[发明专利]一种防火墙基线策略审计方法

说明书

技术领域

本发明属于信息网络安全技术领域，更具体地，涉及一种防火墙基线策略审计方法。

背景技术

随着信息技术发展和各国信息安全政策的不断演变，国内外信息安全形势日益严峻，党的十八大明确要求健全信息安全保障体系，推进信息网络技术广泛运用。且随着对信息安全提出了更高的要求，需进一步健全统一的信息安全管理机制，强化信息安全保障措施，提升信息安全综合防护能力。

因此，希望能在借鉴国内外及行业内外信息安全领域工作亮点的基础上，紧跟国家要求，结合自身特点，通过基于域间业务数据流分析的防火墙安全基线策略核查技术的研究，实现对域边界防火墙安全策略设置的合规检查并应用于信息安全监督，将信息安全检查工作从单一的面向设备的安全检查演进为面向工作流程的安全检查，实现安全检查工作从“点”到“面”的突破，促进安全域边界基线安全策略的落实，填补该项技术在信息安全检查领域的空白。

发明内容

针对现有技术的以上缺陷或改进需求，本发明提供了一种防火墙基线策略审计方法，能够实现实对域边界防火墙安全策略设置的合规 检查。

通过基于域间业务数据流分析的防火墙安全基线策略核查技术的研究，实现对域边界防火墙安全策略设置的合规检查并应用于信息安全监督，将信息安全检查工作从单一的面向设备的安全检查演进为面向工作流程的安全检查，实现安全检查工作从“点”到“面”的突破，促进安全域边界基线安全策略的落实，填补该项技术在信息安全检查领域的空白。

附图说明

图1是本发明防火墙基线策略审计方法的流程示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。此外，下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。

深入研究域间防火墙安全基线策略核查技术，研究高效快速的防火墙流量采集方法，定义流量统计分析方式，将防火墙安全策略进行标准化处理，构建防火墙域间业务流和安全策略的关系模型，验证防火墙安全策略是否符合“最小化”的原则，验证防火墙安全策略的时效性是否符合业务系统实际需求，定位和清除不符合基线规则的安全策略，解决防火墙作为信息安全域边界重要的防护设备，其安全策略 合规性检查缺乏必要的督查技术手段、安全隐患难以发现、定位的困境。

如图1所示，为本发明防火墙基线策略审计方法的流程示意图，所述方法分为两路，一路采集防火墙业务数据流量，对业务数据流量进行流量分析，得到流量七元组，另一路采集防火墙安全策略规则，对安全策略规则进行策略标准化，得到策略七元组，将流量七元组与策略七元组进行比对，得出不合规的防火墙策略。

具体地，对所述业务数据流量进行采集分析为：

利用分析IP数据包的源IP地址、目标IP地址、源端口、目标端口、第三层协议类型，TOS字节、网络设备输入输出的逻辑网络端口7个属性，实现对网络中传输的各种不同类型业务数据流的快速区分。

考虑到流量分析的结果需要与防火墙策略进行比对，流量采集工具的7个属性与防火墙配置中的5元组基本吻合，因此采用NetFlow技术进行流量采集是相对合理且有效的技术方法。同时，在数据分析中加入对会话频度的度量，以便在比对中增加数据的可用性。在数据展现时，需要考虑对于相同数据源的归并，建议以一个C段地址为单位进行初步汇拢，同时进行展现。数据结构如下表：

分析得到的流量七元组包括：源地址、源端口、目的地址、目的端口、协议类型、数据流量大小以及流量发送频率。

具体地，对所述防火墙策略进行采集和标准化为：

防火墙配置采集工具通过远程登录方式(SSH、telnet)登录目标防火墙进行配置采集。对获得的防火墙安全策略数据进行标准化处理。

安全策略标准化处理后的结果示例如下：