基于防火墻的訪問控制列表的研究與優(yōu)化.pdf

1、防火墻是位于私有網(wǎng)絡(luò)和外部網(wǎng)絡(luò)入口點(diǎn)之間的安全衛(wèi)士，所有傳入和傳出的數(shù)據(jù)包必須通過它。它是保護(hù)大多數(shù)網(wǎng)絡(luò)安全的關(guān)鍵系統(tǒng)。防火墻中的錯(cuò)誤不僅會(huì)泄漏網(wǎng)絡(luò)中的秘密信息，而且會(huì)破壞網(wǎng)絡(luò)和其他互聯(lián)網(wǎng)之間的合法通信。因此，如何正確的設(shè)計(jì)防火墻是一個(gè)重要的問題。我們知道網(wǎng)絡(luò)中大部分的安全策略的實(shí)施都是使用訪問控制列表（Access Control List，即ACL）來配置數(shù)據(jù)包分類的策略的。一個(gè)網(wǎng)關(guān)設(shè)備要執(zhí)行流量過濾至少需要ACL部署數(shù)千條規(guī)則。由

2、于ACL配置語言存在眾多的困難，大型ACL規(guī)則集容易變得冗余，不一致，難以優(yōu)化甚至難以理解。
　　防火墻是網(wǎng)絡(luò)安全的核心元素。但是，管理防火墻規(guī)則已經(jīng)變得復(fù)雜且容易出錯(cuò)。為了正確實(shí)施安全策略，必須仔細(xì)地編寫和組織防火墻過濾規(guī)則。此外，插入或修改過濾規(guī)則需要對(duì)此規(guī)則與其他規(guī)則之間的關(guān)系進(jìn)行徹底分析，以確定此規(guī)則的正確順序并提交更新。在本文中，我們提出了一套技術(shù)和算法，提供(1)自動(dòng)異常檢測(cè)，用于發(fā)現(xiàn)傳統(tǒng)防火墻中的規(guī)則沖突和潛在問題，

3、(2)規(guī)則插入，修改和刪除的無異常策略編輯，(3)將過濾規(guī)則簡(jiǎn)潔的翻譯成用于用戶可視化和驗(yàn)證的高級(jí)文本描述。這是在一個(gè)名為“防火墻策略顧問”的用戶友好工具中實(shí)現(xiàn)的。防火墻策略顧問大大簡(jiǎn)化了作為過濾規(guī)則編寫的任何通用防火墻策略的管理，同時(shí)將由于防火墻規(guī)則配置錯(cuò)誤引起的網(wǎng)絡(luò)漏洞最小化。
　　本文也實(shí)現(xiàn)了關(guān)于沖突規(guī)則和冗余規(guī)則的ACL的優(yōu)化方法。在現(xiàn)有的防火墻策略圖(Firewall Decision Diagram，即FDD)的構(gòu)造算