一种防火墙基线策略审计方法
【技术领域】
[0001] 本发明属于信息网络安全技术领域,更具体地,涉及一种防火墙基线策略审计方 法。
【背景技术】
[0002] 随着信息技术发展和各国信息安全政策的不断演变,国内外信息安全形势日益严 峻,党的十八大明确要求健全信息安全保障体系,推进信息网络技术广泛运用。且随着对信 息安全提出了更高的要求,需进一步健全统一的信息安全管理机制,强化信息安全保障措 施,提升信息安全综合防护能力。
[0003] 因此,希望能在借鉴国内外及行业内外信息安全领域工作亮点的基础上,紧跟国 家要求,结合自身特点,通过基于域间业务数据流分析的防火墙安全基线策略核查技术的 研宄,实现对域边界防火墙安全策略设置的合规检查并应用于信息安全监督,将信息安全 检查工作从单一的面向设备的安全检查演进为面向工作流程的安全检查,实现安全检查工 作从"点"到"面"的突破,促进安全域边界基线安全策略的落实,填补该项技术在信息安全 检查领域的空白。
【发明内容】
[0004] 针对现有技术的以上缺陷或改进需求,本发明提供了一种防火墙基线策略审计方 法,能够实现实对域边界防火墙安全策略设置的合规检查。
[0005] 通过基于域间业务数据流分析的防火墙安全基线策略核查技术的研宄,实现对域 边界防火墙安全策略设置的合规检查并应用于信息安全监督,将信息安全检查工作从单一 的面向设备的安全检查演进为面向工作流程的安全检查,实现安全检查工作从"点"到"面" 的突破,促进安全域边界基线安全策略的落实,填补该项技术在信息安全检查领域的空白。
【附图说明】
[0006] 图1是本发明防火墙基线策略审计方法的流程示意图。
【具体实施方式】
[0007] 为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对 本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并 不用于限定本发明。此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要 彼此之间未构成冲突就可以相互组合。
[0008] 深入研宄域间防火墙安全基线策略核查技术,研宄高效快速的防火墙流量采集方 法,定义流量统计分析方式,将防火墙安全策略进行标准化处理,构建防火墙域间业务流和 安全策略的关系模型,验证防火墙安全策略是否符合"最小化"的原则,验证防火墙安全策 略的时效性是否符合业务系统实际需求,定位和清除不符合基线规则的安全策略,解决防 火墙作为信息安全域边界重要的防护设备,其安全策略合规性检查缺乏必要的督查技术 手段、安全隐患难以发现、定位的困境。
[0009] 如图1所示,为本发明防火墙基线策略审计方法的流程示意图,所述方法分为两 路,一路采集防火墙业务数据流量,对业务数据流量进行流量分析,得到流量七元组,另一 路采集防火墙安全策略规则,对安全策略规则进行策略标准化,得到策略七元组,将流量七 元组与策略七元组进行比对,得出不合规的防火墙策略。
[0010] 具体地,对所述业务数据流量进行采集分析为:
[0011] 利用分析IP数据包的源IP地址、目标IP地址、源端口、目标端口、第三层协议类 型,T0S字节、网络设备输入输出的逻辑网络端口 7个属性,实现对网络中传输的各种不同 类型业务数据流的快速区分。
[0012] 考虑到流量分析的结果需要与防火墙策略进行比对,流量采集工具的7个属性与 防火墙配置中的5元组基本吻合,因此采用NetFlow技术进行流量采集是相对合理且有效 的技术方法。同时,在数据分析中加入对会话频度的度量,以便在比对中增加数据的可用 性。在数据展现时,需要考虑对于相同数据源的归并,建议以一个C段地址为单位进行初步 汇拢,同时进行展现。数据结构如下表:
[0013]
【主权项】
1. 一种防火墙基线策略审计方法,其特征在于,所述方法包括如下步骤: (1) 采集防火墙业务数据流量,并对业务数据流量进行分析,得到流量七元组分析结 果,所述流量七元组包括源地址、源端口、目的地址、目的端口、协议类型、数据流量大小以 及流量发送频率; (2) 采集防火墙安全策略规则,并对安全策略规则进行策略标准化,得到策略七元组 分析结果,所述策略七元组包括源地址、源端口、目的地址、目的端口、协议类型、允许或拒 绝; (3) 将流量七元组与策略七元组进行比对,判断得出不合规的防火墙策略,将不合规的 防火墙策略去除。
2. 如权利要求1所述的防火墙基线策略审计方法,其特征在于,所述步骤(3)具体为: 通过比对的结果可分析防火墙策略的有效期及正确性。
3. 如权利要求1或2所述的防火墙基线策略审计方法,其特征在于,所述步骤⑴中采 用NetFlow技术进行业务数据流量采集。
4. 如权利要求1或2所述的防火墙基线策略审计方法,其特征在于,所述步骤(2)中利 用防火墙配置采集工具通过远程登录方式登录目标防火墙进行配置采集。
5. 如权利要求4所述的防火墙基线策略审计方法,其特征在于,所述远程登录方式包 括SSH或telnet方式。
【专利摘要】本发明公开了一种防火墙基线策略审计方法,包括:(1)采集防火墙业务数据流量,并对业务数据流量进行分析,得到流量七元组分析结果,所述流量七元组包括源地址、源端口、目的地址、目的端口、协议类型、数据流量大小以及流量发送频率;(2)采集防火墙安全策略规则,并对安全策略规则进行策略标准化,得到策略七元组分析结果,所述策略七元组包括源地址、源端口、目的地址、目的端口、协议类型、允许或拒绝;(3)将流量七元组与策略七元组进行比对,判断得出不合规的防火墙策略,将不合规的防火墙策略去除。本发明方法能够实现实对域边界防火墙安全策略设置的合规检查。
【IPC分类】H04L29-06
【公开号】CN104735084
【申请号】CN201510172735
【发明人】喻潇
【申请人】国家电网公司, 国网湖北省电力公司电力科学研究院
【公开日】2015年6月24日
【申请日】2015年4月13日