[发明专利]一种防火墙规则冲突检测方法

摘要

本发明公开了一种防火墙规则冲突检测方法，该方法首先顺序从规则集中抽取一条规则，判断该规则本身是否存在无用冲突；然后将这条规则与序号排在其前面的各条规则顺序比较，根据字段协议、源、目的的值判定规则之间的关系；最后根据序号和动作字段的值判定是否存在冲突。本发明方法在给定的规则集上能够自动检测、发现规则冲突和潜在的问题。实现该方法的工具软件能够检测并协助管理员消除防火墙的规则冲突，简化防火墙策略的管理。

主权项

1.一种防火墙规则冲突检测方法，其特征在于，包括以下步骤：1）判断防火墙规则集中是否存在无用冲突；具体如下：顺序从防火墙规则集中抽取一条规则Ry，如果规则集中的规则已全部检测完毕，则退出；否则，如果Ry中的src字段和dst字段所决定的网络路径不会通过相应的防火墙，那么这个规则根本就没有任何作用，则报告对应的规则Ry 存在无用冲突，退出；所述src字段由源IP地址和源端口号两个子字段构成，用于标志包的来源；所述dst字段由目的IP地址和目的端口号两个子字段构成，用于标志包的目的；2）若规则Ry不存在无用冲突，将这条规则与序号排在其前面的未比较的各条规则顺序比较，根据字段protocol、src、dst的值确定规则之间存在的关系；并根据规则关系和index和action字段的值确定是否存在冲突；具体如下：2.1）如果Ry前面没有规则，或者其前面的规则已全部比较完毕，则跳转到步骤1）；否则设待比较的规则为Rx，因为Rx在Ry前面，所以Rx的序号Rx[index]小于Ry的序号Ry[index]，即Rx[index] < Ry[index]；如果Rx的protocol字段Rx[protocol]与Ry的protocol字段Ry[protocol]不同，即Rx[protocol] ≠Ry[protocol]；或者Rx的src字段Rx[src]与Ry的src字段Ry[src]不同，即Rx[src] ≠Ry[src]；或者Rx的dst字段Rx[dst]与Ry的dst字段Ry[dst]不同，即Rx[dst] ≠ Ry[dst]；则确定Ry与Rx无冲突，重复步骤2.1）；否则，进入下一步；2.2）如果Rx[src] = Ry[src]，且Rx[dst] = Ry[dst]，且Rx的action字段Rx[action]与Ry的action字段Ry[action]，Rx[action] = Ry[action]，则报告“冗余冲突”，退出；否则，如果Rx[src] = Ry[src]，且Rx[dst] = Ry[dst]，且Rx[action] ≠ Ry[action]，则报告Ry与Rx 发生“屏蔽冲突”，退出；所述action字段用于标志对匹配该规则的包采取的动作，action字段的值为“reject”、“accept”或“drop”；2.3）如果Rx[src]是Ry[src]的子集，且Rx[dst]是Ry[dst]的子集，且Rx[action] = Ry[action]，则报告Ry与Rx 发生“冗余冲突”，退出；否则，如果Rx[src]是Ry[src]的子集，且Rx[dst]是Ry[dst]的子集，且Rx[action] ≠ Ry[action]，则报告Ry与Rx 发生“泛化冲突”，退出；2.4）如果Ry[src]是Rx[src]的子集，且Ry[src]是Rx[src]的子集，且Rx[action] = Ry[action]，则报告“冗余冲突”，退出；否则，如果Ry[src]是Rx[src]的子集，且Ry[src]是Rx[src]的子集，且Rx[action] ≠ Ry[action]，则报告Ry与Rx 发生“屏蔽冲突”，退出；2.5）如果Rx[action] = Ry[action]，则报告Ry与Rx 发生“屏蔽冲突”，退出。