引言

隨著企業(yè)的關鍵業(yè)務活動越來越依賴于網(wǎng)絡，各種安全事件的發(fā)生率不斷攀升，造成的不良影響越來越大，防火墻的重要性也越來越高［1］。防火墻作為網(wǎng)絡安全的第一道防線，一直作為內部網(wǎng)絡和外部網(wǎng)絡之間的屏障。其用途是通過允許、拒絕、重定向通過防火墻的數(shù)據(jù)流量，提供不同網(wǎng)絡之間服務訪問的控制和審計，包括基于用戶和協(xié)議的策略定義、 URL 過濾、協(xié)議識別等。典型的防火墻策略由源地址、目的地址、傳輸層協(xié)議、源端口、目的端口、應用協(xié)議決定，并以數(shù)據(jù)包到達或者離開接口為基準。防火墻策略的部署依賴于業(yè)務需求的正確解析、防火墻策略配置方案的正確生成、策略內容的正確下發(fā)，是一個復雜且容易出錯的過程［2］。正確提升防火墻策略配置效率，對防護網(wǎng)絡和設備的安全至關重要［3］。

已有很多學者展開了安全策略相關研究，陳浩宇［4］提出網(wǎng)絡安全策略的自動化管理方案，使網(wǎng)絡管理員能夠采用可編程的方式對網(wǎng)絡安全事件進行響應，提高了策略管理效率與事件響應速度，但是缺少對安全策略的分析，沒有給管理員提供配置建議。吳蓓［5］研究了安全策略轉換和沖突檢測技術，詳細剖析了安全策略的概念及策略分類準則，提出了安全策略沖突模型和安全策略轉換模型，但是這些模型的普適性、正確性還有待驗證。周佳等［6］進行了安全配置策略自動生成與驗證技術研究，分別從安全配置策略形式化描述、安全配置意圖與策略映射模型構建及驗證、安全配置策略自動轉譯、安全配置策略沖突檢測及優(yōu)化等進行詳細介紹，以實現(xiàn)網(wǎng)絡安全配置意圖準確、快速轉化為安全設備可識別執(zhí)行的網(wǎng)絡安全策略，但是沒有將研究方法應用在具體安全設備上進行驗證。綜上所述，已經(jīng)有很多學者研究如何高效智能地配置安全策略，以期降低人工成本以及減少人為配置安全策略的主觀性和復雜性，但是將方法應用到實際安全設備中的較少。本文以防火墻安全設備為切入點，研究防火墻安全策略，以及進行安全策略分析。

本文首先介紹防火墻安全策略，并基于結構化語言對防火墻安全策略進行描述。然后采用一種流量數(shù)據(jù)分析技術，通過特征匹配獲得異常流量數(shù)據(jù)，為安全策略的生成提供數(shù)據(jù)支撐。接著提出安全策略分析方法，通過分析防火墻安全策略配置情況，如空閑、冗余、被覆蓋、沖突、可合并等，給出策略配置建議。安全策略配置與分析方法體系模型如圖1所示。

圖1安全策略配置與分析方法體系模型

本文詳細內容請下載：

http://www.jysgc.com/resource/share/2000006577

作者信息：

李沛婷，陳飛，魯知朋

（中國電子科技集團公司第三十研究所，四川成都610041）