一种网络业务诊断方法与流程

本发明涉及网络拓扑技术领域，尤指一种网络业务诊断方法。

背景技术：

随着互联网技术的不断发展，网络环境日益复杂，网络安全成为企业关心的主要问题。为了解决网络中存在的安全隐患，企业会在内部网络中部署防火墙等安全设备，尤其是在内部网络复杂庞大的公司，会在内部网络中部署多台安全设备。

目前在部署多台安全设备时，通常会将内部网络划分为多个区域，并且要在这些安全设备上部署多组防火墙规则集，让不同的区域互连，因此，公司内部网络安全维护人员需要仔细检查，避免不同安全设备上规则集相互影响，引入安全漏洞。随着公司内部网络日益复杂和维护网络的成本增加，安全管理员很难评估公司内部网络中的安全设备是否允许指定的服务通过该安全设备，造成评估公司内部网络的安全策略比较困难的原因例如包括：(1)、防火墙等安全设备配置语言比较晦涩，配置和维护安全策略都比较困难；(2)、由于不同厂商生产的安全设备的配置语言存在差异，安全管理员需要熟悉公司内部网络中安全设备之间差异性，增加了安全设备的管理难度；(3)、在源地址和目的地址之间，报文可能有多条路径，不同路径穿越不同的安全设备，为回答一个查询，安全管理员需要人工核查这些安全设备上的所有规则，会耗费大量的人力资源。针对评估公司内部网络的安全策略比较困难的原因，安全管理员可以使用现有的网络业务诊断工具，诊断公司中复杂的内部网络，该方式可以解决一些问题，但仍然存在以下不足之处：

(1)、网络业务诊断工具只能对单一厂家和类型的安全设备的网络进行业务诊断，不能兼容不同厂家和类型的安全设备。

(2)、没有考虑特定安全设备上的一些行为对业务请求影响，例如包括二层/三层阻断策略，dnat地址转换等。

(3)、针对安全设备不准许网络中业务请求通过的情况，没有提供有效的解决方案。

综上所述，现有技术中使用网络业务诊断工具进行业务诊断，虽然可以解决一些问题，但仍然存在一些无法解决的问题，使得对公司内部网络进行业务诊断的实用性较差。

技术实现要素：

为了解决上述技术问题，本发明实施例提供了一种网络业务诊断方法，通过合理的设计网络业务的诊断方式，实现了在执行网络业务诊断时，可以兼容不同类型和厂家的安全设备，从而提高了网络业务诊断方法的实用性。

第一方面，本发明实施例提供一种网络业务诊断方法，包括：

获取业务请求经过的安全设备的配置信息，所述配置信息包括安全策略规则；

根据所述业务请求和所述安全设备的配置信息进行预处理；所述预处理包括：根据每个所述安全设备的类型，选择对应的安全策略匹配方式，并且确定所述业务请求经过的安全设备的入接口和出接口，生成待分析的业务请求；

根据选择的安全策略匹配方式和预设匹配算法，将所述待分析的业务请求与所述安全设备的安全策略规则进行匹配，生成每个所述安全设备对所述业务请求的准许情况。

在第一方面的第一种可能的实现方式中，所述配置信息还包括阻断策略和目的地址转换dnat中的一项或多项，所述预处理还包括以下处理中的一项或多项：

将所述业务请求与每个所述安全设备的阻断策略进行比较，过滤掉本安全设备被所述阻断策略阻断的业务请求；

根据每个所述安全设备的安全策略规则使用dnat转换前或dnat转换后的地址，确定是否对本安全设备上的所述业务请求进行dnat转换；其中，当其中一个安全设备的安全策略规则使用dnat转换后的地址时，对所述安全设备上的所述业务请求进行dnat转换。

在第一方面的第二种可能的实现方式中，所述安全设备的类型包括第一类型、第二类型和第三类型，其中，所述第一类型的安全设备的安全策略规则按照配置顺序形成优先级列表，所述第二类型的安全设备的安全策略规则包括区域间安全策略规则和全局安全策略规则，所述第三类型的安全设备的安全策略规则包括入接口和出接口上的安全策略规则；所述根据每个所述安全设备的类型，选择对应的安全策略匹配方式，包括：

当所述设备类型为所述第一类型时，选择将所述业务请求按照所述优先级列表的顺序与所述安全策略规则进行匹配的安全策略匹配方式；

当所述设备类型为所述第二类型时，选择先将所述业务请求与所述区域间安全策略规则进行匹配，再将所述业务请求与所述全局安全策略规则进行匹配的安全策略匹配方式；

当所述设备类型为所述第三类型时，选择将所述业务请求分别与所述安全设备上的入接口和出接口上的安全策略规则进行匹配的安全策略匹配方式。

在第一方面的第三种可能的实现方式中，所述根据选择的安全策略匹配方式和预设匹配算法，将所述待分析的业务请求与所述安全设备的安全策略规则进行匹配，生成每个所述安全设备对所述业务请求的准许情况，包括：

根据选择的安全策略匹配方式和预设匹配算法，将所述待分析的业务请求与所述安全设备的安全策略规则进行匹配，获取允许请求列表、拒绝请求列表和所述业务请求的匹配情况；

根据所述允许请求列表、所述拒绝请求列表和所述业务请求的匹配情况，生成每个所述安全设备对所述业务请求的准许情况。

根据第一方面的第三种可能的实现方式，在第四种可能的实现方式中，所述根据选择的安全策略匹配方式和预设匹配算法，将所述待分析的业务请求与所述安全设备的安全策略规则进行匹配，包括：

当所述安全设备中有未匹配的安全策略规则，且所述业务请求没有完全匹配时，判断所述业务请求和所述安全策略规则是否有重复部分；

当判断出有重复部分时，根据每个所述安全策略规则的动作将本安全策略规则添加到所述允许请求列表或所述拒绝请求列表中；

将所述重复部分从所述业务请求中删除，构成新的业务请求。

根据第一方面的第三种可能的实现方式，在第五种可能的实现方式中，所述根据选择的安全策略匹配方式和预设匹配算法，将所述待分析的业务请求与所述安全设备的安全策略规则进行匹配，包括：

当所述安全设备中有未匹配的安全策略规则，且所述业务请求和所述安全策略规则有重复部分时，将所述重复部分与所述安全策略规则构成新的安全策略加入重复部分列表；

当所述重复部分列表中有重复元素时，判断所述业务请求是否完全匹配；

当判断出所述业务请求没有完全匹配时，判断所述业务请求和当前重复部分列表中安全策略规则是否有重复部分；

当判断出有重复部分时，根据所述当前重复部分列表中每个所述安全策略规则的动作将本安全策略规则添加到所述允许请求列表或所述拒绝请求列表中；

将所述重复部分从所述业务请求中删除，构成新的业务请求。

根据第一方面的第四种或第五种可能的实现方式，在第六种可能的实现方式中，所述判断所述业务请求和所述安全策略规则是否有重复部分，包括：

分别执行以下判断项目并返回相应的结果：

判断所述安全策略规则的源域是否包括业务请求的入接口，当判断出不包括时，返回的匹配结果为空，当判断出包括时，执行其它判断项目；

判断所述安全策略规则的目的域是否包括业务请求的出接口，当判断出不包括时，返回的匹配结果为空，当判断出包括时，执行其它判断项目；

判断所述安全策略规则与所述业务请求的源地址是否有重复部分，当判断出没有重复部分时，返回的匹配结果为空，当判断出有重复部分时，执行其它判断项目；

判断所述安全策略规则与所述业务请求的目的地址是否有重复部分，当判断出没有重复部分时，返回的匹配结果为空，当判断出有重复部分时，执行其它判断项目；

判断所述安全策略规则与所述业务请求的服务是否有重复部分，当判断出没有重复部分时，返回的匹配结果为空，当判断出有重复部分时，执行其它判断项目；

当每个所述判断项目的判断结果均为“是”时，计算所述安全策略规则与所述业务请求的重复部分，返回的匹配结果为所述重复部分。

根据第一方面的第三种可能的实现方式，在第七种可能的实现方式中，所述根据所述允许请求列表、所述拒绝请求列表和所述业务请求的匹配情况，生成每个所述安全设备对所述业务请求的准许情况，包括：

当所述允许请求列表不为空，所述拒绝请求列表为空，且所述业务请求完全匹配时，所述准许情况为允许；

当所述允许请求列表不为空，且所述业务请求未完全匹配时，所述准许情况为部分允许；

当所述允许请求列表为空，所述拒绝请求列表不为空，且所述业务请求完全匹配时，所述准许情况为拒绝。

在第一方面的第八种可能的实现方式中，所述方法还包括：

根据每个所述安全设备对所述业务请求的准许情况，生成对本安全设备的安全策略变更建议；

其中，当所述准许情况为允许时，不生成对应安全设备的安全策略变更建议；

当所述准许情况为部分允许或拒绝时，生成对应安全设备的安全策略变更建议，所述安全策略变更建议包括添加和/或修改安全策略的建议。

根据第一方面、第一方面的第一种到第八种可能的实现方式中任意一种，在第九种可能的实现方式中，所述方法还包括：

将以下生成结果中的一项或多项通过用户界面ui进行展示：每个所述安全设备对所述业务请求的准许情况，对每个所述安全设备的安全策略变更建议。

第二方面，本发明实施例提供一种网络业务诊断装置，包括：

配置获取模块，用于获取业务请求经过的安全设备的配置信息，所述配置信息包括安全策略规则；

预处理模块，用于根据所述业务请求和所述配置获取模块获取的所述安全设备的配置信息进行预处理；所述预处理模块执行的预处理包括：根据每个所述安全设备的类型，选择对应的安全策略匹配方式，并且确定所述业务请求经过的安全设备的入接口和出接口，生成待分析的业务请求；

安全策略匹配模块，用于根据所述预处理模块选择的安全策略匹配方式和预设匹配算法，将所述待分析的业务请求与所述安全设备的安全策略规则进行匹配，生成每个所述安全设备对所述业务请求的准许情况。

在第二方面的第一种可能的实现方式中，所述配置获取模块获取的所述配置信息还包括阻断策略和目的地址转换dnat中的一项或多项，所述预处理模块执行的预处理还包括以下处理中的一项或多项：

将所述业务请求与每个所述安全设备的阻断策略进行比较，过滤掉本安全设备被所述阻断策略阻断的业务请求；

根据每个所述安全设备的安全策略规则使用dnat转换前或dnat转换后的地址，确定是否对本安全设备上的所述业务请求进行dnat转换；其中，当第一安全设备的安全策略规则使用dnat转换后的地址时，对所述第一安全设备上的所述业务请求进行dnat转换。

在第二方面的第二种可能的实现方式中，所述安全策略匹配模块包括：

安全策略匹配单元，用于根据选择的安全策略匹配方式和预设匹配算法，将所述待分析的业务请求与所述安全设备的安全策略规则进行匹配，获取允许请求列表、拒绝请求列表和所述业务请求的匹配情况；

生成单元，用于根据所述安全策略匹配单元获取的所述允许请求列表、所述拒绝请求列表和所述业务请求的匹配情况，生成每个所述安全设备对所述业务请求的准许情况。

在第二方面的第三种可能的实现方式中，所述装置还包括：

安全策略变更模块，用于根据所述安全策略匹配模块生成的每个所述安全设备对所述业务请求的准许情况，生成对本安全设备的安全策略变更建议；

其中，当所述准许情况为允许时，所述安全策略变更模块不生成对应安全设备的安全策略变更建议；

当所述准许情况为部分允许或拒绝时，所述安全策略变更模块生成对应安全设备的安全策略变更建议，所述安全策略变更建议包括添加和/或修改安全策略的建议。

根据第二方面的第三种可能的实现方式，在第四种可能的实现方式中，所述装置还包括：

结果展示模块，用于将以下生成结果中的一项或多项通过用户界面ui进行展示：所述安全策略匹配模块生成的每个所述安全设备对所述业务请求的准许情况，所述安全策略变更模块生成的对每个所述安全设备的安全策略变更建议。

第三方面，本发明实施例提供一种网络业务诊断服务器，包括：

存储器，用于保存可执行指令；

处理器，用于执行所述存储器保存的所述可执行指令，进行如下操作：

获取业务请求经过的安全设备的配置信息，所述配置信息包括安全策略规则；

根据所述业务请求和所述安全设备的配置信息进行预处理；所述预处理包括：根据每个所述安全设备的类型，选择对应的安全策略匹配方式，并且确定所述业务请求经过的安全设备的入接口和出接口，生成待分析的业务请求；

根据选择的安全策略匹配方式和预设匹配算法，将所述待分析的业务请求与所述安全设备的安全策略规则进行匹配，生成每个所述安全设备对所述业务请求的准许情况。

在第三方面的第一种可能的实现方式中，所述配置信息还包括阻断策略和目的地址转换dnat中的一项或多项，所述处理器执行所述可执行指令时，所述预处理还包括以下处理中的一项或多项：

将所述业务请求与每个所述安全设备的阻断策略进行比较，过滤掉本安全设备被所述阻断策略阻断的业务请求；

根据每个所述安全设备的安全策略规则使用dnat转换前或dnat转换后的地址，确定是否对本安全设备上的所述业务请求进行dnat转换；其中，当其中一个安全设备的安全策略规则使用dnat转换后的地址时，对所述安全设备上的所述业务请求进行dnat转换。

在第三方面的第二种可能的实现方式中，所述处理器执行所述可执行指令时，执行的操作“所述根据选择的安全策略匹配方式和预设匹配算法，将所述待分析的业务请求与所述安全设备的安全策略规则进行匹配，生成每个所述安全设备对所述业务请求的准许情况”，包括：

根据选择的安全策略匹配方式和预设匹配算法，将所述待分析的业务请求与所述安全设备的安全策略规则进行匹配，获取允许请求列表、拒绝请求列表和所述业务请求的匹配情况；

根据所述允许请求列表、所述拒绝请求列表和所述业务请求的匹配情况，生成每个所述安全设备对所述业务请求的准许情况。

在第三方面的第三种可能的实现方式中，所述处理器执行所述可执行指令时，还进行如下操作：

根据每个所述安全设备对所述业务请求的准许情况，生成对本安全设备的安全策略变更建议；

其中，当所述准许情况为允许时，不生成对应安全设备的安全策略变更建议；

当所述准许情况为部分允许或拒绝时，生成对应安全设备的安全策略变更建议，所述安全策略变更建议包括添加和/或修改安全策略的建议。

根据第三方面的第三种可能的实现方式，在第四种可能的实现方式中，所述处理器执行所述可执行指令时，还进行如下操作：

将以下生成结果中的一项或多项通过用户界面ui进行展示：每个所述安全设备对所述业务请求的准许情况，对每个所述安全设备的安全策略变更建议。

本发明实施例提供的网络业务诊断方法，通过获取业务请求经过的安全设备的配置信息，根据该配置信息和业务请求进行预处理，该预处理的方式包括：根据每个安全设备的类型，选择对应的安全策略匹配方式，并且确定上述业务请求经过的安全设备的入接口和出接口，生成待分析的业务请求，随后，根据已选择的安全策略匹配方式和预设匹配算法，将待分析的业务请求与配置信息中的安全策略规则进行匹配，生成每个安全设备对业务请求的准许情况；本发明实施例提供的技术方案，针对不同类型的安全设备，可以选择不同的安全策略匹配方式，即不同类型的安全设备在进行安全策略匹配时，会根据已选择的与该类型的安全设备相适应的方式进行安全策略匹配，因此，在执行网络业务诊断时，可以兼容不同类型和厂家的安全设备，从而提高了网络业务诊断方法的实用性。

附图说明

附图用来提供对本发明技术方案的进一步理解，并且构成说明书的一部分，与本申请的实施例一起用于解释本发明的技术方案，并不构成对本发明技术方案的限制。

图1为本发明实施例提供的一种网络业务诊断方法的流程图；

图2为本发明实施例提供的网络业务诊断方法中一种访问路径的示意图；

图3为本发明实施例提供的网络业务诊断方法中一种预处理的流程图；

图4为本发明实施例提供的网络业务诊断方法中一种选择安全策略匹配方式的流程图；

图5为本发明实施例提供的另一种网络业务诊断方法的流程图；

图6为本发明实施例提供的网络业务诊断方法中一种执行安全策略匹配的流程图；

图7为本发明实施例提供的网络业务诊断方法中另一种执行安全策略匹配的流程图；

图8为本发明实施例提供的网络业务诊断方法中一种分析业务请求和安全策略规则的重复部分的流程图；

图9为本发明实施例提供的网络业务诊断方法中一种生成业务请求的准许情况的流程图；

图10为本发明实施例提供的又一种网络业务诊断方法的流程图；

图11为本发明实施例提供的网络业务诊断方法中一种展示匹配结果的示意图；

图12为本发明实施例提供的一种网络业务诊断装置的结构示意图；

图13为本发明实施例提供的另一种网络业务诊断装置的结构示意图；

图14为本发明实施例提供的又一种网络业务诊断装置的结构示意图；

图15为本发明实施例提供的一种网络业务诊断服务器的结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，下文中将结合附图对本发明的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

下面通过具体的实施例对本发明的技术方案进行详细说明，本发明实施例中的安全设备例如为业务请求从源地址到目的地址之间的防火墙、路由器、交换机、安全网关(unifiedthreatmanagement，简称为：utm)等安全设备，网络诊断服务器例如为对请求业务的访问路径进行网络业务诊断的服务器。本发明提供以下几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例不再赘述。

图1为本发明实施例提供的一种网络业务诊断方法的流程图。本实施例提供的网络业务诊断方法适用于对业务请求的访问路径中安全设备进行业务诊断的情况中，该方法可以由网络业务诊断装置执行，该网络业务诊断装置通过硬件和软件结合的方式来实现，该装置可以集成在网络诊断服务器的处理器中，供处理器调用使用。如图1所示，本实施例提供的方法可以包括如下步骤：

s110，获取业务请求经过的安全设备的配置信息，该配置信息包括安全策略规则。

本发明实施例提供的网络业务诊断方法，为一种对业务请求的访问路径中的安全设备进行业务诊断的方式。在本发明实施例中，首先需要确定业务请求经过的访问路径，以及该访问路径经过的所有安全设备，从而获取上述每个安全设备的配置信息，该配置信息通常可以包括安全策略规则。

举例来说，如下表1所示，为本发明实施例提供的网络业务诊断方法中一种业务请求的内容。

表1

如上表1所示，业务请求可以包括源地址、目的地址和服务等；其中，

源地址和目的地址支持的地址类型包括但不限于主机地址、子网地址和网段地址等一种或几种组合形式，服务支持的类型包括但不限于传输控制协议(transmissioncontrolprotocol，简称为：tcp)服务、用户数据报协议(userdatagramprotocol，简称为：udp)服务和控制报文协议(internetcontrolmessageprotocol，简称为：icmp)服务等的一种或几种组合形式。

目前公司内容网络的管理维护中，从指定源地址到目的地址的业务请求需要通过哪些安全设备，可以通过安全管理员人工确定，或者自动生成该业务请求的访问路径。例如，图2为本发明实施例提供的网络业务诊断方法中一种访问路径的示意图，访问路径生成功能根据表1中的业务请求，使用公司网络拓扑图，获取图2中业务请求需要访问的安全设备的路径。图2中从源地址到目的地址路径，依次访问不同的安全设备，这些安全设备包括但不局限于防火墙、路由器、交换机、utm等。

由表1和图2可以看出，业务请求的访问路径经过的安全设备可以是多个，即获取的配置信息通常为：每个安全设备对应的配置信息；另外，安全策略规则例如包括：源接口区段、源地址等，在实际部署安全设备中，可以通过访问控制列表(accesscontrollist，简称为：acl)的方式来实现。在实际应用中，网络业务诊断装置可以通过安全外壳协议(secureshell，简称为：ssh)、远程终端协议(telnet)等方式连接图2中待分析的安全设备，并获取这些设备的配置信息，或者，将安全设备的配置信息导入网络业务诊断装置中，并获取这些设备的配置信息；随后，对获取的配置信息进行归一化处理，将不同类型安全设备上的配置信息转换为统一格式的内容，以生成用于进行预处理的配置信息。

需要说明的是，本发明实施例中业务请求的内容和格式不限于表1所示内容和格式，访问路径的形式也不限于图2所示形式，只要是符合网络规范的业务请求的内容和格式，以及符合业务请求的访问路径都可以应用于本发明实施例中。

s120，根据业务请求和安全设备的策略信息进行预处理；该预处理包括：根据每个安全设备的类型，选择对应的安全策略匹配方式，并且确定业务请求经过的安全设备的入接口和出接口，生成待分析的业务请求。

在本发明实施例中，在获取到安全设备的配置信息后，可以根据该配置信息和如表1所示的业务请求进行预处理。本发明实施例中预处理可以包括以下两部分内容：第一，根据每个安全设备的类型，选择该安全设备对应的安全策略匹配方式，用于后续进行安全策略的匹配；第二，通过业务请求的访问路径，确定该访问路径上业务请求经过的安全设备的入接口和出接口，生成待分析的业务请求；在实际应用中，通过图2中的访问路径，可以先确定该业务请求经过安全设备的入接口，将业务请求中目的地址与安全设备上的路由和接口信息进行比较，确定该安全设备上业务请求的出接口，并且可以根据业务请求的入接口和出接口确定源安全区段和目的安全区段。经过上述预处理过程，业务请求会转换为下表2的格式，表2为本发明实施例提供的网络业务诊断方法中一种待分析的业务请求的内容。

表2

如上表2所示，预处理后生成的待分析的业务请求可以包括入接口(也称为源接口/区段)源地址、出接口(也称为目的接口/区段)、目的地址和服务等。

需要说明的是，本发明实施例不限制上述预处理过程中的两部分内容的执行顺序，可以是顺序执行的，也可以是并行执行的；另外，预处理后生成的待分析的业务请求的内容和格式也不限于表2所示内容和格式，只要是符合网络规范和预处理方式生成的待分析的业务请求的内容和格式都可以应用于本发明实施例中。

s130，根据选择的安全策略匹配方式和预设匹配算法，将待分析的业务请求与安全设备的安全策略规则进行匹配，生成每个安全设备对业务请求的准许情况。

在本发明实施例中，上述预处理过程中已经选择了每个安全设备对应的安全策略匹配方式，并且生成了待分析的业务请求，随后，根据针对每个安全设备的安全策略匹配方式和预设的匹配算法，将待分析的业务请求与本安全设备的安全策略规则进行匹配，即将预设的匹配算法代入已选择的安全策略匹配方式中进行匹配，生成每个安全设备对业务请求的准许情况。

需要说明的是，预设的匹配算法可以是设计人员预先配置的，设计的规则例如为判断每个安全设备的安全策略规则与业务请求是否具有重复部分，

如果判断出有重复部分，则根据规则将该重复部分添加到相应的列表中，并将重复部分从业务请求中删除，直到安全设备中没有安全策略规则、或业务请求完全匹配、或安全策略规则与业务请求没有重复部分时，完成匹配；随后，根据匹配结果生成每个安全设备对业务请求的准许情况，即得到网络业务的匹配结果。

现有技术中使用网络业务诊断工具进行业务诊断的方式，仅能对单一厂家和类型的安全设备进行业务诊断，不能兼容不同厂家和类型的安全设备，这就需要在部署公司内部网络的安全设备时，使用同一厂家或使用统一类型的安全设备，若需要增添安全设备或替换旧的安全设备，则很难保证所有安全设备的类型或厂家相同。相比之下，通过上述本发明实施例提供的网络业务诊断方法可以看出，在进行网络业务诊断时，针对不同类型的安全设备，会选择不同的安全策略匹配方式，即不同类型的安全设备在进行安全策略匹配时，会根据已选择的与该类型的安全设备相适应的方式进行安全策略匹配，因此，在执行网络业务诊断时，可以兼容不同类型和厂家的安全设备，提高网络业务诊断方法的实用性。

本发明实施例所提供的网络业务诊断方法，通过获取业务请求经过的安全设备的配置信息，根据该配置信息和业务请求进行预处理，该预处理的方式包括：根据每个安全设备的类型，选择对应的安全策略匹配方式，并且确定上述业务请求经过的安全设备的入接口和出接口，生成待分析的业务请求，随后，根据已选择的安全策略匹配方式和预设匹配算法，将待分析的业务请求与配置信息中的安全策略规则进行匹配，生成每个安全设备对业务请求的准许情况；本发明实施例提供的方法，针对不同类型的安全设备，可以选择不同的安全策略匹配方式，即不同类型的安全设备在进行安全策略匹配时，会根据已选择的与该类型的安全设备相适应的方式进行安全策略匹配，因此，在执行网络业务诊断时，可以兼容不同类型和厂家的安全设备，从而提高了网络业务诊断方法的实用性。

如图3所示，为本发明实施例提供的网络业务诊断方法中一种预处理的流程图，上述实施例中已经说明图3所示预处理的实现方式可以包括以下步骤：

s121，根据每个安全设备的类型，选择该安全设备对应的安全策略匹配方式；

s122，确定业务请求经过的安全设备的入接口和出接口，生成待分析的业务请求。

可选地，在本发实施例中，由于访问路径中的一些安全设备可能存在特殊行为，包括但不限于二层/三层阻断策略，以及dnat地址转换等。也就是说，s110中获取的配置策略信息不仅可以包括安全设备的安全策略规则，还可以包括每个安全设备的阻断信息和目的地址转换(destinationnetworkaddresstranslation，简称为：dnat)中的一项或多项。因此，本发明实施例中的预处理还可以包括以下处理中的一项或多项：

s123，将业务请求与每个安全设备的阻断策略进行比较，过滤被掉本安全设备阻断策略阻断的业务请求。

在本发明实施例中，用户可以在安全设备上配置二层/三层阻断策略，在预处理时可以将业务请求与该安全设备的阻断策略进行比较，过滤掉该安全设备被阻断策略阻断的业务请求。

s124，根据每个安全设备的安全策略规则使用dnat转换前或dnat转换后的地址，确定是否对本安全设备上的业务请求进行dnat转换；其中，当其中一个安全设备的安全策略规则使用dnat转换后的地址时，对该安全设备上的业务请求进行dnat转换。

举例来说，如果某个安全设备的安全策略规则使用dnat转换前的地址，则业务请求不需要进行dnat转换，即可进行安全策略匹配(即执行s130)；如果某个安全设备的安全策略规则使用dnat转换后的地址，则业务请求需要先进行dnat转换，再进行安全策略匹配(即执行s130)。

需要说明的是，本发明实施例的图3所示预处理流程中，不限制s121～s124的执行顺序，可以是顺序执行的，也可以是并行执行的，在顺序执行时，同样不限制每个步骤的执行顺序，图3所示流程图以s121到s124的顺序为例予以示出。

进一步地，由于不同设备厂商生成的安全设备的类型通常不同，因此，在执行s121时，需要根据不同类型的安全设备，选择对应的安全策略匹配方式。例如，安全设备的类型可以包括第一类型、第二类型和第三类型，其中，第一类型的安全设备的安全策略规则按照配置顺序形成优先级列表，第二类型的安全设备的安全策略规则包括区域间安全策略规则和全局安全策略规则，第三类型的安全设备的安全策略规则包括入接口和出接口上的安全策略规则。在实际应用场景中，有的设备厂商，用户配置的安全策略规则按照策略配置的先后顺序和人为调整，形成一个优先级列表，安全设备收到业务请求后，将业务请求按照优先级列表自上而下进行匹配，该类型设备称为第一类型的安全设备。有的设备厂商，根据安全设备的安全区段，将安全策略规则划分为区域间安全策略规则，全局的安全策略规则，该类型设备称为第二类型的安全设备。还有的设备厂商，在安全设备的每个接口上配置acl，每个acl由多条安全策略规则组成，当业务请求经过该安全设备时，业务请求将通过安全设备上的入接口和出接口上的安全策略规则进行匹配，该类型设备称为第三类型的安全设备。

可选地，如图4所示，为本发明实施例提供的网络业务诊断方法中一种选择安全策略匹配方式的流程图，在本发明实施例中，s121的实现方式可以包括：

s1211，当设备类型为第一类型时，选择将业务请求按照优先级列表的顺序与安全策略规则进行匹配的安全策略匹配方式；在选择该方式进行安全策略匹配的情况下，可以将业务请求按照优先级列表中从上到下的顺序与安全策略规则进行匹配。

s1212，当设备类型为第二类型时，选择先将业务请求与区域间安全策略规则进行匹配，再将业务请求与全局安全策略规则进行匹配的安全策略匹配方式。

s1213，当设备类型为第三类型时，选择将业务请求分别与安全设备上的入接口和出接口上的安全策略规则进行匹配的安全策略匹配方式；在选择该方式进行安全策略匹配的情况下，可以获取上述两次匹配结果的交集作为匹配结果。

需要说明的是，本发明实施例不限制安全设备的类型为上述描述的三种类型，也不限制选择的安全策略匹配方式为上述三种方式，只要是可以应用于公司内部网络的安全设备的类型，以及与该类型相适应的安全策略匹配方式均可以应用于本发明实施例中。

可选地，图5为本发明实施例提供的另一种网络业务诊断方法的流程图，在图1所示实施例的基础上，本发明实施例中的s130可以包括：

s131，根据选择的安全策略匹配方式和预设匹配算法，将待分析的业务请求与安全设备的安全策略规则进行匹配，获取允许请求列表、拒绝请求列表和业务请求的匹配情况；

s132，根据允许请求列表、拒绝请求列表和业务请求的匹配情况，生成每个安全设备对业务请求的准许情况。

在本发明实施例中，配置的预设匹配算法不同，将待分析的业务请求与安全设备的安全策略规则进行匹配的实现方式也不同，以下以两种匹配算法为例说明本发明实施例中s131的实现方式。

在本发明实施例的一种实现方式中，s131的实现方式可以包括：

s11，当安全设备中有未匹配的安全策略规则，且业务请求没有完全匹配时，判断业务请求和安全策略规则是否有重复部分；

s12，当判断出有重复部分时，根据每个安全策略规则的动作将本安全策略规则添加到允许请求列表或拒绝请求列表中；

s13，将重复部分从业务请求中删除，构成新的业务请求。

举例来说，图6为本发明实施例提供的网络业务诊断方法中一种执行安全策略匹配的流程图，本实施例中执行安全策略匹配的方式可以包括：

s201，判断安全设备中是否有未匹配的acl规则；若没有，则匹配流程结束；若有，则执行s202；

s202，判断业务请求是否完全匹配；若完全匹配，则匹配流程结束；若没有完全匹配，则执行s203；

s203，判断业务请求和acl规则是否有重复部分；若没有重复部分，则重复执行s201，若有重复部分，则执行s204；

s204，判断acl规则的动作为“accept(允许)”还是“deny(拒绝)”；若动作为accept，则执行s205；若动作为deny，则执行s206；

s205，将该acl规则加入允许请求列表；随后执行s207；

s206，将该acl规则加入拒绝请求列表；随后执行s207；

s207，将重复部分从业务请求中删除，构成新的业务请求；随后重复执行s201。

在本发明实施例的另一种实现方式中，s131的实现方式可以包括：

s21，当安全设备中有未匹配的安全策略规则，且业务请求和安全策略规则有重复部分时，将重复部分与安全策略规则构成新的安全策略加入重复部分列表；

s22，当重复部分列表中有重复元素时，判断业务请求是否完全匹配；

s23，当判断出业务请求没有完全匹配时，判断业务请求和当前重复部分列表中安全策略规则是否有重复部分；

s24，当判断出有重复部分时，根据当前重复部分列表中每个安全策略规则的动作将本安全策略规则添加到允许请求列表或拒绝请求列表中；

s25，将重复部分从业务请求中删除，构成新的业务请求。

举例来说，图7为本发明实施例提供的网络业务诊断方法中另一种执行安全策略匹配的流程图，本实施例中执行安全策略匹配的方式可以包括：

s301，判断安全设备中是否有未匹配的acl规则；若没有，则执行s304；若有，则执行s302；

s302，判断业务请求和acl规则是否有重复部分；若没有重复部分，则重复执行s301，若有重复部分，则执行s303；

s303，将重复部分与acl规则构成新的安全策略加入重复部分列表；随后重复执行s301；

s304，判断重复部分列表中是否有重复元素；若没有，则匹配流程结束；若有，则执行s305；

s305，判断业务请求是否完全匹配；若完全匹配，则匹配流程结束；若没有完全匹配，则执行s306；

s306，判断业务请求和acl规则是否有重复部分；若没有重复部分，则重复执行s304，若有重复部分，则执行s307；

s307，判断acl规则的动作为“accept(允许)”还是“deny(拒绝)”；若动作为accept，则执行s308；若动作为deny，则执行s309；

s308，将该acl规则加入允许请求列表；随后执行s310；

s309，将该acl规则加入拒绝请求列表；随后执行s310；

s310，将重复部分从业务请求中删除，构成新的业务请求；随后重复执行s304。

需要说明的是，本发明实施例不限制通过上述图6和图7所示方式执行安全策略匹配，也可以通过其它匹配算法执行安全策略匹配。

进一步地，在匹配过程中采用图8所示流程进行分析，将业务请求与单个安全策略规则进行匹配，并获取业务请求和该安全策略规则的重复部分，图8为本发明实施例提供的网络业务诊断方法中一种分析业务请求和安全策略规则的重复部分的流程图，也就是说，上述实施例中判断业务请求和安全策略规则是否有重复部分的实现方式，即图6所示流程中的s203，以及图7所示流程中s302和s306的实现方式如图8所示，可以包括如下步骤：

s401，判断安全策略规则的源域是否包括业务请求的入接口；若不包括，则执行s407，且返回的匹配结果为空；若包括，则执行s402；

s402，判断安全策略规则的目的域是否包括业务请求的出接口；若不包括，则执行s407，且返回的匹配结果为空；若包括，则执行s403；

s403，判断安全策略规则与业务请求的源地址是否有重复部分；若没有重复部分，则执行s407，且返回的匹配结果为空；若有重复部分，则执行s404；

s404，判断安全策略规则与业务请求的目的地址是否有重复部分；若没有重复部分，则执行s407，且返回的匹配结果为空；若有重复部分时，则执行s405；

s405，判断安全策略规则与业务请求的服务是否有重复部分；若没有重复部分，则执行s407，且返回的匹配结果为空；若有重复部分时，则执行s406；

s406，计算安全策略规则与业务请求的重复部分。

s407，返回匹配结果。

需要说明的是，本发明实施例不限制图8所示流程中s401～s405的执行顺序，可以是顺序执行的，也可以是并行执行的，并且在s401～s405的每个步骤的判断均为“是”时，执行s406，在其中一个判断为“否”时，均返回为空的匹配结果。

可选地，图9为本发明实施例提供的网络业务诊断方法中一种生成业务请求的准许情况的流程图。在本发明实施例中，上述已经根据上述图6到图8所示实施例的方式获取到允许请求列表、拒绝请求列表和业务请求的匹配情况，此时，可以根据s131中已获取的内容，生成每个安全设备对业务请求的准许情况，本实施例中s132的实现方式可以包括：

s1321，当允许请求列表不为空，拒绝请求列表为空，且业务请求完全匹配时，准许情况为允许；

s1322，当允许请求列表不为空，且业务请求未完全匹配时，准许情况为部分允许；

s1323，当允许请求列表为空，拒绝请求列表不为空，且业务请求完全匹配时，准许情况为拒绝。

根据上述图5到图9所示实施例提供的匹配方式，可以生成业务请求的访问路径上所有安全设备的分析结果，如表3所示，为本发明实施例提供的网络业务诊断方法中一种安全策略匹配结果的内容。

表3

如上表3所示，安全策略匹配结果中可以包括：安全设备名称，安全设备生效的策略，准许情况，以及允许(拒绝)的业务请求的内容(包括源地址、目的地址、协议、目的端口)。

可选地，在本发明实施例中，在生成每个安全设备对业务请求的准许情况之后，还可以进一步进行分析处理，如图10所示，为本发明实施例提供的又一种网络业务诊断方法的流程图，在上述实施例的基础上，本发明实施例提供的方法还可以包括：

s140，根据每个安全设备对业务请求的准许情况，生成对本安全设备的安全策略变更建议。

本发明实施例在实际应用中，生成安全设备的安全策略变更建议的实现方式可以包括：当准许情况为允许时，不生成对应安全设备的安全策略变更建议；当准许情况为部分允许或拒绝时，生成对应安全设备的安全策略变更建议，其中，安全策略变更建议包括但不限于添加和/或修改安全策略的建议。在本发明实施例中，当准许情况为部分允许或拒绝时，可以为安全设备提供合理的策略变更建议，使得安全设备上的安全策略规则满足用户的业务需求，举例来说，提供具体安全策略变更建议的规则和内容可以为：

(1)、当安全设备上安全策略规则的源地址、目的地址、服务，覆盖业务请求的源地址、目的地址、服务，且安全策略规则的动作为deny时，安全策略变更建议可以为在该条安全策略规则之上添加一条允许业务请求通过acl规则的策略变更建议。

(2)、当安全设备上安全策略规则的源地址、目的地址、服务与业务请求的源地址、目的地址、服务相同，且安全策略规则的动作为deny时，可以提供修改该安全策略规则的策略变更建议，例如将该安全策略规则的动作由deny改为accept。

(3)、当业务请求的源地址、目的地址、服务，覆盖安全设备上安全策略规则的源地址、目的地址、服务，且安全策略规则的动为deny时，可以提供修改该安全策略规则的策略变更建议，例如将该安全策略规则的动作由deny改为accept；并且提供在该条安全策略规则之上添加一条允许剩余业务请求通过的安全策略规则的策略变更建议。

可选地，在本发明实施例中，在s130或s140之后，还可以包括：

s150，将以下生成结果中的一项或多项通过ui进行展示：每个安全设备对业务请求的准许情况，对每个安全设备的安全策略变更建议。

在本发明实施例中，在s130或s140之后，均可以通过网络业务诊断装置的用户界面(userinterface，简称为：ui)对s130和/或s140中生成的结果进行展示。展示方式包括但不限于如下方式：

ui直观呈现访问路径上的待分析安全设备的匹配结果(即每个安全设备对业务请求的准许情况)，例如通过不同标记表示安全设备对业务请求的准许情况。如图11所示，为本发明实施例提供的网络业务诊断方法中一种展示匹配结果的示意图，图11中通过“黑色粗实线”标记，表示访问路径上安全设备允许业务请求通过。

如表4所示，为本发明实施例提供的网络业务诊断方法中访问路径上安全设备对业务请求的准许情况和安全策略变更建议的展示内容。

表4

本发明实施例提供的网络业务诊断方法，能够自动分析业务请求的访问路径上，所有安全设备的安全策略规则对业务请求的准许情况。在实际应用中，通过对不同类型的安全设备选择对应的安全策略匹配方式，实现了分析和兼容不同厂家和类型的安全设备，使得公司能够对复杂庞大的内部网络中众多安全设备进行业务请求的诊断；另外，该方法还考虑到特定安全设备上的一些行为对业务请求的影响，提高了诊断结构的准确性；进一步地，针对安全设备不准许业务请求通过的情况，还提供了安全策略的变更建议，以保障业务请求可以在公司网络中畅行无阻，从而可以减少安全管理对安全设备知识水平的要求，降低公司网络的安全维护成本，以及提供公司网络的安全性和稳定性。

图12为本发明实施例提供的一种网络业务诊断装置的结构示意图。本实施例提供的网络业务诊断装置适用于对业务请求的访问路径中安全设备进行业务诊断的情况中，该装置通过硬件和软件结合的方式来实现，该装置可以集成在网络诊断服务器的处理器中，供处理器调用使用。如图12所示，本实施例提供的网络业务诊断装置10可以包括：配置获取模块11、预处理模块12和安全策略匹配模块13。

其中，配置获取模块11，用于获取业务请求经过的安全设备的配置信息，该配置信息包括安全策略规则。

本发明实施例提供的网络业务诊断装置10，用于执行对业务请求的访问路径中的安全设备进行业务诊断的方式。在本发明实施例中，首先需要确定业务请求经过的访问路径，以及该访问路径经过的所有安全设备，从而获取上述每个安全设备的配置信息，该配置信息通常可以包括安全策略规则。本发明实施例中的业务请求同样可以参照表1所示内容，根据表1所示业务请求的内容确定的访问路径和该访问路径中的安全设备同样可以参照图2所示内容，故在此不再赘述。

由表1和图2可以看出，业务请求的访问路径经过的安全设备可以是多个，即获取的配置信息通常为：每个安全设备对应的配置信息；另外，安全策略规则例如包括：源接口区段、源地址等，在实际部署安全设备中，可以通过acl的方式来实现。在实际应用中，网络业务诊断装置10可以通过ssh、telnet等方式连接图2中待分析的安全设备，并由配置获取模块11获取这些设备的配置信息，或者，将安全设备的配置信息导入网络业务诊断装置10中，并由配置获取模块11获取这些设备的配置信息；随后，对获取的配置信息进行归一化处理，将不同类型安全设备上的配置信息转换为统一格式的内容，以生成预处理模块12用于进行预处理的配置信息。

需要说明的是，本发明实施例中业务请求的内容和格式不限于表1所示内容和格式，访问路径的形式也不限于图2所示形式，只要是符合网络规范的业务请求的内容和格式，以及符合业务请求的访问路径都可以应用于本发明实施例中。

预处理模块12，用于根据业务请求和配置获取模块11获取的安全设备的配置信息进行预处理；该预处理模块12执行的预处理包括：根据每个安全设备的类型，选择对应的安全策略匹配方式，并且确定业务请求经过的安全设备的入接口和出接口，生成待分析的业务请求。

在本发明实施例中，在配置获取模块11获取到安全设备的配置信息后，预处理模块12可以根据该配置信息和如表1所示的业务请求进行预处理。本发明实施例中预处理可以包括以下两部分内容：第一，根据每个安全设备的类型，选择该安全设备对应的安全策略匹配方式，用于后续进行安全策略的匹配；第二，通过业务请求的访问路径，确定该访问路径上业务请求经过的安全设备的入接口和出接口，生成待分析的业务请求；在实际应用中，通过图2中的访问路径，可以先确定该业务请求经过安全设备的入接口，将业务请求中目的地址与安全设备上的路由和接口信息进行比较，确定该安全设备上业务请求的出接口，并且可以根据业务请求的入接口和出接口确定源安全区段和目的安全区段。经过上述预处理过程，业务请求同样会转换为上述实施例中表2的格式，在此不再赘述。

需要说明的是，本发明实施例不限制上述预处理过程中的两部分内容的执行顺序，可以是顺序执行的，也可以是并行执行的；另外，预处理后生成的待分析的业务请求的内容和格式也不限于表2所示内容和格式，只要是符合网络规范和预处理方式生成的待分析的业务请求的内容和格式都可以应用于本发明实施例中。

安全策略匹配模块13，用于根据预处理模块12选择的安全策略匹配方式和预设匹配算法，将待分析的业务请求与安全设备的安全策略规则进行匹配，生成每个安全设备对业务请求的准许情况。

在本发明实施例中，上述预处理模块12执行预处理的过程中已经选择了每个安全设备对应的安全策略匹配方式，并且生成了待分析的业务请求，随后，根据针对每个安全设备的安全策略匹配方式和预设的匹配算法，将待分析的业务请求与本安全设备的安全策略规则进行匹配，即将预设的匹配算法代入已选择的安全策略匹配方式中进行匹配，生成每个安全设备对业务请求的准许情况。

需要说明的是，预设的匹配算法可以是设计人员预先配置的，设计的规则例如为判断每个安全设备的安全策略规则与业务请求是否具有重复部分，如果判断出有重复部分，则根据规则将该重复部分添加到相应的列表中，并将重复部分从业务请求中删除，直到安全设备中没有安全策略规则、或业务请求完全匹配、或安全策略规则与业务请求没有重复部分时，完成匹配；随后，根据匹配结果生成每个安全设备对业务请求的准许情况，即得到网络业务的匹配结果。

现有技术中使用网络业务诊断工具进行业务诊断的方式，仅能对单一厂家和类型的安全设备进行业务诊断，不能兼容不同厂家和类型的安全设备，这就需要在部署公司内部网络的安全设备时，使用同一厂家或使用统一类型的安全设备，若需要增添安全设备或替换旧的安全设备，则很难保证所有安全设备的类型或厂家相同。相比之下，通过上述本发明实施例提供的网络业务诊断装置10执行处理的方式可以看出，在进行网络业务诊断时，针对不同类型的安全设备，会选择不同的安全策略匹配方式，即不同类型的安全设备在进行安全策略匹配时，会根据已选择的与该类型的安全设备相适应的方式进行安全策略匹配，因此，在执行网络业务诊断时，可以兼容不同类型和厂家的安全设备，提高网络业务诊断装置的实用性。

发明实施例提供的网络业务诊断装置10用于执行本发明图1所示实施例提供的网络业务诊断方法，具备相应的功能模块，其实现原理和技术效果类似，此处不再赘述。

上述实施例中已经说明预处理模块12执行预处理的两部分内容。可选地，在本发实施例中，由于访问路径中的一些安全设备可能存在特殊行为，包括但不限于二层/三层阻断策略，以及dnat地址转换等。也就是说，配置获取模块11获取的配置策略信息不仅可以包括安全设备的安全策略规则，还可以包括每个安全设备的阻断信息和dnat中的一项或多项。因此，在本发明实施例中，预处理模块12执行的预处理还可以包括以下处理中的一项或多项：

一方面，将业务请求与每个安全设备的阻断策略进行比较，过滤被掉本安全设备阻断策略阻断的业务请求。

另一方面，根据每个安全设备的安全策略规则使用dnat转换前或dnat转换后的地址，确定是否对本安全设备上的业务请求进行dnat转换；其中，当其中一个安全设备的安全策略规则使用dnat转换后的地址时，对该安全设备上的业务请求进行dnat转换。

需要说明的是，本发明实施例的预处理模块12执行的预处理操作中，不限制每项预处理操作的执行顺序，可以是顺序执行的，也可以是并行执行的，在顺序执行时，同样不限制每项预处理操作的执行顺序。

发明实施例提供的网络业务诊断装置10用于执行本发明图3所示实施例提供的网络业务诊断方法，具备相应的功能模块，其实现原理和技术效果类似，此处不再赘述。

进一步地，由于不同设备厂商生成的安全设备的类型通常不同，因此，预处理模块12在执行预处理时，需要根据不同类型的安全设备，选择对应的安全策略匹配方式。例如，安全设备的类型可以包括第一类型、第二类型和第三类型，其中，第一类型的安全设备的安全策略规则按照配置顺序形成优先级列表，第二类型的安全设备的安全策略规则包括区域间安全策略规则和全局安全策略规则，第三类型的安全设备的安全策略规则包括入接口和出接口上的安全策略规则。在实际应用场景中，有的设备厂商，用户配置的安全策略规则按照策略配置的先后顺序和人为调整，形成一个优先级列表，安全设备收到业务请求后，将业务请求按照优先级列表自上而下进行匹配，该类型设备称为第一类型的安全设备。有的设备厂商，根据安全设备的安全区段，将安全策略规则划分为区域间安全策略规则，全局的安全策略规则，该类型设备称为第二类型的安全设备。还有的设备厂商，在安全设备的每个接口上配置acl，每个acl由多条安全策略规则组成，当业务请求经过该安全设备时，业务请求将通过安全设备上的入接口和出接口上的安全策略规则进行匹配，该类型设备称为第三类型的安全设备。

可选地，在本发明实施例中，预处理模块12根据每个安全设备的类型，选择对应的安全策略匹配方式的实现方式，可以包括：

当设备类型为第一类型时，选择将业务请求按照优先级列表的顺序与安全策略规则进行匹配的安全策略匹配方式；在选择该方式进行安全策略匹配的情况下，可以将业务请求按照优先级列表中从上到下的顺序与安全策略规则进行匹配。

当设备类型为第二类型时，选择先将业务请求与区域间安全策略规则进行匹配，再将业务请求与全局安全策略规则进行匹配的安全策略匹配方式。

当设备类型为第三类型时，选择将业务请求分别与安全设备上的入接口和出接口上的安全策略规则进行匹配的安全策略匹配方式；在选择该方式进行安全策略匹配的情况下，可以获取上述两次匹配结果的交集作为匹配结果。

需要说明的是，本发明实施例不限制安全设备的类型为上述描述的三种类型，也不限制选择的安全策略匹配方式为上述三种方式，只要是可以应用于公司内部网络的安全设备的类型，以及与该类型相适应的安全策略匹配方式均可以应用于本发明实施例中。

发明实施例提供的网络业务诊断装置10用于执行本发明图4所示实施例提供的网络业务诊断方法，具备相应的功能模块，其实现原理和技术效果类似，此处不再赘述。

可选地，图13为本发明实施例提供的另一种网络业务诊断装置的结构示意图，在图12所示装置的结构基础上，本发明实施例提供的装置中，安全策略匹配模块13可以包括：

安全策略匹配单元131，用于根据选择的安全策略匹配方式和预设匹配算法，将待分析的业务请求与安全设备的安全策略规则进行匹配，获取允许请求列表、拒绝请求列表和业务请求的匹配情况；

生成单元132，用于根据安全策略匹配单元131获取的允许请求列表、拒绝请求列表和业务请求的匹配情况，生成每个安全设备对业务请求的准许情况。

在本发明实施例中，配置的预设匹配算法不同，将待分析的业务请求与安全设备的安全策略规则进行匹配的实现方式也不同，以下以两种匹配算法为例说明本发明实施例中安全策略匹配单元131执行匹配的实现方式。

发明实施例提供的网络业务诊断装置10用于执行本发明图5所示实施例提供的网络业务诊断方法，具备相应的功能模块，其实现原理和技术效果类似，此处不再赘述。

在本发明实施例的一种实现方式中，安全策略匹配单元131根据选择的安全策略匹配方式和预设匹配算法，将待分析的业务请求与安全设备的安全策略规则进行匹配的实现方式，可以包括：

s11，当安全设备中有未匹配的安全策略规则，且业务请求没有完全匹配时，判断业务请求和安全策略规则是否有重复部分；

s12，当判断出有重复部分时，根据每个安全策略规则的动作将本安全策略规则添加到允许请求列表或拒绝请求列表中；

s13，将重复部分从业务请求中删除，构成新的业务请求。

在该实现方式中，执行安全策略匹配的流程可以参照图6所示的流程图，故在此不再赘述。

在本发明实施例的另一种实现方式中，安全策略匹配单元131根据选择的安全策略匹配方式和预设匹配算法，将待分析的业务请求与安全设备的安全策略规则进行匹配的实现方式，可以包括：

s21，当安全设备中有未匹配的安全策略规则，且业务请求和安全策略规则有重复部分时，将重复部分与安全策略规则构成新的安全策略加入重复部分列表；

s22，当重复部分列表中有重复元素时，判断业务请求是否完全匹配；

s23，当判断出业务请求没有完全匹配时，判断业务请求和当前重复部分列表中安全策略规则是否有重复部分；

s24，当判断出有重复部分时，根据当前重复部分列表中每个安全策略规则的动作将本安全策略规则添加到允许请求列表或拒绝请求列表中；

s25，将重复部分从业务请求中删除，构成新的业务请求。

在该实现方式中，执行安全策略匹配的流程可以参照图7所示的流程图，故在此不再赘述。

进一步地，在本发明实施例中，安全策略匹配单元131判断业务请求和安全策略规则是否有重复部分的实现方式，可以为，分别执行以下判断项目并返回相应的结果：

s31，判断安全策略规则的源域是否包括业务请求的入接口，当判断出不包括时，返回的匹配结果为空，当判断出包括时，执行其它判断项目；

s32，判断安全策略规则的目的域是否包括业务请求的出接口，当判断出不包括时，返回的匹配结果为空，当判断出包括时，执行其它判断项目；

s33，判断安全策略规则与业务请求的源地址是否有重复部分，当判断出没有重复部分时，返回的匹配结果为空，当判断出有重复部分时，执行其它判断项目；

s34，判断安全策略规则与业务请求的目的地址是否有重复部分，当判断出没有重复部分时，返回的匹配结果为空，当判断出有重复部分时，执行其它判断项目；

s35，判断安全策略规则与业务请求的服务是否有重复部分，当判断出没有重复部分时，返回的匹配结果为空，当判断出有重复部分时，执行其它判断项目；

s36，当每个判断项目的判断结果均为“是”时，计算安全策略规则与业务请求的重复部分，返回的匹配结果为重复部分。

本发明实施例在执行匹配的过程中同样可以采用图8所示流程进行分析，将业务请求与单个安全策略规则进行匹配，并获取业务请求和该安全策略规则的重复部分，也就是说，上述实施例中判断业务请求和安全策略规则是否有重复部分的实现方式如图8所示，上述实施例中已经详细描述，故在此不再赘述。

可选地，在本发明实施例中，上述安全策略匹配单元131已经获取到允许请求列表、拒绝请求列表和业务请求的匹配情况，因此，本实施例中生成单元132根据安全策略匹配单元131获取的允许请求列表、拒绝请求列表和业务请求的匹配情况，生成每个安全设备对业务请求的准许情况的实现方式，可以包括：

当允许请求列表不为空，拒绝请求列表为空，且业务请求完全匹配时，准许情况为允许；

当允许请求列表不为空，且业务请求未完全匹配时，准许情况为部分允许；

当允许请求列表为空，拒绝请求列表不为空，且业务请求完全匹配时，准许情况为拒绝。

发明实施例提供的网络业务诊断装置10用于执行本发明图9所示实施例提供的网络业务诊断方法，具备相应的功能模块，其实现原理和技术效果类似，此处不再赘述。

通过安全策略匹配单元131和生成单元132执行的匹配方式，可以生成业务请求的访问路径上所有安全设备的分析结果，该分析结果同样参照表3所示内容，在此不再赘述。

可选地，在本发明实施例中，在安全策略匹配模块13生成每个安全设备对业务请求的准许情况之后，还可以进一步进行分析处理，如图14所示，为本发明实施例提供的又一种网络业务诊断装置的结构示意图，在上述实施例的基础上，本发明实施例提供的装置还可以包括：

安全策略变更模块14，用于根据安全策略匹配模块13生成的每个安全设备对业务请求的准许情况，生成对本安全设备的安全策略变更建议。

本发明实施例在实际应用中，安全策略变更模块14生成安全设备的安全策略变更建议的实现方式可以包括：当准许情况为允许时，安全策略变更模块14不生成对应安全设备的安全策略变更建议；当准许情况为部分允许或拒绝时，安全策略变更模块14生成对应安全设备的安全策略变更建议，其中，安全策略变更建议包括但不限于添加和/或修改安全策略的建议。在本发明实施例中，当准许情况为部分允许或拒绝时，可以为安全设备提供合理的策略变更建议，使得安全设备上的安全策略规则满足用户的业务需求。需要说明的是，具体安全策略变更建议的规则和内容在上述实施例中已经详细描述，故在此不再赘述。

可选地，在本发明实施例中，网络业务诊断装置10还可以包括：

结果展示模块15，用于将以下生成结果中的一项或多项通过用户界面ui进行展示：安全策略匹配模块13生成的每个安全设备对业务请求的准许情况，安全策略变更模块14生成的对每个安全设备的安全策略变更建议。

在本发明实施例中，在安全策略匹配模块13生成每个安全设备对业务请求的准许情况或安全策略变更模块14生成对每个安全设备的安全策略变更建议之后，均可以通过网络业务诊断装置10的结果展示模块15对上述生成的结果进行展示。展示方式包括但不限于上述实施例中图11和表4所示的展示方式。

发明实施例提供的网络业务诊断装置10用于执行本发明图10所示实施例提供的网络业务诊断方法，具备相应的功能模块，其实现原理和技术效果类似，此处不再赘述。

在实际应用中，本发明图12到图14所示各实施例中的配置获取模块11、预处理模块12、安全策略匹配模块13、安全策略变更模块14和结果展示模块15可以通过网络业务诊断装置10的处理器来实现，该处理器例如可以是一个中央处理器(centralprocessingunit，简称为：cpu)，或者是特定集成电路(applicationspecificintegratedcircuit，简称为：asic)，或者是完成实施本发明实施例的一个或多个集成电路。

图15为本发明实施例提供的一种网络诊断服务器的结构示意图。本实施例提供的网络业务诊断服务器20可以包括：存储器21和处理器22。

其中，存储器21，用于保存可执行指令；

处理器22，用于执行存储器21保存的可执行指令，进行如下操作：

获取业务请求经过的安全设备的配置信息，该配置信息包括安全策略规则；

根据业务请求和安全设备的配置信息进行预处理；该预处理包括：根据每个安全设备的类型，选择对应的安全策略匹配方式，并且确定业务请求经过的安全设备的入接口和出接口，生成待分析的业务请求；

根据选择的安全策略匹配方式和预设匹配算法，将待分析的业务请求与安全设备的安全策略规则进行匹配，生成每个安全设备对业务请求的准许情况。

可选地，在本发明实施例中，上述配置信息还包括阻断策略和目的地址转换dnat中的一项或多项，处理器22执行可执行指令时，预处理还包括以下处理中的一项或多项：

将业务请求与每个安全设备的阻断策略进行比较，过滤掉本安全设备被阻断策略阻断的业务请求；

根据每个安全设备的安全策略规则使用dnat转换前或dnat转换后的地址，确定是否对本安全设备上的业务请求进行dnat转换；其中，当其中一个安全设备的安全策略规则使用dnat转换后的地址时，对安全设备上的业务请求进行dnat转换。

可选地，在本发明实施例中，处理器22执行可执行指令时，执行的操作“根据选择的安全策略匹配方式和预设匹配算法，将待分析的业务请求与安全设备的安全策略规则进行匹配，生成每个安全设备对业务请求的准许情况”，可以包括：

根据选择的安全策略匹配方式和预设匹配算法，将待分析的业务请求与安全设备的安全策略规则进行匹配，获取允许请求列表、拒绝请求列表和业务请求的匹配情况；

根据允许请求列表、拒绝请求列表和业务请求的匹配情况，生成每个安全设备对业务请求的准许情况。

可选地，在本发明实施例中，处理器22执行可执行指令时，还进行如下操作：

根据每个安全设备对业务请求的准许情况，生成对本安全设备的安全策略变更建议；

其中，当准许情况为允许时，不生成对应安全设备的安全策略变更建议；

当准许情况为部分允许或拒绝时，生成对应安全设备的安全策略变更建议，安全策略变更建议包括添加和/或修改安全策略的建议。

可选地，在本发明实施例中，处理器22执行可执行指令时，还进行如下操作：

将以下生成结果中的一项或多项通过用户界面ui进行展示：每个安全设备对业务请求的准许情况，对每个安全设备的安全策略变更建议。

发明实施例提供的网络业务诊断服务器20用于执行本发明图1到图10所示任一实施例提供的网络业务诊断方法，具备相应的实体装置，其实现原理和技术效果类似，此处不再赘述。

本领域普通技术人员可以理解上述方法中的全部或部分步骤可以通过程序来指令相关硬件(例如处理器)完成，所述程序可以存储于计算机可读存储介质中，如只读存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地，上述实施例中的各模块/单元可以采用硬件的形式实现，例如通过集成电路来实现其相应功能，也可以采用软件功能模块的形式实现，例如通过处理器执行存储于存储器中的程序/指令来实现其相应功能。本发明实施例不限制于任何特定形式的硬件和软件的结合。

虽然本发明所揭露的实施方式如上，但所述的内容仅为便于理解本发明而采用的实施方式，并非用以限定本发明。任何本发明所属领域内的技术人员，在不脱离本发明所揭露的精神和范围的前提下，可以在实施的形式及细节上进行任何的修改与变化，但本发明的专利保护范围，仍须以所附的权利要求书所界定的范围为准。