康志强 光旭亮 范哲 李新忠 崔扬
北方自动控制技术研究所,山西省 太原市 030006
摘要:在当前现代化技术以及信息化手段高速发展的背景下,社会已经全面进行入到了科技时代当中,使得大数据技术、互联网技术以及云计算技术等全新的技术手段得到了全面的发展优化,而防火墙作为保证各类数据信息安全的关键所在,其对于各类技术的安全性以及稳定性起到了决定性作用,而如果防火墙规则间产生了冲突,不仅会严重影响到防火墙自身的作用,也会影响到各类技术手段的正常使用。因此,文章首先对防火墙配置规则的冲突检测展开深入分析;在此基础上,提出防火墙配置规则间的冲突检测与消解技术。
关键词:防火墙规则;冲突检测;消解技术
引言:随着计算机网络技术的不断发展优化,数据信息的安全性得到了群众的重点关注,而防火墙作为连接内部网络与外部网络之间的关键所在,不仅能够保证数据信息的安全,对于系统的稳定运转也起到了重要作用。而在对相应的防火墙策略以及规则进行配置的过程中,必须要重点关注不同规则之间的顺序以及关系,从而在根本上保证规则安全的正确性。同时,随着局域网整体范围与规模的不断提升,使得防火墙之中的配置规则也在逐步提升,这也在潜移默化之间加大了规则冲突出现的可能性。因此,这就需要制定出与之对应的消解技术,更好的消除防火墙规则之间存在的冲突。
一、防火墙配置规则的冲突检测
(一)规则冲突的类型判定
在防火墙的配置当中,部分配置规则所产生的冲突很容易就会引发较为严重的错误,必须要及时对这部分规则进行修改,有效排除其中存在的各种错误,而部分防火墙规则所产生的冲突并非特别严重,这时只需要进行警告即可,而针对防火墙规则间所存在的冲突,主要有以下几点定义:首先是前面规则当中的各个域,其与这一条规则所对应的的域处于一种包含的关系,并且两条规则的动作域完全不同,那么前条规则就会直接覆盖这条规则,使得不同配置规则之间出现了覆盖冲突。而产生的规则覆盖冲突,会使得一些规则无法发挥出自身作用,甚至还会影响到防火墙的基本策略,这属于一种相对较为严重的错误,导致防火墙对于那些合法的网络数据信息很容易做出执行不当的操作内容,因此,如果发现覆盖冲突问题,就必须要在第一时间进行修正;其次,如果前一条规则的部分域,其能够与后条规则对应的域相互匹配,并且后条配置规则当中的部分也能够与前一条规则的对应域匹配,而两条规则之中动作域的具体值数存在差异,那么防火墙配置规则就产生了交互冲突[1]。
(二)规则冲突的检测算法
对防火墙规则之间是否存在冲突进行检测,其核心思想就在于准确判断好两条不同规则在策略树当中的路径是否保持一致,如果其中的路径一致,那么这两条规则之间很容易就会产生冲突。而在检测全新规则与之前插入的规则之间是否存在冲突,就应当适当添加部分参数来对状态的转变进行跟踪,利用相应的检测算法来进行准确计算,进一步找寻出防火墙配置规则间是否存在冲突。
二、防火墙配置规则间的冲突检测与消解技术
在对防火墙展开实际管理应用的过程中,各个规则之间存在着不同类型的影响关系,这就使得在对配置规则展开优化排序的过程中,很可能会对规则语义的正确性产生影响,这就需要尽量降低不同规则之间所产生的影响。根据上文可以看出,防火墙配置规则间所产生的冲突有多种类型,而覆盖冲突以及冗余冲突对于防火墙配置规则的安全语义有着十分重要的影响,这就需要在管理规则中对产生这部分冲突的规则进行删除处理。而交互冲突以及泛化冲突并非是严重错误,但却使得不同规则之间产生了一定程度的联系,这就需要在修改规则时,保证这些规则的顺序不变[2]。
(一)规则片段的约束动作
在每一条配置规则之中,其所产生的规则冲突就是包含在冲突当中的冲突规则,一旦这种冲突被进一步找寻出来,系统管理员所采用的消解方式往往都是手动修改,但如果规则数量相对较大时,手动处理所取得的效果则微乎其微。因此,有效的规则冲突消解技术,其重点就在于决定,一旦网络数据包当中存在具有冲突的规则时,就要在第一时间明确哪一条规则需要优先进行匹配,而如果有一个约束动作来确定好相应数据包片段当中的动作,那么冲突就会被消除。针对那些无重叠的片段,其中数据包的各种动作应当由片段当中所囊括的规则所决定;而有重叠但没有配置规则冲突的片段,数据包动作就要由片段中规则的共同动作来更好的决定。配置规则冲突的约束动作,其主要是基于策略所形成的一种解决方式,能够在最小限度上与系统管理人员展开交互,并有效消解防火墙配置规则间所存在的冲突。
(二)规则转换的等效性
为了保证转换完毕的防火墙,其基本功能能够与原本的防火墙保持一致,并且避免出现配置规则间的冲突,就必须要保证转换前规则与转换后规则之间的等效性。而这种规则的等效性,主要就是指那些任意到来的数据包,新防火墙规则对于其所执行的任何一种动作,都与原防火墙规则当中的动作保持一致,而由于部分规则冲突问题存在,如果动作不一致时,新规则下所执行的动作则更加符合管理人员的预期。简单来说,证明防火墙规则所具备的等效性,其在本质上就是证明了防火墙所处理的数据包集合并没有转变,并且与之对应的动作也是符合原本配置规则的定义。而站在理论的角度上来看,规则的转换其实只是将规则换一种全新的表达方式,并没有对该规则所处理的数据包产生影响,这也进一步降低了配置规则冲突的发生几率,保证防火墙能够安全、稳定的运转[3]。
结论:在防火墙的配置规则中,由于部分客观因素所产生的影响,其中很容易出现一些规则冲突,其对于防火墙基本功能的发挥起到了严重影响,因此,这就必须要对防火墙配置规则间可能出现的冲突进行深入分析,对产生的不同冲突类型进行定义,并以此为基础来编写出与之对应的冲突检测程序,在根本上保证防火墙规则集语义的正确性,对于那些已经出现的规则冲突,就应当采用必要的消解技术进行处理,以此来保证防火墙能够安全稳定的运转。
参考文献:
[1]段慧,韩会雯.防火墙规则冲突快速检测算法分析[J].中国新通信,2019,21(08):124.
[2]陈思思,杨进,李涛.一种防火墙规则冲突检测方法研究[J].信息网络安全,2018(10):78-84.
[3]曹波,冯伟东,孟浩华,刘祺.一种解决防火墙规则冲突的混合型算法的研究[J].计算机与数字工程,2017,45(07):1282-1286.
2本包邮,重庆市九龙坡区石桥铺街道领袖风景-徐老师-18202355775