基于網絡防火墻的訪問控制列表的異常檢測和策略編輯

摘? 要：防火墻是網絡防御所必需的技術手段，也是安全網絡防范攻擊和數據包吞吐控制的關鍵。當網關完成較復雜的流量過濾時，需在訪問控制列表（ACL）中設置大量規則。通過防火墻策略軟件工具，不僅可以自行檢測ACL中的異常，避免潛在的規則沖突，還可實現符合規則的修改、插入、刪除等編輯操作。

關鍵詞：防火墻;ACL;異常行為檢測

Abstract：Firewall is a necessary technical means for network defense，and also a key to security network defense attacks and packet throughput control. When the gateway complete complex filtering，needing to set a lot of rules in the Access Control List（ACL）. Through the firewall policy software，we can not only detect abnormalities in the ACL，but also avoid potential rule conflicts. We also perform editing operations such as modification，insertion and deletion of rules.

Keywords：firewall;ACL;abnormal behavior detection

0? 引? 言

防火墻是部署最廣泛的安全機制之一，其有效性取決于網絡過濾策略的配置。如今，防火墻策略異常檢測和處理技術已廣泛應用于實際場景中。當防火墻中存在異常策略時，系統會評估異常策略并自動解決沖突。防火墻策略規則的正確配置直接影響網絡的安全性能，面對網絡規模的無限擴展和新型攻擊的出現，企業采用多層次的防火墻機制，加強了對整個網絡的安全保護。本文主要介紹了IP訪問控制列表（ACL）技術，深入介紹了ACL的工作原理和工作過程，并分析了當前主要的ACL應用。

1? 防火墻的相關技術

隨著通信網絡技術在民航業的深入推廣，空管部門提供和使用的各項業務都離不開通信網絡的支持。防火墻是通信網絡中十分重要的信息節點。訪問控制列表（ACL）包含應用在防火墻接口的各條指令。這個指令列表可以控制防火墻接收某些數據包、拒絕某些數據包。因為配置ACL的語言存在一些不足，所以一個較大的ACL規則集往往容易出現矛盾、邏輯混亂、過于冗余和不易優化等問題。同時，修改或者新插入一條過濾規則前，需仔細分析該條過濾規則和其他過濾規則間的關系，確定該條過濾規則的順序號和更新內容。

根據經典定義，存在三類防火墻技術流派：“包過濾”（Packet Filtering）、“應用代理”（ApplicationProxy）和“狀態監視”（Status Inspection）。即使防火墻內部很復雜，本質上也以這三種技術為基礎。最早使用的技術被稱作包過濾，其初代技術基礎是靜態包過濾模型。這種技術的防火墻主要作用于OSI參考模型中的網絡層。在此基礎上，增加了傳輸層的技術被稱作動態包過濾模型。綜上，包過濾技術防火墻主要作用于網絡層和傳輸層，且位于吞吐數據的進出鏈路之上，分析數據包信息，逐條與防火墻預設規則進行檢驗，直到符合某條規則并執行規則設定的動作：放行或丟棄。但這種設計模式僅按照已有規則運行，若超出現有規則范圍，則防火墻會失效。改進的動態包過濾技術是在靜態包過濾技術的基礎上，跟蹤其與計算機間的數據傳輸，檢查該連接的數據有無威脅。若判斷防御機制被觸發，防火墻會自動創造新規則或修改舊規則以阻斷有害數據。與靜態技術相比，動態技術提取數據和處理數據需花費更多的時間和資源，所以相比而言其運行效率較低。基于包過濾技術的防火墻極度依賴過濾規則，但規則又不能過于精細，否則會嚴重影響處理性能，且僅作用于傳輸層和網絡層，不包括其他高層協議。因此又發明了應用代理防火墻和狀態監視防火墻。由于包過濾防火墻技術已十分成熟，所以本文基于此進行論述。

2? 訪問控制列表（ACL）的工作原理

2.1? ACL的概念

ACL是一個指令列表（規則集合），應用于防火墻接口。這些指令列表控制防火墻收發數據包。ACL利用包過濾的原理，讀取傳輸層和網絡層信息，如源地址、目標地址、源端口、目標端口等，并按照規則過濾數據包，從而進行訪問控制。防火墻針對每個數據包逐條和規則進行匹配，若成功匹配則執行結果并結束（規則順序不同，結果可能不同），始終不匹配則使用默認規則執行結果并結束（即通過完整性避免死循環）。

每一條規則都包括規則序號、過濾域和執行域。規則序號越小，該條規則越早被執行。執行域只能為接受或拒絕。過濾域由源IP、目的IP、源端口、目的端口、協議構成。ACL可以分為標準ACL和擴展ACL。標準ACL根據源IP來決定接受或拒絕數據包，其規則序號為1至99，語法為：“Router（config）#access-list access-list-number {permit| deny} source [souce-wildcard]”。擴展ACL根據源IP、目的IP、協議、端口和標志來決定接受或拒絕數據包。

2.2? ACL各規則間的關系

ACL各規則間的關系是針對防火墻策略的異常行為檢測的基礎。對于規則A和規則B，其規則序號存在大于或小于的關系，其協議和執行存在等于或不等于的關系，源IP、目的IP、源端口、目的端口存在等于、不等于或包含、包含于的關系。

可將多個過濾域（由源IP、目的IP、源端口、目的端口、協議構成）間的關系分為三類：當兩個規則的過濾域的全部五個元素均一致時，則稱兩個規則相等;當兩個規則的過濾域的任意一個或多個元素不一致時，則稱兩個規則無關;當兩個規則的過濾域的協議域一致時，其他域為包含和被包含關系，則稱兩個規則互相包含。

3? 針對防火墻策略的異常行為檢測

配置的安全策略和過濾規則的順序有關。過濾規則間不是完全不相關的，如果順序不一樣，匹配過程也不一樣。在有大量規則的策略中，常存在沖突、冗余、遮蔽、泛化、關聯等情況。實際中，異常檢測主要考慮規則是否重合，引入一個參數記錄異常狀態。防火墻策略軟件能處理異常和沖突的規則，對網絡安全工作很有利。其缺點是沒有針對運算的復雜性和存儲容量進行優化。防火墻策略軟件的界面分三個模塊：策略樹模塊、過濾規則模塊和以不同顏色展示遮蔽、冗余等異常具體情況的檢測模塊。過濾規則模塊如表1所示。

4? 針對防火墻策略的編輯方法

網管會插入、刪除、編輯、修改防火墻的策略，以適應網絡拓撲結構的變化和網絡安全形勢的變化。因為策略對順序和一致性比較敏感，所以這種針對規則的操作比新建策略更難。通過防火墻策略軟件能夠簡化策略規則的編輯，且不引入新的規則異常。防火墻策略軟件可提示新規則或者修改規則的最佳位置，可提示刪除某規則前后策略含義的變化，可視化地跟蹤和驗證策略的變化。

防火墻策略軟件輔助用戶選擇插入規則位置，識別不合理插入規則異常，提出最優方法。刪除規則時，可在列表中選擇和刪除該規則，還可通過預覽方式比較和核對刪除前后的策略語義的翻譯，確保正確。編輯和修改策略也很容易，就像以上的插入和刪除一樣。

5? 結? 論

安全性不足的防火墻會影響業務運行，隨著網絡規模的擴大和防火墻技術的更新與進步，ACL數量也越來越多。考慮到運行速度和存儲空間，配置ACL的挑戰性巨大。很多規則的匹配算法通過一些數據結構來加速分類算法，但容易生成數量眾多的規則，即規則間冗余和沖突的情況也會增加。通過防火墻策略軟件工具，能檢測出配置防火墻ACL時的網絡漏洞，還可簡化防火墻策略的管理工作，方便編寫ACL規則。若對防火墻進行管理，本文的方法在初始定義ACL時可確保正確的規則排序和安全策略語義，在增加過濾規則時可確保編寫或修改的新規則正確而合理。

參考文獻：

[1] 袁偉云.IPv6防火墻過濾技術的研究與應用 [D].廣州：華南師范大學，2010.

[2] 郭庚麒.防火墻技術分析 [J].廣東交通職業技術學院學報，2002（1）：71-73.

作者簡介：侯顯暉（1987.11-），女，漢族，陜西西安人，碩士研究生，工程師，研究方向：信息網絡和平面通信。