基于安全配置督查的狀態防火墻設計與實現*

羅功銀　余　錚

(國網湖北省電力公司信息通信公司　武漢　430077)

?

基于安全配置督查的狀態防火墻設計與實現*

羅功銀余錚

(國網湖北省電力公司信息通信公司武漢430077)

摘要由于狀態防火墻是一種新型的防火墻,而傳統的防火墻的安全配置算法(防火墻決策圖),并不適用于狀態防火墻的規則集比對。通過對馬爾可夫鏈的構造,將規則集轉化為圖形化的等價的狀態防火墻,從而最終用于狀態防火墻的規則集比對。理論分析表明,該方案能夠有效地檢測出狀態防火墻規則集之間的異常規則。實驗結果表明,該方案可以代替傳統的人工評判方法,在當狀態防火墻的狀態部分規則和無狀態部分規則條目數量分別達到3000條時,其比對過程所耗費的平均時間不超過2s,從而大大提高了督查效率,且系統運行時間開銷較小。

關鍵詞馬爾可夫鏈; 排隊論; 防火墻規則; 訪問控制

Class NumberTP393.08

1引言

防火墻在網絡安全方面具有重大的應用價值。因此,防火墻的安全配置一直是防火墻能夠執行訪問控制的最基本的要求。根據訪問控制的規則集,可以把防火墻的安全配置分成安全策略配置和安全管理配置[1]。

防火墻規則集的安全策略配置尤為重要。這是因為： 1) 由于防火墻包含有大量的訪問控制規則集,這些規則存在人工配置與現實安全需求不一致的可能性,這就需要如何來檢測防火墻中存在的錯誤配置的規則集。 2) 還存在系統升級后,防火墻在移植前后,規則集是否會發生變化,這就需要確保防火墻規則集在移植前后是否完整以及一致性。那么如何安全配置防火墻規則集,就成為一個急需解決的現實問題[2～4]。

本文解決此問題的思路就是:利用狀態防火墻,來對規則集進行形式化描述,通過馬爾可夫鏈來實現狀態防火墻的規則集有效性檢驗,同時達到提高防火墻規則集的安全配置檢測效率。

狀態防火墻是在包過濾防火墻以及應用代理防火墻的基礎上發展起來的。目前,狀態防火墻在網絡安全中得到了廣泛的運用。傳統的狀態防火墻的構造,一般是利用防火墻決策圖(Firewall Decision Diagrams,FDD)來加以實現的。文獻[3]利用防火墻規則集的集合運算(交集運算),從而將規則集的比較工作轉化成多維空間中的圖形比較工作,通過集合運算,來判定所比較的圖形大小、位置、顏色是否一致,最后得出防火墻規則集是否發生改變,即防火墻規則集一致性檢測。在文獻[5～6]中,Liu A X.等利用防火墻決策圖(FDD),來定義防火墻規則集,并將其用于規則集的比對和查詢工作,最后,FDD的基礎上,提出了一種防火墻決策樹(Firewall Decision Tree,FDT)的方法。

雖然,狀態防火墻同普通的防火墻相比,增加了一個狀態部分。此狀態部分用于保存過去和當前的數據包的相關信息,通過狀態防火墻的規則集比對,來判定當前數據包能否通過狀態防火墻。但是,FDD并沒有考慮到狀態部分對狀態防火墻的影響,因此,FDD并不使用于狀態防火墻的規則集比對工作。根據文獻[7]可知,目前,并沒有相關狀態防火墻規則集比對工作方面的文獻。為了解決狀態防火墻規則集比對問題,文獻[7]提出了一種狀態防火墻決策圖(Stateful Firewall Decision Diagram,SFDD)的方法。該構造方法是將狀態防火墻的規則集,轉化成與之等價的SFDD,最后利用SFDD來比對狀態防火墻的規則集。實驗表明,該方法能夠檢測出有差異的規則集,且用時較少。

2馬爾可夫鏈的狀態防火墻方案

2.1狀態防火墻的規則異常定義

狀態防火墻的訪問控制規則集,由訪問控制列表中的列表項來組成,該訪問控制規則集決定了數據包通過或者阻止。訪問控制規則集是由規則號、過濾域、動作域三部分來分別構成。規則號是由到達狀態防火墻的數據包的狀態來生成的,其作用是決定到達數據包通過狀態防火墻檢測的先后次序。過濾域是一個五元組,由源網絡地址、目的網絡地址、源端口、目的端口、協議類型來構成。過濾域包括F1F2…Fd,以表示相互Fi和Fj之間的順序關系。動作域只負責放行通過或者阻止數據包。這樣,狀態防火墻中的規則就可以表示成如下形式:〈order〉〈protocol〉〈src_ip〉〈src_port〉〈dst_ip〉〈dst_port〉〈action〉[8]。

規則集的異常檢測是只規則之間存在1個域或者多個域之間交叉或者重疊的現象[9]。例如:如果規則集中的規則rx和ry存在異常現象,那么?i:rx[Fi]?ry[Fi],且rx和ry的動作域(action)不同。其中,符號含義為:?∈{?,?,=},Fi∈{protocol,src_ip,src_port,dst_ip,dst_port}[8]。

2.2馬爾可夫鏈的定義

本文根據排隊論中的馬爾可夫鏈來構建狀態防火墻規則集的安全配置。

在狀態防火墻中,如圖1所示,當包含有請求輸入的數據包到達狀態防火墻時,經過狀態防火墻的處理后,只有符合一定規則集的數據包才能進入防火墻內部。特別在Linux和FreeBSD中,如圖2所示,Rx NIC接收數據包以后,以DMA復制的方式進入Rx DMA Ring中[10]。當Rx DMA接收到數據包以后,會產生一個中斷,從而通知設備驅動程序接收到新到的數據包[11]。

圖1　防火墻對輸入數據包的檢查流程[11]

下面計算馬爾可夫鏈模型的狀態概率,從而得出該狀態防火墻的相關特性。

基于規則集的狀態防火墻,是能夠允許或者阻斷到達防火墻的數據包的通過。狀態防火墻,通過對到達的數據包進行檢測,判定該數據包是否滿足規則集,從而對到達的數據包進行放行或者阻斷。

現假定到達狀態防火墻中的數據包,只有等前一個數據包離開排隊系統后,才能進入排隊系統等待狀態防火墻的檢測。即是說,各個數據包的處理是相互排斥的。假設到達狀態防火墻的數據包,滿足泊松(Possion)分布,其到達率為λ,且到達的數據包是相互獨立的,滿足參數為1/μ和1/r的指數分布(通常滿足r>μ)。狀態防火墻對于到達的狀態對數據包處理原則是先到先處理。

在馬爾可夫鏈模型中,流入的數據包以一定的到達比例λ來到達狀態防火墻。狀態防火墻的緩存器為K個數據包,排隊長度為K-1個數據包。數據包依據到達狀態防火墻的時間狀態來進行排隊,其等待排隊處理的平均時間為1/μ。隨后,狀態防火墻根據規則集對到達的數據包進行逐一比對,當到達的數據包滿足規則集中的一條規則后,對該數據包進行放行,其比對的平均時間為1/r。放行的數據包經過N個階段的處理,其中:N=1+M,M是放行的數據包滿足規則集中的規則的位置。

下面用具有多級處理任務的馬爾可夫鏈模型來表示狀態防火墻的狀態空間:S={(k,n),0≤k≤K,0≤n≤N},其中:K表示到達狀態防火墻的數據包的數目;n表示當前狀態為狀態防火墻處理到數據包的數目。當n=N表示狀態防火墻開始對數據包進行處理。這樣,當狀態為(0,0)時,整個狀態防火墻處于空閑狀態;當狀態為(k,n)時,狀態防火墻正在處理規則集中的第n條規則;當狀態為(k,N)時,狀態防火墻開始對數據包進行處理。本文用圖2來表示狀態防火墻的狀態轉換流程。

圖2　狀態防火墻的狀態轉換流程圖[11]

狀態(k,n)的穩態概率用pk,n來表示。下面給出每個狀態的穩態平衡方程為

state(0,0)0=-λp0,0+μp1,N

(1)

其余的狀態的穩態平衡方程可以用p0,0遞歸表示,其遞歸方程為

pK,1=(λ/r)pK-1,1

(2)

最后,可以得到p0,0的值為

(3)

由于每個數據包只觸發狀態防火墻的規則集中的一條特定的規則,其中總的到達狀態防火墻的數據包,根據泊松(Possion)分布,數據包到達狀態防火墻的到達率為λ,可計算出總的數據包到達狀態防火墻的到達率為

(4)

從而可以計算出總的數據包在狀態防火墻中匹配規則的位置為

(5)

2.3馬爾可夫鏈的狀態防火墻構造

該算法構造一共分為三個步驟:

Step 1狀態防火墻的等價決策路徑f構建

假設狀態防火墻的規則集為[r1,r2,…,rn]。狀態防火墻從規則集中的第一條規則開始進行轉化決策路徑,把r2,…,rn依次添加到f中。最后,得到狀態防火墻的規則集的等價決策路徑f。

Step 2數據包的等價決策路徑f′構建

當有數據包到達狀態防火墻后,生成狀態防火墻的狀態部分,其規則集為:rk[F1]∧rk[F2]∧…∧rk[Fn]→action。狀態防火墻從規則集中的第1條規則開始進行轉化決策路徑,把r2,…,rn依次添加到f′中。最后,得到狀態防火墻的規則集的等價決策路徑f′。

Step 3狀態防火墻的等價決策路徑f,與數據包的等價決策路徑f′,異常比較操作檢測

Step 4狀態防火墻的等價決策路徑f,與數據包的等價決策路徑f′,邏輯與操作異常規則檢測修正

3狀態防火墻安全配置督查實例

3.1仿真模擬

本文采用Java Modelling Tools(JMT)進行馬爾可夫鏈的狀態防火墻規則集的模擬[12]。

圖3是JMT的仿真模擬界面。其涉及到的系統參數選用本文第3節中參數。

圖3　JMT模擬工具選擇界面

在該模型仿真的過程中,當整個系統處于穩態平衡時,整個狀態防火墻的流入數據包和流出數據包的總量處于相等階段,此時,可以求解出該仿真模擬穩態時的解析解。

在基于馬爾可夫鏈的狀態防火墻中,在保持狀態防火墻中原始規則的完整性、緊湊性、一致性的基礎上,能夠檢測出狀態防火墻規則集中規則之間的異常情況。具體通過等價決策路徑中的節點之間的比較操作來完成狀態防火墻規則集中異常規則的快速定位;以及通過等價決策路徑中的節點之間的邏輯與操作來完成修正狀態防火墻規則集中異常規則間的交叉與重疊,從而達到優化狀態防火墻規則集中規則的目的。

圖4的仿真模擬中,當狀態防火墻的狀態部分規則和無狀態部分規則條目數量分別達到3000條時,其比對過程所耗費的平均時間不超過2s。

圖4　動態演示圖

3.2實驗配置

下面給出狀態防火墻安全配置督查實例。此狀態防火墻的安全性應滿足: 1) 任意來自外部網絡的惡意域名的數據包均應阻止通過狀態防火墻; 2) 網絡地址如192.1.2.3的郵件服務器可以接收電子郵件; 3) 本地主機與遠程主機之間的相互通信,只能通過本地主機發起。

具體實驗配置如圖5所示,狀態防火墻安置在網關路由器中。此網關路由器有兩個端口,編號為0的端口,連接外部網絡;編號為1的端口,連接內部網絡。

圖5　狀態防火墻的規則集比對實例

3.3實際系統運行效果

針對越來越嚴峻的信息安全現狀,國家電網公司近年來不斷加強信息安全督查工作,監督和保障信息安全措施和管理工作要求落實到位。信息安全督查工作的主要目的就是督查檢查、督查信息安全管理技術要求和措施落實,采取有效手段督促隱患整改,持續提升信息安全防護能力,實現信息安全的可控、能控、在控。

下面給出整個信息安全終端區域督查系統需求流程見圖6。

根據文獻[13]的研究結果:實際使用的防火墻規則數目最多約為3000條。因此,本文在實驗初始配置時候,設定狀態防火墻的規則數目為3000條,滿足實際使用要求。此外,在該實驗中,根據文獻[14]中所公布的防火墻的數據包分類的特點,來隨機生成狀態防火墻。到達狀態防火墻的數據包的字段有:接口(I)、源網絡地址(D)、目的網絡地址(D)、ID號(N)以及協議類型(P)。

圖6　信息安全終端區域督查系統需求流程圖

當用戶進入客戶端以后,系統顯示日常檢查如圖7所示,點擊立即檢查,可以對系統進行較為全面的檢查。

圖7　狀態防火墻的日常檢查項目

其檢查信息包括檢查項的名稱、預期值、實際值。如圖8所示。

圖8　狀態防火墻的日常檢查信息

在檢查信息項目上,可以用鼠標點擊檢查項,可以在右側窗口看到檢查項的描述信息和修復方法。如圖9所示。

圖9　狀態防火墻的檢查項的描述信息和修復方法

對于已經結束的任務,如果在之前執行過該任務,可以點開查看具體的檢查明細。如圖10所示。

圖10　狀態防火墻的專項督查

4結語

本文提出了一種基于馬可夫鏈的狀態防火墻安全配置算法,并將其運用到狀態防火墻的規則集比對中。理論分析和具體實驗表明,該算法能夠檢測出狀態防火墻規則集中異常規則,檢測結果能動態加以顯示,且用時較少。

隨著網絡的發展,針對狀態防火墻安全配置的研究工作,將得到更加具體地發展。下一步的工作方向將是在多個狀態防火墻中規則集的優化,以及多個狀態防火墻之間的規則集比對方法。

參 考 文 獻

[1] 湯飛.基于正則表達式的防火墻安全配置核查方法研究[J].鐵路計算機應用,2015,24(2):22-27.

TANG Fei. Method of firewall configuration checking based on Regular Expression[J]. Railway Computer Application,2015,24(2):22-27.

[2] 湯昂昂,陳永波,姬東鴻.一種分布式防火墻規則有效性檢測算法[J].微電子學與計算機,2015,32(2):5-9.

TANG Angang, CHEN Yongbo, JI Donghong. A Distributed Firewall Rules Validity Detection Algorithm[J]. Microelectronics & Computer,2015,32(2):5-9.

[3] 李林,盧顯良,李澤平,等.一種適用于Diverse Firewall Design的規則集比較算法[J].四川大學學報:工程科學版,2009,41(5):111-113.

LI Lin, LU Xianliang, LI Zeping, et al. A Rule Sets Comparing Algorithm for Diverse Firewall Design[J]. Journal of SiChuan University: Engneering Science Edition,2009,41(5):111-113.

[4] Liu A X, Gouda M G. Diverse firewall design[J]. Parallel and Distributed Systems, IEEE Transactions on,2008,19(9):1237-1251.

[5] Liu A X, Gouda M G. Complete redundancy removal for packet classifiers in tcams[J]. Parallel and Distributed Systems, IEEE Transactions on,2010,21(4):424-437.

[6] Liu A X. Firewall policy change-impact analysis[J]. ACM Transactions on Internet Technology(TOIT),2012,11(4):15.

[7] 秦拯,厲怡君,歐露,等.一種基于SFDD的狀態防火墻規則集比對方法[J].湖南大學學報:自然科學版,2014,41(10):103-107.

QIN Zheng, LI Yijun, OU Lu, et al. A New Approach to Compare Stateful Firewall Rule Set Based on SFDD[J]. Journal of Hunan University: Natural Sciences,2014,41(10):103-107.

[8] 吳軍,鄧寶龍,邵定宏.基于SMFDD實現分布式防火墻異常規則檢測及優化[J].計算機工程與設計,2014,35(11):3741-3746.

WU Jun, DENG Baolong, SHAO Dinghong. Anomaly detection and optimization of distributed firewall rules based on SMFDD[J]. Computer Engineering and Design,2014,35(11):3741-3746.

[9] 王衛平,陳文惠,朱衛未,等.分布式防火墻策略配置錯誤的分析與檢測[J].中國科學院大學學報,2007,24(2):257-265.

WANG Weiping, CHEN Wenhui, ZHU Weiwei, et al. Analysis of distributed firewall policy configuration mistakes and their detection[J]. Journal of the Graduate School of the Chinese Academy of Sciences,2007,24(2):257-265.

[10] Salah K, Qahtan A. Implementation and experimental performance evaluation of a hybrid interrupt-handling scheme[J]. Computer Communications,2009,32(1):179-188.

[11] 馬永紅,高潔.基于嵌入式馬爾可夫鏈的網絡防火墻性能建模與分析[J].計算機應用研究,2014,31(5):1491-1494.

MA Yonghong, GAO Jie. Performance modeling and analysis of network firewall based on embedded Markov chain[J]. Application Research of Computers,2014,31(5):1491-1494.

[12] Zhang J, Li T. Based on the Queuing Model of CAN Bus Simulation and Application[C]//Proceedings of The Eighth International Conference on Bio-Inspired Computing: Theories and Applications(BIC-TA), 2013,2013:631-639.

[13] Chen F, Liu A X, Hwang J, et al. First step towards automatic correction of firewall policy faults[J]. ACM Transactions on Autonomous and Adaptive Systems(TAAS),2012,7(2):27.

[14] Launay A. High level firewall language[J/OL]. 2012-10-28. http://www.hill.rog, 2003.

Design and Implementation of Stateful Firewall Based on Security Configuration Supervision

LUO GongyinYU Zheng

(Information & Communication Branch of Hubei EPC, Wuhan430077)

AbstractThe stateful firewall is a new type of firewall, and the traditional firewall decision diagrams construction algorithm does not apply to stateful firewall rule set. This paper presents a stateful firewall based on Markov Chain, which transforms the stateful firewall into equivalent stateful firewall decision diagrams, and is applied to the stateful firewall rule set comparison. Theoretical analysis and simulation results have shown that the method can effectively detect all the differences between the rule sets. And when the number of rules for both the stateful and stateless section is 3000, the time cost is less than 2s. The method instead of manual judging makes checking process more efficient.

Key Wordsmarkov chain, queueing theory, firewall rules, access control

* 收稿日期:2015年11月7日,修回日期:2015年12月19日

基金項目:山東省自然科學基金(編號:ZR2014FL012);山東省網絡環境智能計算技術重點實驗室開放基金資助。

作者簡介:羅功銀,男，碩士,高級工程師,研究方向:企業信息安全管理與技術應用。余錚,男，碩士,工程師,研究方向:企業信息安全管理與技術應用。

中圖分類號TP393.08

DOI:10.3969/j.issn.1672-9722.2016.05.028