技術領域

本發明涉及互聯網領域，具體而言，涉及一種防火墻策略冗余檢測方法及裝置。

背景技術

在安全網關產品中防火墻策略管理是非常重要的一個功能，防火墻的安全性基本都是通過防火墻的安全策略配置來實現的。同時防火墻策略管理的好壞會直接影響到整個防火墻吞吐效率。在策略管理當中，策略順序決定了每個策略的位置，策略數量越大，或策略順序不當，都可能會覆蓋底層策略。策略的冗余檢測以及策略相關對象的冗余檢測就顯得非常重要。策略的冗余檢測主要是指策略列表當中的策略間相似性比較，比較方法主要是根據策略間同類屬性進行比較，多個同類屬性如果相同，則兩個策略相同，否則兩個策略不同。同理，策略涉及的對象比較也是采用同類屬性進行比較，從而得出兩個對象是否相同。在現有技術中，可實現兩策略間對比(即一對一的比較)，但對于一個策略同時與多個策略間的比較(即一對多的比較)目前還沒有很好的實現方法。

現有技術中防火墻策略對比主要針對兩個策略的淺層對比，每個屬性采用不同的對比方法，方法通用性比較差；由于采用的只是淺層對比，對比深度有限，如遇到對象的多級嵌套，對比難度指數增加，兩策略對比比較耗時。此外，由于現有的冗余檢測手段主要是兩個策略間的對比，從而確定兩個策略間的冗余關系，但現實策略使用中更多的情況不僅僅是兩個策略間的對比，還有多策略間的對比。一個策略可能會被另一個策略覆蓋，但更多情況是一個策略會被很多的策略組合起來覆蓋，現有的技術還無法實現這種多策略的組合覆蓋檢測。這種深層次的組合覆蓋產生的冗余策略對安全隱患更大，如果沒有很好的手段進行檢測，會極大的威脅到防火墻的安全。

針對相關技術中不能同時將待檢測防火墻策略與多個防火墻策略進行比較實現冗余檢測問題，目前尚未提出有效的解決方案。

發明內容

本發明的主要目的在于提供一種防火墻策略冗余檢測方法及裝置，以解決不能同時將待檢測防火墻策略與多個防火墻策略進行比較實現冗余檢測問題。

為了實現上述目的，根據本發明的一個方面，提供了一種防火墻策略冗余檢測方法。

根據本發明的防火墻策略冗余檢測方法包括：將防火墻策略列表中的防火墻策略的第一對象和第二對象轉化成相同形式的值；針對第一對象對應的值和第二對象對應的值分別創建第一多叉樹和第二多叉樹，其中，第一多叉樹由多個第一對象創建，第二多叉樹由多個第二對象創建，多叉樹的父節點覆蓋多叉樹的子節點，子節點的所有下一級子節點的組合覆蓋子節點；計算待檢測防火墻策略對應的第一多叉樹和第二多叉樹的節點被其他的防火墻策略對應的第一多叉樹和第二多叉樹的節點覆蓋的節點集合，其中，其他防火墻策略為防火墻策略列表中除了待檢測防火墻策略之外的所有防火墻策略或防火墻策略列表中先于待檢測防火墻策略執行的防火墻策略；以及判斷節點集合是否為空集，如果節點集合不為空集，則待檢測防火墻策略是冗余防火墻策略，否則待檢測防火墻策略不是冗余防火墻策略。

進一步地，計算待檢測防火墻策略對應的第一多叉樹和第二多叉樹的節點被其他的防火墻策略對應的第一多叉樹和第二多叉樹的節點覆蓋的節點集合包括：分別查找待檢測防火墻策略的每個對象對應的多叉樹的節點的覆蓋分支，得到第一多叉樹的覆蓋分支和第二多叉樹的覆蓋分支，其中，覆蓋分支為經過待檢測防火墻策略的對象對應的多叉樹的節點的路徑，該路徑從多叉樹的根節點起始至覆蓋多叉樹的節點的最底層的子節點終止；第一多叉樹的覆蓋分支中的每個覆蓋分支依次與第二多叉樹的覆蓋分支中的每個覆蓋分支進行交集運算，得到分支集合；以及將分支集合進行并集運算得到節點集合。

進一步地，計算待檢測防火墻策略對應的第一多叉樹和第二多叉樹的節點被其他的防火墻策略對應的第一多叉樹和第二多叉樹的節點覆蓋的節點集合包括：查找其他的防火墻策略節點中同時覆蓋待檢測防火墻策略對應的多叉樹的節點的一個或者多個節點，得到第一多叉樹節點集合和第二多叉樹節點集合，其中，第一多叉樹節點集合由查找第一多叉樹得到，第二多叉樹節點集合由查找第二多叉樹得到；以及第一多叉樹節點集合中的每一個依次和第二多叉樹節點集合中的每一個進行交集運算，得到節點集合。

進一步地，將多條防火墻策略的第一對象和第二對象轉化成相同形式的值包括：根據無類別域際路由選擇CIDR編碼方法分別對防火墻策略的第一對象和第二對象進行編碼，得到第一對象對應的CIDR值和第二對象對應的CIDR值。