一种用于安全性检测的方法和装置制造方法及图纸

本发明专利技术涉及一种用于安全性检测的方法和装置，该装置包括：获取模块，用于获取用于检测防火墙的策略的安全性的检测规则集合；检查模块，用于根据所获取的检测规则集合，检查所述防火墙的策略所包含的各个规则的安全性，其中，所述检测规则集合至少包括基于在预定时间段内所述防火墙实际允许通过的报文和拒绝通过的报文提取的用于过滤报文的第一规则集合。利用该方法和装置，能够提高防火墙的策略的安全性。

【技术实现步骤摘要】
一种用于安全性检测的方法和装置
本专利技术涉及网络安全领域，尤其涉及一种用于安全性检测的方法和装置。
技术介绍
防火墙（Firewall）是一种协助确保信息安全的设备，其通常部署在网络的边界处以隔离各个安全域（例如，内部网、互联网、专用网等）。防火墙配置有作为策略（Policy）的访问控制列表(ACL)，其包括用于指示什么报文允许通过和什么报文拒绝通过的报文过滤规则。防火墙根据访问控制列表所包括的报文过滤规则来对从其的与各个安全领域连接的接口接收到的报文进行过滤（即允许报文通过或拒绝报文通过），以实现安全防御。访问控制列表所包括的各个规则按照指定次序排列在一起，当要对报文进行过滤时，防火墙按照访问控制列表中的规则从第一个到最后一个的次序，依次将访问控制列表中的规则与所要过滤的报文进行匹配，并使用第一个匹配的规则来过滤所要过滤的报文。防火墙的策略的配置是否正确，对安全防御的实现有极其重要的影响。如果防火墙的策略配置不准确，则防火墙的策略会包含有不安全的规则，从而会给要保护的网络系统带来安全隐患。因此，需要审计防火墙的策略以确保其配置正确。常规的方法是由安全专家根据网络安全标准和企业安全标准来手工审计防火墙的策略以确保其正确配置。然而，由安全专家手工审计防火墙的策略容易出错且需要消耗大量人力。对此，已经出现防火墙自动检测工具，其自动审计防火墙的策略，从而不会出错且不消耗人力。在实际中，随着时间的流逝，网络应用的一些被允许的服务慢慢变得不需要了，但防火墙的策略仍然会包含有用于允许与该服务相关的报文通过的规则，恶意攻击者有可能会利用防火墙的策略所包含的这些规则来攻击要保护的网络，从而会给要保护的网络带来安全隐患。换言之，如果防火墙的策略包含有用于允许与不需要的服务相关的报文通过的规则，则防火墙的策略的安全性会存在问题。
技术实现思路
考虑到现有技术的上述问题，本专利技术实施例提出一种用于安全性检测的方法和装置，其能够提高防火墙的策略的安全性。按照本专利技术实施例的一种用于安全性检测的方法，包括：获取用于检测防火墙的策略的安全性的检测规则集合；以及，根据所获取的检测规则集合，检查所述防火墙的策略所包含的各个规则的安全性，其中，所述检测规则集合至少包括基于在预定时间段内所述防火墙实际允许通过的报文和拒绝通过的报文提取的用于过滤报文的第一规则集合。在一种实现方式中，所述方法还包括：将所述检测规则集合中的各个规则转换统一规则格式，得到具有所述统一规则格式的检测规则集合；以及，将所述防火墙的策略所包含的各个规则转换为所述统一规则格式，得到具有所述统一规则格式的第二规则集合，其中，所述检查包括：根据具有所述统一规则格式的所述检测规则集合，检查具有所述统一规则格式的所述第二规则集合所包含的各个规则的安全性。在一种实现方式中，所述检测规则集合还包括与安全标准的要求相关的第三规则集合和/或管理员或安全专家设置的第四规则集合，具有所述统一规则格式的所述检测规则集合包括具有所述统一规则格式的所述第一规则集合以及具有所述统一规则格式的所述第三规则集合和/或具有所述统一规则格式的所述第四规则集合，其中，所述方法还包括：在执行所述检查之前，判断具有所述统一规则格式的所述第三规则集合和/或具有所述统一规则格式的所述第四规则集合中是否存在冗余的规则和冲突的规则；以及，如果判断结果为肯定，则删除具有所述统一规则格式的所述第三规则集合和/或具有所述统一规则格式的所述第四规则集合中冗余的规则和冲突的规则，得到没有冗余的规则和冲突的规则的所述第三规则集合和/或所述第四规则集合。在一种实现方式中，在所述检测规则集合包括所述第一规则集合、所述第三规则集合和所述第四规则集合的情况下，所述方法还包括：在执行所述检查之前，进一步判断没有冗余的规则和冲突的规则的所述第三规则集合中是否存在与没有冗余的规则和冲突的规则的所述第四规则集合中的规则相冗余的规则和相冲突的规则；如果进一步判断结果表明所述第三规则集合中存在与所述第四规则集合中的规则相冗余的规则，则删除所述第三规则集合中与所述第四规则集合中的规则相冗余的规则；以及，如果所述进一步判断结果表明所述第三规则集合中存在与所述第四规则集合中的规则相冲突的规则，则删除或者不删除所述第三规则集合中与所述第四规则集合中的规则相冲突的规则。在一种实现方式中，所述删除或不删除所述第三规则集合中与所述第四规则集合中的规则相冲突的规则包括：如果所述进一步判断结果表明所述第三规则集合中存在与所述第四规则集合中的规则相冲突的规则，则发出警报并呈现所述第三规则集合中与所述第四规则集合中的规则相冲突的规则；如果接收到表示删除所述第三规则集合中与所述第四规则集合中的规则相冲突的规则的指示，则删除所述第三规则集合中与所述第四规则集合中的规则相冲突的规则；以及，如果接收到表示不删除所述第三规则集合中与所述第四规则集合中的规则相冲突的规则的指示，则不删除所述第三规则集合中与所述第四规则集合中的规则相冲突的规则。在一种实现方式中，所述方法还包括：在执行所述检查之前，再进一步判断所述第一规则集合中是否存在与第五规则集合中的规则相冗余的规则和相冲突的规则，其中，所述第五规则集合包括所述第三规则集合和所述第四规则集合；如果再进一步判断结果表明所述第一规则集合中存在与所述第五规则集合中的规则相冗余的规则，则删除所述第一规则集合中与所述第五规则集合中的规则相冗余的规则；以及，如果所述再进一步判断结果表明所述第一规则集合中存在与所述第五规则集合中的规则相冲突的规则，则删除或不删除所述第一规则集合中与所述第五规则集合中的规则相冲突的规则。在一种实现方式中，所述删除或不删除所述第一规则集合中与所述第五规则集合中的规则相冲突的规则包括：如果所述再进一步判断结果表明所述第一规则集合中存在与所述第五规则集合中的规则相冲突的规则，则发出警报并呈现所述第一规则集合中与所述第五规则集合中的规则相冲突的规则；如果接收到表示删除所述第一规则集合中与所述第五规则集合中的规则相冲突的规则的指示，则删除所述第一规则集合中与所述第五规则集合中的规则相冲突的规则；以及，如果接收到表示不删除所述第一规则集合中与所述第五规则集合中的规则相冲突的规则的指示，则不删除所述第一规则集合中与所述第五规则集合中的规则相冲突的规则。在一种实现方式中，所述方法还包括：在执行所述检查之前，删除具有所述统一规则格式的所述第二规则集合中冗余的规则和冲突的规则。在一种实现方式中，所述检查进一步包括：如果所述第二规则集合和所述检测规则集合都包含用于允许第一报文通过的规则，则确定所述第二规则集合包含的所述用于允许第一报文通过的规则是安全的；如果所述第二规则集合和所述检测规则集合都包含用于拒绝第二报文通过的规则，则确定所述第二规则集合包含的所述用于拒绝第二报文通过的规则是安全的；如果所述第二规则集合包含用于允许第三报文通过的规则且所述检测规则集合包含用于拒绝所述第三报文或所有报文通过的规则，则确定所述第二规则集合包含的所述用于允许第三报文通过的规则是不安全的；如果所述第二规则集合包含用于拒绝第四报文通过的规则且所述检测规则集合包含用于允许所述第四报文通过的规则，则确定所述第二规则集合包含的所述用于拒绝第四报文通过的规则属本文档来自技高网...

【技术保护点】
一种用于安全性检测的方法，包括：获取用于检测防火墙的策略的安全性的检测规则集合；以及根据所获取的检测规则集合，检查所述防火墙的策略所包含的各个规则的安全性，其中，所述检测规则集合至少包括基于在预定时间段内所述防火墙实际允许通过的报文和拒绝通过的报文提取的用于过滤报文的第一规则集合。

【技术特征摘要】
1.一种用于安全性检测的方法，包括：获取用于检测防火墙的策略的安全性的检测规则集合；以及根据所获取的检测规则集合，检查所述防火墙的策略所包含的各个规则的安全性，其中，所述检测规则集合至少包括基于在预定时间段内所述防火墙实际允许通过的报文和拒绝通过的报文提取的用于过滤报文的第一规则集合，其中，所述方法还包括：将所述检测规则集合中的各个规则转换为统一规则格式，得到具有所述统一规则格式的检测规则集合，其中，所述统一规则格式包括源区域、目的区域、协议、源地址、源端口、目的地址、目的端口和动作八个字段；以及将所述防火墙的策略所包含的各个规则转换为所述统一规则格式，得到具有所述统一规则格式的第二规则集合，其中，所述检查包括：根据具有所述统一规则格式的所述检测规则集合，检查具有所述统一规则格式的所述第二规则集合所包含的各个规则的安全性。2.如权利要求1所述的方法，其中，所述检测规则集合还包括与安全标准的要求相关的第三规则集合和/或管理员或安全专家设置的第四规则集合，具有所述统一规则格式的所述检测规则集合包括具有所述统一规则格式的所述第一规则集合以及具有所述统一规则格式的所述第三规则集合和/或具有所述统一规则格式的所述第四规则集合，其中，所述方法还包括：在执行所述检查之前，判断具有所述统一规则格式的所述第三规则集合和/或具有所述统一规则格式的所述第四规则集合中是否存在冗余的规则和冲突的规则；以及如果判断结果为肯定，则删除具有所述统一规则格式的所述第三规则集合和/或具有所述统一规则格式的所述第四规则集合中冗余的规则和冲突的规则，得到没有冗余的规则和冲突的规则的所述第三规则集合和/或所述第四规则集合。3.如权利要求2所述的方法，其中，在所述检测规则集合包括所述第一规则集合、所述第三规则集合和所述第四规则集合的情况下，所述方法还包括：在执行所述检查之前，进一步判断没有冗余的规则和冲突的规则的所述第三规则集合中是否存在与没有冗余的规则和冲突的规则的所述第四规则集合中的规则相冗余的规则和相冲突的规则；如果进一步判断结果表明所述第三规则集合中存在与所述第四规则集合中的规则相冗余的规则，则删除所述第三规则集合中与所述第四规则集合中的规则相冗余的规则；以及如果所述进一步判断结果表明所述第三规则集合中存在与所述第四规则集合中的规则相冲突的规则，则删除或者不删除所述第三规则集合中与所述第四规则集合中的规则相冲突的规则。4.如权利要求3所述的方法，其中，所述删除或不删除所述第三规则集合中与所述第四规则集合中的规则相冲突的规则包括：如果所述进一步判断结果表明所述第三规则集合中存在与所述第四规则集合中的规则相冲突的规则，则发出警报并呈现所述第三规则集合中与所述第四规则集合中的规则相冲突的规则；如果接收到表示删除所述第三规则集合中与所述第四规则集合中的规则相冲突的规则的指示，则删除所述第三规则集合中与所述第四规则集合中的规则相冲突的规则；以及如果接收到表示不删除所述第三规则集合中与所述第四规则集合中的规则相冲突的规则的指示，则不删除所述第三规则集合中与所述第四规则集合中的规则相冲突的规则。5.如权利要求3或4所述的方法，其中，还包括：在执行所述检查之前，再进一步判断所述第一规则集合中是否存在与第五规则集合中的规则相冗余的规则和相冲突的规则，其中，所述第五规则集合包括所述第三规则集合和所述第四规则集合；如果再进一步判断结果表明所述第一规则集合中存在与所述第五规则集合中的规则相冗余的规则，则删除所述第一规则集合中与所述第五规则集合中的规则相冗余的规则；以及如果所述再进一步判断结果表明所述第一规则集合中存在与所述第五规则集合中的规则相冲突的规则，则删除或不删除所述第一规则集合中与所述第五规则集合中的规则相冲突的规则。6.如权利要求5所述的方法，其中，所述删除或不删除所述第一规则集合中与所述第五规则集合中的规则相冲突的规则包括：如果所述再进一步判断结果表明所述第一规则集合中存在与所述第五规则集合中的规则相冲突的规则，则发出警报并呈现所述第一规则集合中与所述第五规则集合中的规则相冲突的规则；如果接收到表示删除所述第一规则集合中与所述第五规则集合中的规则相冲突的规则的指示，则删除所述第一规则集合中与所述第五规则集合中的规则相冲突的规则；以及如果接收到表示不删除所述第一规则集合中与所述第五规则集合中的规则相冲突的规则的指示，则不删除所述第一规则集合中与所述第五规则集合中的规则相冲突的规则。7.如权利要求1所述的方法，其中，所述方法还包括：在执行所述检查之前，删除具有所述统一规则格式的所述第二规则集合中冗余的规则和冲突的规则。8.如权利要求1-4、7中的任意一个所述的方法，其中，所述检查进一步包括：如果所述第二规则集合和所述检测规则集合都包含用于允许第一报文通过的规则，则确定所述第二规则集合包含的所述用于允许第一报文通过的规则是安全的；如果所述第二规则集合和所述检测规则集合都包含用于拒绝第二报文通过的规则，则确定所述第二规则集合包含的所述用于拒绝第二报文通过的规则是安全的；如果所述第二规则集合包含用于允许第三报文通过的规则且所述检测规则集合包含用于拒绝所述第三报文或所有报文通过的规则，则确定所述第二规则集合包含的所述用于允许第三报文通过的规则是不安全的；以及如果所述第二规则集合...

【专利技术属性】
技术研发人员：郭代飞，隋爱芬，李作为，郭涛，
申请(专利权)人：西门子公司，
类型：发明
国别省市：德国;DE