引言
随着企业的关键业务活动越来越依赖于网络,各种安全事件的发生率不断攀升,造成的不良影响越来越大,防火墙的重要性也越来越高[1]。防火墙作为网络安全的第一道防线,一直作为内部网络和外部网络之间的屏障。其用途是通过允许、拒绝、重定向通过防火墙的数据流量,提供不同网络之间服务访问的控制和审计,包括基于用户和协议的策略定义、 URL 过滤、协议识别等。典型的防火墙策略由源地址、目的地址、传输层协议、源端口、目的端口、应用协议决定,并以数据包到达或者离开接口为基准。防火墙策略的部署依赖于业务需求的正确解析、防火墙策略配置方案的正确生成、策略内容的正确下发,是一个复杂且容易出错的过程[2]。正确提升防火墙策略配置效率,对防护网络和设备的安全至关重要[3]。
已有很多学者展开了安全策略相关研究,陈浩宇[4]提出网络安全策略的自动化管理方案,使网络管理员能够采用可编程的方式对网络安全事件进行响应,提高了策略管理效率与事件响应速度,但是缺少对安全策略的分析,没有给管理员提供配置建议。吴蓓[5]研究了安全策略转换和冲突检测技术,详细剖析了安全策略的概念及策略分类准则,提出了安全策略冲突模型和安全策略转换模型,但是这些模型的普适性、正确性还有待验证。周佳等[6]进行了安全配置策略自动生成与验证技术研究,分别从安全配置策略形式化描述、安全配置意图与策略映射模型构建及验证、安全配置策略自动转译、安全配置策略冲突检测及优化等进行详细介绍,以实现网络安全配置意图准确、快速转化为安全设备可识别执行的网络安全策略,但是没有将研究方法应用在具体安全设备上进行验证。综上所述,已经有很多学者研究如何高效智能地配置安全策略,以期降低人工成本以及减少人为配置安全策略的主观性和复杂性,但是将方法应用到实际安全设备中的较少。本文以防火墙安全设备为切入点,研究防火墙安全策略,以及进行安全策略分析。
本文首先介绍防火墙安全策略,并基于结构化语言对防火墙安全策略进行描述。然后采用一种流量数据分析技术,通过特征匹配获得异常流量数据,为安全策略的生成提供数据支撑。接着提出安全策略分析方法,通过分析防火墙安全策略配置情况,如空闲、冗余、被覆盖、冲突、可合并等,给出策略配置建议。安全策略配置与分析方法体系模型如图1所示。
图1安全策略配置与分析方法体系模型
本文详细内容请下载:
https://www.chinaaet.com/resource/share/2000006577
作者信息:
李沛婷,陈飞,鲁知朋
(中国电子科技集团公司第三十研究所,四川成都610041)
