處理諸如允許惡意流量進(jìn)入或阻止合法流量這樣的錯(cuò)誤，可能就是檢測(cè)防火墻策略問題，以及執(zhí)行自動(dòng)校正防火墻策略錯(cuò)誤。 

　　在San Jose舉行的LISA會(huì)議上，Michigan State大學(xué)的研究員Fei Chen、Alex X. Liu以及North Carolina State大學(xué)的JeeHyun Hwang、Tao Xie聯(lián)合發(fā)布了一篇題為《自動(dòng)校正防火墻策略故障的關(guān)鍵步驟》的論文，論文概括地介紹了防火墻策略故障模式，同時(shí)也簡(jiǎn)要提出了五種常見的策略問題類型，并對(duì)這五種類型的問題提出了自動(dòng)的校正技術(shù)解決方案。 

　　這篇論文的基本前提是對(duì)糾正錯(cuò)誤數(shù)據(jù)包的重要性認(rèn)識(shí)，因?yàn)槲覀冎�道找到所有這些錯(cuò)誤的數(shù)據(jù)包并做更正是不太可能的。因此，最佳的做法就是在采樣的錯(cuò)誤數(shù)據(jù)包基礎(chǔ)上創(chuàng)建策略變更，同時(shí)這種方法還可用于更大型的數(shù)據(jù)包。 

　　該論文中提到的五種最常見的防火墻策略故障包括： 

　　1.次序錯(cuò)誤：防火墻秩序混亂時(shí)，會(huì)出現(xiàn)錯(cuò)誤地配置。當(dāng)在防火墻策略初期添加一些新規(guī)則時(shí)，如果沒有認(rèn)真考慮新規(guī)則和原始規(guī)則之間的順序，就次序錯(cuò)誤就會(huì)發(fā)生。 

　　2.缺失規(guī)則：當(dāng)管理員添加新規(guī)則，但卻忘記把新規(guī)則添加至原始防火墻策略時(shí)，就會(huì)發(fā)生此類故障。 

　　3.判斷錯(cuò)誤：當(dāng)管理員根據(jù)安全需求對(duì)某些規(guī)則做判斷時(shí)，有一些特殊的案例可能會(huì)被忽略，這時(shí)就會(huì)發(fā)生判斷失誤。 

　　4.決策錯(cuò)誤：此種錯(cuò)誤歸因于在設(shè)置規(guī)則后的錯(cuò)誤決策。 

　　5.外部規(guī)則錯(cuò)誤：此種類型的錯(cuò)誤表明，管理員需要從原始的策略中刪除某些規(guī)則。當(dāng)管理員添加了新規(guī)則，卻忘記刪除舊規(guī)則時(shí)，舊的規(guī)則會(huì)過濾出一個(gè)和新規(guī)則相似的數(shù)據(jù)包，這時(shí)就會(huì)出現(xiàn)這種錯(cuò)誤了。 

　　自動(dòng)校正防火墻策略故障的實(shí)施 

　　研究人員建議使用agreedy算法，來解決上述問題。在他們的實(shí)驗(yàn)中，研究人員在每個(gè)步驟中都確定了一個(gè)策略故障，之后計(jì)算出成功或失敗的實(shí)驗(yàn)次數(shù)，來確定他們使用的方法是否為最恰當(dāng)?shù)摹＝酉聛硌芯咳藛T計(jì)算了修正每種類型的故障時(shí)的試驗(yàn)次數(shù)，用來選擇能夠最大可能成功完整實(shí)驗(yàn)的最恰當(dāng)?shù)姆椒ā?/span>