防火牆規則通常源自於某人腦海中的一個想法。例如，某個團隊需要存取某個應用程序，或需要在非工作時間阻止某項服務。將這些想法轉化為特定廠商的防火牆語法通常需要對區域、物件、連接埠和規則順序有深入的了解。紐約大學的最新研究探討了不同的起點，即以自然語言作為防火牆配置的入口。

本文介紹了一個原型系統，該系統能夠接收以日常語言編寫的策略請求，並將其轉換為結構化的防火牆規則。這項工作探討了語言模型如何輔助意圖解析，同時保持配置、驗證和執行過程的確定性控制。

建議的系統架構

這種設計選擇引起了大規模防火牆管理從業人員的共鳴。 Versa Networks 平台安全高級總監Dhiraj Sehgal告訴 Help Net Security，自然語言介面只有在與企業防火牆的日常運作方式相符時才能發揮最大價值。他指出，論文刻意將語言模型限制在提取意圖上，而將驗證、編譯和執行留給確定性系統。 Sehgal 認為，這反映了實際運作環境，在這些環境中，可追溯性、審查和受控變更比單純追求速度的自動化更為重要。

從書面意圖到結構化政策

這項研究著重探討管理者描述安全策略的方式與防火牆實際執行策略的方式之間的差距。在許多組織中，最初的策略討論往往以純文字、工單或聊天訊息的形式進行。而將這些策略轉化為防火牆規則的過程，由於誤解或遺漏，往往會引入風險。

該系統以自然語言介面為基礎。管理員提交請求，例如允許某個部門在工作時間內透過 HTTPS 存取SaaS服務，系統處理該文字並提取關鍵要素，包括來源、目標、協議、操作、區域和時間限制。

大型語言模型透過識別實體和消除歧義詞來支持這一步驟，模型輸出遵循嚴格的模式。語言模型生成的是結構化資料而非自由文本，使其作用具有界限性和可預測性。

Sehgal 指出，Google的 BeyondCorp 計畫就是一個充分體現意圖驅動型網路策略的案例。他解釋說，在Google逐步放棄基於邊界的信任機制時，工程師專注於驗證觀察到的流量是否符合聲明的意圖。透過遙測分析發現異常行為後，系統會進行正式的策略更新，這進一步印證了以證據為導向的策略變更比默默修改規則更為重要。

中間表徵的作用

此設計的核心特徵在於一種中間表示形式，它以與廠商無關的格式捕捉防火牆策略意圖。這種表示方式類似於規範化的規則記錄，包含五元組以及其他元數據，例如方向、日誌記錄和調度。這一層將意圖與設備語法分離，安全團隊可以直接審查中間表示，因為它以結構化的形式反映了策略請求，每個欄位都保持明確且可由機器驗證。

中間表示建置完成後，管線的其餘部分將透過確定性邏輯運作。目前原型包含一個編譯器，用於將表示轉換為 Palo Alto PAN OS 命令列配置，該設計透過獨立的後端模組支援其他防火牆平台。

在實際運作環境中，Sehgal 指出，策略意圖一旦編寫完成，便基本上保持穩定。以自然語言編寫的規則會進行離線驗證，並透過標準的變更控制流程進行部署，運行時遙測資料會顯示實際流量的運作。當遷移後出現意外的系統問題時，日誌和指標會突顯偏差。團隊會與應用程式擁有者確認意圖，並透過相同的審核流程提交範圍較小的更新。

工作流程中嵌入驗證

系統在產生特定廠商的輸出之前，會執行多個驗證步驟。通用程式碼檢查器會檢查中間表示是否有結構性問題，例如欄位缺失、連接埠範圍無效或識別碼重複。此步驟著重於模式完整性。

廠商特定的程式碼檢查工具會套用與目標防火牆平台相關的規則，在原型系統中，這包括對PAN作業系統約束、區域使用情況和服務定義相關的檢查。這些檢查會顯示警告訊息，供維運人員查看。

一個獨立的安全門會強制執行高階的安全約束，此元件會評估策略是否符合基本預期，例如定義的來源、目標、區域和協定。未通過這些檢查的策略會在此階段停止執行。

編譯完成後，系統會將產生的配置通過基於 Batfish 的模擬器運行。此模擬器會根據合成設備模型驗證語法和物件參考。驗證結果以警告和錯誤的形式顯示，供使用者檢查。

Sehgal指出，執法部門仍可透過預先設定的控制措施（例如基於觀察到的行為的速率限制）進行臨時調整，而無需改變其根本策略。即使回應時間依賴人工審核，這也能保留審計追蹤和意圖準確性。

在合成環境中進行測試

評估依賴於描述位址物件、區域和服務的合成網路上下文，每個測試案例都包含一個自然語言請求、一個預期的中間表示和一個預期的防火牆配置。研究人員測量了兩個結果，一個結果檢查語言驅動元件是否產生了正確的結構化策略，另一個結果檢查編譯器是否輸出了預期的命令列配置。

在整個測試集上，該系統的成功率約為 85%，錯誤通常源自於措詞含糊或平台語法中的極端情況。本文將這些結果視為證據，表明模式綁定語言處理與確定性編譯相結合，可以在受控環境中支援防火牆規則的生成。

操作方面的考慮與限制

本文也討論了實際應用中的限制，自然語言請求通常會省略區域或精確的物件名稱等細節，準確的結果取決於維護良好的網路物件和服務目錄。

FireMon全球現場工程資深總監Rob Rodriguez表示，底層環境的品質對於自然語言驅動的策略創建能否成功至關重要。在大型企業中，物件目錄通常包含隨著時間推移而變化的舊位址群組、重複使用區域和SaaS定義。

Rodriguez表示，一個切實可行的保障措施是將對象衛生視為基於意圖的規則生成之前的准入條件。他描述了一些方法，其中自動化檢查會標記過時、未使用或重疊的對象，並要求在規則生效前進行清理或明確確認。一些團隊還要求，生成的規則所引用的任何物件都必須已顯示活躍使用狀態或通過了最近的驗證，否則請求將暫停以進行人工審核。

防火牆平台之間的差異增加了複雜性。在一個平台上運行的應用感知規則在另一個平台上可能需要轉換為基於連接埠的規則。編譯器透過保守的映射或診斷資訊來處理這些情況，並將這些資訊告知操作員。

Rodriguez也強調了部署前模擬的作用，它超越了語法檢查的範疇。即使規則在結構上有效，可及性和變更影響分析也能顯示該規則與現有狀態相比開闢了哪些新的路徑。這類分析有助於團隊在部署前了解策略的影響，並為明智的審批決策提供支援。

Sehgal 描述了一些常見的長期生命週期管理操作，例如定期檢視那些在 60 或 90 天等無流量期間的規則。分析可以識別出需要清理的規則，之後團隊可以根據觀察到的行為和業務相關性來決定是棄用、合併還是縮小範圍。

Rodriguez補充道，一些最危險的防火牆規則並非普遍不安全，而是與上下文密切相關。策略決策通常取決於業務功能、監管風險或時間節點。成熟的團隊會將業務元資料和風險評分整合到策略工作流程中來解決這個問題。涉及受監管資產、關鍵應用程式或暴露區域的規則會觸發更嚴格的審批流程和更窄的預設值。隨著時間的推移，這會形成反饋機制，使防火牆策略能夠反映實際營運情況和業務優先事項。羅德里格斯表示，最安全的實施方案會通過流程和審查，明確回應速度和確定性之間的平衡。

對自動化採取謹慎的態度

這項研究反映了將語言模型應用於嚴格控制下的基礎設施任務的更廣泛趨勢，該系統將語言模型視為一種輔助組件，用於提出結構化的意圖，驗證、編譯和執行過程仍然是確定性的。

Sehgal表示，該論文重點關注約束生成、分層檢查和離線模擬，這與防火牆團隊目前的運作方式相符。自然語言加快了意圖表達，而遙測、結構化審查和人工判斷則繼續指導安全策略的演進。這項工作旨在推動更易於存取的策略管理，是邁向這一目標的第一步。未來的發展方向包括擴大供應商支援、進行可及性分析以及進行涉及第一線管理員的研究。其核心理念在於，透過結構和驗證，使人們描述安全策略的方式與防火牆理解策略的方式保持一致。

資料來源：https://www.helpnetsecurity.com/2026/01/06/research-natural-language-firewall-configuration/