一种应用控制策略问题的检测方法与装置与流程

本发明属于安全策略管理，尤其是涉及一种应用控制策略在新建时是否存在问题的检测方法及装置。

背景技术：

1、网络技术发展的同时带来日益严重的网络和信息安全问题。防火墙作为最常用的安全防护设备之一，是安装在局域网中集成多种安全防护功能且开启过滤和威胁防护功能的安全管理软件，运行中需要在全面启用防护的情况下，仍然能保证整体转发速度。

2、为了提高产品的边界访问控制及安全检测调度效率，管理员通常需要提前配置各种安全策略来控制该网络下的计算机通信，对于需要网关转发的数据包，都将与安全策略进行匹配后再决定数据包的去向。

3、可见，安全策略配置是设备管理的一项重要操作，但是在配置策略时，策略之间可能存在前后冲突问题。例如，完全冲突的部分ip权限被覆盖，会导致权限混用；部分冲突会导致交集部分存在匹配异常；可组合俄策略，则由于策略数量过多，增加管理成本。因此，有必要在新创建增策略时，分析新策略与已存在策略之间的关系。

技术实现思路

1、基于上述背景，本发明旨在提出一种策略问题的检查方法与应用该方法的检测装置，在安全策略新建时能及时检测是否有相冲突的历史策略。具体技术方案如下所述：

2、第一方面，提供一种应用控制策略问题的检测方法，包括：

3、将新建策略的属性信息填入第二策略信息表中，提取每一个属性信息，与预设的第一策略信息表中的历史策略的对应属性信息进行依次匹配，确定两个策略信息表中每一个属性信息的关系；

4、根据属性信息关系确定新建策略与历史策略的关系，并根据策略关系判断新建策略是否检测通过；

5、响应于策略添加操作，根据策略关系检测结果，判断是否允许添加。

6、较佳的，上述的策略属性信息，包括：源区域、目的区域，源地址、目的地址，源端口、目的端口，服务或应用。

7、进一步的，属性信息匹配包括：新建策略时，依次添加各个属性信息，并且每添加完成一个属性即进行该属性信息的匹配对比并记录匹配结果，当全部属性添加完成时，根据所有属性匹配结果确定新建策略与历史策略的属性信息是否具有相同、包含或交集关系。

8、以及新建策略时还包括：配置策略的优先级与策略动作；所述策略动作包括应用数据特征与策略匹配成功时的允许或阻断操作。

9、在此基础上，新建策略检测通过，具体包括：新建策略与历史策略的关系不属于以下任何一种：完全冲突，部分冲突，完全冗余，部分冗余，影子策略，归纳策略，组合策略；

10、其中：

11、所述完全冲突包括策略a与策略b的全部属性信息相同且策略动作不同，所述部分冲突包括策略a与策略b的部分属性信息相同且策略动作不同；

12、所述完全冗余包括策略a包含 策略b同时策略a优先级高于策略b且策略动作相同，所述部分冗余包括策略a包含策略b同时策略b优先级高于策略a且策略动作相同；

13、所述影子策略包括策略a包含策略b同时策略a优先级高于策略b且策略动作不同；

14、所述归纳策略包括策略a包含策略b同时策略b优先级高于策略a且策略动作不同；

15、所述组合策略包括策略a与策略b的部分属性信息相同且策略动作相同。

16、较佳的，若新建策略检测通过，将第二策略信息表的属性信息添加到第一策略信息表中，否则清空第二策略信息表。

17、较佳的，上述的历史策略包括生效策略与未生效策略，所述未生效策略包括已过期策略与待生效策略。

18、第二方面，提供一种安全策略检测装置，所述装置包括：

19、策略信息获取模块，用于获取历史策略与新建策略的属性信息；

20、策略关系检测模块，用于通过匹配对比确定属性信息的关系，并进一步确定策略的关系，以判断新建策略是否检测通过；

21、检测结果响应模块，用于根据策略检测结果，执行预设的操作。

22、较佳的，将策略的每一个属性信息填入第一策略信息表中，新建策略时，提取每一个属性信息填入第二策略信息表中；并且依次添加各个属性时，每添加完成一个属性即进行该属性信息的匹配对比并记录匹配结果，当全部属性添加完成时，根据所有属性匹配结果确定新建策略与历史策略的属性信息是否具有相同、包含或交集关系。

23、进一步的，上述的策略关系检测模块，根据属性信息关系确定新建策略与历史策略的关系，并根据策略关系判断新建策略是否检测通过。

24、采用上述技术方案的本发明实施例，至少具有以下有益效果：新建策略时，提取其属性信息与历史策略进行匹配对比，逐个确定各个属性的关系，再根据属性关系确定策略关系，当策略关系符合预设的响应条件时，执行预设的响应动作。通过整理、分析策略之间的关系，避免策略间产生冲突等问题，提高策略属性存在的合理性；从而减少需要冲突处理的资源浪费，进而加快安全策略匹配速度，有利于实现高效的安全防护。

技术特征：

1.一种应用控制策略问题的检测方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述策略的属性信息，包括：源区域、目的区域，源地址、目的地址，源端口、目的端口，服务或应用。

3.根据权利要求2所述的方法，其特征在于，属性信息匹配包括：新建策略时，依次添加各个属性信息，并且每添加完成一个属性即进行该属性信息的匹配对比并记录匹配结果，当全部属性添加完成时，根据所有属性匹配结果确定新建策略与历史策略的属性信息是否具有相同、包含或交集关系。

4.根据权利要求3所述的方法，其特征在于，新建策略时，还包括配置策略的优先级与策略动作；所述策略动作包括应用数据特征与策略匹配成功时的允许或阻断操作。

5.根据权利要求1至4任一所述的方法，其特征在于，新建策略检测通过，包括：新建策略与历史策略的关系不属于以下任何一种：完全冲突，部分冲突，完全冗余，部分冗余，影子策略，归纳策略，组合策略；

6.根据权利要求5所述的方法，其特征在于，若新建策略检测通过，将第二策略信息表的属性信息添加到第一策略信息表中，否则清空第二策略信息表。

7.根据权利要求1所述的方法，其特征在于，所述历史策略包括生效策略与未生效策略，所述未生效策略包括已过期策略与待生效策略。

8.一种安全策略检测装置，其特征在于，所述装置包括：

9.根据权利要求8所述的装置，其特征在于，将策略的每一个属性信息填入第一策略信息表中，新建策略时，提取每一个属性信息填入第二策略信息表中；并且依次添加各个属性时，每添加完成一个属性即进行该属性信息的匹配对比并记录匹配结果，当全部属性添加完成时，根据所有属性匹配结果确定新建策略与历史策略的属性信息是否具有相同、包含或交集关系。

10.根据权利要求8所述的装置，其特征在于，所述策略关系检测模块，根据属性信息关系确定新建策略与历史策略的关系，并根据策略关系判断新建策略是否检测通过。

技术总结
本发明提供一种策略问题的检查方法与应用该方法的检测装置，新建策略时，提取其属性信息与历史策略进行匹配对比，逐个确定各个属性的关系，再根据属性关系确定策略关系，当策略关系符合预设的响应条件时，执行预设的响应动作。通过整理、分析策略之间的关系，避免策略间产生冲突等问题，提高策略属性存在的合理性；从而减少需要冲突处理的资源浪费，进而加快安全策略匹配速度，有利于实现高效的安全防护。

技术研发人员：刘亚轩,张佼,王俊
受保护的技术使用者：西安交大捷普网络科技有限公司
技术研发日：
技术公布日：2024/11/11