IP網(wǎng)防火墻規(guī)則及其異常檢測(cè)分析

1、IP網(wǎng)防火墻規(guī)則及其異常檢測(cè)分析李春亮，馬媛媛航天飛行控制中心摘 要 IP網(wǎng)防火墻作為內(nèi)網(wǎng)對(duì)外的重要防護(hù)設(shè)備，其規(guī)則配置是否正確、是否合適直接影響到它的工作效率，從而影響到數(shù)據(jù)的正常接收和轉(zhuǎn)發(fā)。本文對(duì)防火墻規(guī)則進(jìn)行簡(jiǎn)要說(shuō)明，并聯(lián)系試驗(yàn)任務(wù)IP網(wǎng)防火墻的規(guī)則配置，對(duì)防火墻的異常檢測(cè)進(jìn)行研究分類(lèi)，為后續(xù)管理員對(duì)防火墻的規(guī)則配置工作提供依據(jù)。關(guān)鍵詞 規(guī)則 策略 異常檢測(cè) 分類(lèi)1. 前言 IP網(wǎng)防火墻作為最重要的安全防護(hù)設(shè)備之一，串聯(lián)于核心交換機(jī)于核心路由器之間，確保內(nèi)部網(wǎng)絡(luò)不受外網(wǎng)的非法入侵和病毒攻擊。防火墻的策略配置直接關(guān)系到IP網(wǎng)絡(luò)上承載業(yè)務(wù)的正常接收和轉(zhuǎn)發(fā)。因此，研究防火墻規(guī)則的異常檢測(cè)，充分

2、掌握防火墻的工作原理，結(jié)合IP網(wǎng)絡(luò)承載的業(yè)務(wù)特點(diǎn)，合理配置防火墻的策略，才能確保試驗(yàn)任務(wù)安全可靠運(yùn)行。 2. 防火墻規(guī)則及狀態(tài)檢測(cè)防火墻對(duì)進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包放行還是禁止，判斷依據(jù)為防火墻安全策略，來(lái)自于它的配置文件。防火墻安全策略是一個(gè)訪問(wèn)控制列表，該列表有多行，每一行就是一條防火墻規(guī)則。防火墻規(guī)則是由三部分構(gòu)成：規(guī)則序號(hào)、網(wǎng)絡(luò)字段過(guò)濾域及動(dòng)作。規(guī)則序號(hào)表示的是該規(guī)則在防火墻安全策略規(guī)則表中的順序，保證了數(shù)據(jù)包對(duì)規(guī)則進(jìn)行匹配操作的次序。序號(hào)的大小決定了規(guī)則的優(yōu)先級(jí)，序號(hào)越小，規(guī)則的優(yōu)先級(jí)越高。網(wǎng)絡(luò)字段過(guò)濾域可以有許多項(xiàng)，但在防火墻規(guī)則中通常使用的是下面的五項(xiàng)：協(xié)議、源 IP 地址、源端口、目

3、的 IP 地址和目的端口。規(guī)則動(dòng)作是指對(duì)數(shù)據(jù)包的處理行為，通常為接受和禁止兩種選擇，即允許數(shù)據(jù)包通過(guò)防火墻和不讓數(shù)據(jù)包通過(guò)防火墻。如果數(shù)據(jù)包找不到匹配的規(guī)則，那么它最后將匹配一條默認(rèn)的過(guò)濾規(guī)則。防火墻規(guī)則表是防火墻對(duì)進(jìn)入內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行判定的依據(jù)，是網(wǎng)絡(luò)安全策略的具體體現(xiàn)，相關(guān)管理人員需要根據(jù)自身網(wǎng)絡(luò)安全需要制定相應(yīng)的規(guī)則表。由此可見(jiàn)，規(guī)則表的配置對(duì)防火墻性能有著直接影響，對(duì)防火墻安全策略的研究有著重要意義。在網(wǎng)絡(luò)上進(jìn)行傳輸?shù)臄?shù)據(jù)都是基于TCP/IP 協(xié)議的，根據(jù)TCP協(xié)議可知，建立一個(gè)可靠連接都是按照三個(gè)階段進(jìn)行的，即 “客戶端同步請(qǐng)求”、“服務(wù)器應(yīng)答”和“客戶端再應(yīng)答”，日常生活中最常用

4、到的收發(fā)郵件、Web瀏覽和文件下載等都要經(jīng)過(guò)之前提到的三個(gè)階段。這就表明數(shù)據(jù)包之間并不是孤立的，它們先后順序之間卻存在著緊密的狀態(tài)聯(lián)系，同時(shí)基于這種狀態(tài)的變化，研究人員提出了數(shù)據(jù)包狀態(tài)檢測(cè)技術(shù)。狀態(tài)檢測(cè)防火墻與包過(guò)濾防火墻相比，它不僅只考查數(shù)據(jù)包包頭的 IP 和端口信息等參數(shù)，更關(guān)心數(shù)據(jù)包連接狀態(tài)的變化。狀態(tài)檢測(cè)防火墻在其內(nèi)部建立一個(gè)狀態(tài)連接表，并將進(jìn)出防火墻的數(shù)據(jù)包當(dāng)成一個(gè)個(gè)的會(huì)話，通過(guò)狀態(tài)表對(duì)每一個(gè)會(huì)話狀態(tài)進(jìn)行跟蹤。狀態(tài)檢測(cè)不僅根據(jù)過(guò)濾規(guī)則對(duì)每一個(gè)數(shù)據(jù)包進(jìn)行檢查，而且對(duì)數(shù)據(jù)包是否符合會(huì)話所處的狀態(tài)進(jìn)行監(jiān)測(cè)，因此擁有了完整的控制傳輸層的能力。3. IP網(wǎng)防火墻部署及相關(guān)策略簡(jiǎn)介IP網(wǎng)目前部署

5、防火墻為天融信網(wǎng)絡(luò)衛(wèi)士NGFW4000，其訪問(wèn)控制關(guān)系的是連接，與包過(guò)濾有本質(zhì)的區(qū)別。對(duì)新建的應(yīng)用連接，狀態(tài)檢測(cè)檢查預(yù)先設(shè)置的安全規(guī)則，允許符合規(guī)則的連接通過(guò)，并在內(nèi)存中記錄下該連接的相關(guān)信息，生成狀態(tài)表。對(duì)該連接的后續(xù)數(shù)據(jù)包，只要符合狀態(tài)表，就可以通過(guò)。IP網(wǎng)絡(luò)防火墻的能否正常數(shù)據(jù)轉(zhuǎn)發(fā)主要取決于阻斷策略、訪問(wèn)控制策略和區(qū)域權(quán)限這三項(xiàng)設(shè)置，這三個(gè)配置項(xiàng)有其先后工作順序和工作原理。從前面的原理和菜單項(xiàng)功能介紹來(lái)看，數(shù)據(jù)包轉(zhuǎn)發(fā)策略匹配過(guò)程如下：圖1 IP網(wǎng)防火墻數(shù)據(jù)包轉(zhuǎn)發(fā)策略匹配過(guò)程首先匹配的是阻斷策略，若有匹配項(xiàng)為禁止時(shí)則丟棄，允許時(shí)則轉(zhuǎn)發(fā)，若無(wú)匹配項(xiàng)則進(jìn)入第二步，檢查防火墻當(dāng)前連接會(huì)話表，若已

6、創(chuàng)建會(huì)話則直接轉(zhuǎn)發(fā)，若無(wú)此會(huì)話則進(jìn)入下一步匹配訪問(wèn)控制策略，若有匹配項(xiàng)為禁止時(shí)則丟棄，允許時(shí)則轉(zhuǎn)發(fā)，若無(wú)匹配項(xiàng)時(shí)，進(jìn)入最后一步，匹配區(qū)域權(quán)限，若禁止則丟棄，若允許則轉(zhuǎn)發(fā)。為便于配置和故障分析，試驗(yàn)任務(wù)IP網(wǎng)的防火墻采用“先禁止再根據(jù)需求開(kāi)放服務(wù)”的原則制定策略。即區(qū)域權(quán)限設(shè)為禁止，阻斷策略中將一些易被攻擊的協(xié)議端口設(shè)為阻斷，訪問(wèn)控制策略只允許試驗(yàn)任務(wù)測(cè)控通信業(yè)務(wù)使用的協(xié)議和端口通過(guò)。這樣，只有加入訪問(wèn)控制策略中的業(yè)務(wù)才能通過(guò)防火墻與基地終端完成數(shù)據(jù)交互。4. 防火墻規(guī)則的異常檢測(cè)及分類(lèi)4.1 防火墻規(guī)則異常檢測(cè)的定義防火墻規(guī)則的先后順序?qū)Ψ阑饓^(guò)濾策略有著至關(guān)重要的影響，不同的順序可能造成不同

7、的過(guò)濾策略。這是因?yàn)榉阑饓?duì)數(shù)據(jù)包進(jìn)行過(guò)濾時(shí)，數(shù)據(jù)包是按照規(guī)則的先后順序進(jìn)行匹配，一旦找到匹配的規(guī)則就不會(huì)與剩余的規(guī)則進(jìn)行比較。如果所有規(guī)則是不相關(guān)的，規(guī)則的先后順序就無(wú)關(guān)緊要。但是，在實(shí)際情況中規(guī)則之間通常是相關(guān)的。在這種情況下，如果沒(méi)有仔細(xì)考慮規(guī)則之間的先后順序，一些規(guī)則可能會(huì)被其它規(guī)則所屏蔽而從來(lái)不會(huì)使用到，造成不正確的防火墻過(guò)濾策略。而且當(dāng)防火墻包含的規(guī)則數(shù)越多時(shí)，規(guī)則之間沖突或冗余的可能性也會(huì)相應(yīng)提高。防火墻規(guī)則的異常檢測(cè)是指對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾時(shí)，可能存在著這種情況，如果某些數(shù)據(jù)包能夠匹配防火墻中的兩條或兩條以上規(guī)則，并且這些規(guī)則之間的對(duì)數(shù)據(jù)包的處理動(dòng)作不同，那么這些規(guī)則之間存在著異常

8、。規(guī)則異常影響著防火墻的安全策略，同時(shí)管理員在添加、修改和刪除規(guī)則的過(guò)程中，會(huì)對(duì)安全策略造成影響，可能引入新的異常，帶來(lái)安全隱患。我們把防火墻的規(guī)則異常定義為存在兩條或更多的規(guī)則匹配同一個(gè)數(shù)據(jù)包，或者某條規(guī)則從來(lái)沒(méi)有匹配那些經(jīng)過(guò)防火墻的數(shù)據(jù)包。4.2 防火墻規(guī)則異常檢測(cè)的分類(lèi)根據(jù)防火墻規(guī)則，我們對(duì)可能存在的規(guī)則異常進(jìn)行分類(lèi)，包括明確的沖突錯(cuò)誤和潛在的沖突。管理員需要根據(jù)異常檢測(cè)結(jié)果，對(duì)規(guī)則進(jìn)行編輯和刪除，保證防火墻安全策略的安全性。圖表1 防火墻規(guī)則表一、屏蔽異常如果一個(gè)規(guī)則能匹配的所有數(shù)據(jù)包都能被前面的規(guī)則所匹配，以至于該規(guī)則從來(lái)不會(huì)被執(zhí)行，那么該規(guī)則是被屏蔽的。在表1中，規(guī)則4被規(guī)則3所屏

9、蔽。在防火墻中屏蔽異常是種很?chē)?yán)重的錯(cuò)誤，因?yàn)橐坏┠硹l規(guī)則被屏蔽，那么它永遠(yuǎn)不會(huì)生效。這種異?？赡軙?huì)導(dǎo)致允許接受的數(shù)據(jù)包被禁止或者禁止的數(shù)據(jù)包被放行。作為防火墻管理員，如果兩條規(guī)則之間是包含或完全匹配關(guān)系時(shí)，需要將超集（或通用）規(guī)則安排到子集（或特定）規(guī)則之后。管理員需要及時(shí)發(fā)現(xiàn)屏蔽異常，并且通過(guò)對(duì)規(guī)則順序進(jìn)行調(diào)整或刪除相應(yīng)的規(guī)則來(lái)修正錯(cuò)誤。二、交互異常如果兩條規(guī)則有不同的處理動(dòng)作，并且在順序上第一條規(guī)則匹配的某些數(shù)據(jù)包也能被第二條規(guī)則匹配，第二條規(guī)則匹配的某些數(shù)據(jù)包也能被第一條規(guī)則匹配，那么這兩條規(guī)則是交互異常的。三、泛化異常如果兩條規(guī)則有不同的處理動(dòng)作，并且在順序上第一條規(guī)則能夠匹配的所有數(shù)

10、據(jù)包都能被第二條規(guī)則所匹配，那么這兩條規(guī)則是泛化異常的。四、冗余異常如果兩條規(guī)則能夠匹配相同的數(shù)據(jù)包并且具有相同的處理動(dòng)作，那么這兩條規(guī)則存在冗余異常。我們將冗余的規(guī)則刪除，并不會(huì)影響防火墻的安全策略。在表1中規(guī)則7與規(guī)則6之間存在冗余異常，規(guī)則8是規(guī)則9的冗余。在防火墻策略中冗余是一種錯(cuò)誤，因?yàn)槿哂鄷?huì)造成規(guī)則表中規(guī)則條數(shù)增加，因而對(duì)數(shù)據(jù)包過(guò)濾時(shí)會(huì)消耗更多的查找時(shí)間和空間。一般情況下，為了避免冗余規(guī)則的產(chǎn)生，在子集規(guī)則后面的超集規(guī)則應(yīng)該具有相反的處理動(dòng)作。管理員需要找出冗余規(guī)則，然后決定是否改變它們的過(guò)濾動(dòng)作或者將它們刪除。5. 防火墻規(guī)則的管理防火墻規(guī)則通常會(huì)由不同的網(wǎng)絡(luò)管理員進(jìn)行管理，并且

11、偶爾會(huì)改變規(guī)則以適應(yīng)新的網(wǎng)絡(luò)安全需要及網(wǎng)絡(luò)拓?fù)渥兓Ｔ诜阑饓χ幸?guī)則都是按序排列的，一條新的規(guī)則必須插入到適當(dāng)位置以避免造成異常，同樣的，對(duì)規(guī)則修改或刪除時(shí)也會(huì)存在相同的問(wèn)題。因?yàn)檫^(guò)濾規(guī)則的次序直接影響到防火墻的安全策略，一條新的規(guī)則必須在合適的位置而不會(huì)產(chǎn)生屏蔽或冗余異常，所有我們需要知道新規(guī)則插入時(shí)的確切位置，同時(shí)在不合適的位置時(shí)提示所產(chǎn)生的異常。在防火墻中新規(guī)則的位置是根據(jù)它與已經(jīng)存在的規(guī)則之間的關(guān)系來(lái)決定的。一般來(lái)說(shuō)，新的規(guī)則應(yīng)該插入到超集匹配規(guī)則之前，子集匹配規(guī)則之后。對(duì)防火墻的安全策略而言，刪除一條規(guī)則比插入一條規(guī)則所產(chǎn)生的影響要小。一條已經(jīng)刪除的規(guī)則不會(huì)引入異常但可能會(huì)改變安全策略的語(yǔ)義，因此刪除時(shí)需要對(duì)其確認(rèn)。為了能夠預(yù)見(jiàn)規(guī)則刪除后的影響，我