检查方法、装置、电子设备及可读存储介质与流程

本公开涉及网络运行安全技术领域，具体涉及一种检查方法、装置、电子设备及可读存储介质。

背景技术：

基于网络运行安全性方面的考虑，故需要对设备做合规检查，以保证网络长期处于一个安全、稳定的运行环境。合规检查包括对设备/接口的环路检查、设备接入配置检查等。目前很多网管软件(例如imc智能管理平台)已经提供合规检查功能，存在合规检查灵活性低的问题。

技术实现要素：

基于此，本公开实施例提供了一种检查方法、装置、电子设备及可读存储介质，以解决现有技术中合规检查灵活性低的问题。

根据第一方面，本公开实施例提供了一种检查方法，包括：识别至少一个检查任务，所述检查任务包括被测类型以及被测规则，所述被测规则包括规则参数；接收携带所述规则参数的提取规则的提取指令，并依据所述规则参数的提取规则，提取所述被测类型对应的被测设备上设置的所述规则参数的参数值；将所述被测规则中的所述规则参数替换为所述规则参数的参数值，生成各被测设备对应的被测规则；针对每一被测设备，判断所述被测设备上设置的设备规则是否与所述被测设备对应的被测规则匹配。

可选地，所述被测类型包括接口级别检查类型、设备级别检查类型以及链路级别检查类型中的至少之一；则所述被测类型对应的被测设备包括接口级别检查类型包括的接口所属的设备、设备级别检查类型包括的设备、以及链路级别检查类型包括的设备。

可选地，判断所述被测设备上设置的设备规则是否与所述被测设备对应的被测规则匹配，包括：依据所述规则参数，在所述被测设备的配置规则中查找与所述规则参数对应的设备规则；判断所述被测设备上设置的设备规则的匹配项是否与所述被测设备对应的被测规则中的匹配项完全一致。

可选地，所述依据所述规则参数，在所述被测设备的配置规则中查找与所述规则参数对应的设备规则，包括：依据所述规则参数，确定与所述规则参数相对应的开始标识和结束标识；在所述被测设备的配置规则中提取出与所述开始标识和结束标识相对应的配置，将所述配置作为所述被测设备的配置规则中与所述规则参数对应的设备规则。

可选地，在所述识别至少一个检查任务的步骤之前，还包括：获取合规检查的合规规则配置库和业务需求；根据所述合规规则配置库和所述业务需求生成检查任务。

可选地，依据所述规则参数的提取规则，提取所述被测类型对应的被测设备上设置的所述规则参数的参数值，包括：获取所述被测类型对应的被测设备的第一配置信息；依据所述规则参数的提取规则，在所述第一配置信息中提取所述被测类型对应的被测设备上设置的所述规则参数的参数值。

根据第二方面，本公开实施例提供了一种检查装置，包括：第一处理模块，用于识别至少一个检查任务，所述检查任务包括被测类型以及被测规则，所述被测规则包括规则参数；第二处理模块，用于接收携带所述规则参数的提取规则的提取指令，并依据所述规则参数的提取规则，提取所述被测类型对应的被测设备上设置的所述规则参数的参数值；第三处理模块，用于将所述被测规则中的所述规则参数替换为所述规则参数的参数值，生成各被测设备对应的被测规则；第四处理模块，用于针对每一被测设备，判断所述被测设备上设置的设备规则是否与所述被测设备对应的被测规则匹配。

可选地，所述被测类型包括接口级别检查类型、设备级别检查类型以及链路级别检查类型中的至少之一；则所述被测类型对应的被测设备包括接口级别检查类型包括的接口所属的设备、设备级别检查类型包括的设备、以及链路级别检查类型包括的设备。

可选地，所述第四处理模块包括：第一处理子模块，用于依据所述规则参数，在所述被测设备的配置规则中查找与所述规则参数对应的设备规则；第一判断子模块，用于判断所述被测设备上设置的设备规则的匹配项是否与所述被测设备对应的被测规则中的匹配项完全一致。

可选地，所述第一处理子模块包括：第一处理单元，用于依据所述规则参数，确定与所述规则参数相对应的开始标识和结束标识；第二处理单元，用于在所述被测设备的配置规则中提取出与所述开始标识和结束标识相对应的配置，将所述配置作为所述被测设备的配置规则中与所述规则参数对应的设备规则。

可选地，还包括：第一获取模块，用于获取合规检查的合规规则配置库和业务需求；第五处理模块，用于根据所述合规规则配置库和所述业务需求生成检查任务。

可选地，所述第二处理模块包括：第一获取子模块，用于获取所述被测类型对应的被测设备的第一配置信息；第二处理子模块，用于依据所述规则参数的提取规则，在所述第一配置信息中提取所述被测类型对应的被测设备上设置的所述规则参数的参数值。

根据第三方面，本公开实施例提供了一种电子设备，包括：存储器和处理器，所述存储器和所述处理器之间互相通信连接，所述存储器中存储有计算机指令，所述处理器通过执行所述计算机指令，从而执行本公开第一方面中任一所述的检查方法。

根据第四方面，本公开实施例提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使所述计算机从而执行本公开第一方面中任一所述的检查方法。

本公开技术方案，具有如下优点：

本公开提供的检查方法，包括：识别至少一个检查任务，所述检查任务包括被测类型以及被测规则，所述被测规则包括规则参数；接收携带所述规则参数的提取规则的提取指令，并依据所述规则参数的提取规则，提取所述被测类型对应的被测设备上设置的所述规则参数的参数值；将所述被测规则中的所述规则参数替换为所述规则参数的参数值，生成各被测设备对应的被测规则；针对每一被测设备，判断所述被测设备上设置的设备规则是否与所述被测设备对应的被测规则匹配。上述检查方法，根据规则参数的提取规则获取各被测设备实际的参数值，并将上述参数值替换到被测规则中生成各被测设备对应的被测规则，实现了根据被测设备的实际配置动态调整规则检查内容，无需根据设备的不同去人为调整规则内容，实现了动态合规检查，提高了合规检查的灵活性。

附图说明

为了更清楚地说明本公开具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本公开的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本公开实施例的检查方法的一个具体示例的流程图；

图2为本公开实施例的检查方法的另一个具体示例的流程图；

图3为本公开实施例的检查方法的另一个具体示例的流程图；

图4为本公开实施例的检查方法的另一个具体示例的流程图；

图5为本公开实施例的检查方法的另一个具体示例的流程图；

图6为本公开实施例的检查方法的提取指令的一个具体示例的示意图；

图7为本公开实施例的检查方法的提取指令的另一个具体示例的示意图；

图8为本公开实施例的检查装置的一个具体示例的框图；

图9为本公开实施例的电子设备的硬件结构示意图。

具体实施方式

为使本公开实施例的目的、技术方案和优点更加清楚，下面将结合本公开实施例中的附图，对本公开实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本公开一部分实施例，而不是全部的实施例。基于本公开中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本公开保护的范围。

在本公开的描述中，需要说明的是，术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本公开和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本公开的限制。此外，术语“第一”、“第二”、“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。

在本公开的描述中，需要说明的是，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本公开中的具体含义。

此外，下面所描述的本公开不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。

发明人发现，目前很多网管软件(例如imc智能管理平台)提供的合规检查功能，在批量检测设备时，只能根据固定的一种规则内容去检查所有的设备，不能根据设备实际配置灵活调整规则内容，导致检查的灵活性较低。例如检查接口的vlan配置，由于不同设备配置的vlan不同，故对不同设备进行合规检查时需要人工制定多种规则以适应不同设备配置。

本公开实施例提供了一种检查方法，可以应用于电子设备，该电子设备可以用于执行合规检查任务。如图1所示，检查方法包括步骤s1－s3，具体可应用于个人计算机(personalcomputer，缩写为pc)、虚拟机或者服务器等电子设备上，对网络设备进行合规检查。

步骤s1：识别至少一个检查任务，检查任务包括被测类型以及被测规则，被测规则包括规则参数。

在一实施例中，检查任务主要用于检测被测设备是否合规，即检测被测设备的规格、配置、使用等是否符合规定。针对一个检查任务，该检查任务中需要检测的被测设备可包括多个设备，即需要对该多个设备进行检查，以确定该多个设备的规格、配置、使用等是否符合规定。在实际应用中，不同设备根据实际使用情况的不同导致其实际配置也会不相同，被测设备的配置情况具体可根据需要合理设置。例如，被测设备a的vlanid值为1、20、30，被测设备b的vlanid值为1、100、150。

还需要说明的是，对多个被测设备中的每一个设备的合规检查均可包括至少一个检查任务。

在一实施例中，合规检查具体可包括检查被测设备的设备配置是否满足公司规定，公司规定根据具体公司的信息安全不同而定。合规检查所包含的具体内容可以是一个检查任务，也可以是两个甚至更多个检查任务，上述检查任务可以是对设备的规格检查、或者接口的环路检查、或者设备接入配置检查等，本实施例仅作示意性说明，并不以此为限，根据实际情况合理确定即可。

在一实施例中，检查任务包括2个部分，具体可以是被测类型和被测规则。当然，在其它实施例中，检查任务还可以包括除上述所包含内容以外的其它内容，如被测设备列表信息、检查级别信息、违规级别信息等。

具体地，被测类型可包括接口级别检查类型、设备级别检查类型以及链路级别检查类型中的至少之一。

不同的被测类型对应不同的被测设备。对于接口级别检查类型，其对应的被测设备为所有被测设备中接口级别检查类型包括的接口所属的设备。对于设备级别检查类型，其对应的被测设备为所有被测设备中设备级别检查类型包括的设备。对于链路级别检查类型，其对应的被测设备为所有被测设备中链路级别检查类型包括的设备。

例如：接口级别检查类型包括的接口为快速以太网口，则所有被测设备中包括快速以太网口的设备则为所对应的被测设备。其设备类型可以是可以是交换机、路由器或者无线设备上。

设备级别检查类型包括设备列表，该设备列表中包括有设备标识，那么对应的被测设备则为该设备列表中的设备。其设备类型可以是可以是交换机、路由器、安全设备、无线设备、防火墙、或者负载均衡设备。

链路级别检查类型包括某条链路以及组成该链路的设备，那么所对应的被测设备是组成该链路的设备。一个示例中，链路级别检查类型包括链路1、2，组成链路1的设备为设备a和设备b，组成链路2的设备为设备b和设备c，则被测设备为设备a、b、c。

被测规则中的规则参数可根据合规检查的实际情况合理确定。合规检查任务基于被测规则去检查设备的配置规则的合规/违规情况。

例如，检查任务为检查接口的vlan配置，其包括的被测类型为接口级别检查类型，被测规则为“porttrunkpermitvlan￥{vlan－id}”，规则参数为“vlan－id”。在实施时，可以基于被测规则为“porttrunkpermitvlan￥{vlan－id}”去检查被测设备中关于vlan－id的配置规则是否合规。

又例如，检查任务为检查设备的acl配置，其包括的被测类型为设备级别检查类型，被测规则为：

“aclnumber￥{acl－number}namefinanceacl

rule0permitipsource192.168.2.00.0.0.255destination192.168.0.1000time－rangework

rule5denyipdestination192.168.0.1000”，规则参数为“acl－number”。

在实施时，可以基于被测规则为：

“aclnumber￥{acl－number}namefinanceacl

rule0permitipsource192.168.2.00.0.0.255destination192.168.0.1000time－rangework

rule5denyipdestination192.168.0.1000”去检查被测设备中关于acl－number的配置规则是否合规。

在前文中，本申请实施例提到，检查任务还可以包括除上述所包含内容以外的其它内容，如被测设备列表信息、检查级别信息、违规级别信息等。在具体应用时，可以结合检查任务包括的内容，确定应当检查哪些设备上的哪些规则。

在一实施例中，违规级别信息可以包括多种不同的违规级别，如警告、重要、通知、次要、以及紧急等，本实施例仅作示意性说明，并不以此为限。检查级别信息，用于确定应当检查的违规级别信息。

在实施时，违规级别信息可以结合检查任务中的检查级别信息确定应当检查哪些级别的规则。例如规则a的违规级别为警告，规则b的违规级别为重要；如果设置任务的检查级别为重要，则规则a不会检查；如果检查级别设置为全部，则规则a、规则b都会检查。

被测设备列表信息用于表征被测设备所包含的具体设备，可以包括被测设备的标识，后续如有设备变化，如增加设备或者删除设备，合规检查任务中可以同步修改和更新被测设备的标识。被测设备的标识可以是技术人员预设配置的设备名，也可以是设备型号，还可以是设备类型、设备序列号，本实施例不作特别限定，只要能够标识设备即可。

例如，设备列表信息中包含设备a和设备b，检查任务则相应地需要对设备a和设备b这两个设备均进行合规检查。

一个示例中，被测设备的标识为设备型号，则以检查系统中所有该型号的设备。例如，设备列表信息中包括交换机h，则检查任务需要对设备型号为交换机h的设备进行合规检查。在另外的示例中，被测设备的标识为设备类型，则以检查系统中所有该类型的设备。例如，设备列表信息中包括交换机，则检查任务需要对设备类型为交换机的设备进行合规检查。

在另一个实施例中，检查任务还可以包括任务标识和执行时间。任务标识可以是任务名称，用以区分不同的任务类型，例如检查接口的vlan配置、或者检查设备的acl配置。执行时间可包括周期性任务执行时间和一次性任务执行时间，根据执行时间确定合规检查是周期性执行还是只执行一次。当然，在其它实施例中，还可以包括其它信息，例如任务描述等。

在本实施例中，步骤s2能够识别出被测规则中的规则参数。具体的，可以识别被测规则中的第一预设符号，当识别到该第一预设符号时，则认为第一预设符号之后的位于第二预设符号内的字符为规则参数。其中，第一预设符号可以为＠、#、￥、％、&中的至少一个或任意组合。第二预设符号可以为{}、[]、“”、‘’中的至少一个。第一预设符号、第二预设符号仅作示例，本方案不作特别限定。

一个示例中，第一预设符号为￥，第二预设符号为{}。在其他示例中，第一预设符号为#，第二预设符号为[]。在另外的示例中，第一预设符号为#，第二预设符号为“”。

例如：第一预设符号为￥，第二预设符号为{}，假设

被测规则为：aclnumber￥{acl－number}namefinanceacl，则规则参数为acl－number；

被测规则为：porttrunkpermitvlan￥{vlan－id}，则规则参数为vlan－id。

步骤s2：接收携带规则参数的提取规则的提取指令，并依据规则参数的提取规则，提取被测类型对应的被测设备上设置的规则参数的参数值。

在实际场景组网时，针对同一规则参数，不同设备的配置的参数值可能不同，若采用现有的根据固定的一种被测规则的内容去检查所有的设备的方式，则需要根据每台被测设备规则的设置情况一一修改被测规则的内容，再对该被测设备上设置的规则进行测试，人工成本太高。为避免此种情况，发明人发现，针对某一类型的规则，在不同的设备上，其规则格式实则一样或大致相同，只是具体的规则参数值不同。因此，可以依据规则格式的相似之处，设置通用的被测规则格式，并将具体的规则参数值以一个通用的动态参数替换，以得到被测设备通用的被测规则。

因此，本申请实施例找到各设备上设置的规则的共同之处，依据该共同之处设置通用的被测规则，并在被测规则中设置通用的规则参数，该规则参数为动态参数。当规则参数被识别到时，可以用来提取被测设备上设置的具体的参数值。然后将被测规则的规则参数替换成提取的参数值，即可以得到针对该被测设备的被测规则。通过上述描述，即可通过一条通用被测规则，获取到所有被测设备中各被测设备对应的被测规则，节省人工、时间及硬件成本。

在一实施例中，提取指令携带的提取规则可以是正则表达式。通过正则表达式提取上述规则参数的参数值，能够用极简单的方式达到字符串的复杂控制，使得规则参数的参数值的提取方式更加灵活、逻辑性和功能性更强。例如，规则参数为vlanid，提取vlanid值的正则表达式可以是vlan[1－9][0－9]{0，3}。又例如，规则参数为aclnumber，提取aclnumber值的正则表达式可以是aclnumber[0－9]{4}namefinanceacl(获取名称为financeacl的aclnumber)。

步骤s3：将被测规则中的规则参数替换为规则参数的参数值，生成各被测设备对应的被测规则。通过与检查任务相适应的被测规则进行合规检查，提高了检查的灵活性和便捷性。

在一实施例中，将各被测设备参数值代入检查任务中的被测规则中，替换被测规则中的规则参数，生成各被测设备对应的被测规则，以在后续步骤中对每台被测设备进行合规检查。

例如，检查任务为检查接口的vlan配置，其包括的被测类型为接口级别检查类型，被测规则设置为“porttrunkpermitvlan￥{vlan－id}”，被测规则中的规则参数为“vlan－id”；被测设备的配置文件中vlanid值包括1、20、30，因此，提取到的与检查任务对应的参数值为1、20和30。将上述参数值代入被测规则中，生成的被测规则如下：

若设备厂商的配置文件中的上述vlanid值是合并到一起的，则相应地规则内容为porttrunkpermitvlan12030；

若设备厂商的设备配置文件中的上述vlanid值是拆开的，则相应地规则内容为

porttrunkpermitvlan1

porttrunkpermitvlan20

porttrunkpermitvlan30。

步骤s4：针对每一被测设备，判断被测设备上设置的设备规则是否与被测设备对应的被测规则匹配。

上述检查方法，根据规则参数的提取规则获取各被测设备实际的参数值，并将上述参数值替换到被测规则中生成各被测设备对应的被测规则，实现了根据被测设备的实际配置动态调整规则检查内容，无需根据设备的不同去人为调整规则内容，实现了动态合规检查，提高了合规检查的灵活性。

在一实施例中，如图2所示，步骤s2具体可包括步骤s21－s22。

步骤s21：获取被测类型对应的被测设备的第一配置信息。

在一实施例中，第一配置信息可以包括设备的全部配置信息，也可以仅包括与该次合规检查任务相关的配置信息，在实际应用中可根据需要合理设置。第一配置信息由设备厂商提供。

步骤s22：依据规则参数的提取规则，在第一配置信息中提取被测类型对应的被测设备上设置的规则参数的参数值。不同厂商提供的被测设备的配置不同，故从不同设备配置中提取到的规则参数的参数值也不同，以使后续合规检查内容根据不同设备的实际配置情况进行调整。

上述检查方法，通过被测设备的第一配置信息确定规则参数的参数值，使得合规检查与被测设备的配置相适应，灵活性更高。

在一实施例中，如图3所示，步骤s4具体可包括步骤s41－s42。

步骤s41：依据规则参数，在被测设备的配置规则中查找与规则参数对应的设备规则。

具体地，如图4所示，步骤s41包括步骤s411－s412。

步骤s411：依据规则参数，确定与规则参数相对应的开始标识和结束标识。

具体地，不同的规则参数对应不同的开始标识和结束标识，开始标识和结束标识还需要与被测设备中的配置文件的配置内容相匹配。

例如，在接口级别类型的检查任务中，检查内容为检查接口的vlan配置，被测规则为“porttrunkpermitvlan￥{vlan－id}”，规则参数为“vlan－id”。

若被测设备中与规则参数相对应的配置内容以interface作为开始，#作为结束，则与该“vlan－id”相对应的开始标识为“interface*”，结束标识为“#”。

若被测设备中与规则参数相对应的配置内容以interfaceethernet作为开始，！作为结束，则与该“vlan－id”相对应的开始标识为“interfaceethernet*”，结束标识为“！”。

又例如在设备级别类型的检查任务中，检查内容为检查设备的acl配置，规则参数为“acl－number”，被测设备中与规则参数相对应的配置内容以aclnumber作为开始，#作为结束，则与该“acl－number”相对应的开始标识为“aclnumber*”，结束标识为“#”。

又例如在设备级别类型的检查任务中，检查内容为检查设备的本地用户配置，则与该之相对应的开始标识可以为“local－user*”，结束标识可以为“#”。

步骤s412：在被测设备的配置规则中提取出与开始标识和结束标识相对应的配置，将配置作为被测设备的配置规则中与规则参数对应的设备规则。

具体地，被测设备的配置规则可以是通过被测设备的第二配置信息得到，第二配置信息可包括被测设备的最新运行配置的备份数据，即通过被测设备的最新运行配置的备份数据得到被测设备的配置规则，上述最新运行配置的备份数据可根据设备厂商给出。当然，在其它实施例中，也可以通过与被测设备直接连接，在被测设备上直接获取该被测设备的配置规则，本实施例中仅作示意性说明，并不以此为限。上述第二配置信息可以与第一配置信息相同，也可以不同，实际应用中根据需要合理设置即可。

例如在接口级别类型的检查任务中，检查内容为检查接口的vlan配置，在被测设备的配置规则中提取出与开始标识和结束标识相对应的配置可以是：

#

interfacenull0

#

interfacevlan－interface1

ipaddress172.22.5.87255.255.255.0

#

interfacefortygige1/0/53

portlink－modebridge

portlink－typetrunk

porttrunkpermitvlan11988

#

interfacefortygige1/0/54

portlink－modebridge

portlink－typetrunk

porttrunkpermitvlan11988

#

又例如在接口级别类型的检查任务中，检查内容为检查接口的角色配置，在进行接口的角色配置检查时，在被测设备的配置规则中提取出与开始标识和结束标识相对应的配置可以是：

步骤s42：判断被测设备上设置的设备规则的匹配项是否与被测设备对应的被测规则中的匹配项完全一致。

在一实施例中，将被测设备上设置的设备规则的匹配项与被测规则中的匹配项进行比较，若两者完全匹配时，则设备的配置合规；若两者不匹配，则设备的配置违规。

例如，比如检查设备上是否配置了vlan10。假设从设备上提取的配置为

“vlan1

vlan10

vlan55

vlan60”，

检查到有vlan10，即认为合规并停止，不需要再继续检查vlan55是否合规。

需要说明的是，在其它实施例中，在判断所述被测设备上设置的设备规则是否与所述被测设备对应的被测规则匹配的步骤中，也可以是逐条与被测设备中的每一条配置去比较。

上述检查方法通过开始标识和结束标识先查找到被测设备的配置规则中与规则参数对应的设备规则，之后再进行匹配，有效减少了匹配时间，提高了合规检查的检查效率。

在一实施例中，如图5所示，在步骤s1识别至少一个检查任务的步骤之前，还包括步骤s5－s6。

步骤s5：获取合规检查的合规规则配置库和业务需求。

在一实施例中，合规规则配置库可以是预先生成并存储的，具体可包括合规检查的所有检查任务，在实际应用过程中可以根据合规检查的实际情况不断进行更新和完善，以保证合规规则配置库能够满足所有的合规检查。当然，在其它实施例中，合规规则配置库也可以是在合规检查前直接生成的，根据需要合理设置即可。

在一实施例中，不同厂商的设备配置也会不相同，因此，不同厂商对设备的合规检查要求也会不同，业务需求则是根据厂商的合规检查要求确定的，具体可通过设备厂商提供。

步骤s6：根据合规规则配置库和业务需求生成检查任务。

在一实施例中，根据业务需求在合规规则配置库中查找到与该业务需求所对应的合规检查任务，以便对各设备进行不同的合规检查。

合规规则配置库包括多种不同类型的检查任务，业务需求具体可以根据客户实际需要确定。检查任务包括接口的vlan配置、设备的acl配置、设备的本地用户配置、设备的预置启动syslog功能验证等；业务需求为接口的vlan配置，则检查任务为接口的vlan配置。

需要说明的是，上述步骤s5和s6仅是生成合规检查的检查任务的一个具体示例，仅作示意性说明，并不以此为限。在其它实施例中，也可以是直接获取合规检查的检查任务，此时无需步骤s5和s6。

在上述检查方法的基础上，在步骤s4之后，还包括：待检查任务完成后，生成合规检查的检查结果，通过检查结果可以便捷地得出设备的配置是否合规，以便及时了解合规检查情况，为后续设备的配置调整提供依据。

在一实施例中，在检查完之后生成合规检查的检查结果，上述检查结果可包括哪些合规哪些不合规，不合规的具体显示内容可包括不合规的接口名称或者设备名称、配置情况以及检查规则。例如，设备a的端口应当包括的vlanid值为1、20和30三个id值，其中的a端口检测到的vlanid只有1和20，则a端口的配置不满足合规检查的规则，检查结果为不合规；本实施例仅作示意性说明，并不以此为限。

在生成合规检查的检查结果的步骤之后，还可以包括控制显示装置显示上述检查结果，以更加直观的查看检查结果。

例如，执行命令disaclall，回显的检查结果如下：

disaclall

advancedacl3000，named－none－，0rule，

acl＇sstepis5

advancedacl3001，named－none－，0rule，

acl＇sstepis5

上述执行命令“disaclall”是查看设备所有的acl配置，根据回显信息，设备上配置了acl3000\acl3001这两个acl，且目前这两个acl下都没有配置规则。

下面以一个具体示例进行详细说明，如检查接口的vlan配置。

首先获取合规检查任务，该合规检查任务中包括被测规则，被测规则包含动态的规则参数，配置的被测规则内容为“porttrunkpermitvlan￥{vlan－id}”。之后，识别出规则参数“vlan－id”，并提取被测设备中的该参数，如通过正则表达式提取待检查设备实际配置的vlanid，提取方法如图6所示，在提取方法中可以体现提取规则vlan[1－9][0－9]{0，3}。然后，执行合规检查任务时，从各个待检查设备上根据配置的参数提取规则提取参数值，使用提取的参数值替换到被测规则的规则参数，组成被测设备对应的规则内容。每个设备根据实际的配置情况，提取的参数值不同，因此组成的规则内容不同，从而实现动态的合规检查。图6中命令和提取方法组成是在设备上执行的提取命令，其中，提取方法中携带规则参数的提取规则，命令起到执行提取命令的作用，以获取到命令行回显，然后在回显内容中根据配置的提取规则提取到被测设备的参数值。

例如，被测设备包括设备a、设备b两个设备，检查任务执行时从设备a上提取到的vlanid值为1、20、30，设备b上提取到的vlanid值为1、100、150。根据系统方案设计，这两个设备的被测规则如表1和表2所示，可以同时支持这两种方案。执行合规检查任务时，根据系统的设计方案分别选择上述表格中的被测规则对设备a和设备b下的接口进行合规检查。具体的，可以依据下述表1中的被测规则对设备a中关于porttrunkpermitvlan12030的配置规则进行匹配，判断设备a中的配置规则是否合规。本实施例还可以依据下述表1中的被测规则设备b中关于porttrunkpermitvlan1100150的配置规则进行匹配，判断设备b中的配置规则是否合规。

表1

需要说明的是，本实施例中的规则参数可根据被测设备实际配置提取多个数值，如1、20、30。

下面以另一个具体示例进行详细说明，如检查设备的acl配置。

在某些应用场景，网络中会固定一些配置名称来实现某些特定业务。比如创建一个特定名称的高级acl，并制定如下规则：财务部在工作时间访问财务数据库服务器，禁止其它部门在任何时间、财务部在非工作时间访问该服务器。假设财务部门的ip网段为192.168.2.0/24，财务数据库服务器ip网段为192.168.0.100/24。

首先获取检查任务，配置规则内容为：

aclnumber￥{acl－number}namefinanceacl

rule0permitipsource192.168.2.00.0.0.255destination192.168.0.1000time－rangework

rule5denyipdestination192.168.0.1000；

之后识别出动态的规则参数“acl－number”，并提取被测设备中的该参数的参数值，提取方法可以是通过固定的acl名称结合正则表达式提取到财务aclnumber，提取方法如图7所示，在提取方法中可以体现提取规则aclnumber[0－9]{4}namefinaceacl。然后，将被测规则中的规则参数替换为规则参数的参数值，生成各被测设备对应的被测规则，进而根据被测规则执行合规检查。例如，被测设备包括设备a、设备b两个设备，执行检查任务时从设备a上提取到的aclnumber为3000，设备b上提取到的aclnumber为3010，根据合规检查系统设计，这两个设备的被测规则如表2所示。执行检查任务时，根据设备a和设备b提取的aclnumber不同，从而构建不同的被测规则，实现了动态的合规检查。具体的，可以依据下述表2中的被测规则对设备a中关于aclnumber3000namefinanceacl的配置规则进行匹配，判断设备a中的配置规则是否合规。本实施例还可以依据下述表2中的被测规则设备b中关于aclnumber3010namefinanceacl的配置规则进行匹配，判断设备b中的配置规则是否合规。

表2

上述检查方法中的检查任务中的被测规则包括规则参数，通过提取指令提取被测类型对应的被测设备上设置的规则参数的参数值，(本文根据正则表达式提取参数值)，将获取到的参数值替换到被测规则中生成各被测设备对应的被测规则，然后对每一被测设备进行合规检查，实现了根据设备实际配置动态调整被测规则，节省人工、时间及硬件成本。

在本实施例中还提供了一种检查装置，该装置用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。如以下所使用的，术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

相应地，请参考图8，本公开实施例提供一种检查装置，包括：第一处理模块1、第二处理模块2、第三处理模块3和第四处理模块4。

第一处理模块1，用于识别至少一个检查任务，所述检查任务包括被测类型以及被测规则，所述被测规则包括规则参数；详细内容参考步骤s1所述。

第二处理模块2，用于接收携带所述规则参数的提取规则的提取指令，并依据所述规则参数的提取规则，提取所述被测类型对应的被测设备上设置的所述规则参数的参数值；详细内容参考步骤s2所述。

第三处理模块3，用于将所述被测规则中的所述规则参数替换为所述规则参数的参数值，生成各被测设备对应的被测规则；详细内容参考步骤s3所述。

第四处理模块4，用于针对每一被测设备，判断所述被测设备上设置的设备规则是否与所述被测设备对应的被测规则匹配；详细内容参考步骤s4所述。

在一实施例中，所述被测类型包括接口级别检查类型、设备级别检查类型以及链路级别检查类型中的至少之一；则所述被测类型对应的被测设备包括接口级别检查类型包括的接口所属的设备、设备级别检查类型包括的设备、以及链路级别检查类型包括的设备。

可选地，所述第四处理模块包括：第一处理子模块，用于依据所述规则参数，在所述被测设备的配置规则中查找与所述规则参数对应的设备规则，详细内容参考步骤s41所述；第一判断子模块，用于判断所述被测设备上设置的设备规则的匹配项是否与所述被测设备对应的被测规则中的匹配项完全一致，详细内容参考步骤s42所述。

可选地，所述第一处理子模块包括：第一处理单元，用于依据所述规则参数，确定与所述规则参数相对应的开始标识和结束标识，详细内容参考步骤s411所述；第二处理单元，用于在所述被测设备的配置规则中提取出与所述开始标识和结束标识相对应的配置，将所述配置作为所述被测设备的配置规则中与所述规则参数对应的设备规则，详细内容参考步骤s412所述。

可选地，还包括：第一获取模块，用于获取合规检查的合规规则配置库和业务需求，详细内容参考步骤s5所述；第五处理模块，用于根据所述合规规则配置库和所述业务需求生成检查任务，详细内容参考步骤s6所述。

可选地，所述第二处理模块包括：第一获取子模块，用于获取所述被测类型对应的被测设备的第一配置信息，详细内容参考步骤s21所述；第二处理子模块，用于依据所述规则参数的提取规则，在所述第一配置信息中提取所述被测类型对应的被测设备上设置的所述规则参数的参数值，详细内容参考步骤s22所述。

上述各个模块的更进一步的功能描述与上述方法实施例相同，在此不再赘述。

本公开实施例还提供了一种电子设备，如图9所示，包括：处理器101和存储器102；其中，处理器101和存储器102可以通过总线或者其他方式连接，图9中以通过总线连接为例。

处理器101可以为中央处理器(centralprocessingunit，cpu)。处理器101还可以为其它通用处理器、数字信号处理器(digitalsignalprocessor，dsp)、专用集成电路(applicationspecificintegratedcircuit，asic)、现场可编程门阵列(field-programmablegatearray，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片，或者上述各类芯片的组合。

存储器102作为一种非暂态计算机可读存储介质，可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块，如本公开实施例中的检查方法对应的程序指令/模块(例如，图8所示的第一处理模块1、第二处理模块2、第三处理模块3和第四处理模块4)。处理器101通过运行存储在存储器102中的非暂态软件程序、指令以及模块，从而执行处理器的各种功能应用以及数据处理，即实现上述方法实施例中的检查方法。

存储器102可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储处理器101所创建的数据等。此外，存储器102可以包括高速随机存取存储器，还可以包括非暂态存储器，例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中，存储器102可选包括相对于处理器101远程设置的存储器，这些远程存储器可以通过网络连接至处理器101。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

所述一个或者多个模块存储在所述存储器102中，当被所述处理器101执行时，执行如图1至图5所示实施例中的检查方法。

上述服务器具体细节可以对应参阅图1至图5所示的实施例中对应的相关描述和效果进行理解，此处不再赘述。

本公开实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使所述计算机执行上述任一所述的检查方法。本领域技术人员可以理解，实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述存储介质可为磁碟、光盘、只读存储记忆体(read-onlymemory，rom)、随机存储记忆体(randomaccessmemory，ram)、快闪存储器(flashmemory)、硬盘(harddiskdrive，缩写：hdd)或固态硬盘(solid-statedrive，ssd)等；所述存储介质还可以包括上述种类的存储器的组合。

虽然结合附图描述了本公开的实施例，但是本领域技术人员可以在不脱离本公开的精神和范围的情况下作出各种修改和变型，这样的修改和变型均落入由所附权利要求所限定的范围之内。