1.一种网关设备的策略信息分析方法,其特征在于,包括:
采集网关设备作用域内各个策略的策略信息,其中,每个策略的策略信息中包含:每个策略的协议类型、源地址信息、目的地址信息和端口信息;
根据每个策略的协议类型、源地址信息、目的地址信息和端口信息,将每个策略拆分为源地址元素、目的地址元素和不同协议类型的端口元素,其中,源地址元素中包含:所属策略的策略标识和源地址信息,目的地址元素中包含:所属策略的策略标识和目的地址信息,端口元素中包含:所属策略的策略标识、协议类型和端口信息;
基于网络地址空间,查找每个策略的源地址元素、目的地址元素以及端口元素对应的父节点策略,将每个策略的源地址元素、目的地址元素以及端口元素对应父节点策略的策略标识,记录到每个策略的源地址元素、目的地址元素和端口元素中;
根据所述网关设备作用域内各个策略的源地址元素、目的地址元素和端口元素中记录的父节点策略的策略标识,以及各个策略与父节点策略的优先级信息和动作信息,确定所述网关设备作用域内各个策略之间的策略关系信息,其中,优先级信息用于确定策略执行的优先级,动作信息包括:允许动作或拒绝动作。
2.如权利要求1所述的方法,其特征在于,基于网络地址空间,查找每个策略的源地址元素、目的地址元素以及端口元素对应的父节点策略,将每个策略的源地址元素、目的地址元素以及端口元素对应父节点策略的策略标识,记录到每个策略的源地址元素、目的地址元素和端口元素中,包括:
根据源地址信息或目的地址信息中的ip地址和子网掩码,查找每个策略的源地址元素或目的地址元素在网络地址空间对应的父节点策略;根据端口信息对应的端口范围,确定每个策略的端口元素在网络地址空间对应的父节点策略;
将每个策略的源地址元素、目的地址元素以及端口元素对应父节点策略的策略标识,记录到每个策略的源地址元素、目的地址元素和端口元素中。
3.如权利要求2所述的方法,其特征在于,根据源地址信息或目的地址信息中的ip地址和子网掩码,查找每个策略的源地址元素或目的地址元素在网络地址空间对应的父节点策略,包括:
根据源地址信息或目的地址信息中的ip地址和子网掩码,查找每个策略的源地址信息或目的地址信息在网络地址空间对应的父节点;
将每个策略的源地址信息或目的地址信息在网络地址空间对应父节点中包含的策略标识对应的策略,确定为每个策略的源地址元素或目的地址元素在网络地址空间对应的父节点策略。
4.如权利要求3所述的方法,其特征在于,根据源地址信息或目的地址信息中的ip地址和子网掩码,查找每个策略的源地址信息或目的地址信息在网络地址空间对应的父节点,包括:
根据源地址信息或目的地址信息中的ip地址和子网掩码,确定源地址信息或目的地址信息在网络地址空间对应的第一节点;
根据源地址信息或目的地址信息中的ip地址和子网掩码,计算源地址信息或目的地址信息对应的子网号,并查找网络地址空间中与源地址信息或目的地址信息对应子网号相似度最高的第二节点;
比较第一节点与二节点的掩码长度;
如果第一节点的掩码长度大于二节点的子网掩码长度,则继续遍历二节点的下层节点,直到查找到掩码长度最长的第三节点,作为源地址信息或目的地址信息在网络地址空间对应的父节点;
如果第一节点的掩码长度小于或等于第二节点的子网掩码长度,则将第二节点对应的父节点修改为第一节点。
5.如权利要求2所述的方法,其特征在于,根据端口信息对应的端口范围,确定每个策略的端口元素在网络地址空间对应的父节点策略,包括:
获取第一端口元素对应端口信息的第一端口范围,以及第二端口素对应端口信息的第二端口范围;
如果第一端口范围包含第二端口范围,则将第一端口元素对应的策略确定为第二端口元素在网络地址空间对应的父节点策略。
6.如权利要求1所述的方法,其特征在于,根据所述网关设备作用域内各个策略的源地址元素、目的地址元素和端口元素中记录的父节点策略的策略标识,确定所述网关设备作用域内各个策略之间的策略关系信息,包括:
判断每个策略与父节点策略是否满足预设策略包含条件,其中,所述策略包含条件为每个策略的源地址元素、目的地址元素和端口元素具有同一父节点,或每个策略的源地址元素、目的地址元素和端口元素中部分元素具有同一父节点,且其余元素为邻居节点;
将满足所述预设策略包含条件的各个策略与父节点策略,确定为策略包含关系。
7.如权利要求1所述的方法,其特征在于,根据所述网关设备作用域内各个策略的源地址元素、目的地址元素和端口元素中记录的父节点策略的策略标识,以及各个策略与父节点策略的优先级信息和动作信息,确定所述网关设备作用域内各个策略之间的策略关系信息,包括:
获取目标策略的源地址元素、目的地址元素和端口元素中记录的父节点策略的策略标识,以及目标策略与父节点策略的优先级信息和动作信息,其中,目标策略为所述网关设备作用域内任意一个策略;
如果目标策略的所有元素中包含父节点策略的策略标识相同,且目标策略的策略优先级低于父节点策略的策略优先级,则将目标策略确定为无效策略;
如果目标策略的所有元素中包含父节点策略的策略标识都相同,且目标策略的策略优先级高于父节点策略的策略优先级,且目标策略与父节点策略的动作信息相同,则将目标策略确定为父节点策略的冗余策略;
如果目标策略的所有元素中包含父节点策略的策略标识都相同,且目标策略的策略优先级高于父节点策略的策略优先级,且目标策略与父节点策略的动作信息相反,则将目标策略确定为父节点策略的冲突策略;
如果目标策略的部分元素中包含父节点策略的策略标识都相同,且目标策略的策略优先级高于父节点策略的策略优先级,且目标策略与父节点策略的动作信息相反,则将目标策略确定为父节点策略的交叉策略。
8.一种网关设备的策略信息分析装置,其特征在于,包括:
策略信息采集模块,用于采集网关设备作用域内各个策略的策略信息,其中,每个策略的策略信息中包含:每个策略的协议类型、源地址信息、目的地址信息和端口信息;
策略信息处理模块,用于根据每个策略的协议类型、源地址信息、目的地址信息和端口信息,将每个策略拆分为源地址元素、目的地址元素和不同协议类型的端口元素,其中,源地址元素中包含:所属策略的策略标识和源地址信息,目的地址元素中包含:所属策略的策略标识和目的地址信息,端口元素中包含:所属策略的策略标识、协议类型和端口信息;
策略信息记录模块,用于基于网络地址空间,查找每个策略的源地址元素、目的地址元素以及端口元素对应的父节点策略,将每个策略的源地址元素、目的地址元素以及端口元素对应父节点策略的策略标识,记录到每个策略的源地址元素、目的地址元素和端口元素中;
策略信息分析模块,用于根据所述网关设备作用域内各个策略的源地址元素、目的地址元素和端口元素中记录的父节点策略的策略标识,以及各个策略与父节点策略的优先级信息和动作信息,确定所述网关设备作用域内各个策略之间的策略关系信息,其中,优先级信息用于确定策略执行的优先级,动作信息包括:允许动作或拒绝动作。
9.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7任一项所述网关设备的策略信息分析方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有执行权利要求1至7任一项所述网关设备的策略信息分析方法的计算机程序。