对以确定所述当前配置的安全策略与所述每条已配置的安全策略的重合关系,根据位图表比对结果以及安全策略对应的动作,确定对安全策略的优化校验结果;其中,一张位图表包括一条安全策略的五元组信息分别对应的五个位图区域,每个位图区域对应一张位图,一张位图中的每个比特表示该位图对应的五元组信息的一种报文特征;所述当前配置的安全策略与所述每条已配置的安全策略的重合关系包括所述当前配置的安全策略对应的位图表的各个位图区域分别与所述每条已配置的安全策略对应的位图表的各个位图区域的重合度;
根据位图表比对结果以及安全策略对应的动作,确定对安全策略的优化校验结果,具体包括:若确定出的所述第一位图表与所述第二位图表五张位图的重合度,至少有一个重合度为大于零且小于一,且所述当前配置的安全策略所对应的动作以及所述已配置的安全策略所对应的动作不相同,则确定对安全策略的优化校验结果为需要消除冲突。
2.如权利要求1所述的方法,其特征在于,利用当前配置的安全策略对应的位图表与每条已配置的安全策略对应的位图表逐一比对以确定所述当前配置的安全策略与所述每条已配置的安全策略的重合关系,根据位图表比对结果以及安全策略对应的动作,确定对安全策略的优化校验结果,包括:
确定所述当前配置的安全策略对应保存的第一位图表,并确定一条已配置的安全策略对应保存的第二位图表;
将所述第一位图表的五张位图分别与所述第二位图表对应的位图进行位与计算,分别确定所述第一位图表与所述第二位图表五张位图的重合度;
根据确定出的所述第一位图表与所述第二位图表五张位图的重合度、所述当前配置的安全策略所对应的动作以及所述已配置的安全策略所对应的动作,确定对安全策略的优化校验结果;
重复执行上述操作,直至针对所有已配置的安全策略对应保存的位图表,均执行完毕如上操作或者所述第一位图表被删除。
3.如权利要求2所述的方法,其特征在于,每个位图区域还对应一个偏移量指示信息和一个长度指示信息,其中,所述偏移量指示信息表示该位图区域对应的位图的真实起始索引位置,所述长度指示信息表示该位图区域对应的位图的有效连续比特数量;
将所述第一位图表的五张位图分别与所述第二位图表对应的位图进行位与计算,分别确定所述第一位图表与所述第二位图表五张位图的重合度,包括:
根据对应的偏移量指示信息和长度指示信息,分别将所述第一位图表的五张位图以及所述第二位图表的五张位图转换为完整位图;
将转换后得到的所述第一位图表的五张位图,分别与转换后得到的所述第二位图表对应的位图逐位进行位与计算;
根据位与计算结果,分别确定所述第一位图表与所述第二位图表五张位图的重合度。
4.如权利要求2所述的方法,其特征在于,根据确定出的所述第一位图表与所述第二位图表五张位图的重合度、所述当前配置的安全策略所对应的动作以及所述已配置的安全策略所对应的动作,确定对安全策略的优化校验结果,还包括:
若确定出的所述第一位图表与所述第二位图表五张位图的重合度,至少有一个重合度为零,则确定对安全策略的优化校验结果为无需优化;
若确定出的所述第一位图表与所述第二位图表五张位图的重合度,至少有一个重合度为大于零且小于一,且所述当前配置的安全策略所对应的动作以及所述已配置的安全策略所对应的动作相同,则确定对安全策略的优化校验结果为合并;
若确定出的所述第一位图表与所述第二位图表五张位图的重合度,每一个重合度均为一,且所述当前配置的安全策略所对应的动作以及所述已配置的安全策略所对应的动作不相同,则确定对安全策略的优化校验结果为需要消除冲突;
若确定出的所述第一位图表与所述第二位图表五张位图的重合度,每一个重合度均为一,且所述当前配置的安全策略所对应的动作以及所述已配置的安全策略所对应的动作相同,则确定对安全策略的优化校验结果为去重。
5.如权利要求2所述的方法,其特征在于,根据确定出的所述第一位图表与所述第二位图表五张位图的重合度、所述当前配置的安全策略所对应的动作以及所述已配置的安全策略所对应的动作,确定对安全策略的优化校验结果之后,所述方法还包括:
若确定对安全策略的优化校验结果为合并,则在接收到确认合并指示后,对所述第一位图表的五张位图分别与所述第二位图表对应的位图进行位或计算,并根据位或计算结果,更新所述第二位图表,并删除保存的所述第一位图表;
若确定对安全策略的优化校验结果为去重,则在接收到确认去重指示后,更新所述第一位图表,将所述第一位图表的五张位图中,与所述第二位图表对应的位图中重合的比特设置为零,并在更新后的所述第一位图表的五张位图中的每个比特均为零时,删除保存的所述第一位图表;
若确定对安全策略的优化校验结果为需要消除冲突,则更新所述第一位图表,将所述第一位图表的五张位图中,与所述第二位图表对应的位图中重合的比特设置为零,并在更新后的所述第一位图表的五张位图中的每个比特均为零时,删除保存的所述第一位图表。
6.如权利要求5所述的方法,其特征在于,所述方法还包括:
若所述第一位图表被删除,则删除保存的所述当前配置的安全策略的五元组信息;以及,
根据更新后的所述第二位图表确定对应的五元组信息,利用确定出的五元组信息更新保存的五元组信息;或者,根据更新后的所述第一位图表确定对应的五元组信息,利用确定出的五元组信息更新保存的五元组信息。
7.一种安全策略处理装置,其特征在于,所述装置包括:
接收模块,用于接收配置的安全策略;
优化校验模块,用于若所述接收模块接收到一条配置的安全策略,利用当前配置的安全策略的五元组信息与每条已配置的安全策略的五元组信息逐一比对,根据五元组信息比对结果以及安全策略对应的动作,确定对安全策略的优化校验结果;
所述优化校验模块,具体用于利用当前配置的安全策略对应的位图表与每条已配置的安全策略对应的位图表逐一比对以确定所述当前配置的安全策略与所述每条已配置的安全策略的重合关系,根据位图表比对结果以及安全策略对应的动作,确定对安全策略的优化校验结果;其中,一张位图表包括一条安全策略的五元组信息分别对应的五个位图区域,每个位图区域对应一张位图,一张位图中的每个比特表示该位图对应的五元组信息的一种报文特征;所述当前配置的安全策略与所述每条已配置的安全策略的重合关系包括所述当前配置的安全策略对应的位图表的各个位图区域分别与所述每条已配置的安全策略对应的位图表的各个位图区域的重合度;
所述优化校验模块,具体用于若确定出的所述第一位图表与所述第二位图表五张位图的重合度,至少有一个重合度为大于零且小于一,且所述当前配置的安全策略所对应的动作以及所述已配置的安全策略所对应的动作不相同,则确定对安全策略的优化校验结果为需要消除冲突。
8.一种非易失性计算机存储介质,其特征在于,所述计算机存储介质存储有可执行程序,该可执行程序被处理器执行实现权利要求1~6任一所述的方法。
9.一种安全策略处理设备,其特征在于,所述设备包括处理器、通信接口、存储器和通信总线,其中,所述处理器,所述通信接口,所述存储器通过所述通信总线完成相互间的通信;
所述存储器,用于存放计算机程序;
所述处理器,用于执行所述存储器上所存储的程序时,实现权利要求1~6任一所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011196804.5A CN112291249B (zh) | 2020-10-30 | 2020-10-30 | 一种安全策略处理方法、装置、介质和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011196804.5A CN112291249B (zh) | 2020-10-30 | 2020-10-30 | 一种安全策略处理方法、装置、介质和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112291249A CN112291249A (zh) | 2021-01-29 |
| CN112291249B true CN112291249B (zh) | 2023-09-22 |
Family
ID=74353823
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011196804.5A Active CN112291249B (zh) | 2020-10-30 | 2020-10-30 | 一种安全策略处理方法、装置、介质和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112291249B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114553469B (zh) * | 2022-01-04 | 2024-04-19 | 武汉船舶通信研究所(中国船舶重工集团公司第七二二研究所) | 报文处理方法、装置、设备和存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109104399A (zh) * | 2017-11-23 | 2018-12-28 | 新华三信息安全技术有限公司 | 一种安全策略规则配置方法及装置 |
| CN110266654A (zh) * | 2019-05-29 | 2019-09-20 | 国网思极网安科技(北京)有限公司 | 一种基于安全域策略分析的方法和电子设备 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8117640B1 (en) * | 2005-02-23 | 2012-02-14 | Mark Moriconi | Systems and methods for analyzing application security policies |
| US9894100B2 (en) * | 2014-12-30 | 2018-02-13 | Fortinet, Inc. | Dynamically optimized security policy management |
-
2020
- 2020-10-30 CN CN202011196804.5A patent/CN112291249B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109104399A (zh) * | 2017-11-23 | 2018-12-28 | 新华三信息安全技术有限公司 | 一种安全策略规则配置方法及装置 |
| CN110266654A (zh) * | 2019-05-29 | 2019-09-20 | 国网思极网安科技(北京)有限公司 | 一种基于安全域策略分析的方法和电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112291249A (zh) | 2021-01-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107832062B (zh) | 一种程序更新方法及终端设备 | |
| CN110445719B (zh) | 一种路由表管理方法、装置、设备和存储介质 | |
| CN111045933A (zh) | 一种回归策略更新方法、装置、存储介质及终端设备 | |
| CN112291249B (zh) | 一种安全策略处理方法、装置、介质和设备 | |
| CN109460676A (zh) | 一种混合数据的脱敏方法、脱敏装置及脱敏设备 | |
| CN106168916A (zh) | 数据传输方法和系统 | |
| CN113094742B (zh) | 数据脱敏方法、数据脱敏装置、电子设备及存储介质 | |
| CN113672369A (zh) | 用于验证有向无环图的环的方法及装置、电子设备、存储介质 | |
| CN114595040A (zh) | 流程节点的处理方法、装置、存储介质及电子设备 | |
| CN113783800A (zh) | 数据包处理方法、装置、计算机设备及可读存储介质 | |
| EP3933743A1 (en) | Method and device for blockchain transaction tracing | |
| CN112000019B (zh) | 用于共享设备指令控制的方法、装置及设备 | |
| CN112165505B (zh) | 去中心化的数据处理方法、电子装置和存储介质 | |
| CN113595797B (zh) | 告警信息的处理方法、装置、电子设备及存储介质 | |
| CN114900835A (zh) | 恶意流量智能检测方法、装置及存储介质 | |
| CN113535880B (zh) | 地理信息确定方法、装置、电子设备及计算机存储介质 | |
| CN110795220B (zh) | 一种任务合并方法、装置和计算机可读存储介质 | |
| CN114095231B (zh) | 一种报文过滤方法、装置、设备及介质 | |
| CN112000762B (zh) | 道路管理检测方法、装置、电子设备及可读存储介质 | |
| CN113965386B (zh) | 工控协议报文处理方法、装置、设备及存储介质 | |
| CN111309592B (zh) | 一种权限检查方法、装置、存储介质及终端 | |
| JP2015072531A (ja) | テスト支援方法、テスト支援装置およびプログラム | |
| CN109597813B (zh) | 一种车辆数据处理方法及装置 | |
| CN112968896B (zh) | 一种基于向量压缩的防火墙策略过滤方法、系统、终端及存储介质 | |
| CN117194462B (zh) | 鉴权数据库的更新方法、装置、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |