一體化網關式防火墻策略設置分析

胡斌彥

摘要 多種網絡安全產品的應用給校園網的安全產品兼容性和管理增加了難度,而采用一體化網關式防火墻則比較經濟、有效。分析一體化網關式防火墻特點,闡述防火墻策略配置的重要性,利用算法、實例驗證策略規劃和配置,達到保護校園網安全的目的。

關鍵詞 網絡安全;防火墻;安全策略;網絡威脅

中圖分類號:TP393.08 文獻標識碼:B 文章編號:1671-489X(2009)27-0099-02

Strategy and Analysis of An Integrated Gateway Firewall//Hu Binyan

Abstract The application of a variety of network security products makes the campus network security products compatibility and management more difficult, while the use of an integrated gateway firewall is more economical and effective. This paper analyzes the integration of the gateway firewall features, and expounded the importance of the firewall policy configuration, and the use of algorithms, examples demonstrate the strategic planning and configuration ,and achieve the protection of campus security.

Key words network security; firewalls; security policy; network threats

Authors address Wuwei Occupational College, Wuwei, Gansu, 733000, China

一體化網關式防火墻(UTM)是將多種安全能力融合在一個產品之中,實現防御一體化,為安全解決方案、規避設備兼容性問題、簡化安全管理提供先決條件[1]。具體來講,就是采用綜合分析、分流處理的設計思想,將各種數據由綜合分析引擎判斷出數據的合法性,做到單點部署、立體防御、一體化設計、高效易管、簡單安全[2]。尤其是對建設時期的高職院校,實現花最小財力、人力完成校園網安全維護大問題。

1 一體化網關的特點

1.1 軟硬結合方式一體化網關式防火墻通常采用專用的FPGA和ASIC芯片,可實現病毒檢測、內容過濾、入侵防御等功能。但FPGA和ASIC芯片更新周期緩慢,且更新費用高昂。解決此類問題,一體化網關大多采用軟件升級方式,即軟硬件結合的方式完成安全防護。

1.2 合并橫向多種功能USG(如啟明星辰的天清漢馬USG-2000)在將協議重組分析之后,對模式匹配引擎和特征庫進行合并(見圖1),形成“綜合分析引擎”技術,將模式匹配進行歸一化處理:在接收到數據報文后,通過一個綜合分析引擎實現對防病毒、入侵防御、內容過濾、反垃圾郵件等高級安全功能分析和匹配。以一體化特征庫(病毒特征庫、入侵事件庫、內容過濾特征庫、垃圾郵件特征庫)作為支撐,以統一的格式根據標記準確判斷該特征所屬類型,針對數據流用相應的處理模塊進行控制。一體化特征庫提高了多種安全功能協同運作的效率,相比分散的特征庫,可以使整體性能提升40%以上[3],如圖2所示。

1.3 優化算法對于特征庫的匹配,通常存在AC和BM兩種算法,AC算法是最著名的模式匹配算法之一;BM算法的時間復雜度低于線性,是現在用得比較多的一種方法。啟明星辰公司對于2種算法進行深入研究和優化,通過BM算法提高步長,通過AC算法提高比對效率,并融入很多創新技術,形成目前應用在天清漢馬USG產品中的專利算法(專利號:200610089420.7)。此專利算法與特征庫大小、文本大小無關,可以確保大容量特征庫正常情況下的檢測效率[4]。

2 天清漢馬防火墻功能

2.1 高效防病毒其實防病毒功能是UTM產品的難點,因為防病毒產品的核心部件有2個:防病毒引擎和病毒庫。其中病毒庫是需要經常甚至每天更新的。這樣,病毒庫的數據量往往會很大,而作為網關級產品,需要對每個數據包進行打開、分析、檢查,這是一個較長的比對過程。一個數據包如此,個個數據包都如此,這樣很容易把一臺UTM設備拖垮。但是一體化安全網關借助啟明星辰在IDS技術方面的多年積累,利用它獨到的“IPS協議還原技術”,巧妙地解決了這個難題[5]。并且用戶可以根據實際需要,選擇標準病毒庫和擴展病毒庫。為了更有效地過濾網絡病毒,除了特征碼識別、廣譜特征碼、啟發式掃描技術等幾種常見的檢測方法外,天清漢馬防火墻還采用多種先進的新一代病毒掃描引擎技術,以巧妙而精確的算法保證在檢測大量病毒時,仍然保持高速而準確的檢測結果。

2.2 NetFlow流量統計通過利用NetFlow流量統計分析技術,對網絡通信數據進行安全監控、病毒檢測,做到對網絡攻擊或其他異常流量進行及時有效的防護,成為防范蠕蟲病毒泛濫的理想解決方案。

天清漢馬集成NetFlow技術后,通過NetFlow技術可以使網絡管理員對網絡流量做到宏觀把握,并用統計分析的方法,對規模日益壯大、業務日益復雜的網絡進行監控。這樣,天清漢馬防火墻在蠕蟲泛濫、流量異常的情況下,對于突發的流量變化可以做出簡單、快速的反應動作,在網絡安全監控和預警中起到必不可少的作用,從而打造出一個更加安全、更加經濟、更加高效的校園網絡[6]。

3 防火墻安全策略設計

3.1 創建安全策略網絡安全策略是防火墻系統的重要組成部分,而防火墻設備是它的忠實執行者和體現者,二者缺一不可。網絡安全策略決定受保護網絡的安全性和易用性,一個成功的防火墻系統首先應有一個合理可行的安全策略。

在防火墻的策略配置過程中,容易出現5種常見錯誤:存在無關規則、缺少默認規則、規則交叉沖突、規則間相互屏蔽和規則冗余。下面具體分析這些錯誤產生的原因和解決錯誤的辦法。

為了直觀地描述這幾種錯誤,在武威職業學院對此進行測試,首先給出一個先期使用的防火墻策略樣例(后證明是個錯誤的配置),見表1。

1)存在無關規則。無關規則增加防火墻中規則表的長度。對于無關規則,可以將其刪除。以表1的規則8為例,它的源IP地址域為10.1.68.40,而此防火墻連接的網段為10.1.64.0和10.1.65.0,數據包不可能到達該防火墻,規則8為無關規則,應該刪除。

2)缺少默認規則。添加一條規則,它的每一個過濾域均設成該過濾域的值域。對于表1描述的防火墻策略,取一個數據包,采用TCP協議,源IP地址是10.1.64.30,源端口是8025,目標IP地址是10.1.65.40,目標端口為8080。當此數據包到達防火墻時,防火墻沒有相匹配的規則,無法對該數據包進行處理,防火墻將拒絕掉該包。

3)考慮表1中的規則1和規則3,兩者的源IP地址域和目標IP地址域互相存在包含關系,并且兩者的動作域不相同,因此,規則1和規則3存在規則交又沖突。

4)規則間相互屏蔽。考慮表1中的規則2和規則4,很顯然,匹配規則4的數據包必然也匹配規則2,而且兩者的動作域不同,因此規則4被規則2屏蔽。規則3和規則4也是同樣的情況。

5)規則冗余。在表1中,規則7和規則6的區別僅僅在目標IP地址域上,并且規則7的目標IP地址域是規則6的目標IP地址域的子集,所以規則7是規則6的冗余。

3.2 規則沖突檢測算法針對前面描述的5種常見策略配置錯誤,采用相應的算法,掃描一下規則表以檢測錯誤,通過觀察判定樹模型,可以歸納出沖突錯誤的發生條件。

考慮2條規則Rj和Rk,Rj在Rk之前。l)如果Rj的過濾域的每部分是Rk的對應部分的超集,或者和Rk的對應部分相同,那么,當兩者的動作域相同時,發生規則冗余;當兩者的動作域不同時,Rk被Rj屏蔽。2)如果Rj的過濾域中至少有一個是Rk的對應部分的超集,同時至少有一個是Rk的對應部分的真子集,并且剩下的過濾域都和Rk的對應部分存在包含關系,那么當兩者的動作域不同時,發生規則交叉沖突[7]。

通過算法分析,應用于表1,得到如下結果:規則表中缺少默認規則;規則8為無關規則;規則1和規則3發生交叉沖突;規則4被規則2屏蔽。

綜合以上分析,網絡安全預防要從網絡入口做起,采用一體化網關式防火墻的確是一個不錯的選擇,既經濟又無兼容性問題,再加上良好的安全策略配置,真正達到保護校園網的目的。

參考文獻

[1]張千里,陳光英.網絡安全新技術[M].北京:人民郵電出版社,2003

[2]王金德,李祥和,冉曉明.主動入侵防御系統研究[J].微計算機應用,2005,26(3)

[3]宮立波.高校信息化建設與管理問題探討[J].教育信息化,2004(8)

[4]李緋,李海霞.數字化校園建設[Z].北京:清華大學教育技術研究所,2005

[5]趙海蘭,崔先雨.高職高專院校數字化校園建設的思考[J].教育信息化,2006(Z1)

[6]尹迎菊.信息化建設—數字化校園的迫切要求[J].湖南環境生物職業技術學院學報,2006(01)

[7]姜惠民.網絡布線與小型局域網搭建[M].北京:高等教育出版社,2004