网络安全策略中Access List的冲突及解决的途径
开篇:润墨网以专业的文秘视角,为您筛选了一篇网络安全策略中Access List的冲突及解决的途径范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:一个成功的网络安全系统需要具有针对网络上所有设备、所有安全策略的,全局性的安全配置分析工具;只有这样,才能避免安全策略之间相互的冲突和矛盾。本文提出了一种对access list冲突进行全面分类的方法,包括单一设备上的冲突(内在冲突)和多个设备上的冲突(交互冲突)以及解决冲突的办法。
关键词:网络安全;冲突;防火墙;传输;策略
中图分类号:TP311文献标识码:A文章编号:1009-3044(2007)12-21537-01
The Conflict and Solution Ways of Access List in Network Security Strategy
KONG Xue-lian,LIN Li
(Zhangzhou City in Fujian Meteorological Bureau,Zhangzhou 363000,China)
Abstract:The successful network security system demand overall security analysis tools which tackle the needs of all equipment and all security strategies on the network. Only in this way, it can avoid the conflicts and contradictions between the security strategies. This paper presents a comprehensive classification method for conflict of Access List which include the conflict on single equipment (internal conflict) and on various equipment (interactive conflict), and the method of solve the conflict.
Key words:network security;conflict;firewall;Transmission;strategy
1 网络安全冲突的背景介绍
防火墙和IPsec是网络安全策略的执行场所的重要的组成部分,它们可以是网络的末梢节点,也可以是中间的传输节点。防火墙和IPsec提供的保护是基于用户或者系统管理员所定义的安全需求。通常情况下,如果网络或者传输层的包头文件信息匹配一个安全规则(例如传输协议、宿主和端口号、目标地址和端口号等),将选择这些数据包为“传输/保护”模式数据包。而确定每个包是丢弃、保护并且传输,还是不加的保护的直接传输,要参照此通信所采用的安全策略。我们使用一种普遍的格式来定义通信的保护措施,它们类似于广泛使用在防火墙和IPsec中的格式。在这种格式中,网络安全策略由两个“包过滤规则清单”组成:Acess List和Map List。本文着重介绍Access List冲突。
Acess List:是由规整的过滤规则组成,这些规则定义了对那些满足条件的数据包所进行的处理。所有的通信都不断地根据Acess List进行比较,直到找到所匹配的某个规则。Acess List规则被定义成这样,一个数据流中所有数据包都要同样触发的安全操作。也就是说,它确定了数据流所需要的安全活动。包括:保护操作(protect action),意味着安全地传输;旁路操作(bypass action),意味着不采取任何保护措施而直接传输;丢弃操作(discard action),意味着数据将会被丢弃。Acess List规则用于防火墙的安全策略定义,确定允许或拒绝通信;它也用于IPsec,用于选择需要保护的通信。
2 Access List的冲突分类
在识别了规则之间所有的关系之后,我们可以开始分析冲突的类型了。在这个章节,我们集中讨论Access List之间的冲突。这些冲突可能存在于一个设备之上(内在冲突),也可能存在不同的设备上(交互冲突)。
2.1内在的Access List冲突
需要特别指出的是,相关的过滤规则(相等、包含、交互等)是非常普通的。在这里,不同编写形式的规则可能导致执行的差异,从而产生错误的安全策略(例如,匹配行为的先后次序)。因此,对那些相关的规则如果不仔细的编写,那么可能将某些规则暗含在其他规则之中,从而导致一个错误的安全策略。在这个章节,我们讨论一台防火墙或IPsec设备的情况,对单一策略中的Access List规则冲突进行分类。
内在策略覆盖――如果匹配A规则的所有数据包,同时也匹配其他一些规则,而且这些有着不同处理行为的规则在A规则之前执行,那么我们称A规则“被覆盖”。考虑规则Ry被规则Rx所覆盖,那么Ry的作用域与Rx的作用域相等或者被包含于Rx,且规则Rx在Ry之前执行。我们可以发现,“被覆盖”的规则在整个安全策略中将不会产生作用。在下面图1的例子中,SGA上的规则8被规则6所覆盖,因为符合规则6的通信暗含了所有符合规则8的通信。覆盖在安全策略的配制过程中是一种严重的错误,那些被覆盖的规则将被忽略并且不产生任何作用。这可能造成合法通信被阻塞,而非法通信被允许的情况。作为一个通用的准则,如果存在作用域相等关系或包含关系的规则,那么作为超集的规则(或更通用的规则)应当在子集规则(或更特殊的规则)后面执行。搜索覆盖,并通过重写相关规则或者删除被覆盖的规则,应当成为一个强制性要求。
图1
内在策略交互――在前面提到,如果两个规则是交互的,那么存在对这两个规则都匹配的通信。因此,如果两个规则的处理动作不一样,那么整个的处理效果依赖于两个规则的编写形式。这种依赖性是不容易发现的,并且会在实现安全策略的时候导致不一致的理解。如果两个规则是交互的,并且它们的过滤处理是不同的,那么就会产生交互冲突。在图形1中,我们发现SGB上的规则7和规则8是交互冲突的。按照图1上的编写形式,从1.1.1.2到2.2.2.1的通信将受到保护。但是如果将规则7和规则8的位置颠倒,那么同样的通信将被丢弃。相交关系可以被看成是一个警报;因为交互规则所定义的处理活动和行为对安全策略来说,是不能明确的控制和管理的。为了解决这类冲突,规则之间的交互应当被搜索出来,而用户应当选择适当的规则排列顺序来满足安全策略的要求。另外,对那些匹配多个规则的通信,可能会有一些无法预计的处理。
2.2外部的Access List冲突
即使网络上每个设备上的策略都不存在内在的Access List冲突,也不能保证两个不同设备上的安全策略不发生冲突。例如一个防火墙可能阻塞某类通信,但是在这个防火墙下游的防火墙中可能又允许这类通信。再如,某个上游的IPsec对某类通信进行保护,但是与这个IPsec下游的IPsec可能不对这类通信进行保护。在上面两个例子中,这类通信都不会到达目标地址,而是会被上游的设备所丢弃。
在本章节中,我们首先定义外在冲突的标准,然后对存在于上下游设备(包括防火墙和IPsec)之间的Access List冲突进行分类。参见图形1,我们假设通信从子域DA流向子域DB,并且流过多重级联的安全策略执行点,这些执行点处于两个子域的路径之间。根据数据流的方向,在前面的执行点称为上游设备;反之,称为下游执行点。根据图形1,我们可以说对那些从子域DA流向子域DB的数据流,如果存在下列情况,可认为从在冲突:对某些通信,大部分下游设备是允许通过的,而上游设备却堵塞的对某些通信,大部分上游设备是允许通过的,而下游设备却堵塞的另一方面,对上游以及下游设备都将进行保护或允许通过的通信,中间的设备应当进行允许或旁路处理,这样这些数据才能到达目标地址。
3 Access List冲突解决的探索
Access List冲突是由于数据报匹配多个安全配置造成的。例如内部覆盖造成一些配置的无效,而内在交互和例外可能产生意想不到的后果。可对数据报进行分类,例如根据地址、端口号等分类;确保这些分类是互斥的和完整的。所谓互斥的,既不同类型之间没有交集存在;所谓完整,即这种分类能够确保包含所有可能的数据报。例如,规则 中的作用域i和规则 中的作用域j存在交集,可对i,j的并集重新作用域重新划分为a,b,c三类,其中c是i和j的交集,a是从i中去除c的数据报的集合,b是从j中去除c的数据报的集合。然后针对每种数据报类型确定其安全需求。对这些安全需求进行综合整理形成综合性的安全策略,例如将一些具有一致安全需求的数据报采用相同的安全策略。由于在分类中保证了不存在覆盖关系,也就解决了Access List冲突。
这种方法具有三个局限性。第一,由于网络环境以及用户需求的不同,数据报的分类很难有普遍的准则,良好的安全管理要在网络建设早期就考虑安全问题,并需要根据自身情况进行合理的网络规划和管理,从而为数据报的分类提供良好的基础;事实上,一个早期规划没有考虑安全需求的网络都可能大大增加数据报分类的复杂性。第二,数据报分类的平衡性很难把握,理论上对数据报的分类越细致越能减少冲突的可能性,但是过于细致的分类会造成安全配置过于庞大,从而造成成本和管理上的问题;第三,这种方法依赖于一个稳定的网络环境和稳定的安全需求,如果所管理的网络经常出现变化,保持安全策略的稳定性很难达到,也就无法保证整个配置的协调了。
参考文献:
[1]A.Mayer,A.Wool,and E.Ziskind, "Fang: A Firewall Analysis Engine,"Proc.2000 IEEE Symp.Security and Privacy,May 2000.
[2]Z. Fu et al., "IPsec/VPN Security Policy: Correctness, Conflict Detection and Resolution," Proc. Policy 2001 Wksp., Jan. 2001.
[3]K. Jason, L. Rafalow, and E. Vyncke, "IPsec Configuration Policy Information Model," IETF RFC 3585, Aug. 2003.
[4]"Configuring IPsec Network Security," Cisco IOS Security Configuration Guide, Rel. 12.2, Cisco Systems, Inc.
“本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。”