CN104519030A - 一种用于安全性检测的方法和装置 - Google Patents
一种用于安全性检测的方法和装置 Download PDFInfo
- Publication number
- CN104519030A CN104519030A CN201310461642.7A CN201310461642A CN104519030A CN 104519030 A CN104519030 A CN 104519030A CN 201310461642 A CN201310461642 A CN 201310461642A CN 104519030 A CN104519030 A CN 104519030A
- Authority
- CN
- China
- Prior art keywords
- rule
- regular collection
- rule set
- message
- regular
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种用于安全性检测的方法和装置,该装置包括:获取模块,用于获取用于检测防火墙的策略的安全性的检测规则集合;检查模块,用于根据所获取的检测规则集合,检查所述防火墙的策略所包含的各个规则的安全性,其中,所述检测规则集合至少包括基于在预定时间段内所述防火墙实际允许通过的报文和拒绝通过的报文提取的用于过滤报文的第一规则集合。利用该方法和装置,能够提高防火墙的策略的安全性。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种用于安全性检测的方法和装置。
背景技术
防火墙(Firewall)是一种协助确保信息安全的设备,其通常部署在网络的边界处以隔离各个安全域(例如,内部网、互联网、专用网等)。防火墙配置有作为策略(Policy)的访问控制列表(ACL),其包括用于指示什么报文允许通过和什么报文拒绝通过的报文过滤规则。防火墙根据访问控制列表所包括的报文过滤规则来对从其的与各个安全领域连接的接口接收到的报文进行过滤(即允许报文通过或拒绝报文通过),以实现安全防御。访问控制列表所包括的各个规则按照指定次序排列在一起,当要对报文进行过滤时,防火墙按照访问控制列表中的规则从第一个到最后一个的次序,依次将访问控制列表中的规则与所要过滤的报文进行匹配,并使用第一个匹配的规则来过滤所要过滤的报文。
防火墙的策略的配置是否正确,对安全防御的实现有极其重要的影响。如果防火墙的策略配置不准确,则防火墙的策略会包含有不安全的规则,从而会给要保护的网络系统带来安全隐患。因此,需要审计防火墙的策略以确保其配置正确。常规的方法是由安全专家根据网络安全标准和企业安全标准来手工审计防火墙的策略以确保其正确配置。然而,由安全专家手工审计防火墙的策略容易出错且需要消耗大量人力。
对此,已经出现防火墙自动检测工具,其自动审计防火墙的策略,从而不会出错且不消耗人力。在实际中,随着时间的流逝,网络应用的一些被允许的服务慢慢变得不需要了,但防火墙的策略仍然会包含有用于允许与该服务相关的报文通过的规则,恶意攻击者有可能会利用防火墙的策略所包含的这些规则来攻击要保护的网络,从而会给要保护的网络带来安全隐患。换言之,如果防火墙的策略包含有用于允许与不需要的服务相关的报文通过的规则,则防火墙的策略的安全性会存在问题。
发明内容
考虑到现有技术的上述问题,本发明实施例提出一种用于安全性检测的方法和装置,其能够提高防火墙的策略的安全性。
按照本发明实施例的一种用于安全性检测的方法,包括:获取用于检测防火墙的策略的安全性的检测规则集合;以及,根据所获取的检测规则集合,检查所述防火墙的策略所包含的各个规则的安全性,其中,所述检测规则集合至少包括基于在预定时间段内所述防火墙实际允许通过的报文和拒绝通过的报文提取的用于过滤报文的第一规则集合。
在一种实现方式中,所述方法还包括:将所述检测规则集合中的各个规则转换统一规则格式,得到具有所述统一规则格式的检测规则集合;以及,将所述防火墙的策略所包含的各个规则转换为所述统一规则格式,得到具有所述统一规则格式的第二规则集合,其中,所述检查包括:根据具有所述统一规则格式的所述检测规则集合,检查具有所述统一规则格式的所述第二规则集合所包含的各个规则的安全性。
在一种实现方式中,所述检测规则集合还包括与安全标准的要求相关的第三规则集合和/或管理员或安全专家设置的第四规则集合,具有所述统一规则格式的所述检测规则集合包括具有所述统一规则格式的所述第一规则集合以及具有所述统一规则格式的所述第三规则集合和/或具有所述统一规则格式的所述第四规则集合,其中,所述方法还包括:在执行所述检查之前,判断具有所述统一规则格式的所述第三规则集合和/或具有所述统一规则格式的所述第四规则集合中是否存在冗余的规则和冲突的规则;以及,如果判断结果为肯定,则删除具有所述统一规则格式的所述第三规则集合和/或具有所述统一规则格式的所述第四规则集合中冗余的规则和冲突的规则,得到没有冗余的规则和冲突的规则的所述第三规则集合和/或所述第四规则集合。
在一种实现方式中,在所述检测规则集合包括所述第一规则集合、所述第三规则集合和所述第四规则集合的情况下,所述方法还包括:在执行所述检查之前,进一步判断没有冗余的规则和冲突的规则的所述第三规则集合中是否存在与没有冗余的规则和冲突的规则的所述第四规则集合中的规则相冗余的规则和相冲突的规则;如果进一步判断结果表明所述第三规则集合中存在与所述第四规则集合中的规则相冗余的规则,则删除所述第三规则集合中与所述第四规则集合中的规则相冗余的规则;以及,如果所述进一步判断结果表明所述第三规则集合中存在与所述第四规则集合中的规则相冲突的规则,则删除或者不删除所述第三规则集合中与所述第四规则集合中的规则相冲突的规则。
在一种实现方式中,所述删除或不删除所述第三规则集合中与所述第四规则集合中的规则相冲突的规则包括:如果所述进一步判断结果表明所述第三规则集合中存在与所述第四规则集合中的规则相冲突的规则,则发出警报并呈现所述第三规则集合中与所述第四规则集合中的规则相冲突的规则;如果接收到表示删除所述第三规则集合中与所述第四规则集合中的规则相冲突的规则的指示,则删除所述第三规则集合中与所述第四规则集合中的规则相冲突的规则;以及,如果接收到表示不删除所述第三规则集合中与所述第四规则集合中的规则相冲突的规则的指示,则不删除所述第三规则集合中与所述第四规则集合中的规则相冲突的规则。
在一种实现方式中,所述方法还包括:在执行所述检查之前,再进一步判断所述第一规则集合中是否存在与第五规则集合中的规则相冗余的规则和相冲突的规则,其中,所述第五规则集合包括所述第三规则集合和所述第四规则集合;如果再进一步判断结果表明所述第一规则集合中存在与所述第五规则集合中的规则相冗余的规则,则删除所述第一规则集合中与所述第五规则集合中的规则相冗余的规则;以及,如果所述再进一步判断结果表明所述第一规则集合中存在与所述第五规则集合中的规则相冲突的规则,则删除或不删除所述第一规则集合中与所述第五规则集合中的规则相冲突的规则。
在一种实现方式中,所述删除或不删除所述第一规则集合中与所述第五规则集合中的规则相冲突的规则包括:如果所述再进一步判断结果表明所述第一规则集合中存在与所述第五规则集合中的规则相冲突的规则,则发出警报并呈现所述第一规则集合中与所述第五规则集合中的规则相冲突的规则;如果接收到表示删除所述第一规则集合中与所述第五规则集合中的规则相冲突的规则的指示,则删除所述第一规则集合中与所述第五规则集合中的规则相冲突的规则;以及,如果接收到表示不删除所述第一规则集合中与所述第五规则集合中的规则相冲突的规则的指示,则不删除所述第一规则集合中与所述第五规则集合中的规则相冲突的规则。
在一种实现方式中,所述方法还包括:在执行所述检查之前,删除具有所述统一规则格式的所述第二规则集合中冗余的规则和冲突的规则。
在一种实现方式中,所述检查进一步包括:如果所述第二规则集合和所述检测规则集合都包含用于允许第一报文通过的规则,则确定所述第二规则集合包含的所述用于允许第一报文通过的规则是安全的;如果所述第二规则集合和所述检测规则集合都包含用于拒绝第二报文通过的规则,则确定所述第二规则集合包含的所述用于拒绝第二报文通过的规则是安全的;如果所述第二规则集合包含用于允许第三报文通过的规则且所述检测规则集合包含用于拒绝所述第三报文或所有报文通过的规则,则确定所述第二规则集合包含的所述用于允许第三报文通过的规则是不安全的;如果所述第二规则集合包含用于拒绝第四报文通过的规则且所述检测规则集合包含用于允许所述第四报文通过的规则,则确定所述第二规则集合包含的所述用于拒绝第四报文通过的规则属于权限开放不足;以及,如果所述第二规则集合包含用于允许第五报文通过的规则且所述检测规则集合没有包含用于允许所述第五报文的规则但包含用于拒绝所有报文的规则,则确定所述第二规则集合包含的所述用于允许第五报文通过的规则是不安全的。
按照本发明实施例的一种用于安全性检测的装置,包括:获取模块,用于获取用于检测防火墙的策略的安全性的检测规则集合;以及,检查模块,用于根据所获取的检测规则集合,检查所述防火墙的策略所包含的各个规则的安全性,其中,所述检测规则集合至少包括基于在预定时间段内所述防火墙实际允许通过的报文和拒绝通过的报文提取的用于过滤报文的第一规则集合。
在一种实现方式中,所述装置还包括:转换模块,用于将所述检测规则集合中的各个规则转换统一规则格式,得到具有所述统一规则格式的检测规则集合,以及,将所述防火墙的策略所包含的各个规则转换为所述统一规则格式,得到具有所述统一规则格式的第二规则集合,其中,所述检查模块用于根据具有所述统一规则格式的所述检测规则集合,检查具有所述统一规则格式的所述第二规则集合所包含的各个规则的安全性。
在一种实现方式中,所述检测规则集合还包括与安全标准的要求相关的第三规则集合和/或管理员或安全专家设置的第四规则集合,具有所述统一规则格式的所述检测规则集合包括具有所述统一规则格式的所述第一规则集合以及具有所述统一规则格式的所述第三规则集合和/或具有所述统一规则格式的所述第四规则集合,其中,所述装置还包括:第一判断模块,用于在执行所述检查之前,判断具有所述统一规则格式的所述第三规则集合和/或具有所述统一规则格式的所述第四规则集合中是否存在冗余的规则和冲突的规则;第一删除模块,用于如果判断结果为肯定,则删除具有所述统一规则格式的所述第三规则集合和/或具有所述统一规则格式的所述第四规则集合中冗余的规则和冲突的规则,得到没有冗余的规则和冲突的规则的所述第三规则集合和/或所述第四规则集合。
在一种实现方式中,在所述检测规则集合包括所述第一规则集合、所述第三规则集合和所述第四规则集合的情况下,所述装置还包括:第二判断模块,用于在执行所述检查之前,进一步判断没有冗余的规则和冲突的规则的所述第三规则集合中是否存在与没有冗余的规则和冲突的规则的所述第四规则集合中的规则相冗余的规则和相冲突的规则;第二删除模块,用于如果进一步判断结果表明所述第三规则集合中存在与所述第四规则集合中的规则相冗余的规则,则删除所述第三规则集合中与所述第四规则集合中的规则相冗余的规则;以及,第三删除模块,用于如果所述进一步判断结果表明所述第三规则集合中存在与所述第四规则集合中的规则相冲突的规则,则删除或者不删除所述第三规则集合中与所述第四规则集合中的规则相冲突的规则。
在一种实现方式中,所述装置还包括:第三判断模块,用于在执行所述检查之前,再进一步判断所述第一规则集合中是否存在与第五规则集合中的规则相冗余的规则和相冲突的规则,其中,所述第五规则集合包括所述第三规则集合和所述第四规则集合;第五删除模块,用于如果再进一步判断结果表明所述第一规则集合中存在与所述第五规则集合中的规则相冗余的规则,则删除所述第一规则集合中与所述第五规则集合中的规则相冗余的规则;以及,第六删除模块,用于如果所述再进一步判断结果表明所述第一规则集合中存在与所述第五规则集合中的规则相冲突的规则,则删除或不删除所述第一规则集合中与所述第五规则集合中的规则相冲突的规则。
在一种实现方式中,所述装置还包括:第八删除模块,用于在执行所述检查之前,删除具有所述统一规则格式的所述第二规则集合中冗余的规则和冲突的规则。
在一种实现方式中,所述检查模块进一步用于:如果所述第二规则集合和所述检测规则集合都包含用于允许第一报文通过的规则,则确定所述第二规则集合包含的所述用于允许第一报文通过的规则是安全的;如果所述第二规则集合和所述检测规则集合都包含用于拒绝第二报文通过的规则,则确定所述第二规则集合包含的所述用于拒绝第二报文通过的规则是安全的;如果所述第二规则集合包含用于允许第三报文通过的规则且所述检测规则集合包含用于拒绝所述第三报文的规则,则确定所述第二规则集合包含的所述用于允许第三报文通过的规则是不安全的;如果所述第二规则集合包含用于拒绝第四报文通过的规则且所述检测规则集合包含用于允许所述第四报文通过的规则,则确定所述第二规则集合包含的所述用于拒绝第四报文通过的规则属于权限开放不足;以及,如果所述第二规则集合包含用于允许第五报文通过的规则且所述检测规则集合没有包含用于允许所述第五报文的规则但包含用于拒绝所有报文的规则,则确定所述第二规则集合包含的所述用于允许第五报文通过的规则是不安全的。
按照本发明实施例的一种检测设备,包括:存储器;以及,与所述存储器连接的处理器,用于执行前述装置的各个模块所执行的操作。
按照本发明实施例的一种机器可读介质,其上存储有可执行指令,当该可执行指令被执行时,使得机器执行前述处理器所执行的操作。
从上面的描述可以看出,本发明实施例的方案通过检查防火墙的策略所包含的各个规则是否包含在至少包括基于在预定时间段内防火墙实际允许通过的报文和拒绝通过的报文提取的用于过滤报文的规则的检测规则中,来确定防火墙的策略所包含的各个规则是否安全。由于防火墙通常不会接收到与不需要的服务有关的报文,因此,基于在预定时间段内防火墙实际允许通过的报文和拒绝通过的报文提取的用于过滤报文的规则不包括用于允许与不需要的服务有关的报文通过的规则,从而检测规则不包括用于允许与不需要的服务有关的报文通过的规则,在这种情况下,如果防火墙的策略包含有用于允许与不需要的服务有关的报文通过的规则,则由于检测规则不包括用于允许与不需要的服务有关的报文通过的规则,因此,防火墙的策略所包含的用于允许与不需要的服务有关的报文通过的规则被确定为是不安全的。因此,与现有技术相比,本发明实施例的方案能够提高防火墙的策略的安全性。
附图说明
本发明的其它特征、特点、优点和益处通过以下结合附图的详细描述将变得更加显而易见。
图1示出了按照本发明一个实施例的用于安全性检测的系统的架构示意图。
图2A和2B示出了按照本发明一个实施例的用于安全性检测的方法的流程图。
图3示出了按照本发明一个实施例的用于安全性检测的装置的示意图。
图3A示出了按照本发明一个实施例的第三删除模块的示意图。
图3B示出了按照本发明一个实施例的第六删除模块的示意图。
图4示出了按照本发明一个实施例的检测装置的示意图。
图5示出了按照本发明一个实施例的统一规则格式的示例。
具体实施方式
发明人经过大量监测发现,网络应用中被允许的服务变得不需要之后,网络通常不会出现与该不需要的服务有关的报文,因此,防火墙通常不会接收到与该不需要的服务有关的报文。
基于以上发现,本发明实施例的方案获取至少包括基于在预定时间段内防火墙实际允许通过的报文和拒绝通过的报文提取的用于过滤报文的规则的检测规则,并根据所获取的检测规则来检查防火墙的策略所包含的各个规则的安全性。
由于防火墙通常不会接收到与不需要的服务有关的报文,因此,基于在预定时间段内防火墙实际允许通过的报文和拒绝通过的报文提取的用于过滤报文的规则不包括用于允许与不需要的服务有关的报文通过的规则,从而检测规则不包括用于允许与不需要的服务有关的报文通过的规则,在这种情况下,如果防火墙的策略包含有用于允许与不需要的服务有关的报文通过的规则,则由于检测规则不包括用于允许与不需要的服务有关的报文通过的规则,因此,防火墙的策略所包含的用于允许与不需要的服务有关的报文通过的规则被确定为是不安全的,从而能够将防火墙的策略中用于允许与不需要的服务有关的报文通过的规则检测为是不安全的,提高了防火墙的策略的安全性。
下面,将结合附图详细本发明的各个实施例。
现在参见图1,其示出了按照本发明一个实施例的用于安全性检测的系统的架构示意图。如图1所示,用于安全检测的系统10可以包括防火墙20和检测设备30。
防火墙20可以存储作为策略的访问控制列表,其包括用于指示哪些报文允许通过和哪些报文拒绝通过的规则集合。
防火墙20具有三个接口J1-J3,其中,接口J1与要保护的内部网络N1连接,接口J2与外部网络N2连接,以及,接口J3用于管理员管理防火墙20的访问控制列表中的规则,例如向访问控制列表写入新规则,从访问控制列表中删除规则,修改访问控制列表中的规则,从访问控制列表读取规则等。
当从接口J1接收到内部网络N1要发送给外部网络N2的报文或者从接口J2接收到外部网络N2要发送给内部网络N1的报文时,防火墙20根据所存储的访问控制列表包含的各个规则来判断是否允许所接收的报文通过,并且如果判断结果表明允许所接收的报文通过,则将所接收的报文发送至与该报文的目的网络连接的接口以发送给该报文的目的网络,而如果判断结果表明拒绝所接收的报文通过,则抛弃所接收的报文。
检测设备30可以存储规则数据库,其包括与安全标准的要求相关的规则集合和管理员或安全专家配置的规则集合。安全标准可以包括但不局限于国际安全标准、行业安全标准和企业安全标准中的至少一个,并且,与安全标准的要求相关的规则集合中的各个规则按照一定次序排列在一起。管理员或安全专家配置的规则集合中各个规则也按照一定次序排列在一起。这里,与安全标准的要求相关的规则集合可以包括用于拒绝所有报文(Deny All)的规则,管理员或安全专家配置的规则集合不包括用于拒绝所有报文的规则。
检测设备30可以连接防火墙20的三个接口J1-J3。检测设备30可以捕获进入防火墙20的接口J1-J2的报文和从防火墙20的接口J1-J2出来的报文。检测设备30可以根据在预定时间段(若干天、若干旬、若干月、若干季或若干年等)内所捕获的报文确定防火墙20实际允许通过的报文和拒绝通过的报文,例如,如果一个报文进入接口J1(J2)且从进入接口J2(J1)出来,则该报文是防火墙20允许通过的报文,而如果一个报文进入接口J1(J2)但未从进入接口J2(J1)出来,则该报文是防火墙20拒绝通过的报文。
检测设备30确定与在预定时间段内防火墙20实际允许通过的报文和拒绝通过的报文相对应的规则集合G1,其包括从防火墙20实际允许通过的报文和拒绝通过的报文提取的用于过滤报文的多个规则,并且,检测设备30将规则集合G1中的各个规则转换为统一规则格式TY,得到具有统一规则格式TY的规则集合G1。图5示出了统一规则格式TY的一个例子,其包括源区域、目的区域、协议、源地址、源端口、目的地址、目的端口和动作八个字段,其中,源区域字段和目的区域字段分别表示规则所针对的报文的发送网络和接收网络,可以使用防火墙20中与发送网络和接收网络连接的接口的标识来分别表示发送网络和接收网络,协议表示规则所针对的报文所采用的协议,源地址、源端口、目的地址和目的端口分别表示规则所针对的报文的源地址、源端口、目的地址和目的端口,以及,动作表示对规则所针对的报文所采取的动作(即允许通过或拒绝通过)。
检测设备30可以从所存储的规则数据库中读取与安全标准的要求相关的规则集合G2,并且如果规则集合G2仍没有被转换为统一规则格式TY,则将规则集合G2转换为统一规则格式TY,得到具有统一规则格式TY的规则集合G2。然后,检测设备30将具有统一规则格式TY的规则集合G2中的各个规则进行两两比对以找出规则集合G2中冗余的规则和冲突的规则,并删除规则集合G2中冗余的规则和冲突的规则,得到没有冗余的规则和冲突的规则的规则集合G2。这里,冗余是指多个规则具有相同的源区域、目的区域、协议、源地址、源端口、目的地址、目的端口和动作,冲突是指两个规则具有相同的源区域、目的区域、协议、源地址、源端口、目的地址和目的端口,但具有不同的动作。其中,在删除冲突的规则时删除两个相冲突的规则中排序在后的那个规则。
检测设备30可以从所存储的规则数据库中读取管理员或或安全专家设置的规则集合G3,并且如果规则集合G3中的各个规则仍没有被转换为统一规则格式TY,则将规则集合G3中的各个规则转换为统一规则格式TY,得到具有统一规则格式TY的规则集合G3。检测设备30将具有统一规则格式TY的规则集合G3中的各个规则进行两两比对以找出规则集合G3中冗余的规则和冲突的规则,并删除规则集合G3中冗余的规则和冲突的规则,得到没有冗余的规则和冲突的规则的规则集合G3。其中,在删除冲突的规则时删除两个相冲突的规则中排序在后的那个规则。
检测设备30检查没有冗余的规则和冲突的规则的规则集合G2中是否存在有与没有冗余的规则和冲突的规则的规则集合G3中的规则相冗余的规则和相冲突的规则。如果检测结果为肯定,则检测设备30从规则集合G2中删除该冗余的规则和该冲突的规则(如果该冲突的规则需要删除),然后把规则集合G2与规则集合G3合并在一起,得到规则集合G4。
检测设备30检查具有统一规则格式TY的规则集合G1中是否存在有与规则集合G4中的规则相冗余的规则和相冲突的规则。如果检测结果为肯定,则从规则集合G1中删除该冗余的规则和冲突的规则(如果该冲突的规则需要删除),然后把规则集合G1与规则集合G4合并在一起,得到用于检测防火墙20的策略的安全性的规则集合G5。
检测设备30从防火墙20的接口J3读取防火墙20的策略所包含的规则集合G6,并把规则集合G6中的各个规则转换为具有统一规则格式TY,得到具有统一规则格式TY的规则集合G6。检测设备30将具有统一规则格式TY的规则集合G6中的各个规则进行两两比对以找出规则集合G6中冗余的规则和冲突的规则,并删除规则集合G6中冗余的规则和冲突的规则,得到没有冗余的规则和冲突的规则的规则集合G6。其中,在删除冲突的规则时删除两个相冲突的规则中排序在后的那个规则。
检测设备30根据规则集合G5来检查没有冗余的规则和冲突的规则的规则集合G6所包含的各个规则的安全性。
现在参见图2A和2B,其示出了按照本发明一个实施例的用于安全性检测的方法的流程图。图2A和2B所示的方法由检测设备30执行。这里,为了使说明简单,将该方法示出并描述为一系列的动作,但是应该理解,该方法并不受图2A和2B所示的动作顺序的限制,因为依照一个或多个实施例,一些动作可以按不同顺序发生和/或与其它动作同时发生,或者一些动作可以省略。
如图2A和2B所示,在方框200,检测设备30捕获进入防火墙20的接口J1-J2的报文和从防火墙20的接口J1-J2出来的报文。
在方框204,检测设备30从预定时间段内所捕获的报文中,确定在该预定时间段内防火墙20实际允许通过的报文和拒绝通过的报文。
在方框208,检测设备30获取与在该预定时间段内防火墙20实际允许通过的报文和拒绝通过的报文相对应的规则集合G1。其中,规则集合G1包括多个用于过滤报文的规则,每一个规则对应于在该预定时间段内防火墙20实际允许通过的报文和拒绝通过的报文中的其中一个报文,并基于该对应的报文提取得到。
在方框212,检测设备30将规则集合G1中的各个规则转换为统一规则格式TY,得到具有统一规则格式TY的规则集合G1。其中,对于具有统一规则格式TY的规则集合G1中的每一个规则gi,规则gi的源区域字段和目的区域字段分别用在该预定时间段内防火墙20实际允许通过的报文和拒绝通过的报文中与规则gi对应的报文在防火墙20中所进入的接口的标识和所出来的接口的标识来表示(如果规则gi对应的报文是防火墙20实际拒绝通过的报文,则规则gi的目的区域字段为无),规则gi的协议字段、源地址字段、源端口字段、目的地址字段和目的端口字段分别用规则gi对应的报文的报文头中的相应字段中的内容表示,以及,规则gi的动作字段为(如果规则gi对应的报文是防火墙20实际允许通过的报文)允许或(如果规则gi对应的报文是防火墙20实际拒绝通过的报文)拒绝。
在方框216,检测设备30从所存储的规则数据库中读取与安全标准的要求相关的规则集合G2。如前所提到的,安全标准可以包括但不局限于国际安全标准、行业安全标准和企业安全标准的至少一个。
在方框220,如果规则集合G2的各个规则仍没有被转换为统一规则格式TY,则检测设备30将规则集合G2中的各个规则转换为统一规则格式TY,得到具有统一规则格式TY的规则集合G2。
在方框224,检测设备30将具有统一规则格式TY的规则集合G2中的各个规则进行两两比对以检索出规则集合G2中冗余的规则和冲突的规则。这里,如果规则集合G2包括用于拒绝所有报文的规则,则该用于拒绝所有报文的规则不参与规则集合G2中冗余的规则和冲突的规则的检测,即将规则集合G2中除了该用于拒绝所有报文的规则之外的各个规则进行两两比对以检索出规则集合G2中冗余的规则和冲突的规则。
在方框228,检测设备30删除规则集合G2中冗余的规则和冲突的规则,得到没有冗余的规则和冲突的规则的规则集合G2。
在方框232,检测设备30从所存储的规则数据库中读取管理员或安全专家设置的规则集合G3。
在方框236,如果规则集合G3的各个规则仍没有被转换为统一规则格式TY,则检测设备30将规则集合G3中的各个规则转换为统一规则格式TY,得到具有统一规则格式TY的规则集合G3。
在方框240,检测设备30将具有统一规则格式TY的规则集合G3中的各个规则进行两两比对以检索出规则集合G3中冗余的规则和冲突的规则。
在方框244,检测设备30删除规则集合G3中冗余的规则和冲突的规则,得到没有冗余的规则和冲突的规则的规则集合G3。
在方框248,检测设备30检查没有冗余的规则和冲突的规则的规则集合G2中是否存在有与没有冗余的规则和冲突的规则的规则集合G3中的规则相冗余或相冲突的规则。这里,如果规则集合G2包括用于拒绝所有报文的规则,则此次检查不考虑该用于拒绝所有报文的规则,即:在规则集合G2包括该用于拒绝所有报文的规则的情况下,检测设备30检查没有冗余的规则和冲突的规则的规则集合G2中除了该用于拒绝所有报文的规则之外是否存在有与没有冗余的规则和冲突的规则的规则集合G3中的规则相冗余或相冲突的规则。
在方框252,如果方框248的检测结果为肯定,即没有冗余的规则和冲突的规则的规则集合G2中存在有与没有冗余的规则和冲突的规则的规则集合G3中的规则相冗余的规则和相冲突的规则,则检测设备30执行以下相应操作:如果规则集合G2中存在与规则集合G3中的规则相冗余的规则,则检测设备30删除规则集合G2中该冗余的规则;如果规则集合G2中存在与规则集合G3中的规则相冲突的规则,则检测设备30发出警报并呈现该冲突的规则,以便安全专家确定是否需要删除该冲突的规则;如果接收到来自安全专家的表示删除该冲突的规则的指示,则检测设备30从规则集合G2中删除该冲突的规则;如果接收到来自安全专家的表示不删除该冲突的规则的指示,则检测设备30不删除规则集合G2中的该冲突的规则,然后流程进行到方框256。
如果方框248的检测结果为否定,即没有冗余的规则和冲突的规则的规则集合G2中不存在与没有冗余的规则和冲突的规则的规则集合G3中的规则相冗余的规则和相冲突的规则,则流程进行到方框256。
在方框256,检测设备30把规则集合G2和规则集合G3合并在一起,得到规则集合G4。
在方框260,检测设备30检查具有统一规则格式TY的规则集合G1中是否存在有与规则集合G4中的规则相冗余的规则和相冲突的规则。这里,如果规则集合G4包括用于拒绝所有报文的规则,则此次检查不考虑该用于拒绝所有报文的规则,即:在规则集合G4包括用于拒绝所有报文的规则的情况下,检测设备30检查规则集合G1中是否存在有与规则集合G4中除了该用于拒绝所有报文的规则之外的规则相冗余的规则和相冲突的规则。
在方框264,如果方框260的检测结果为肯定,即具有统一规则格式TY的规则集合G1中存在有与规则集合G4中的规则相冗余的规则和/或相冲突的规则,则检测设备30执行以下操作:如果规则集合G1中存在有与规则集合G4中的规则相冗余的规则,则检测设备30从规则集合G1删除该冗余的规则;如果规则集合G1中存在与规则集合G3中的规则相冲突的规则,则检测设备30发出警报并呈现该冲突的规则,以便安全专家确定是否需要删除该冲突的规则;如果接收到来自安全专家的表示删除该冲突的规则的指示,则检测设备30从规则集合G1中删除该冲突的规则;如果接收到来自安全专家的表示不删除该冲突的规则的指示,则检测设备30不删除规则集合G1中的该冲突的规则,然后流程进行到方框268。
如果方框260的检测结果为否定,即具有统一规则格式TY的规则集合G1中未存在与规则集合G4中的规则相冗余的规则和相冲突的规则,则流程进行到方框268。
在方框268,检测设备30把规则集合G1和规则集合G4合并在一起,得到用于检测防火墙20的策略的安全性的规则集合G5。
在方框272,检测设备30从防火墙20的接口J3读取防火墙20的策略所包含的规则集合G6。
在方框276,检测设备30把规则集合G6中的各个规则转换为具有统一规则格式TY,得到具有统一规则格式TY的规则集合G6。
在方框280,检测设备30将具有统一规则格式TY的规则集合G6中的各个规则进行两两比对以找出规则集合G6中冗余的规则和冲突的规则。
在方框284,检测设备30删除规则集合G6中冗余的规则和冲突的规则,得到没有冗余的规则和冲突的规则的规则集合G6。其中,在删除冲突的规则时删除两个相冲突的规则中排序在后的那个规则。
在方框288,检测设备30利用规则集合G5来检查没有冗余的规则和冲突的规则的规则集合G6所包含的各个规则的安全性。例如,如果规则集合G5和规则集合G6都包含用于允许报文A的规则,则检测设备30确定规则集合G6(即防火墙20的策略)所包含的用于允许报文A的规则是安全的;如果规则集合G5和规则集合G6都包含用于拒绝报文B的规则,则检测设备30确定规则集合G6(即防火墙20的策略)所包含的用于拒绝报文B的规则是安全的;如果规则集合G5包含用于拒绝报文C或所有报文的规则且规则集合G6包含用于允许报文C的规则,则检测设备30确定规则集合G6(即防火墙20的策略)所包含的用于允许报文C的规则是不安全的;如果规则集合G5包含用于允许报文D的规则且规则集合G6包含用于拒绝报文D的规则,则检测设备30确定规则集合G6(即防火墙20的策略)所包含的用于拒绝报文D的规则属于权限开放不足;以及,如果规则集合G5没有包含用于允许报文E的规则但包含用于拒绝所有报文的规则以及规则集合G6包含用于允许报文E的规则,则检测设备30确定规则集合G6(即防火墙20的策略)所包含的用于允许报文E的规则是不安全的。
在方框292,检测设备30向管理员通知检查结果。
其它变型
本领域技术人员应当理解,虽然在上面的实施例中,规则集合G1-G3和G6都被转换为统一规则格式TY,以便于检测防火墙20的策略的安全性并减少检测错误,然而,本发明并不局限于此。在本发明的其它一些实施例中,也可以不将规则集合G1-G3和G6转换为统一规则格式TY。
本领域技术人员应当理解,虽然在上面的实施例中,用于检测防火墙20的策略的安全性的规则集合G5包括基于在预定时间段内防火墙20实际允许通过的报文和拒绝通过的报文所提取的规则集合G1、与安全标准的要求相关的规则集合G2和与管理员设置的规则集合G3,然而,本发明并不局限于此。在本发明的其它一些实施例中,规则集合G5可以仅包括规则集合G1,而不包括规则集合G2和规则集合G3,或者,规则集合G5可以包括规则集合G2和规则集合G3的其中之一和规则集合G1,或者,规则集合G5还可以包括除了规则集合G2、规则集合G3和规则集合G1之外的其它规则。
本领域技术人员应当理解,虽然在上面的实施例中,除了接口J3之外,防火墙20仅包括两个与网络(安全域)连接的接口J1、J2,然而,本发明并不局限于此。在本发明的其它一些实施例中,防火墙20可以包括两个以上与不同的安全域连接的接口。例如,除了接口J3之外,防火墙20还包括三个接口J1、J2和J4,其中,接口J1与要保护的内部网络N1连接,接口J2与外部网络N2连接,J4与隔离区(DMZ)连接。
本领域技术人员应当理解,虽然在上面的实施例中,检测设备30通过亲自监测进入防火墙20的接口的报文和从防火墙20的接口出来的报文来获取基于预定时间段内防火墙20实际允许通过的报文和拒绝通过的报文所提取的用于过滤报文的的规则,然而,本发明并不局限于此。在本发明的其它一些实施例中,也可以由管理员或其它设备监测进入防火墙20的接口的报文和从防火墙20的接口出来的报文并获取基于预定时间段内防火墙20实际允许通过的报文和拒绝通过的报文所提取的用于过滤报文的的规则,然后该管理员或该其它设备将所获取的规则提供给检测设备30使用。
本领域技术人员应当理解,虽然在上面的实施例中,与安全标准的要求相关的规则集合G2和管理员或安全专家设置的规则集合G3是预先存储在检测设备30中的,然而,本发明并不局限于此。在本发明的其它一些实施例中,例如也可以是当检测设备30要使用时由管理员将与安全标准的要求相关的规则集合G2和管理员或安全专家设置的规则集合G3提供给检测设备30。
本领域技术人员应当理解,虽然在上面的实施例中,统一规则格式TY包括源区域、目的区域、协议、源地址、源端口、目的地址、目的端口和动作八个字段,然而,本发明并不局限于此。在本发明的其它一些实施例中,统一规则格式TY所包括的字段可以根据实际需要而定义,例如,在一个示例中,统一规则格式TY可以仅包括协议、源地址、源端口、目的地址、目的端口和动作这六个字段,或者,统一规则格式TY可以仅包括源地址、源端口、目的地址、目的端口和动作这六个字段等等。
本领域技术人员应当理解,在一些实施例中,在合并规则集合G1和规则集合G4以得到规则集合G5之前,如果规则集合G4包括用于拒绝所有报文的规则,则在规则集合G1包括有用于拒绝报文的规则的情况下,检测设备30可以删除规则集合G1中用于拒绝报文的规则。
本领域技术人员应当理解,虽然在上面的实施例中,在规则集合G2(G1)中存在有与规则集合G3(G4)中的规则相冲突的规则的情况下,检测设备30发出警报并呈现该冲突的规则以便安全专家确定是否需要删除该冲突的规则,并且在收到来自安全专家的表示删除该冲突的规则的指示的情况下,从规则集合G2(G1)删除该冲突的规则,然而,本发明并不局限于此。在本发明的其它一些实施例中,在规则集合G2(G1)中存在有与规则集合G3(G4)中的规则相冲突的规则的情况下,检测设备30直接从规则集合G2(G1)删除该冲突的规则,并不发出警报和呈现该冲突的规则。
本领域技术人员应当理解,虽然在上面的实施例中,要删除规则集合中冗余的规则和冲突的规则以消除由冗余的规则和冲突的规则组合引起的复杂的访问控制动作,然而,本发明并不局限于。在本发明的其它一些实施例中,也可以不删除规则集合中冗余的规则和冲突的规则。
现在参见图3,其示出了按照本发明一个实施例的用于安全性检测的装置的示意图。图3所示的装置可以由硬件、软件或软硬结合的方式来实现,其可以安装在检测设备30中。
如图3所示,用于安全性检测的装置300可以包括获取模块302和检查模块304。其中,获取模块302用于获取用于检测防火墙的策略的安全性的检测规则集合,检查模块304用于根据所获取的检测规则集合,检查所述防火墙的策略所包含的各个规则的安全性,其中,所述检测规则集合至少包括基于在预定时间段内所述防火墙实际允许通过的报文和拒绝通过的报文提取的用于过滤报文的第一规则集合。
在一种实现方式中,装置300还包括转换模块308,用于将所述检测规则集合中的各个规则转换统一规则格式,得到具有所述统一规则格式的检测规则集合,以及,将所述防火墙的策略所包含的各个规则转换为所述统一规则格式,得到具有所述统一规则格式的第二规则集合,其中,检查模块304用于根据具有所述统一规则格式的所述检测规则集合,检查具有所述统一规则格式的所述第二规则集合所包含的各个规则的安全性。
在一种实现方式中,所述检测规则集合还包括与安全标准的要求相关的第三规则集合和管理员或安全专家设置的第四规则集合,具有所述统一规则格式的所述检测规则集合包括具有所述统一规则格式的所述第一规则集合以及具有所述统一规则格式的所述第三规则集合和/或具有所述统一规则格式的所述第四规则集合,其中,装置300还包括第一判断模块310和第一删除模块312,其中,所述第一判断模块310用于在执行所述检查之前,判断具有所述统一规则格式的所述第三规则集合和/或具有所述统一规则格式的所述第四规则集合中是否存在冗余的规则和冲突的规则,第一删除模块312用于删除具有所述统一规则格式的所述第三规则集合和/或具有所述统一规则格式的所述第四规则集合中冗余的规则和冲突的规则,得到没有冗余的规则和冲突的规则的所述第三规则集合和/或所述第四规则集合。
在一种实现方式中,在所述检测规则集合包括所述第一规则集合、所述第三规则集合和所述第四规则集合的情况下,装置300还包括第二判断模块314、第二删除模块316和第三删除模块318,其中,第二判断模块314用于在执行所述检查之前,进一步判断没有冗余的规则和冲突的规则的所述第三规则集合中是否存在与没有冗余的规则和冲突的规则的所述第四规则集合中的规则相冗余的规则和相冲突的规则,第二删除模块316用于如果进一步判断结果表明所述第三规则集合中存在与所述第四规则集合中的规则相冗余的规则,则删除所述第三规则集合中与所述第四规则集合中的规则相冗余的规则,以及,第三删除模块318用于如果所述进一步判断结果表明所述第三规则集合中存在与所述第四规则集合中的规则相冲突的规则,则删除或者不删除所述第三规则集合中与所述第四规则集合中的规则相冲突的规则。
在一种实现方式中,如图3A所示,第三删除模块318包括第一警报模块3182和第四删除模块3184。其中,第一警报模块3182用于如果所述进一步判断结果表明所述第三规则集合中存在与所述第四规则集合中的规则相冲突的规则,则发出警报并呈现所述第三规则集合中与所述第四规则集合中的规则相冲突的规则,以及,第四删除模块3184用于如果接收到表示删除所述第三规则集合中与所述第四规则集合中的规则相冲突的规则的指示,则删除所述第三规则集合中与所述第四规则集合中的规则相冲突的规则,以及,如果接收到表示不删除所述第三规则集合中与所述第四规则集合中的规则相冲突的规则的指示,则不删除所述第三规则集合中与所述第四规则集合中的规则相冲突的规则。
在一种实现方式中,装置300还包括第三判断模块320、第五删除模块322和第六删除模块324。其中,第三判断模块320用于在执行所述检查之前,再进一步判断所述第一规则集合中是否存在与第五规则集合中的规则相冗余的规则和相冲突的规则,其中,所述第五规则集合包括所述第三规则集合和所述第四规则集合,第五删除模块322用于如果再进一步判断结果表明所述第一规则集合中存在与所述第五规则集合中的规则相冗余的规则,则删除所述第一规则集合中与所述第五规则集合中的规则相冗余的规则,以及,第六删除模块324用于如果所述再进一步判断结果表明所述第一规则集合中存在与所述第五规则集合中的规则相冲突的规则,则删除或不删除所述第一规则集合中与所述第五规则集合中的规则相冲突的规则。
在一种实现方式中,如图3B所示,第六删除模块324可以包括第二警报模块3242和第七删除模块3244,其中,第二警报模块3242用于如果所述再进一步判断结果表明所述第一规则集合中存在与所述第五规则集合中的规则相冲突的规则,则发出警报并呈现所述第一规则集合中与所述第五规则集合中的规则相冲突的规则,以及,第七删除模块3244用于如果接收到表示删除所述第一规则集合中与所述第五规则集合中的规则相冲突的规则的指示,则删除所述第一规则集合中与所述第五规则集合中的规则相冲突的规则,以及,如果接收到表示不删除所述第一规则集合中与所述第五规则集合中的规则相冲突的规则的指示,则不删除所述第一规则集合中与所述第五规则集合中的规则相冲突的规则。
在一种实现方式中,装置300还包括第八删除模块326,用于在执行所述检查之前,删除具有所述统一规则格式的所述第二规则集合中冗余的规则和/或冲突的规则。
在一种实现方式中,检查模块304可以进一步用于:如果所述第二规则集合和所述检测规则集合都包含用于允许第一报文通过的规则,则确定所述第二规则集合包含的所述用于允许第一报文通过的规则是安全的;如果所述第二规则集合和所述检测规则集合都包含用于拒绝第二报文通过的规则,则确定所述第二规则集合包含的所述用于拒绝第二报文通过的规则是安全的;如果所述第二规则集合包含用于允许第三报文通过的规则且所述检测规则集合包含用于拒绝所述第三报文的规则,则确定所述第二规则集合包含的所述用于允许第三报文通过的规则是不安全的;如果所述第二规则集合包含用于拒绝第四报文通过的规则且所述检测规则集合包含用于允许所述第四报文通过的规则,则确定所述第二规则集合包含的所述用于拒绝第四报文通过的规则属于权限开放不足;以及,如果所述第二规则集合包含用于允许第五报文通过的规则且所述检测规则集合没有包含用于允许所述第五报文的规则但包含用于拒绝所有报文的规则,则确定所述第二规则集合包含的所述用于允许第五报文通过的规则是不安全的。
现在参见图4,其示出了按照本发明一个实施例的检测设备的示意图。如图4所示,检测设备30可以包括存储器410和与存储器410连接的处理器420,其中,处理器420可以执行前述装置300的各个模块所执行的操作
本发明实施例还提供一种机器可读介质,其上存储可执行指令,当该可执行指令被执行时,使得机器实现处理器420所执行的操作。
本领域技术人员应当理解,上面公开的各个实施例可以在不偏离发明实质的情况下做出各种变形和修改。因此,本发明的保护范围应当由所附的权利要求书来限定。
Claims (18)
1.一种用于安全性检测的方法,包括:
获取用于检测防火墙的策略的安全性的检测规则集合;以及
根据所获取的检测规则集合,检查所述防火墙的策略所包含的各个规则的安全性,
其中,所述检测规则集合至少包括基于在预定时间段内所述防火墙实际允许通过的报文和拒绝通过的报文提取的用于过滤报文的第一规则集合。
2.如权利要求1所述的方法,其中,还包括:
将所述检测规则集合中的各个规则转换为统一规则格式,得到具有所述统一规则格式的检测规则集合;以及
将所述防火墙的策略所包含的各个规则转换为所述统一规则格式,得到具有所述统一规则格式的第二规则集合,
其中,所述检查包括:根据具有所述统一规则格式的所述检测规则集合,检查具有所述统一规则格式的所述第二规则集合所包含的各个规则的安全性。
3.如权利要求2所述的方法,其中,
所述检测规则集合还包括与安全标准的要求相关的第三规则集合和/或管理员或安全专家设置的第四规则集合,
具有所述统一规则格式的所述检测规则集合包括具有所述统一规则格式的所述第一规则集合以及具有所述统一规则格式的所述第三规则集合和/或具有所述统一规则格式的所述第四规则集合,
其中,所述方法还包括:
在执行所述检查之前,判断具有所述统一规则格式的所述第三规则集合和/或具有所述统一规则格式的所述第四规则集合中是否存在冗余的规则和冲突的规则;以及
如果判断结果为肯定,则删除具有所述统一规则格式的所述第三规则集合和/或具有所述统一规则格式的所述第四规则集合中冗余的规则和冲突的规则,得到没有冗余的规则和冲突的规则的所述第三规则集合和/或所述第四规则集合。
4.如权利要求3所述的方法,其中,
在所述检测规则集合包括所述第一规则集合、所述第三规则集合和所述第四规则集合的情况下,所述方法还包括:
在执行所述检查之前,进一步判断没有冗余的规则和冲突的规则的所述第三规则集合中是否存在与没有冗余的规则和冲突的规则的所述第四规则集合中的规则相冗余的规则和相冲突的规则;
如果进一步判断结果表明所述第三规则集合中存在与所述第四规则集合中的规则相冗余的规则,则删除所述第三规则集合中与所述第四规则集合中的规则相冗余的规则;以及
如果所述进一步判断结果表明所述第三规则集合中存在与所述第四规则集合中的规则相冲突的规则,则删除或者不删除所述第三规则集合中与所述第四规则集合中的规则相冲突的规则。
5.如权利要求4所述的方法,其中,所述删除或不删除所述第三规则集合中与所述第四规则集合中的规则相冲突的规则包括:
如果所述进一步判断结果表明所述第三规则集合中存在与所述第四规则集合中的规则相冲突的规则,则发出警报并呈现所述第三规则集合中与所述第四规则集合中的规则相冲突的规则;
如果接收到表示删除所述第三规则集合中与所述第四规则集合中的规则相冲突的规则的指示,则删除所述第三规则集合中与所述第四规则集合中的规则相冲突的规则;以及
如果接收到表示不删除所述第三规则集合中与所述第四规则集合中的规则相冲突的规则的指示,则不删除所述第三规则集合中与所述第四规则集合中的规则相冲突的规则。
6.如权利要求4或5所述的方法,其中,还包括:
在执行所述检查之前,再进一步判断所述第一规则集合中是否存在与第五规则集合中的规则相冗余的规则和相冲突的规则,其中,所述第五规则集合包括所述第三规则集合和所述第四规则集合;
如果再进一步判断结果表明所述第一规则集合中存在与所述第五规则集合中的规则相冗余的规则,则删除所述第一规则集合中与所述第五规则集合中的规则相冗余的规则;以及
如果所述再进一步判断结果表明所述第一规则集合中存在与所述第五规则集合中的规则相冲突的规则,则删除或不删除所述第一规则集合中与所述第五规则集合中的规则相冲突的规则。
7.如权利要求6所述的方法,其中,所述删除或不删除所述第一规则集合中与所述第五规则集合中的规则相冲突的规则包括:
如果所述再进一步判断结果表明所述第一规则集合中存在与所述第五规则集合中的规则相冲突的规则,则发出警报并呈现所述第一规则集合中与所述第五规则集合中的规则相冲突的规则;
如果接收到表示删除所述第一规则集合中与所述第五规则集合中的规则相冲突的规则的指示,则删除所述第一规则集合中与所述第五规则集合中的规则相冲突的规则;以及
如果接收到表示不删除所述第一规则集合中与所述第五规则集合中的规则相冲突的规则的指示,则不删除所述第一规则集合中与所述第五规则集合中的规则相冲突的规则。
8.如权利要求2所述的方法,其中,所述方法还包括:
在执行所述检查之前,删除具有所述统一规则格式的所述第二规则集合中冗余的规则和冲突的规则。
9.如权利要求2-8中的任意一个所述的方法,其中,所述检查进一步包括:
如果所述第二规则集合和所述检测规则集合都包含用于允许第一报文通过的规则,则确定所述第二规则集合包含的所述用于允许第一报文通过的规则是安全的;
如果所述第二规则集合和所述检测规则集合都包含用于拒绝第二报文通过的规则,则确定所述第二规则集合包含的所述用于拒绝第二报文通过的规则是安全的;
如果所述第二规则集合包含用于允许第三报文通过的规则且所述检测规则集合包含用于拒绝所述第三报文或所有报文通过的规则,则确定所述第二规则集合包含的所述用于允许第三报文通过的规则是不安全的;以及
如果所述第二规则集合包含用于拒绝第四报文通过的规则且所述检测规则集合包含用于允许所述第四报文通过的规则,则确定所述第二规则集合包含的所述用于拒绝第四报文通过的规则属于权限开放不足;以及
如果所述第二规则集合包含用于允许第五报文通过的规则且所述检测规则集合没有包含用于允许所述第五报文的规则但包含用于拒绝所有报文的规则,则确定所述第二规则集合包含的所述用于允许第五报文通过的规则是不安全的。
10.一种用于安全性检测的装置,包括:
获取模块,用于获取用于检测防火墙的策略的安全性的检测规则集合;以及
检查模块,用于根据所获取的检测规则集合,检查所述防火墙的策略所包含的各个规则的安全性,
其中,所述检测规则集合至少包括基于在预定时间段内所述防火墙实际允许通过的报文和拒绝通过的报文提取的用于过滤报文的第一规则集合。
11.如权利要求10所述的装置,其中,还包括:
转换模块,用于将所述检测规则集合中的各个规则转换为统一规则格式,得到具有所述统一规则格式的检测规则集合,以及,将所述防火墙的策略所包含的各个规则转换为所述统一规则格式,得到具有所述统一规则格式的第二规则集合,
其中,所述检查模块用于根据具有所述统一规则格式的所述检测规则集合,检查具有所述统一规则格式的所述第二规则集合所包含的各个规则的安全性。
12.如权利要求11所述的装置,其中,
所述检测规则集合还包括与安全标准的要求相关的第三规则集合和/或管理员或安全专家设置的第四规则集合,
具有所述统一规则格式的所述检测规则集合包括具有所述统一规则格式的所述第一规则集合以及具有所述统一规则格式的所述第三规则集合和/或具有所述统一规则格式的所述第四规则集合,
其中,所述装置还包括:
第一判断模块,用于在执行所述检查之前,判断具有所述统一规则格式的所述第三规则集合和/或具有所述统一规则格式的所述第四规则集合中是否存在冗余的规则和冲突的规则;
第一删除模块,用于如果判断结果为肯定,则删除具有所述统一规则格式的所述第三规则集合和/或具有所述统一规则格式的所述第四规则集合中冗余的规则和冲突的规则,得到没有冗余的规则和冲突的规则的所述第三规则集合和/或所述第四规则集合。
13.如权利要求12所述的装置,其中,
在所述检测规则集合包括所述第一规则集合、所述第三规则集合和所述第四规则集合的情况下,所述装置还包括:
第二判断模块,用于在执行所述检查之前,进一步判断没有冗余的规则和冲突的规则的所述第三规则集合中是否存在与没有冗余的规则和冲突的规则的所述第四规则集合中的规则相冗余的规则和相冲突的规则;
第二删除模块,用于如果进一步判断结果表明所述第三规则集合中存在与所述第四规则集合中的规则相冗余的规则,则删除所述第三规则集合中与所述第四规则集合中的规则相冗余的规则;以及
第三删除模块,用于如果所述进一步判断结果表明所述第三规则集合中存在与所述第四规则集合中的规则相冲突的规则,则删除或者不删除所述第三规则集合中与所述第四规则集合中的规则相冲突的规则。
14.如权利要求13所述的装置,其中,还包括:
第三判断模块,用于在执行所述检查之前,再进一步判断所述第一规则集合中是否存在与第五规则集合中的规则相冗余的规则和相冲突的规则,其中,所述第五规则集合包括所述第三规则集合和所述第四规则集合;
第五删除模块,用于如果再进一步判断结果表明所述第一规则集合中存在与所述第五规则集合中的规则相冗余的规则,则删除所述第一规则集合中与所述第五规则集合中的规则相冗余的规则;以及
第六删除模块,用于如果所述再进一步判断结果表明所述第一规则集合中存在与所述第五规则集合中的规则相冲突的规则,则删除或不删除所述第一规则集合中与所述第五规则集合中的规则相冲突的规则。
15.如权利要求11所述的装置,其中,还包括:
第八删除模块,用于在执行所述检查之前,删除具有所述统一规则格式的所述第二规则集合中冗余的规则和冲突的规则。
16.如权利要求10-15中的任意一个所述的装置,其中,所述检查模块进一步用于:
如果所述第二规则集合和所述检测规则集合都包含用于允许第一报文通过的规则,则确定所述第二规则集合包含的所述用于允许第一报文通过的规则是安全的;
如果所述第二规则集合和所述检测规则集合都包含用于拒绝第二报文通过的规则,则确定所述第二规则集合包含的所述用于拒绝第二报文通过的规则是安全的;
如果所述第二规则集合包含用于允许第三报文通过的规则且所述检测规则集合包含用于拒绝所述第三报文的规则,则确定所述第二规则集合包含的所述用于允许第三报文通过的规则是不安全的;
如果所述第二规则集合包含用于拒绝第四报文通过的规则且所述检测规则集合包含用于允许所述第四报文通过的规则,则确定所述第二规则集合包含的所述用于拒绝第四报文通过的规则属于权限开放不足;以及
如果所述第二规则集合包含用于允许第五报文通过的规则且所述检测规则集合没有包含用于允许所述第五报文的规则但包含用于拒绝所有报文的规则,则确定所述第二规则集合包含的所述用于允许第五报文通过的规则是不安全的。
17.一种检测设备,包括:
存储器;以及
与所述存储器连接的处理器,用于执行权利要求1-9中的任意一个所包括的操作。
18.一种机器可读介质,其上存储有可执行指令,当该可执行指令被执行时,使得机器执行权利要求17中的处理器所执行的操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310461642.7A CN104519030B (zh) | 2013-09-30 | 2013-09-30 | 一种用于安全性检测的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310461642.7A CN104519030B (zh) | 2013-09-30 | 2013-09-30 | 一种用于安全性检测的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104519030A true CN104519030A (zh) | 2015-04-15 |
| CN104519030B CN104519030B (zh) | 2018-07-17 |
Family
ID=52793767
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310461642.7A Active CN104519030B (zh) | 2013-09-30 | 2013-09-30 | 一种用于安全性检测的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104519030B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109327426A (zh) * | 2018-01-11 | 2019-02-12 | 白令海 | 一种防火墙攻击防御方法 |
| CN110290153A (zh) * | 2019-07-19 | 2019-09-27 | 国网安徽省电力有限公司信息通信分公司 | 一种防火墙的端口管理策略自动下发方法及装置 |
| CN110365655A (zh) * | 2019-06-20 | 2019-10-22 | 苏州浪潮智能科技有限公司 | 一种防火墙规则添加方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101212453A (zh) * | 2006-12-29 | 2008-07-02 | 凹凸科技(中国)有限公司 | 实现网络访问控制的方法及其防火墙装置 |
| CN101753369A (zh) * | 2008-12-03 | 2010-06-23 | 北京天融信网络安全技术有限公司 | 一种检测防火墙规则冲突的方法及装置 |
| CN103036870A (zh) * | 2012-10-26 | 2013-04-10 | 青岛海天炜业自动化控制系统有限公司 | 基于工业协议OPC Classic的无IP分布式工业防火墙深度检查算法 |
| CN103067203A (zh) * | 2012-12-25 | 2013-04-24 | 华为技术有限公司 | 策略一致性审计方法、装置及设备 |
| CN103905406A (zh) * | 2012-12-28 | 2014-07-02 | 中国移动通信集团公司 | 一种失效的防火墙策略检测方法和装置 |
-
2013
- 2013-09-30 CN CN201310461642.7A patent/CN104519030B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101212453A (zh) * | 2006-12-29 | 2008-07-02 | 凹凸科技(中国)有限公司 | 实现网络访问控制的方法及其防火墙装置 |
| CN101753369A (zh) * | 2008-12-03 | 2010-06-23 | 北京天融信网络安全技术有限公司 | 一种检测防火墙规则冲突的方法及装置 |
| CN103036870A (zh) * | 2012-10-26 | 2013-04-10 | 青岛海天炜业自动化控制系统有限公司 | 基于工业协议OPC Classic的无IP分布式工业防火墙深度检查算法 |
| CN103067203A (zh) * | 2012-12-25 | 2013-04-24 | 华为技术有限公司 | 策略一致性审计方法、装置及设备 |
| CN103905406A (zh) * | 2012-12-28 | 2014-07-02 | 中国移动通信集团公司 | 一种失效的防火墙策略检测方法和装置 |
Non-Patent Citations (1)
| Title |
|---|
| 王卫平等: "防火墙规则配置错误分析及其检测算法", 《计算机应用》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109327426A (zh) * | 2018-01-11 | 2019-02-12 | 白令海 | 一种防火墙攻击防御方法 |
| CN110365655A (zh) * | 2019-06-20 | 2019-10-22 | 苏州浪潮智能科技有限公司 | 一种防火墙规则添加方法及装置 |
| CN110290153A (zh) * | 2019-07-19 | 2019-09-27 | 国网安徽省电力有限公司信息通信分公司 | 一种防火墙的端口管理策略自动下发方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104519030B (zh) | 2018-07-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106534195B (zh) | 一种基于攻击图的网络攻击者行为分析方法 | |
| KR101070614B1 (ko) | 봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법 | |
| CN105915532B (zh) | 一种失陷主机的识别方法及装置 | |
| TW201640384A (zh) | 用於決定由檔案為基礎之內容所構成的風險之統計分析方法 | |
| CN103795735B (zh) | 安全设备、服务器及服务器信息安全实现方法 | |
| CN102035793B (zh) | 僵尸网络检测方法、装置以及网络安全防护设备 | |
| CN105939311A (zh) | 一种网络攻击行为的确定方法和装置 | |
| CN101119369A (zh) | 一种网络数据流的安全检测方法及其系统 | |
| CN103873463A (zh) | 多级过滤防火墙系统及多级过滤方法 | |
| TW201719485A (zh) | 利用多層策略管理風險之方法及系統 | |
| CN104796383B (zh) | 一种终端信息防篡改的方法和装置 | |
| CN104486320B (zh) | 基于蜜网技术的内网敏感信息泄露取证系统及方法 | |
| CN107077563A (zh) | 信息处理装置、信息处理方法以及程序 | |
| CN107623691A (zh) | 一种基于反向传播神经网络算法的DDoS攻击检测系统及方法 | |
| CN104519030A (zh) | 一种用于安全性检测的方法和装置 | |
| CN109800571A (zh) | 事件处理方法和装置、以及存储介质和电子装置 | |
| CN105933301A (zh) | 一种基于sdn实现网络蠕虫集中防控的方法和装置 | |
| CN103618613A (zh) | 网络接入控制系统 | |
| Caesarano et al. | Network forensics for detecting SQL injection attacks using NIST method | |
| CN107360178A (zh) | 一种使用白名单控制网络访问的方法 | |
| CN104580087A (zh) | 一种免疫网络系统 | |
| CN109768949A (zh) | 一种端口扫描处理系统、方法及相关装置 | |
| CN105393497B (zh) | 一种生成访问控制列表规则的方法、装置及系统 | |
| Barika et al. | Agent IDS based on misuse approach | |
| CN107294969A (zh) | 一种基于sdn的sql注入攻击检测方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |