一种防火墙策略检测方法及装置与流程

本发明涉及信息安全领域，尤其涉及一种防火墙策略检测方法及装置。
背景技术：
：防火墙是目前最为流行也是使用最为广泛的一种网络安全技术。在构建安全网络环境的过程中，防火墙作为第一道安全防线，正受到越来越多的关注。防火墙通过设置安全策略控制进出系统的数据，从而实现访问控制。在现有技术中，将采用NetFlow技术采集的防火墙业务流量七元组与策略七元组进行比对，进而判断不合规的防火墙策略，其中，流量七元组包括源地址、源端口、目的地址、目的端口、协议类型、数据流量大小以及流量发送频率，策略七元组包括源地址、源端口、目的地址、目的端口、协议类型、允许或拒绝。然而，上述方案依赖于防火墙，只适用于支持Flow功能的防火墙，而开启Flow功能会额外消耗防火墙的中央处理器(CPU，CentralProcessingUnit)时间，如果在防火墙CPU负载本身就很高的情况下，再额外增加CPU的负载很可能会影响到防火墙的正常工作，另外，从实现成本而言，当前的Flow类型很多，如Jflow、Sflow、Netstream等，每实现对一种Flow功能的支持就需要花费时间进行开发，实现成本高。并且，现有方案未涉及宽泛策略的检测。防火墙策略的设置需要遵循一定的原则，然而，宽泛策略违背了“策略最小化”原则，会带来安全隐患，甚至导致安全事件的发生。技术实现要素：为了解决上述技术问题，本发明提供一种防火墙策略检测方法及装置，能够有效地检测防火墙策略中的宽泛策略。为了达到上述技术目的，本发明提供一种防火墙策略检测方法，包括：在预定时间范围内从连接防火墙的交换机采集出入防火墙的流量；从所述流量中解析得到流信息；获取防火墙策略，确定每条防火墙策略对应的原子策略的数目，其中，所述原子策略指源网络协议(IP，InternetProtocol)地址、目的IP地址、目的端口以及协议不可分解的策略；针对每一条防火墙策略，根据解析得到的流信息确定与该防火墙策略匹配的流的总数，计算该防火墙策略的覆盖率，所述覆盖率由所述总数与该防火墙策略对应的原子策略的数目的比值确定，当该防火墙策略的覆盖率小于宽泛策略阈值时，判定该防火墙策略为宽泛策略。进一步地，所述在预定时间范围内从连接防火墙的交换机采集出入防火墙的流量之前，该方法还包括：获取用户配置信息，其中，所述用户配置信息包括宽泛策略阈值、介质访问控制(MAC，MediaAccessControl)地址以及MAC地址与区域或接口的对应关系。进一步地，所述在预定时间范围内从连接防火墙的交换机采集出入防火墙的流量包括：在预定时间范围内从连接防火墙的交换机的镜像口采集流量；根据用户配置的MAC地址过滤采集的流量，得到出入防火墙的流量。进一步地，所述流信息以七元组表示，所述七元组包括源区域、源IP地址、源端口、目的区域、目的IP地址、目的端口以及协议，其中，源区域及目的区域根据用户配置的MAC地址与区域或接口的对应关系确定。进一步地，所述从所述流量中解析得到流信息之后，该方法还包括：将解析到的流信息存储至数据库流表。本发明还提供一种防火墙策略检测装置，包括：流量采集模块，用于在预定时间范围内从连接防火墙的交换机采集一定时间范围内出入防火墙的流量；流解析模块，用于从所述流量中解析得到流信息；配置管理模块，用于获取防火墙策略，确定每条防火墙策略对应的原子策略的数目，其中，所述原子策略指源IP地址、目的IP地址、目的端口以及协议不可分解的策略；检测模块，用于针对每一条防火墙策略，根据解析得到的流信息确定与该防火墙策略匹配的流的总数，计算该防火墙策略的覆盖率，所述覆盖率根据所述总数与该防火墙策略对应的原子策略的数目的比值确定，当该防火墙策略的覆盖率小于宽泛策略阈值时，判定该防火墙策略为宽泛策略。进一步地，所述配置管理模块，还用于获取用户配置信息，其中，所述用户配置信息包括宽泛策略阈值、MAC地址以及MAC地址与区域或接口的对应关系。进一步地，所述流量采集模块，具体用于：在预定时间范围内从连接防火墙的交换机的镜像口采集流量；根据用户配置的MAC地址过滤采集的流量，得到出入防火墙的流量。进一步地，所述流信息以七元组表示，所述七元组包括源区域、源IP地址、源端口、目的区域、目的IP地址、目的端口以及协议，其中，源区域及目的区域根据用户配置的MAC地址与区域或接口的对应关系确定。进一步地，所述流解析模块，还用于将解析到的流信息存储至数据库流表。在本发明中，在预定时间范围内从连接防火墙的交换机采集出入防火墙的流量；从所述流量中解析得到流信息；获取防火墙策略，确定每条防火墙策略对应的原子策略的数目，其中，所述原子策略指源IP地址、目的IP地址、目的端口以及协议不可分解的策略；针对每一条防火墙策略，根据解析得到的流信息确定与该防火墙策略匹配的流的总数，计算该防火墙策略的覆盖率，所述覆盖率由所述总数与该防火墙策略对应的原子策略的数目的比值确定，当该防火墙策略的覆盖率小于宽泛策略阈值时，判定该防火墙策略为宽泛策略。本发明基于出入防火墙的真实流量有效地检测防火墙策略中的宽泛策略。相较于现有技术，本发明具有以下优点：(1)本发明无需防火墙提供任何支持，适用于对任何防火墙宽泛策略的检测，通用性好，也不存在额外消耗防火墙CPU时间的弊端；(2)本发明基于原始流量实现宽泛策略检测，实现成本低；(3)在本发明中，反映了防火墙策略与真实流量的关系，宽泛策略检测的准确率高。附图说明图1为本发明实施例提供的防火墙策略检测方法的流程图；图2为本发明实施例中步骤101及步骤102的具体流程图；图3为本发明实施例中步骤103及步骤104的具体流程图；图4为本发明实施例提供的防火墙策略检测装置的示意图；图5为本发明一实施例的应用场景示意图。具体实施方式以下结合附图对本发明的实施例进行详细说明，应当理解，以下所说明的实施例仅用于说明和解释本发明，并不用于限定本发明。图1为本发明实施例提供的防火墙策略检测方法的流程图。如图1所示，本实施例提供的防火墙策略检测方法包括以下步骤：步骤101：在预定时间范围内从连接防火墙的交换机采集出入防火墙的流量。于此，步骤101之前，该方法还包括：获取用户配置信息，其中，所述用户配置信息包括宽泛策略阈值、MAC地址以及MAC地址与区域或接口的对应关系。于此，步骤101包括：在预定时间范围内从连接防火墙的交换机的镜像口采集流量；根据用户配置的MAC地址过滤采集的流量，得到出入防火墙的流量。步骤102：从所述流量中解析得到流信息。其中，所述流信息以七元组表示，所述七元组包括源区域、源IP地址、源端口、目的区域、目的IP地址、目的端口以及协议。其中，源区域以及目的区域根据用户配置的MAC地址与区域或接口的对应关系确定。步骤102之后，该方法还包括：将解析到的流信息存储至数据库流表。步骤103：获取防火墙策略，确定每条防火墙策略对应的原子策略的数目，其中，所述原子策略指源IP地址、目的IP地址、目的端口以及协议不可分解的策略。具体而言，不可分解指源IP地址、目的IP地址、目的端口以及协议均为唯一的。一条原子策略中，源IP地址、目的IP地址、目的端口以及协议的数目均为一个。步骤104：针对每一条防火墙策略，根据解析得到的流信息确定与该防火墙策略匹配的流的总数，计算该防火墙策略的覆盖率，所述覆盖率由所述总数与该防火墙策略对应的原子策略的数目的比值确定，当该防火墙策略的覆盖率小于宽泛策略阈值时，判定该防火墙策略为宽泛策略。图2为本发明实施例中步骤101及步骤102的具体流程图。步骤101及步骤102为本实施例中的流量采集解析过程，如图2所示，步骤101及步骤102具体包括以下过程：步骤201：读取防火墙接口MAC地址配置；步骤202：在预定时间范围内从连接防火墙的交换机的镜像口采集流量；步骤203：判断采集到的流量包的MAC地址是否等于配置的防火墙接口MAC地址，若是，执行步骤204，否则，返回步骤202；步骤204：进行流解析，若解析成功，执行步骤205，否则，返回步骤202；步骤205：将解析得到的以七元组表示的流信息存储至数据库流表。图3为本发明实施例中步骤103及步骤104的具体流程图。如图3所示，步骤103及步骤104具体包括以下过程：步骤301：读取防火墙接口MAC地址、防火墙策略以及宽泛策略阈值；步骤302：计算每一条策略对应的原子策略的数目Pa；步骤303：根据数据库流表存储的流信息计算每一条策略匹配的流的数目Pf；步骤304：计算每一条策略的覆盖率，其中，策略的覆盖率＝Pf/Pa；步骤305：比较计算得到的策略的覆盖率与宽泛策略阈值，若某一策略的覆盖率小于宽泛策略阈值，则判定该策略为宽泛策略，若某一策略的覆盖率大于或等于宽泛策略阈值，则判定该策略为非宽泛策略。举例而言，假设一条策略的源IP地址为192.168.1.0/24，源端口为任意，目的IP地址为10.10.10.1，目的端口为80，协议为传输控制协议(TCP，TransmissionControlProtocol)。由于这条策略的源IP地址可以分解为192.168.1.1～192.168.1.255，共255个单个IP地址，目的IP地址、目的端口、协议不可分解，因此，该条策略对应的原子策略的数目为255条。假设数据库流表中有192.168.1.100～192.168.1.199共100条访问10.10.10.1的TCP80端口的流，则该策略的覆盖率为：100/255≈39％。若宽泛策略阈值为50％，则判定该策略为宽泛策略。图4为本发明实施例提供的防火墙策略检测装置的示意图。如图4所示，本实施例提供的防火墙策略检测装置包括：流量采集模块、流解析模块、配置管理模块以及检测模块；流量采集模块，用于在预定时间范围内从连接防火墙的交换机采集出入防火墙的流量；流解析模块，用于从所述流量中解析得到流信息；配置管理模块，用于获取防火墙策略，确定每条防火墙策略对应的原子策略的数目，其中，所述原子策略指源IP地址、目的IP地址、目的端口以及协议不可分解的策略；检测模块，用于针对每一条防火墙策略，根据解析得到的流信息确定与该防火墙策略匹配的流的总数，计算该防火墙策略的覆盖率，所述覆盖率根据所述总数与该防火墙策略对应的原子策略的数目的比值确定，当该防火墙策略的覆盖率小于宽泛策略阈值时，判定该防火墙策略为宽泛策略。进一步地，配置管理模块，还用于获取用户配置信息，其中，所述用户配置信息包括宽泛策略阈值、MAC地址以及MAC地址与区域或接口的对应关系。进一步地，流量采集模块，具体用于：在预定时间范围内从连接防火墙的交换机的镜像口采集流量；根据用户配置的MAC地址过滤采集的流量，得到出入防火墙的流量。其中，流信息以七元组表示，所述七元组包括源区域、源IP地址、源端口、目的区域、目的IP地址、目的端口以及协议，其中，源区域及目的区域根据用户配置的MAC地址与区域或接口的对应关系确定。进一步地，流解析模块，还用于将解析到的流信息存储至数据库流表。图5为本发明一实施例的应用场景示意图。请一并参考图4及图5。于本实施例中，需要检测图5中防火墙内网1(ge0口)到外网2(ge1口)的策略是否存在宽泛策略，其中，ge1口MAC地址为MAC1；防火墙上为内网1到外网2配置的策略如表1所示。源IP地址源端口目的IP地址目的端口协议动作192.168.100.0/24任意192.168.200.180TCP放行表1其中，由于这条策略的源IP地址可以分解为192.168.100.1～192.168.100.255，共255个单个IP地址，目的IP地址、目的端口、协议不可分解，因此，该条策略对应的原子策略的数目为255条。于本实施例中，宽泛策略阈值为50％，即当某一策略的覆盖率小于50％时，判定该策略为宽泛策略。具体而言，配置管理模块导入并解析防火墙的策略配置文件，以获取防火墙策略，并接收用户配置信息；通过配置交换机镜像出入ge1口的流量(也可为ge0的流量)，流量采集模块从连接防火墙的交换机的镜像口采集流量；根据用户配置的MAC地址，配置用于过滤流量的ge1口MAC地址(如MAC1)，将MAC地址映射为ge1口；流量采集模块采集预定时间范围内(例如，一天)的流量，在采集到的流量中只有源或目的MAC地址为ge1口MAC地址的流量被提供给流解析模块进行解析、建流、存储；检测模块，异步地执行宽泛策略的检测，具体而言，计算表1所示策略的覆盖率，进而判断该条策略是否为宽泛策略，例如在一天之内，192.168.100.0/24子网有60个IP地址：192.168.100.1～192.168.100.60，全都访问了192.168.200.1开放的TCP80端口，则此时，该策略的覆盖率＝60/255≈23％，该策略的覆盖率小于宽泛策略阈值(50％)，因此，检测模块判定该策略为宽泛策略。于实际应用中，流量采集模块、配置管理模块、流解析模块以及检测模块的功能可以是通过处理器执行存储在存储器中的程序/指令实现。然而，本发明对此并不限定。上述模块的功能还可以通过固件/逻辑电路/集成电路实现。以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。当前第1页1 2 3