《IP网防火墙规则及其异常检测分析》由会员分享,可在线阅读,更多相关《IP网防火墙规则及其异常检测分析(4页珍藏版)》请在金锄头文库上搜索。
1、IP 网防火墙规则及其异常检测分析李春亮, 马媛媛航天飞行控制中心摘 要 IP 网防火墙作为内网对外的重要防护设备,其规则配置是否正确、是否合适直接影响到它的工作效率,从而影响到数据的正常接收和转发。本文 对 防火墙规则进行简要说明,并联系试验任务IP 网防火 墙的规则配置,对防火 墙的异常检测进行研究分 类, 为后续管理员对防火墙的规则配置工作提供依据。关键词 规则 策略 异常检测 分类1. 前言 IP 网防火墙作为最重要的安全防护设备之一,串联于核心交换机于核心路由器之间,确保内部网络不受外网的非法入侵和病毒攻击。防火墙的策略配置直接关系到 IP 网络上承载业务的正常接收和转发。因此,研究
2、防火墙规则的异常检测,充分掌握防火墙的工作原理,结合 IP 网络承载的业务特点,合理配置防火墙的策略,才能确保试验任务安全可靠运行。 2. 防火墙规则及状态检测防火墙对进入内部网络的数据包放行还是禁止,判断依据为防火墙安全策略,来自于它的配置文件。防火墙安全策略是一个访问控制列表,该列表有多行,每一行就是一条防火墙规则。防火墙规则是由三部分构成:规则序号、网络字段过滤域及动作。规则序号表示的是该规则在防火墙安全策略规则表中的顺序,保证了数据包对规则进行匹配操作的次序。序号的大小决定了规则的优先级,序号越小,规则的优先级越高。网络字段过滤域可以有许多项,但在防火墙规则中通常使用的是下面的五项:协
3、议、源 IP 地址、源端口、目的 IP 地址和目的端口。规则动作是指对数据包的处理行为,通常为接受和禁止两种选择,即允许数据包通过防火墙和不让数据包通过防火墙。如果数据包找不到匹配的规则,那么它最后将匹配一条默认的过滤规则。防火墙规则表是防火墙对进入内部网络数据包进行判定的依据,是网络安全策略的具体体现,相关管理人员需要根据自身网络安全需要制定相应的规则表。由此可见,规则表的配置对防火墙性能有着直接影响,对防火墙安全策略的研究有着重要意义。在网络上进行传输的数据都是基于 TCP/IP 协议的,根据 TCP 协议可知,建立一个可靠连接都是按照三个阶段进行的,即 “客户端同步请求” 、 “服务器应
4、答”和“客户端再应答” ,日常生活中最常用到的收发邮件、Web 浏览和文件下载等都要经过之前提到的三个阶段。这就表明数据包之间并不是孤立的,它们先后顺序之间却存在着紧密的状态联系,同时基于这种状态的变化,研究人员提出了数据包状态检测技术。状态检测防火墙与包过滤防火墙相比,它不仅只考查数据包包头的 IP 和端口信息等参数,更关心数据包连接状态的变化。状态检测防火墙在其内部建立一个状态连接表,并将进出防火墙的数据包当成一个个的会话,通过状态表对每一个会话状态进行跟踪。状态检测不仅根据过滤规则对每一个数据包进行检查,而且对数据包是否符合会话所处的状态进行监测,因此拥有了完整的控制传输层的能力。3.
5、IP 网防火墙部署及相关策略简介IP 网目前部署防火墙为天融信网络卫士 NGFW4000,其访问控制关系的是连接,与包过滤有本质的区别。对新建的应用连接,状态检测检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下该连接的相关信息,生成状态表。对该连接的后续数据包,只要符合状态表,就可以通过。IP 网络防火墙的能否正常数据转发主要取决于阻断策略、访问控制策略和区域权限这三项设置,这三个配置项有其先后工作顺序和工作原理。从前面的原理和菜单项功能介绍来看,数据包转发策略匹配过程如下:图 1 IP 网防火墙数据包转发策略匹配过程首先匹配的是阻断策略,若有匹配项为禁止时则丢弃,允许时则转发
6、,若无匹配项则进入第二步,检查防火墙当前连接会话表,若已创建会话则直接转发,若无此会话则进入下一步匹配访问控制策略,若有匹配项为禁止时则丢弃,允许时则转发,若无匹配项时,进入最后一步,匹配区域权限,若禁止则丢弃,若允许则转发。为便于配置和故障分析,试验任务 IP 网的防火墙采用“先禁止再根据需求开放服务”的原则制定策略。即区域权限设为禁止,阻断策略中将一些易被攻击的协议端口设为阻断,访问控制策略只允许试验任务测控通信业务使用的协议和端口通过。这样,只有加入访问控制策略中的业务才能通过防火墙与基地终端完成数据交互。4. 防火墙规则的异常检测及分类4.1 防火墙规则异常检测的定义防火墙规则的先后顺
7、序对防火墙过滤策略有着至关重要的影响,不同的顺序可能造成不同的过滤策略。这是因为防火墙对数据包进行过滤时,数据包是按照规则的先后顺序进行匹配,一旦找到匹配的规则就不会与剩余的规则进行比较。如果所有规则是不相关的,规则的先后顺序就无关紧要。但是,在实际情况中规则之间通常是相关的。在这种情况下,如果没有仔细考虑规则之间的先后顺序,一些规则可能会被其它规则所屏蔽而从来不会使用到,造成不正确的防火墙过滤策略。而且当防火墙包含的规则数越多时,规则之间冲突或冗余的可能性也会相应提高。防火墙规则的异常检测是指对数据包进行过滤时,可能存在着这种情况,如果某些数据包能够匹配防火墙中的两条或两条以上规则,并且这些
8、规则之间的对数据包的处理动作不同,那么这些规则之间存在着异常。规则异常影响着防火墙的安全策略,同时管理员在添加、修改和删除规则的过程中,会对安全策略造成影响,可能引入新的异常,带来安全隐患。我们把防火墙的规则异常定义为存在两条或更多的规则匹配同一个数据包,或者某条规则从来没有匹配那些经过防火墙的数据包。4.2 防火墙规则异常检测的分类根据防火墙规则,我们对可能存在的规则异常进行分类,包括明确的冲突错误和潜在的冲突。管理员需要根据异常检测结果,对规则进行编辑和删除,保证防火墙安全策略的安全性。图表 1 防火墙规则表一、屏蔽异常如果一个规则能匹配的所有数据包都能被前面的规则所匹配,以至于该规则从来
9、不会被执行,那么该规则是被屏蔽的。在表 1 中,规则 4 被规则 3 所屏蔽。在防火墙中屏蔽异常是种很严重的错误,因为一旦某条规则被屏蔽,那么它永远不会生效。这种异常可能会导致允许接受的数据包被禁止或者禁止的数据包被放行。作为防火墙管理员,如果两条规则之间是包含或完全匹配关系时,需要将超集(或通用)规则安排到子集(或特定)规则之后。管理员需要及时发现屏蔽异常,并且通过对规则顺序进行调整或删除相应的规则来修正错误。二、交互异常如果两条规则有不同的处理动作,并且在顺序上第一条规则匹配的某些数据包也能被第二条规则匹配,第二条规则匹配的某些数据包也能被第一条规则匹配,那么这两条规则是交互异常的。在表
10、1 中,规则 1 和规则 3 是交互异常的。这两个规则的这种先后排序意味着所有从 143.190.35.20 到 160.118.31.40 的 HTTP 数据包是要被禁止的。但是,我们将这两条规则的先后顺序互换下时,相同的数据包就会被接受。交互异常被看作成一种异常警告,因为交互的规则隐含的是一种不明确的规则处理动作。因此,为了解决这种问题,我们需要在规则中发现交互异常,并且提示管理员选择合适的规则顺序来保证防火墙策略的安全性。三、泛化异常如果两条规则有不同的处理动作,并且在顺序上第一条规则能够匹配的所有数据包都能被第二条规则所匹配,那么这两条规则是泛化异常的。在表 1 中规则 2 泛化规则
11、1,这两条规则表明源地址为 143.190.35.*中除 143.190.35.20 外的所有 HTTP 数据包都要被接受。如果将这两条规则互换,则规则 2 要覆盖规则 1,所以超集匹配的规则应该在子集匹配的规则后面。泛化异常不是个错误,因为特定规则是一般规则的一个特例,经常用于在默认规则中排除特定数据包,可能会导致接受的数据包被拒绝或者本应拒绝的数据包被接受,因此需要提醒管理员对泛化异常的规则进行确认,保证防火墙的安全策略。四、冗余异常如果两条规则能够匹配相同的数据包并且具有相同的处理动作,那么这两条规则存在冗余异常。我们将冗余的规则删除,并不会影响防火墙的安全策略。在表 1 中规则 7 与
12、规则 6 之间存在冗余异常,规则 8 是规则 9 的冗余。在防火墙策略中冗余是一种错误,因为冗余会造成规则表中规则条数增加,因而对数据包过滤时会消耗更多的查找时间和空间。一般情况下,为了避免冗余规则的产生,在子集规则后面的超集规则应该具有相反的处理动作。管理员需要找出冗余规则,然后决定是否改变它们的过滤动作或者将它们删除。5. 防火墙规则的管理防火墙规则通常会由不同的网络管理员进行管理,并且偶尔会改变规则以适应新的网络安全需要及网络拓扑变化。在防火墙中规则都是按序排列的,一条新的规则必须插入到适当位置以避免造成异常,同样的,对规则修改或删除时也会存在相同的问题。因为过滤规则的次序直接影响到防火
13、墙的安全策略,一条新的规则必须在合适的位置而不会产生屏蔽或冗余异常,所有我们需要知道新规则插入时的确切位置,同时在不合适的位置时提示所产生的异常。在防火墙中新规则的位置是根据它与已经存在的规则之间的关系来决定的。一般来说,新的规则应该插入到超集匹配规则之前,子集匹配规则之后。对防火墙的安全策略而言,删除一条规则比插入一条规则所产生的影响要小。一条已经删除的规则不会引入异常但可能会改变安全策略的语义,因此删除时需要对其确认。为了能够预见规则删除后的影响,我们需要显示出删除前后防火墙策略中的受影响部分。通过这种方法,管理员可以对比规则删除前后的策略语义,能够确信策略改变后的正确性。6. 总结防火墙对内部网络的安全起着至关重要的作用,基于安全策略的保护为网络安全提供了一道可靠的屏障。对防火墙的规则进行分析研究,了解防火墙规则异常检测的分类,为后续管理员对防火墙的策略配置维护提供了可靠的依据。参考文献1. 网络卫士系列防火墙系统 v3.3.002 用户手册,TOPSEC,2007
