NP防火墙中异常策略检测的研究与实现论文.pdfVIP

NP防火墙中异常策略检测的研究与实现1) 孙泽东 张璐 罗军舟 东南大学计算机科学与工程学院，南京，210096 摘要 为了适应复杂的网络环境，防火墙的规则集往往非常庞大，因此人工的 方法很难保证防火墙安全策略的正确配置。本文对防火墙中异常策略的检测方 法进行了深入的研究，并在此基础上给出了NP防火墙中异常策略检测模块的 设计与实现。测试结果表明，该模块可以有效地检测出防火墙规则集中的各种 异常，避免安全隐患的产生。 关键词 防火墙 网络处理器异常策略检测 一、引 言 为了使防火墙正确有效地发挥其安全防范作用，必须适当地配置并实施安全策略。 对防火墙来说，策略就是一组有序的规则，定义了对匹配的数据包所进行的处理。防火墙 按顺序依次检查规则是否与数据包匹配，若找到匹配的规则，按其规定的操作对数据包进 行处理，或者直到规则集结束处，按照缺省策略处理数据包[1]。由此可见，如果防火墙规 则顺序不当，很可能造成策略没有得到正确的实施，这种情况就是防火墙策略中存在异 常，甚至错误，然而随着网络环境的日益复杂，防火墙的规则集越来越庞大，其中难免