一种策略模拟仿真给出策略开通建议的方法及装置与流程

1.本发明涉及计算机安全技术领域，尤其涉及一种策略模拟仿真给出策略开通建议的方法、装置、设备及存储介质。


背景技术：

2.企业网络规模大，安全要求高；安全设备及交换设备非常多，设备规模庞大从几百上千甚至万台设备，基本的设备管理已经让网络管理员头疼，当网络管理员收到业务开通(网络开通)的请求时，无法准确定位具体需要开通的设备，以及需要开通的策略内容，故导致网络管理员无法快速、有效、准确的完成策略开通。


技术实现要素：

3.有鉴于此，有必要提供一种策略模拟仿真给出策略开通建议的方法、装置、设备及存储介质，用以解决目前网络管理员无法快速、有效、准确的完成策略开通的问题。
4.第一方面，本发明提供一种策略模拟仿真给出策略开通建议的方法，包括如下步骤：
5.根据用户输入的仿真数据寻找出仿真网络路径，并获取所述仿真网络路径上的设备信息；
6.使用所述仿真数据逐一匹配所述仿真网络路径上的各个设备中预设的安全策略，根据策略动作信息得到设备的状态信息；其中，所述策略动作信息包括允许和禁止；
7.根据所述设备的状态信息生成仿真策略；
8.将所述仿真策略与设备上预设的安全策略进行对比，判断所述仿真策略是否有冲突或者可合并，并根据判断结果生成检查报告；
9.分析所述仿真策略的风险，并生成风险分析报告；
10.根据所述仿真网络路径、仿真策略、检查报告和风险分析报告生成策略开通建议报告。
11.优选的，所述的策略模拟仿真给出策略开通建议的方法中，所述仿真数据为五元组。
12.优选的，所述的策略模拟仿真给出策略开通建议的方法中，所述设备的状态信息至少包括全通状态、半通状态和不通状态。
13.优选的，所述的策略模拟仿真给出策略开通建议的方法中，所述根据设备的状态信息生成仿真策略的步骤具体为：
14.当设备为全通状态时，无需生成仿真策略；
15.当设备为半通状态或不通状态时，根据设备的安全策略中禁止的仿真数据中的源地址、目的地址、服务端口以及所述设备的进出接口生成仿真策略。
16.优选的，所述的策略模拟仿真给出策略开通建议的方法中，所述将所述仿真策略与设备上预设的安全策略进行对比，判断所述仿真策略是否有冲突或者可合并的步骤包
括：
17.当仿真策略中的五元组与设备上预设的安全策略的五元组均有重叠部分时，判断所述仿真策略有冲突；
18.当仿真策略中的五元组与设备上预设的安全策略的五元组中有至少四项完全相同时，判断所述仿真策略可合并。
19.优选的，所述的策略模拟仿真给出策略开通建议的方法中，所述仿真策略的风险分析至少包括仿真策略内容是否包括高危端口以及仿真策略内容的五元组信息是否过于宽松。
20.优选的，所述的策略模拟仿真给出策略开通建议的方法中，判断所述仿真策略内容的五元组信息是否过于宽松的方位为：
21.判断所述仿真策略内容的五元组信息中的协议范围是否超过预设协议范围或端口是否超过预设的端口范围，如果是，则判断所述仿真策略内容的五元组信息过于宽松。
22.第二方面，本发明还相应的提供一种策略模拟仿真给出策略开通建议的装置，包括：
23.仿真网络路径生成模块，用于根据用户输入的仿真数据寻找出仿真网络路径，并获取所述仿真网络路径上的设备信息；
24.安全策略匹配模块，用于使用所述仿真数据逐一匹配所述仿真网络路径上的各个设备中预设的安全策略，根据策略动作信息得到设备的状态信息；其中，所述策略动作信息包括允许和禁止；
25.仿真策略生成模块，用于根据所述设备的状态信息生成仿真策略；
26.检查模块，用于将所述仿真策略与设备上预设的安全策略进行对比，判断所述仿真策略是否有冲突或者可合并，并根据判断结果生成检查报告；
27.风险分析模块，用于分析所述仿真策略的风险，并生成风险分析报告；
28.策略建议生成模块，用于根据所述仿真网络路径、仿真策略、检查报告和风险分析报告生成策略开通建议报告。
29.第三方面，本发明还相应的提供一种策略模拟仿真给出策略开通建议的设备，包括：处理器和存储器；
30.所述存储器上存储有可被所述处理器执行的计算机可读程序；
31.所述处理器执行所述计算机可读程序时实现如上所述的策略模拟仿真给出策略开通建议的方法中的步骤。
32.第四方面，本发明还相应的提供一种计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现如上所述的策略模拟仿真给出策略开通建议的方法中的步骤。
33.相较于现有技术，本发明提供的策略模拟仿真给出策略开通建议的方法、装置、设备及存储介质，通过模拟出仿真网络路径后，对路径上的设备进行安全策略匹配，得到设备的状态信息，然后根据设备的状态信息生成仿真策略，并对所述仿真策略进行检查的风险分析，进而给出策略开通建议报告，可以帮助网络管理员快速、有效、准确的完成策略开通，方便网络管理员进行网络管理，提高工作效率，降低维护成本。
附图说明
34.图1为本发明提供的策略模拟仿真给出策略开通建议的方法的一较佳实施例的流程图。
具体实施方式
35.下面结合附图来具体描述本发明的优选实施例，其中，附图构成本申请一部分，并与本发明的实施例一起用于阐释本发明的原理，并非用于限定本发明的范围。
36.请参阅图1，本发明实施例提供的策略模拟仿真给出策略开通建议的方法，包括如下步骤：
37.s100、根据用户输入的仿真数据寻找出仿真网络路径，并获取所述仿真网络路径上的设备信息。
38.本实施例中，用户输入的仿真数据为五元组，首先用户在页面填写需要开通的仿真数据，通过仿真数据中的源地址、目的地址、服务端口去模拟网络路径。
39.具体实施时，首先根据仿真数据中的源地址查询找到源地址所在的子网，此子网即为路径起点，然后根据子网找到与子网关联的设备，此设备即为起始设备。找到起点设备之后即开始进行网络匹配，依次找到各个设备，从而生成仿真网络路径。具体实施时，在进行网络匹配时，还需要获取正在各个设备的内存中运行的配置文件并解析后，将所述配置文件转换为标准格式的文件集，首先通过ssh协议连接到各个设备，然后在命令行中将设备的running config配置抓取回来，解析后标准化成固定格式文件集，方便后续的匹配，具体的，所述文件集至少包括路由表列表、对象(地址、服务)列表、策略(acl、安全、nat)列表、接口列表、子网列表。然后开始进行dnat匹配、路由匹配、snat匹配。
40.具体匹配时，首先进行dnat匹配，分三个步骤进行，具体如下：
41.步骤一：dnat匹配：找到起始设备，使用仿真数据去匹配设备的dnat策略列表，若存在dnat，则需要改变仿真数据中的目的地址为dnat转换后的地址，若不存在dnat，则跳过此步骤；
42.步骤二：路由匹配：通过上一步确定了该设备最终的仿真数据，然后用仿真数据中的目的地址匹配该设备的路由表，这里匹配到的具体路由条目分为两种情况：直连路由和非直连路由。其中，直连路由具体为：匹配到直连路由则表示已经通过模拟仿真走到了该网络路径的终点。非直流路由具体为：匹配到非直连路由则表示路径还未结束，通过具体路由条目中的下一跳地址和接口，即可找到下一设备。
43.步骤三：snat匹配：在下一设备匹配之前，需先匹配当前设备的snat。使用仿真数据去匹配设备的snat策略列表，若存在snat，则需要改变仿真数据中的源地址为snat转换后的地址；若不存在snat，则跳过此步骤。
44.当找到下一设备后，重复上述步骤，即对找到的设备进行dnat匹配、路由匹配、snat匹配，直到在路由匹配阶段找到路径终点。
45.s200、使用所述仿真数据逐一匹配所述仿真网络路径上的各个设备中预设的安全策略，根据策略动作信息得到设备的状态信息；其中，所述策略动作信息包括允许和禁止。
46.本实施例中，所述设备的状态信息至少包括全通状态、半通状态和不通状态。在具体实施时，当找到仿真网络路径后，即可得到两种结果，即无路径和有路径。无路径表示无
路由匹配，或者通过路由匹配下一跳无法找到下一设备，则无法进行策略开通，直接返回无路径结果。有路径则是在路径经过的每一个设备上逐条匹配设备的安全策略，通过安全策略的动作“允许”“禁止”，最终得到每个设备的状态，以及设备上允许、禁止的仿真数据。
47.s300、根据所述设备的状态信息生成仿真策略。
48.具体的，在得到了设备的状态信息后，即可根据设备的状态信息生成仿真策略，判断是否需要进行策略开通，具体的，所述步骤s300具体包括：
49.当设备为全通状态时，无需生成仿真策略；
50.当设备为半通状态或不通状态时，根据设备的安全策略中禁止的仿真数据中的源地址、目的地址、服务端口以及所述设备的进出接口生成仿真策略。
51.具体来说，当设备为全通状态时，表示仿真数据可以自由通过，此时无需开通策略；当设备为半通状态时，取出设备禁止的仿真数据，然后再生成仿真策略，以使用户输入的仿真数据可以通过；当设备为不通状态时，则直接生成仿真策略，使用户输入的仿真数据可以通过。
52.s400、将所述仿真策略与设备上预设的安全策略进行对比，判断所述仿真策略是否有冲突或者可合并，并根据判断结果生成检查报告。
53.本实施例中，根据设备生成了仿真策略后，通过仿真策略的内容去查询设备的所有策略中跟仿真策略内容有关联的设备策略，然后对比仿真策略和设备策略的内容是否有冲突、是否可合并，若有则给出检查结果，若无则检查通过。
54.具体的，所述将所述仿真策略与设备上预设的安全策略进行对比，判断所述仿真策略是否有冲突或者可合并的步骤包括：
55.当仿真策略中的五元组与设备上预设的安全策略的五元组均有重叠部分时，判断所述仿真策略有冲突；
56.当仿真策略中的五元组与设备上预设的安全策略的五元组中有至少四项完全相同时，判断所述仿真策略可合并。
57.s500、分析所述仿真策略的风险，并生成风险分析报告。
58.本实施例中，所述仿真策略的风险分析至少仿真策略内容是否包括高危端口以及仿真策略内容的五元组信息是否过于宽松。
59.具体的，针对生成的仿真策略，如策略符合规范，则通过；否则给出分析结果。其中，
60.判断是否为包括高危端口的方法具体为：通过系统预定义和用户自定义的高危端口检查仿真策略内容是否包含高危端口。
61.判断所述仿真策略内容的五元组信息是否过于宽松的方位为：
62.判断所述仿真策略内容的五元组信息中的协议范围是否超过预设协议范围或端口是否超过预设的端口范围，如果是，则判断所述仿真策略内容的五元组信息过于宽松。例如五元组里协议范围为0
‑
255或者端口为0
‑
65535时，则判定过于宽松。
63.s600、根据所述仿真网络路径、仿真策略、检查报告和风险分析报告生成策略开通建议报告。
64.具体的，根据上述所有步骤的数据，可以生成一份策略开通建议报告，报告包含仿真的路径、仿真生成的策略(无需开通则给出提示)、仿真策略的检查报告(无需开通则为
空)、仿真策略的风险分析报告(无需开通则为空)。通过该报告，网络管理员即可快速、有效、准确的完成策略开通的问题。
65.基于上述策略模拟仿真给出策略开通建议的方法，本发明还相应的提供一种策略模拟仿真给出策略开通建议的装置，包括：
66.仿真网络路径生成模块，用于根据用户输入的仿真数据寻找出仿真网络路径，并获取所述仿真网络路径上的设备信息；
67.安全策略匹配模块，用于使用所述仿真数据逐一匹配所述仿真网络路径上的各个设备中预设的安全策略，根据策略动作信息得到设备的状态信息；其中，所述策略动作信息包括允许和禁止；
68.仿真策略生成模块，用于根据所述设备的状态信息生成仿真策略；
69.检查模块，用于将所述仿真策略与设备上预设的安全策略进行对比，判断所述仿真策略是否有冲突或者可合并，并根据判断结果生成检查报告；
70.风险分析模块，用于分析所述仿真策略的风险，并生成风险分析报告；
71.策略建议生成模块，用于根据所述仿真网络路径、仿真策略、检查报告和风险分析报告生成策略开通建议报告。
72.由于上文已对策略模拟仿真给出策略开通建议的方法进行详细描述，在此不再赘述。
73.基于上述策略模拟仿真给出策略开通建议的方法，本发明还相应的提供一种策略模拟仿真给出策略开通建议的设备，包括：处理器和存储器；
74.所述存储器上存储有可被所述处理器执行的计算机可读程序；
75.所述处理器执行所述计算机可读程序时实现如上述各实施例所述的策略模拟仿真给出策略开通建议的方法中的步骤。
76.由于上文已对策略模拟仿真给出策略开通建议的方法进行详细描述，在此不再赘述。
77.基于上述策略模拟仿真给出策略开通建议的方法，本发明还相应的提供一种计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现如上述各实施例所述的策略模拟仿真给出策略开通建议的方法中的步骤。
78.由于上文已对策略模拟仿真给出策略开通建议的方法进行详细描述，在此不再赘述。
79.综上所述，本发明提供的策略模拟仿真给出策略开通建议的方法、装置、设备及存储介质，通过模拟出仿真网络路径后，对路径上的设备进行安全策略匹配，得到设备的状态信息，然后根据设备的状态信息生成仿真策略，并对所述仿真策略进行检查的风险分析，进而给出策略开通建议报告，可以帮助网络管理员快速、有效、准确的完成策略开通，方便网络管理员进行网络管理。
80.以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。