The invention discloses a firewall detection method and apparatus, including: at a predetermined time range from connecting to the firewall switch and firewall traffic acquisition; get information from the traffic flow analysis; obtain firewall policies, determine the number of each of the firewall, including the atomic strategy, atomic strategy refers to the source network protocol (IP, Internet Protocol) address, destination IP address, destination port and protocol can not be decomposed for each strategy; a firewall strategy is determined according to the total flow matching with the firewall flow information gained by the analysis, calculation of the firewall policy coverage, the ratio of the number of the coverage rate by the total number and the corresponding atomic strategy firewall strategy to determine when the firewall policy strategy broad coverage of less than a threshold, sentenced The firewall policy is a broad strategy. The invention discloses a method and a device for detecting firewall policy, which can effectively detect a broad strategy in a firewall policy.
【技术实现步骤摘要】
本专利技术涉及信息安全领域,尤其涉及一种防火墙策略检测方法及装置。
技术介绍
防火墙是目前最为流行也是使用最为广泛的一种网络安全技术。在构建安全网络环境的过程中,防火墙作为第一道安全防线,正受到越来越多的关注。防火墙通过设置安全策略控制进出系统的数据,从而实现访问控制。在现有技术中,将采用NetFlow技术采集的防火墙业务流量七元组与策略七元组进行比对,进而判断不合规的防火墙策略,其中,流量七元组包括源地址、源端口、目的地址、目的端口、协议类型、数据流量大小以及流量发送频率,策略七元组包括源地址、源端口、目的地址、目的端口、协议类型、允许或拒绝。然而,上述方案依赖于防火墙,只适用于支持Flow功能的防火墙,而开启Flow功能会额外消耗防火墙的中央处理器(CPU,CentralProcessingUnit)时间,如果在防火墙CPU负载本身就很高的情况下,再额外增加CPU的负载很可能会影响到防火墙的正常工作,另外,从实现成本而言,当前的Flow类型很多,如Jflow、Sflow、Netstream等,每实现对一种Flow功能的支持就需要花费时间进行开发,实现成本高。并且,现有方案未涉及宽泛策略的检测。防火墙策略的设置需要遵循一定的原则,然而,宽泛策略违背了“策略最小化”原则,会带来安全隐患,甚至导致安全事件的发生。
技术实现思路
为了解决上述技术问题,本专利技术提供一种防火墙策略检测方法及装置,能够有效地检测防火墙策略中的宽泛策略。为了达到上述技术目的,本专利技术提供一种防火墙策略检测方法,包括:在预定时间范围内从连接防火墙的交换机采集出入防火墙的流量;从所述流 ...
【技术保护点】
一种防火墙策略检测方法,其特征在于,包括:在预定时间范围内从连接防火墙的交换机采集出入防火墙的流量;从所述流量中解析得到流信息;获取防火墙策略,确定每条防火墙策略对应的原子策略的数目,其中,所述原子策略指源网络协议IP地址、目的IP地址、目的端口以及协议不可分解的策略;针对每一条防火墙策略,根据解析得到的流信息确定与该防火墙策略匹配的流的总数,计算该防火墙策略的覆盖率,所述覆盖率由所述总数与该防火墙策略对应的原子策略的数目的比值确定,当该防火墙策略的覆盖率小于宽泛策略阈值时,判定该防火墙策略为宽泛策略。
【技术特征摘要】
1.一种防火墙策略检测方法,其特征在于,包括:在预定时间范围内从连接防火墙的交换机采集出入防火墙的流量;从所述流量中解析得到流信息;获取防火墙策略,确定每条防火墙策略对应的原子策略的数目,其中,所述原子策略指源网络协议IP地址、目的IP地址、目的端口以及协议不可分解的策略;针对每一条防火墙策略,根据解析得到的流信息确定与该防火墙策略匹配的流的总数,计算该防火墙策略的覆盖率,所述覆盖率由所述总数与该防火墙策略对应的原子策略的数目的比值确定,当该防火墙策略的覆盖率小于宽泛策略阈值时,判定该防火墙策略为宽泛策略。2.如权利要求1所述的方法,其特征在于,所述在预定时间范围内从连接防火墙的交换机采集出入防火墙的流量之前,还包括:获取用户配置信息,其中,所述用户配置信息包括宽泛策略阈值、介质访问控制MAC地址以及MAC地址与区域或接口的对应关系。3.如权利要求2所述的方法,其特征在于,所述在预定时间范围内从连接防火墙的交换机采集出入防火墙的流量包括:在预定时间范围内从连接防火墙的交换机的镜像口采集流量;根据用户配置的MAC地址过滤采集的流量,得到出入防火墙的流量。4.如权利要求2所述的方法,其特征在于,所述流信息以七元组表示,所述七元组包括源区域、源IP地址、源端口、目的区域、目的IP地址、目的端口以及协议,其中,源区域及目的区域根据用户配置的MAC地址与区域或接口的对应关系确定。5.如权利要求1所述的方法,其特征在于,所述从所述流量中解析得到流信息之后,还包括:将解析到的流信息...
【专利技术属性】
技术研发人员:闫卓旭,柴忠,杨志泉,刘艳青,汤云峰,王靖,李京红,赵雪昆,刘乐,王立川,刘丹,单雷光,田毅,
申请(专利权)人:北京启明星辰信息安全技术有限公司,启明星辰信息技术集团股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。