防火墙是位于私有网络和外部网络入口点之间的安全卫士,所有传入和传出的数据包必须通过它。它是保护大多数网络安全的关键系统。防火墙中的错误不仅会泄漏网络中的秘密信息,而且会破坏网络和其他互联网之间的合法通信。因此,如何正确的设计防火墙是一个重要的问题。我们知道网络中大部分的安全策略的实施都是使用访问控制列表(Access Control List,即ACL)来配置数据包分类的策略的。一个网关设备要执行流量过滤至少需要ACL部署数千条规则。由于ACL配置语言存在众多的困难,大型ACL规则集容易变得冗余,不一致,难以优化甚至难以理解。防火墙是网络安全的核心元素。但是,管理防火墙规则已经变得复杂且容易出错。为了正确实施安全策略,必须仔细地编写和组织防火墙过滤规则。此外,插入或修改过滤规则需要对此规则与其他规则之间的关系进行彻底分析,以确定此规则的正确顺序并提交更新。在本文中,我们提出了一套技术和算法,提供(1)自动异常检测,用于发现传统防火墙中的规则冲突和潜在问题,(2)规则插入,修改和删除的无异常策略编辑,(3)将过滤规则简洁的翻译成用于用户可视化和验证的高级文本描述。这是在一个名为“防火墙策略顾问”的用户友好工具中实现的。防火墙策略顾问大大简化了作为过滤规则编写的任何通用防火墙策略的管理,同时将由于防火墙规则配置错误引起的网络漏洞最小化。本文也实现了关于冲突规则和冗余规则的ACL的优化方法。在现有的防火墙策略图(Firewall Decision Diagram,即FDD)的构造算法中忽略了 ACL规则中的冲突和冗余问题。我们在防火墙策略图的基础上研究了检测ACL规则的冲突和冗余的算法,并在此基础上对原有的防火墙策略图的构造算法进行了优化,提出了一种新的防火墙决策图的算法,通过减少冗余和免除冲突来减少同构节点,使访问控制列表的规则数有了大幅度的减少,查询性能也得到了很大的提升。我们通过具体的实验验证了我们的改进的防火墙决策图的算法是切实可行的,效率也提高了很多。