[发明专利]一种失效防火墙策略的检测方法和装置

说明书

技术领域

本发明涉及网络安全技术，特别涉及一种失效防火墙策略的检测方法和装置。

背景技术

防火墙是一个软硬件结合的信息安全设备，可根据访问控制规则即防火墙策略，对流经的数据包进行访问控制，从而保障内部网络的安全。具体来说，防火墙策略规定了哪些外部数据包被允许或拒绝通过防火墙进入内部网络，同时规定了哪些内部数据包被允许或拒绝通过防火墙访问外部网络。

通常，一个防火墙中会设置有多条防火墙策略，这些防火墙策略一般都记录在防火墙策略文件中。每条防火墙策略均包括源地址、源端口、目的地址、目的端口和动作(是否放行)等信息。

比如，一条典型的防火墙策略如下：

SourceIPSourcePort DestinationIP DestinationPortAction

1.1.1.1 Any2.2.2.2 80 permit；

该防火墙策略表示：对于源地址(SourceIP)为1.1.1.1、源端口(SourcePort)不限(Any)、目的地址(DestinationIP)为2.2.2.2以及目的端口(DestinationPort)为80的数据包均放行(permit)。

在实际应用中，由于各种原因，防火墙策略文件中往往会存在大量无效的防火墙策略，所述原因包括：业务变更或下线，与之对应的防火墙策略未及时清除；由于一些临时需求而增加的临时防火墙策略，未及时清除等。

无效的防火墙策略会大大降低防火墙的性能，并会造成一定的安全隐患，因此，必须通过某种方式将无效的防火墙策略检测出来，并及时进行清除。

现有技术中，通常采用以下两种检测方式：

1)方式一

针对防火墙策略文件中的所有防火墙策略，人工逐条进行分析，并结合实际业务情况等，确定出失效的防火墙策略；

2)方式二

统计预定时长如一个星期内流经防火墙的数据包对应的目的地址和目的端口，组成一个集合，针对防火墙策略文件中的每条防火墙策略，分别确定其目的地址和目的端口是否出现在了该集合中，如果是，则确定该条防火墙策略有效，否则无效。

但是，上述两种方式在实际应用中均会存在一定的问题，如：

方式一中，对于分析人员的素质有着较高的要求，即分析人员需要熟悉防火墙的工作原理、要具备一定的运维经验，并要熟悉防火墙策略文件语法等；而且，防火墙策略文件中的防火墙策略少则几十条，多则上千条，人工分析的话会需要很长的时间，效率非常低下，也容易造成疏漏，从而导致检测结果不准确；

方式二中，所述预定时长的具体取值取决于人为的主观定义，如果设置得不合适，很容易出现误检等，从而导致检测结果不准确；另外，目前网络日益复杂，网络上的数据也日益复杂，对于一些已经下线的业务对应的目的地址和目的端口，由于外界的僵尸、木马或蠕虫活动等，偶尔也会产生少量的数据包，从而也会导致出现误检，进而导致检测结果不准确。

发明内容

有鉴于此，本发明提供了一种失效防火墙策略的检测方法和装置，能够提高检测效率，且能够提高检测结果的准确性。

为达到上述目的，本发明的技术方案是这样实现的：

一种失效防火墙策略的检测方法，包括：

获取待检测的目标防火墙的防火墙策略文件；

针对所述防火墙策略文件中的每条防火墙策略x，分别进行以下处理：

获取防火墙策略x的目的地址和目的端口；

向所述目的地址和目的端口发送同步SYN数据包，并确定是否接收到复位RST响应信息，如果是，则确定所述目的端口关闭；

向所述目的地址和目的端口发送零字节的用户数据包协议UDP数据包，并确定是否接收到互联网控制报文协议ICMP不可到达的响应信息，如果是，则确定所述目的端口关闭；

若根据上述检测确定出所述目的端口均关闭，则防火墙策略x失效。

一种失效防火墙策略的检测装置，包括：

获取模块，用于获取待检测的目标防火墙的防火墙策略文件，并发送给检测模块；