本申請提供一種策略冗余的檢測方法及裝置，所述方法包括：將目標安全策略組中的各預設字段預配置的對象組分別展開，并合并展開后得到的冗余對象；當所述冗余對象合并完成后，基于所述目標安全策略組中各預設字段對應的對象組的數量，將所述目標安全策略組拆分為若干條安全策略；其中，所述若干條安全策略的各預設字段分別對應唯一的對象組；然后遍歷拆分出的所述若干條安全策略，基于預設策略檢測所述若干條安全策略中的冗余安全策略。本申請技術方案可以有效地檢測出安全策略中的冗余安全策略，以由用戶針對冗余安全策略進行處理，提高了安全設備的可維護性和策略冗余關系的檢測效率。

技術領域

本申請涉及信息安全領域，特別涉及一種策略冗余的檢測方法及裝置。

背景技術

安全設備根據用戶配置的安全策略處理接收到的報文。用戶配置的安全策略數量眾多，通常多達上萬條。安全設備根據安全策略匹配時，基于安全策略的優先級，優先匹配位置靠前的安全策略。

然而，由于安全策略為長期積累，且數量眾多，用戶往往無法記住安全策略是否存在冗余，例如，優先級靠前的策略1為源IP：192.168.0.0/16，目的IP無限制，動作為丟包；新增的策略2為源IP192.168.1.0/24，目的IP無限制，動作為通過，如果策略2的優先級在策略1之后，則策略2無法生效。

真實規則比上述舉例更為復雜，因此，用戶在維護安全設備，檢測安全策略冗余時，工作量巨大，檢測效率較低。

發明內容

有鑒于此，本申請提供一種策略冗余的檢測方法及裝置，用于快速有效地檢測安全策略中的冗余安全策略，提高了安全設備的可維護性和策略冗余檢測的檢測效率。

具體地，本申請是通過如下技術方案實現的：

一種策略冗余的檢測方法，應用于安全設備，所述安全設備預配置了若干條安全策略組，其中，所述安全策略組由若干預設字段構成；各預設字段分別對應若干待匹配的對象組；包括：

將目標安全策略組中各預設字段預配置的對象組分別進行展開，并合并展開后得到的冗余對象；

當所述冗余對象合并完成后，基于所述目標安全策略組中各預設字段對應的對象組的數量，將所述目標安全策略組拆分為若干條安全策略；其中，所述若干條安全策略的各預設字段分別對應唯一的對象組；

遍歷拆分出的所述若干條安全策略，基于預設策略檢測所述若干條安全策略中的冗余安全策略。

在所述策略冗余的檢測方法中，所述方法還包括：

當所述冗余對象合并完成后，將所述目標安全策略組中的IP對象組轉換為標準的表示格式。

在所述策略冗余的檢測方法中，所述標準的表示格式，為IP+通配符的表示格式。

在所述策略冗余的檢測方法中，所述基于預設策略檢測所述若干條安全策略中的冗余安全策略，包括：

將所述若干條安全策略依次選定為目標安全策略；

將所述目標安全策略與其它安全策略進行匹配；

如果所述目標安全策略包含任一其它安全策略，記錄所述目標安全策略與該其它安全策略的冗余關系。

在所述策略冗余的檢測方法中，所述方法還包括：

在基于預設策略檢測所述若干條安全策略中的冗余安全策略前，基于各安全策略的優先級，對所述若干條安全策略進行排序。

一種策略冗余的檢測裝置，應用于安全設備，所述安全設備預配置了若干條安全策略組，其中，所述安全策略組由若干預設字段構成；各預設字段分別對應若干待匹配的對象組；包括：