基于改进策略树的防火墙策略审计方案设计与实现

doi:10.3969/j.issn.1671-1122.2014.10.012

信息网络安全 ›› 2014, Vol. 14 ›› Issue (10): 64-69.doi: 10.3969/j.issn.1671-1122.2014.10.012

基于改进策略树的防火墙策略审计方案设计与实现

卢云龙¹, 罗守山¹, 郭玉鹏²

1.北京邮电大学信息安全中心,北京 100876
2.北京林业大学信息学院,北京 100083

收稿日期:2014-09-01 出版日期:2014-10-01 发布日期:2015-08-17
作者简介:
卢云龙（1991-）,男,山东,硕士研究生,主要研究方向：计算机应用、网络安全;罗守山（1962-）,男,安徽,教授,博士,主要研究方向：编码密码学、网络安全;郭玉鹏（1988-）,女,湖北,硕士研究生,主要研究方向：计算机图形学、应用安全。
基金资助:
国家自然科学基金[61121061、61161140320]、国家电网科学计划[EPRIXXKJ[2013]2868]

The Design and Implementation of Firewall Policy Audit Plan Based on Improved Strategy Tree

LU Yun-long¹, LUO Shou-shan¹, GUO Yu-peng²

1. Information Security Center, Beijing University of Posts and Telecommunications, Beijing 100876, China
2. School of Information Science & Technology, Beijing Forestry University, Beijing 100083, China

Received:2014-09-01 Online:2014-10-01 Published:2015-08-17

摘要/Abstract

摘要：

防火墙在当今网络中起着不可或缺的作用,防火墙规则配置的合理与否直接关系到网络环境的安全。随着网络规模日益增大,防火墙配置也日趋复杂,为了更好的发挥防火墙的防护性能,防火墙策略审计应需而生。文章首先对防火墙规则之间的关系进行了详细研究,总结并分析了一些常见的规则异常种类,并对现有的策略审计方案进行了综述研究。其次,论述了防火墙策略审计系统整体的工作流程,层次化的分析了系统总体架构设计,对防火墙策略审计系统的配置规则审计模块进行了重点研究论述。再次,论述了传统的策略判定树审计方案,详细阐述了该方案的实现流程,分析并指出了该方案的优点以及所存在的不足。接下来提出一种以树形结构为基础改进后的策略审计方案,详细论述了该方案的审计流程并实现了改进的审计方案。最后结合该实现展示了系统的图形化报表以及详细审计结果,对改进后审计方案的审计结果与传统策略树进行了对比分析验证。

关键词: 防火墙, 规则关系, 策略树, 冲突异常, 审计

Abstract:

The firewall plays an indispensable role in today's network; the configuration of the firewall rules is directly related to the security of the network environment. As the network scale increases, the firewall configuration becomes more complex, in order to improve the protective performance of firewall, the firewall policy audit needs to be applied. At first, this paper researches on the relationship between the firewall rules in detail, summarizes and analyzes some common exception types of rules, and the strategies of the existing audit plan are reviewed. Secondly, this paper discusses the whole working process of the firewall policy audit system, hierarchically analyzes the overall design of the system architecture. Then the configuration rules audit module of the firewall policy audit system is discussed emphatically. Again, this paper discusses the traditional strategy decision tree audit plan, expounds the realization process of the scheme, analyzes and points out the merit and the deficiency of the scheme. Then we put forward an improved audit plan based on the tree structure strategy, discuss the audit process of the scheme in detail and implement the audit plan. Finally we give the graphical reports and detailed audit results of the system, after which we analyze the two by comparing the improved audit plan to the traditional strategy tree.

Key words: firewall, rules relationship, policy tree, conflict, audit

中图分类号:

TP309

卢云龙, 罗守山, 郭玉鹏. 基于改进策略树的防火墙策略审计方案设计与实现[J]. 信息网络安全, 2014, 14(10): 64-69.

LU Yun-long, LUO Shou-shan, GUO Yu-peng. The Design and Implementation of Firewall Policy Audit Plan Based on Improved Strategy Tree[J]. Netinfo Security, 2014, 14(10): 64-69.

图/表 10

表1

图1

图2

图3

图4

图5

图6

图7

表2

表3

参考文献 15

[1]	李林,卢显良. 一种快速的防火墙规则冲突检测算法[J]. 计算机应用研究,2008,25(1):266-267.
[2]	傅鹤岗,张李. 基于默认规则的防火墙优化方法[J]. 计算机工程,2011,37(20):103-104.
[3]	Wool A.A Quantitative Study of Firewall Configuration Errors[J]. IEEE computer society, 2004, 37(6): 62-67.
[4]	Hamed H, Al-Shaer E.Dynamic rule-ordering optimization for high-speed firewall filtering[C]//Proceedings of the 2006 ACM Symposium on Information, computer and communications security. ACM, 2006: 332-342.
[5]	吴晓刚. 防火墙配置的异常检测与优化研究[D]. 广州:广州大学,2007.
[6]	张昭理,肖海军,洪帆. 一种防火墙规则冲突检测算法[J]. 计算机工程与应用,2007,43(15):111-113.
[7]	杨奕,杨树堂,陈建宁,等. 基于统计分析与规则冲突检测的防火墙优化[J]. 计算机工程,2008,34(15):129-131.
[8]	程勇,秦祖福,傅建明. 有序二叉决策图在防火墙规则库设计中的应用[J]. 武汉大学学报:理学版,2006,52(1):77-80.
[9]	施荣华,莫锐,赵文涛. 一种基于冲突检测的无关联规则集匹配算法[J]. 计算机工程与科学,2010,32(10):1-4.
[10]	朱思峰,王华东,魏荣华. 基于内分泌机制的防火墙自适应调控算法[J]. 计算机科学2009,36(11):238-241.
[11]	周东浩,王勇军. 防火墙扩展match模块匹配算法优化[J]. 计算机工程与设计,2011,32(3):766-769.
[12]	Al-SHARE E, HAMED H.Taxonomy of conflicts in network security policies[J]. Communications Magazine, IEEE, 2006, 44(3): 134-141.
[13]	袁峰,赵杰,陈靖. 基于ARM的防火墙系统设计与实现[J]. 信息网络安全,2013,(6):46-49.
[14]	曹子建,赵宇峰,容晓峰. 网络入侵检测与防火墙联动平台设计[J]. 信息网络安全,2012,(9):12-14.
[15]	傅慧. 动态包过滤防火墙规则优化研究[J]. 信息网络安全,2012,(12):12-14.

编辑推荐 0

Metrics

阅读次数

全文

139

HTML			PDF

最新录用	在线预览	正式出版	最新录用	在线预览	正式出版
0	0	6	0	0	133

来源	本网站	其他网站

次数	133	6
比例	96%	4%

摘要

413

最新录用	在线预览	正式出版

0	0	413

	来源	本网站

	次数	413
	比例	100%

基于改进策略树的防火墙策略审计方案设计与实现

The Design and Implementation of Firewall Policy Audit Plan Based on Improved Strategy Tree

RichHTML

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

图/表 10

参考文献 15

相关文章 15

编辑推荐 0

Metrics

本文评价

[1]	易铮阁, 袁文勇, 李瑞峰, 杨晓元. 一种支持动态操作的身份基云存储方案[J]. 信息网络安全, 2022, 22(2): 86-95.
[2]	张富成, 付绍静, 夏竟, 罗玉川. 基于GlusterFS的分布式数据完整性验证系统[J]. 信息网络安全, 2021, 21(1): 72-79.
[3]	陶源, 黄涛, 李末岩, 胡巍. 基于知识图谱驱动的网络安全等级保护日志审计分析模型研究[J]. 信息网络安全, 2020, 20(1): 46-51.
[4]	邵必林, 李肖俊, 边根庆, 赵煜. 云存储数据完整性审计技术研究综述[J]. 信息网络安全, 2019, 19(6): 28-36.
[5]	柏建丽, 李晓冉, 郝蓉, 于佳. 云环境下基于代数签名的支持所有权动态变更的安全审计和去冗方案[J]. 信息网络安全, 2018, 18(8): 50-55.
[6]	鲁秀青, 咸鹤群. 云存储中基于用户授权的大数据完整性审计方案[J]. 信息网络安全, 2018, 18(4): 32-37.
[7]	黎琳, 李振寰, 常晓林, 韩臻. Caché数据库通讯协议安全性分析系统[J]. 信息网络安全, 2018, 18(4): 38-46.
[8]	冯达, 王强, 赵译文, 徐剑. 基于SGX的证书可信性验证与软件安全签发系统[J]. 信息网络安全, 2018, 18(3): 63-69.
[9]	陈思思, 杨进, 李涛. 一种防火墙规则冲突检测方法研究[J]. 信息网络安全, 2018, 18(10): 78-84.
[10]	边根庆, 邵必林, 蔡皖东, 王栋. 云环境下支持数据动态更新的多副本数据完整性审计方法研究[J]. 信息网络安全, 2017, 17(10): 22-28.
[11]	侯慧莹, 于佳, 郝蓉. 一种基于代数签名的云存储完整性审计方案研究[J]. 信息网络安全, 2017, 17(10): 69-74.
[12]	马书磊, 田洪娟, 刘丰. 一种基于龙芯平台的安全防护网关设计与实现[J]. 信息网络安全, 2016, 16(9): 196-201.
[13]	王海涛. 下一代运维安全审计系统研究与设计[J]. 信息网络安全, 2016, 16(6): 81-85.
[14]	赵洋, 任化强, 熊虎, 陈阳. 无双线性对的云数据完整性验证方案[J]. 信息网络安全, 2015, 15(7): 7-12.
[15]	唐春明, 郑晓龙. 云计算中一种对大群组用户的隐私保护公共审计方案[J]. 信息网络安全, 2015, 15(2): 19-25.