摘要:随着来自网络的威胁不断增加,防火墙的安全策略也在逐渐细化,导致防火墙规则集中规则的数目增多,规则集的复杂度也相应增加。这就使得网络管理人员在维护防火墙规则集的过程中不可避免地会出现配置错误,影响到防火墙保护网络安全的能力,从而导致安全漏洞等问题的出现。因此,检测出防火墙规则集中的设定异常是非常重要的。
为了解决以上问题,本文阐述了冲突规则产生的原因及异常的分类,并提出了一种基于规则空间包含关系的解析法,分析了规则之间的空间包含关系。采用基于SIERRA树的数据结构,实现了包过滤式防火墙规则集中的冲突规则的检测,并将结果直观显示。
根据该方法建立了实验原型系统,并且使用人为设计的实验数据测试了该检测方法的时间和空间的消耗。根据现有的实验结果,该检测方法可以使用于中小型防火墙规则集。
关键字:包过滤防火墙,规则冲突,设定异常检测
Abstract:With the growing number of threats from the network, firewall’s security strategy gradually was refinement, which cause the number and the complexity of firewall’s rules increases. This makes network manager make configuration mistakes in maintaining firewall’s rules and this result in rules conflicts. So that it affects the firewall’s ability of network security protection , and lead to security vulnerabilities and so on. So it’s very important to detect the conflict rules.
To solve the above problems, this paper make conflict rules test on packet filter type firewall, it also expounds the causes of rules and exception of different conflicts , and puts forward an analytic method based on space contains relationship, analyzes rules’ space relationship, detects conflict rules from firewall’s rules ,and realize packets filtrating conflict rules from the firewall’s rules, this detective algorithm is based on the SIERRA tree data structure, and the results are visual displayed.
According to the analysis of the algorithm, we set the proto system ,and test the time and space consumption with man-made data According to the existing experimental results, we can see that the detect method is suitable for small firewall.
Keywords :packet filter type firewall、rule conflict、set anomaly detection
本文在分析研究包过滤式防火墙的基础上,针对其由于规则的日益庞大与复杂而导致防火墙规则集中存在冲突规则的可能性也越来越大的问题,分析了规则集中冲突规则的产生原因及其分类,并就如何快速、全面的检测出冲突规则的问题进行了研究。
全文分为六章,各章节的主要内容和组织结构如下所述。
第一章中首先介绍了网络安全的相关知识,阐述课题的研究意义以及当前的研究状,并给出了本文的组织结构。
第二章介绍了防火墙的相关技术,随后详细介绍了包过滤式防火墙的体系结构及其优缺点。
第三章中说明了防火墙规则的结构,分析了规则冲突的产生原因,根据设定异常的情况对冲突进行了分类并一一举例说明。
第四章对规则集中的冲突规则的检测算法进行了描述,其中包括:规则的空间表示法,规则空间包含关系的计算,以及具体的如何检测出规则间的冲突异常。
第五章针对基于SIERRA树数据结构的算法进行了程序实现,并对算法性能进行了测试。
第六章总结了本文的工作,并指出了有待进一步研究的问题。