WO2024001998A1 - 一种安全策略的处理方法及相关装置 - Google Patents

Abstract

一种安全策略的处理方法，涉及网络安全技术领域。第一通信设备获取第一安全设备上配置的第一安全策略，根据第一安全策略生成第一安全意图。其中，第一安全策略指示第一地址对第二地址的第一访问行为，第一访问行为为允许或禁止访问，第一安全意图指示第一对象对第二对象的第一访问行为，第一对象或第二对象包括以下任一项：用户的类型，业务的名称，或者网络区域的名称。基于易理解的方式，安全意图直接表示了业务间、网络间、用户间，或者用户、业务和网络相互间的访问需求。将通过IP信息表示的安全策略，转换为易于理解的安全意图，使得网络管理员更容易理解和维护安全策略。

Description

一种安全策略的处理方法及相关装置

本申请要求于2022年06月29日提交中国专利局、申请号为202210752166.3、发明名称为“一种安全策略的处理方法及相关装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种安全策略的处理方法及相关装置。

背景技术

近年来，网络安全问题日益突出。为了保证网络的安全性，安全设备(例如，防火墙)被部署以阻止外部攻击。

网络管理员通常基于互联网协议(Internet Protocol，IP)五元组逐条设置安全策略，以使得防火墙识别需要阻止的报文或者允许通过的报文，但基于IP五元组的安全策略不便于理解和维护。

发明内容

本申请提供了一种安全策略的处理方法和相关装置，使得安全策略更易理解和维护。

本申请第一方面提供一种安全策略的处理方法，可以应用于第一通信设备。第一通信设备例如为网管设备或部署于内部网络或外部网络的其他设备。第一通信设备获取第一安全设备上配置的第一安全策略，并根据第一安全策略生成第一安全意图。

其中，第一安全策略指示第一地址对第二地址的第一访问行为，第一访问行为为允许或禁止访问。例如，第一地址为源地址，第二地址为目的地址。源地址例如为媒体存取控制(Media Access Control，MAC)地址、源IP地址、源端口(port)，或者上述信息的组合。目的地址例如为目的MAC地址、目的IP地址、目的端口，或者上述信息的组合。

其中，第一安全意图指示第一对象对第二对象的第一访问行为，第一对象或第二对象包括以下任一项：用户的类型，业务的名称，或者网络区域的名称。第一安全意图例如是采用自然语言的形式表达允许或禁止一种访问行为。第一对象是第一访问行为的发起者，例如第一对象可以为发起第一访问行为的用户的类型，或发起第一访问行为的业务的名称，或发起第一访问行为的网络区域的名称。第二对象是第一访问行为的接受者，例如第二对象为允许或禁止第一对象访问的用户的类型、或者允许或禁止第一对象访问的业务的名称，或者允许或禁止第一对象访问的网络区域的名称。

本方案中，基于易理解的方式，安全意图直接表示了业务间、网络间、用户间，或者用户、业务和网络相互间的访问需求。因此，将通过IP信息表示的安全策略，转换为易于理解的安全意图，使得安全策略更易理解和维护。

可选的，第一通信设备根据第一地址确定第一对象，并根据第二地址确定第二对象。例如，源IP地址、源端口、协议类型，或者上述信息的组合用于确定第一对象。例如，目的IP地址、目的端口、协议类型，或者上述信息的组合用于确定第二对象。

明确了安全策略中的第一地址和第二地址与安全意图中的第一对象和第二对象之间的对应关系，有利于提高安全意图到安全策略的转换过程的准确度。

可选的，第一通信设备根据第一地址和对象信息库确定第一对象，根据第二地址和对象信息库确定第二对象。也即从对象信息库中获取与第一地址对应的第一对象，获取与第二地址对应的第二对象。对象信息库包括至少一个对象中的每个对象和每个对象的地址信息，至少一个对象包括第一对象和第二对象，每个对象为以下任一项：一种用户的类型，一种业务的名称，或一个网络区域的名称。

本方案中，根据对象描述信息确定与第一地址对应的第一对象以及与第二地址对应的第二对象，提高了安全策略转换为安全意图的效率。

可选的，第一安全意图用于校验第一安全策略是否匹配安全策略部署意图。其中，安全策略部署意图指示允许或禁止某一个对象对另一个对象的访问行为，前述对象具体可以表现为：一种用户类型、一 个业务的名称或者一个网络区域的名称。即，通过比较第一安全意图和安全策略部署意图，实现了校验第一安全策略的合理性。

可选的，安全策略部署意图指示第三对象对第四对象的第二访问行为。当第三对象和第一对象均包括第一子地址，第四对象和第二对象均包括第二子地址，且第一访问行为和第二访问行为相同时，第一通信设备确定第一安全策略匹配安全策略部署意图。

例如，“第三对象和第一对象均包括第一子地址”可以包括如下任一种情况：第三对象包括第一对象、第一对象包括第三对象，或者第一子地址为第三对象指向的地址中的一部分，且第一子地址为第一对象指向的地址中的一部分。需要说明的是，本申请中借助第一子地址和第二子地址的概念是用来解释第三对象和第一对象之间的关系，第一通信设备可以直接根据第一对象和第二对象确定第三对象和第一对象之间的关系。例如，第三对象为网络区域1，第一对象为网络区域1中的业务1，则第三对象包括第一对象，本示例中第一对象指向的地址是第三对象指向的地址中的一部分。又例如，第三对象为业务C，网络区域1、网络区域2和网络区域3中均提供业务C，第一对象为网络区域1，则第三对象指向的地址和第一对象指向的地址均包括网络区域1中提供业务C的设备的地址(也即第一子地址的一个示例)等。

可选的，第一安全意图用于校验新增安全策略部署意图是否与第一安全意图冲突。新增安全策略部署意图例如是基于待开通的业务确定的安全策略的部署意图，一个新增安全策略部署意图用于指示允许或禁止某一个对象对另一个对象的访问行为。当出现新增安全策略部署意图之后，在配置与新增安全策略部署意图对应的安全策略之前，先校验新增安全策略部署意图是否与前述多个第一安全意图冲突，有利于降低新增加的安全策略与已经存在的安全策略出现冲突的可能性，从而提高网络运行过程的稳定性，也有利于保证网络能够顺利的向用户提供业务。

可选的，新增安全策略部署意图指示第五对象对第六对象的第三访问行为。当第一对象和第五对象均包括第三子地址，第二对象和第六对象均包括第四子地址，且第一访问行为和第三访问行为不同时，第一通信设备确定新增安全策略部署意图与第一安全意图冲突。

可选的，第一通信设备获取第二安全设备上配置的第二安全策略，并根据第二安全策略生成第二安全意图。第二安全策略指示第一地址对第二地址的第四访问行为。第二安全意图指示第一对象对第二对象执行第四访问行为。第一安全设备位于第一地址对第二地址的访问路径上，第二安全设备是访问路径上的任意一个其他安全设备。获取前述信息有利于后续对第一地址对第二地址的访问路径上其它安全设备上的安全策略进行维护。

可选的，第一安全意图和第二安全意图用于校验第一安全策略和第二安全策略是否匹配安全策略部署意图。即，通过比较第一安全意图和第二安全意图，以及安全策略部署意图，实现了校验第一安全策略和第二安全策略的合理性。

可选的，安全策略部署意图指示第三对象对第四对象的第二访问行为。当第三对象和所述第一对象均包括第一子地址，第四对象和第二对象均包括第二子地址，且第一访问行为和第四访问行为与第二访问行为相同时，第一通信设备确定第一安全策略和第二安全策略匹配安全策略配置意图。

可选的，若第一访问行为是禁止访问，则第一安全意图和第二安全意图可以用于校验是否存在配置冗余。基于第一安全意图和第二安全意图确定多个安全设备上是否存在安全策略的配置冗余，有利于及时发现冗余的安全策略，提高安全设备的资源的利用率。

可选的，当第一安全意图和第二安全意图均指示禁止第一对象访问第二对象时，第一通信设备确定存在配置冗余。当想要禁止第一地址对第二地址的访问行为时，只要在第一地址至第二地址的访问路径上的任一个安全设备上配置用于禁止第一地址对第二地址的访问行为的安全策略即可，因此当第一安全意图和第二安全意图均指示禁止第一对象访问第二对象时，就可以确定第一安全策略和第二安全策略之间存在配置冗余，提供了确定配置冗余的一种具体实现方案，增强了本方案的可实现性。

可选的，第一通信设备可以通过图形用户界面(graphic user interface,GUI)或第二通信设备向用户显示第一安全策略和第一安全意图。向用户展示安全策略和基于安全策略得到的安全意图，也即将安全意图和安全策略关联起来，使用户更容易理解安全策略的含义，有利于降低安全策略的维护阶段的 难度。

可选地，第一通信设备可以通过GUI或第二通信设备向用户显示第一内容、第二内容和第三内容。其中，第一内容包括第一对象、第一地址以及第一对象和第一地址的对应关系，第二内容包括第二对象、第二地址以及第二对象和第二地址的对应关系，第三内容包括第一访问行为。

可选的，第一通信设备可以通过GUI或第二通信设备向用户显示以下一项或多项：第一校验结果，第二校验结果，第三校验结果，或者第四校验结果。第一校验结果指示第一安全策略是否匹配安全策略部署意图。第二校验结果指示新增安全策略部署意图是否与第一安全意图冲突。第三校验结果指示第一安全策略和第二安全策略是否匹配安全策略部署意图。第四校验结果指示是否存在配置冗余。显示上述校验结果，有利于提示用户及时发现安全设备中已经部署的安全策略或者待部署的安全策略中存在的问题，有利于提高网络运行的稳定性。

可选的，第一通信设备从第三安全设备获取第三安全策略，第三安全策略指示允许或禁止第三地址对第四地址的访问行为，获取与第三地址对应的第七对象，获取与第四地址对应的第八对象，并在对象信息库中添加第七对象和第三地址之间的对应关系，以及第八对象和第四地址之间的对应关系，得到新的对象信息库。第七对象或第八对象包括以下任一项：用户的类型，业务的名称，或者网络区域的名称。当对象信息库中不存在一个地址时，可以由用户来确定与该地址对应的对象，并在对象信息库中添加该地址和该对象，也即在基于安全策略生成安全意图的过程中，可以动态更新对象信息库，从而不断完善对象信息库，有利于降低以后执行安全策略到安全意图的转换操作的难度。

本申请第二方面提供一种安全策略的处理装置。安全策略的处理装置包括获取模块和生成模块。获取模块，用于获取第一安全设备上配置的第一安全策略。生成模块，用于根据第一安全策略生成第一安全意图。第一安全策略指示第一地址对第二地址的第一访问行为。第一访问行为为允许或禁止访问。第一安全意图指示第一对象对第二对象的第一访问行为。第一对象或第二对象包括以下任一项：用户的类型，业务的名称，或者网络区域的名称。

可选的，生成模块，具体用于：根据第一地址确定第一对象，根据第二地址确定第二对象。

可选的，安全策略的处理装置还包括确定模块。确定模块用于根据第一地址和对象信息库确定第一对象，根据第二地址和对象信息库确定第二对象。对象信息库包括至少一个对象中的每个对象和每个对象的地址信息。至少一个对象包括第一对象和第二对象。每个对象为以下任一项：一种用户的类型，一种业务的名称，或一个网络区域的名称。

可选的，第一安全意图用于校验第一安全策略是否匹配安全策略部署意图。

可选的，安全策略部署意图指示第三对象对第四对象的第二访问行为。确定模块，还用于当第三对象和第一对象均包括第一子地址，第四对象和第二对象均包括第二子地址，且第一访问行为和第二访问行为相同时，确定第一安全策略匹配安全策略部署意图。

可选的，第一安全意图用于校验新增安全策略部署意图是否与第一安全意图冲突。

可选的，新增安全策略部署意图指示第五对象对第六对象的第三访问行为。确定模块，还用于当第一对象和第五对象均包括第三子地址，第二对象和第六对象均包括第四子地址，且第一访问行为和第三访问行为不同时，确定新增安全策略部署意图与第一安全意图冲突。

可选的，获取模块还用于获取第二安全设备上配置的第二安全策略，生成模块，还用于根据第二安全策略生成第二安全意图。第二安全策略指示第一地址对第二地址的第四访问行为，第二安全意图指示第一对象对第二对象执行第四访问行为。第一安全设备位于第一地址对第二地址的访问路径上，第二安全设备是访问路径上的任意一个其他安全设备。可选的，第一安全意图和第二安全意图用于校验第一安全策略和第二安全策略是否匹配安全策略部署意图。

可选的，安全策略部署意图指示第三对象对第四对象的第二访问行为。确定模块，还用于当第三对象包括第一对象，第四对象包括第二对象，且第一访问行为和第四访问行为与第二访问行为相同时，确定第一安全策略和第二安全策略匹配安全策略配置意图。

可选的，第一安全意图和第二安全意图用于校验配置冗余。

可选的，确定模块，还用于当第一安全意图和第二安全意图均指示禁止第一对象访问第二对象时， 确定存在配置冗余。

可选的，安全策略的处理装置还包括显示模块。显示模块用于显示第一安全策略和第一安全意图。

可选的，显示模块，还用于显示以下一项或多项：第一校验结果，第二校验结果，第三校验结果，或者第四校验结果。第一校验结果指示第一安全策略是否匹配安全策略部署意图。第二校验结果指示新增安全策略部署意图是否与第一安全意图冲突。第三校验结果指示第一安全策略和第二安全策略是否匹配安全策略部署意图。第四校验结果指示是否存在配置冗余。

可选的，安全策略的处理装置还包括获取模块。获取模块还用于从第三安全设备获取第三安全策略，第三安全策略指示运行或禁止第三地址对第四地址的访问行为。获取模块，还用于获取与第三地址对应的第七对象，获取与第四地址对应的第八对象，并在对象信息库中添加第七对象和第三地址之间的对应关系，以及第八对象和第四地址之间的对应关系，得到新的对象信息库。第七对象或第八对象包括以下任一项：用户的类型，业务的名称，或者网络区域的名称。

本申请第三方面提供一种网络设备，包括处理器和存储器。存储器用于存储程序代码，处理器用于调用存储器中的程序代码以使得网络设备执行如第一方面或第一方面的任意一种实施方式的方法。

本申请第四方面提供一种计算机可读存储介质，存储有指令，当指令在计算机上运行时，使得计算机执行如第一方面或第一方面的任意一种实施方式的方法。

本申请第五方面提供一种计算机程序产品，当其在计算机上运行时，使得计算机执行如第一方面或第一方面的任意一种实施方式的方法。

本申请第六方面提供一种芯片，包括一个或多个处理器。处理器中的部分或全部用于读取并执行存储器中存储的计算机指令，以执行上述任一方面任意可能的实施方式中的方法。可选的，芯片还包括存储器。可选的，芯片还包括通信接口，处理器与通信接口连接。通信接口用于接收需要处理的数据和/或信息，处理器从通信接口获取数据和/或信息，并对数据和/或信息进行处理，并通过通信接口输出处理结果。可选的，通信接口是输入输出接口或者总线接口。本申请提供的方法由一个芯片实现，或者由多个芯片协同实现。

上述第二方面至第六方面提供的方案，用于实现或配合实现上述第一方面提供的方法，因此能够与第一方面达到相同或相应的有益效果，此处不再进行赘述。

附图说明

图1为本申请实施例提供的一种网络部署场景的示意图；

图2为本申请实施例提供的一种安全策略的处理方法的流程示意图；

图3为本申请实施例提供的一种获取与第一地址对应的第一对象的方法流程示意图；

图4为本申请实施例提供的一种安全策略和安全意图的展示示意图；

图5为本申请实施例提供的另一种安全策略的处理方法的流程示意图；

图6为本申请实施例提供的另一种安全策略的处理方法的流程示意图；

图7为本申请实施例提供的网络中已经开通的一种业务的网络拓扑示意图；

图8为本申请实施例提供的另一种安全策略的处理方法的流程示意图；

图9为本申请实施例提供的另一种安全策略的处理方法的流程示意图；

图10为本申请实施例提供的安全策略的处理方法的一种网络拓扑图；

图11为本申请实施例提供的安全策略的处理方法的另一种网络拓扑图；

图12为本申请实施例提供的另一种安全策略的处理方法的流程示意图；

图13为本申请实施例提供的一种网络设备的结构示意图；

图14为本申请实施例提供的一种安全策略的处理装置的结构示意图；

图15为本申请实施例提供的另一种安全策略的处理装置的结构示意图；

图16为本申请实施例提供的一种网络设备的结构示意图。

具体实施方式

下面结合附图，对本申请的实施例进行描述，显然，所描述的实施例仅仅是本申请一部分的实施例，而不是全部的实施例。本领域普通技术人员可知，随着技术发展和新场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。

在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。

本申请实施例提供了一种安全策略的处理方法，用于降低理解安全策略时的难度。本申请实施例还提供了相应的安全策略的处理装置、通信设备和计算机可读存储介质等。为使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请的实施方式作进一步地详细描述。

请参阅图1，图1为本申请实施例提供的一种网络部署场景的示意图。如图1所示，网络架构中包括内部网络、外部网络和第一通信设备。其中，内部网络包括防火墙、用于转发报文的网络设备和终端设备，内部网络中的安全设备指的是内部网络中部署有安全策略的通信设备，则前述安全设备可以包括如下任一项或多项：防火墙、用于转发报文的网络设备或终端设备等。

当安全设备接收到报文时，可以匹配部署的安全策略和报文的信息(例如，报文的源地址，报文的目的地址等)，以确定允许或禁止该报文通过。应理解，虽然图1中示出的第一通信设备部署于内部网络之外(例如，第一通信设备为云端设备)，但图1仅为网络部署场景的一个示例，在其他场景中，第一通信设备也可以部署于内部网络中，此处不做限定。为便于理解，以下将详细介绍网络架构中的各个设备。

内部网络可以划分为多个网络区域，例如图1中的数据中心网络和办公园区。每个网络区域可以有不同的安全要求，所以每个网络区域均可以部署安全设备，例如，图1所示的办公园区网络部署防火墙1，图1所示的数据中心网络部署防火墙2。不同位置处的安全设备可以配置不同的安全策略。

内部网络中的终端设备可以包括内部网络中的用户使用的终端设备(例如图1中的终端设备1和终端设备2)、用于提供业务的终端设备(例如图1中的数据库服务器和Web服务器)或其他用途的终端设备(例如图1中的报表服务器和测试服务器)等，此处不做限定。

示例性地，终端设备包括服务器、个人电脑、笔记本电脑、智能手机、平板电脑以及物联网设备等物理设备。可选的，终端设备包括部署于物理设备上的虚拟化设备，例如终端设备包括部署于服务器上且用于提供业务服务的虚拟机(virtual machine，VM)。

部署于防火墙和终端设备之间的网络设备为报文转发设备，用于转发外部网络与内部网络中的终端设备之间的流量以及内部网络中不同终端设备之间的流量。示例性地，网络设备包括交换机、网关以及路由器等报文转发设备。可选的，网络设备的实现为部署在硬件设备上的虚拟化设备。例如，网络设备包括运行有用于发送报文的程序的VM，虚拟路由器或虚拟交换机。

第一通信设备是本申请实施例提供的安全策略的获取方法的执行主体。示例性地，第一通信设备包括服务器或者部署在服务器上的VM。该服务器可以部署于公有云、私有云或混合云中。应理解，本申请实施例提供的安全策略的获取方法的执行主体还可以是其他设备，例如，网管设备或者是内部网络中的某个网络设备(例如，报文转发设备或防火墙)等，具体可以结合实际应用场景灵活确定，此处不做限定。

具体地，第一通信设备用于获取第一安全设备上配置的第一安全策略，并根据获取到的第一安全策略，生成第一安全意图。其中，第一安全策略指示第一地址对第二地址的第一访问行为，第一安全意图指示第一对象对第二对象的第一访问行为。

安全策略包括第一地址和第二地址，安全策略用于指示安全设备允许或禁止第一地址访问第二地址。第一对象或第二对象包括以下任一项：用户的类型，业务的名称，或者网络区域的名称。例如，安全意图为允许互联网用户访问web服务。此时，第一对象包括用户的类型(即，互联网用户)，第二对象包括业务的名称(即，web服务)。又例如，安全意图为禁止互联网用户访问数据库服务。此时，第一对象包括用户的类型(即，互联网用户)，第二对象包括业务的名称(即，数据库服务)。又例如，安全意图 为允许web服务访问数据库服务。此时，第一对象包括一个业务的名称(即，web服务)，第二对象包括另一个业务的名称(即，数据库服务)。又例如，安全意图为禁止办公园区访问数据中心。此时，第一对象包括一个网络区域的名称(即，办公园区)，第二对象包括另一个网络区域的名称(即，数据中心)。又例如，安全意图为禁止办公园区访问数据中心。此时，第一对象包括一个网络区域的名称(即，办公园区)，第二对象包括另一个网络区域的名称(即，数据中心)。又例如，安全意图为禁止生产车间访问数据库服务。此时，第一对象包括一个网络区域的名称(即，办公园区)，第二对象包括业务的名称(即，数据库服务)。即，基于易理解的方式，安全意图直接表示了业务间、网络间、用户间，或者用户、业务和网络相互间的访问需求，因此，根据安全策略生成安全意图，使得网络管理员更容易理解和维护安全策略。

需要说明的是，本申请实施例所在的网络部署场景中可以有更多或更少的设备，图1仅为方便理解本方案的一个示例，不用于限定本方案。

以上介绍了本申请实施例提供的安全策略的处理方法所应用的场景，以下将详细介绍本申请实施例提供的安全策略的处理方法的具体实现过程。

请参阅图2，图2为本申请实施例提供的安全策略的处理方法的一种流程示意图。如图2所示，本申请实施例提供的安全策略的处理方法包括以下步骤201-202：

步骤201，获取第一安全设备上配置的第一安全策略，第一安全策略指示第一地址对第二地址的第一访问行为，第一访问行为为允许或禁止访问。

本实施例中，第一通信设备获取第一安全设备上配置的第一安全策略。第一安全策略包括至少一个安全策略。第一安全策略指示第一地址对第二地址的第一访问行为，第一访问行为为允许或禁止访问。当第一安全设备接收到报文时，可以将报文的源地址和目的地址与部署的至少一个第一安全策略匹配，以确定允许或禁止该报文通过。

第一通信设备可以从每个第一安全策略中获取第一地址和第二地址，例如，第一地址为源地址，第二地址为目的地址。源地址例如为媒体存取控制(Media Access Control，MAC)地址、源IP地址、源端口(port)，或者上述信息的组合。目的地址例如为目的MAC地址、目的IP地址、目的端口，或者上述信息的组合。第一安全策略指示允许或禁止第一地址访问第二地址。可选的，第一安全策略还可以包括第一访问行为所采用的协议类型。

从第一安全策略中获取到的源IP地址可以为以下任一项：至少一个IP地址、至少一个IP地址段，或者任意(any)，当第一安全策略中未设置源IP地址时，则可以将源IP地址确定为任意。从第一安全策略中获取到的目的IP地址的概念与从第一安全策略中获取到的源IP地址的概念类似，此处不做赘述。

从第一安全策略中获取到的源端口可以为至少一个端口号或者任意，当第一安全策略中未设置源端口时，则可以将源端口确定为任意。端口为任意可以理解为端口为0～65535。从第一安全策略中获取到的目的端口的概念与从第一安全策略中获取到的源端口的概念类似，此处不做赘述。

采用的协议类型包括但不限于传输控制协议(Transmission Control Protocol，TCP)、用户数据包协议(User Datagram Protocol，UDP)或其他类型的协议等，此处不做穷举。

不同类型的安全设备上部署的安全策略的代码形式可能不同，例如，以下分别公开了交换机中配置的第一安全策略的一个示例和终端设备中配置的第一安全策略的一个示例。其中，交换机中部署的第一安全策略的一个示例如下：

ip access-list AA

10 deny tcp 172.20.201.0/24 192.168.10.1 eq 12345

20 deny tcp 172.20.201.0/24 192.168.10.2 eq 12345

上述示出的交换机中的第一安全策略中源IP地址包括172.20.201.0/24，上述示出的第一安全策略中未指定源端口，目的IP地址包括192.168.10.1和192.168.10.2，协议类型为TCP，第一访问行为为禁止(deny)。

终端设备中部署的第一安全策略的一个示例如下：

iptables-I INPUT-p tcp--dport 12345-j ACCEPT#允许目的端口为12345的报文流入

上述示出的第一安全策略中未指定源IP地址和源端口，则源IP地址和源端口均可以确定为任意，目的IP地址可以确定为该终端设备的IP地址，目的端口号包括12345，第一子安全策略中的第一访问行为为允许(accept)。应理解，上述两个示例仅为方便理解不同类型的安全设备上部署的不同代码形式的安全策略，不用于限定本方案。

第一通信设备可以通过多种方式获取第一安全策略。在一种实现方式中，第一安全设备可以将部署的至少一个第一安全策略发送给第一通信设备，相应地，第一通信设备接收第一安全设备发送的至少一个第一安全策略。在另一种实现方式中，第一通信设备可以基于安全外壳协议(Secure Shell，SSH)、远程终端协议(TELNET)或其他技术远程登录第一安全设备，以获取到第一安全设备上部署的至少一个第一安全策略。

步骤202，根据第一安全策略生成第一安全意图，第一安全意图指示第一对象对第二对象的第一访问行为，第一对象或第二对象包括如下任一项：用户的类型，业务的名称，或者网络区域的名称。

本实施例中，第一通信设备从第一安全策略中获取到第一地址、第二地址和第一访问行为后，可以生成与第一安全策略对应的第一安全意图。

其中，第一安全意图是一种安全意图，安全意图例如是采用自然语言的形式表达允许或禁止一种访问行为。第一对象是第一访问行为的发起者，第一对象包括以下任一项：用户的类型、业务的名称、或者网络区域的名称。即，第一对象可以为发起第一访问行为的用户的类型，或发起第一访问行为的业务的名称，或发起第一访问行为的网络区域的名称。第二对象是第一访问行为的接受者，第二对象包括以下任一项：用户的类型、业务的名称或者网络区域的名称。即，第二对象为允许或禁止第一对象访问的用户的类型、或者允许或禁止第一对象访问的业务的名称，或者允许或禁止第一对象访问的网络区域的名称。

可选的，步骤202可以包括：第一通信设备根据第一地址确定第一对象，根据第二地址确定第二对象。例如第一地址包括源IP地址、源端口、协议类型，或者上述信息的组合，也即源IP地址、源端口、协议类型，或者上述信息的组合用于确定第一对象。例如第二地址包括目的IP地址、目的端口、协议类型，或者上述信息的组合，也即目的IP地址、目的端口、协议类型，或者上述信息的组合用于确定第二对象。

本申请实施例中，明确了安全策略中的第一地址和第二地址与安全意图中的第一对象和第二对象之间的对应关系，有利于提高安全策略到安全意图的转换过程的准确度。

第一通信设备在获取到第一对象和第二对象之后，可以生成与第一安全策略对应的第一安全意图。其中，第一安全意图指示第一对象对第二对象的第一访问行为。第一安全意图具体可以表现允许第一对象访问第二对象，或者，禁止第一对象访问第二对象。以下结合第一对象和第二对象的类型对第一安全意图的展示形式进行举例介绍。需要说明的是，以下示例中“[]”中的内容为可选内容。

情况1：第一对象为任意，第二对象为一种业务的名称

第一安全意图：允许/禁止任意网络区域访问[XX网络区域]的YY业务

情况2：第一对象为任意，第二对象为一个网络区域的名称

第一安全意图：允许/禁止任意网络区域访问XX网络区域

情况3：第一对象为一种用户的类型，第二对象为任意

第一安全意图：允许/禁止[BB网络区域]的ZZ用户访问任意网络区域

情况4：第一对象为一种用户的类型，第二对象为一种业务的名称

第一安全意图：允许/禁止[BB网络区域]的ZZ用户访问[XX网络区域]的YY业务

情况5：第一对象为一种用户的类型，第二对象为一个网络区域的名称

第一安全意图：允许/禁止[BB网络区域]的ZZ用户访问XX网络区域

情况6：第一对象为一种业务的名称，第二对象为任意

第一安全意图：允许/禁止[BB网络区域]的CC业务访问任意网络区域

情况7：第一对象为一种业务的名称，第二对象为一种业务的名称

第一安全意图：允许/禁止[BB网络区域]的CC业务访问[XX网络区域]的YY业务

情况8：第一对象为一种业务的名称，第二对象为一个网络区域的名称

第一安全意图：允许/禁止[BB网络区域]的CC业务访问XX网络区域

情况9：第一对象为一个网络区域的名称，第二对象为任意

第一安全意图：允许/禁止BB网络区域访问任意网络区域

情况10：第一对象为一个网络区域的名称，第二对象为一种业务的名称

第一安全意图：允许/禁止BB网络区域访问[XX网络区域]的YY业务

情况11：第一对象为一个网络区域的名称，第二对象为一个网络区域的名称

第一安全意图：允许/禁止BB网络区域访问XX网络区域

例如，上述交换机上部署的第一安全策略转换成第一安全意图可以为“学生用户禁止访问在线学习服务”，也即172.20.201.0/24所对应的第一对象为学生用户,192.168.10.1：12345和192.168.10.2：12345所对应的第二对象为在线学习服务；又例如，终端设备上部署的第一安全策略转换成第一安全意图可以为“任意网络区域允许访问在线学习服务”，应理解，此处举例仅为方便理解本方案，不用于限定本方案。本申请实施例中，明确了第一安全策略中的第一地址是用于确定第一对象的，第一安全策略中的第二地址是用于确定第二对象的，降低了从安全策略转换为安全意图过程的难度。

本申请实施例中，基于易理解的方式，安全意图直接表示了业务间、网络间、用户间，或者用户、业务和网络相互间的访问需求。因此，将通过IP地址表示的安全策略，转换为通过自然语言表示的安全意图，使得管理员可以更容易理解和维护安全策略。

可选的，第一通信设备还可以从第一安全策略中获取位于第一地址的设备所在的一个网络区域的名称和位于第二地址的设备所在的一个网络区域的名称。例如第一网络区域为源网络区域，第二网络区域为目的网络区域；若第一安全策略中不存在前述信息，则第一通信设备可以将第一安全策略中获取到的前述信息确定为空。

为进一步理解本方案，以下结合上述交换机和终端设备上部署的第一安全策略进行举例，第一通信设备还可以从第一安全策略中获取到的信息可以如下，以下以代码的形式进行展示，需要说明的是，“//”后面的内容表示基于代码内容获取到的信息。

1.从交换机中部署的第一安全策略中获取到的信息可以如下：

应理解，上述示例仅为方便理解本方案，不用于限定本方案。

其中，第一通信设备可以采用表格、纯文本、图形和文本结合或其他形式来存储从第一安全策略中获取到的信息。

第一对象和第二对象分别可以包括如下一项：用户的类型、业务的名称、或者网络区域的名称。用户的类型用于区分不同的用户。不同类型的用户对应于不同的地址或地址段。例如，用户的类型可以为内网用户、合作伙伴用户和互联网用户等。内网用户包括从内部网络接入的用户。内部网络是受一个用户(例如，一家企业)管控的网络，内部网络例如为某个企业的园区网，通过该园区网接入的用户可以称为该企业的内网用户。该企业的内部网络有指定的地址段。当安全策略中的第一地址或第二地址包括 于该指定的地址段，第一通信设备可以确定第一对象或第二对象为内网用户。合作伙伴用户包括从合作伙伴的网络接入的用户。例如企业1和企业2合作，企业1同意企业2访问企业1的服务1，则当安全策略中包括的第一地址包括于企业1对应的地址或地址段时，第一通信设备可以确定第一对象为企业1用户。互联网用户包括从任意位置接入的用户，其地址对应于any。当然，互联网用户还可以是除特定用户之外的用户，其地址不包括特定用户的地址。特定用户例如为内部用户和/或合作伙伴用户。某一特定类型的用户还可以细分为多种用户，例如，当内部网络为校园网时，内部用户可以细分为教职工用户和学生用户，教职工用户和学生用户可以分别对应于不同的地址或地址段。又例如，当内部网络为车企的园区网时，内部用户可以细分为行政办公用户、生产车间用户，生成车间用户又可以细分为发动机车间用户、轮胎车间用户等，不同类型的用户分别对应于不同的地址或地址段。

业务部署于内部网络中，对外或对内提供服务，业务的名称用于区分不同的业务。例如，业务的名称可以为个人手机银行业务、个人客户信息业务、线上学习业务、互联网业务或其他业务的名称等等，具体可以结合实际情况，此处不做限定。每个业务都基于服务地址对外提供服务。服务地址例如为IP地址、端口和协议的组合。例如，web服务在IP1:80基于TCP协议提供服务，域名解析服务在IP2:53基于TCP协议或UDP协议提供服务。第一通信设备可以基于安全策略包括的第一地址或第二地址，确定第一地址或第二地址属于哪个业务的服务地址，以确定安全意图包括的第一对象或第二对象。其中，第一地址或第二地址可以是服务地址中的IP地址、端口、协议或者他们的组合。

网络区域的名称用于区分不同的网络区域。不同的网络区域对应于不同的地址或地址段，第一通信设备可以基于安全策略包括的第一地址或第二地址，确定第一地址或第二地址所在的网络区域的名称。例如，网络区域的名称可以为内部网络区域、合作伙伴网络区域和互联网区域等。内部网络区域是受一个用户(例如，一家企业)管控的网络区域，例如为某个企业的园区网。合作伙伴网络区域是受一个合作伙伴管控的网络区域。例如，企业1和企业2具有合作关系，企业1的园区网和企业2的园区网可以互为合作伙伴网络区域。互联网区域可以泛指所有的网络区域或除特定网络之外的网络区域，特定网络例如为内部网络区域和/或合作伙伴网络区域。某一网络区域还可以细分为不同的网络区域。例如，内部网络区域可以细分为“生产1区”、“测试1区”、“办公区”、“XX地数据中心”、“XX园区XX栋楼”或其他名称等等，均可以结合实际应用场景确定。

不同的网络区域可以分别对应不同的安全设备。例如，企业分别在“生产1区”和“测试1区”部署防火墙，每个防火墙分别管控对应的网络区域的网络访问行为。

第一通信设备可以判断从第一安全策略中获取到的第一地址是否为任意，例如判断从第一安全策略中获取到的源IP地址和源端口是否均为任意。若判断结果为是，则第一通信设备可以确定第一对象包括任意网络区域。若判断结果为否，则第一通信设备可以根据第一地址和对象信息库，确定第一对象。其中，对象信息库用于存储至少一个对象中的每个对象和每个对象的地址信息，每个对象为以下任一项：一种用户的类型，一种业务的名称，或一个网络区域的名称。例如，每个类型的用户的地址可以包括每个用户类型的IP地址，每个用户类型的IP地址可以包括与一个类型的用户对应的IP地址段，或者，可以包括与一个类型的用户对应的一个或多个IP地址。例如，每个业务的地址可以包括每个业务所对应的IP地址和端口，还可以包括支持的协议类型。每个业务所对应的IP地址可以包括提供业务的一个或多个IP地址，或者可以包括用于提供业务的IP地址段。每个业务所对应的端口可以包括提供业务的一个或多个端口。例如，每个网络区域的地址可以包括每个网络区域所对应的IP地址段，或者可以包括每个网络区域所对应的一个或多个IP地址。

可选的，对象信息库还可以包括每个对象的描述信息。若对象为一种类型的用户，则对象的描述信息可以包括如下任一项或多项：用户的角色类型、用户使用的设备所在的网络环境的类型或用户的其它信息。若对象为一个业务，则对象的描述信息还可以包括如下任一项或多项：业务的角色类型、提供业务的设备所在的网络环境、提供业务的设备的物理位置、提供业务的设备的类型或其他描述信息等。

其中，用户的角色类型是对同一类型的用户进行更细粒度的描述。例如，用户的类型为第三方企业的用户，用户的角色类型可以包括管理员或一般用户。又例如，用户的类型为互联网用户，则用户的角色类型可以包括应用程序(application，APP)和浏览器。又例如，用户的类型为校园网中的教职工， 用户的角色类型可以包括行政岗位的老师和教学岗位的老师等，此处举例仅为方便理解本方案，不用于限定本方案。

用户使用的设备所在的网络环境的类型可以基于用户使用的设备所在的网络环境的功能确定。例如，若用户使用的设备所在的网络环境为生产车间，则用户使用的设备所在的网络环境的类型可以为生产。又例如，若用户使用的设备所在的网络环境为测试车间，则用户使用的设备所在的网络环境的类型可以为测试。又例如，若用户使用的设备所在的网络环境为办公园区，则用户使用的设备所在的网络环境的类型可以为办公等等，此处不做限定。

业务的角色类型是对提供同一业务的设备进行更细粒度的划分。业务的角色类型的划分依据可以为提供业务的设备的功能或其他类型的依据等。例如，业务的名称为线上学习业务，业务的角色类型可以包括数据库(database)、高速缓存存储器(cache)和网络服务器(web server)。角色类型为数据库的用于存储线上学习时用到的学习资料，角色类型为web的用于响应于对学习资料的获取请求，从“数据库”中获取学习资料，并管理“数据库”中的学习资料等。应理解，此处举例仅为方便理解“业务的角色类型”这一概念，不用于限定本方案。

提供业务的设备所在的网络环境的类型可以基于提供业务的设备所在的网络环境的功能确定，“提供业务的设备所在的网络环境的类型”和“用户使用的设备所在的网络环境的类型”的概念类似，可以参阅理解，此处不做赘述。例如，提供前述一种业务设备的物理位置可以为XX数据中心XX机房的XX服务器，或者，提供前述一种业务设备的物理位置可以为XX园区的XX机房等，此处不做穷举。提供前述一种业务设备的类型包括但不限于物理设备、虚拟机或容器等等。

示例性的，表1给出了对象信息库中一个对象的信息的示意。

表1

具体的，第一通信设备可以判断对象信息库中是否存在第一地址。第一地址包括如下一项或多项：源IP地址，源端口，或者协议类型。

若对象信息库中存在第一地址，则从对象信息库中获取与第一地址对应的第一对象。若对象信息库中不存在第一地址，第一通信设备可以向用户展示第一指示信息，以获取与第一地址对应的第一对象。 第一通信设备还可以在对象信息库中添加第一对象和第一地址，以更新该对象信息库，也即获取到更新后的对象信息库。

其中，第一指示信息至少包括第一地址。可选的，向用户展示的第一指示信息还可以包括如下任一项或多项：与第一地址关联的网络区域的名称、第一安全策略的名称、第一对象的类型或其他信息等。第一对象的类型为用户、业务或网络区域。

例如，第一通信设备可以获取与第一地址关联的网络区域的名称，向用户展示的第一指示信息包括第一地址和前述源网络区域的名称。

若第一通信设备没有从对象信息库中获取到与第一地址对应的第一对象，也即若对象信息库中不存在第一地址，第一通信设备可以从对象信息库中获取与第一地址关联的网络区域的名称。

具体的，第一通信设备可以将第一地址与对象信息库中的多个对象的地址信息进行模糊匹配；从对象信息库中确定与第一地址关联的至少一个目标对象，将目标对象归属的网络区域的名称确定为与第一地址关联的网络区域的名称。

可选地，第一通信设备可以基于第一地址与对象信息库中每个对象的地址信息之间的相似度，将第一地址与对象信息库中的多个对象的地址信息进行模糊匹配；从对象信息库中确定与第一地址关联的至少一个目标对象。例如，每个目标对象的地址信息与第一地址之间的相似度可以大于或等于相似度阈值，或者，至少一个目标对象是对象信息库中与第一地址之间的相似度最高的至少一个对象等，此处不做穷举。例如，若地址A为192.168.10.1，地址B为192.168.10.2，地址C为172.20.201.0，则地址A和地址B之间的相似度，高于地址A和地址C之间的相似度。例如，第一地址为192.168.10.6:80,对象信息库中未精确匹配到第一地址，但对象信息库包括第一网络区域，该网络区域的地址为192.168.10.1～192.168.10.100，第一通信设备可判断第一地址中的IP地址属于该网络区域，因此将第一网络区域作为第一地址的网络区域的名称。应理解，此处举例仅为方便理解本方案，不用于限定本方案。

本实施例中，当对象信息库中不存在第一地址时，可以由用户来确定与第一地址对应的第一对象，并在对象信息库中添加第一地址和第一对象，也即在基于安全策略生成安全意图的过程中，可以动态更新对象信息库，从而不断完善对象信息库，有利于降低以后执行安全策略到安全意图的转换操作的难度。

可选的，第一通信设备向用户展示第一指示信息的时候，还可以展示如下任一个或多个字段：角色类型、网络环境的类型、提供业务的设备的物理位置、提供业务的设备的类型或其他字段等，前述字段的字段内容可以展示为空。展示前述字段的目的包括指示用户输入与前述字段对应的信息，例如指示用户输入如下任一种或多种信息：对象的角色类型、对象所在网络环境的类型、提供业务的设备的物理位置、提供业务的设备的类型或其他对象的描述信息等。

则第一通信设备将第一地址和第一对象添加至对象信息库可以包括：第一通信设备可以将第一地址、第一对象和第一对象的描述信息添加至对象信息库。

针对第一通信设备获取与第一地址对应的第一对象的方式。在一种实现方式中，第一通信设备可以通过第一图形用户界面(graphical user interface，GUI)向用户展示第一指示信息。第一通信设备可以基于用户针对第一指示信息输入的反馈操作，获取与第一地址对应的第一对象。

其中，若第一指示信息中包括与第一地址对应的名称，与第一地址对应的名称包括源IP地址的名称和/或源端口的名称；则上述反馈操作可以包括：用户对源IP地址的名称和/或源端口的名称中一个名称的选择操作，或者，用户对第一对象的输入操作。

若第一指示信息中不包括与第一地址对应的名称，则上述反馈操作可以包括：用户对第一对象的输入操作。

在另一种实现方式中，第一通信设备可以将第一指示信息发送给第二通信设备，第二通信设备通过第二GUI向用户展示第一指示信息，第一通信设备和第二通信设备为两个不同的设备。第二通信设备可以基于用户针对第一指示信息输入的反馈操作，获取与第一地址对应的第一对象，将第一对象发送给第一通信设备。

为了更直观地理解本方案，请参阅图3，图3为本申请实施例提供的获取与第一地址对应的第一对象的一种流程示意图。本申请实施例提供的获取与第一地址对应的第一对象的方法包括以下步骤A1-A6。

步骤A1，第一通信设备判断源IP地址和源端口是否均为任意。若判断结果为是，则进入步骤A2。若判断结果为否，则进入步骤A3。

步骤A2，第一通信设备确定第一对象包括任意网络区域的任意用户和任意网络区域的任意业务。不再执行后续步骤A3～A6。

步骤A3，第一通信设备判断对象信息库中是否存在第一地址，若判断结果为是，则进入步骤A4，若判断结果为否，则进入步骤A5。

步骤A4，第一通信设备从对象信息库中获取与第一地址对应的第一对象。不再执行后续步骤A5～A6。

步骤A5，第一通信设备向用户展示第一指示信息，以获取与第一地址对应的第一对象，第一指示信息指示包括第一地址。

步骤A6，第一通信设备将第一地址和第一对象添加至对象信息库，得到更新后的对象信息库。应理解，图3中的示例仅为方便理解本方案，不用于限定本方案。

针对根据第二地址确定第二对象的过程。第一通信设备可以判断从第二安全策略中获取到的目的IP地址和目的端口是否均为任意，也即判断第二通信设备从第二安全策略中获取到的第二地址是否为任意。若判断结果为是，则第二通信设备可以确定第二对象包括任意网络区域的任意用户和任意网络区域中的任意业务。

若判断结果为否，则第二通信设备可以根据第二地址和对象信息库，确定第二对象。具体的，第一通信设备可以判断对象信息库中是否存在第二地址，第二地址包括如下一项或多项：目的IP地址，目的端口，或者协议类型。若对象信息库中存在第二地址，则从对象信息库中获取与第二地址对应的第二对象。

若对象信息库中不存在第二地址，第一通信设备可以向用户展示第二指示信息，以获取与第二地址对应的第二对象。第一通信设备还可以在对象信息库中添加第二对象和第二地址，以更新该对象信息库，也即获取到更新后的对象信息库。

需要说明的是，第一通信设备获取与第二地址对应的第二对象的具体实现方式，和获取与第一地址对应的第一对象的具体实现方式类似，第二指示信息的概念和第一指示信息的概念类似，此处均不做赘述。

第一通信设备可以分开执行“获取与第一地址对应的第一对象”和“获取第二地址对应的第二对象”这两个步骤，也可以同时执行，则第一通信设备向用户展示第一指示信息和向用户展示第二指示信息的步骤可以分开执行，也可以同时执行，具体可以结合实际应用场景灵活确定。

为了进一步理解本方案，以下结合上述示出的三个第一安全策略进行举例，通过表2的形式展示第一指示信息和第二指示信息中携带哪些信息。

表2

其中，表2中最右侧的一列可以由用户进行编辑，以输入与第一地址对应的第一对象。例如将“从安全策略中获取到的名称”这一列的内容拖拽至“第一对象”这一列，以实现对第一对象的输入；或者，用户也可以直接输入文本形式的第一对象等，此处举例仅为方便理解本方案，不限定用户输入第一对象的方式。

需要说明的是，表2中示出的字段仅为方便理解本方案，实际产品中可以展示更多或更少的字段，例如还可以展示与第一对象的描述信息相关的字段，或者，也可以不展示网络区域这一字段等，具体展示哪些信息可以结合实际应用场景灵活确定，此处不做限定。

本申请实施例中，对网络中至少一个对象和每个对象的地址信息进行汇总得到对象信息库，从而在获取到安全策略中包括的第一地址和第二地址之后，可以根据对象信息库确定与第一地址对应的第一对象以及与第二地址对应的第二对象，从而大大提高了安全策略转换为安全意图的效率。

可选的，第一通信设备在生成与第一安全策略对应的第一安全意图之后，还可以向用户显示第一安全策略和第一安全意图，以向用户展示第一安全意图和第一安全策略之间的对应关系。

具体的，第一通信设备可以通过GUI向用户显示第一安全意图和第一安全策略。或者，第一通信设备可以向第二通信设备发送第一安全意图和第一安全策略，第二通信设备通过GUI向用户显示第一安全意图和第一安全策略。

针对“第一安全意图和第一安全策略”的显示形式，在一种实现方式，可以采用表格、纯文本、文本结合图形或其他方式等来展示第一安全意图和第一安全策略。

可选地，第一通信设备可以通过GUI或第二通信设备向用户显示第一内容、第二内容和第三内容；其中，第一内容包括第一对象、第一地址以及第一对象和第一地址的对应关系，第二内容包括第二对象、第二地址以及第二对象和第二地址的对应关系，第三内容包括第一访问行为。

可选的，第一通信设备还可以通过GUI或第二通信设备向用户展示第一对象的描述信息和/或第二对象的描述信息，对于“第一对象的描述信息和/或第二对象的描述信息”的含义可以参阅上述对“对象的描述信息”的含义的介绍，此处不做赘述。

为了更直观地理解本方案，请参阅图4，图4为本申请实施例提供的展示第一安全策略和第一安全意图的一种示意图。如图4所示，图4中以展示的第一安全策略为防火墙上部署的第一安全策略为例，展示的第一安全策略和第一安全意图中包括第一对象所在的源网络区域(也即图4中的任意区域)、第一对象(也即图4中的任意)以及与第一对象对应的源IP地址(也即图4中的任意IP地址)和源端口(也即图4中的任意端口)，还包括第二对象所在的目的网络区域(也即图4中的数据中心)、第二对象(也即图4中的线上学习业务)、协议类型以及与第二对象对应的目的IP地址和目的端口，还包括第一访问(也即图4中的允许)，应理解，图4中的示例仅为方便理解本方案，不用于限定本方案。

本申请实施例中，向用户展示安全策略和基于安全策略得到的安全意图，也即将安全意图和安全策略关联起来，使用户更容易理解安全策略的含义，有利于降低安全策略的维护难度。

为了进一步理解本方案，以下结合图1示出的应用场景图，通过一个具体的示例对本申请提供的安全策略的处理方法进行介绍，请参阅图1，内部网络中存在办公园区和数据中心两个不同的网络区域，办公园区和互联网区域之间部署有防火墙1，办公园区和数据中心之间部署有防火墙2。图5中以第一通信设备获取防火墙1中部署的代码形式的一个第一安全策略为例，需要说明的是，如下图5示出的实施例仅为方便理解本方案，不用于限定本方案。如图5所示，本申请实施例提供的安全策略的处理方法包括以下步骤501-504。

步骤501，获取防火墙1中代码形式的第一安全策略。

本实施例中，步骤501的具体实现方式可以参阅图2对应实施例中步骤201中的描述，此处不做赘述。其中，如下对防火墙1上部署的代码形式的第一安全策略进行举例。防火墙1上部署的代码形式的一个第一安全策略如下：

其中，上述第一安全策略中源地址(src-addr)为任意(Any)，目的IP地址(dst-addr)为192.168.1.1/32，目的端口包括12345，协议类型(protocol)为TCP，第一访问行为(action)为允许(permit)。

步骤502，从代码形式的第一安全策略中获取第一地址和第二地址。

本实施例中，步骤502的具体实现方式可以参阅图2对应实施例中步骤201中的描述，此处不做赘述。作为示例，以下通过代码的形式分别展示第一通信设备从防火墙1和防火墙2上的第一安全策略中获取到的信息，从防火墙1上的第一安全策略中获取到的信息如下：

其中，与第一地址对应的源网络区域(src_zone)为任意(any)，第一地址中包括的源地址(src_addrgrp)为任意，与第二地址对应的目的网络区域(dst_zone)为任意，第二地址中包括的目的IP地址为192.168.10.1/32，第二地址中包括的目的端口为12345，协议类型为TCP，第一访问行为(action)为允许。

步骤503，获取第一地址所对应的第一对象以及第二地址所对应的第二对象。

本实施例中，步骤503的具体实现方式可以参阅图2对应实施例中步骤202中的描述，此处不做赘述。作为示例，此处以对象信息库中不存在第二地址为例说明获取与第二地址对应的第二对象，第一通信设备向用户展示的第二指示信息可以如下表3所示。

表3

其中，表3中最右侧的一列可以由用户进行编辑，以输入与第一地址对应的第一对象。需要说明的是，表3中示出的字段仅为方便理解本方案，实际产品中可以展示更多或更少的字段，此处不做限定。

步骤504，生成与第一安全策略对应的第一安全意图。

本实施例中，步骤504的具体实现方式可以参阅图2对应实施例中步骤202中的描述，此处不做赘述。例如，用户输入了“在线学习服务”作为表3中的第二对象，第一安全意图可以如下表4所示：

表4

在图2至图5示出的实施例的基础上，第一通信设备在获取到与第一安全策略对应的第一安全意图之后，可选的，在一种应用场景中，第一安全意图可以用于校验第一安全策略是否匹配已经存在的安全策略部署意图。

其中，安全策略部署意图也是通过自然语言的形式表达，用于指示允许或禁止某一个对象对另一个对象的访问行为，前述对象具体可以表现为：一种用户类型、一个业务的名称或者一个网络区域的名称。

安全策略部署意图可以包括如下任一项或多项：用户根据安全规范要求指定的至少一条安全规则、为了实现已经开通的业务而确定的安全策略部署意图或其他类型的安全策略部署意图等。

例如，安全规则可以为禁止互联网区域访问数据中心区域、禁止互联网区域访问数据中心区域人员信息管理服务或其他安全规则等。例如为了实现已经开通的业务而确定的安全策略部署意图可以包括允许互联网中的用户访问业务1、允许业务1访问业务2等，此处不做穷举。

在另一种应用场景中，第一安全意图可以用于校验新增安全策略部署意图是否与第一安全意图冲突。新增安全策略部署意图例如为基于待开通的业务确定的安全策略的部署意图，一个新增安全策略部署意图用于指示允许或禁止某一个对象对另一个对象的访问行为。例如，待开通的业务为向互联网用户开通数据中心的线上学习业务，则新增安全策略部署意图可以包括允许互联网用户访问线上学习业务，此处举例仅为方便理解本方案，不用于限定本方案。

由于上述两个应用场景的具体实现方案有所不同，以下分别对上述两个场景的具体实现方式进行介绍。

场景1：第一安全意图用于校验第一安全策略是否匹配已经存在的安全策略部署意图

请参阅图6，图6为本申请实施例提供的安全策略的处理方法的一种流程示意图。如图6所示，本申请实施例提供的安全策略的处理方法包括以下步骤601-605。

步骤601，获取第一安全设备上配置的第一安全策略，第一安全策略指示第一地址对第二地址的第一访问行为，第一访问行为为允许或禁止访问。

步骤602，根据第一安全策略生成第一安全意图，第一安全意图指示第一对象对第二对象的第一访问行为，第一对象或第二对象包括如下任一项：用户的类型，业务的名称，或者网络区域的名称。

本实施例中，步骤601和602的具体实现方式和图2对应实施例中的步骤201和202的具体实现方式类似，此处不做赘述。

步骤603，根据第一安全意图，确定第一安全策略是否匹配安全策略部署意图。

本实施例中，第一通信设备可以获取第一安全设备上已经存储的至少一个安全策略部署意图，针对至少一个安全策略部署意图中的任意一个安全策略部署意图(为方便描述，后续称为“目标安全策略部署意图”)，第一通信设备可以根据第一安全意图，确定第一安全策略是否匹配目标安全策略部署意图。

其中，目标安全策略部署意图指示第三对象对第四对象的第二访问行为。第三对象包括或第四对象包括如下任一项：用户的类型，业务的名称，或者网络区域的名称，第二访问行为为允许或禁止访问。

具体的，在一种情况中，若第三对象和第一对象均包括第一子地址，第四对象和第二对象均包括第二子地址，且第一访问行为和第二访问行为相同时，则确定第一安全策略匹配目标安全策略部署意图。

例如，“第三对象和第一对象均包括第一子地址”可以包括如下任一种情况：第三对象包括第一对象、第一对象包括第三对象，或者第一子地址为第三对象指向的地址中的一部分，且第一子地址为第一对象指向的地址中的一部分。

“第三对象包括第一对象”包括第三对象指向的地址和第一对象指向的地址相同，也即第三对象和第一对象为同一个对象；或者，第一对象指向的地址是第三对象指向的地址中的一部分。“第一对象包括第三对象”的概念与“第三对象包括第一对象”的概念类似，此处不做赘述。

需要说明的是，本申请实施例中借助第三对象指向的地址、第一对象指向的地址、第一子地址和第二子地址的概念是用来解释第三对象和第一对象之间的关系，第一通信设备可以直接根据第一对象和第二对象确定第三对象和第一对象之间的关系。例如，第三对象为网络区域1，第一对象为网络区域1中的业务1，则第三对象包括第一对象，本示例中第一对象指向的地址是第三对象指向的地址中的一部分。又例如，第三对象为网络区域2，第一对象是网络区域2中的用户Z，则第三对象包括第一对象，本示例中第一对象指向的地址是第三对象指向的地址中的一部分。又例如，第三对象为网络区域3，第一对象是网络区域3，则第三对象包括第一对象，本示例中第一对象指向的地址和第三对象指向的地址相同。又例如，第三对象为业务C，网络区域1、网络区域2和网络区域3中均提供业务C，第一对象为网络区域1，则第三对象指向的地址和第一对象指向的地址均包括网络区域1中提供业务C的设备的地址(也即第一子地址的一个示例)等，此处不做穷举。

可选的，若第一对象为用户类型，则第一对象指向的地址包括一类用户所采用的IP地址；若第一对象为一种业务的名称，则第一对象指向的地址包括用于前述一种业务的IP地址、端口和协议类型；若第一对象为一个网络区域的名称，则第一对象指向的地址包括前述网络区域所采用的IP地址。“第三对象指向的地址”的含义和“第一对象指向的地址”类似，此处不做赘述。

对应的，“第四对象包括第二对象”包括第四对象指向的地址和第二对象指向的地址相同，或者，第二对象指向的地址是第四对象指向的地址中的一部分。

若第二对象为一种业务的名称，则第二对象指向的地址包括用于前述一种业务的IP地址、端口和协议类型；若第二对象为一个网络区域的名称，则第二对象指向的地址包括前述网络区域所采用的IP地址。“第四对象指向的地址”的含义和“第二对象指向的地址”类似，此处不做赘述。

“第一访问行为和第二访问行为相同”包括：当第一访问行为是允许时，第二访问行为也是允许； 当第一访问行为是禁止时，第二访问行为也是禁止。

在另一种情况中，若第三对象和第一对象没有交集，或者，第四对象和第二对象没有交集，则确定第一安全策略匹配目标安全策略部署意图。

在一种情况中，若第三对象和第一对象均包括第一子地址，第四对象和第二对象均包括第二子地址，且第一访问行为和第二访问行为不同时，则确定第一安全策略与目标安全策略部署意图不匹配(也即冲突)。

第一通信设备可以重复执行上述操作，以确定第一安全策略与至少一个安全策略部署意图中每个安全策略部署意图是否均匹配，若第一安全策略与每个安全策略部署意图均匹配，则确定第一安全策略与已经存在的安全策略部署意图匹配；若第一安全策略与至少一个安全策略部署意图中任意一个安全策略部署意图不匹配，则确定第一安全策略与第一安全设备上已经存在的安全策略部署意图不匹配。

本申请实施例中，明确了根据第一安全意图确定第一安全策略是否匹配安全策略部署意图的一种具体判断方法，降低了安全策略是否匹配安全策略部署意图的判断过程的难度。

步骤604，显示第一安全策略和第一安全意图。

本实施例中，步骤604的具体实现方式可以参阅图2对应实施例中的步骤202的描述，此处不做赘述。

步骤605，显示第一校验结果，第一校验结果指示第一安全策略和安全策略部署意图是否匹配。

本实施例中，第一通信设备还可以通过GUI或者通过第二通信设备向用户显示第一校验结果，第一校验结果指示第一安全策略和安全策略部署意图是否匹配。

可选的，若第一安全策略与第一安全策略部署意图不匹配，则第一通信设备还可以向用户显示警示信息，以提醒用户对第一安全策略和第一安全策略部署意图的冲突情况进行处理；第一安全策略部署意图为已经存储的至少一个第一安全策略部署意图中的一个安全策略意图。

需要说明的是，本申请实施例不限定步骤604和605的执行顺序，可以同时执行步骤604和605，也即第一通信设备可以通过GUI或者通过第二通信设备向向用户显示第一安全策略、第一安全意图和第一校验结果。或者，也可以先执行步骤604，再执行步骤605；或者，也可以先执行步骤605，再执行步骤604。

为更直观地理解本方案，以下通过一个具体的示例对确定第一校验结果的过程进行介绍，需要说明的是，如下图7示出的实施例仅为方便理解本方案，不用于限定本方案。请参阅图7，图7为本申请实施例提供的网络中已经开通的一种业务的网络拓扑图。

如图7所示，Client-A的IP地址例如为101.10.1.1，个人客户信息业务的IP地址例如为182.101.1.1，互联网区域的IP地址段为公网地址，办公区域的IP地址段为192.168.1.0/24，数据中心的IP地址段例如为182.101.1.0/24。网络中已经开通了由个人客户信息业务向互联网用户提供的业务。

为了实现上述业务，在防火墙FW-A和防火墙FW-B上均部署了相同的第一安全策略，第一安全策略的示例如下：

其中，上述第一安全策略指示允许101.10.1.1 mask 255.255.255.255这一IP地址对182.101.1.1 mask 255.255.255.255这一IP地址的访问行为。

第一通信设备分别从防火墙FW-A和防火墙FW-B均获取到上述第一安全策略之后，可以生成与第一安全策略对应的第一安全意图。与上述第一安全策略对应的第一安全意图可以指示：互联网用户中的Client-A对个人客户信息业务的第一访问行为，第一访问行为是允许访问。

第一通信设备从已经存在的至少一个安全策略部署意图中获取到一条安全策略部署意图如下：互联 网对数据中心的第二访问行为，第二访问行为是禁止。由于互联网(网络区域的名称的一个示例)包括互联网用户中的Client-A，数据中心(网络区域的名称的一个示例)包括个人客户信息业务，第一访问行为和第二访问行为不同，因此确定第一安全意图和已经存在的安全策略部署意图冲突(也即不匹配)，则防火墙FW-A和防火墙FW-B上部署的第一安全策略均与安全策略部署意图冲突。

第一通信设备向用户显示的第一校验结果和第一安全意图所对应的第一安全策略。第一校验结果例如如表5所示，第一安全意图所对应的第一安全策略例如表6所示。

表5

表6

应理解，上述示例仅为方便理解本方案，不用于限定本方案。

本申请实施例中，在获取到第一安全意图之后，可以根据第一安全意图校验第一安全策略是否与已经存在的安全策略部署意图匹配，也即通过判断第一安全意图是否与安全策略部署意图匹配的方式来确定第一安全策略是否匹配安全策略部署意图，实现了校验第一安全策略的合理性。

场景2：第一安全意图用于校验新增安全策略部署意图是否与第一安全意图冲突

请参阅图8，图8为本申请实施例提供的安全策略的处理方法的一种流程示意图。如图8所示，本申请实施例提供的安全策略的处理方法包括以下步骤801-805。

步骤801，获取第一安全设备上配置的第一安全策略，第一安全策略指示第一地址对第二地址的第一访问行为，第一访问行为为允许或禁止访问。

步骤802，根据第一安全策略生成第一安全意图，第一安全意图指示第一对象对第二对象执行第一访问行为，第一对象或第二对象包括如下任一项：用户的类型，业务的名称，或者网络区域的名称。

本实施例中，步骤801和802的具体实现方式和图2对应实施例中的步骤201和202的具体实现方式类似，此处不做赘述。

步骤803，根据第一安全意图，确定新增安全策略部署意图是否与第一安全意图冲突。

本实施例中，当第一通信设备接收到新增安全策略部署意图时，可以获取与第一安全设备上部署的至少一个第一安全策略对应的安全意图集合，安全意图集合包括至少一个第一安全意图。第一通信设备判断新增安全策略部署意图与至少一个第一安全策略中的每个第一安全策略是否冲突，若新增安全策略部署意图与至少一个第一安全策略中的每个第一安全策略均不冲突，则确定新增安全策略部署意图与安全意图集合不冲突；若新增安全策略部署意图与至少一个第一安全策略中任意一个第一安全策略冲突，则确定新增安全策略部署意图与安全意图集合冲突。

其中，新增安全策略部署意图指示第五对象对第六对象的第三访问行为，第三访问行为是允许或禁止访问；第五对象或第六对象包括如下任一项：用户类型，业务的名称，或者网络区域的名称。

针对至少一个第一安全意图中的任意一个第一安全意图，具体的，步骤803可以包括：当第一对象和第五对象均包括第三子地址，第二对象和第六对象均包括第四子地址，且第一访问行为和第三访问行为不同时，确定新增安全策略部署意图与第一安全意图冲突。

其中，“第一对象和第五对象均包括第三子地址”代表第一对象指向的地址和第五对象指向的地址均包括第三子地址，“第二对象和第六对象均包括第四子地址”代表第二对象指向的地址和第六对象指向的地址均包括第四子地址，具体含义可以参阅上述对“第三对象和第一对象均包括第一子地址”的描述，此处不做赘述。

当第一对象和第五对象均包括第三子地址，第二对象和第六对象均包括第四子地址，且第一访问行为和第三访问行为相同时，确定新增安全策略部署意图与第一安全意图不冲突。当第一对象指向的地址和第五对象指向的地址没有交集，或者，第二对象指向的地址和第六对象指向的地址没有交集时，确定新增安全策略部署意图与第一安全意图不冲突。

本申请实施例中，明确了新增安全策略部署意图是否与第一安全意图冲突的一种具体判断方法，降低了新增安全策略部署意图是否与第一安全意图冲突的判断过程的难度。

步骤804，显示第一安全策略和第一安全意图。

步骤805，显示第二校验结果，第二校验结果指示新增安全策略部署意图是否与第一安全意图冲突。

本实施例中，步骤804和805的具体实现方式和图6对应实施例中的步骤604和605的具体实现方式类似，此处不做赘述。

可选的，若校验新增安全策略部署意图与一个第一安全意图(为方面描述，后续称为“目标第一安全意图”)冲突，则第一通信设备还可以向用户显示警示信息，以提醒用户对第一安全策略和目标第一安全意图的冲突情况进行处理。

需要说明的是，本申请实施例不限定步骤804和805的执行顺序，可以同时执行步骤804和805，也即第一通信设备可以通过GUI或者通过第二通信设备向向用户显示第一安全策略、第一安全意图和第一校验结果。或者，也可以先执行步骤804，再执行步骤805；或者，也可以先执行步骤805，再执行步骤804。

本申请实施例中，当出现新增安全策略部署意图之后，在配置与新增安全策略部署意图对应的安全策略之前，先校验新增安全策略部署意图是否与前述多个第一安全意图冲突，有利于降低新增加的安全策略与已经存在的安全策略出现冲突的可能性，从而提高网络运行过程的稳定性，也有利于保证网络能够顺利的向用户提供业务。此外，提供了第一安全意图的另一种应用方式，扩展了本方案的应用场景，提高了本方案的灵活性。

在图2至图8示出的实施例的基础上，可选的，第一通信设备还可以根据第一地址对第二地址的访问路径，确定每个第二安全设备，第二安全设备是访问路径上除了第一安全设备之外的任意一个其他安全设备。第一通信设备获取第二安全设备上配置的安全策略，生成与第二安全设备上配置的安全策略对应的安全意图。

确定与第二安全策略对应的第二安全意图，其中，第二安全策略指示第一地址对第二地址的第四访问行为，其中，第二安全意图指示第一对象对第二对象执行第四访问行为。

可选的，在一种应用场景中，第一安全意图和第二安全意图可以用于校验第一安全策略和第二安全策略是否匹配已经存在的安全策略部署意图。

在另一种应用场景中，若第一访问行为是禁止的访问行为，则第一安全意图和第二安全意图用于校验配置冗余。本申请实施例中，还可以获取位于第一地址对第二地址的访问路径上的第二安全设备，并获取第二安全设备上第二安全策略所对应的第二安全意图，有利于后续对第一地址对第二地址的访问路径上其它安全设备上的安全策略进行维护。

由于上述两个应用场景的具体实现方案有所不同，以下分别对上述两个场景的具体实现方式进行介绍。

场景1：第一安全意图和第二安全意图用于校验第一安全策略和第二安全策略是否匹配已经存在的 安全策略部署意图。

请参阅图9，图9为本申请实施例提供的安全策略的处理方法的一种流程示意图。如图9所示，本申请实施例提供的安全策略的处理方法包括以下步骤901-907。

步骤901，获取第一安全设备上配置的第一安全策略，第一安全策略指示第一地址对第二地址的第一访问行为，第一访问行为为允许或禁止访问。

步骤902，根据第一安全策略生成第一安全意图，第一安全意图指示第一对象对第二对象的第一访问行为，第一对象或第二对象包括如下任一项：用户的类型，业务的名称，或者网络区域的名称。

本实施例中，步骤901和902的具体实现方式和图2对应实施例中的步骤201和202的具体实现方式类似，此处不做赘述。

步骤903，获取第二安全设备上配置的安全策略，第一安全设备和第二安全设备均位于第一地址对第二地址的目标访问路径上，第一安全设备和第二安全设备为不同的安全设备。

步骤904，生成与第二安全设备上配置的安全策略对应的安全意图。

本实施例中，步骤903和904的具体实现方式和图2对应实施例中的步骤201和202的具体实现方式类似，此处不做赘述。

需要说明的是，本申请实施例不限定步骤901至902和步骤903至904的执行顺序，可以先执行步骤901和902，再执行步骤903和904；也可以先执行步骤903和904，再执行步骤901和902。

步骤905，根据第一安全意图和第二安全意图，确定第一安全策略和第二安全策略是否匹配安全策略部署意图。

本实施例中，第一通信设备在根据第一地址和第二地址，确定第一地址对第二地址的目标访问路径包括的至少一个安全设备之后，若目标访问路径包括的至少一个安全设备的数量为至少两个安全设备，则可以确定目标访问路径上包括的至少一个第二安全设备。

针对至少一个第二安全设备中的任意一个第二安全设备(为方便描述，后续称为“目标第二安全设备”)，目标第二安全设备中可以存在与多个安全策略对应的多个安全意图。

第一通信设备可以判断与目标第二安全设备对应的多个安全意图中是否存在与第二安全策略对应的第二安全意图，其中，第二安全策略指示第一地址对第二地址的第四访问行为，第四访问行为为允许或禁止访问，第二安全意图指示第一对象对第二对象的第四访问行为。

若目标第二安全设备中存在与第二安全策略对应的第二安全意图，则第一通信设备可以根据第一安全意图和目标第二安全设备所对应的第二安全意图，确定第一安全策略和目标第二安全设备上的第二安全策略是否匹配目标安全策略部署意图，目标安全策略部署意图为至少一个安全策略部署意图中任意一个安全策略部署意图。

具体的，在一种情况中，若基于第一安全意图确定第一安全策略匹配安全策略部署意图，且第二安全意图和第一安全意图不冲突，则确定第一安全策略和目标第二安全设备中的第二安全策略均匹配安全策略部署意图。对于“基于第一安全意图确定第一安全策略是否匹配安全策略部署意图”的具体实现方式可以参阅上述图6对应实施例中步骤603中的描述，此处不做赘述。

其中，若第一访问行为和第四访问行为相同，第一通信设备确定第二安全意图和第一安全意图不冲突，也即第一安全设备上的第一安全策略和目标第二安全设备上的第二安全策略不冲突。

因此，也即当第三对象包括第一对象，第四对象包括第二对象，且第一访问行为和第四访问行为与第二访问行为相同时，确定第一安全策略和第二安全策略均匹配安全策略部署意图。

在另一种情况中，若基于第一安全意图确定第一安全策略匹配安全策略部署意图，且第二安全意图和第一安全意图冲突，则确定第一安全意图确定第一安全策略匹配安全策略部署意图，且目标第二安全设备中的第二安全策略与安全策略部署意图不匹配。

其中，若第一访问行为和第四访问行为不同时，第一通信设备确定第二安全意图和第一安全意图冲突，也即第一安全设备上的第一安全策略和目标第二安全设备上的第二安全策略冲突。

在另一种情况中，若基于第一安全意图确定第一安全策略与安全策略部署意图不匹配，则不需要执行步骤905。

本申请实施例中，提供了根据第一安全意图和第二安全意图校验第一安全策略和第二安全策略是否匹配安全策略部署意图的一种具体实现方式，降低了本方案的实现难度。

若目标第二安全设备中不存在与第二安全策略对应的第二安全意图，则第一通信设备可以确定目标第二安全设备上缺失第二安全策略。可选的，第一通信设备还可以通过GUI或通过第二通信设备向用户展示警示信息，前述警示信息用于告知用户目标第二安全设备上缺失第二安全策略。

为更直观地理解本方案，以下通过一个具体的示例对确定第一校验结果的过程进行介绍，图10为本申请实施例提供的安全策略的处理方法的一种网络拓扑图。图10包括上和下两个子示意图，图10的上子示意图示出的为一种网络拓扑图，图10的下子示意图示出的为用于告知用户缺失第二安全策略的警示信息。如图10所示，Client-A的IP地址为192.168.1.1，个人客户信息业务的IP地址为172.101.1.1。

防火墙FW-A和FW-C上均部署了相同的安全策略，该相同的安全策略的示例如下：

其中，上述安全策略指示允许192.168.1.1 mask 255.255.255.255这一IP地址对172.101.1.1mask 255.255.255.255这一IP地址的访问行为。

第一通信设备分别从防火墙FW-A上述第一安全策略之后，可以生成与第一安全策略对应的第一安全意图。与上述第一安全策略对应的第一安全意图可以指示：互联网用户中的Client-A对个人客户信息业务的第一访问行为，第一访问行为是允许访问。

第一通信设备根据第一安全意图确定第一安全策略匹配安全策略部署意图之后，第一通信设备确定Client-A对个人客户信息业务之间的目标访问路径上包括防火墙FW-A、防火墙FW-B和防火墙FW-C三个安全设备，并确定防火墙FW-A和防火墙FW-C为Client-A对个人客户信息业务之间的目标访问路径上的两个第二安全设备。

在第一访问行为是允许的情况下，第一通信设备判断与防火墙FW-B上的至少一个安全策略对应的安全意图中，是否存在第二安全意图，由于判断结果为否，则确定防火墙FW-B上缺失第二安全策略，也即需要向用户输出警示信息。

第一通信设备判断与防火墙FW-C上的至少一个安全策略对应的安全意图中，是否存在第二安全意图，由于判断结果为是，且防火墙FW-C所对应的第二安全意图中的第四访问行为和第一访问行为不冲突，则确定防火墙FW-A上的第一安全策略和防火墙FW-C上第二安全策略均匹配安全策略部署意图。

如图10的下子示意图所示，FW-A上的第二安全意图和FW-C上的第二安全意图匹配安全策略部署意图，FW-B上缺失第二安全策略。图10所示的√表示对应防火墙上的安全意图指示禁止Client-A对个人客户信息业务的访问，圆圈表示对应防火墙缺失安全策略。

应理解，图10中的示例仅为方便理解本方案，不用于限定本方案。

步骤906，显示第一安全策略和第一安全意图。

步骤907，显示第三校验结果，第三校验结果指示第一安全策略和第二安全策略是否匹配安全策略部署意图。

本实施例中，第三校验结果包括第一安全策略和目标第二安全设备上的第二安全策略均匹配安全策略部署意图；或者，第一安全意图确定第一安全策略匹配安全策略部署意图，且目标第二安全设备中的第二安全策略与安全策略部署意图不匹配。步骤906和907的具体实现方式与图6对应实施例中步骤604和605类似，此处不做赘述。

为更直观地理解本方案，以下通过一个具体的示例对确定第一校验结果的过程进行介绍，图11为本申请实施例提供的安全策略的处理方法的一种网络拓扑图。图11包括上和下两个子示意图，图11的上子示意图示出的为一种网络拓扑图，图11的下子示意图示出的为第三校验结果。如图11所示，Client-A的IP地址为192.168.1.1，个人客户信息业务的IP地址为172.101.1.1。

在防火墙FW-B上部署了安全策略如下：

其中，上述安全策略指示禁止192.168.1.1 mask 255.255.255.255这一IP地址对172.101.1.1 mask 255.255.255.255这一IP地址的访问行为。

在防火墙FW-A和FW-C上部署了相同的安全策略，该相同的安全策略的示例如下：

其中，上述安全策略指示允许192.168.1.1 mask 255.255.255.255这一IP地址对172.101.1.1 mask 255.255.255.255这一IP地址的访问行为。

第一通信设备从防火墙FW-B获取到上述第一安全策略之后，可以生成与第一安全策略对应的第一安全意图。与上述第一安全策略对应的第一安全意图可以指示：Client-A对个人客户信息业务的第一访问行为，第一访问行为是禁止访问。

第一通信设备确定Client-A对个人客户信息业务之间的目标访问路径上包括防火墙FW-A、防火墙FW-B和防火墙FW-C三个安全设备，并确定防火墙FW-A和防火墙FW-C为Client-A对个人客户信息业务之间的目标访问路径上的两个第二安全设备。

第一通信设备从防火墙FW-A和防火墙FW-C上获取到上述安全策略之后，可以生成与防火墙FW-A和防火墙FW-C上的安全策略对应的安全意图，并分别从与防火墙FW-A和防火墙FW-C上的安全策略对应的至少一个安全意图中确定第二安全意图。与防火墙FW-A和防火墙FW-C对应的第二安全意图可以指示：Client-A对个人客户信息业务执行的第四访问行为，第四访问行为是允许访问。图11所示的√表示对应防火墙上的安全意图指示禁止Client-A对个人客户信息业务的访问，×表示对应防火墙的安全意图指示允许Client-A对个人客户信息业务的访问。

第一通信设备确定第一安全策略匹配安全策略部署意图之后，可以判断与防火墙FW-A和防火墙FW-C对应的第二安全意图是否与第一安全意图冲突，由于与防火墙FW-A和防火墙FW-C对应的第二安全意图与第一安全意图冲突，则第三校验结果为确定防火墙FW-B上的第一安全策略匹配安全策略部署意图，防火墙FW-A和防火墙FW-C上的第二安全策略与安全策略部署意图不匹配。

第一通信设备向用户显示的第三校验结果具体可以参阅如下表7和表8：

表7

表8

如图11的下子示意图所示，FW-A上的第二安全意图和FW-C上的第二安全意图与安全策略部署意图冲突，FW-B上的第一安全意图与安全策略部署意图匹配，应理解，图11中的示例仅为方便理解本方案，不用于限定本方案。

本申请实施例中，还可以根据第一安全意图和第二安全意图来校验第一安全策略和第二安全策略是否匹配安全策略部署意图，提供了第一安全意图的又一种应用方式，扩展了本方案的应用场景，进一步提高了本方案的灵活性。此外，不仅可以校验单个安全设备上的安全策略是否匹配安全策略部署意图，还可以校验第一地址对第二地址的访问路径上的所有安全设备是否均匹配安全策略部署意图，即，通过比较第一安全意图和第二安全意图，以及安全策略部署意图，实现了校验第一安全策略和第二安全策略的合理性。

场景2：第一安全意图和第二安全意图用于校验配置冗余。

请参阅图12，图12为本申请实施例提供的安全策略的获取方法的一种流程示意图。如图12所示，本申请实施例提供的安全策略的获取方法包括以下步骤1201-1207：

步骤1201，获取第一安全设备上配置的第一安全策略，第一安全策略指示第一地址对第二地址的第一访问行为，第一访问行为为允许或禁止访问。

步骤1202，根据第一安全策略生成第一安全意图，第一安全意图指示第一对象对第二对象的第一访问行为，第一对象或第二对象包括如下任一项：用户的类型，业务的名称，或者网络区域的名称。

本实施例中，步骤1201和1202的具体实现方式和图2对应实施例中的步骤201和202的具体实现方式类似，此处不做赘述。

步骤1203，获取第二安全设备上配置的安全策略，第一安全设备和第二安全设备均位于第一地址对第二地址的目标访问路径上，第一安全设备和第二安全设备为不同的安全设备。

步骤1204，生成与第二安全设备上配置的安全策略对应的安全意图。

本实施例中，步骤1203和1204的具体实现方式和图2对应实施例中的步骤201和202的具体实现方式类似，此处不做赘述。

需要说明的是，本申请实施例不限定步骤1201至1202和步骤1203至1204的执行顺序，可以先执 行步骤1201和1202，再执行步骤1203和1204；也可以先执行步骤1203和1204，再执行步骤1201和1202。

步骤1205，根据第一安全意图和第二安全意图，确定第一安全策略和第二安全策略是否为配置冗余。

本实施例中，第一通信设备在根据第一地址和第二地址，确定第一地址对第二地址的目标访问路径包括的至少一个安全设备之后，若目标访问路径包括的至少一个安全设备的数量为至少两个安全设备，则可以确定目标访问路径上包括的至少一个第二安全设备。

针对至少一个第二安全设备中的任意一个第二安全设备(为方便描述，后续称为“目标第二安全设备”)，在第一访问行为是禁止访问的情况下，目标第二安全设备中可以存在与多个安全策略对应的多个安全意图，第一通信设备可以从与目标第二安全设备对应的多个安全意图中获取与第二安全策略对应的第二安全意图，其中，第二安全策略指示第一地址对第二地址的第四访问行为，第四访问行为为允许或禁止的访问行为，第二安全意图指示第一对象对第二对象执行第四访问行为。

若与目标第二安全设备对应的多个安全意图中存在第二安全意图，且第四访问行为为禁止，也即与目标第二安全设备对应的多个安全意图中存在至少一个第二安全意图指示禁止第一对象访问第二对象，则确定第一安全策略与目标第二安全设备上的第二安全策略为配置冗余。若至少一个第二安全意图中不存在一个第二安全意图指示禁止第一对象访问第二对象，则确定第一安全策略与目标第二安全设备上的第二安全策略不存在配置冗余。

第一通信设备对至少一个第二安全设备中的每个第二安全设备均执行上述操作，以确定第一安全策略与每个第二安全设备上的第二安全策略是否存在配置冗余。若第一安全策略与目标访问路径上的至少一个第二安全设备上的第二安全策略存在配置冗余，则确定第一安全策略和第二安全策略存在配置冗余。

若第一安全策略与目标访问路径上的每个第二安全设备上的第二安全策略均不存在配置冗余，则确定第一安全策略和第二安全策略不存在配置冗余。

本申请实施例中，由于当想要禁止第一地址对第二地址的访问行为时，则只要在第一地址至第二地址的访问路径上的任一个安全设备上配置用于禁止第一地址对第二地址的访问行为的安全策略即可，因此当第一安全意图和第二安全意图均指示禁止第一对象访问第二对象时，就可以确定第一安全策略和第二安全策略之间存在配置冗余，有利于及时发现冗余的安全策略，提高安全设备的资源的利用率。

步骤1206，显示第一安全策略和第一安全意图。

步骤1207，显示第四校验结果，第四校验结果指示第一安全策略和第二安全策略是否存在配置冗余。

本实施例中，步骤1206和1207的具体实现方式与图6对应实施例中步骤604和605类似，此处不做赘述。

可选的，当确定第一安全策略和第二安全策略存在配置冗余时，还可以根据安全策略的部署策略，通过GUI或第二通信设备向用户显示处置建议。其中，处置建议用于指示保留目标访问路径上哪个安全设备上的安全策略；安全策略的部署策略包括以下一项或多项：近第一对象策略、近第二对象策略、资源对比策略、随机策略或其他策略等，此处不做穷举。

其中，近第一对象策略用于在目标访问路径经过的至少一个安全设备中选择保留距离第一对象最近的安全设备上的安全策略，近第二对象策略用于在目标访问路径经过的至少一个安全设备中选择保留距离第二对象最近的安全设备上的安全策略，资源对比策略用于在目标访问路径经过的至少一个安全设备中选择保留拥有最多安全资源的安全设备上的安全策略，安全资源为安全设备中用于存储安全策略的空闲存储空间。

为更直观地理解本方案，以下通过一个具体的示例对确定第四校验结果的过程进行介绍，需要说明的是，如下图13示出的实施例仅为方便理解本方案，不用于限定本方案。请参阅图13，图13为本申请实施例提供的安全策略的处理方法的一种网络拓扑图。图13包括上和下两个子示意图，图13的上子示意图示出的为一种网络拓扑图，图13的下子示意图示出的为第四校验结果。Client-A的IP地址为192.168.1.1，个人客户信息业务的IP地址为172.101.1.1。

在防火墙FW-A和防火墙FW-B上均部署了安全策略如下：

其中，上述安全策略指示禁止192.168.1.1 mask 255.255.255.255这一IP地址对172.101.1.1 mask 255.255.255.255这一IP地址的访问行为。

第一通信设备从防火墙FW-A获取到上述第一安全策略之后，可以生成与第一安全策略对应的第一安全意图。与上述第一安全策略对应的第一安全意图可以指示：Client-A对个人客户信息业务的第一访问行为，第一访问行为是禁止访问。

第一通信设备确定Client-A对个人客户信息业务之间的目标访问路径上包括防火墙FW-A和防火墙FW-B两个安全设备，并确定防火墙FW-B为Client-A对个人客户信息业务之间的目标访问路径上的一个第二安全设备。

第一通信设备从防火墙FW-B上获取到上述第二安全策略之后，可以生成与第二安全策略对应的第二安全意图。与防火墙FW-B上的第二安全策略对应的第二安全意图可以指示：Client-A对个人客户信息业务执行的第四访问行为，第四访问行为是禁止访问。

第一通信设备确定与防火墙FW-B对应的第二安全意图指示禁止Client-A访问个人客户信息业务，确定防火墙FW-A中的第一安全策略与防火墙FW-B中的第二安全策略为配置冗余。

第一通信设备向用户显示的第四校验结果具体可以参阅如下表9和表10：

表9

与安全意图对应的安全策略：

表10

如图13的下子示意图所示，FW-A上的安全策略和FW-B上的安全策略存在配置冗余。的下子示意图中的×表示对应防火墙的安全意图指示禁止Client-A对个人客户信息业务的访问。应理解，图13中的示例仅为方便理解本方案，不用于限定本方案。

本申请实施例中，还可以根据第一安全意图和第二安全意图来确定是否多个安全设备上是否存在安全策略的配置冗余，有利于及时发现冗余的安全策略，提高对安全设备上资源的利用率。此外，提供了第一安全意图的另一种应用方式，扩展了本方案的应用场景，进一步提高了本方案的灵活性。

还可以向用户显示一项或多项校验结果，有利于提示用户及时发现安全设备中已经部署的安全策略或者待部署的安全策略中存在的问题，帮助用户及时的发现已经存在或潜在的风险，有利于提高网络运行的稳定性。

请参阅图14，图14为本申请实施例提供的一种安全策略的处理装置的结构示意图。如图14所示， 安全策略的处理装置1400包括获取模块1401和生成模块1402。获取模块1401，用于获取第一安全设备上配置的第一安全策略，第一安全策略指示第一地址对第二地址的第一访问行为，第一访问行为为允许或禁止访问。生成模块1402，用于根据第一安全策略生成第一安全意图，第一安全意图指示第一对象对第二对象的第一访问行为。第一对象或第二对象包括以下任一项：用户的类型，业务的名称，或者网络区域的名称。

可选的，请参阅图15，图15为本申请实施例提供的一种安全策略的处理装置的结构示意图。安全策略的处理装置1400还包括确定模块1403。

可选的，确定模块1403，用于根据第一地址确定第一对象，根据第二地址确定第二对象。

可选的，确定模块1403，还用于根据第一地址和对象信息库确定第一对象，根据第二地址和对象信息库确定第二对象。对象信息库包括至少一个对象中的每个对象和每个对象的地址信息。至少一个对象包括第一对象和第二对象。每个对象为以下任一项：一种用户的类型，一种业务的名称，或一个网络区域的名称。

可选的，第一安全意图用于校验第一安全策略是否匹配安全策略部署意图。

可选的，安全策略部署意图指示第三对象对第四对象的第二访问行为。可选的，确定模块1403，还用于当第三对象和第一对象均包括第一子地址，第四对象和第二对象均包括第二子地址，且第一访问行为和第二访问行为相同时，确定第一安全策略匹配安全策略部署意图。

可选的，第一安全意图用于校验新增安全策略部署意图是否与第一安全意图冲突。

可选的，新增安全策略部署意图指示第五对象对第六对象的第三访问行为。可选的，确定模块1403，还用于当第一对象和第五对象均包括第三子地址，第二对象和第六对象均包括第四子地址，且第一访问行为和第三访问行为不同时，确定新增安全策略部署意图与第一安全意图冲突。

可选的，获取模块1401，还用于获取第二安全设备上配置的第二安全策略，生成模块1402，还用于根据第二安全策略生成第二安全意图。第二安全策略指示第一地址对第二地址的第四访问行为，第二安全意图指示第一对象对第二对象执行第四访问行为。第一安全设备位于第一地址对第二地址的访问路径上，第二安全设备是访问路径上的任意一个其他安全设备。

可选的，第一安全意图和第二安全意图用于校验第一安全策略和第二安全策略是否匹配安全策略部署意图。

可选的，安全策略部署意图指示第三对象对第四对象的第二访问行为。可选的，确定模块1403，还用于当第三对象包括第一对象，第四对象包括第二对象，且第一访问行为和第四访问行为与第二访问行为相同时，确定第一安全策略和第二安全策略匹配安全策略配置意图。

可选的，第一安全意图和第二安全意图用于校验配置冗余。

可选的，确定模块1403，还用于当第一安全意图和第二安全意图均指示禁止第一对象访问第二对象时，确定存在配置冗余。

可选的，请参阅图15，安全策略的处理装置1400还包括显示模块1404。显示模块1404，用于显示第一安全策略和第一安全意图。

可选的，显示模块1404，还用于显示以下一项或多项：第一校验结果，第二校验结果，第三校验结果，或者第四校验结果。第一校验结果指示第一安全策略是否匹配安全策略部署意图。第二校验结果指示新增安全策略部署意图是否与第一安全意图冲突。第三校验结果指示第一安全策略和第二安全策略是否匹配安全策略部署意图。第四校验结果指示是否存在配置冗余。

可选的，获取模块1401，还用于从第三安全设备获取第三安全策略，第三安全策略指示允许或禁止第三地址对第四地址的访问行为。可选的，获取模块1401，还用于获取与第三地址对应的第七对象，获取与第四地址对应的第八对象，并在对象信息库中添加第七对象和第三地址之间的对应关系，以及第八对象和第四地址之间的对应关系，得到新的对象信息库。第七对象或第八对象包括以下任一项：用户的类型，业务的名称，或者网络区域的名称。

图16申请实施例提供的一种网络设备1600的结构示意图。网络设备1600搭载有上述的安全策略 的处理装置。网络设备1600由一般性的总线体系结构来实现。

网络设备1600包括至少一个处理器1601、通信总线1602、存储器1603以及至少一个通信接口1604。

可选的，处理器1601是一个通用处理器(central processing unit,CPU)、网络处理器(network processor,NP)、微处理器、或者是一个或多个用于实现本申请方案的集成电路，例如，专用集成电路(application-specific integrated circuit，ASIC)，可编程逻辑器件(programmable logic device，PLD)或其组合。上述PLD是复杂可编程逻辑器件(complex programmable logic device，CPLD)，现场可编程逻辑门阵列(field-programmable gate array，FPGA)，通用阵列逻辑(generic array logic，GAL)或其任意组合。

通信总线1602用于在上述组件之间传送信息。通信总线1602分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

可选的，存储器1603是只读存储器(read-only memory，ROM)或可存储静态信息和指令的其它类型的静态存储设备。可替换的，存储器1603是随机存取存储器(random access memory，RAM)或者可存储信息和指令的其它类型的动态存储设备。可替换的，存储器1603是电可擦可编程只读存储器(electrically erasable programmable read-only Memory，EEPROM)、只读光盘(compact disc read-only memory，CD-ROM)或其它光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其它磁存储设备，或者是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其它介质，但不限于此。可选的，存储器1603是独立存在的，并通过通信总线1602与处理器1601相连接。可选的，存储器1603和处理器1601集成在一起。

通信接口1604使用任何收发器一类的装置，用于与其它设备或通信网络通信。通信接口1604包括有线通信接口。可选的，通信接口1604还包括无线通信接口。其中，有线通信接口例如为以太网接口。以太网接口是光接口，电接口或其组合。无线通信接口为无线局域网(wireless local area networks，WLAN)接口，蜂窝网络通信接口或其组合等。

在具体实现中，作为一种实施例，处理器1601包括一个或多个CPU，如图16中所示的CPU0和CPU1。

在具体实现中，作为一种实施例，网络设备1600包括多个处理器，如图16中所示的处理器1601和处理器1605。这些处理器中的每一个是一个单核处理器(single-CPU)，或者是一个多核处理器(multi-CPU)。这里的处理器指一个或多个设备、电路、和/或用于处理数据(如计算机程序指令)的处理核。

在一些实施例中，存储器1603用于存储执行本申请方案的程序代码1616，处理器1601执行存储器1603中存储的程序代码1616。也就是说，网络设备1600通过处理器1601以及存储器1603中的程序代码1616，来实现上述的方法实施例。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分可互相参考，每个实施例重点说明的都是与其他实施例的不同之处。

A参考B，指的是A与B相同或者A为B的简单变形。

本申请实施例的说明书和权利要求书中的术语“第一”和“第二”等是用于区别不同的对象，而不是用于描述对象的特定顺序，也不能理解为指示或暗示相对重要性。例如，第一限速通道和第二限速通道用于区别不同的限速通道，而不是用于描述限速通道的特定顺序，也不能理解为第一限速通道比第二限速通道更重要。

本申请实施例，除非另有说明，“至少一个”的含义是指一个或多个，“多个”的含义是指两个或两个以上。

上述实施例可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本申请实施例描述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以 存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(Digital Subscriber Line，DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘(Solid State Disk，SSD))等。

以上实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。

Claims (33)

1. 一种安全策略的处理方法，其特征在于，所述方法包括：

   获取第一安全设备上配置的第一安全策略，所述第一安全策略指示第一地址对第二地址的第一访问行为，所述第一访问行为为允许或禁止访问；

   根据所述第一安全策略生成第一安全意图，其中，所述第一安全意图指示第一对象对第二对象的所述第一访问行为，所述第一对象或第二对象包括以下任一项：用户的类型，业务的名称，或者网络区域的名称。
2. 根据权利要求1所述的方法，其特征在于，所述根据所述第一安全策略生成第一安全意图，包括：

   根据所述第一地址确定所述第一对象；

   根据所述第二地址确定所述第二对象。
3. 根据权利要求2所述的方法，其特征在于，所述方法还包括：

   根据所述第一地址和对象信息库确定所述第一对象；

   根据所述第二地址和所述对象信息库确定所述第二对象；

   其中，所述对象信息库包括至少一个对象中的每个对象和所述每个对象的地址信息，所述至少一个对象包括所述第一对象和所述第二对象，所述每个对象为以下任一项：一种用户的类型，一种业务的名称，或一个网络区域的名称。
4. 根据权利要求1至3任一所述的方法，其特征在于，所述第一安全意图用于校验所述第一安全策略是否匹配安全策略部署意图。
5. 根据权利要求4所述的方法，其特征在于，所述安全策略部署意图指示第三对象对第四对象的第二访问行为，所述方法还包括：

   当所述第三对象和所述第一对象均包括第一子地址，所述第四对象和所述第二对象均包括第二子地址，且所述第一访问行为和所述第二访问行为相同时，确定所述第一安全策略匹配所述安全策略部署意图。
6. 根据权利要求1至3任一所述的方法，其特征在于，所述第一安全意图用于校验新增安全策略部署意图是否与所述第一安全意图冲突。
7. 根据权利要求6所述的方法，其特征在于，所述新增安全策略部署意图指示第五对象对第六对象的第三访问行为，所述方法还包括：

   当所述第一对象和所述第五对象均包括第三子地址，所述第二对象和所述第六对象均包括第四子地址，且所述第一访问行为和所述第三访问行为不同时，确定所述新增安全策略部署意图与所述第一安全意图冲突。
8. 根据权利要求1至7任一所述的方法，其特征在于，所述方法还包括：

   获取第二安全设备上配置的第二安全策略，所述第二安全策略指示所述第一地址对所述第二地址的第四访问行为，所述第一安全设备位于所述第一地址对所述第二地址的访问路径上，所述第二安全设备是所述访问路径上的任意一个其他安全设备；

   根据所述第二安全策略生成第二安全意图，其中，所述第二安全意图指示所述第一对象对所述第二对象的所述第四访问行为。
9. 根据权利要求8所述的方法，其特征在于，所述第一安全意图和所述第二安全意图用于校验所述第一安全策略和所述第二安全策略是否匹配所述安全策略部署意图。
10. 根据权利要求9所述的方法，其特征在于，所述方法还包括：

    当所述第三对象和所述第一对象均包括第一子地址，所述第四对象和所述第二对象均包括第二子地址，且所述第一访问行为和所述第四访问行为与所述第二访问行为相同时，确定所述第一安全策略和所述第二安全策略匹配所述安全策略部署意图。
11. 根据权利要求8所述的方法，其特征在于，所述第一安全意图和所述第二安全意图用于校验配置冗余。
12. 根据权利要求11所述的方法，其特征在于，所述方法还包括：

    当所述第一安全意图和所述第二安全意图均指示禁止所述第一对象访问所述第二对象时，确定存在配置冗余。
13. 根据权利要求1至12任一所述的方法，其特征在于，所述方法还包括：

    显示所述第一安全策略和所述第一安全意图。
14. 根据权利要求13所述的方法，其特征在于，所述方法还包括：

    显示以下一项或多项：第一校验结果，第二校验结果，第三校验结果，或者第四校验结果；

    其中，所述第一校验结果指示所述第一安全策略是否匹配安全策略部署意图，所述第二校验结果指示新增安全策略部署意图是否与所述第一安全意图冲突，所述第三校验结果指示所述第一安全策略和所述第二安全策略是否匹配所述安全策略部署意图，所述第四校验结果指示是否存在配置冗余。
15. 根据权利要求1至14任一项所述的方法，其特征在于，所述方法还包括：

    从第三安全设备获取第三安全策略，所述第三安全策略指示允许或禁止第三地址对第四地址的第五访问行为；

    获取与所述第三地址对应的第七对象，获取与所述第四地址对应的第八对象，所述第七对象或第八对象包括以下任一项：用户的类型，业务的名称，或者网络区域的名称；

    在所述对象信息库中添加所述第七对象和所述第三地址之间的对应关系，以及所述第八对象和所述第四地址之间的对应关系，得到新的对象信息库。
16. 一种安全策略的处理装置，其特征在于，所述装置包括：

    获取模块，用于获取第一安全设备上配置的第一安全策略，所述第一安全策略指示第一地址对第二地址的第一访问行为，所述第一访问行为为允许或禁止访问；

    生成模块，用于根据所述第一安全策略生成第一安全意图，其中，所述第一安全意图指示第一对象对第二对象的所述第一访问行为，所述第一对象或第二对象包括以下任一项：用户的类型，业务的名称，或者网络区域的名称。
17. 根据权利要求16所述的装置，其特征在于，所述装置还包括确定模块，

    所述确定模块，用于根据所述第一地址确定所述第一对象；

    所述确定模块，还用于根据所述第二地址确定所述第二对象。
18. 根据权利要求17所述的装置，其特征在于，

    所述确定模块，用于根据所述第一地址和对象信息库确定所述第一对象；

    所述确定模块，还用于根据所述第二地址和所述对象信息库确定所述第二对象；

    其中，所述对象信息库包括至少一个对象中的每个对象和所述每个对象的地址信息，所述至少一个对象包括所述第一对象和所述第二对象，所述每个对象为以下任一项：一种用户的类型，一种业务的名称，或一个网络区域的名称。
19. 根据权利要求16至18任一所述的装置，其特征在于，所述第一安全意图用于校验所述第一安全策略是否匹配安全策略部署意图。
20. 根据权利要求19所述的装置，其特征在于，所述安全策略部署意图指示第三对象对第四对象的第二访问行为；

    所述确定模块，还用于当所述第三对象和所述第一对象均包括第一子地址，所述第四对象和所述第二对象均包括第二子地址，且所述第一访问行为和所述第二访问行为相同时，确定所述第一安全策略匹配所述安全策略部署意图。
21. 根据权利要求16至18任一所述的装置，其特征在于，所述第一安全意图用于校验新增安全策略部署意图是否与所述第一安全意图冲突。
22. 根据权利要求21所述的装置，其特征在于，所述新增安全策略部署意图指示第五对象对第六对象的第三访问行为；

    所述确定模块，还用于当所述第一对象和所述第五对象均包括第三子地址，所述第二对象和所述第六对象均包括第四子地址，且所述第一访问行为和所述第三访问行为不同时，确定所述新增安全策略部署意图与所述第一安全意图冲突。
23. 根据权利要求16至22任一所述的装置，其特征在于，

    所述获取模块，还用于获取第二安全设备上配置的第二安全策略，所述第二安全策略指示所述第一地址对所述第二地址的第四访问行为，所述第一安全设备位于所述第一地址对所述第二地址的访问路径上，所述第二安全设备是所述访问路径上的任意一个其他安全设备；

    所述生成模块，还用于根据所述第二安全策略生成第二安全意图，其中，所述第二安全意图指示所述第一对象对所述第二对象的所述第四访问行为。
24. 根据权利要求23所述的装置，其特征在于，所述第一安全意图和所述第二安全意图用于校验所述第一安全策略和所述第二安全策略是否匹配所述安全策略部署意图。
25. 根据权利要求24所述的装置，其特征在于，

    所述确定模块，还用于当所述第三对象和所述第一对象均包括第一子地址，所述第四对象和所述第二对象均包括第二子地址，且所述第一访问行为和所述第四访问行为与所述第二访问行为相同时，确定所述第一安全策略和所述第二安全策略匹配所述安全策略部署意图。
26. 根据权利要求23所述的装置，其特征在于，所述第一安全意图和所述第二安全意图用于校验配置冗余。
27. 根据权利要求26所述的装置，其特征在于，

    所述确定模块，还用于当所述第一安全意图和所述第二安全意图均指示禁止所述第一对象访问所述第二对象时，确定存在配置冗余。
28. 根据权利要求16至27任一所述的装置，其特征在于，所述装置还包括：

    显示模块，用于显示所述第一安全策略和所述第一安全意图。
29. 根据权利要求28所述的装置，其特征在于，

    所述显示模块，还用于显示以下一项或多项：第一校验结果，第二校验结果，第三校验结果，或者第四校验结果；

    其中，所述第一校验结果指示所述第一安全策略是否匹配安全策略部署意图，所述第二校验结果指示新增安全策略部署意图是否与所述第一安全意图冲突，所述第三校验结果指示所述第一安全策略和所述第二安全策略是否匹配所述安全策略部署意图，所述第四校验结果指示是否存在配置冗余。
30. 根据权利要求16至29任一项所述的装置，其特征在于，

    所述获取模块，还用于从第三安全设备获取第三安全策略，所述第三安全策略指示允许或禁止第三地址对第四地址的第五访问行为；

    所述获取模块，还用于获取与所述第三地址对应的第七对象，获取与所述第四地址对应的第八对象，所述第七对象或第八对象包括以下任一项：用户的类型，业务的名称，或者网络区域的名称；

    在所述对象信息库中添加所述第七对象和所述第三地址之间的对应关系，以及所述第八对象和所述第四地址之间的对应关系，得到新的对象信息库。
31. 一种通信设备，包括处理器和存储器，所述存储器用于存储程序代码，所述处理器用于调用所述存储器中的程序代码以使得所述通信设备执行如权利要求1-15任一项所述的方法。
32. 一种计算机可读存储介质，存储有指令，当所述指令在计算机上运行时，使得计算机执行如权利要求1-15任一项所述的方法。
33. 一种计算机程序产品，其特征在于，包括程序代码，当计算机运行所述计算机程序产品时，使得所述计算机执行如权利要求1-15任一项所述的方法。