安全策略控制方法和装置的制造方法
【技术领域】
[0001]本发明实施例涉及网络安全技术领域,更具体的说是涉及一种安全策略控制方法和装置。
【背景技术】
[0002]防火墙是一种网络安全系统,通过预置的安全策略,可以决定哪些数据被允许或者哪些数据被拒绝通过,实现数据过滤的功能,从而保护网络资源。
[0003]安全策略由过滤对象以及过滤行为组成,过滤行为包括允许或拒绝,安全策略通过设置过滤对象对应的数据,如设置地址对象的具体的地址、子网、地址段等,设置服务对象中的具体的端口号、应用的协议名称等,实现安全策略的配置。对于匹配安全策略中过滤对象数据的传输数据,即按照安全策略中的过滤行为进行处理。
[0004]由于防火墙中,安全策略的数量很多,更新较为困难,发明人在实现本发明的过程中发现,大量的安全策略很容易造成冗余,从而导致防火墙的运维效率降低,因此如何快速准确的确定出防火墙中安全策略是否冗余,以能够快速解决冗余问题,成为本领域技术人员迫切需要解决的技术问题。
【发明内容】
[0005]为了快速准确的实现防火墙中安全策略是否冗余的判定,本发明实施例提供了一种安全策略控制方法和装置。
[0006]为实现上述目的,本发明实施例提供如下技术方案:
[0007]第一方面,提供了一种安全策略控制方法,包括:
[0008]获取防火墙中的安全策略包括的过滤对象数据;
[0009]对每一安全策略的过滤对象数据进行归一化处理,将每一过滤对象数据进行合并,得到每一过滤对象的归一化数据,使得所述每一过滤对象的归一化数据中不包括相同的数据;
[0010]将安全域相同的任意两条安全策略中相同过滤对象的两个归一化数据进行比较;
[0011]如果任一过滤对象的两个归一化数据存在相同的数据,确定所述两条安全策略存在几余关系。
[0012]在所述第一方面的第一种可能实现方式中,任意两条安全策略包括第一安全策略和第二安全策略,相同过滤对象的两个归一化数据包括所述第一安全策略的第一归一化数据和所述第二安全策略的第二归一化数据;
[0013]所述确定所述两条安全策略数据存在冗余关系之后,所述方法还包括:
[0014]如果每一过滤对象的两个归一化数据中的第一归一化数据包括第二归一化数据的全部数据时,确定所述第二安全策略为完全冗余安全策略,否则为部分冗余安全策略。
[0015]结合所述第一方面的第一种可能实现方式,还提供了所述第一方面的第二种可能实现方式,所述每一过滤对象的两个归一化数据的第一归一化数据包括第二归一化数据时,确定所述第二归一化数据的第二安全策略为完全冗余安全策略包括:
[0016]每一过滤对象的两个归一化数据的第一归一化数据包括第二归一化数据的全部数据时,如果所述第一安全策略的匹配优先级大于所述第二安全策略的匹配优先级,确定所述第二安全策略为完全冗余安全策略,否则为部分冗余安全策略。
[0017]结合所述第一方面或所述第一方面的上述任一种可能实现方式,还提供了所述第一方面的第三种可能实现方式所述将安全域相同的任意两条安全策略中相同过滤对象的两个归一化数据进行比较包括:
[0018]按照匹配优先级顺序,将任一安全策略分别与比其匹配优先级低且不是完全冗余安全策略的安全策略进行比较,比较两条安全策略中相同过滤对象的两个归一化数据。
[0019]结合所述第一方面或所述第一方面的上述任一种可能实现方式,还提供了所述第一方面的第四种可能实现方式,所述对每一安全策略的过滤对象数据进行归一化处理,将每一过滤对象数据进行合并,得到每一过滤对象的归一化数据包括:
[0020]针对每一安全策略,将具有数据嵌套关系的过滤对象数据,解除所述数据嵌套关系;
[0021]将每一过滤对象数据进行合并,并转化为同一数据类型,得到每一过滤对象的归一化数据,使得每一过滤对象的归一化数据中不包括相同的数据。
[0022]第二方面,提供了一种安全策略控制装置,包括:
[0023]数据获取单元,用于获取防火墙中的安全策略包括的过滤对象数据;
[0024]归一化单元,用于对每一安全策略的过滤对象数据进行归一化处理,将每一过滤对象数据进行合并,得到每一过滤对象的归一化数据,使得所述每一过滤对象的归一化数据中不包括相同的数据;
[0025]比较单元,用于将安全域相同的任意两条安全策略中相同过滤对象的两个归一化数据进行比较;
[0026]第一冗余确定单元,用于如果任一过滤对象的两个归一化数据存在相同的数据,确定所述两条安全策略存在冗余关系。
[0027]在所述第二方面的第一种可能实现方式中,还包括:
[0028]第二冗余确定单元,用于如果每一过滤对象的两个归一化数据中的第一归一化数据包括第二归一化数据的全部数据时,确定所述第二归一化数据的第二安全策略为完全冗余安全策略,否则为部分冗余安全策略。
[0029]结合所述第二方面的第一种可能实现方式,还提供了所述第二方面的第二种可能实现方式,所述第二冗余确定单元具体用于如果每一过滤对象的两个归一化数据中的第一归一化数据包括第二归一化数据的全部数据,且所述第一归一化数据的第一安全策略的匹配优先级大于所述第二归一化数据的第二安全策略的匹配优先级,确定所述第二安全策略为完全冗余安全策略,否则为部分冗余安全策略。
[0030]结合所述第二方面或所述第二方面的上述任一种可能实现方式,还提供了所述第二方面的第三种可能实现方式,所述比较单元具体用于按照匹配优先级顺序,将任一安全策略分别与比其匹配优先级低的安全策略进行比较,比较两条安全策略中相同过滤对象的两个归一化数据。
[0031]结合所述第二方面或所述第二方面的上述任一种可能实现方式,还提供了所述第二方面的第四种可能实现方式中,所述归一化单元包括:
[0032]扁平化单元,用于针对每一安全策略,将具有数据嵌套关系的过滤对象数据,解除所述数据嵌套关系;
[0033]归一化子单元,用于将每一过滤对象数据进行合并,并转化为同一数据类型,得到每一过滤对象的归一化数据,使得每一过滤对象的归一化数据中不包括相同的数据。
[0034]综上,本发明实施例提供了一种安全策略控制方法和装置,通过将防火墙中每一安全策略的过滤对象数据进行归一化处理,得到过滤对象的归一化数据;将安全域相同的任意两条安全策略中相同过滤对象的两个归一化数据进行比较,若任一过滤对象的两个归一化数据存在相同的数据,则可以确定该两条安全策略存在冗余关系,快速准确的实现了防火墙中安全策略是否冗余的判定。且归一化后的数据不包括重复的数据,减少了比较工作量,进一步提高了安全策略冗余的判定效率。
【附图说明】
[0035]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
[0036]图1为本发明实施例提供的一种安全策略控制方法一个实施例的流程图;
[0037]图2为本发明实施例提供的一种安全策略控制方法另一个实施例的流程图;
[0038]图3为本发明实施例提供的一种安全策略控制方法又一个实施例的流程图;
[0039]图4为本发明实施例提供的一种安全策略控制装置一个实施例的结构示意图;
[0040]图5为本发明实施例提供的一种安全策略控制装置另一个实施例的结构示意图;
[0041]图6为本发明实施例提供的一种安全策略控制装置又一个实施例的结构示意图;
[0042]图7为本发明实施例提供的一种控制设备一个实施例的结构示意图;
[0043]图8为本发明实施例提供的一种防火墙一个实施例的结构示意图。
【具体实施方式】
[0044]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0045]本发明实施例可以包括:
[0046]获取防火墙中安全策略的过滤对象数据,将防火墙中每一安全策略的过滤对象数据进行归一化处理,得到过滤对象的归一化数据,通过将安全域相同的任意两条安全策略中相同过滤对象的两个归一化数据进行比较。若任一过滤对象的两个归一化数据存在相同的数据,则可以确定该两条安全策略存在冗余关系,通过对过滤对象归一化后的数据进行比较,可以快速准确的实现防火墙中安全策略是否冗余的判定。且归一化后的数据不包括重复的数据,减少了比较工作量,