[发明专利]一种安全策略的检查方法和系统

权利要求书

1.一种安全策略的检查方法，应用于路由器，其特征在于，所述检查方法包括步骤：

通过遍历所述路由器所服务的安全区域生成网络拓扑；

根据所述网络拓扑界定所述安全区域内的所有网络设备；

根据所述路由器上预置的acl配置文件对所有所述网络设备进行核对；

如果存在所述acl配置文件没有包含的网络设备，则向用户报告acl保护缺失。

2.如权利要求1所述的检查方法，其特征在于，所述网络设备包括核心路由器、防火墙次级路由器和网络终端设备。

3.如权利要求1所述的检查方法，其特征在于，所述根据所述路由器上预置的acl配置文件对所有所述网络设备进行核对，包括：

对所述acl配置文件与所述网络设备的地址进行核对；

判断是否存在没有被所述acl配置文件所包含的地址。

4.如权利要求1～3任一项所述的检查方法，其特征在于，还包括步骤：

检查每条acl配置文件是否符合预设的安全规范；

如存在不符合所述安全规范的acl配置文件，则报告acl保护缺失。

5.如权利要求4所述的检查方法，其特征在于，所述安全规范包括不允许ssh、不允许ping、不允许明文、禁止syn、禁止icmp和禁止usrf中的部分或全部。

6.一种安全策略的检查系统，应用于路由器，其特征在于，所述检查系统包括：

拓扑生成模块，用于通过遍历所述路由器所服务的安全区域生成网络拓扑；

设备界定模块，用于根据所述网络拓扑界定所述安全区域内的所有网络设备；

设备核对模块，用于根据所述路由器上预置的acl配置文件对所有所述网络设备进行核对；

第一缺失报告模块，用于如果存在所述acl配置文件没有包含的网络设备，则向用户报告acl保护缺失。

7.如权利要求6所述的检查系统，其特征在于，所述网络设备包括核心路由器、防火墙、次级路由器和网络终端设备。

8.如权利要求6所述的检查系统，其特征在于，所述设备核对模块包括：

地址核对单元，用于对所述acl配置文件与所述网络设备的地址进行核对；

缺失判断单元，用于判断是否存在没有被所述acl配置文件所包含的地址。

9.如权利要求6～8任一项所述的检查系统，其特征在于，还包括：

文件检查模块，用于检查每条acl配置文件是否符合预设的安全规范；

第二缺失报告模块，用于如存在不符合所述安全规范的acl配置文件，则报告acl保护缺失。

10.如权利要求9所述的检查系统，其特征在于，所述安全规范包括不允许ssh、不允许ping、不允许明文、禁止syn、禁止icmp和禁止usrf中的部分或全部。