一种防火墙策略检测方法及装置制造方法及图纸

本发明专利技术公开了一种防火墙策略检测方法及装置，包括：在预定时间范围内从连接防火墙的交换机采集出入防火墙的流量；从所述流量中解析得到流信息；获取防火墙策略，确定每条防火墙策略对应的原子策略的数目，其中，所述原子策略指源网络协议(IP，Internet Protocol)地址、目的IP地址、目的端口以及协议不可分解的策略；针对每一条防火墙策略，根据解析得到的流信息确定与该防火墙策略匹配的流的总数，计算该防火墙策略的覆盖率，所述覆盖率由所述总数与该防火墙策略对应的原子策略的数目的比值确定，当该防火墙策略的覆盖率小于宽泛策略阈值时，判定该防火墙策略为宽泛策略。本发明专利技术公开的防火墙策略检测方法及装置，能够有效地检测防火墙策略中的宽泛策略。

Method and device for detecting firewall policy

The invention discloses a firewall detection method and apparatus, including: at a predetermined time range from connecting to the firewall switch and firewall traffic acquisition; get information from the traffic flow analysis; obtain firewall policies, determine the number of each of the firewall, including the atomic strategy, atomic strategy refers to the source network protocol (IP, Internet Protocol) address, destination IP address, destination port and protocol can not be decomposed for each strategy; a firewall strategy is determined according to the total flow matching with the firewall flow information gained by the analysis, calculation of the firewall policy coverage, the ratio of the number of the coverage rate by the total number and the corresponding atomic strategy firewall strategy to determine when the firewall policy strategy broad coverage of less than a threshold, sentenced The firewall policy is a broad strategy. The invention discloses a method and a device for detecting firewall policy, which can effectively detect a broad strategy in a firewall policy.

【技术实现步骤摘要】

本专利技术涉及信息安全领域，尤其涉及一种防火墙策略检测方法及装置。
技术介绍
防火墙是目前最为流行也是使用最为广泛的一种网络安全技术。在构建安全网络环境的过程中，防火墙作为第一道安全防线，正受到越来越多的关注。防火墙通过设置安全策略控制进出系统的数据，从而实现访问控制。在现有技术中，将采用NetFlow技术采集的防火墙业务流量七元组与策略七元组进行比对，进而判断不合规的防火墙策略，其中，流量七元组包括源地址、源端口、目的地址、目的端口、协议类型、数据流量大小以及流量发送频率，策略七元组包括源地址、源端口、目的地址、目的端口、协议类型、允许或拒绝。然而，上述方案依赖于防火墙，只适用于支持Flow功能的防火墙，而开启Flow功能会额外消耗防火墙的中央处理器(CPU，CentralProcessingUnit)时间，如果在防火墙CPU负载本身就很高的情况下，再额外增加CPU的负载很可能会影响到防火墙的正常工作，另外，从实现成本而言，当前的Flow类型很多，如Jflow、Sflow、Netstream等，每实现对一种Flow功能的支持就需要花费时间进行开发，实现成本高。并且，现有方案未涉及宽泛策略的检测。防火墙策略的设置需要遵循一定的原则，然而，宽泛策略违背了“策略最小化”原则，会带来安全隐患，甚至导致安全事件的发生。
技术实现思路
为了解决上述技术问题，本专利技术提供一种防火墙策略检测方法及装置，能够有效地检测防火墙策略中的宽泛策略。为了达到上述技术目的，本专利技术提供一种防火墙策略检测方法，包括：在预定时间范围内从连接防火墙的交换机采集出入防火墙的流量；从所述流量中解析得到流信息；获取防火墙策略，确定每条防火墙策略对应的原子策略的数目，其中，所述原子策略指源网络协议(IP，InternetProtocol)地址、目的IP地址、目的端口以及协议不可分解的策略；针对每一条防火墙策略，根据解析得到的流信息确定与该防火墙策略匹配的流的总数，计算该防火墙策略的覆盖率，所述覆盖率由所述总数与该防火墙策略对应的原子策略的数目的比值确定，当该防火墙策略的覆盖率小于宽泛策略阈值时，判定该防火墙策略为宽泛策略。进一步地，所述在预定时间范围内从连接防火墙的交换机采集出入防火墙的流量之前，该方法还包括：获取用户配置信息，其中，所述用户配置信息包括宽泛策略阈值、介质访问控制(MAC，MediaAccessControl)地址以及MAC地址与区域或接口的对应关系。进一步地，所述在预定时间范围内从连接防火墙的交换机采集出入防火墙的流量包括：在预定时间范围内从连接防火墙的交换机的镜像口采集流量；根据用户配置的MAC地址过滤采集的流量，得到出入防火墙的流量。进一步地，所述流信息以七元组表示，所述七元组包括源区域、源IP地址、源端口、目的区域、目的IP地址、目的端口以及协议，其中，源区域及目的区域根据用户配置的MAC地址与区域或接口的对应关系确定。进一步地，所述从所述流量中解析得到流信息之后，该方法还包括：将解析到的流信息存储至数据库流表。本专利技术还提供一种防火墙策略检测装置，包括：流量采集模块，用于在预定时间范围内从连接防火墙的交换机采集一定时间范围内出入防火墙的流量；流解析模块，用于从所述流量中解析得到流信息；配置管理模块，用于获取防火墙策略，确定每条防火墙策略对应的原子策略的数目，其中，所述原子策略指源IP地址、目的IP地址、目的端口以及协议不可分解的策略；检测模块，用于针对每一条防火墙策略，根据解析得到的流信息确定与该防火墙策略匹配的流的总数，计算该防火墙策略的覆盖率，所述覆盖率根据所述总数与该防火墙策略对应的原子策略的数目的比值确定，当该防火墙策略的覆盖率小于宽泛策略阈值时，判定该防火墙策略为宽泛策略。进一步地，所述配置管理模块，还用于获取用户配置信息，其中，所述用户配置信息包括宽泛策略阈值、MAC地址以及MAC地址与区域或接口的对应关系。进一步地，所述流量采集模块，具体用于：在预定时间范围内从连接防火墙的交换机的镜像口采集流量；根据用户配置的MAC地址过滤采集的流量，得到出入防火墙的流量。进一步地，所述流信息以七元组表示，所述七元组包括源区域、源IP地址、源端口、目的区域、目的IP地址、目的端口以及协议，其中，源区域及目的区域根据用户配置的MAC地址与区域或接口的对应关系确定。进一步地，所述流解析模块，还用于将解析到的流信息存储至数据库流表。在本专利技术中，在预定时间范围内从连接防火墙的交换机采集出入防火墙的流量；从所述流量中解析得到流信息；获取防火墙策略，确定每条防火墙策略对应的原子策略的数目，其中，所述原子策略指源IP地址、目的IP地址、目的端口以及协议不可分解的策略；针对每一条防火墙策略，根据解析得到的流信息确定与该防火墙策略匹配的流的总数，计算该防火墙策略的覆盖率，所述覆盖率由所述总数与该防火墙策略对应的原子策略的数目的比值确定，当该防火墙策略的覆盖率小于宽泛策略阈值时，判定该防火墙策略为宽泛策略。本专利技术基于出入防火墙的真实流量有效地检测防火墙策略中的宽泛策略。相较于现有技术，本专利技术具有以下优点：(1)本专利技术无需防火墙提供任何支持，适用于对任何防火墙宽泛策略的检测，通用性好，也不存在额外消耗防火墙CPU时间的弊端；(2)本专利技术基于原始流量实现宽泛策略检测，实现成本低；(3)在本专利技术中，反映了防火墙策略与真实流量的关系，宽泛策略检测的准确率高。附图说明图1为本专利技术实施例提供的防火墙策略检测方法的流程图；图2为本专利技术实施例中步骤101及步骤102的具体流程图；图3为本专利技术实施例中步骤103及步骤104的具体流程图；图4为本专利技术实施例提供的防火墙策略检测装置的示意图；图5为本专利技术一实施例的应用场景示意图。具体实施方式以下结合附图对本专利技术的实施例进行详细说明，应当理解，以下所说明的实施例仅用于说明和解释本专利技术，并不用于限定本专利技术。图1为本专利技术实施例提供的防火墙策略检测方法的流程图。如图1所示，本实施例提供的防火墙策略检测方法包括以下步骤：步骤101：在预定时间范围内从连接防火墙的交换机采集出入防火墙的流量。于此，步骤101之前，该方法还包括：获取用户配置信息，其中，所述用户配置信息包括宽泛策略阈值、MAC地址以及MAC地址与区域或接口的对应关系。于此，步骤101包括：在预定时间范围内从连接防火墙的交换机的镜像口采集流量；根据用户配置的MAC地址过滤采集的流量，得到出入防火墙的流量。步骤102：从所述流量中解析得到流信息。其中，所述流信息以七元组表示，所述七元组包括源区域、源IP地址、源端口、目的区域、目的IP地址、目的端口以及协议。其中，源区域以及目的区域根据用户配置的MAC地址与区域或接口的对应关系确定。步骤102之后，该方法还包括：将解析到的流信息存储至数据库流表。步骤103：获取防火墙策略，确定每条防火墙策略对应的原子策略的数目，其中，所述原子策略指源IP地址、目的IP地址、目的端口以及协议不可分解的策略。具体而言，不可分解指源IP地址、目的IP地址、目的端口以及协议均为唯一的。一条原子策略中，源IP地址、目的IP地址、目的端口以及协议的数目均为一个。步骤104：针对每一条防火墙策略，根据解析得到本文档来自技高网...

【技术保护点】
一种防火墙策略检测方法，其特征在于，包括：在预定时间范围内从连接防火墙的交换机采集出入防火墙的流量；从所述流量中解析得到流信息；获取防火墙策略，确定每条防火墙策略对应的原子策略的数目，其中，所述原子策略指源网络协议IP地址、目的IP地址、目的端口以及协议不可分解的策略；针对每一条防火墙策略，根据解析得到的流信息确定与该防火墙策略匹配的流的总数，计算该防火墙策略的覆盖率，所述覆盖率由所述总数与该防火墙策略对应的原子策略的数目的比值确定，当该防火墙策略的覆盖率小于宽泛策略阈值时，判定该防火墙策略为宽泛策略。

【技术特征摘要】
1.一种防火墙策略检测方法，其特征在于，包括：在预定时间范围内从连接防火墙的交换机采集出入防火墙的流量；从所述流量中解析得到流信息；获取防火墙策略，确定每条防火墙策略对应的原子策略的数目，其中，所述原子策略指源网络协议IP地址、目的IP地址、目的端口以及协议不可分解的策略；针对每一条防火墙策略，根据解析得到的流信息确定与该防火墙策略匹配的流的总数，计算该防火墙策略的覆盖率，所述覆盖率由所述总数与该防火墙策略对应的原子策略的数目的比值确定，当该防火墙策略的覆盖率小于宽泛策略阈值时，判定该防火墙策略为宽泛策略。2.如权利要求1所述的方法，其特征在于，所述在预定时间范围内从连接防火墙的交换机采集出入防火墙的流量之前，还包括：获取用户配置信息，其中，所述用户配置信息包括宽泛策略阈值、介质访问控制MAC地址以及MAC地址与区域或接口的对应关系。3.如权利要求2所述的方法，其特征在于，所述在预定时间范围内从连接防火墙的交换机采集出入防火墙的流量包括：在预定时间范围内从连接防火墙的交换机的镜像口采集流量；根据用户配置的MAC地址过滤采集的流量，得到出入防火墙的流量。4.如权利要求2所述的方法，其特征在于，所述流信息以七元组表示，所述七元组包括源区域、源IP地址、源端口、目的区域、目的IP地址、目的端口以及协议，其中，源区域及目的区域根据用户配置的MAC地址与区域或接口的对应关系确定。5.如权利要求1所述的方法，其特征在于，所述从所述流量中解析得到流信息之后，还包括：将解析到的流信息...

【专利技术属性】
技术研发人员：闫卓旭，柴忠，杨志泉，刘艳青，汤云峰，王靖，李京红，赵雪昆，刘乐，王立川，刘丹，单雷光，田毅，
申请(专利权)人：北京启明星辰信息安全技术有限公司，启明星辰信息技术集团股份有限公司，
类型：发明
国别省市：北京;11