本发明专利技术公开了一种基于二部图的防火墙规则更新方法,该方法首先根据防火墙规则构建表示防火墙规则的二部图,然后将防火墙规则更新需求与表示防火墙规则的二部图进行匹配,确认防火墙规则更新需求并对防火墙规则进行更新。本发明专利技术将防火墙规则的更新转换为在防火墙规则的二部图中进行边和顶点的修改,防火墙规则的二部图清晰地表示了防火墙中各规则之间的关系。当更新防火墙规则指令产生意想不到的结果时,将及时提醒管理人员修正更新需求,避免因粗心引发的错误。同时,根据管理人员确认的更新请求及当前防火墙规则,自动产生最优更新指令完成防火墙规则更新,使更新后防火墙中的规则尽可能地少,以满足用户对防火墙更新的要求。
Firewall rule updating method based on two part diagram
The invention discloses a method for updating the two plans based on the method of firewall rules, according to the Ministry of Construction said two firewall rules map of firewall rules, then the firewall rules to update the demand and said two figure matching the rules of firewall, firewall rules and updates the requirements of firewall rule update. The invention converts the updating of firewall rules into the modification of edges and vertices in the two parts of the firewall rule, and the two diagrams of the firewall rules clearly represent the relations among the rules in the firewall. When updating firewall rule instructions to produce unexpected results, managers will be reminded in a timely manner to correct the update requirements and avoid errors caused by carelessness. At the same time, according to the update request management confirmed and the firewall rules, automatically generate the optimal update instructions to complete the firewall rules update, the update after the firewall rules in as few as possible to meet user requirements to update the firewall.
【技术实现步骤摘要】
一种基于二部图的防火墙规则更新方法
本专利技术属于网络安全领域,主要涉及一种基于二部图的防火墙规则更新方法。
技术介绍
防火墙访问控制是保证网络安全最重要的核心策略之一,访问控制列表(AccessControlList,ACL)是路由器和交换机接口的指令列表,ACL不但可控制网络流量及流向,而且在很大程度上起到保护网络设备、服务器的关键作用。作为外网进入企业内网的第一道关卡,路由器上的访问控制列表成为保护内网安全的有效手段。目前还没有针对防火墙更新需求而设计的防火墙更新方法,美国密西根州立大学AlexLiu教授的论文“Change-ImpactAnalysisofFirewallPolicies”提出的方法帮助防火墙管理人员认识所进行的修改会产生什么样的实质结果,但没有提出如何进行修改来满足管理人员的要求。在防火墙的错误定位以及修护方面,目前最新的研究成果是FeiChen博士和AlexLiu教授提出的“TheFirstStepTowardAutomaticCorrectionofFirewallFaults”,他们的方法是通过采用测试数据包去测试防火墙,然后根据测试结果采用不同的方法对防火墙进行修护,使得所有的测试数据包都能通过测试,但在他们的研究成果中,他们承认在规则缺失以及防火墙域的错误方面没有取得满意的结果,该方法另外一个问题是:在进行纠错的同时可能引入新的错误,另外,对防火墙进行自动纠错是不可取的,因为没有一个正确的标准存在。防火墙是网络安全防御的第一道防线,通常安置在私有网络到公有网络的入口处,以便所有进入私有网络和从私有网络出去的数据包都经过防火墙,防火墙的功能就是根据预先设定好的政策决定接收数据包或者丢弃数据包,防火墙的政策是由一系列的规则组成,这些规则称之为访问控制列表。访问控制列表中的规则通常存在重叠,甚至冲突。防火墙采取第一匹配的方式,来解决规则的冲突问题,即防火墙应用与该数据包匹配的第一条规则的动作。防火墙规则经常需要进行更新,如新服务的提供、新安全威胁的出现以及网络拓扑结构的变化等等。但是在实际中由于防火墙规则的高度复杂以及缺乏先进的工具,防火墙更新远比构建一个新的防火墙更难。有两个主要原因导致防火墙规则的复杂,第一、由于规则之间存在冲突,规则之间的逻辑关系异常复杂,规则对顺序敏感;第二、访问控制列表中的规则数量通常很大,一个企业防火墙中的规则数量通常达到数百甚至数千,Avishai等人证明防火墙的复杂度与其中的规则数量成比率增长。因此,在含有数量较多、逻辑复杂的防火墙上进行更新是非常困难的工作,有效的防火墙更新方法和工具对防火墙更新至关重要,目前还没有相关工具,因此防火墙的更新往往会不经意引入人为错误以及使得防火墙的规则数量不断增大。研究表明,管理人员引入的错误是导致网络服务失败的主要原因,其中防火墙规则的不正确分类是其中最主要的,防火墙中的错误产生两个方面的影响:(1)产生安全漏洞,使得不想要的甚至恶意的数据流进入私有网络,对私有网络造成损害;(2)妨碍了合法数据流的进入,防碍了正常义务的开展,导致公司收入的锐减。访问控制列表中的规则数量对于防火墙非常关键。主要有以下两个原因:(1)一些防火墙产品对防火墙中的规则数量严格限制,例如NetScreen100最多容纳733条规则;(2)防火墙规则匹配无外乎两种方式:顺序匹配和并行匹配,对于线性匹配,规则越多,匹配耗时越长;对于并行匹配,规则越多意味着需要消耗的能量越多。
技术实现思路
本专利技术提供了一种基于二部图的防火墙规则更新方法,旨在解决目前还没有针对防火墙更新需求而设计的防火墙更新方法,无法帮助防火墙管理人员确认更新需求,避免由于粗心引入新的错误,同时无法根据更新需求以及当前防火墙的规则,产生最优更新指令完成更新的问题。本专利技术的目的在于提供一种基于二部图的防火墙规则更新方法,该防火墙规则更新方法包括以下步骤:步骤一:根据防火墙规则,构建表示防火墙规则的二部图;步骤二:将防火墙规则更新需求与表示防火墙规则的二部图进行匹配,确认防火墙规则更新需求,对防火墙规则进行更新。进一步,在步骤一中,在表示防火墙规则的二部图中,每一个顶点代表防火墙中的一条规则,所有的顶点根据对应防火墙规则采取的动作是接收或丢弃而分成两个集合:接收集合、丢弃集合;表示防火墙规则的二部图中的边表示防火墙规则之间的关系,当两条防火墙规则之间存在重叠时,两条防火墙规则之间就存在一条边,边上的域值表示这两条防火墙规则的交集,边的方向表示两条防火墙规则的顺序;根据始点和终点的不同,有三种类型的边:自环、内部边、外部边,其中自环的始点和终点是同一个顶点,内部边的始点和终点属于同一个集合,外部边的始点和终点分属不同的集合;在步骤二中,将防火墙规则更新需求与表示防火墙规则的二部图进行匹配,确认防火墙规则更新需求是通过提醒防火墙管理人员该防火墙规则更新会造成的数据包动作的变化,同时防火墙管理人员可做出相应的调整;当防火墙管理人员确认防火墙规则更新需求后,防火墙规则更新分两步:第一步,根据防火墙规则更新需求,在表示防火墙规则的二部图中修改相应的边和顶点;首先设计一个称之为FRRG的新颖数据结构,该结构是一个特殊的表示防火墙政策的二部图。在FRRG中每一个顶点代表防火墙中的一条规则,所有的顶点根据对应规则采取的动作是接收或丢弃而分成两个集合:接收集合、丢弃集合。在FRRG中的边表示规则之间的关系,当两条规则的域值之间存在重叠时,它们之间就存在一条边,边上的域值表示这两条规则的交集,边的方向表示这两条规则的顺序。根据始点和终点的不同,有三种类型的边:自环(始点和终点是同一个顶点)、内部边(始点和终点属于同一个集合)和外部边(始点和终点分属不同的集合)。第二步,根据表示防火墙规则的二部图,计算最少的防火墙规则输出方法,并将防火墙规则进行输出。构建完FRRG后,将规则更新需求与FRRG中的边进行匹配。更新需求确认是通过提醒该更新会造成哪些数据包动作的变化,管理员可以做出相应的调整;当更新需求确认后,更新步骤分两步:第一步根据更新需求在FRRG中修改相应的边和顶点;第二步,根据FRRG,计算最少的规则输出方法并将规则进行输出。在输出过程中,只需要考虑外部边,外部边之间可能存在环,采取相应的破环方法,并基于拓扑排序和树搜索算法设计出最优规则输出算法。进一步,在根据表示防火墙规则的二部图,计算最少的防火墙规则输出方法,并将防火墙规则进行输出时,只需考虑表示防火墙规则的二部图的外部边,外部边之间存在环时,采取相应的破环方法,并基于拓扑排序和A*算法设计出最优规则输出算法。本专利技术提供的基于二部图的防火墙规则更新方法,将防火墙规则的更新转换成在防火墙规则的二部图中进行边和顶点的修改,防火墙规则的二部图非常清晰地表示了防火墙中各规则之间的关系,当更新防火墙规则指令产生意想不到的结果时,本专利技术能及时进行提醒,帮助管理人员修正更新需求,避免了由于粗心引起的错误,同时根据管理人员确认的更新请求以及当前防火墙规则,采用基于拓扑排序和A*算法设计出防火墙规则的最优输出方法,自动产生最优更新指令来完成防火墙规则更新,使得更新后防火墙中的规则尽可能的少,达到了用户对防火墙更新的要求。附图说明图1是本专利技术实施本文档来自技高网...
【技术保护点】
一种基于二部图的防火墙规则更新方法,其特征在于,该防火墙规则更新方法包括以下步骤:步骤一:根据防火墙规则,构建表示防火墙规则的二部图;步骤二:将防火墙规则更新需求与表示防火墙规则的二部图进行匹配,确认防火墙规则更新需求,对防火墙规则进行更新;在步骤一中,在表示防火墙规则的二部图中,每一个顶点代表防火墙中的一条规则,所有的顶点根据对应防火墙规则采取的动作是接收或丢弃而分成两个集合:接收集合、丢弃集合;表示防火墙规则的二部图中的边表示防火墙规则之间的关系,当两条防火墙规则之间存在重叠时,两条防火墙规则之间就存在一条边,边上的域值表示这两条防火墙规则的交集,边的方向表示两条防火墙规则的顺序;根据始点和终点的不同,有三种类型的边:自环、内部边、外部边,其中自环的始点和终点是同一个顶点,内部边的始点和终点属于同一个集合,外部边的始点和终点分属不同的集合;在步骤二中,将防火墙规则更新需求与表示防火墙规则的二部图进行匹配,确认防火墙规则更新需求是通过提醒防火墙管理人员该防火墙规则更新会造成的数据包动作的变化,同时防火墙管理人员可做出相应的调整;当防火墙管理人员确认防火墙规则更新需求后,防火墙规则更新分两步:第一步,根据防火墙规则更新需求,在表示防火墙规则的二部图中修改相应的边和顶点;首先设计一个称之为FRRG的新颖数据结构,该结构是一个特殊的表示防火墙政策的二部图;在FRRG中每一个顶点代表防火墙中的一条规则,所有的顶点根据对应规则采取的动作是接收或丢弃而分成两个集合:接收集合、丢弃集合;在FRRG中的边表示规则之间的关系,当两条规则的域值之间存在重叠时,它们之间就存在一条边,边上的域值表示这两条规则的交集,边的方向表示这两条规则的顺序;根据始点和终点的不同,有三种类型的边:自环、内部边和外部边;第二步,根据表示防火墙规则的二部图,计算最少的防火墙规则输出方法,并将防火墙规则进行输出;构建完FRRG后,将规则更新需求与FRRG中的边进行匹配;更新需求确认是通过提醒该更新会造成哪些数据包动作的变化,管理员可以做出相应的调整;当更新需求确认后,更新步骤分两步:第一步根据更新需求在FRRG中修改相应的边和顶点;第二步,根据FRRG,计算最少的规则输出方法并将规则进行输出;在输出过程中,只需要考虑外部边,外部边之间可能存在环,采取相应的破环方法,并基于拓扑排序和树搜索算法设计出最优规则输出算法;在根据表示防火墙规则的二部图,计算最少的防火墙规则输出方法,并将防火墙规则进行输出时,只需考虑表示防火墙规则的二部图的外部边,外部边之间存在环时,采取相应的破环方法,并基于拓扑排序和A*算法设计出最优规则输出算法。...
【技术特征摘要】
1.一种基于二部图的防火墙规则更新方法,其特征在于,该防火墙规则更新方法包括以下步骤:步骤一:根据防火墙规则,构建表示防火墙规则的二部图;步骤二:将防火墙规则更新需求与表示防火墙规则的二部图进行匹配,确认防火墙规则更新需求,对防火墙规则进行更新;在步骤一中,在表示防火墙规则的二部图中,每一个顶点代表防火墙中的一条规则,所有的顶点根据对应防火墙规则采取的动作是接收或丢弃而分成两个集合:接收集合、丢弃集合;表示防火墙规则的二部图中的边表示防火墙规则之间的关系,当两条防火墙规则之间存在重叠时,两条防火墙规则之间就存在一条边,边上的域值表示这两条防火墙规则的交集,边的方向表示两条防火墙规则的顺序;根据始点和终点的不同,有三种类型的边:自环、内部边、外部边,其中自环的始点和终点是同一个顶点,内部边的始点和终点属于同一个集合,外部边的始点和终点分属不同的集合;在步骤二中,将防火墙规则更新需求与表示防火墙规则的二部图进行匹配,确认防火墙规则更新需求是通过提醒防火墙管理人员该防火墙规则更新会造成的数据包动作的变化,同时防火墙管理人员可做出相应的调整;当防火墙管理人员确认防火墙规则更新需求后,防火墙规则更新分两步:第一步,根据防火墙规则更新需求,在表示防火墙规则的二部图中修改相应的边和顶点;首先设计一个称之为FR...
【专利技术属性】
技术研发人员:李睿,陈浩,
申请(专利权)人:湖南大学,
类型:发明
国别省市:湖南,43
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。