《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 設(shè)計(jì)應(yīng)用 > 防火墻安全策略配置與分析方法研究
防火墻安全策略配置與分析方法研究
網(wǎng)絡(luò)安全與數(shù)據(jù)治理
李沛婷,陳飛,魯知朋
中國電子科技集團(tuán)公司第三十研究所
摘要: 提出了一種基于流量數(shù)據(jù)的防火墻安全策略配置與分析方法,首先進(jìn)行流程數(shù)據(jù)采集,然后基于攻擊和惡意代碼特征庫以及規(guī)則特征庫展開流量檢測,對流量數(shù)據(jù)進(jìn)行特征行為匹配,標(biāo)記異常流量數(shù)據(jù),接著基于異常流量報警信息生成防火墻安全策略并進(jìn)行阻斷以實(shí)現(xiàn)策略自動生成。最后提出安全策略分析的規(guī)則及流程,實(shí)現(xiàn)防火墻安全策略優(yōu)化建議的生成,以輔助管理員完成安全策略配置及優(yōu)化,提升運(yùn)行維護(hù)效能,滿足系統(tǒng)快速開通、策略動態(tài)調(diào)整等場景下的快速響應(yīng)需求。
中圖分類號:TP393.09文獻(xiàn)標(biāo)識碼:ADOI:10.19358/j.issn.2097-1788.2025.06.004
引用格式:李沛婷,陳飛,魯知朋. 防火墻安全策略配置與分析方法研究[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2025,44(6):28-35.
Research on firewall security policy configuration and analysis methods
Li Peiting,Chen Fei,Lu Zhipeng
The 30th Research Institute of China Electronics Technology Group Corporation
Abstract: This paper proposes a firewall security policy configuration and analysis method based on traffic data. Firstly, process data is collected, followed by traffic detection based on attack and malicious code feature libraries as well as rule feature libraries. The traffic data is analyzed by matching characteristic behaviors, and abnormal traffic data is marked to obtain the traffic analysis results. Based on the abnormal traffic alarm information, firewall security policies are generated to detect and block abnormal traffic, achieving automatic policy generation. Finally, rules and processes for security policy analysis are proposed to implement a security policy analysis method. This enables the generation of firewall security policy optimization recommendations to assist administrators in completing security policy configuration and optimization, improving operation and maintenance efficiency, and meeting the needs of rapid system deployment and dynamic policy adjustments.
Key words : traffic data; feature library; security policy auto-generation; firewall policy; security policy optimization recommendations

引言

隨著企業(yè)的關(guān)鍵業(yè)務(wù)活動越來越依賴于網(wǎng)絡(luò),各種安全事件的發(fā)生率不斷攀升,造成的不良影響越來越大,防火墻的重要性也越來越高[1]。防火墻作為網(wǎng)絡(luò)安全的第一道防線,一直作為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的屏障。其用途是通過允許、拒絕、重定向通過防火墻的數(shù)據(jù)流量,提供不同網(wǎng)絡(luò)之間服務(wù)訪問的控制和審計(jì),包括基于用戶和協(xié)議的策略定義、 URL 過濾、協(xié)議識別等。典型的防火墻策略由源地址、目的地址、傳輸層協(xié)議、源端口、目的端口、應(yīng)用協(xié)議決定,并以數(shù)據(jù)包到達(dá)或者離開接口為基準(zhǔn)。防火墻策略的部署依賴于業(yè)務(wù)需求的正確解析、防火墻策略配置方案的正確生成、策略內(nèi)容的正確下發(fā),是一個復(fù)雜且容易出錯的過程[2]。正確提升防火墻策略配置效率,對防護(hù)網(wǎng)絡(luò)和設(shè)備的安全至關(guān)重要[3]。

已有很多學(xué)者展開了安全策略相關(guān)研究,陳浩宇[4]提出網(wǎng)絡(luò)安全策略的自動化管理方案,使網(wǎng)絡(luò)管理員能夠采用可編程的方式對網(wǎng)絡(luò)安全事件進(jìn)行響應(yīng),提高了策略管理效率與事件響應(yīng)速度,但是缺少對安全策略的分析,沒有給管理員提供配置建議。吳蓓[5]研究了安全策略轉(zhuǎn)換和沖突檢測技術(shù),詳細(xì)剖析了安全策略的概念及策略分類準(zhǔn)則,提出了安全策略沖突模型和安全策略轉(zhuǎn)換模型,但是這些模型的普適性、正確性還有待驗(yàn)證。周佳等[6]進(jìn)行了安全配置策略自動生成與驗(yàn)證技術(shù)研究,分別從安全配置策略形式化描述、安全配置意圖與策略映射模型構(gòu)建及驗(yàn)證、安全配置策略自動轉(zhuǎn)譯、安全配置策略沖突檢測及優(yōu)化等進(jìn)行詳細(xì)介紹,以實(shí)現(xiàn)網(wǎng)絡(luò)安全配置意圖準(zhǔn)確、快速轉(zhuǎn)化為安全設(shè)備可識別執(zhí)行的網(wǎng)絡(luò)安全策略,但是沒有將研究方法應(yīng)用在具體安全設(shè)備上進(jìn)行驗(yàn)證。綜上所述,已經(jīng)有很多學(xué)者研究如何高效智能地配置安全策略,以期降低人工成本以及減少人為配置安全策略的主觀性和復(fù)雜性,但是將方法應(yīng)用到實(shí)際安全設(shè)備中的較少。本文以防火墻安全設(shè)備為切入點(diǎn),研究防火墻安全策略,以及進(jìn)行安全策略分析。

本文首先介紹防火墻安全策略,并基于結(jié)構(gòu)化語言對防火墻安全策略進(jìn)行描述。然后采用一種流量數(shù)據(jù)分析技術(shù),通過特征匹配獲得異常流量數(shù)據(jù),為安全策略的生成提供數(shù)據(jù)支撐。接著提出安全策略分析方法,通過分析防火墻安全策略配置情況,如空閑、冗余、被覆蓋、沖突、可合并等,給出策略配置建議。安全策略配置與分析方法體系模型如圖1所示。

無標(biāo)題.png

圖1安全策略配置與分析方法體系模型


本文詳細(xì)內(nèi)容請下載:

http://ihrv.cn/resource/share/2000006577


作者信息:

李沛婷,陳飛,魯知朋

(中國電子科技集團(tuán)公司第三十研究所,四川成都610041)


Magazine.Subscription.jpg

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。