CN115242520A - 一种安全策略验证方法、装置,安全网关及存储介质 - Google Patents
一种安全策略验证方法、装置,安全网关及存储介质 Download PDFInfo
- Publication number
- CN115242520A CN115242520A CN202210879909.3A CN202210879909A CN115242520A CN 115242520 A CN115242520 A CN 115242520A CN 202210879909 A CN202210879909 A CN 202210879909A CN 115242520 A CN115242520 A CN 115242520A
- Authority
- CN
- China
- Prior art keywords
- security policy
- test
- security
- verified
- constructing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种安全策略验证方法、装置,安全网关及存储介质。该方法包括:基于待验证安全策略,构造测试报文,并模拟所述测试报文的输入;其中,所述待验证安全策略为预设的安全策略表中的一项安全策略;所述安全策略表中的安全策略根据优先级顺序依次排列;接收所述测试报文,并与所述安全策略表中的安全策略进行匹配,得到安全策略验证结果;其中,当所述测试报文命中所述待验证安全策略时,则所述安全策略验证结果为符合预期。通过该方式可以实现对安全策略的有效性的验证,以便管理员对安全策略合理地添加,进而保证安全策略后续实施过程中的有效性。
Description
技术领域
本申请涉及网络通信技术领域,具体而言,涉及一种安全策略验证方法、装置,安全网关及存储介质。
背景技术
安全策略是网络安全设备的基本功能,控制安全域间/不同地址段间的流量转发。安全策略决定从一个(多个)安全域到另一个(多个)安全域/从一个地址段到另一个地址段的哪些流量该被允许,哪些流量该被拒绝。安全网关能够识别出流量的源地址、目的地址、源安全域、目的安全域等属性,并将这些属性与安全策略的条件进行匹配。如果所有条件都匹配,则此流量成功匹配安全策略。流量匹配安全策略后,设备将会执行安全策略的动作:允许或拒绝。如果动作为“允许”,则放行流量,如果动作为“禁止”,则禁止流量通过。
然而,发明人在实践中发现,当安全网关策略数量非常多,且管理员无法准确掌握策略之间关系的情况下,当管理员需要新增策略时,无法保证新增的策略能够准确无误地进行访问控制。
发明内容
本申请实施例的目的在于提供一种安全策略验证方法、装置,安全网关及存储介质,以对安全策略进行验证,进而便于管理员判断策略的有效性,实现对安全策略合理的添加。
本发明是这样实现的:
第一方面,本申请实施例提供一种安全策略验证方法,应用于安全网关,所述方法包括:基于待验证安全策略,构造测试报文,并模拟所述测试报文的输入;其中,所述待验证安全策略为预设的安全策略表中的一项安全策略;所述安全策略表中的安全策略根据优先级顺序依次排列;接收所述测试报文,并与所述安全策略表中的安全策略进行匹配,得到安全策略验证结果;其中,当所述测试报文命中所述待验证安全策略时,则所述安全策略验证结果为符合预期。
在本申请实施例中,安全网关会先根据待验证安全策略,构造测试报文,然后利用构造的测试报文进行安全策略的验证,即,通过测试报文确定是否成功命中待验证安全策略,通过该方式可以实现对安全策略的有效性的验证,以便管理员对安全策略合理地添加,进而保证安全策略后续实施过程中的有效性。
结合上述第一方面提供的技术方案,在一些可能的实现方式中,所述基于待验证安全策略,构造测试报文,并模拟所述测试报文的输入,包括:基于待验证安全策略,构造多个测试用例;依次读取多个所述测试用例,并构造与每个所述测试用例对应的测试报文,模拟所有所述测试报文的输入。
在本申请实施例中,通过构造测试用例,以便于构造多个测试报文,通过更多的测试数据,以提高验证的准确性,避免误判。
结合上述第一方面提供的技术方案,在一些可能的实现方式中,所述基于待验证安全策略,构造多个测试用例,包括:确定所述待验证安全策略的匹配维度;将每个所述匹配维度划分等价类,并从每个所述等价类中选取测试值;将每个所述匹配维度的测试值进行交叉组合,构造多个所述测试用例。
在本申请实施例中,在构造测试用例时,首先将每个匹配维度划分等价类,并从每个等价类中选取测试值,最后基于测试值之间的交叉组合,以形成多个测试用例,通过该方式,能够在使用较少的数据量的同时,保证较高的验证的准确性。
结合上述第一方面提供的技术方案,在一些可能的实现方式中,所述基于待验证安全策略,构造多个测试用例,包括:确定所述待验证安全策略的匹配维度;获取每个所述匹配维度中的所有测试值;将每个所述匹配维度的测试值进行交叉组合,构造多个所述测试用例。
在本申请实施例中,在构造测试用例时,通过每个匹配维度中的所有测试值之间的交叉组合来构造测试用例,即,通过穷尽所有测试值的组合方式得到测试用例,可以百分之百验证策略的有效性,为管理员提供最绝对的验证数据。
结合上述第一方面提供的技术方案,在一些可能的实现方式中,所述基于待验证安全策略,构造多个测试用例,包括:确定所述待验证安全策略的匹配维度;从每个所述匹配维度中随机确定出测试值;基于每个所述匹配维度的测试值,构造多个所述测试用例。
在本申请实施例中,通过随机确定出的测试值来构造测试用例,能够减少测试时的数据量。
结合上述第一方面提供的技术方案,在一些可能的实现方式中,所述测试报文包括预设标记;在所述得到安全策略验证结果之后,所述方法还包括:将包含所述预设标记的报文进行丢弃。
由于测试报文仅仅是用于对安全策略的验证,因此,为了避免测试报文对正常的流量报文的传输的影响,本申请实施例中,对测试报文进行标记,进而使得安全网关能够确定出哪些报文是正常流量报文、哪些报文是测试报文,从而在测试报文验证之后,进行丢弃,保证安全网关能够稳定的运行。
结合上述第一方面提供的技术方案,在一些可能的实现方式中,所述模拟所述测试报文的输入,包括:基于预设的虚拟接口,模拟所述测试报文的输入。
在本申请实施例中,通过预设的虚拟接口,以便于模拟测试报文输入。
第二方面,本申请实施例提供一种安全策略验证装置,应用于安全网关,所述装置包括:处理模块,用于基于待验证安全策略,构造测试报文,并模拟所述测试报文的输入;其中,所述待验证安全策略为预设的安全策略表中的一项安全策略;所述安全策略表中的安全策略根据优先级顺序依次排列;验证模块,用于接收所述测试报文,并与所述安全策略表中的安全策略进行匹配,得到安全策略验证结果;其中,当所述测试报文命中所述待验证安全策略时,则所述安全策略验证结果为符合预期。
第三方面,本申请实施例提供一种安全网关,包括:处理器和存储器,所述处理器和所述存储器连接;所述存储器用于存储程序;所述处理器用于调用存储在所述存储器中的程序,执行如上述第一方面实施例和/或结合上述第一方面实施例的一些可能的实现方式提供的方法。
第四方面,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序在被处理器运行时执行如上述第一方面实施例和/或结合上述第一方面实施例的一些可能的实现方式提供的方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为现有技术中的一种网络拓扑示意图。
图2为本申请实施例提供的一种安全网关的模块框图。
图3为本申请实施例提供的一种安全策略验证方法的步骤流程图。
图4为本申请实施例提供的一种安全策略验证装置的模块框图。
图标:100-安全网关;110-处理器;120-存储器;200-安全策略验证装置;20-处理模块;201-测试用例构造模块;202-发包模块;30-验证模块;40-统计分析模块。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
首先对安全策略进行说明,安全策略是网络安全设备的基本功能,控制安全域间/不同地址段间的流量转发。安全策略决定从一个(多个)安全域到另一个(多个)安全域/从一个地址段到另一个地址段的哪些流量该被允许,哪些流量该被拒绝。安全网关(网络安全设备)能够识别出流量的源地址、目的地址、源安全域、目的安全域等属性,并将这些属性与安全策略的条件进行匹配。如果所有条件都匹配,则此流量成功匹配安全策略。流量匹配安全策略后,设备将会执行安全策略的动作:允许或拒绝。如果动作为“允许”,则放行流量,如果动作为“禁止”,则禁止流量通过。
请参阅图1,图1示出了公司A的网络拓扑,其分为服务器区(DMZ zone)、员工办公区(Trust zone,即信任区)和连接互联网的不信任区(Untrust zone)。假设公司A部署的安全网关需要通过安全策略实现如下访问权限控制的需求:
1.允许公司内网访问互联网。
2.禁止从互联网访问公司内网。
3.允许员工办公区访问服务器,但除了研发人员外,都不允许访问代码服务器。
基于上述需要,管理员在安全网关中配置的安全策略表如表一所示。
表一
表一中,安全策略1被配置为Trust安全域中的所有流量均允许访问Untrust安全域。安全策略2被配置为Untrust安全域中的所有流量均禁止访问Trust安全域和DMZ安全域。安全策略3被配置为DMZ安全域中的所有流量均允许访问Untrust安全域。安全策略4被配置为Trust安全域中的研发人员的主机IP的流量允许访问DMZ安全域中的代码服务器(即10.100.1.1至10.10.1.10这十台)。安全策略5被配置Trust安全域中的所有流量禁止访问DMZ安全域中的代码服务器。安全策略6被配置为允许Trust安全域中的所有流量允许访问DMZ安全域。表一中,Any表示任意,服务表示端口和/或协议类型。
需要说明的是,安全策略表中的安全策略根据优先级顺序依次排列,即,流量从上到下匹配策略,命中一条策略后,停止匹配。因此,通过安全网关中配置的上述安全策略表(表一)则能够满足公司A访问权限控制需求。
以上即为安全策略的应用,随着业务的发展,比如大型企业、大型公司所配置的安全策略经常达到数万条,管理员很难清楚的掌握这么多安全策略之间的关系,假设公司需要新增加10台代码服务器,IP地址范围为10.100.10.11至10.100.10.20,管理员需要增加一条类似上述安全策略4的新策略,允许研发人员访问新增的代码服务器。由于策略数量众多,管理员很难确定应该把新策略放置到策略表中什么位置。可见,管理员在新增策略时,无法保证新增的策略能够准确无误地进行访问控制。
鉴于上述问题,本申请发明人经过长期的研究,提出以下实施例以解决上述问题。
请参阅图2,本申请实施例提供的一种应用安全策略验证方法及装置的安全网关100的示意性结构框图。
应用本申请实施例所提供的安全策略验证方法及装置的安全网关100可以是网络拓扑中在线运行中的安全网关。当然,管理员也可以配置一台与网络拓扑中在线运行中的安全网关A相同型号的安全网关B,安全网关B中导入安全网关A的所有配置,且安全网关B离线工作。安全策略验证方法及装置应用于安全网关B,在通过安全网关B对待验证安全策略进行验证后,再基于验证结果去更新安全网关A中的安全策略表。此外,当网络拓扑中在线运行中的安全网关A需要更换时,本申请实施例所提供的安全策略验证方法及装置的安全网关100也可以是应用于替换安全网关A的安全网关B中。安全网关B中也包含安全网关A的所有配置,在通过安全网关B对待验证安全策略进行验证后,再基于验证结果去更新安全网关B中的安全策略表,最后将在线运行中的安全网关A更换为安全网关B。
在结构上,安全网关100可以包括处理器110和存储器120。
处理器110与存储器120直接或间接地电性连接,以实现数据的传输或交互,例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。安全策略验证装置包括至少一个可以软件或固件(Firmware)的形式存储在存储器120中或固化在安全网关100的操作系统(Operating System,OS)中的软件模块。处理器110用于执行存储器120中存储的可执行模块,例如,安全策略验证装置所包括的软件功能模块及计算机程序等,以实现安全策略验证方法。处理器110可以在接收到执行指令后,执行计算机程序。
其中,处理器110可以是一种集成电路芯片,具有信号处理能力。处理器110也可以是通用处理器,例如,可以是中央处理器(Central Processing Unit,CPU)、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific IntegratedCircuit,ASIC)、分立门或晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。此外,通用处理器可以是微处理器或者任何常规处理器等。
存储器120可以是,但不限于,随机存取存储器(Random Access Memory,RAM)、只读存储器(Read Only Memory,ROM)、可编程只读存储器(Programmable Read-OnlyMemory,PROM)、可擦可编程序只读存储器(Erasable Programmable Read-Only Memory,EPROM),以及电可擦编程只读存储器(Electric Erasable Programmable Read-OnlyMemory,EEPROM)。存储器120用于存储程序,处理器110在接收到执行指令后,执行该程序。
需要说明的是,图2所示的结构仅为示意,本申请实施例提供的安全网关100还可以具有比图2更少或更多的组件,或是具有与图2所示不同的配置。此外,图2所示的各组件可以通过软件、硬件或其组合实现。
请参阅图3,图3为本申请实施例提供的安全策略验证方法的步骤流程图,该方法应用于图2所示的安全网关100。需要说明的是,本申请实施例提供的安全策略验证方法不以图3及以下所示的顺序为限制,该方法包括:步骤S101-步骤S102。
步骤101:基于待验证安全策略,构造测试报文,并模拟测试报文的输入;其中,待验证安全策略为预设的安全策略表中的一项安全策略;安全策略表中的安全策略根据优先级顺序依次排列。
其中,待验证安全策略可以为管理员确定的需要进行验证的安全策略。示例性的,当前安全网关中的安全策略表包含一万条安全策略,此时,管理员需要添加一条新的安全策略,管理员可以将新的安全策略添加至安全策略表中的指定位置,然后启动安全网关对该条新添加的安全策略进行验证。
上述的指定位置可以是安全策略表中的表尾,即,管理员添加的新的安全策略为安全策略表中的第10001条。需要说明的是,管理员将新的安全策略添加至安全策略表中的表尾,可以使得新的安全策略的优先级低于所有当前安全策略,进而不会对正在运行的业务造成影响。
当然,上述的指定位置也可以是管理员凭借经验所确定的位置,指定位置还可以是安全策略表的倒数第三条、第四条,本申请不作限定。
一实施例中,管理员也可以仅上传一个新的待添加的安全策略,然后,安全网关在接收到该安全策略后,将其添加至安全策略表中的指定位置,再启动对该条新添加的安全策略进行验证。对此,本申请不作限定。
然后,安全网关基于待验证安全策略,构造一条与待验证安全策略所对应的测试报文。示例性的,假设待验证安全策略为允许IP地址A1访问IP地址A2,则此时构造一条源目的地址为IP地址A1,目的地址为IP地址A2的测试报文。
步骤S102:接收测试报文,并与安全策略表中的安全策略进行匹配,得到安全策略验证结果;其中,当测试报文命中待验证安全策略时,则安全策略验证结果为符合预期。
安全网关在接收到测试报文后,将其与安全策略表中的安全策略进行匹配,如果成功命中待验证安全策略时,则安全策略验证结果为符合预期,如果未成功命中待验证安全策略,则安全策略验证结果为不符合预期,该结果表征预设的安全策略表中的待验证安全策略为无效策略。
当安全策略验证结果为不符合预期时,管理员可以根据当前测试报文所命中的策略调整待验证安全策略在安全策略表中的位置。
当然,在管理员重新调整待验证安全策略在安全策略表中的位置后,可以触发安全网关再次对调整后的待验证安全策略进行验证。
可见,在本申请实施例中,安全网关会先根据待验证安全策略,构造测试报文,然后利用构造的测试报文进行安全策略的验证,即,通过测试报文确定是否成功命中待验证安全策略,通过该方式可以实现对安全策略的有效性的验证,以便管理员对安全策略合理地添加,进而保证安全策略后续实施过程中的有效性。
以下结合具体的示例对安全策略验证方法的流程及步骤进行详细描述。
一实施例中,步骤S101可以具体包括:基于待验证安全策略,构造多个测试用例;依次读取多个测试用例,并构造与每个测试用例对应的测试报文,模拟所有测试报文的输入。
即,在本申请实施例中,通过构造测试用例,以便于构造多个测试报文,通过更多的测试数据,以提高验证的准确性,避免误判。
作为一种可选的测试用例的构造方法,上述基于待验证安全策略,构造多个测试用例的具体过程可以包括:确定待验证安全策略的匹配维度;将每个匹配维度划分等价类,并从每个等价类中选取测试值;将每个匹配维度的测试值进行交叉组合,构造多个测试用例。
需要说明的是,等价类划分法将所有可能的输入数据划分成若干个等价类。然后从每个部分中选取具有代表性的数据当做测试值进行合理的分类,从而保证测试用例具有完整性和代表性。
继续以表一提供的数据进行说明,假设公司需要新增加10台代码服务器,IP地址范围为10.100.10.11至10.100.10.20,管理员需要增加一条新的安全策略,允许研发人员访问新增的代码服务器。则新增的安全策略可以为参考表二。
表二
其中,表二中的安全策略7即为待验证安全策略,其被配置为Trust安全域中的研发人员的主机IP的流量允许访问DMZ安全域中的代码服务器中的部分服务器(即10.100.1.11至10.10.1.20这十台服务器)。
需要说明的是,匹配维度可以根据策略的不同所决定,也可以由管理员进行指定,本申请不作限定。比如上述的源安全域、源IP地址、目的安全域、目的IP地址及服务均可以作为匹配维度。
假设匹配维度为源安全域、源IP地址、目的安全域、目的IP地址。由于源安全域和目的安全域均为一个值,则将源安全域和目的安全域的值之间作为测试值。源IP地址的取值范围为192.168.1.0/24。192.168.1.0/24指的该网段的所有IP,包含192.168.1.0到192.168.1.255,其中网络地址为192.168.1.0,广播地址为192.168.1.255,可用的地址为192.168.1.1到192.168.1.254。即,源IP地址的可用的地址范围为192.168.1.1到192.168.1.254,此时对可用的范围为192.168.1.1到192.168.1.254划分等价类。由于数值的端点通常重要性高,因此,将最小的源IP地址192.168.1.1作为第一类,将最大的源IP地址192.168.1.254作为第二类,然后将中间剩余的所有源IP地址作为第三类。然后从每个等价类中选取一个测试值。由于第一类和第二类只有一个值,因此,该数值直接作为该等价类下的测试值,相应的,从第三类中也任意选取一个数值作为测试值,比如选取的测试值为192.168.1.100。同理,采用同样的等价类划分方式从目的IP地址选取的测试值分别为10.100.1.11(最小的目的IP地址)、10.100.1.16和10.100.1.20(最大的目的IP地址)。
需要说明的是,以上只是一种等价类的划分方式,比如还可以是将源IP地址的192.168.1.1~192.168.1.100作为一类,将源IP地址的192.168.1.101~192.168.1.254作为一类,本申请不作限定。
其中,服务可以也采用上述方式确定,也可以构造任意数值作为测试值,比如源端口为20000、目的端口为3000、协议为UDP。
通过选取测试值之后,每个匹配维度的测试值进行交叉组合,构造多个测试用例。生成的测试用例可以参考表三。
表三
可见,在本申请实施例中,在构造测试用例时,首先将每个匹配维度划分等价类,并从每个等价类中选取测试值,最后基于测试值之间的交叉组合,以形成多个测试用例,通过该方式,能够在使用较少的数据量的同时,保证较高的验证的准确性。
作为一种可选的测试用例的构造方法,上述基于待验证安全策略,构造多个测试用例的具体过程可以包括:确定待验证安全策略的匹配维度;获取每个匹配维度中的所有测试值;将每个匹配维度的测试值进行交叉组合,构造多个测试用例。
需要说明的是,该实施例中,是将待验证安全策略的匹配维度的所有数据均作为测试值来构造测试用例,比如,表二中,安全策略7为待验证安全策略,其包含的源IP地址为192.168.1.0/24,则该实施下,将192.168.1.0/24中可用的地址范围为192.168.1.1~192.168.1.254均作为测试值,相应的,目的IP地址的十个IP地址也均作为测试值。最后,将所有的测试值进行交叉组合,构造最全面的测试用例。
可见,在本申请实施例中,在构造测试用例时,通过每个匹配维度中的所有测试值之间的交叉组合来构造测试用例,即,通过穷尽所有测试值的组合方式得到测试用例,可以百分之百验证策略的有效性,为管理员提供最绝对的验证数据。
作为一种可选的测试用例的构造方法,上述基于待验证安全策略,构造多个测试用例的具体过程可以包括:确定待验证安全策略的匹配维度;从每个匹配维度中随机确定出测试值;基于每个匹配维度的测试值,构造多个测试用例。
需要说明的是,上述方案为通过随机确定的测试值来构造测试用例。
一种实施方式,可以从每个匹配维度中随机确定出多个测试值,然后将每个匹配维度随机确定出的多个测试值进行交叉组合,以生成多个测试用例。
另一种实施方式,可以先确定需要构造的测试用例的数量N,然后依次从每个匹配维度中选取一个测试值组成形成一个测试用例,然后重复N次,即可得到N个测试用例。
可见,在本申请实施例中,通过随机确定出的测试值来构造测试用例,能够减少测试时的数据量。
在通过上述方式得到测试用例后,安全网关再基于测试用例来构造出测试报文。
具体的,安全网络依次读取如表三示出的测试用例,然后基于每条测试用例进行测试报文的构造。构造测试报文的过程中,即为配置上述匹配维度中的各个测试值,比如配置的第一条测试报文的源安全域为Trust、源IP地址为192.168.1.1、目的安全域为DMZ、目的IP地址为10.100.1.11、源端口为20000、目的端口为30000,协议类型为UDP。最后,再模拟测试报文的输入。
于本申请实施例中,安全网关中预先配置虚拟接口,进而通过虚拟接口模拟测试报文的输入。比如上述第一条测试报文输入时,虚拟接口配置到Trust安全域,进而模拟第一条测试报文从Trust安全域进入安全网关。
由于测试报文仅仅是用于对安全策略的验证,因此,为了避免测试报文对正常的流量报文的传输的影响,本申请实施例中,对测试报文进行标记,进而使得安全网关能够确定出哪些报文是正常流量报文、哪些报文是测试报文,从而在测试报文验证之后,进行丢弃,保证安全网关能够稳定的运行。即,在得到安全策略验证结果之后,该方法还包括:将包含预设标记的报文进行丢弃。
预设标记可以是具体的字符,也可以是对具体的字段的修改,本申请不作限定。
最后,安全网关通过执行步骤S102以进行验证并输出安全策略验证结果。
继续以表三的测试用例为例,通过表三的测试用例所得到的安全策略验证结果可以参考表四。
表四
需要说明的是,表四中测试报文均命中了安全策略5,并未命中安全策略7。安全策略验证结果,表征当前的待验证安全策略不符合预期,待验证安全策略为无效策略。
此时,管理员可以根据安全策略验证结果调整待验证安全策略的添加位置。由于安全策略是按照从上到下的顺序匹配的,假设策略A位于策略B上方,策略A和B包含的流量特征存在下面几种情况:
1.策略A完全包含策略B。此时B不生效,无法到达预期目的,即策略B为无效策略。
2.策略A与策略B部分重叠。此时B部分生效。
3.策略A与策略B不重叠,此时B生效,即策略B为有效策略。
4.策略B完全包含策略A。此时B部分生效。
需要说明的是,上述的包含的关系可以理解为匹配维度的范围关系,比如表一中,安全策略5的源IP地址为Any,而安全策略4的源IP地址为192.168.1.0/24,则策略5完全包含策略4。而上述重叠关系可以理解为匹配维度的范围是否有重叠。管理员可以基于上述关系,确定待验证安全策略的后续添加策略或修改策略。
比如经过上述情况类型可知,需要将表二中的安全策略7放置在安全策略5之前,安全策略7才能够生效,因此,后续管理员可以将安全策略7放置在安全策略5之前。
后续,管理员将安全策略7放置在安全策略5之前的操作后,还可以再次触发安全网关对调整位置后的安全策略7进行验证。
请参阅图4,基于同一发明构思,本申请实施例还提供一种安全策略验证装置200,包括:
处理模块20,用于基于待验证安全策略,构造测试报文,并模拟所述测试报文的输入;其中,所述待验证安全策略为预设的安全策略表中的一项安全策略;所述安全策略表中的安全策略根据优先级顺序依次排列。
验证模块30,用于接收所述测试报文,并与所述安全策略表中的安全策略进行匹配,得到安全策略验证结果;其中,当所述测试报文命中所述待验证安全策略时,则所述安全策略验证结果为符合预期。
可选地,处理模块20具体包括:测试用例构造模块201和发包模块202。
测试用例构造模块201具体用于基于待验证安全策略,构造多个测试用例。
发包模块202具体用于依次读取多个所述测试用例,并构造与每个所述测试用例对应的测试报文,模拟所有所述测试报文的输入。
可选地,测试用例构造模块201还具体用于确定所述待验证安全策略的匹配维度;将每个所述匹配维度划分等价类,并从每个所述等价类中选取测试值;将每个所述匹配维度的测试值进行交叉组合,构造多个所述测试用例。
可选地,测试用例构造模块201还具体用于确定所述待验证安全策略的匹配维度;获取每个所述匹配维度中的所有测试值;将每个所述匹配维度的测试值进行交叉组合,构造多个所述测试用例。
可选地,测试用例构造模块201还具体用于确定所述待验证安全策略的匹配维度;从每个所述匹配维度中随机确定出测试值;基于每个所述匹配维度的测试值,构造多个所述测试用例。
可选地,测试报文包括预设标记。安全策略验证装置200还包括统计分析模块40。
统计分析模块40用于在所述得到安全策略验证结果之后,将包含所述预设标记的报文进行丢弃。
可选地,处理模块20,具体用于基于预设的虚拟接口,模拟所述测试报文的输入。
需要说明的是,由于所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
基于同一发明构思,本申请实施例还提供一种计算机可读存储介质,其上存储有计算机程序,计算机程序在被运行时执行上述实施例中提供的方法。
该存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如软盘、硬盘、磁带)、光介质(例如DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种安全策略验证方法,其特征在于,应用于安全网关,所述方法包括:
基于待验证安全策略,构造测试报文,并模拟所述测试报文的输入;其中,所述待验证安全策略为预设的安全策略表中的一项安全策略;所述安全策略表中的安全策略根据优先级顺序依次排列;
接收所述测试报文,并与所述安全策略表中的安全策略进行匹配,得到安全策略验证结果;其中,当所述测试报文命中所述待验证安全策略时,则所述安全策略验证结果为符合预期。
2.根据权利要求1所述的方法,其特征在于,所述基于待验证安全策略,构造测试报文,并模拟所述测试报文的输入,包括:
基于待验证安全策略,构造多个测试用例;
依次读取多个所述测试用例,并构造与每个所述测试用例对应的测试报文,模拟所有所述测试报文的输入。
3.根据权利要求2所述的方法,其特征在于,所述基于待验证安全策略,构造多个测试用例,包括:
确定所述待验证安全策略的匹配维度;
将每个所述匹配维度划分等价类,并从每个所述等价类中选取测试值;
将每个所述匹配维度的测试值进行交叉组合,构造多个所述测试用例。
4.根据权利要求2所述的方法,其特征在于,所述基于待验证安全策略,构造多个测试用例,包括:
确定所述待验证安全策略的匹配维度;
获取每个所述匹配维度中的所有测试值;
将每个所述匹配维度的测试值进行交叉组合,构造多个所述测试用例。
5.根据权利要求2所述的方法,其特征在于,所述基于待验证安全策略,构造多个测试用例,包括:
确定所述待验证安全策略的匹配维度;
从每个所述匹配维度中随机确定出测试值;
基于每个所述匹配维度的测试值,构造多个所述测试用例。
6.根据权利要求1-5中任一项所述的方法,其特征在于,所述测试报文包括预设标记;
在所述得到安全策略验证结果之后,所述方法还包括:
将包含所述预设标记的报文进行丢弃。
7.根据权利要求1-5中任一项所述的方法,其特征在于,所述模拟所述测试报文的输入,包括:
基于预设的虚拟接口,模拟所述测试报文的输入。
8.一种安全策略验证装置,其特征在于,应用于安全网关,所述装置包括:
处理模块,用于基于待验证安全策略,构造测试报文,并模拟所述测试报文的输入;其中,所述待验证安全策略为预设的安全策略表中的一项安全策略;所述安全策略表中的安全策略根据优先级顺序依次排列;
验证模块,用于接收所述测试报文,并与所述安全策略表中的安全策略进行匹配,得到安全策略验证结果;其中,当所述测试报文命中所述待验证安全策略时,则所述安全策略验证结果为符合预期。
9.一种安全网关,其特征在于,包括:处理器和存储器,所述处理器和所述存储器连接;
所述存储器用于存储程序;
所述处理器用于运行存储在所述存储器中的程序,执行如权利要求1-7中任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,其上存储有计算机程序,所述计算机程序在被计算机运行时执行如权利要求1-7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210879909.3A CN115242520A (zh) | 2022-07-25 | 2022-07-25 | 一种安全策略验证方法、装置,安全网关及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210879909.3A CN115242520A (zh) | 2022-07-25 | 2022-07-25 | 一种安全策略验证方法、装置,安全网关及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115242520A true CN115242520A (zh) | 2022-10-25 |
Family
ID=83674575
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210879909.3A Pending CN115242520A (zh) | 2022-07-25 | 2022-07-25 | 一种安全策略验证方法、装置,安全网关及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115242520A (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7039053B1 (en) * | 2001-02-28 | 2006-05-02 | 3Com Corporation | Packet filter policy verification system |
| US20100050229A1 (en) * | 2008-08-19 | 2010-02-25 | International Business Machines Corporation | Validating network security policy compliance |
| CN109246159A (zh) * | 2018-11-27 | 2019-01-18 | 杭州迪普科技股份有限公司 | 一种验证安全策略的方法和装置 |
| CN112688795A (zh) * | 2020-11-19 | 2021-04-20 | 贵州电网有限责任公司 | 一种多维度ip服务动作操作策略分析方法 |
| CN113434396A (zh) * | 2021-06-22 | 2021-09-24 | 中国农业银行股份有限公司 | 接口测试方法、装置、设备、存储介质及程序产品 |
| CN114143079A (zh) * | 2021-11-29 | 2022-03-04 | 杭州迪普科技股份有限公司 | 包过滤策略的验证装置及方法 |
-
2022
- 2022-07-25 CN CN202210879909.3A patent/CN115242520A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7039053B1 (en) * | 2001-02-28 | 2006-05-02 | 3Com Corporation | Packet filter policy verification system |
| US20100050229A1 (en) * | 2008-08-19 | 2010-02-25 | International Business Machines Corporation | Validating network security policy compliance |
| CN109246159A (zh) * | 2018-11-27 | 2019-01-18 | 杭州迪普科技股份有限公司 | 一种验证安全策略的方法和装置 |
| CN112688795A (zh) * | 2020-11-19 | 2021-04-20 | 贵州电网有限责任公司 | 一种多维度ip服务动作操作策略分析方法 |
| CN113434396A (zh) * | 2021-06-22 | 2021-09-24 | 中国农业银行股份有限公司 | 接口测试方法、装置、设备、存储介质及程序产品 |
| CN114143079A (zh) * | 2021-11-29 | 2022-03-04 | 杭州迪普科技股份有限公司 | 包过滤策略的验证装置及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20190281088A1 (en) | Security mediation for dynamically programmable network | |
| US7505463B2 (en) | Rule set conflict resolution | |
| Jero et al. | Beads: Automated attack discovery in openflow-based sdn systems | |
| US7512071B2 (en) | Distributed flow enforcement | |
| CN106063222B (zh) | 用于对传送http业务的tcp连接进行分类的方法和装置 | |
| JP5522307B2 (ja) | 仮想機械によるソフトウェアテストを用いた電子ネットワークにおけるクライアントシステムの遠隔保守のためのシステム及び方法 | |
| US11552953B1 (en) | Identity-based authentication and access control mechanism | |
| KR102132539B1 (ko) | 블록체인 기반의 안전한 소프트웨어 정의 네트워킹 시스템 및 그 방법 | |
| US10387672B1 (en) | Secure message handling | |
| US10757015B2 (en) | Multi-tenant routing management | |
| US11868474B2 (en) | Securing node groups | |
| CN107209711B (zh) | 用于测试在测试网络中的计算机系统的计算机的测试系统 | |
| KR102407136B1 (ko) | 컨트롤러 기반 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 | |
| CN112400169A (zh) | 通过基于一次性证书请求的动态证书的软件组件的身份管理 | |
| US11455388B1 (en) | System and method for end-to-end data trust management with real-time attestation | |
| US11120136B1 (en) | Managing system firmware | |
| CN113596033A (zh) | 访问控制方法及装置、设备、存储介质 | |
| US11683345B2 (en) | Application identity-based enforcement of datagram protocols | |
| US11709741B1 (en) | Systems and methods for enabling a failover service for block-storage volumes | |
| CN109039823B (zh) | 一种网络系统防火墙检测方法、装置、设备及存储介质 | |
| CN115242520A (zh) | 一种安全策略验证方法、装置,安全网关及存储介质 | |
| KR20200094522A (ko) | 블록체인 기술을 이용한 국군 여가문화 컨텐츠 전용 보안 시스템 및 그 구동방법 | |
| CN111447080B (zh) | 私有网络去中心化控制方法、装置及计算机可读存储介质 | |
| CN109302381B (zh) | Radius属性扩展方法、装置、电子设备和计算机可读介质 | |
| US11704412B2 (en) | Methods and systems for distribution and integration of threat indicators for information handling systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |