论文部分内容阅读
摘要:防火墙是作为网络中最常用的安全屏障以代理技术、包过滤技术、狀态检查技术、网络地址转换技术(NAT)、VPN技术等功能,保证了计算机的安全性。Internet防火墙可以有效防止外部用户非法使用内部网的资源,加强网络与网络间的访问控制,从而阻止防火墙所保护的内部网络的私密数据被外人所窃取或更改。
关键词:防火墙;安全策略;冲突
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2012) 02-0000-02
Multi-device Firewall Security Policy Conflict Analysis
Chen Xinhao
(Beijing Escort Technology Co.,Ltd.,Shanghai200444,China)
Abstract:The firewall is the agent technology as the most commonly used security barrier in the network,packet filtering technology,stateful inspection technology, network address translation technology (NAT),VPN technology to ensure the security of your computer.Internet firewalls can prevent external users to the illegal use of the internal network resources,to strengthen the network and network access control,thereby preventing the private data of a firewall to protect the internal network by outsiders to steal or change.
Keywords:Firewall;Security policy;Conflict
一、防火墙基础概述
从工作原理上来说,防火墙包括一个或一组紧密联系的进程,一般运行于路由器或服务器上。防火墙的性能评价要素一般包括安全、管理、速度等方面。防火墙在网路拓扑中的位置一般位于在内部网和外部网的交界点上。
一般说来,防火墙系统的设计、安装和使用中会提供两层策略系统。其中低级政策定义了防火墙在实际情况下如何进行访问控制,并同时过滤在高层政策所定义的服务。而高级政策作为发布专用的网络访问政策,其用途是定义受限制的网络许可或者明确拒绝的服务,以及其他一些例外条件。
根据网络开放系统互连的七层模型(OSI/RM),国际标准化组织ISO制定了一个网络安全体系结构,该模型旨在解决网络系统中的信息安全问题。
防火墙的目的在于实现安全访问控制,因而根据防火墙的安全要求以及网络安全体系结构,防火墙的功能一般包含OSI/RM七层中的五层,分别为:网关级、电路级、路由器级、网桥级与中继器级。其在OSI/RM模型中的对应层次分别为:应用层、传输层、网络层、数据链路层与物理层。
二、防火墙技术现状
自从1986年出现第一个商用防火墙系统之后,防火墙技术得到了飞速的发展,并逐步成为Internet网上发展最快的新兴行业。第一代防火墙又称为包过滤路由器,检查经过路由器数据包的源地址、目的地址等参数来决定是否允许其通过。第二代防火墙称为代理服务器,其用途是用来提供网络服务级得控制。第三代防火墙在第二代防火墙的基础之上增添了状态监控功能,它可以在网络层对数据包的内容进行检查。目前第四代防火墙已经问世,其特点如下:(1)增加了诸如身份鉴别技术的新兴安全技术(3)采用了以主动检测为主的网络安全技术。
随着技术的不断更新与发展,新一代的防火墙将可以轻松抵御一些来自于网络的攻击手段,如:IP欺骗、口令探寻攻击、邮件攻击等等。
三、防火墙在企业中的应用
由于防火墙对企业网络安全所起到的重要作用,目前在企业中防火墙设备得到了及其广泛的应用。
总的来说,使用防火墙可以给企业提供如下的好处:
(1)企业可以利用防火墙将某些易受攻击的服务屏蔽出企业的内网系统,以防止这些服务被不法分子利用。通过过滤具有风险,不安全的服务降低企业内网计算机系统所遭受的风险,
(2)可以对外开放的计算机网点数量,将内网计算机系统划分可访问与不可访问的区域,从而将受保护的计算机系统封闭起来,提高安全性。
(3)通过使用防火墙系统,方便统计公司网络的使用情况,以及时发现问题并防患于未然。
(4)企业可以利用防火墙系统将网络安全软件集中管理,有利于安全软件的更新与更换。
四、路由策略冲突级别确定方法
由于现代企业网络拓扑的复杂性,我们提出了以下的防火墙框架来应对多级网络设备间冲突:
(1)扩展RPSL(路由协议说明语言Routing Policy Specification Language),使其具备描述AS(自治系统 Autonomous System)关系的能力;
(2)用扩展的RPSL描述各节点之间的关系,并将这种描述存储起来;
(3)当出现路由振荡时,陷入振荡的各个节点,可以检测出各自的存疑路径对;
(4)各节点根据自身存储的与其相邻节点之间的关系,检查存疑路径对是否违反安全路由策略配置原则,对于违反者将其标记为关系冲突存疑路径对;
(5)对导致关系冲突存疑路径对的路由策略提高其冲突级别。
下面我们将逐一地详细介绍各个步骤的具体细节。由于RPSL(路由协议说明语言Routing Policy Specification Language)并没有提供对于AS(自治系统 Autonomous System)关系的描述手段,为此进行如下
(1)利用Dictionary类, 为RPSL增加了一个枚举数据类型Relevancy_enum,同时为BGP4协议增加了一个属性relevancy:
Dictionary:RPSL
OPTIONAL relevancy (relevancy_enum)
(2)修改peering.set类, 增加relevancy属性, 其数据类型为relevancy_enum,且为可选、单一值的属性。
(3)修改as_set类, 增加relevancy属性, 其数据类型为relevancy_enum,且为可选、单一值的属性。
进行了以上对RPSL的扩展,我们便可以利用其来描述本地与其相邻自治系统之间所形成的AS关系。同时,定义了relevancy()作为为存储点与其相邻节点之AS关系的数据库,这样就能将所作的描述保存在本地relevancy()中。
以下定义了冲突存疑路径对,利用它可以检测出哪些路由策略冲突是违反了安全路由策略配置原则的,并提高相应路由策略的冲突级别。
定义:对于V ,v∈V,(uv)∈E,设P,Q∈ ,(P)<(Q),(uv)P∈P ,从Q~(uv)P形成一条竞争弧,当满足下列条件时,称P、Q为点v的关系冲突存疑许可路径对。
(1)令i为P的直接后继和Q的直接后继,i≠j(uv) ;
(2)i∈customer(v)且,j∈provider(v)peer(v)
最后,我们将算法进行如下的修改。增加判定存疑许可路径对是否为关系冲突存疑许可路径对。令disobey(v)表示点V关系冲突存疑许可路径对集合,修改后算法如下:
Input:dispute cycle CY
Output:a pair of possible permitted path(P,Q)at v and set of
relevancy dispute possible permitted path pair
disobey(v)={j;
FOR each P:in PT
P ∈ and a是競争弧THEN {
Q=P;
j=(i+1)mod n;
IF(P,Q)是关系冲突存疑许可路径对
disobey(v):disobey(v)U{(P,Q)};
RETURN ;
然后,根据是否违反安全路由策略配置原则,为路由策略冲突级别赋给相应的值。修改后算法如下:
Input:permitted path P and Q
Output:debugging policy set DP m,
DPYraaking{};
IF et≠ NULL
THEN f
五、新的路由冲突检测方法的优点
首先,注册注销速度快。从上面的例子发现,当节点从MAC1移动到MAC4只在HA处注册两次,传统的解决方案要注册4次。此外由于采用了交换技术,传输速度和网络性能有了很大的提高。
系统健壮,易于扩展。系统使用了硬件冗余,增加了多个代理,不会出现因为关键节点失效造成整个系统失效的情况。而且使用了数学语言对网络的拓扑结构进行了定义,使体系结构严谨,根据定义在网络中增加节点很方便,并且不会影响FA选择以及IP到FEC映射的算法。
参考文献:
[1]ISO ISO7498-2 Information Processing Systems-Open System interconnection - Basis reference model Part2:Security architecture 1989
[2]Ant Allen A Functional Model Aids Understanding of Identity and Access Management Tools Gartner Group Research Report ID Number G00130381 2005
[3]钟小平,张金石.网络服务器配置与应用人民邮电出版社,2007.3 123-124
[4]李涛,张波,张晓鹏等.基于LDAP与Struts的数字校园门户统一身份申请系统.计算机应用与软件,2008,25(3):173-175
[5]刘梅.基于任务和角色的双重访问控制模型及其应用研究「D].青岛:中国海洋大学,2005
[6]许卫兵.基于 Web services的面向服务架构企业应用系统集成[J].池州师专学报第,2007.6:23-25
关键词:防火墙;安全策略;冲突
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2012) 02-0000-02
Multi-device Firewall Security Policy Conflict Analysis
Chen Xinhao
(Beijing Escort Technology Co.,Ltd.,Shanghai200444,China)
Abstract:The firewall is the agent technology as the most commonly used security barrier in the network,packet filtering technology,stateful inspection technology, network address translation technology (NAT),VPN technology to ensure the security of your computer.Internet firewalls can prevent external users to the illegal use of the internal network resources,to strengthen the network and network access control,thereby preventing the private data of a firewall to protect the internal network by outsiders to steal or change.
Keywords:Firewall;Security policy;Conflict
一、防火墙基础概述
从工作原理上来说,防火墙包括一个或一组紧密联系的进程,一般运行于路由器或服务器上。防火墙的性能评价要素一般包括安全、管理、速度等方面。防火墙在网路拓扑中的位置一般位于在内部网和外部网的交界点上。
一般说来,防火墙系统的设计、安装和使用中会提供两层策略系统。其中低级政策定义了防火墙在实际情况下如何进行访问控制,并同时过滤在高层政策所定义的服务。而高级政策作为发布专用的网络访问政策,其用途是定义受限制的网络许可或者明确拒绝的服务,以及其他一些例外条件。
根据网络开放系统互连的七层模型(OSI/RM),国际标准化组织ISO制定了一个网络安全体系结构,该模型旨在解决网络系统中的信息安全问题。
防火墙的目的在于实现安全访问控制,因而根据防火墙的安全要求以及网络安全体系结构,防火墙的功能一般包含OSI/RM七层中的五层,分别为:网关级、电路级、路由器级、网桥级与中继器级。其在OSI/RM模型中的对应层次分别为:应用层、传输层、网络层、数据链路层与物理层。
二、防火墙技术现状
自从1986年出现第一个商用防火墙系统之后,防火墙技术得到了飞速的发展,并逐步成为Internet网上发展最快的新兴行业。第一代防火墙又称为包过滤路由器,检查经过路由器数据包的源地址、目的地址等参数来决定是否允许其通过。第二代防火墙称为代理服务器,其用途是用来提供网络服务级得控制。第三代防火墙在第二代防火墙的基础之上增添了状态监控功能,它可以在网络层对数据包的内容进行检查。目前第四代防火墙已经问世,其特点如下:(1)增加了诸如身份鉴别技术的新兴安全技术(3)采用了以主动检测为主的网络安全技术。
随着技术的不断更新与发展,新一代的防火墙将可以轻松抵御一些来自于网络的攻击手段,如:IP欺骗、口令探寻攻击、邮件攻击等等。
三、防火墙在企业中的应用
由于防火墙对企业网络安全所起到的重要作用,目前在企业中防火墙设备得到了及其广泛的应用。
总的来说,使用防火墙可以给企业提供如下的好处:
(1)企业可以利用防火墙将某些易受攻击的服务屏蔽出企业的内网系统,以防止这些服务被不法分子利用。通过过滤具有风险,不安全的服务降低企业内网计算机系统所遭受的风险,
(2)可以对外开放的计算机网点数量,将内网计算机系统划分可访问与不可访问的区域,从而将受保护的计算机系统封闭起来,提高安全性。
(3)通过使用防火墙系统,方便统计公司网络的使用情况,以及时发现问题并防患于未然。
(4)企业可以利用防火墙系统将网络安全软件集中管理,有利于安全软件的更新与更换。
四、路由策略冲突级别确定方法
由于现代企业网络拓扑的复杂性,我们提出了以下的防火墙框架来应对多级网络设备间冲突:
(1)扩展RPSL(路由协议说明语言Routing Policy Specification Language),使其具备描述AS(自治系统 Autonomous System)关系的能力;
(2)用扩展的RPSL描述各节点之间的关系,并将这种描述存储起来;
(3)当出现路由振荡时,陷入振荡的各个节点,可以检测出各自的存疑路径对;
(4)各节点根据自身存储的与其相邻节点之间的关系,检查存疑路径对是否违反安全路由策略配置原则,对于违反者将其标记为关系冲突存疑路径对;
(5)对导致关系冲突存疑路径对的路由策略提高其冲突级别。
下面我们将逐一地详细介绍各个步骤的具体细节。由于RPSL(路由协议说明语言Routing Policy Specification Language)并没有提供对于AS(自治系统 Autonomous System)关系的描述手段,为此进行如下
(1)利用Dictionary类, 为RPSL增加了一个枚举数据类型Relevancy_enum,同时为BGP4协议增加了一个属性relevancy:
Dictionary:RPSL
OPTIONAL relevancy (relevancy_enum)
(2)修改peering.set类, 增加relevancy属性, 其数据类型为relevancy_enum,且为可选、单一值的属性。
(3)修改as_set类, 增加relevancy属性, 其数据类型为relevancy_enum,且为可选、单一值的属性。
进行了以上对RPSL的扩展,我们便可以利用其来描述本地与其相邻自治系统之间所形成的AS关系。同时,定义了relevancy()作为为存储点与其相邻节点之AS关系的数据库,这样就能将所作的描述保存在本地relevancy()中。
以下定义了冲突存疑路径对,利用它可以检测出哪些路由策略冲突是违反了安全路由策略配置原则的,并提高相应路由策略的冲突级别。
定义:对于V ,v∈V,(uv)∈E,设P,Q∈ ,(P)<(Q),(uv)P∈P ,从Q~(uv)P形成一条竞争弧,当满足下列条件时,称P、Q为点v的关系冲突存疑许可路径对。
(1)令i为P的直接后继和Q的直接后继,i≠j(uv) ;
(2)i∈customer(v)且,j∈provider(v)peer(v)
最后,我们将算法进行如下的修改。增加判定存疑许可路径对是否为关系冲突存疑许可路径对。令disobey(v)表示点V关系冲突存疑许可路径对集合,修改后算法如下:
Input:dispute cycle CY
Output:a pair of possible permitted path(P,Q)at v and set of
relevancy dispute possible permitted path pair
disobey(v)={j;
FOR each P:in PT
P ∈ and a是競争弧THEN {
Q=P;
j=(i+1)mod n;
IF(P,Q)是关系冲突存疑许可路径对
disobey(v):disobey(v)U{(P,Q)};
RETURN ;
然后,根据是否违反安全路由策略配置原则,为路由策略冲突级别赋给相应的值。修改后算法如下:
Input:permitted path P and Q
Output:debugging policy set DP m,
DPYraaking{};
IF et≠ NULL
THEN f
五、新的路由冲突检测方法的优点
首先,注册注销速度快。从上面的例子发现,当节点从MAC1移动到MAC4只在HA处注册两次,传统的解决方案要注册4次。此外由于采用了交换技术,传输速度和网络性能有了很大的提高。
系统健壮,易于扩展。系统使用了硬件冗余,增加了多个代理,不会出现因为关键节点失效造成整个系统失效的情况。而且使用了数学语言对网络的拓扑结构进行了定义,使体系结构严谨,根据定义在网络中增加节点很方便,并且不会影响FA选择以及IP到FEC映射的算法。
参考文献:
[1]ISO ISO7498-2 Information Processing Systems-Open System interconnection - Basis reference model Part2:Security architecture 1989
[2]Ant Allen A Functional Model Aids Understanding of Identity and Access Management Tools Gartner Group Research Report ID Number G00130381 2005
[3]钟小平,张金石.网络服务器配置与应用人民邮电出版社,2007.3 123-124
[4]李涛,张波,张晓鹏等.基于LDAP与Struts的数字校园门户统一身份申请系统.计算机应用与软件,2008,25(3):173-175
[5]刘梅.基于任务和角色的双重访问控制模型及其应用研究「D].青岛:中国海洋大学,2005
[6]许卫兵.基于 Web services的面向服务架构企业应用系统集成[J].池州师专学报第,2007.6:23-25