防火墙规则间冲突检测与消解技术分析与探讨.docVIP

防火墙规则间冲突检测与消解技术分析与探讨 　　摘要：该文对防火墙规则集中的可能存在的冲突进行了讨论，对不同类型的规则冲突作了分类定义，在此基础上编写设计了规则冲突检测算法程序；对防火墙规则间的泛化冲突，交互冲突的消解技术作了一定的分析讨论，并给出了具体解决方案。 　　关键词：防火墙；网络安全；规则；冲突检测；冲突消解 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2014）05-0913-04 　　Analysis and Discussion on the Conflict Detection and Resolution Technique of Firewall Rules 　　GONG Ding 　　Abstract： Discussed the conflict among the rules of firewall， made the definition of different types of conflict of rules，designed conflict detection algorithm of rules.Discussed resolution technique of generalization conflict， interactive conflict of rules ，and gived specific solutions. 　　Key words： firewall； network security；rule； conflict detection； conflict resolution 　　随着计算机网络技术的发展，数据信息安全日益引起人们的重视，防火墙是连接内外网络，保证数据信息安全的重要设备[1]。网管在对防火墙规则策略进行配置时，需要注意规则间的关系与顺序，以确保配置规则集安全语义的正确性[2]。随着局域网规模的扩大，防火墙配置规则也越来越多，增大了规则间冲突的可能性，网管对其规则集进行再编辑与管理的难度也随之增加[3]。检测防火墙规则集中存在的冲突及解决规则冲突问题成为当前研究的一个重要课题，该文对防火墙规则间冲突进行分析讨论，编写了冲突检测算法程序，并对冲突消解技术做了一定的探讨，在网络安全管理方面有着一定的应用与参考价值。 　　1 防火墙配置规则集的冲突检测 　　在对防火墙的规则集进行配置的过程中，随着规则数目的增加，会导致规则间出现冲突，这样会影响网络的安全语义[4]。该文首先分类定义了规则间可能存在的冲突类型，然后据此编写了冲突检测算法的相关程序，以及时发现规则集的冲突问题。 　　1.1规则冲突的类型判定 　　防火墙配置中有些配置规则间的冲突会导致严重的错误，这些规则必须作修改，排除错误；有些规则间的冲突不是严重的错误，只需警告引起注意就可以了[5]，对防火墙规则间存在的冲突进行的归类定义如下所示： 　　定义1：若前面规则的各个域与这条规则相应的域都是包含关系，且这两条规则的动作域是不同的，那么就该规则被前条规则覆盖，配置规则之间发生了覆盖冲突。 　　规则间的覆盖冲突会导致一些规则起不到作用，影响防火墙策略的安全语义，这是比较严重的错误。这样可能会使防火墙对合法的网络数据包的进出执行不当的操作，如果发现规则间存在覆盖冲突，必须进行修正。 　　定义2：若前一条规则的部分域能够匹配后条规则相对应的域，后条配置规则的部分域也可以匹配前一条规则相对应的域，且这两条规则动作域的值不同，那么规则间发生了交互冲突。 　　交互冲突中也会存在一部分因为操作动作相反，使得该规则不能被执行的状况，可将这两条配置规则换下顺序，那么这些数据包又是被允许通过的，由此看出交互冲突存在部分配置规则安全语义的二义性，但由于出现错误的概率不多，该文将这种冲突的级别设为警告，以引起管理员的注意。 　　定义3：若前面规则的各个域与后条规则相应的域都是包含关系，并且规则的动作域的值相同，那么后条规则是冗余的，规则间发生了冗余冲突。 　　后条配置规则对防火墙系统并不产生作用，添加与删除该规则都不会对配置规则集的安全语义产生影响。但是系统中若这样的规则大量存在，会使得防火墙的过滤效率显著降低。因此管理员需及时地发现冗余规则，将这些错误从规则集中删除，以提高防火墙系统的性能。 　　定义4：若前一条规则可以匹配后一条规则的所有数据包，但后条规则不能匹配前一条所有的数据包，并且此两条规则的执行域的值不相同，该文将前一条配置规则称为后条配置规则的泛化，这两条规则间发生了泛化冲突。 　　规则间的泛化冲突并不能称作出错，但如果这种冲突规则次序改变，会引起影响网络策略的安全语义。因此当网管添加一条配置规则到防火墙系统中时，需要对是否会引起泛化冲