CN113746820A - 防火墙访问控制策略的检测方法及检测装置 - Google Patents
防火墙访问控制策略的检测方法及检测装置 Download PDFInfo
- Publication number
- CN113746820A CN113746820A CN202110974060.3A CN202110974060A CN113746820A CN 113746820 A CN113746820 A CN 113746820A CN 202110974060 A CN202110974060 A CN 202110974060A CN 113746820 A CN113746820 A CN 113746820A
- Authority
- CN
- China
- Prior art keywords
- access control
- detection
- policy
- control strategy
- firewall
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 118
- 238000011217 control strategy Methods 0.000 claims abstract description 147
- 230000009471 action Effects 0.000 claims abstract description 20
- 238000001914 filtration Methods 0.000 claims description 31
- 238000000034 method Methods 0.000 claims description 27
- 238000006243 chemical reaction Methods 0.000 claims description 16
- 238000004088 simulation Methods 0.000 abstract description 5
- 238000012423 maintenance Methods 0.000 description 12
- 238000010586 diagram Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 6
- 238000004364 calculation method Methods 0.000 description 5
- 238000012217 deletion Methods 0.000 description 4
- 230000037430 deletion Effects 0.000 description 4
- 230000009467 reduction Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- RJKFOVLPORLFTN-LEKSSAKUSA-N Progesterone Chemical compound C1CC2=CC(=O)CC[C@]2(C)[C@@H]2[C@@H]1[C@@H]1CC[C@H](C(=O)C)[C@@]1(C)CC2 RJKFOVLPORLFTN-LEKSSAKUSA-N 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出了一种防火墙访问控制策略的检测方法及检测装置,检测方法包括:获取防火墙访问控制策略,并转化为预设格式数据;根据访问控制策略的优先级,检测访问控制策略的预设检测信息;基于转化为预设格式数据后的访问控制策略,将访问控制策略中的地址和端口转换成区间数据;基于区间数据对访问控制策略进行分组,并基于访问控制策略的优先级和策略动作针对每一分组的访问控制策略进行冗余检测。本发明通过解析防火墙访问控制策略以及业务场景模拟,精确地计算出防火墙访问控制策略可能存在的一些问题,即是否存在冗余、隐藏、可合并、长链接、策略禁止、过期。从而可以根据检测结果进行优化访问控制策略表,减少防火墙负荷,提升防火墙性能。
Description
技术领域
本发明涉及防火墙技术领域,尤其涉及一种防火墙访问控制策略的检测方法及检测装置。
背景技术
随着现在网络科技的发展,信息网络技术的应用正日益广泛,应用层次深入,领域繁多,例如:学校、银行、企业等。那么公共通信网络传输的数据安全就脱离不开防火墙的保护。
由于业务繁多会部署大量的防火墙来保护业务安全,那么避免不了在各个墙上配置大量的访问控制策略,随着业务的变更也会去修改相应防火墙的访问控制策略。访问控制策略配置的日益繁多、错综复杂,长时间下来避免不了出差错造成网络安全隐患。
发明内容
本发明要解决的技术问题是如何合理优化防火墙的访问控制策略,本发明提出一种防火墙访问控制策略的检测方法及检测装置。
根据本发明实施例的防火墙访问控制策略的检测方法,包括:
获取防火墙访问控制策略,并转化为预设格式数据;
根据所述访问控制策略的优先级,检测所述访问控制策略的预设检测信息;
基于转化为预设格式数据后的所述访问控制策略,将所述访问控制策略中的地址和端口转换成区间数据;
基于所述区间数据对所述访问控制策略进行分组,并基于所述访问控制策略的优先级和策略动作针对每一分组的所述访问控制策略进行冗余检测。
根据本发明的一些实施例,所述检测方法还包括:
根据过滤条件对转换为预设格式后的所述访问控制策略进行检测过滤;
其中,所述过滤条件包括:禁止检测、过期检测、策略隐藏检测及可合并检测。
在本发明的一些实施例中,所述基于转化为预设格式数据后的所述访问控制策略,将所述访问控制策略中的地址和端口转换成区间数据,包括:
将转换成预设格式数据的所述访问控制策略中的地址和端口的对象进行解析还原,转换为对应的地址数值和端口数值;
将所述地址数值和所述端口数值转换为对应的区间数据。
根据本发明的一些实施例,所述基于所述区间数据对所述访问控制策略进行分组,包括:
将具有所述区间数据交集的所述访问控制策略分至同组。
在本发明的一些实施例中,所述基于所述访问控制策略的优先级和策略动作针对每一分组的所述访问控制策略进行冗余检测,包括:
基于同组内的所述访问控制策略的优先级、策略动作及所述区间数据,形成源区间和目的区间;
循环遍历同组内的每一条访问控制策略,将访问控制策略的源区间数据删除后,判断所述源区间是否发生变化,若未发生变化,则判定所述访问控制策略源冗余;
将访问控制策略的目的区间数据删除后,判断所述目的区间是否发生变化,若未发生变化,则判定所述访问控制策略为冗余策略。
根据本发明的一些实施例,将所述访问控制策略中的地址和端口转换成区间数据后,所述方法还包括:
对所述区间数据进行合并操作和删除操作。
在本发明的一些实施例中,对所述策略进行所述预设检测信息包括:长连接检测、描述信息检测。
根据本发明实施例的防火墙访问控制策略的检测装置,包括:
获取模块,用于获取防火墙访问控制策略,并转化为预设格式数据;
信息检测模块,用于根据所述访问控制策略的优先级,检测所述访问控制策略的预设检测信息;
转换模块,用于基于转化为预设格式数据后的所述访问控制策略,将所述访问控制策略中的地址和端口转换成区间数据;
冗余检测模块,用于基于所述区间数据对所述访问控制策略进行分组,并基于所述访问控制策略的优先级和策略动作针对每一分组的所述访问控制策略进行冗余检测。
根据本发明的一些实施例,所述检测装置还包括:
过滤模块,用于根据过滤条件对转换为预设格式后的所述访问控制策略进行检测过滤;
其中,所述过滤条件包括:禁止检测、过期检测、策略隐藏检测及可合并检测。
在本发明的一些实施例中,所述冗余检测模块具体用于:
基于同组内的所述访问控制策略的优先级、策略动作及所述区间数据,形成源区间和目的区间;
循环遍历同组内的每一条访问控制策略,将访问控制策略的源区间数据删除后,判断所述源区间是否发生变化,若未发生变化,则判定所述访问控制策略源冗余;
将访问控制策略的目的区间数据删除后,判断所述目的区间是否发生变化,若未发生变化,则判定所述访问控制策略为冗余策略。
本发明提出的防火墙访问控制策略的检测方法及检测装置具有如下有益效果:
本发明通过解析防火墙访问控制策略以及业务场景模拟,精确地计算出防火墙访问控制策略可能存在的一些问题,即是否存在冗余、隐藏、可合并、长链接、策略禁止、过期。从而可以根据检测结果进行优化访问控制策略表,减少防火墙负荷,提升防火墙性能。本发明结合实际防火墙使用场景,参照了防火墙包过滤技术原理通过对现有的访问控制策略进行分组检测,满足多种策略配置场景(例如:连续多段允许拒绝的访问控制策略业务配置),检测出来的策略结果更加精准,为网络安全运维提供了保障。
附图说明
图1为三条具有关联关系的访问控制策略配置示意图;
图2为根据本发明实施例的防火墙访问控制策略的检测方法流程图;
图3为根据本发明实施例的防火墙访问控制策略的检测方法流程图;
图4为根据本发明实施例的防火墙访问控制策略转换为JSON数据格式示意图;
图5为根据本发明实施例的不同关系下区间删除示意图;
图6为根据本发明实施例的访问控制策略分组示意图;
图7为根据本发明实施例的源区间和目的区间生成示意图;
图8为根据本发明实施例的防火墙访问控制策略的检测装置示意图。
附图标记:
检测装置100,
获取模块10,信息检测模块20,转换模块30,冗余检测模块40,过滤模块50。
具体实施方式
为更进一步阐述本发明为达成预定目的所采取的技术手段及功效,以下结合附图及较佳实施例,对本发明进行详细说明如后。
本发明中说明书中对方法流程的描述及本发明说明书附图中流程图的步骤并非必须按步骤标号严格执行,方法步骤是可以改变执行顺序的。而且,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
现有技术中,采用如下技术手段识别和处理冗余和可合并的安全策略:
获取安全策略组,该安全策略组包括至少两个安全策略,且该安全策略组中的各个安全策略的优先级不同;从安全策略组中剔除满足不可用策略的检测条件的安全策略,得到目标安全策略组;根据目标安全策略组中的每个安全策略的五元组信息,判断任意两个安全策略是否属于包含关系或可合并关系;若属于包含关系则根据两个安全策略的优先级识别两个安全策略中的冗余策略;若属于可合并关系则对两个安全策略进行合并处理。从而在不依赖防火墙等安全设备情况下有效地识别出冗余的安全策略。
上述技术手段中存在如下缺陷:
1、真实业务场景覆盖不全面。
现有的技术方案虽然可以检测出访问控制策略冗余,但是由于实际业务场景比较复杂,现有的技术无法全部覆盖所有业务场景,检测出来的结果有误判现象。
实际业务场景运维人员去配置网段范围的访问控制策略,倾向于包含冗余的方式。例如:放行1.1.1.1-2.2.2.2、3.3.3.3-4.4.4.4范围的策略,其余策略禁止。涉及到这种段范围的地址,运维人员不会实际去算具体的地址。那么直接配置策略为:2.2.2.2-3.3.3.3禁止,1.1.1.1-4.4.4.4允许,此时这俩条策略包含交集关系,根据上述技术方案进行检测,1.1.1.1-4.4.4.4包含2.2.2.2-3.3.3.3,然后根据优先级不同,则会识别出1.1.1.1-4.4.4.4为冗余策略,那么此时就产生了误判。如果相应的运维人员根据检测出来的报告进行修复删除冗余策略,此时会造成网络安全隐患(例如:公司涉密财产网络权限被允许访问)。
运维人员采用这种看似冗余的配置方式实际上可以有效减少防火墙访问控制策略配置条数(如上述放行1.1.1.1-2.2.2.2、3.3.3.3-4.4.4.4范围,其余范围禁止的策略,普通的配置方式在不冗余的情况下要五条策略,而实际配置两条,甚至复用原有策略只需一条即可),间接性的降低了防火墙的负荷,是一种合理的配置方式。更复杂的业务场景还有多条。如图1给出了三条的配置关联关系,实际网络业务复杂时可以出现N条配置。
而且现有技术的实现方案针对策略冗余策略的检测太过于笼统,具有包含关系策略则判定为冗余。
实际上可以划分隐藏和冗余两种关系。其中,隐藏在实际访问控制策略列表判定的条件是优先级高的策略完全包含优先级低的策略,此时只有优先级高的策略才会生效,优先级低的策略永远不会被匹配生效,且运维人员可以直接删除优先级低的策略,而不会对现有网络业务造成任何安全隐患。
2、规则覆盖不全面。
现有技术的技术方案只能识别检测到防火墙访问控制策略是否冗余、可合并。无法覆盖更多的规则,例如:长链接、描述信息、隐藏策略、过期策略、禁止策略。
为了解决现有访问控制策略检测技术容易对实际业务场景的策略配置出现误判,影响运维人员优化访问控制策略造成网络安全隐患,便于管理和维护防火墙访问控制策略,本发明提出一种防火墙访问控制策略的检测方法及检测装置,以帮助运维人员去检测防火墙访问控制策略是否处于健康状态,即:是否存在冗余、隐藏、可合并、是否长连接、策略过期、策略禁用,从而提醒运维人员能够及时修改相应的访问控制策略,避免造成网络安全隐患。
如图2和图3所示,根据本发明实施例的防火墙访问控制策略的检测方法,包括:
S100,获取防火墙访问控制策略,并转化为预设格式数据;
例如,可以采集获取防火墙访问控制策略配置到集中管理平台,需要说明的是,本发明接收访问控制策略配置并非仅限于集中管理平台,也可以是接收防火墙访问控制策略配置的任意存储介质,只要保证后续处理程序有数据可以读取使用即可。
在获取访问控制策略后,将访问控制策略转换为预设格式数据,例如,如图4所示,可以将获取的访问控制策略转换为JSON数据。
S200,根据访问控制策略的优先级,检测访问控制策略的预设检测信息;
访问控制策略的优先级可以通过防火墙策略配置表获取,在策略配置表中靠上位置的访问控制策略的优先级更高。在本发明的一些实施例中,对策略进行预设检测信息包括:长连接检测、描述信息检测。
其中,长链接:表示该访问控制策略开启了长链接(长链接会比较消耗防火墙性能)。
描述信息:表示访问控制策略没有添加任何描述信息,防火墙配置的访问控制策略比较多时,业务繁杂。若没有描述信息,当出现业务问题或者运维管理人员更迭时,会导致无法快速解决问题出现安全隐患。
S300,基于转化为预设格式数据后的访问控制策略,将访问控制策略中的地址和端口转换成区间数据;
转换方法如下:
S310,将转换成预设格式数据的访问控制策略中的地址(源地址、目的地址)和端口(源端口、目的端口)的对象进行解析还原,转换为对应的地址数值和端口数值;
S311,地址还原:
防火墙针对访问控制策略实现都是以对象形式表现,其中每一条对象的引用都代表着不同的地址。其引用的对象可以通过查询对象表还原其真实的引用地址。例如访问控制策略引用了一条名为src_demo的地址对象,其对应地址为1.1.1.1。那么经过还原就去掉src_demo,直接引用1.1.1.1。对应图4中访问控制策略为:
{
"cmd_name":"firewall_policy_add",
"src":"1.1.1.1",
"srcport":"sport_demo",
"dst":"2.2.2.2",
dstport:"dport_demo",
action:"accept,
}
S312,端口还原:
同地址还原原理一样,亦将其对象还原成真实的端口。通常端口范围0~65535的范围。
S320,将地址数值和端口数值转换为对应的区间数据。
在S310步骤中,将防火墙访问控制策略都还原到了真实的表现形式,即地址1.1.1.1,端口0~65535。随后可以将其转换成区间数据,由于端口已经是数字表现形式不需要特殊处理,直接将其转换成区间即可,例如端口25对应区间为[25,25],25~26端口转换为[25,26]。
对于地址对象的区间转换,首先将网络地址转换为数字,IP地址分为IPv4和IPv6,都可以通过数据转换得到一个唯一的long整型数据。例如:IPv4地址一般是32位的二进制数据,被分隔为4个8位二进制数,每个代表的就是小于2的8次方,转换为点分十进制表示后为a.b.c.d,其中abcd都是0~255之间的十进制数据。那么对其进行a*256*256*256+b*256*256+c*256+d计算就可以得出一个唯一的long整型数据x。那么x所表示的区间为[x,x]。同理范围地址、CIDR地址都可以通过上述表达式转换得出所要的区间。
根据本发明的一些实施例,将访问控制策略中的地址和端口转换成区间数据后,方法还包括:对区间数据进行合并操作和删除操作。
S400,基于区间数据对访问控制策略进行分组,并基于访问控制策略的优先级和策略动作针对每一分组的访问控制策略进行冗余检测。
其中,如图6所示,基于区间数据对访问控制策略进行分组,包括:将具有区间数据交集的访问控制策略分至同组。
例如,假设访问控制策略A:源地址(1,3),目的地址(4,6);
访问控制策略B:源地址(1,1),目的地址(4,4);
即访问控制策略A和访问控制策略B源地址和目的地址都存在交集的情况下,访问控制策略A和访问控制策略B可以划分为一组。通过分组可以将存在关系的访问控制策策略划分为一组,结合实际业务场景可以理解为:如果防火墙进行数据包过滤匹配时,现有防火墙访问控制策略哪些会对该数据包进行命中产生决策。
在本发明的一些实施例中,步骤S400中,基于所述访问控制策略的优先级和策略动作针对每一分组的访问控制策略进行冗余检测,包括:
S410,基于同组内的访问控制策略的优先级、策略动作及区间数据,形成源区间和目的区间;
S420,循环遍历同组内的每一条访问控制策略,将访问控制策略的源区间数据删除后,判断源区间是否发生变化,若未发生变化,则判定访问控制策略源冗余;
S430,将访问控制策略的目的区间数据删除后,判断目的区间是否发生变化,若未发生变化,则判定访问控制策略为冗余策略。
例如,同组内的按优先级高低排列的A(1-6)允许、B(1-10)拒绝、C(1-20)允许的三个访问控制策略,此时根据策略优先级和策略动作计算得到的源区间为:(1,6)允许、(6,10)拒绝、(10,20)允许。其中,“允许”和“拒绝”为策略动作。
源区间检测:逐条将策略去除后进行计算,例如去除访问控制策略A(1-6)允许,通过进行整体计算后得到:(1,10)拒绝、(10,20)允许,可见计算结果发生了改变,则访问控制策略A为非冗余策略,继续进行检测下一条。
在源区间检测完成后,进行目的区间检测,检测方法同源区间一致,在此不再赘述。
只有源区间、目的区间检测结果都标识该访问控制策略去除后结果不发生改变,说明该访问控制策略为冗余。
例如:同组优先级高低依次为策略C(1-6)允许、策略D(1-10)允许的两个访问控制策略,去掉访问控制策略C,结果不发生改变,即访问控制策略C为冗余策略。
根据本发明的一些实施例,如图2所示,检测方法还包括:根据过滤条件对转换为预设格式后的访问控制策略进行检测过滤;
其中,过滤条件包括:禁止检测、过期检测、策略隐藏检测及可合并检测。
禁止检测:表示该访问控制策略配置是否处于生效状态,不生效即可删除。
过期检测:表示该访问控制策略配置是否处于过期状态,即该访问控制策略配置已脱离有效期,可以删除。
策略隐藏:该访问控制策略被优先级高的策略完全包含,即在防火墙进行流量数据包过滤检测时永远不会被匹配。
策略可合并:该访问控制策略和优先级高的策略可以进行合并,合并原则为:在策略动作一致的情况下,该策略和其它策略对应只有一项配置完全不同时,表示这俩条策略可以合并,例如:a:1-2,b:1-3则a、b可以合并为1-23。
如图8所示,根据本发明实施例的防火墙访问控制策略的检测装置100,包括:获取模块10、信息检测模块20、转换模块30和冗余检测模块40。
其中,获取模块10用于获取防火墙访问控制策略,并转化为预设格式数据;
信息检测模块20用于根据访问控制策略的优先级,检测访问控制策略的预设检测信息;
转换模块30用于基于转化为预设格式数据后的访问控制策略,将访问控制策略中的地址和端口转换成区间数据;
冗余检测模块40用于基于区间数据对访问控制策略进行分组,并基于访问控制策略的优先级和策略动作针对每一分组的访问控制策略进行冗余检测。
根据本发明的一些实施例,检测装置100还包括:过滤模块50,用于根据过滤条件对转换为预设格式后的访问控制策略进行检测过滤;
其中,过滤条件包括:禁止检测、过期检测、策略隐藏检测及可合并检测。
在本发明的一些实施例中,冗余检测模块40具体用于:
基于同组内的访问控制策略的优先级、策略动作及区间数据,形成源区间和目的区间;
循环遍历同组内的每一条访问控制策略,将访问控制策略的源区间数据删除后,判断源区间是否发生变化,若未发生变化,则判定访问控制策略源冗余;
将访问控制策略的目的区间数据删除后,判断目的区间是否发生变化,若未发生变化,则判定访问控制策略为冗余策略。
本发明提出的防火墙访问控制策略的检测方法及检测装置100具有如下有益效果:
本发明通过解析防火墙访问控制策略以及业务场景模拟,精确地计算出防火墙访问控制策略可能存在的一些问题,即是否存在冗余、隐藏、可合并、长链接、策略禁止、过期。从而可以根据检测结果进行优化访问控制策略表,减少防火墙负荷,提升防火墙性能。本发明结合实际防火墙使用场景,参照了防火墙包过滤技术原理通过对现有的访问控制策略进行分组检测,满足多种策略配置场景(例如:连续多段允许拒绝的访问控制策略业务配置),检测出来的策略结果更加精准,为网络安全运维提供了保障。
下面参照附图详细描述根据本发明的防火墙访问控制策略的检测方法及检测装置100。值得理解的是,下述描述仅是示例性描述,而不应理解为对本发明的具体限制。
针对现有技术的不足,本发明提出了一种更加精准、规则覆盖更全面、更贴合实际业务场景的检测手段。检测方法是一种基于第三方管理平台实现全场景检测防火墙访问控制策略健康状态的一种方法。通过采集防火墙访问控制策略进行解析,识别出策略是否存在长链接、描述信息为空的情况。然后过滤计算当前的访问控制策略是否存在过期、禁止、隐藏的策略问题,最后根据过滤后的结果进行策略分组,针对每一组访问控制策略进行场景模拟计算得出访问控制策略是否存在冗余的情况。
具体地,如图2和图3所示,为本发明的对防火墙访问控制策略检测方法流程图,方法包括:
A100,采集获取防火墙访问控制策略配置到集中管理平台,需要说明的是,本发明接收访问控制策略配置并非仅限于集中管理平台,也可以是接收防火墙访问控制策略配置的任意存储介质,只要保证后续处理程序有数据可以读取使用即可。
A200,对A100采集的防火墙访问控制策略配置进行解析成区间的形式,具体解析规则如下:
A210,将访问控制策略配置JSON格式化。
图4中展示的就是一条具体的防火墙访问控制策略配置字符串,括弧内部分是进行转换后所得到的JSON数据。不同的厂商不同的平台配置内容表现不同,但是都是基于五元组所制定,JSON是一种比较通用的数据格式,JSON数据格式的转换为本领域成熟技术,转换过程在此不再赘述。
A220,数据预处理对包含地址(源地址、目的地址)、端口(源端口、目的端口)的对象进行解析还原,形成区间。
A230,数据合并。
A231,区间转换:
在A220步骤中,将防火墙访问控制策略都还原到了真实的表现形式,即地址1.1.1.1,端口0~65535。随后可以将其转换成区间,由于端口已经是数字表现形式不需要特殊处理,直接将其转换成区间即可,例如端口25对应区间为[25,25],25~26端口转换为[25,26]。
对于地址对象的区间转换,首先将网络地址转换为数字,IP地址分为IPv4和IPv6,都可以通过数据转换得到一个唯一的long整型数据。例如:IPv4地址一般是32位的二进制数据,被分隔为4个8位二进制数,每个代表的就是小于2的8次方,转换为点分十进制表示后为a.b.c.d,其中abcd都是0~255之间的十进制数据。那么对其进行a*256*256*256+b*256*256+c*256+d计算就可以得出一个唯一的long整型数据x。那么x所表示的区间为[x,x]。同理范围地址、CIDR地址都可以通过上述表达式转换得出所要的区间。
A232,区间合并:
通过步骤A231将访问控制策略引用的地址和端口都转换成了区间,真实的访问控制策略通常引用的地址、端口对象不止一条,根据业务的不同涉及到几十甚至成百上千。将其转换成区间以后就可以通过区间合并的手段将具有交集、相等的区间进行合并。例如:[1,5]和[4,8]进行区间合并所得[1,8]。
A233,区间删除:
访问控制策略配置,避免不了在配置一段范围内允许、或者禁止时,有些地址是可以排除的。通过区间的手段找规律,将排除地址进行过滤。基本方法是:考虑拿到的被删除的区间可能是无序的,首先排除没有规律,不在删除范围内的区间(被删除的区间最小边界大于待删除区间的最大边界),对于此情况直接忽略,不进行任何处理。在区间范围内的,可以划分为左边包含、中间包含、右边包含三者关系,分别对三者关系进行分析处理即可。
假设:a1,a2,b1,b2俩区间,[a1,a2]为待删除区间,[b1,b2]为被删除区间,即:[a1,a2]–[b1,b2],结合图5所示,三种不同包含关系区间删除后的结果为:
左边包含:[b2,a2];
中间包含:[a1,b1]、[b2,a2];
右边包含:[a1,b1]。
A300,通过步骤A200解析后的访问控制策略配置,根据其优先级关系(访问控制策略表配置处于最上方优先级最高,即对防火墙而言优先生效)对访问控制配置表的每一条配置进行一些基本信息检测,包含长链接检测、描述信息检测。
A400,检测过滤。
A410,通过步骤A200解析后的访问控制策略配置,根据其优先级关系对访问控制配置表的每一条配置进行禁止检测、过期检测、策略隐藏、策略可合并检测。
A420,对步骤A410检测出来的策略,进行过滤,因为其规则的特殊性不会影响到后续的规则检测,去除可以提高检测效率。
A500,通过步骤A200将访问控制策略所有的地址、端口进行了区间转换,通过步骤A400预处理了一部分非冗余策略,减少了不相干的策略冗余匹配,大大提升了效率。在此基础上通过区间范围来进行分组,例如:
假设策略A:源地址(1,3)目的地址(4,6);
策略B:源地址(1,1)目的地址(4,4);
即策略A和策略B源地址和目的地址都存在交集的情况下,策略A和策略B可以划分为一组。通过分组可以将存在关系的策略划分为一组,结合实际业务场景可以理解为:如果防火墙进行数据包过滤匹配时,现有防火墙访问控制策略哪些会对该数据包进行命中产生决策。
A600,冗余策略检测。
根据分组好的策略,对每一组策略进行冗余检测。
将每一组内访问控制策略源、目的分别转换为俩组区间(步骤A500进行了策略分组,每一组内策略都是结合实际业务场景分配形成的),即源区间A,目的区间B。先检测源区间A,循环遍历该策略组的每一条配置源x,将x从源区间A剔除,由于源区间A是该组内所有策略源的集合,此时减少x后,进行检测源区间A是否发生变化,如果未发生变化即表示该条配置源已冗余。同样的手段此时进行目的区间B检测,如果该条配置的目的在区间B也未发生变化,即该策略为冗余策略(增加区间变换计算,保障了检测出来的策略配置结果准确性)。
如6和图7所示,对策略组1内的策略进行冗余检测时,得到源A、目的B两个大区间集,此时检测配置1,配置1去除以后并不会到源A、目的B发生任何影响,故该策略为冗余策略。
由此,通过以上步骤A300、A400、A600进行结果汇总,可以得到访问控制策略检测结果,即采集上来的防火墙访问控制策略是否存在冗余、隐藏、可合并等一系列优化建议。
综上所述,本发明通过解析防火墙访问控制策略以及业务场景模拟,精确地计算出防火墙访问控制策略可能存在的一些问题,即是否存在冗余、隐藏、可合并、长链接、策略禁止、过期。从而可以根据检测结果进行优化访问控制策略表,减少防火墙负荷,提升防火墙性能。
本发明结合实际防火墙使用场景,参照了防火墙包过滤技术原理通过对现有的访问控制策略进行分组检测,满足多种策略配置场景(例如:连续多段允许拒绝的访问控制策略业务配置),检测出来的策略结果更加精准,为网络安全运维提供了保障。
通过具体实施方式的说明,应当可对本发明为达成预定目的所采取的技术手段及功效得以更加深入且具体的了解,然而所附图示仅是提供参考与说明之用,并非用来对本发明加以限制。
Claims (10)
1.一种防火墙访问控制策略的检测方法,其特征在于,包括:
获取防火墙访问控制策略,并转化为预设格式数据;
根据所述访问控制策略的优先级,检测所述访问控制策略的预设检测信息;
基于转化为预设格式数据后的所述访问控制策略,将所述访问控制策略中的地址和端口转换成区间数据;
基于所述区间数据对所述访问控制策略进行分组,并基于所述访问控制策略的优先级和策略动作针对每一分组的所述访问控制策略进行冗余检测。
2.根据权利要求1所述的防火墙访问控制策略的检测方法,其特征在于,所述检测方法还包括:
根据过滤条件对转换为预设格式后的所述访问控制策略进行检测过滤;
其中,所述过滤条件包括:禁止检测、过期检测、策略隐藏检测及可合并检测。
3.根据权利要求1所述的防火墙访问控制策略的检测方法,其特征在于,所述基于转化为预设格式数据后的所述访问控制策略,将所述访问控制策略中的地址和端口转换成区间数据,包括:
将转换成预设格式数据的所述访问控制策略中的地址和端口的对象进行解析还原,转换为对应的地址数值和端口数值;
将所述地址数值和所述端口数值转换为对应的区间数据。
4.根据权利要求1所述的防火墙访问控制策略的检测方法,其特征在于,所述基于所述区间数据对所述访问控制策略进行分组,包括:
将具有所述区间数据交集的所述访问控制策略分至同组。
5.根据权利要求1所述的防火墙访问控制策略的检测方法,其特征在于,所述基于所述访问控制策略的优先级和策略动作针对每一分组的所述访问控制策略进行冗余检测,包括:
基于同组内的所述访问控制策略的优先级、策略动作及所述区间数据,形成源区间和目的区间;
循环遍历同组内的每一条访问控制策略,将访问控制策略的源区间数据删除后,判断所述源区间是否发生变化,若未发生变化,则判定所述访问控制策略源冗余;
将访问控制策略的目的区间数据删除后,判断所述目的区间是否发生变化,若未发生变化,则判定所述访问控制策略为冗余策略。
6.根据权利要求1所述的防火墙访问控制策略的检测方法,其特征在于,将所述访问控制策略中的地址和端口转换成区间数据后,所述方法还包括:
对所述区间数据进行合并操作和删除操作。
7.根据权利要求1所述的防火墙访问控制策略的检测方法,其特征在于,对所述策略进行所述预设检测信息包括:长连接检测、描述信息检测。
8.一种防火墙访问控制策略的检测装置,其特征在于,包括:
获取模块,用于获取防火墙访问控制策略,并转化为预设格式数据;
信息检测模块,用于根据所述访问控制策略的优先级,检测所述访问控制策略的预设检测信息;
转换模块,用于基于转化为预设格式数据后的所述访问控制策略,将所述访问控制策略中的地址和端口转换成区间数据;
冗余检测模块,用于基于所述区间数据对所述访问控制策略进行分组,并基于所述访问控制策略的优先级和策略动作针对每一分组的所述访问控制策略进行冗余检测。
9.根据权利要求8所述的防火墙访问控制策略的检测装置,其特征在于,所述检测装置还包括:
过滤模块,用于根据过滤条件对转换为预设格式后的所述访问控制策略进行检测过滤;
其中,所述过滤条件包括:禁止检测、过期检测、策略隐藏检测及可合并检测。
10.根据权利要求8所述的防火墙访问控制策略的检测装置,其特征在于,所述冗余检测模块具体用于:
基于同组内的所述访问控制策略的优先级、策略动作及所述区间数据,形成源区间和目的区间;
循环遍历同组内的每一条访问控制策略,将访问控制策略的源区间数据删除后,判断所述源区间是否发生变化,若未发生变化,则判定所述访问控制策略源冗余;
将访问控制策略的目的区间数据删除后,判断所述目的区间是否发生变化,若未发生变化,则判定所述访问控制策略为冗余策略。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110974060.3A CN113746820A (zh) | 2021-08-24 | 2021-08-24 | 防火墙访问控制策略的检测方法及检测装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110974060.3A CN113746820A (zh) | 2021-08-24 | 2021-08-24 | 防火墙访问控制策略的检测方法及检测装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113746820A true CN113746820A (zh) | 2021-12-03 |
Family
ID=78732579
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110974060.3A Pending CN113746820A (zh) | 2021-08-24 | 2021-08-24 | 防火墙访问控制策略的检测方法及检测装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113746820A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114553687A (zh) * | 2022-02-28 | 2022-05-27 | 中国工商银行股份有限公司 | 一种网络资产配置信息处理方法及装置 |
CN115225396A (zh) * | 2022-07-22 | 2022-10-21 | 中国工商银行股份有限公司 | 访问请求的审核方法、装置、存储介质以及电子设备 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100199344A1 (en) * | 2009-02-02 | 2010-08-05 | Telcordia Technologies, Inc. | Redundancy detection and resolution and partial order dependency quantification in access control lists |
CN112788059A (zh) * | 2021-01-28 | 2021-05-11 | 新华三信息安全技术有限公司 | 一种策略识别方法及装置 |
-
2021
- 2021-08-24 CN CN202110974060.3A patent/CN113746820A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100199344A1 (en) * | 2009-02-02 | 2010-08-05 | Telcordia Technologies, Inc. | Redundancy detection and resolution and partial order dependency quantification in access control lists |
CN112788059A (zh) * | 2021-01-28 | 2021-05-11 | 新华三信息安全技术有限公司 | 一种策略识别方法及装置 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114553687A (zh) * | 2022-02-28 | 2022-05-27 | 中国工商银行股份有限公司 | 一种网络资产配置信息处理方法及装置 |
CN114553687B (zh) * | 2022-02-28 | 2024-02-13 | 中国工商银行股份有限公司 | 一种网络资产配置信息处理方法及装置 |
CN115225396A (zh) * | 2022-07-22 | 2022-10-21 | 中国工商银行股份有限公司 | 访问请求的审核方法、装置、存储介质以及电子设备 |
CN115225396B (zh) * | 2022-07-22 | 2024-03-08 | 中国工商银行股份有限公司 | 访问请求的审核方法、装置、存储介质以及电子设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110535855B (zh) | 一种网络事件监测分析方法和系统、信息数据处理终端 | |
CN113746820A (zh) | 防火墙访问控制策略的检测方法及检测装置 | |
CN111431939B (zh) | 基于cti的sdn恶意流量防御方法 | |
EP1418484A2 (en) | Event sequence detection | |
CN107733834B (zh) | 一种数据泄露防护方法及装置 | |
CN111259204A (zh) | 基于图算法的apt检测关联分析方法 | |
CN114584405A (zh) | 一种电力终端安全防护方法及系统 | |
EP3623983A1 (en) | Method and device for identifying security threats, storage medium, processor and terminal | |
CN106452955A (zh) | 一种异常网络连接的检测方法及系统 | |
CN115883236A (zh) | 电网智能终端协同攻击监测系统 | |
KR101951208B1 (ko) | 방화벽에이전트를 이용해 네트워크 트래픽을 감시하는 방화벽 시스템 | |
CN113810362A (zh) | 一种安全风险检测处置系统及其方法 | |
CN111935099A (zh) | 一种基于深度降噪自编码网络的恶意域名检测方法 | |
KR102206296B1 (ko) | 보안관제 학습데이터 레이블링시스템 및 그 방법 | |
CN117544386A (zh) | 基于深度学习的安全事件处理的方法和系统 | |
CN116956148A (zh) | 一种电力系统数据交互安全威胁信息分析方法 | |
CN114205146B (zh) | 一种多源异构安全日志的处理方法及装置 | |
CN112887316B (zh) | 一种基于分类的访问控制列表冲突检测系统及方法 | |
CN111901138B (zh) | 一种工业网络非法接入的可视化审计方法 | |
CN113792076A (zh) | 一种数据审计系统 | |
CN111447168B (zh) | 一种多维的网络安全预测方法 | |
CN114997804A (zh) | 复杂配电网信息物理系统运行状态协同感知方法和系统 | |
CN112637118A (zh) | 基于内外网引流异常的流量分析实现方法 | |
CN116991680B (zh) | 一种日志降噪方法及电子设备 | |
CN112800437B (zh) | 信息安全风险评价系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20211203 |