一种防火墙规则冲突检测方法研究

摘要

防火墙是保证网络安全的重要技术之一,然而目前云环境下的防火墙,其网络流量处理通常达到万兆级。而万兆防火墙的产生,防火墙规则集的日益增大和规则间的相互冲突,严重影响了防火墙性能。主流的规则冲突检测方法主要是基于对原始规则集的检测,其方法无法实现多条规则之间的检测,且无法准确找出冲突范围。文章提出一种基于有效规则集的防火墙规则冲突检测方法,该方法对基于状态变迁的冲突检测方法进行改进,通过集合运算生成防火墙规则的有效规则集,把对原始规则集中规则的检测转变为对有效规则集中规则的检测。该方法优化检测流程,实现多条规则的冲突检测,准确找出冲突范围以提供消除方案。实验结果表明,在原始规则集存在一定冗余规则的情况下提高了检测效率。