防火墙规则间包含关系的解析方法.docVIP

防火墙规则间包含关系的解析方法 　　摘要：针对防火墙规则集中规则间的相互关系难以把握，从而导致防火墙无法正确地过滤数据包的问题，提出了一种基于集合理论的规则间包含关系的解析方法。该方法在不考虑规则动作的情况下，基于集合理论的包含关系来解析和分类规则之间的关系，简化了分析规则间相互关系的过程。并且使用高效的函数式编程语言Haskell实现了所提出的方法，整体代码简洁、易于维护和扩展。实验结果表明，对于中小规模的防火墙规则集，能够快速而有效地解析规则间的包含关系，并且能够为后续的规则间的异常检测提供重要的依据。 　　关键词：网络安全； 防火墙； 规则集； 函数式编程语言；集合理论 　　中图分类号： TP393.08 　　0引言 　　网络黑客、病毒的扩散以及网络遭受恶意攻击等问题的出现，都给网络安全甚至社会生活造成了很大的威胁。防火墙是保障网络安全的重要工具之一[1]，通常是根据网络管理员事先制定的一组有序的规则（以下简称规则集）来控制和检测网络之间的信息交换和访问行为来实现对网络和信息的安全管理。因此，规则集是防火墙作出正确过滤和处理数据包的根本前提，是保护内部网络及信息安全的重要依据。但是，如果规则集中存在矛盾规则、多余规则等设定异常时，会使防火墙无法正确过滤数据包，从而给受保护网络带来安全隐患。Wool调查了37家企业等实际使用的防火墙，所有的防火墙规则集中都存在着设定异常[2]。防火墙规则集中存在设定异常的原因主要是由于网络管理员在制定或修改规则时，难以正确地把握和理解规则之间的关系，无意间造成了规则中所设定的过滤条件部分的或全部的重叠。还有些场合，网络管理员为了表示的方便或者简化规则的设计，有意识地将多条规则表示为一条规则，从而造成了规则中所设定的过滤条件的重叠。例如：图1所示的两条规则f1和f2，由于f1的源地址、目的端口号分别是f2的源地址和目标端口号的子集，其他都相同，从而，满足f1的数据包必定全部满足f2，因此，相对于f2来说， f1是一条多余的规则。 　　近年来，国内外已经提出了一些方法分析防火墙规则集中规则之间的关系，并且根据分析的结果检测规则之间存在的设定异常。文献[3-6]中使用策略树（policy tree）的数据结构来解析规则间的关系，然后对于规则集中存在的设定异常进行了详细的分类，开发出相应的检测算法，以检测单个或分布式防火墙规则集中的设定异常。文献[7]中，采用二叉决策图 （Binary Decision Diagram， BDD）的数据结构来解析防火墙规则之间的关系，并且用于检测单个或者分布式防火墙规则集中的错误、不一致、无效的规则等设定异常。文献[8]中采用比特向量（bit vector）来分解规则集，又定义了一些基于比特向量的运算来计算规则间的关系，再根据规则的动作最终确定设定异常的种类。文献[9-10]中不是直接分析规则集中每两条规则之间的关系，而是将所有规则视为一个整体进行分析。文献[9]中对于所有的规则所形成的数据包空间进行分块，并且基于受保护网络的风险评估和策略定义的意图分析来决定规则间的冲突。文献[10]是以文献[9]为基础，将数据包空间分成两两不相交的片段，然后为每一个片段设置一个唯一的动作约束，再进行并行化的排序，从而实现消除规则集中的冲突。类似的还有文献[11]中，首先将每条规则理解为多维空间中的多维体（hyperrectangle），其次将多维体分解为相互独立的小块，然后再根据规则的优先级和动作确定规则之间的设定异常。 　　以上这些相关研究中，虽然是针对如何检测防火墙规则集中的设定异常，但无论哪一种研究，都需要事先分析规则的含义，即：都需要事先在不考虑规则动作的情况下，分析规则集的含义，然后再根据规则中所设定的动作来确定设定异常的种类。因此，防火墙规则集中设定异常检测技术的重点是如何解析规则的含义。如果能够事先分析规则集的含义，并向管理员提示，则有助于管理员确定哪些规则可能会造成设定异常。本文在不考虑规则的动作的情况下，提出了一种基于集合论的快速地解析规则间包含关系的方法，并且使用函数式编程语言Haskell[12]实现了所提出的方法。本文所提出的方法未使用决策树[3-6]、BDD[7]等复杂的数据结构，简化了分析规则间相互关系的过程。由Haskell实现该方法的整体代码简洁易于维护。仿真实验结果表明，对于中小规模的防火墙规则集，能够有效地分析规则间的包含关系。 　　1防火墙规则的相关定义 　　1.1防火墙规则的结构 　　一个防火墙规则集FP通常包含n条规则，可表示为FP：（f1， f2， …， fn），每条规则fi（i∈[1， n]）包括式（1）中所示的m个述语字段pi1，pi2，…，pim和一个动作字段action。 　　fi：pi1，pi2