CN104735084A - 一种防火墙基线策略审计方法 - Google Patents

一种防火墙基线策略审计方法 Download PDF

Info

Publication number
CN104735084A
CN104735084A CN201510172735.7A CN201510172735A CN104735084A CN 104735084 A CN104735084 A CN 104735084A CN 201510172735 A CN201510172735 A CN 201510172735A CN 104735084 A CN104735084 A CN 104735084A
Authority
CN
China
Prior art keywords
firewall
compartment wall
flow
fire compartment
auditing method
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201510172735.7A
Other languages
English (en)
Inventor
喻潇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
Electric Power Research Institute of State Grid Hubei Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
Electric Power Research Institute of State Grid Hubei Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, Electric Power Research Institute of State Grid Hubei Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN201510172735.7A priority Critical patent/CN104735084A/zh
Publication of CN104735084A publication Critical patent/CN104735084A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种防火墙基线策略审计方法,包括:(1)采集防火墙业务数据流量,并对业务数据流量进行分析,得到流量七元组分析结果,所述流量七元组包括源地址、源端口、目的地址、目的端口、协议类型、数据流量大小以及流量发送频率;(2)采集防火墙安全策略规则,并对安全策略规则进行策略标准化,得到策略七元组分析结果,所述策略七元组包括源地址、源端口、目的地址、目的端口、协议类型、允许或拒绝;(3)将流量七元组与策略七元组进行比对,判断得出不合规的防火墙策略,将不合规的防火墙策略去除。本发明方法能够实现实对域边界防火墙安全策略设置的合规检查。

Description

一种防火墙基线策略审计方法
技术领域
本发明属于信息网络安全技术领域,更具体地,涉及一种防火墙基线策略审计方法。
背景技术
随着信息技术发展和各国信息安全政策的不断演变,国内外信息安全形势日益严峻,党的十八大明确要求健全信息安全保障体系,推进信息网络技术广泛运用。且随着对信息安全提出了更高的要求,需进一步健全统一的信息安全管理机制,强化信息安全保障措施,提升信息安全综合防护能力。
因此,希望能在借鉴国内外及行业内外信息安全领域工作亮点的基础上,紧跟国家要求,结合自身特点,通过基于域间业务数据流分析的防火墙安全基线策略核查技术的研究,实现对域边界防火墙安全策略设置的合规检查并应用于信息安全监督,将信息安全检查工作从单一的面向设备的安全检查演进为面向工作流程的安全检查,实现安全检查工作从“点”到“面”的突破,促进安全域边界基线安全策略的落实,填补该项技术在信息安全检查领域的空白。
发明内容
针对现有技术的以上缺陷或改进需求,本发明提供了一种防火墙基线策略审计方法,能够实现实对域边界防火墙安全策略设置的合规 检查。
通过基于域间业务数据流分析的防火墙安全基线策略核查技术的研究,实现对域边界防火墙安全策略设置的合规检查并应用于信息安全监督,将信息安全检查工作从单一的面向设备的安全检查演进为面向工作流程的安全检查,实现安全检查工作从“点”到“面”的突破,促进安全域边界基线安全策略的落实,填补该项技术在信息安全检查领域的空白。
附图说明
图1是本发明防火墙基线策略审计方法的流程示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
深入研究域间防火墙安全基线策略核查技术,研究高效快速的防火墙流量采集方法,定义流量统计分析方式,将防火墙安全策略进行标准化处理,构建防火墙域间业务流和安全策略的关系模型,验证防火墙安全策略是否符合“最小化”的原则,验证防火墙安全策略的时效性是否符合业务系统实际需求,定位和清除不符合基线规则的安全策略,解决防火墙作为信息安全域边界重要的防护设备,其安全策略 合规性检查缺乏必要的督查技术手段、安全隐患难以发现、定位的困境。
如图1所示,为本发明防火墙基线策略审计方法的流程示意图,所述方法分为两路,一路采集防火墙业务数据流量,对业务数据流量进行流量分析,得到流量七元组,另一路采集防火墙安全策略规则,对安全策略规则进行策略标准化,得到策略七元组,将流量七元组与策略七元组进行比对,得出不合规的防火墙策略。
具体地,对所述业务数据流量进行采集分析为:
利用分析IP数据包的源IP地址、目标IP地址、源端口、目标端口、第三层协议类型,TOS字节、网络设备输入输出的逻辑网络端口7个属性,实现对网络中传输的各种不同类型业务数据流的快速区分。
考虑到流量分析的结果需要与防火墙策略进行比对,流量采集工具的7个属性与防火墙配置中的5元组基本吻合,因此采用NetFlow技术进行流量采集是相对合理且有效的技术方法。同时,在数据分析中加入对会话频度的度量,以便在比对中增加数据的可用性。在数据展现时,需要考虑对于相同数据源的归并,建议以一个C段地址为单位进行初步汇拢,同时进行展现。数据结构如下表:
分析得到的流量七元组包括:源地址、源端口、目的地址、目的端口、协议类型、数据流量大小以及流量发送频率。
具体地,对所述防火墙策略进行采集和标准化为:
防火墙配置采集工具通过远程登录方式(SSH、telnet)登录目标防火墙进行配置采集。对获得的防火墙安全策略数据进行标准化处理。
安全策略标准化处理后的结果示例如下:
序号 源地址 源端口 目标地址 目标端口 协议类型 动作
1 Any Any 192.168.100.224 80 TCP permit
2 192.168.10.0/24 9999 192.168.100.100 443 TCP deny
3 192.168.20.0/24 Any 192.168.100.0/24 8080 UDP permit
4 …… …… …… …… …… ……
分析得到的策略七元组包括源地址、源端口、目的地址、目的端口、协议类型、动作;
具体地,对防火墙安全策略和流量进行比对,具体为:通过对源地址、源端口、目标地址的信息的碰撞来进行基线策略有效性的确认。
利用对比结果研究快速检测防火墙策略合规性的方法。
本领域的技术人员容易理解,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (5)

1.一种防火墙基线策略审计方法,其特征在于,所述方法包括如下步骤:
(1)采集防火墙业务数据流量,并对业务数据流量进行分析,得到流量七元组分析结果,所述流量七元组包括源地址、源端口、目的地址、目的端口、协议类型、数据流量大小以及流量发送频率;
(2)采集防火墙安全策略规则,并对安全策略规则进行策略标准化,得到策略七元组分析结果,所述策略七元组包括源地址、源端口、目的地址、目的端口、协议类型、允许或拒绝;
(3)将流量七元组与策略七元组进行比对,判断得出不合规的防火墙策略,将不合规的防火墙策略去除。
2.如权利要求1所述的防火墙基线策略审计方法,其特征在于,所述步骤(3)具体为:通过比对的结果可分析防火墙策略的有效期及正确性。
3.如权利要求1或2所述的防火墙基线策略审计方法,其特征在于,所述步骤(1)中采用NetFlow技术进行业务数据流量采集。
4.如权利要求1或2所述的防火墙基线策略审计方法,其特征在于,所述步骤(2)中利用防火墙配置采集工具通过远程登录方式登录目标防火墙进行配置采集。
5.如权利要求4所述的防火墙基线策略审计方法,其特征在于,所述远程登录方式包括SSH或telnet方式。
CN201510172735.7A 2015-04-13 2015-04-13 一种防火墙基线策略审计方法 Pending CN104735084A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510172735.7A CN104735084A (zh) 2015-04-13 2015-04-13 一种防火墙基线策略审计方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510172735.7A CN104735084A (zh) 2015-04-13 2015-04-13 一种防火墙基线策略审计方法

Publications (1)

Publication Number Publication Date
CN104735084A true CN104735084A (zh) 2015-06-24

Family

ID=53458519

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510172735.7A Pending CN104735084A (zh) 2015-04-13 2015-04-13 一种防火墙基线策略审计方法

Country Status (1)

Country Link
CN (1) CN104735084A (zh)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105187414A (zh) * 2015-08-21 2015-12-23 北京洋浦伟业科技发展有限公司 一种基于app加固技术的防火墙系统
CN105553958A (zh) * 2015-12-10 2016-05-04 国网四川省电力公司信息通信公司 一种新型网络安全联动系统及方法
CN105847258A (zh) * 2016-03-25 2016-08-10 国家电网公司 基于防火墙acl的企业内部资源开放范围分析方法
CN106603471A (zh) * 2015-10-16 2017-04-26 北京启明星辰信息安全技术有限公司 一种防火墙策略检测方法及装置
CN108173842A (zh) * 2017-12-26 2018-06-15 国家电网公司 基于openstack云平台的软件定义防火墙的部署优化方法
CN109040089A (zh) * 2018-08-15 2018-12-18 深圳前海微众银行股份有限公司 网络策略审计方法、设备及计算机可读存储介质
CN109286630A (zh) * 2018-10-15 2019-01-29 深信服科技股份有限公司 等保处理方法、装置、设备及存储介质
CN109639743A (zh) * 2018-12-13 2019-04-16 成都亚信网络安全产业技术研究院有限公司 一种防火墙策略检测方法及设备
CN112351014A (zh) * 2020-10-28 2021-02-09 武汉思普崚技术有限公司 一种安全域间防火墙安全策略合规基线管理方法及装置
US10931638B1 (en) * 2019-07-31 2021-02-23 Capital One Services, Llc Automated firewall feedback from network traffic analysis
CN112822211A (zh) * 2021-02-06 2021-05-18 西安热工研究院有限公司 电力工控便携式自学习工业防火墙系统、装置及使用方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101478478A (zh) * 2008-12-31 2009-07-08 华为技术有限公司 一种报文处理方法、装置和系统
CN104135461A (zh) * 2013-05-02 2014-11-05 中国移动通信集团河北有限公司 一种防火墙策略处理的方法及装置
CN104333549A (zh) * 2014-10-28 2015-02-04 福建师范大学 一种用于分布式防火墙系统的数据包过滤方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101478478A (zh) * 2008-12-31 2009-07-08 华为技术有限公司 一种报文处理方法、装置和系统
CN104135461A (zh) * 2013-05-02 2014-11-05 中国移动通信集团河北有限公司 一种防火墙策略处理的方法及装置
CN104333549A (zh) * 2014-10-28 2015-02-04 福建师范大学 一种用于分布式防火墙系统的数据包过滤方法

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105187414A (zh) * 2015-08-21 2015-12-23 北京洋浦伟业科技发展有限公司 一种基于app加固技术的防火墙系统
CN106603471B (zh) * 2015-10-16 2019-09-13 北京启明星辰信息安全技术有限公司 一种防火墙策略检测方法及装置
CN106603471A (zh) * 2015-10-16 2017-04-26 北京启明星辰信息安全技术有限公司 一种防火墙策略检测方法及装置
CN105553958A (zh) * 2015-12-10 2016-05-04 国网四川省电力公司信息通信公司 一种新型网络安全联动系统及方法
CN105847258A (zh) * 2016-03-25 2016-08-10 国家电网公司 基于防火墙acl的企业内部资源开放范围分析方法
CN105847258B (zh) * 2016-03-25 2019-01-29 国家电网公司 基于防火墙acl的企业内部资源开放范围分析方法
CN108173842A (zh) * 2017-12-26 2018-06-15 国家电网公司 基于openstack云平台的软件定义防火墙的部署优化方法
CN109040089A (zh) * 2018-08-15 2018-12-18 深圳前海微众银行股份有限公司 网络策略审计方法、设备及计算机可读存储介质
CN109286630A (zh) * 2018-10-15 2019-01-29 深信服科技股份有限公司 等保处理方法、装置、设备及存储介质
CN109639743A (zh) * 2018-12-13 2019-04-16 成都亚信网络安全产业技术研究院有限公司 一种防火墙策略检测方法及设备
US10931638B1 (en) * 2019-07-31 2021-02-23 Capital One Services, Llc Automated firewall feedback from network traffic analysis
US11637811B2 (en) 2019-07-31 2023-04-25 Capital One Services, Llc Automated firewall feedback from network traffic analysis
US12088556B2 (en) 2019-07-31 2024-09-10 Capital One Services, Llc Automated firewall feedback from network traffic analysis
CN112351014A (zh) * 2020-10-28 2021-02-09 武汉思普崚技术有限公司 一种安全域间防火墙安全策略合规基线管理方法及装置
CN112822211A (zh) * 2021-02-06 2021-05-18 西安热工研究院有限公司 电力工控便携式自学习工业防火墙系统、装置及使用方法
CN112822211B (zh) * 2021-02-06 2023-03-24 西安热工研究院有限公司 电力工控便携式自学习工业防火墙系统、装置及使用方法

Similar Documents

Publication Publication Date Title
CN104735084A (zh) 一种防火墙基线策略审计方法
Yadav et al. Where the light gets in: Analyzing web censorship mechanisms in india
CN105450442B (zh) 一种网络拓扑排查方法及其系统
US10057296B2 (en) Detecting and managing abnormal data behavior
US8789135B1 (en) Scalable stateful firewall design in openflow based networks
CN107579874B (zh) 一种检测流量采集设备数据采集漏报的方法及装置
CN109271793B (zh) 物联网云平台设备类别识别方法及系统
DE102012109212B4 (de) Methoden, Vorrichtung und Herstellungsprodukte zur Bereitstellung von Firewalls für Prozesssteuerungssysteme
CN105282169A (zh) 基于SDN控制器阈值的DDoS攻击预警方法及其系统
US20070189178A1 (en) Method for determining the operations performed on packets by a network device
EP4012980A1 (en) Application identification method and apparatus, and storage medium
WO2015154484A1 (zh) 流量数据分类方法及装置
CN114041276A (zh) 屏蔽外部源地址的网络架构的安全策略实施和可见性
Acharya et al. Firewall verification and redundancy checking are equivalent
CN104917628B (zh) 一种以太网路由器/交换机丢包故障自动诊断方法
US11075950B2 (en) Generation of security policies for microsegmented computer networks
US20230261940A1 (en) Network Intention Monitoring Method, Network Intention Monitoring System, and Storage Medium
CN110677400B (zh) 一种局域网环境中主机和服务的攻击暴露面分析方法及系统
CN110519224B (zh) 一种虚拟化环境中智能生成网络防护策略的方法和设备
CN106453387A (zh) 基于Hicuts算法的安全策略冲突检测及消除方法
CN113965355B (zh) 一种基于soc的非法ip省内网络封堵方法及装置
CN105071991B (zh) 多个防火墙的ip连通性的测试方法
CN102945254B (zh) 在tb级海量审计数据中发现异常数据的方法
CN111698110A (zh) 一种网络设备性能分析方法、系统、设备及计算机介质
CN111447199A (zh) 服务器的风险分析方法、服务器的风险分析装置及介质

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20150624

RJ01 Rejection of invention patent application after publication