策略管理—用于防火墻分析的工具

隨著網(wǎng)絡(luò)規(guī)模的變化，防火墻或網(wǎng)絡(luò)設(shè)備的配置隨著不斷增加的改變越來越復(fù)雜，即使是資深的網(wǎng)絡(luò)管理員，有時候也會發(fā)現(xiàn)在一番復(fù)雜的防火墻配置后，自己的服務(wù)器仍然不能訪問外網(wǎng)或者不能被外網(wǎng)訪問，規(guī)則看了很多遍，卻不知道是哪里出了問題。

有一個自動化的工具來幫助網(wǎng)絡(luò)管理員發(fā)現(xiàn)問題一直是網(wǎng)管們的夢想，來自伍斯特理工學(xué)院(Worcester Polytechnic Institute)的Timothy Nelson等人就專門開發(fā)了一個開源工具Margrave來解決這個問題。Margrave 是一個用于防火墻分析的工具，提供了枚舉規(guī)則修改后果、發(fā)現(xiàn)沖突規(guī)則、為防火墻的行為跟蹤到具體執(zhí)行規(guī)則以及驗證安全目的與規(guī)則等多項功能。與傳統(tǒng)的防火墻規(guī)則分析工具不同，Margrave提供了多種不同層次的分析：從規(guī)則、過濾器、防火墻到網(wǎng)絡(luò)。

Margrave支持現(xiàn)實中網(wǎng)絡(luò)防火墻的配置語言(例如思科的IOS)，并從這些配置中提取出NAT、路由、IP ACL設(shè)置，如圖1所示。當(dāng)管理員發(fā)現(xiàn)問題時，可以向配置規(guī)則查詢，期望通過的報文是被哪一條具體的規(guī)則所丟棄，或期望被丟棄的報文被哪一條報文所接受。這樣管理員就可以迅速定位到問題發(fā)生的地點。有興趣的讀者可以訪問http://www.cs.brown.edu/research/plt/software/margrave/來試試這個工具。

[[29508]]

策略管理—自動修正防火墻策略的第一步

Margrave能夠幫助管理員發(fā)現(xiàn)問題，但發(fā)現(xiàn)問題以后還是需要網(wǎng)絡(luò)管理員自己修改問題。有沒有可能讓計算機幫助管理員來自動解決錯誤的配置？雖然大多數(shù)網(wǎng)絡(luò)管理員不敢將配置托付給一臺計算機，但計算機的科學(xué)家們已經(jīng)開始了這樣的嘗試。密歇根州立大學(xué)陳飛等人發(fā)表的文章開始了自動修正防火墻策略的第一步。

修正防火墻策略首先必須發(fā)現(xiàn)防火墻策略的錯誤，為了能讓計算機理解防火墻的錯誤，陳飛等人將防火墻可能發(fā)生的錯誤定義為5類：

1.錯誤的順序，防火墻的規(guī)則發(fā)生沖突時是以優(yōu)先級或先后為選擇依據(jù)，如果規(guī)則的優(yōu)先級倒置或順序錯誤，則該生效的規(guī)則沒有生效，或者錯誤的規(guī)則生效了；

2.缺少規(guī)則，顧名思義就是缺少了用于處理該類報文的規(guī)則；

3.錯誤的條件，即期望處理的報文和規(guī)則定義的報文不完全符合；

4.錯誤的動作，即雖然定義期望處理的報文是什么，但是對該報文應(yīng)該進行的動作定義錯了；

5.多余的規(guī)則，這種規(guī)則的作用由更高優(yōu)先級或先出現(xiàn)的規(guī)則所實現(xiàn)，不會被命中。

為了讓計算機自動發(fā)現(xiàn)錯誤和修改錯誤，作者采用軟件測試的辦法，將安全目標(biāo)轉(zhuǎn)換成一系列的測試報文(測試報文分為兩種：一種應(yīng)該穿過防火墻，另一種不應(yīng)該穿過防火墻)，作者再將兩類報文分別對防火墻策略進行測試，如果所有報文的行為都符合預(yù)期，說明規(guī)則正確，否則就需要修改報文。

為了避免計算機自動修改規(guī)則時出現(xiàn)狀態(tài)爆炸問題，作者引入了全匹配防火墻決策圖(all-matched Firewall Decision Diagram)的數(shù)據(jù)結(jié)構(gòu)。結(jié)合測試報文和決策圖兩種工具，作者實現(xiàn)了一種自動化的策略修改算法。盡管根據(jù)對實際防火墻策略的實驗，作者的算法也只對某些錯誤的更正有較好的效率，但這仍是防火墻自動策略管理的第一步。

[[29509]]

基于角色的策略管理

防火墻策略管理之外，還有一個更形式化的問題：基于角色的策略管理。在大型系統(tǒng)中，權(quán)限不僅僅是網(wǎng)絡(luò)權(quán)限，還包括了用戶對各類資源的訪問。本文中，作者借用了RBAC 中的角色和權(quán)限的概念，將一切實際對象泛化成為抽象的角色u和抽象的權(quán)限p，將權(quán)限的管理轉(zhuǎn)化為符號的計算，并在符號計算工具N u S M V 的基礎(chǔ)上開發(fā)了自己的工具RoleUpdater。本文更多的是停留在如何在理論上實現(xiàn)一個自動化的最小代價進行訪問控制策略管理，并沒有考慮與實際系統(tǒng)的連接。

【編輯推薦】

1. 網(wǎng)絡(luò)防火墻已走到盡頭？
2. 防火墻讓互聯(lián)網(wǎng)攻擊者無機可乘？
3. 取代UTM？下一代防火墻勢不可擋
4. 利用防火墻來防止DOS攻擊的實例解析
5. 掌握Linux防火墻經(jīng)典應(yīng)用 讓企業(yè)網(wǎng)絡(luò)更安全