网关设备的策略信息分析方法及装置与流程

本发明涉及网关领域，尤其涉及一种网关设备的策略信息分析方法及装置。

背景技术：

本部分旨在为权利要求书中陈述的本发明实施例提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。

目前，现有的网关设备(包括防火墙和路由器等设备)中，采用白名单策略来实现不同安全域的访问，即在允许访问的不同安全域之间，下发相应的访问控制策略，随着时间的推移，网关设备上存储的策略越来越多，导致设备性能受到了很大的影响。

为了清理或调整网关设备上一些无用的或冗余或有冲突关系的策略，需要定期对网关设备上现有的策略关系进行梳理和分析。现有的策略分析方法，是通过遍历网关设备上各个策略的策略信息来分析各个策略之间的策略关系，这种方式，随着策略数量的不断增加，策略分析耗费的是时间也会不断增加，当策略发生变更时，需要重新对有所有的策略进行分析。

针对上述问题，目前尚未提出有效的解决方案。

技术实现要素：

本发明实施例提供一种网关设备的策略信息分析方法，用以解决现有技术中通过遍历网关设备上各个策略的策略信息来分析各个策略之间的策略关系，存在耗时长，且当策略发生变更时需要重新分析各个策略之间的策略关系的技术问题，该方法包括：采集网关设备作用域内各个策略的策略信息，其中，每个策略的策略信息中包含：每个策略的协议类型、源地址信息、目的地址信息和端口信息；根据每个策略的策略信息，将每个策略拆分为源地址元素、目的地址元素和不同协议类型的端口元素，其中，源地址元素中包含：所属策略的策略标识和源地址信息，目的地址元素中包含：所属策略的策略标识和目的地址信息，端口元素中包含：所属策略的策略标识、协议类型和端口信息；基于网络地址空间，查找每个策略的源地址元素、目的地址元素以及端口元素对应的父节点策略，将每个策略的源地址元素、目的地址元素以及端口元素对应父节点策略的策略标识，记录到每个策略的源地址元素、目的地址元素和端口元素中；根据网关设备作用域内各个策略的源地址元素、目的地址元素和端口元素中记录的父节点策略的策略标识，以及各个策略与父节点策略的优先级信息和动作信息，确定网关设备作用域内各个策略之间的策略关系信息，其中，优先级信息用于确定策略执行的优先级，动作信息包括：允许动作或拒绝动作。

本发明实施例还提供一种网关设备的策略信息分析装置，用以解决现有技术中通过遍历网关设备上各个策略的策略信息来分析各个策略之间的策略关系，存在耗时长，且当策略发生变更时需要重新分析各个策略之间的策略关系的技术问题，该装置包括：策略信息采集模块，用于采集网关设备作用域内各个策略的策略信息，其中，每个策略的策略信息中包含：每个策略的协议类型、源地址信息、目的地址信息和端口信息；策略信息处理模块，用于根据每个策略的策略信息，将每个策略拆分为源地址元素、目的地址元素和不同协议类型的端口元素，其中，源地址元素中包含：所属策略的策略标识和源地址信息，目的地址元素中包含：所属策略的策略标识和目的地址信息，端口元素中包含：所属策略的策略标识、协议类型和端口信息；策略信息记录模块，用于基于网络地址空间，查找每个策略的源地址元素、目的地址元素或端口元素对应的父节点策略，将每个策略的源地址元素、目的地址元素或端口元素对应父节点策略的策略标识，记录到每个策略的源地址元素、目的地址元素和端口元素中；策略信息分析模块，用于根据网关设备作用域内各个策略的源地址元素、目的地址元素和端口元素中记录的父节点策略的策略标识，以及各个策略与父节点策略的优先级信息和动作信息，确定网关设备作用域内各个策略之间的策略关系信息，其中，优先级信息用于确定策略执行的优先级，动作信息包括：允许动作或拒绝动作。

本发明实施例还提供一种计算机设备，用以解决现有技术中通过遍历网关设备上各个策略的策略信息来分析各个策略之间的策略关系，存在耗时长，且当策略发生变更时需要重新分析各个策略之间的策略关系的技术问题，该计算机设备包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行计算机程序时实现上述网关设备的策略信息分析方法。

本发明实施例还提供一种计算机可读存储介质，用以解决现有技术中通过遍历网关设备上各个策略的策略信息来分析各个策略之间的策略关系，存在耗时长，且当策略发生变更时需要重新分析各个策略之间的策略关系的技术问题，该计算机可读存储介质存储有执行上述网关设备的策略信息分析方法的计算机程序。

本发明实施例中，在采集到网关设备作用域内各个策略的策略信息(包括但不限于协议类型、源地址信息、目的地址信息和端口信息等)后，根据每个策略的协议类型，对每个策略的源地址信息、目的地址信息和端口信息进行拆分，将每个策略拆分为多个元素(源地址元素、目的地址元素和端口元素，其中，源地址元素中包含：所属策略的策略标识和源地址信息，目的地址元素中包含：所属策略的策略标识和目的地址信息，端口元素中包含：所属策略的策略标识、协议类型和端口信息)；然后基于网络地址空间，查找每个策略的源地址元素、目的地址元素以及端口元素对应的父节点策略，并将每个策略的源地址元素、目的地址元素以及端口元素对应父节点策略的策略标识，记录到每个策略的源地址元素、目的地址元素和端口元素中，以便根据网关设备作用域内各个策略的源地址元素、目的地址元素和端口元素中记录的父节点策略的策略标识，确定网关设备作用域内各个策略之间的策略关系信息。

通过本发明实施例，基于网络地址的空间位置信息，使用多元空间分析法，将网关设备作用域内的每个策略，按照策略所支持的协议类型、源地址、目的地址、端口拆分成不同的元素，并在各个元素中记录父节点策略策略的标识，进而实现一次分析，即可确定所有策略的策略关系，大大提高策略分析的效率；当策略发生变更的情况下，仅需调整受影响的策略的位置信息，即可获取所有的策略关系，无需再重新分析所有的策略。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。在附图中：

图1为本发明实施例中提供的一种网关设备的策略信息分析方法流程图；

图2为本发明实施例中提供的一种策略拆分示意图；

图3为本发明实施例中提供的一种ip地址空间分布层次示意图；

图4为本发明实施例中提供的一种网关设备的策略信息分析装置示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚明白，下面结合附图对本发明实施例做进一步详细说明。在此，本发明的示意性实施例及其说明用于解释本发明，但并不作为对本发明的限定。

在本说明书的描述中，所使用的“包含”、“包括”、“具有”、“含有”等，均为开放性的用语，即意指包含但不限于。参考术语“一个实施例”、“一个具体实施例”、“一些实施例”、“例如”等的描述意指结合该实施例或示例描述的具体特征、结构或者特点包含于本申请的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。各实施例中涉及的步骤顺序用于示意性说明本申请的实施，其中的步骤顺序不作限定，可根据需要作适当调整。

本发明实施例中提供了一种网关设备的策略信息分析方法，适用于分析任意一种网关设备上各个策略之间的关系(例如，包含、重叠、交叉或冲突等关系)。

图1为本发明实施例中提供的一种网关设备的策略信息分析方法流程图，如图1所示，该方法可以包括如下步骤：

s101，采集网关设备作用域内各个策略的策略信息，其中，每个策略的策略信息中包含：每个策略的协议类型、源地址信息、目的地址信息和端口信息。

需要说明的是，本发明实施例中网关设备可以是但不限于防火墙、路由器等；本发明实施例中策略是指网关设备的安全策略(即网络安全访问控制策略)；作用域是指安全策略生效的范围。上述每个策略的协议类型可以是但不限于tcp协议、

s102，根据每个策略的策略信息，将每个策略拆分为源地址元素、目的地址元素和不同协议类型的端口元素，其中，源地址元素中包含：所属策略的策略标识和源地址信息，目的地址元素中包含：所属策略的策略标识和目的地址信息，端口元素中包含：所属策略的策略标识、协议类型和端口信息。

需要说明的是，本发明实施例可以根据策略所支持的协议类型、源地址、目的地址以及端口将策略拆分为单个元素，每个元素记录所属的策略标识。例如，图2为本发明实施例中提供的一种策略拆分示意图，如图2所示，根据各个策略的作用域，hash到属于该作用域的根节点，若根节点不存在，则根据作用域生成一个新的key，作为根节点；每个根节点根据策略支持的协议类型，自动生成每个策略对应的源地址元素、目的地址元素和端口元素，对于某个支持tcp协议的策略，将该策略拆分为源地址、目的地址和端口三个元素后，自动生成srcip、dstip、tcp-port三个子队列；对于某个支持udp协议的策略，将该策略拆分为源地址、目的地址和端口三个元素后，自动生成srcip、dstip、udp-port三个子队列。

s103，基于网络地址空间，查找每个策略的源地址元素、目的地址元素以及端口元素对应的父节点策略，将每个策略的源地址元素、目的地址元素以及端口元素对应父节点策略的策略标识，记录到每个策略的源地址元素、目的地址元素和端口元素中。

具体地，可以将源地址和目的地址按照地址的大小以及掩码的长度插入网络地址空间相应的位置，并记录其父节点的策略标识，对端口按照范围大小记录其父节点的策略标识。需要注意的是，本发明实施例中记录的父节点包括直属的和非直属的父节点，若地址和掩码完全相同，则记录邻居节点标识。

作为一种可选的实施方式，上述s103可以通过如下步骤来实现：根据源地址信息或目的地址信息中的ip地址和子网掩码，查找每个策略的源地址元素或目的地址元素在网络地址空间对应的父节点策略；根据端口信息对应的端口范围，确定每个策略的端口元素在网络地址空间对应的父节点策略；将每个策略的源地址元素、目的地址元素以及端口元素对应父节点策略的策略标识，记录到每个策略的源地址元素、目的地址元素和端口元素中。

其中，在根据源地址信息或目的地址信息中的ip地址和子网掩码，查找每个策略的源地址元素或目的地址元素在网络地址空间对应的父节点策略的时候，可以通过给如下步骤来实现：根据源地址信息或目的地址信息中的ip地址和子网掩码，查找每个策略的源地址信息或目的地址信息在网络地址空间对应的父节点；将每个策略的源地址信息或目的地址信息在网络地址空间对应父节点中包含的策略标识对应的策略，确定为每个策略的源地址元素或目的地址元素在网络地址空间对应的父节点策略。

作为一种可选的实施方式，本发明实施例中源地址信息和目的地址信息均为ip地址信息，图3为本发明实施例中提供的一种ip地址空间分布层次示意图，如图3所示，无论是源地址信息，还是目的地址信息，在ip地址空间中，ip地址中掩码长度长的地址信息位于下层，ip地址中掩码长度短的地址信息位于上层。

因而，在一种可选的实施例中，本发明实施例可以通过如下步骤来查找源地址信息或目的地址信息在网络地址空间中所在节点对应的父节点：根据源地址信息或目的地址信息中的ip地址和子网掩码，确定源地址信息或目的地址信息在网络地址空间对应的第一节点；根据源地址信息或目的地址信息中的ip地址和子网掩码，计算源地址信息或目的地址信息对应的子网号，并查找网络地址空间中与源地址信息或目的地址信息对应子网号相似度最高的第二节点；比较第一节点与二节点的掩码长度；如果第一节点的掩码长度大于二节点的子网掩码长度，则继续遍历二节点的下层节点，直到查找到掩码长度最长的第三节点，作为源地址信息或目的地址信息在网络地址空间对应的父节点；如果第一节点的掩码长度小于或等于第二节点的子网掩码长度，则将第二节点对应的父节点修改为第一节点。

可选地，在根据端口信息对应的端口范围，确定每个策略的端口元素在网络地址空间对应的父节点策略的时候，可以通过给如下步骤来实现：获取第一端口元素对应端口信息的第一端口范围，以及第二端口素对应端口信息的第二端口范围；如果第一端口范围包含第二端口范围，则将第一端口元素对应的策略确定为第二端口元素在网络地址空间对应的父节点策略。

s104，根据网关设备作用域内各个策略的源地址元素、目的地址元素和端口元素中记录的父节点策略的策略标识，以及各个策略与父节点策略的优先级信息和动作信息，确定网关设备作用域内各个策略之间的策略关系信息，其中，优先级信息用于确定策略执行的优先级，动作信息包括：允许动作或拒绝动作。

需要说明的是，由于每个策略的单个元素中均记录了父节点策略的策略标识，因而，本发明实施例可以通过统计每个策略的父节点信息，即可以得到所有的策略关系。若对于所有的条目都具有某个父节点，或者部分是有同一个父节点，其余部分都是邻居标识，则认为该策略被该父节点策略包含，若父节点优先级高，则认为是无效策略，若父节点优先级低，则认为是冗余，若动作相反，则认为是冲突。即根据节点本身和父节点的位置信息，即可以获取所有的策略关系信息(例如，包含、重叠、交叉、冲突等)，大大提升策略的分析效率。

作为一种可选的实施方式，本发明实施例可以通过如下步骤来确定策略与策略之间是否具有包含关系：判断每个策略与父节点策略是否满足预设策略包含条件，其中，策略包含条件为每个策略的源地址元素、目的地址元素和端口元素具有同一父节点，或每个策略的源地址元素、目的地址元素和端口元素中部分元素具有同一父节点，且其余元素为邻居节点；将满足预设策略包含条件的各个策略与父节点策略，确定为策略包含关系。

作为一种可选的实施方式，本发明实施例可以通过如下步骤来确定策略与策略之间是否具有包含关系：获取目标策略的源地址元素、目的地址元素和端口元素中记录的父节点策略的策略标识，以及目标策略与父节点策略的优先级信息和动作信息，其中，目标策略为网关设备作用域内任意一个策略；如果目标策略的所有元素中包含父节点策略的策略标识相同，且目标策略的策略优先级低于父节点策略的策略优先级，则将目标策略确定为无效策略；如果目标策略的所有元素中包含父节点策略的策略标识都相同，且目标策略的策略优先级高于父节点策略的策略优先级，且目标策略与父节点策略的动作信息相同，则将目标策略确定为父节点策略的冗余策略；如果目标策略的所有元素中包含父节点策略的策略标识都相同，且目标策略的策略优先级高于父节点策略的策略优先级，且目标策略与父节点策略的动作信息相反，则将目标策略确定为父节点策略的冲突策略；如果目标策略的部分元素中包含父节点策略的策略标识都相同，且目标策略的策略优先级高于父节点策略的策略优先级，且目标策略与父节点策略的动作信息相反，则将目标策略确定为父节点策略的交叉策略。

由上可知，本发明实施例提供的网关设备的策略信息分析方法，在采集到网关设备作用域内各个策略的策略信息(包括但不限于协议类型、源地址信息、目的地址信息和端口信息等)后，根据每个策略的协议类型，对每个策略的源地址信息、目的地址信息和端口信息进行拆分，将每个策略拆分为多个元素(源地址元素、目的地址元素和端口元素，其中，源地址元素中包含：所属策略的策略标识和源地址信息，目的地址元素中包含：所属策略的策略标识和目的地址信息，端口元素中包含：所属策略的策略标识、协议类型和端口信息)；然后基于网络地址空间，查找每个策略的源地址元素、目的地址元素以及端口元素对应的父节点策略，并将每个策略的源地址元素、目的地址元素以及端口元素对应父节点策略的策略标识，记录到每个策略的源地址元素、目的地址元素和端口元素中，以便根据网关设备作用域内各个策略的源地址元素、目的地址元素和端口元素中记录的父节点策略的策略标识，确定网关设备作用域内各个策略之间的策略关系信息。

通过本发明实施例，基于网络地址的空间位置信息，使用多元空间分析法，将网关设备作用域内的每个策略，按照策略所支持的协议类型、源地址、目的地址、端口拆分成不同的元素，并在各个元素中记录父节点策略策略的标识，进而实现一次分析，即可确定所有策略的策略关系，大大提高策略分析的效率；当策略发生变更的情况下，仅需调整受影响的策略的位置信息，即可获取所有的策略关系，无需再重新分析所有的策略。

下面，本发明实施例以安全策略100为例，来对本发明实施例进行详细说明。假设该安全策略支持tcp协议，源地址为192.168.10.0/28，192.168.20.0/26；目的地址为172.20.1.1；端口号为8080。包括如下步骤：

第一步，根据该安全策略的作用域标识，hash到属于该作用域的根节点(如果是全局策略，则根据设备标识hash作用域的根节点；如果是域间策略，则根据域间标识hash到作用域的根节点)，若根节点不存在，则根据作用域生成一个新的key，作为根节点；每个根节点自动生成三个子队列srcip、dstip、tcp-port。

第二步，按照安全策略支持的协议类型和对应的地址条目(源地址、目的地址和端口号)，将安全策略100拆分为srcip-192.168.10.0/28、srcip-192.168.20.0/26、dstip-172.20.1.1和tcp-dst-8080。将srcip-192.168.10.0/28挂在子队列srcip某个节点下面(例如，srcip队列下面存在节点a-192.168.10.0/24)，根据地址和掩码计算出子网号，查找与子网号匹配相似度最高的节点a。从最底层开始遍历，比较掩码长度，如果策略的匹配元素的掩码长度比节点a的掩码长度长，则继续遍历该节点a的下层节点，直到查找到掩码长度最长的父节点b；如果掩码长度比匹配节点c的掩码长度短，则节点c的位置下沉，并修改节点c的父节点信息为策略100，策略100占用节点c的位置。其他的源地址以及目的地址处理方式与此相同。端口的处理方式则是按照端口范围匹配，比如1-65535的范围比8080-8090的范围大，1-65535所关联的策略即为8080-8090关联策略的父节点。按照此方式，找到该策略所有条目(源地址、目的地址和端口号)的父节点。

第三步，根据策略的父节点信息，得到该策略与其他策略的关系信息。若该策略所有的条目都具有某个父节点，或者部分条目都有该父节点且其他条目与该策略在同一层次，则认为该策略被该父节点策略包含；若父节点优先级高，则认为是无效策略；若父节点优先级低，且动作相同，则认为是冗余；若父节点优先级低，且动作相反，则认为是冲突；若源地址、目的地址，端口的父节点都是某个策略，但是其他的条目又未被该策略包含，则确定该策略与父节点策略具有交集，即交叉策略。

由上可知，本发明实施例将策略的基本信息按照多元空间维度进行拆分，记录其空间位置信息，策略的位置一旦确定，即可以得到所有策略的关系信息，大大提升了策略的分析效率。

基于同一发明构思，本发明实施例中还提供了一种网关设备的策略信息分析装置，如下面的实施例所述。由于该装置实施例解决问题的原理与网关设备的策略信息分析方法相似，因此该装置实施例的实施可以参见方法的实施，重复之处不再赘述。

图4为本发明实施例中提供的一种网关设备的策略信息分析装置示意图，如图4所示，该装置包括：策略信息采集模块41、策略信息处理模块42、策略信息记录模块43和策略信息分析模块44。

其中，策略信息采集模块41，用于采集网关设备作用域内各个策略的策略信息，其中，每个策略的策略信息中包含：每个策略的协议类型、源地址信息、目的地址信息和端口信息；策略信息处理模块42，用于根据每个策略的策略信息，将每个策略拆分为源地址元素、目的地址元素和不同协议类型的端口元素，其中，源地址元素中包含：所属策略的策略标识和源地址信息，目的地址元素中包含：所属策略的策略标识和目的地址信息，端口元素中包含：所属策略的策略标识、协议类型和端口信息；策略信息记录模块43，用于基于网络地址空间，查找每个策略的源地址元素、目的地址元素以及端口元素对应的父节点策略，将每个策略的源地址元素、目的地址元素以及端口元素对应父节点策略的策略标识，记录到每个策略的源地址元素、目的地址元素和端口元素中；策略信息分析模块44，用于根据网关设备作用域内各个策略的源地址元素、目的地址元素和端口元素中记录的父节点策略的策略标识，以及各个策略与父节点策略的优先级信息和动作信息，确定网关设备作用域内各个策略之间的策略关系信息，其中，优先级信息用于确定策略执行的优先级，动作信息包括：允许动作或拒绝动作。

由上可知，本发明实施例提供的网关设备的策略信息分析装置，通过策略信息采集模块41采集网关设备作用域内各个策略的策略信息(包括但不限于协议类型、源地址信息、目的地址信息和端口信息等)；通过策略信息处理模块42根据每个策略的协议类型，对每个策略的源地址信息、目的地址信息和端口信息进行拆分，将每个策略拆分为多个元素(源地址元素、目的地址元素和端口元素，其中，源地址元素中包含：所属策略的策略标识和源地址信息，目的地址元素中包含：所属策略的策略标识和目的地址信息，端口元素中包含：所属策略的策略标识、协议类型和端口信息)；通过策略信息记录模块43基于网络地址空间，查找每个策略的源地址元素、目的地址元素以及端口元素对应的父节点策略，并将每个策略的源地址元素、目的地址元素以及端口元素对应父节点策略的策略标识，记录到每个策略的源地址元素、目的地址元素和端口元素中；最后通过策略信息分析模块44根据网关设备作用域内各个策略的源地址元素、目的地址元素和端口元素中记录的父节点策略的策略标识，确定网关设备作用域内各个策略之间的策略关系信息。

通过本发明实施例提供的网关设备的策略信息分析装置，基于网络地址的空间位置信息，使用多元空间分析法，将网关设备作用域内的每个策略，按照策略所支持的协议类型、源地址、目的地址、端口拆分成不同的元素，并在各个元素中记录父节点策略策略的标识，进而实现一次分析，即可确定所有策略的策略关系，大大提高策略分析的效率；当策略发生变更的情况下，仅需调整受影响的策略的位置信息，即可获取所有的策略关系，无需再重新分析所有的策略。

在一种可选的实施例中，本发明实施例提供的网关设备的策略信息分析装置中，策略信息记录模块43还可以用于根据源地址信息或目的地址信息中的ip地址和子网掩码，查找每个策略的源地址元素或目的地址元素在网络地址空间对应的父节点策略；根据端口信息对应的端口范围，确定每个策略的端口元素在网络地址空间对应的父节点策略；将每个策略的源地址元素、目的地址元素以及端口元素对应父节点策略的策略标识，记录到每个策略的源地址元素、目的地址元素和端口元素中。

可选地，策略信息记录模块43还可以用于根据源地址信息或目的地址信息中的ip地址和子网掩码，查找每个策略的源地址信息或目的地址信息在网络地址空间对应的父节点；将每个策略的源地址信息或目的地址信息在网络地址空间对应父节点中包含的策略标识对应的策略，确定为每个策略的源地址元素或目的地址元素在网络地址空间对应的父节点策略。

进一步地，策略信息记录模块43还可以用于根据源地址信息或目的地址信息中的ip地址和子网掩码，确定源地址信息或目的地址信息在网络地址空间对应的第一节点；根据源地址信息或目的地址信息中的ip地址和子网掩码，计算源地址信息或目的地址信息对应的子网号，并查找网络地址空间中与源地址信息或目的地址信息对应子网号相似度最高的第二节点；比较第一节点与二节点的掩码长度；如果第一节点的掩码长度大于二节点的子网掩码长度，则继续遍历二节点的下层节点，直到查找到掩码长度最长的第三节点，作为源地址信息或目的地址信息在网络地址空间对应的父节点；如果第一节点的掩码长度小于或等于第二节点的子网掩码长度，则将第二节点对应的父节点修改为第一节点。

可选地，策略信息记录模块43还可以用于获取第一端口元素对应端口信息的第一端口范围，以及第二端口素对应端口信息的第二端口范围；如果第一端口范围包含第二端口范围，则将第一端口元素对应的策略确定为第二端口元素在网络地址空间对应的父节点策略。

在一种可选的实施例中，本发明实施例提供的网关设备的策略信息分析装置中，策略信息分析模块44还可以用于判断每个策略与父节点策略是否满足预设策略包含条件，其中，策略包含条件为每个策略的源地址元素、目的地址元素和端口元素具有同一父节点，或每个策略的源地址元素、目的地址元素和端口元素中部分元素具有同一父节点，且其余元素为邻居节点；将满足预设策略包含条件的各个策略与父节点策略，确定为策略包含关系。

在一种可选的实施例中，本发明实施例提供的网关设备的策略信息分析装置中，策略信息分析模块44还可以用于获取目标策略的源地址元素、目的地址元素和端口元素中记录的父节点策略的策略标识，以及目标策略与父节点策略的优先级信息和动作信息，其中，目标策略为网关设备作用域内任意一个策略；如果目标策略的所有元素中包含父节点策略的策略标识相同，且目标策略的策略优先级低于父节点策略的策略优先级，则将目标策略确定为无效策略；如果目标策略的所有元素中包含父节点策略的策略标识都相同，且目标策略的策略优先级高于父节点策略的策略优先级，且目标策略与父节点策略的动作信息相同，则将目标策略确定为父节点策略的冗余策略；如果目标策略的所有元素中包含父节点策略的策略标识都相同，且目标策略的策略优先级高于父节点策略的策略优先级，且目标策略与父节点策略的动作信息相反，则将目标策略确定为父节点策略的冲突策略；如果目标策略的部分元素中包含父节点策略的策略标识都相同，且目标策略的策略优先级高于父节点策略的策略优先级，且目标策略与父节点策略的动作信息相反，则将目标策略确定为父节点策略的交叉策略。

本发明实施例还提供了一种计算机设备，用以解决现有技术中通过遍历网关设备上各个策略的策略信息来分析各个策略之间的策略关系，存在耗时长，且当策略发生变更时需要重新分析各个策略之间的策略关系的技术问题，该计算机设备包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行计算机程序时实现上述网关设备的策略信息分析方法。

本发明实施例还提供了一种计算机可读存储介质，用以解决现有技术中通过遍历网关设备上各个策略的策略信息来分析各个策略之间的策略关系，存在耗时长，且当策略发生变更时需要重新分析各个策略之间的策略关系的技术问题，该计算机可读存储介质存储有执行上述网关设备的策略信息分析方法的计算机程序。

综上所述，本发明实施例提供的网关设备的策略信息分析方法、装置、计算机设备及计算机可读存储介质，将网关设备作用域内的每个策略，按照协议类型、源地址、目的地址、端口拆分成不同的元素，结合多元空间分析法，根据ip地址的掩码长度及端口范围，逐层记录父节点的策略标识信息，根据策略与父节点策略的策略关系信息，即可得到作用域内所有的策略关系。本发明实施例使用多元空间分析法，不仅能够大大提高策略分析的效率，通过一次分析，即可得到所有的策略关系；而且当策略发生变更的情况下，仅需调整受影响的策略的位置信息，即可获取所有的策略关系，无需再重新分析所有的策略。可见，本发明实施例提供的策略分析方法，不会因为策略位置的调整或者地址的变化，影响策略分析效率。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上所述的具体实施例，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施例而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。