一种防火墙访问控制策略的分析方法及装置制造方法
【专利摘要】本申请公开了一种防火墙访问控制策略的分析方法及装置,包括:分析装置获取防火墙的全部访问控制策略;在各个访问控制策略中,当动作标识为不允许时,访问控制策略为安全的访问控制策略;当动作标识为允许,且源IP地址集合包含于非可信的IP地址集合,且目的IP地址集合包含于允许访问的IP地址集合,且目的端口号集合包含于允许访问的目的端口号集合时,访问控制策略为安全的访问控制策略,否则,访问控制策略为不安全的访问控制策略,当安全的访问控制策略的个数大于或等于两个时,分析装置将每两个安全的访问控制策略进行优化分析。不仅能够有效地提高防火墙访问控制策略的分析效率,而且还能够保证对防火墙访问控制策略分析的正确性。
【专利说明】一种防火墙访问控制策略的分析方法及装置
【技术领域】
[0001]本申请涉及移动通信技术,特别涉及一种防火墙访问控制策略的分析方法及装置。
【背景技术】
[0002]随着企业信息化的普及,网络的信息安全问题已引起越来越多的关注,为了保障网络设备的信息安全,通常使用防火墙来对各个网络设备实行严格的访问控制,防火墙是一个软硬件结合的信息安全设备,它根据访问控制策略对流经的数据进行访问控制,从而保障网络的信息安全。一般情况下,每个防火墙中都有大量的访问控制策略,其中,各个所述访问控制策略包括:源IP地址集合、目的IP地址集合、目的端口号集合和动作标识,其中,所述动作标识包括:允许和不允许。当某个数据包经过防火墙时,防火墙依据全部访问控制策略依次对该数据包进行匹配,从而判断是否对该数据包放行。
[0003]一个典型的访问控制策略如下述表1所示:
[0004]
【权利要求】
1.一种防火墙访问控制策略的分析方法,其特征在于,包括: 分析装置获取防火墙的全部访问控制策略,其中,各个所述访问控制策略包括:源IP地址集合、目的IP地址集合、目的端口号集合和动作标识,其中,所述动作标识包括:允许和不允许; 在各个所述访问控制策略中,当所述动作标识为不允许时,所述访问控制策略为安全的访问控制策略; 当所述动作标识为允许,且所述源IP地址集合包含于预先设置的非可信的IP地址集合,且所述目的IP地址集合包含于预先设置的允许访问的IP地址集合,且所述目的端口号集合包含于预先设置的允许访问的目的端口号集合时,所述访问控制策略为安全的访问控制策略,否则,所述访问控制策略为不安全的访问控制策略; 当所述安全的访问控制策略的个数大于或等于两个时,所述分析装置根据每两个安全的访问控制策略中的源IP地址集合、目的IP地址集合以及目的端口号集合的包含关系,将每两个安全的访问控制策略进行优化分析,获取每两个安全的访问控制策略的优化分析结果O
2.根据权利要求1所述的方法,其特征在于,所述将每两个安全的访问控制策略进行优化分析包括: 所述分析装置将两个安全的访问控制策略中的其中一个安全的访问控制策略设置为第一访问控制策略,将另一个安全的访问控制策略设置为第二访问控制策略; 当所述第一访问控制策略中的源IP地址集合与所述第二访问控制策略中的源IP地址集合,所述第一访问控制策略中的目的IP地址集合与所述第二访问控制策略中的目的IP地址集合,以及所述第一访问控制策略中的目的端口号集合与所述第二访问控制策略中的目的端口号集合均存在包含关系时,所述第一访问控制策略与所述第二访问控制策略互为不优化的访问控制策略,否则,所述第一访问控制策略与所述第二访问控制策略互为优化的访问控制策略。
3.根据权利要求2所述的方法,其特征在于,所述不优化的访问控制策略包括:非交叉的访问控制策略和交叉的访问控制策略; 当所述第一访问控制策略中的源IP地址集合与所述第二访问控制策略中的源IP地址集合的包含关系、所述第一访问控制策略中的目的IP地址集合与所述第二访问控制策略中的目的IP地址集合的包含关系,以及所述第一访问控制策略中的目的端口号集合与所述第二访问控制策略中的目的端口号集合的包含关系均相同时,所述第一访问控制策略与所述第二访问控制策略互为非交叉的访问控制策略,否则,所述第一访问控制策略与所述第二访问控制策略互为交叉的访问控制策略。
4.根据权利要求3所述的方法,其特征在于,所述第一访问控制策略与所述第二访问控制策略互为非交叉的访问控制策略包括: 所述第一访问控制策略中的源IP地址集合包含所述第二访问控制策略中的源IP地址集合,且所述第一访问控制策略中的目的IP地址集合包含所述第二访问控制策略中的目的IP地址集合,且所述第一访问控制策略中的目的端口号集合包含所述第二访问控制策略中的目的端口号集合; 或者,所述第一访问控制策略中的源IP地址集合包含于所述第二访问控制策略中的源IP地址集合,且所述第一访问控制策略中的目的IP地址集合包含于所述第二访问控制策略中的目的IP地址集合,且所述第一访问控制策略中的目的端口号集合包含于所述第二访问控制策略中的目的端口号集合。
5.根据权利要求3所述的方法,其特征在于,所述第一访问控制策略与所述第二访问控制策略互为交叉的访问控制策略包括: 所述第一访问控制策略中的源IP地址集合包含所述第二访问控制策略中的源IP地址,且所述第一访问控制策略中的目的IP地址集合包含所述第二访问控制策略中的目的IP地址集合,且所述第一访问控制策略中的目的端口号集合包含于所述第二访问控制策略中的目的端口号集合; 或者,所述第一访问控制策略中的源IP地址集合包含所述第二访问控制策略中的源IP地址集合,且所述第一访问控制策略中的目的IP地址集合包含于所述第二访问控制策略中的目的IP地址集合时,且所述第一访问控制策略中的目的端口号集合包含所述第二访问控制策略中的目的端口号集合; 或者,所述第一访问控制策略中的源IP地址集合包含所述第二访问控制策略中的源IP地址集合,且所述第一访问控制策略中的目的IP地址集合包含于所述第二访问控制策略中的目的IP地址集合,且所述第一访问控制策略中的目的端口号集合包含于所述第二访问控制策略中的目的端口号集合; 或者,所述第一访问控制策略中的源IP地址集合包含于所述第二访问控制策略中的源IP地址集合,且所述第一访问控制策略中的目的IP地址集合包含所述第二访问控制策略中的目的IP地址集合,且所述第一访问控制策略中的目的端口号集合包含所述第二访问控制策略中的目的端口号集合; 或者,所述第一访问控制策略中的源IP地址集合包含于所述第二访问控制策略中的源IP地址集合,且所述第一访问控制策略中的目的IP地址集合包含所述第二访问控制策略中的目的IP地址集合,且所述第一访问控制策略中的目的端口号集合包含于所述第二访问控制策略中的端口号集合; 或者,所述第一访问控制策略中的源IP地址集合包含于所述第二访问控制策略中的源IP地址集合,且所述第一访问控制策略中的目的IP地址集合包含于所述第二访问控制策略中的目的IP地址集合,且所述第一访问控制策略中的目的端口号集合包含所述第二访问控制策略中的端口号集合。
6.根据权利要求3所述的方法,其特征在于,所述非交叉的访问控制策略包括:非交叉重复的访问控制策略和非交叉冲突的访问控制策略; 当所述第一访问控制策略与所述第二访问控制策略互为非交叉的访问控制策略,且所述第一访问控制策略中的动作标识与所述第二访问控制策略中的动作标识相同时,所述第一访问控制策略与所述第二访问控制策略互为非交叉重复的访问控制策略,否则,所述第一访问控制策略与所述第二访问控制策略互为非交叉冲突的访问控制策略。
7.根据权利要求3所述的方法,其特征在于,所述交叉的访问控制策略包括:交叉重复的访问控制策略和交叉冲突的访问控制策略; 当所述第一访问控制策略与所述第二访问控制策略互为交叉的访问控制策略,且所述第一访问控制策略中的动作标识与所述第二访问控制策略中的动作标识相同时,所述第一访问控制策略与所述第二访问控制策略互为交叉重复的访问控制策略,否则,所述第一访问控制策略与所述第二访问控制策略为互交叉冲突的访问控制策略。
8.一种防火墙访问控制策略的分析装置,其特征在于,包括:获取单元和分析单元; 所述获取单元,用于获取防火墙的全部访问控制策略,其中,各个所述访问控制策略包括:源IP地址集合、目的IP地址集合、目的端口号集合和动作标识,其中,所述动作标识包括:允许和不允许;将全部所述访问控制策略发送给所述分析单元; 所述分析单元,用于在各个所述访问控制策略中,判断所述动作标识是否为不允许,若是,所述访问控制策略为安全的访问控制策略,否则,判断所述源IP地址集合是否包含于预先设置的非可信的IP地址集合,且所述目的IP地址集合是否包含于预先设置的允许访问的IP地址集合,且所述目的端口号集合是否包含于预先设置的允许访问的目的端口号集合,若是,所述访问控制策略为安全的访问控制策略,否则,所述访问控制策略为不安全的访问控制策略;还用于当所述安全的访问控制策略的个数大于或等于两个时,根据每两个安全的访问控制策略中的源IP地址集合、目的IP地址集合以及目的端口号集合的包含关系,将每两个安全的访问控制策略进行优化分析,获取每两个安全的访问控制策略的优化分析结果。
9.根据权利要求8所述的装置,其特征在于,所述分析单元,还用于将两个安全的访问控制策略中的其中一个安全的访问控制策略设置为第一访问控制策略,将另一个安全的访问控制策略设置为第二访问控制策略;当所述第一访问控制策略中的源IP地址集合与所述第二访问控制策略中的源IP地址集合,所述第一访问控制策略中的目的IP地址集合与所述第二访问控制策略中的目的IP地址集合,以及所述第一访问控制策略中的目的端口号集合与所述第二访问 控制策略中的目的端口号集合均存在包含关系时,所述第一访问控制策略与所述第二访问控制策略互为不优化的访问控制策略,否则,所述第一访问控制策略与所述第二访问控制策略互为优化的访问控制策略。
10.根据权利要求9所述的装置,其特征在于,所述不优化的访问控制策略包括:非交叉的访问控制策略和交叉的访问控制策略; 所述分析单元,还用于判断所述第一访问控制策略中的源IP地址集合与所述第二访问控制策略中的源IP地址集合的包含关系、所述第一访问控制策略中的目的IP地址集合与所述第二访问控制策略中的目的IP地址集合的包含关系,以及所述第一访问控制策略中的目的端口号集合与所述第二访问控制策略中的目的端口号集合的包含关系是否均相同,若是,所述第一访问控制策略与所述第二访问控制策略互为非交叉的访问控制策略,否贝U,所述第一访问控制策略与所述第二访问控制策略互为交叉的访问控制策略。
11.根据权利要求10所述的装置,其特征在于,所述第一访问控制策略与所述第二访问控制策略互为非交叉的访问控制策略包括: 所述第一访问控制策略中的源IP地址集合包含所述第二访问控制策略中的源IP地址集合,且所述第一访问控制策略中的目的IP地址集合包含所述第二访问控制策略中的目的IP地址集合,且所述第一访问控制策略中的目的端口号集合包含所述第二访问控制策略中的目的端口号集合; 或者,所述第一访问控制策略中的源IP地址集合包含于所述第二访问控制策略中的源IP地址集合,且所述第一访问控制策略中的目的IP地址集合包含于所述第二访问控制策略中的目的IP地址集合,且所述第一访问控制策略中的目的端口号集合包含于所述第二访问控制策略中的目的端口号集合。
12.根据权利要求10所述的装置,其特征在于,所述第一访问控制策略与所述第二访问控制策略互为交叉的访问控制策略包括: 所述第一访问控制策略中的源IP地址集合包含所述第二访问控制策略中的源IP地址,且所述第一访问控制策略中的目的IP地址集合包含所述第二访问控制策略中的目的IP地址集合,且所述第一访问控制策略中的目的端口号集合包含于所述第二访问控制策略中的目的端口号集合; 或者,所述第一访问控制策略中的源IP地址集合包含所述第二访问控制策略中的源IP地址集合,且所述第一访问控制策略中的目的IP地址集合包含于所述第二访问控制策略中的目的IP地址集合时,且所述第一访问控制策略中的目的端口号集合包含所述第二访问控制策略中的目的端口号集合; 或者,所述第一访问控制策略中的源IP地址集合包含所述第二访问控制策略中的源IP地址集合,且所述第一访问控制策略中的目的IP地址集合包含于所述第二访问控制策略中的目的IP地址集合,且所述第一访问控制策略中的目的端口号集合包含于所述第二访问控制策略中的目的端口号集合; 或者,所述第一访问控制策略中的源IP地址集合包含于所述第二访问控制策略中的源IP地址集合,且所述第一访问控制策略中的目的IP地址集合包含所述第二访问控制策略中的目的IP地址集合,且所述第一访问控制策略中的目的端口号集合包含所述第二访问控制策略中的目的端口号集合; 或者,所述第一访问控制策略中的源IP地址集合包含于所述第二访问控制策略中的源IP地址集合,且所述第一访问控制策略中的目的IP地址集合包含所述第二访问控制策略中的目的IP地址集合,且所述第一访问控制策略中的目的端口号集合包含于所述第二访问控制策略中的端口号集合; 或者,所述第一访问控制策略中的源IP地址集合包含于所述第二访问控制策略中的源IP地址集合,且所述第一访问控制策略中的目的IP地址集合包含于所述第二访问控制策略中的目的IP地址集合,且所述第一访问控制策略中的目的端口号集合包含所述第二访问控制策略中的端口号集合。
13.根据权利要求10所述的装置,其特征在于,所述非交叉的访问控制策略包括:非交叉重复的访问控制策略和非交叉冲突的访问控制策略; 所述分析单元,还用于判断所述第一访问控制策略与所述第二访问控制策略是否互为^ ^交叉的访问控制策略,且所述第一访问控制策略中的动作标识与所述第二访问控制策略中的动作标识是否相同,若是,所述第一访问控制策略与所述第二访问控制策略互为非交叉重复的访问控制策略,否则,所述第一访问控制策略与所述第二访问控制策略互为非交叉冲突的访问控制策略。
14.根据权利要求10所述的装置,其特征在于,所述交叉的访问控制策略包括:交叉重复的访问控制策略和交叉冲突的访问控制策略; 所述分析单元,还用于判断所述第一访问控制策略与所述第二访问控制策略是否互为交叉的访问控制策略,且所述第一访问控制策略中的动作标识与所述第二访问控制策略中的动作 标识是否相同,若是,所述第一访问控制策略与所述第二访问控制策略互为交叉重复的访问控制策略,否则,所述第一访问控制策略与所述第二访问控制策略为互交叉冲突的访问控制策略。
【文档编号】H04L29/06GK103905407SQ201210585072
【公开日】2014年7月2日 申请日期:2012年12月28日 优先权日:2012年12月28日
【发明者】付俊, 张峰, 冯运波, 李友国, 莫晓斌, 卢楠 申请人:中国移动通信集团公司