摘要：处理诸如允许恶意流量进入或阻止合法流量这样的错误，可能就是检测防火墙策略问题，以及执行自动校正防火墙策略错误。

　　在San Jose举行的LISA会议上，Michigan State大学的研究员FeiChen、Alex X.Liu以及North Carolina State大学的Jee Hyun Hwang、Tao Xie联合发布了一篇题为《自动校正防火墙策略故障的关键步骤》的论文，论文概括地介绍了防火墙策略故障模式，同时也简要提出了五种常见的策略问题类型，并对这五种类型的问题提出了自动的校正技术解决方案。
　　
　　这篇论文的基本前提是对纠正错误数据包的重要性认识，因为我们知道找到所有这些错误的数据包并做更正是不太可能的。因此，最佳的做法就是在采样的错误数据包基础上创建策略变更，同时这种方法还可用于更大型的数据包。
　　
　　该论文中提到的五种最常见的防火墙策略故障包括：
　　
　　1.次序错误：防火墙秩序混乱时，会出现错误地配置。当在防火墙策略初期添加一些新规则时，如果没有认真考虑新规则和原始规则之间的顺序，就次序错误就会发生。
　　
　　2.缺失规则：当管理员添加新规则，但却忘记把新规则添加至原始防火墙策略时，就会发生此类故障。
　　
　　3.判断错误：当管理员根据安全需求对某些规则做判断时，有一些特殊的案例可能会被忽略，这时就会发生判断失误。
　　
　　4.决策错误：此种错误归因于在设置规则后的错误决策。
　　
　　5.外部规则错误：此种类型的错误表明，管理员需要从原始的策略中删除某些规则。当管理员添加了新规则，却忘记删除旧规则时，旧的规则会过滤出一个和新规则相似的数据包，这时就会出现这种错误了。
　　
　　自动校正防火墙策略故障的实施
　　
　　研究人员建议使用agreedy算法，来解决上述问题。在他们的实验中，研究人员在每个步骤中都确定了一个策略故障，之后计算出成功或失败的实验次数，来确定他们使用的方法是否为最恰当的。接下来研究人员计算了修正每种类型的故障时的试验次数，用来选择能够最大可能成功完整实验的最恰当的方法。
　　
　　责任编辑：Honey