本發明屬于通信技術領域，公開了一種防火墻策略分析方法、裝置、設備及存儲介質。該方法包括獲取通過防火墻的數據包，對數據包進行動態分析，獲得動態分析結果；獲取防火墻對應的待優化訪問控制列表策略和預設的靜態分析邏輯，并根據靜態分析邏輯對待優化訪問控制列表策略進行分析，獲得靜態分析結果；對動態分析結果和靜態分析結果進行預處理，獲得防火墻策略分析結果。由于本發明是根據動態分析結果和靜態分析結果共同獲得防火墻策略分析結果，相對于現有的未匹配檢測和策略冗余檢查獲得防火墻策略分析結果的方式，本發明上述方式獲得的防火墻策略分析結果更加精確和全面。

技術領域

本發明涉及通信技術領域，尤其涉及一種防火墻策略分析方法、裝置、設備及存儲介質。

背景技術

用戶在管理配置防火墻過程中，經常會需要根據業務部門需求不斷地去配置設備的訪問控制列表策略(Access Control Lists，ACL)，隨著使用時間的增長，訪問控制列表策略越來越多，策略管理混亂所帶來的暴露面增加問題也越來越嚴重地威脅用戶的網絡安全，目前業界在網絡防火墻上的已有的策略優化方案較為簡單，只能做到基本的未匹配檢測和策略冗余檢查，無法滿足用戶深度優化策略的需求。

上述內容僅用于輔助理解本發明的技術方案，并不代表承認上述內容是現有技術。

發明內容

本發明的主要目的在于提供了一種防火墻策略分析方法、裝置、設備及存儲介質，旨在解決現有的未匹配檢測和策略冗余檢查獲得的防火墻策略分析結果不夠全面和準確的技術問題。

為實現上述目的，本發明提供了一種防火墻策略分析方法，所述方法包括以下步驟：

獲取通過防火墻的數據包，對所述數據包進行動態分析，獲得動態分析結果；

獲取所述防火墻對應的待優化訪問控制列表策略和預設的靜態分析邏輯，并根據所述靜態分析邏輯對所述待優化訪問控制列表策略進行分析，獲得靜態分析結果；

對所述動態分析結果和所述靜態分析結果進行預處理，獲得防火墻策略分析結果。

優選地，所述獲取通過防火墻的數據包，對所述數據包進行動態分析，獲得動態分析結果的步驟之前，還包括：

檢測預設動態流量分析引擎是否開啟；

在所述預設動態流量分析引擎開啟時，執行所述獲取通過防火墻的數據包，對所述數據包進行動態分析，獲得動態分析結果的步驟。

優選地，所述檢測預設動態流量分析引擎是否開啟的步驟之后，還包括：

在所述預設動態流量分析引擎關閉時，獲取所述防火墻對應的待優化訪問控制列表策略和預設的靜態分析邏輯，根據所述靜態分析邏輯對所述待優化訪問控制列表策略進行分析，獲得靜態分析結果；

對所述靜態分析結果進行預處理，獲得防火墻策略分析結果。

優選地，所述獲取通過防火墻的數據包，對所述數據包進行動態分析，獲得動態分析結果的步驟，包括：

獲取通過防火墻的數據包；

對所述數據包進行動態流量分析，獲得動態流量分析結果；

根據所述動態流量分析結果對所述數據包進行流量策略對比分析，獲得流量策略對比分析結果；

將所述流量策略對比分析結果作為動態分析結果。

優選地，所述對所述數據包進行動態流量分析，獲得動態流量分析結果的步驟，包括：

獲取動態流量分析策略以及所述數據包對應的五元組信息；

根據所述動態流量分析策略和所述五元組信息對所述數據包進行分類，獲得分類結果；