基于防火墻決策圖的ACL優(yōu)化方法研究.pdf

1、防火墻是許多網(wǎng)絡(luò)和安全設(shè)備中的核心部件，是私有網(wǎng)絡(luò)和公共網(wǎng)絡(luò)之間的一道保護(hù)屏障。但隨著互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展，網(wǎng)絡(luò)環(huán)境越加復(fù)雜，安全需求等級(jí)逐步提升，防火墻的管理維護(hù)工作也更加困難:一方面，當(dāng)防火墻規(guī)則配置錯(cuò)誤時(shí)，容易引起惡意入侵內(nèi)部網(wǎng)絡(luò)，或者合法通信進(jìn)程被阻止，導(dǎo)致防火墻不能提供正常的安全服務(wù);另一方面，隨著網(wǎng)絡(luò)安全問題日益嚴(yán)重，訪問控制列表（AccessControlList，簡(jiǎn)稱ACL）中的規(guī)則不斷增多，進(jìn)出網(wǎng)絡(luò)的每個(gè)數(shù)據(jù)包都需要根

2、據(jù)ACL規(guī)則逐條按順序地進(jìn)行匹配和過濾，導(dǎo)致防火墻的性能大幅度降低。因此，防火墻ACL優(yōu)化研究已經(jīng)成為熱點(diǎn)和難點(diǎn)。
　　本文在現(xiàn)有的研究基礎(chǔ)上，針對(duì)防火墻可能存在的配置錯(cuò)誤問題，采用防火墻決策圖（FirewallDecisionDiagram，簡(jiǎn)稱FDD）來進(jìn)行檢測(cè)，因其擁有一致性、完整性等特性，能夠有效地檢測(cè)出所有的沖突規(guī)則與冗余規(guī)則。但該構(gòu)造算法產(chǎn)生的FDD圖的存儲(chǔ)空間隨著規(guī)則的增多呈指數(shù)級(jí)增加，因此，本文提出一種改進(jìn)的FDD

3、算法，通過合并圖中的同構(gòu)節(jié)點(diǎn)，在有效檢測(cè)沖突規(guī)則與冗余規(guī)則的同時(shí)，降低FDD的存儲(chǔ)空間。實(shí)驗(yàn)結(jié)果表明，改進(jìn)的FDD構(gòu)造算法能夠有效定位防火墻可能存在的配置錯(cuò)誤問題，同時(shí)達(dá)到簡(jiǎn)化FDD規(guī)模的目的，且隨著輸入規(guī)則數(shù)目的增多，優(yōu)化效果更加明顯。在最優(yōu)情況下，可減少近30％的輸出規(guī)則數(shù)目。
　　其次，針對(duì)防火墻的性能隨著ACL規(guī)模的擴(kuò)大而降低的問題，本文在FDD基礎(chǔ)上，提出一種帶權(quán)重的防火墻決策圖（WeightedFirewallDeci

4、sionDiagram，簡(jiǎn)稱WFDD），將規(guī)則集轉(zhuǎn)化為等價(jià)且規(guī)則間無關(guān)聯(lián)關(guān)系的WFDD結(jié)構(gòu)，根據(jù)規(guī)則與數(shù)據(jù)包的匹配情況，計(jì)算每條規(guī)則的權(quán)重，從而進(jìn)行規(guī)則順序的動(dòng)態(tài)優(yōu)化，將與數(shù)據(jù)包匹配度較高的規(guī)則提前，匹配度較低的規(guī)則置后，使得優(yōu)化后的規(guī)則集能在較短時(shí)間內(nèi)匹配更多數(shù)據(jù)包，提高防火墻的性能。實(shí)驗(yàn)結(jié)果表明，與現(xiàn)有算法相比，基于WFDD的ACL優(yōu)化方法能完全消除規(guī)則間的關(guān)聯(lián)關(guān)系，將規(guī)則按照數(shù)據(jù)包匹配度降序排列，減少規(guī)則與數(shù)據(jù)包的匹配時(shí)間，優(yōu)化防