防火墙作为网络安全基本防护设备,其功能越来越强,使用越来越复杂。现有防火墙策略配置方法很难保证其应用的安全性,不符合用户需求,存在不一致性等规则异常。安全策略配置成为研究热点。本文讨论其关键技术集中在两个方面,高层描述及低层防火墙配置生成,防火墙规则一致性冲突检测。主要工作包括:首先,分析了当前高层策略语言研究现状,针对Flip高层策略语言无法描述新型防火墙对于认证信息和隧道信息的不足,提出了一种基于Flip扩展的防火墙高层策略语言ExFlip。该语言继承了Flip语言的语法,实现了对VPN策略和认证策略的描述,进一步增强了防火墙策略描述能力。其次,分析了strongman体系结构,针对该体系中信息粒度以及策略检测管理的不足,设计了一套策略部署流程,将用户的安全需求、网络信息和认证信息自动转化成防火墙策略配置,省略了配置过程中对细节的配置,极大的提高了策略配置的效率,保证了策略部署的正确性。再次,总结了防火墙规则异常分类和异常检测算法,针对检测效率不高,重复检测等问题,提出一种基于服务分组的防火墙策略冲突检测算法BSG。该算法可以高效地对防火墙规则中可能存在的规则异常进行准确定位报警,性能超过了检测效率最高的Fireman算法。最后,基于上述工作,实现了一个防火墙配置生成及检测的原型系统,并对其功能进行了测试验证和数据分析。