一種防火墻訪問(wèn)控制策略的分析方法及裝置制造方法
【專(zhuān)利摘要】本申請(qǐng)公開(kāi)了一種防火墻訪問(wèn)控制策略的分析方法及裝置���,包括:分析裝置獲取防火墻的全部訪問(wèn)控制策略�;在各個(gè)訪問(wèn)控制策略中����,當(dāng)動(dòng)作標(biāo)識(shí)為不允許時(shí)����,訪問(wèn)控制策略為安全的訪問(wèn)控制策略���;當(dāng)動(dòng)作標(biāo)識(shí)為允許��,且源IP地址集合包含于非可信的IP地址集合�����,且目的IP地址集合包含于允許訪問(wèn)的IP地址集合�,且目的端口號(hào)集合包含于允許訪問(wèn)的目的端口號(hào)集合時(shí)�,訪問(wèn)控制策略為安全的訪問(wèn)控制策略,否則���,訪問(wèn)控制策略為不安全的訪問(wèn)控制策略�,當(dāng)安全的訪問(wèn)控制策略的個(gè)數(shù)大于或等于兩個(gè)時(shí)�,分析裝置將每?jī)蓚€(gè)安全的訪問(wèn)控制策略進(jìn)行優(yōu)化分析。不僅能夠有效地提高防火墻訪問(wèn)控制策略的分析效率��,而且還能夠保證對(duì)防火墻訪問(wèn)控制策略分析的正確性�。
【專(zhuān)利說(shuō)明】一種防火墻訪問(wèn)控制策略的分析方法及裝置
【技術(shù)領(lǐng)域】
[0001]本申請(qǐng)涉及移動(dòng)通信技術(shù)����,特別涉及一種防火墻訪問(wèn)控制策略的分析方法及裝置���。
【背景技術(shù)】
[0002]隨著企業(yè)信息化的普及�,網(wǎng)絡(luò)的信息安全問(wèn)題已引起越來(lái)越多的關(guān)注����,為了保障網(wǎng)絡(luò)設(shè)備的信息安全,通常使用防火墻來(lái)對(duì)各個(gè)網(wǎng)絡(luò)設(shè)備實(shí)行嚴(yán)格的訪問(wèn)控制�����,防火墻是一個(gè)軟硬件結(jié)合的信息安全設(shè)備���,它根據(jù)訪問(wèn)控制策略對(duì)流經(jīng)的數(shù)據(jù)進(jìn)行訪問(wèn)控制�,從而保障網(wǎng)絡(luò)的信息安全��。一般情況下����,每個(gè)防火墻中都有大量的訪問(wèn)控制策略��,其中,各個(gè)所述訪問(wèn)控制策略包括:源IP地址集合���、目的IP地址集合����、目的端口號(hào)集合和動(dòng)作標(biāo)識(shí)�����,其中���,所述動(dòng)作標(biāo)識(shí)包括:允許和不允許��。當(dāng)某個(gè)數(shù)據(jù)包經(jīng)過(guò)防火墻時(shí)�,防火墻依據(jù)全部訪問(wèn)控制策略依次對(duì)該數(shù)據(jù)包進(jìn)行匹配����,從而判斷是否對(duì)該數(shù)據(jù)包放行。
[0003]一個(gè)典型的訪問(wèn)控制策略如下述表1所示:
[0004]
【權(quán)利要求】
1.一種防火墻訪問(wèn)控制策略的分析方法����,其特征在于,包括: 分析裝置獲取防火墻的全部訪問(wèn)控制策略���,其中�,各個(gè)所述訪問(wèn)控制策略包括:源IP地址集合、目的IP地址集合����、目的端口號(hào)集合和動(dòng)作標(biāo)識(shí),其中�,所述動(dòng)作標(biāo)識(shí)包括:允許和不允許; 在各個(gè)所述訪問(wèn)控制策略中�����,當(dāng)所述動(dòng)作標(biāo)識(shí)為不允許時(shí)����,所述訪問(wèn)控制策略為安全的訪問(wèn)控制策略; 當(dāng)所述動(dòng)作標(biāo)識(shí)為允許����,且所述源IP地址集合包含于預(yù)先設(shè)置的非可信的IP地址集合,且所述目的IP地址集合包含于預(yù)先設(shè)置的允許訪問(wèn)的IP地址集合��,且所述目的端口號(hào)集合包含于預(yù)先設(shè)置的允許訪問(wèn)的目的端口號(hào)集合時(shí)�����,所述訪問(wèn)控制策略為安全的訪問(wèn)控制策略�,否則,所述訪問(wèn)控制策略為不安全的訪問(wèn)控制策略�; 當(dāng)所述安全的訪問(wèn)控制策略的個(gè)數(shù)大于或等于兩個(gè)時(shí),所述分析裝置根據(jù)每?jī)蓚€(gè)安全的訪問(wèn)控制策略中的源IP地址集合����、目的IP地址集合以及目的端口號(hào)集合的包含關(guān)系,將每?jī)蓚€(gè)安全的訪問(wèn)控制策略進(jìn)行優(yōu)化分析��,獲取每?jī)蓚€(gè)安全的訪問(wèn)控制策略的優(yōu)化分析結(jié)果O
2.根據(jù)權(quán)利要求1所述的方法����,其特征在于,所述將每?jī)蓚€(gè)安全的訪問(wèn)控制策略進(jìn)行優(yōu)化分析包括: 所述分析裝置將兩個(gè)安全的訪問(wèn)控制策略中的其中一個(gè)安全的訪問(wèn)控制策略設(shè)置為第一訪問(wèn)控制策略���,將另一個(gè)安全的訪問(wèn)控制策略設(shè)置為第二訪問(wèn)控制策略����; 當(dāng)所述第一訪問(wèn)控制策略中的源IP地址集合與所述第二訪問(wèn)控制策略中的源IP地址集合��,所述第一訪問(wèn)控制策略中的目的IP地址集合與所述第二訪問(wèn)控制策略中的目的IP地址集合����,以及所述第一訪問(wèn)控制策略中的目的端口號(hào)集合與所述第二訪問(wèn)控制策略中的目的端口號(hào)集合均存在包含關(guān)系時(shí)�����,所述第一訪問(wèn)控制策略與所述第二訪問(wèn)控制策略互為不優(yōu)化的訪問(wèn)控制策略�,否則���,所述第一訪問(wèn)控制策略與所述第二訪問(wèn)控制策略互為優(yōu)化的訪問(wèn)控制策略�����。
3.根據(jù)權(quán)利要求2所述的方法�����,其特征在于���,所述不優(yōu)化的訪問(wèn)控制策略包括:非交叉的訪問(wèn)控制策略和交叉的訪問(wèn)控制策略; 當(dāng)所述第一訪問(wèn)控制策略中的源IP地址集合與所述第二訪問(wèn)控制策略中的源IP地址集合的包含關(guān)系��、所述第一訪問(wèn)控制策略中的目的IP地址集合與所述第二訪問(wèn)控制策略中的目的IP地址集合的包含關(guān)系���,以及所述第一訪問(wèn)控制策略中的目的端口號(hào)集合與所述第二訪問(wèn)控制策略中的目的端口號(hào)集合的包含關(guān)系均相同時(shí)�����,所述第一訪問(wèn)控制策略與所述第二訪問(wèn)控制策略互為非交叉的訪問(wèn)控制策略����,否則��,所述第一訪問(wèn)控制策略與所述第二訪問(wèn)控制策略互為交叉的訪問(wèn)控制策略�。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于����,所述第一訪問(wèn)控制策略與所述第二訪問(wèn)控制策略互為非交叉的訪問(wèn)控制策略包括: 所述第一訪問(wèn)控制策略中的源IP地址集合包含所述第二訪問(wèn)控制策略中的源IP地址集合,且所述第一訪問(wèn)控制策略中的目的IP地址集合包含所述第二訪問(wèn)控制策略中的目的IP地址集合��,且所述第一訪問(wèn)控制策略中的目的端口號(hào)集合包含所述第二訪問(wèn)控制策略中的目的端口號(hào)集合���; 或者���,所述第一訪問(wèn)控制策略中的源IP地址集合包含于所述第二訪問(wèn)控制策略中的源IP地址集合,且所述第一訪問(wèn)控制策略中的目的IP地址集合包含于所述第二訪問(wèn)控制策略中的目的IP地址集合��,且所述第一訪問(wèn)控制策略中的目的端口號(hào)集合包含于所述第二訪問(wèn)控制策略中的目的端口號(hào)集合�����。
5.根據(jù)權(quán)利要求3所述的方法,其特征在于�,所述第一訪問(wèn)控制策略與所述第二訪問(wèn)控制策略互為交叉的訪問(wèn)控制策略包括: 所述第一訪問(wèn)控制策略中的源IP地址集合包含所述第二訪問(wèn)控制策略中的源IP地址,且所述第一訪問(wèn)控制策略中的目的IP地址集合包含所述第二訪問(wèn)控制策略中的目的IP地址集合�����,且所述第一訪問(wèn)控制策略中的目的端口號(hào)集合包含于所述第二訪問(wèn)控制策略中的目的端口號(hào)集合�; 或者,所述第一訪問(wèn)控制策略中的源IP地址集合包含所述第二訪問(wèn)控制策略中的源IP地址集合����,且所述第一訪問(wèn)控制策略中的目的IP地址集合包含于所述第二訪問(wèn)控制策略中的目的IP地址集合時(shí),且所述第一訪問(wèn)控制策略中的目的端口號(hào)集合包含所述第二訪問(wèn)控制策略中的目的端口號(hào)集合����; 或者,所述第一訪問(wèn)控制策略中的源IP地址集合包含所述第二訪問(wèn)控制策略中的源IP地址集合���,且所述第一訪問(wèn)控制策略中的目的IP地址集合包含于所述第二訪問(wèn)控制策略中的目的IP地址集合��,且所述第一訪問(wèn)控制策略中的目的端口號(hào)集合包含于所述第二訪問(wèn)控制策略中的目的端口號(hào)集合����; 或者,所述第一訪問(wèn)控制策略中的源IP地址集合包含于所述第二訪問(wèn)控制策略中的源IP地址集合���,且所述第一訪問(wèn)控制策略中的目的IP地址集合包含所述第二訪問(wèn)控制策略中的目的IP地址集合�����,且所述第一訪問(wèn)控制策略中的目的端口號(hào)集合包含所述第二訪問(wèn)控制策略中的目的端口號(hào)集合�����; 或者,所述第一訪問(wèn)控制策略中的源IP地址集合包含于所述第二訪問(wèn)控制策略中的源IP地址集合��,且所述第一訪問(wèn)控制策略中的目的IP地址集合包含所述第二訪問(wèn)控制策略中的目的IP地址集合����,且所述第一訪問(wèn)控制策略中的目的端口號(hào)集合包含于所述第二訪問(wèn)控制策略中的端口號(hào)集合; 或者���,所述第一訪問(wèn)控制策略中的源IP地址集合包含于所述第二訪問(wèn)控制策略中的源IP地址集合�,且所述第一訪問(wèn)控制策略中的目的IP地址集合包含于所述第二訪問(wèn)控制策略中的目的IP地址集合�����,且所述第一訪問(wèn)控制策略中的目的端口號(hào)集合包含所述第二訪問(wèn)控制策略中的端口號(hào)集合。
6.根據(jù)權(quán)利要求3所述的方法����,其特征在于,所述非交叉的訪問(wèn)控制策略包括:非交叉重復(fù)的訪問(wèn)控制策略和非交叉沖突的訪問(wèn)控制策略���; 當(dāng)所述第一訪問(wèn)控制策略與所述第二訪問(wèn)控制策略互為非交叉的訪問(wèn)控制策略�,且所述第一訪問(wèn)控制策略中的動(dòng)作標(biāo)識(shí)與所述第二訪問(wèn)控制策略中的動(dòng)作標(biāo)識(shí)相同時(shí)��,所述第一訪問(wèn)控制策略與所述第二訪問(wèn)控制策略互為非交叉重復(fù)的訪問(wèn)控制策略���,否則��,所述第一訪問(wèn)控制策略與所述第二訪問(wèn)控制策略互為非交叉沖突的訪問(wèn)控制策略�。
7.根據(jù)權(quán)利要求3所述的方法��,其特征在于��,所述交叉的訪問(wèn)控制策略包括:交叉重復(fù)的訪問(wèn)控制策略和交叉沖突的訪問(wèn)控制策略���; 當(dāng)所述第一訪問(wèn)控制策略與所述第二訪問(wèn)控制策略互為交叉的訪問(wèn)控制策略���,且所述第一訪問(wèn)控制策略中的動(dòng)作標(biāo)識(shí)與所述第二訪問(wèn)控制策略中的動(dòng)作標(biāo)識(shí)相同時(shí)����,所述第一訪問(wèn)控制策略與所述第二訪問(wèn)控制策略互為交叉重復(fù)的訪問(wèn)控制策略��,否則�,所述第一訪問(wèn)控制策略與所述第二訪問(wèn)控制策略為互交叉沖突的訪問(wèn)控制策略。
8.一種防火墻訪問(wèn)控制策略的分析裝置��,其特征在于�����,包括:獲取單元和分析單元����; 所述獲取單元��,用于獲取防火墻的全部訪問(wèn)控制策略��,其中����,各個(gè)所述訪問(wèn)控制策略包括:源IP地址集合、目的IP地址集合���、目的端口號(hào)集合和動(dòng)作標(biāo)識(shí)����,其中,所述動(dòng)作標(biāo)識(shí)包括:允許和不允許����;將全部所述訪問(wèn)控制策略發(fā)送給所述分析單元; 所述分析單元����,用于在各個(gè)所述訪問(wèn)控制策略中,判斷所述動(dòng)作標(biāo)識(shí)是否為不允許�����,若是��,所述訪問(wèn)控制策略為安全的訪問(wèn)控制策略��,否則�,判斷所述源IP地址集合是否包含于預(yù)先設(shè)置的非可信的IP地址集合,且所述目的IP地址集合是否包含于預(yù)先設(shè)置的允許訪問(wèn)的IP地址集合�����,且所述目的端口號(hào)集合是否包含于預(yù)先設(shè)置的允許訪問(wèn)的目的端口號(hào)集合,若是���,所述訪問(wèn)控制策略為安全的訪問(wèn)控制策略��,否則���,所述訪問(wèn)控制策略為不安全的訪問(wèn)控制策略;還用于當(dāng)所述安全的訪問(wèn)控制策略的個(gè)數(shù)大于或等于兩個(gè)時(shí)�,根據(jù)每?jī)蓚€(gè)安全的訪問(wèn)控制策略中的源IP地址集合、目的IP地址集合以及目的端口號(hào)集合的包含關(guān)系��,將每?jī)蓚€(gè)安全的訪問(wèn)控制策略進(jìn)行優(yōu)化分析�����,獲取每?jī)蓚€(gè)安全的訪問(wèn)控制策略的優(yōu)化分析結(jié)果��。
9.根據(jù)權(quán)利要求8所述的裝置����,其特征在于�,所述分析單元,還用于將兩個(gè)安全的訪問(wèn)控制策略中的其中一個(gè)安全的訪問(wèn)控制策略設(shè)置為第一訪問(wèn)控制策略�,將另一個(gè)安全的訪問(wèn)控制策略設(shè)置為第二訪問(wèn)控制策略�����;當(dāng)所述第一訪問(wèn)控制策略中的源IP地址集合與所述第二訪問(wèn)控制策略中的源IP地址集合�,所述第一訪問(wèn)控制策略中的目的IP地址集合與所述第二訪問(wèn)控制策略中的目的IP地址集合��,以及所述第一訪問(wèn)控制策略中的目的端口號(hào)集合與所述第二訪問(wèn) 控制策略中的目的端口號(hào)集合均存在包含關(guān)系時(shí)��,所述第一訪問(wèn)控制策略與所述第二訪問(wèn)控制策略互為不優(yōu)化的訪問(wèn)控制策略��,否則�,所述第一訪問(wèn)控制策略與所述第二訪問(wèn)控制策略互為優(yōu)化的訪問(wèn)控制策略。
10.根據(jù)權(quán)利要求9所述的裝置���,其特征在于��,所述不優(yōu)化的訪問(wèn)控制策略包括:非交叉的訪問(wèn)控制策略和交叉的訪問(wèn)控制策略�����; 所述分析單元����,還用于判斷所述第一訪問(wèn)控制策略中的源IP地址集合與所述第二訪問(wèn)控制策略中的源IP地址集合的包含關(guān)系、所述第一訪問(wèn)控制策略中的目的IP地址集合與所述第二訪問(wèn)控制策略中的目的IP地址集合的包含關(guān)系����,以及所述第一訪問(wèn)控制策略中的目的端口號(hào)集合與所述第二訪問(wèn)控制策略中的目的端口號(hào)集合的包含關(guān)系是否均相同,若是�����,所述第一訪問(wèn)控制策略與所述第二訪問(wèn)控制策略互為非交叉的訪問(wèn)控制策略�,否貝U,所述第一訪問(wèn)控制策略與所述第二訪問(wèn)控制策略互為交叉的訪問(wèn)控制策略�����。
11.根據(jù)權(quán)利要求10所述的裝置�,其特征在于,所述第一訪問(wèn)控制策略與所述第二訪問(wèn)控制策略互為非交叉的訪問(wèn)控制策略包括: 所述第一訪問(wèn)控制策略中的源IP地址集合包含所述第二訪問(wèn)控制策略中的源IP地址集合����,且所述第一訪問(wèn)控制策略中的目的IP地址集合包含所述第二訪問(wèn)控制策略中的目的IP地址集合,且所述第一訪問(wèn)控制策略中的目的端口號(hào)集合包含所述第二訪問(wèn)控制策略中的目的端口號(hào)集合����; 或者����,所述第一訪問(wèn)控制策略中的源IP地址集合包含于所述第二訪問(wèn)控制策略中的源IP地址集合���,且所述第一訪問(wèn)控制策略中的目的IP地址集合包含于所述第二訪問(wèn)控制策略中的目的IP地址集合,且所述第一訪問(wèn)控制策略中的目的端口號(hào)集合包含于所述第二訪問(wèn)控制策略中的目的端口號(hào)集合���。
12.根據(jù)權(quán)利要求10所述的裝置�,其特征在于�����,所述第一訪問(wèn)控制策略與所述第二訪問(wèn)控制策略互為交叉的訪問(wèn)控制策略包括: 所述第一訪問(wèn)控制策略中的源IP地址集合包含所述第二訪問(wèn)控制策略中的源IP地址���,且所述第一訪問(wèn)控制策略中的目的IP地址集合包含所述第二訪問(wèn)控制策略中的目的IP地址集合���,且所述第一訪問(wèn)控制策略中的目的端口號(hào)集合包含于所述第二訪問(wèn)控制策略中的目的端口號(hào)集合; 或者�����,所述第一訪問(wèn)控制策略中的源IP地址集合包含所述第二訪問(wèn)控制策略中的源IP地址集合�����,且所述第一訪問(wèn)控制策略中的目的IP地址集合包含于所述第二訪問(wèn)控制策略中的目的IP地址集合時(shí),且所述第一訪問(wèn)控制策略中的目的端口號(hào)集合包含所述第二訪問(wèn)控制策略中的目的端口號(hào)集合�����; 或者���,所述第一訪問(wèn)控制策略中的源IP地址集合包含所述第二訪問(wèn)控制策略中的源IP地址集合���,且所述第一訪問(wèn)控制策略中的目的IP地址集合包含于所述第二訪問(wèn)控制策略中的目的IP地址集合,且所述第一訪問(wèn)控制策略中的目的端口號(hào)集合包含于所述第二訪問(wèn)控制策略中的目的端口號(hào)集合�����; 或者����,所述第一訪問(wèn)控制策略中的源IP地址集合包含于所述第二訪問(wèn)控制策略中的源IP地址集合,且所述第一訪問(wèn)控制策略中的目的IP地址集合包含所述第二訪問(wèn)控制策略中的目的IP地址集合����,且所述第一訪問(wèn)控制策略中的目的端口號(hào)集合包含所述第二訪問(wèn)控制策略中的目的端口號(hào)集合; 或者����,所述第一訪問(wèn)控制策略中的源IP地址集合包含于所述第二訪問(wèn)控制策略中的源IP地址集合�����,且所述第一訪問(wèn)控制策略中的目的IP地址集合包含所述第二訪問(wèn)控制策略中的目的IP地址集合,且所述第一訪問(wèn)控制策略中的目的端口號(hào)集合包含于所述第二訪問(wèn)控制策略中的端口號(hào)集合���; 或者����,所述第一訪問(wèn)控制策略中的源IP地址集合包含于所述第二訪問(wèn)控制策略中的源IP地址集合���,且所述第一訪問(wèn)控制策略中的目的IP地址集合包含于所述第二訪問(wèn)控制策略中的目的IP地址集合���,且所述第一訪問(wèn)控制策略中的目的端口號(hào)集合包含所述第二訪問(wèn)控制策略中的端口號(hào)集合。
13.根據(jù)權(quán)利要求10所述的裝置��,其特征在于�����,所述非交叉的訪問(wèn)控制策略包括:非交叉重復(fù)的訪問(wèn)控制策略和非交叉沖突的訪問(wèn)控制策略�; 所述分析單元,還用于判斷所述第一訪問(wèn)控制策略與所述第二訪問(wèn)控制策略是否互為^ ^交叉的訪問(wèn)控制策略���,且所述第一訪問(wèn)控制策略中的動(dòng)作標(biāo)識(shí)與所述第二訪問(wèn)控制策略中的動(dòng)作標(biāo)識(shí)是否相同��,若是�����,所述第一訪問(wèn)控制策略與所述第二訪問(wèn)控制策略互為非交叉重復(fù)的訪問(wèn)控制策略�����,否則���,所述第一訪問(wèn)控制策略與所述第二訪問(wèn)控制策略互為非交叉沖突的訪問(wèn)控制策略����。
14.根據(jù)權(quán)利要求10所述的裝置��,其特征在于����,所述交叉的訪問(wèn)控制策略包括:交叉重復(fù)的訪問(wèn)控制策略和交叉沖突的訪問(wèn)控制策略; 所述分析單元�,還用于判斷所述第一訪問(wèn)控制策略與所述第二訪問(wèn)控制策略是否互為交叉的訪問(wèn)控制策略,且所述第一訪問(wèn)控制策略中的動(dòng)作標(biāo)識(shí)與所述第二訪問(wèn)控制策略中的動(dòng)作 標(biāo)識(shí)是否相同�����,若是,所述第一訪問(wèn)控制策略與所述第二訪問(wèn)控制策略互為交叉重復(fù)的訪問(wèn)控制策略���,否則,所述第一訪問(wèn)控制策略與所述第二訪問(wèn)控制策略為互交叉沖突的訪問(wèn)控制策略����。
【文檔編號(hào)】H04L29/06GK103905407SQ201210585072
【公開(kāi)日】2014年7月2日 申請(qǐng)日期:2012年12月28日 優(yōu)先權(quán)日:2012年12月28日
【發(fā)明者】付俊, 張峰, 馮運(yùn)波, 李友國(guó), 莫曉斌, 盧楠 申請(qǐng)人:中國(guó)移動(dòng)通信集團(tuán)公司