[发明专利]根据网络安全报警自动调整安全策略的计算机防火墙

说明书

所属技术领域

本发明专利涉及一种通过对网络安全报警进行分析而自动添加和删除网络数据过滤规则的计算机防火墙系统。

背景技术

防火墙(Firewall)是一种被配置在两个计算机网络(单独一台计算机也可以视为一个微型网络)之间的设备。其核心是计算机程序，但是也可以固化在路由器等硬件上而成为硬件的一部分。两个网络间的一切通信都必须通过防火墙，而防火墙则根据预先设定的规则选择性地允许或禁止某些数据的通过。

防火墙的核心是预设的规则，即程序化地描述符合哪些特征的数据应该被允许或禁止通过。防火墙的规则通常由网络管理员进行人工设置，规则的优劣直接影响防火墙的有效性和其所保护的计算机网络的安全性。

常用的防火墙规则设置可以概括为“默认禁止”与“默认允许”。被设置为“默认禁止”的防火墙对于一切与当前防火墙规则不匹配的数据一律禁止通过，在提高了安全性的同时也增加了网络管理员的工作量，需要经常添加新的规则才能保证正常的网络应用。大多数的商业网络都采用“默认允许”的防火墙规则，即除了防火墙规则明确地要求阻止的数据，防火墙一律允许通过。“默认允许”的防火墙在安全性上有很大的缺陷，虽然设置简单，但是很容易遭到入侵和攻击，且常常因为数据流量巨大，网络管理员难以及时发现这些恶意的行为并做出应对。

防火墙的过滤规则理论上可以应用于网络任何一个层(物理层、数据链路层、网络层、传输层、会话层、表示层和应用层)的数据，所以也常以此被分为网络层防火墙和应用层防火墙等。

入侵检测系统(Intrusion Detection System)是通过对以网络数据为主的计算机数据进行分析(通常为实时分析)，发现可疑的数据并产生相应报警的系统。入侵检测系统常被用来协助网络管理员及时发现网络中的问题(不仅包括入侵，还包括攻击和其他违规应用)。一条告警信息常常包含下列信息的全部或部分：入侵源头的网络地址，入侵源头的端口号，入侵目标的网络地址，入侵目标的端口号，入侵所使用的网络协议，入侵类型，入侵所涉及的数据包和数据流的代码以及报警时间等。现有的入侵检测系统虽然漏报率较低但是误报率很高，即时同时使用多个入侵检测系统并对数据进行综合分析也难以获得值得信赖的报警。所以其报警在很大程度上只能用于参考。

现有的防火墙，无论是“默认允许”，“默认禁止”，还是工作在任何一个网络层，其规则都是静态的。即，在没有明确的人工修改时，规则是一成不变的。而计算机网络的状态却始终在改变。新的入侵、攻击或其他违规应用随时都会出现，却常常不能被现有的防火墙规则所阻止，特别是在被设置为“默认允许”的防火墙所保护的网络中。而被防火墙规则所明确允许的数据特征，也不能保证其无法被恶意地使用，有可能在将来被用于危害网络安全的行为。

静态的防火墙规则的另一个缺陷是对外而不对内。防火墙的规则的制定都是基于安全威胁来自于外部的假设，而内部的问题一经发现则可以通过其他方式解决，比如对在办公网络中玩网络游戏的职员进行行政处罚，而不是通过防火墙规则去屏蔽。一旦网络内部的电脑被恶意地使用，在其危害发展到可以被明显地察觉之前，都难以得到有效制止。因此，一旦内部网络中的电脑被恶意使用，经常导致如机密外泄等严重后果。

尽管入侵检测系统为网络管理员制定和修改防火墙规则带来了一些方便，因为其误报率过高，其报警内容无法直接被用于制定和修改防火墙规则，而必须首先经过人工的筛选，对于维护网络安全难以有实质性的帮助。

发明内容

现有的防火墙因为使用静态规则并依赖人工设置而导致了一系列的缺陷，不但难以对新的安全威胁做出及时、有效的应对，还会因为不当的规则设置而完全忽视一些潜在的安全威胁，并且对于内部的安全威胁也无法有效应对。为了克服现有防火墙的这些缺陷，本发明提供一种新型的防火墙，这种防火墙通过对网络报警系统产生的实时报警进行分析，结合针对不同类型网络而设定的参数及函数综合计算不同潜在防火墙规则的利弊得失，动态地添加和删除防火墙规则，以使防火墙规则能随时都适应和针对当前的网络安全形势，更好地维护网络安全。