策略管理—用于防火墻分析的工具

隨著網(wǎng)絡(luò)規(guī)模的變化，防火墻或網(wǎng)絡(luò)設(shè)備的配置隨著不斷增加的改變?cè)絹?lái)越復(fù)雜，即使是資深的網(wǎng)絡(luò)管理員，有時(shí)候也會(huì)發(fā)現(xiàn)在一番復(fù)雜的防火墻配置后，自己的服務(wù)器仍然不能訪問(wèn)外網(wǎng)或者不能被外網(wǎng)訪問(wèn)，規(guī)則看了很多遍，卻不知道是哪里出了問(wèn)題。

有一個(gè)自動(dòng)化的工具來(lái)幫助網(wǎng)絡(luò)管理員發(fā)現(xiàn)問(wèn)題一直是網(wǎng)管們的夢(mèng)想，來(lái)自伍斯特理工學(xué)院(Worcester Polytechnic Institute)的Timothy Nelson等人就專門(mén)開(kāi)發(fā)了一個(gè)開(kāi)源工具M(jìn)argrave來(lái)解決這個(gè)問(wèn)題。Margrave 是一個(gè)用于防火墻分析的工具，提供了枚舉規(guī)則修改后果、發(fā)現(xiàn)沖突規(guī)則、為防火墻的行為跟蹤到具體執(zhí)行規(guī)則以及驗(yàn)證安全目的與規(guī)則等多項(xiàng)功能。與傳統(tǒng)的防火墻規(guī)則分析工具不同，Margrave提供了多種不同層次的分析：從規(guī)則、過(guò)濾器、防火墻到網(wǎng)絡(luò)。

Margrave支持現(xiàn)實(shí)中網(wǎng)絡(luò)防火墻的配置語(yǔ)言(例如思科的IOS)，并從這些配置中提取出NAT、路由、IP ACL設(shè)置，如圖1所示。當(dāng)管理員發(fā)現(xiàn)問(wèn)題時(shí)，可以向配置規(guī)則查詢，期望通過(guò)的報(bào)文是被哪一條具體的規(guī)則所丟棄，或期望被丟棄的報(bào)文被哪一條報(bào)文所接受。這樣管理員就可以迅速定位到問(wèn)題發(fā)生的地點(diǎn)。有興趣的讀者可以訪問(wèn)http://www.cs.brown.edu/research/plt/software/margrave/來(lái)試試這個(gè)工具。

[[29508]]

策略管理—自動(dòng)修正防火墻策略的第一步

Margrave能夠幫助管理員發(fā)現(xiàn)問(wèn)題，但發(fā)現(xiàn)問(wèn)題以后還是需要網(wǎng)絡(luò)管理員自己修改問(wèn)題。有沒(méi)有可能讓計(jì)算機(jī)幫助管理員來(lái)自動(dòng)解決錯(cuò)誤的配置？雖然大多數(shù)網(wǎng)絡(luò)管理員不敢將配置托付給一臺(tái)計(jì)算機(jī)，但計(jì)算機(jī)的科學(xué)家們已經(jīng)開(kāi)始了這樣的嘗試。密歇根州立大學(xué)陳飛等人發(fā)表的文章開(kāi)始了自動(dòng)修正防火墻策略的第一步。

修正防火墻策略首先必須發(fā)現(xiàn)防火墻策略的錯(cuò)誤，為了能讓計(jì)算機(jī)理解防火墻的錯(cuò)誤，陳飛等人將防火墻可能發(fā)生的錯(cuò)誤定義為5類：

1.錯(cuò)誤的順序，防火墻的規(guī)則發(fā)生沖突時(shí)是以優(yōu)先級(jí)或先后為選擇依據(jù)，如果規(guī)則的優(yōu)先級(jí)倒置或順序錯(cuò)誤，則該生效的規(guī)則沒(méi)有生效，或者錯(cuò)誤的規(guī)則生效了；

2.缺少規(guī)則，顧名思義就是缺少了用于處理該類報(bào)文的規(guī)則；

3.錯(cuò)誤的條件，即期望處理的報(bào)文和規(guī)則定義的報(bào)文不完全符合；

4.錯(cuò)誤的動(dòng)作，即雖然定義期望處理的報(bào)文是什么，但是對(duì)該報(bào)文應(yīng)該進(jìn)行的動(dòng)作定義錯(cuò)了；

5.多余的規(guī)則，這種規(guī)則的作用由更高優(yōu)先級(jí)或先出現(xiàn)的規(guī)則所實(shí)現(xiàn)，不會(huì)被命中。

為了讓計(jì)算機(jī)自動(dòng)發(fā)現(xiàn)錯(cuò)誤和修改錯(cuò)誤，作者采用軟件測(cè)試的辦法，將安全目標(biāo)轉(zhuǎn)換成一系列的測(cè)試報(bào)文(測(cè)試報(bào)文分為兩種：一種應(yīng)該穿過(guò)防火墻，另一種不應(yīng)該穿過(guò)防火墻)，作者再將兩類報(bào)文分別對(duì)防火墻策略進(jìn)行測(cè)試，如果所有報(bào)文的行為都符合預(yù)期，說(shuō)明規(guī)則正確，否則就需要修改報(bào)文。

為了避免計(jì)算機(jī)自動(dòng)修改規(guī)則時(shí)出現(xiàn)狀態(tài)爆炸問(wèn)題，作者引入了全匹配防火墻決策圖(all-matched Firewall Decision Diagram)的數(shù)據(jù)結(jié)構(gòu)。結(jié)合測(cè)試報(bào)文和決策圖兩種工具，作者實(shí)現(xiàn)了一種自動(dòng)化的策略修改算法。盡管根據(jù)對(duì)實(shí)際防火墻策略的實(shí)驗(yàn)，作者的算法也只對(duì)某些錯(cuò)誤的更正有較好的效率，但這仍是防火墻自動(dòng)策略管理的第一步。

[[29509]]

基于角色的策略管理

防火墻策略管理之外，還有一個(gè)更形式化的問(wèn)題：基于角色的策略管理。在大型系統(tǒng)中，權(quán)限不僅僅是網(wǎng)絡(luò)權(quán)限，還包括了用戶對(duì)各類資源的訪問(wèn)。本文中，作者借用了RBAC 中的角色和權(quán)限的概念，將一切實(shí)際對(duì)象泛化成為抽象的角色u和抽象的權(quán)限p，將權(quán)限的管理轉(zhuǎn)化為符號(hào)的計(jì)算，并在符號(hào)計(jì)算工具N u S M V 的基礎(chǔ)上開(kāi)發(fā)了自己的工具RoleUpdater。本文更多的是停留在如何在理論上實(shí)現(xiàn)一個(gè)自動(dòng)化的最小代價(jià)進(jìn)行訪問(wèn)控制策略管理，并沒(méi)有考慮與實(shí)際系統(tǒng)的連接。

【編輯推薦】

1. 網(wǎng)絡(luò)防火墻已走到盡頭？
2. 防火墻讓互聯(lián)網(wǎng)攻擊者無(wú)機(jī)可乘？
3. 取代UTM？下一代防火墻勢(shì)不可擋
4. 利用防火墻來(lái)防止DOS攻擊的實(shí)例解析
5. 掌握Linux防火墻經(jīng)典應(yīng)用 讓企業(yè)網(wǎng)絡(luò)更安全