SFDD算法的設(shè)計及其在狀態(tài)防火墻規(guī)則集化比對的應(yīng)用.pdf

1、網(wǎng)絡(luò)安全策略的主要承載者是防火墻的規(guī)則集。而防火墻規(guī)則集比對十分重要，其一，可查找出人工配置安全規(guī)則與安全需求不一致的地方，從而檢測出錯誤的配置;其二，通過比對多個設(shè)計組設(shè)計的不同的防火墻規(guī)則集，選取優(yōu)者;其三，通過對比移植前后的防火墻的規(guī)則集，以確保移植前后的一致性和完整性等。目前，防火墻規(guī)則集比對方法已經(jīng)成為研究熱點和難點。
　　 狀態(tài)防火墻是一種新型防火墻，相比于普通防火墻，狀態(tài)防火墻增加了一個狀態(tài)部分，用來保存當前和過去

2、的會話的數(shù)據(jù)包的相關(guān)信息，構(gòu)成狀態(tài)表，通過狀態(tài)表和規(guī)則集來決定數(shù)據(jù)包能否通過防火墻。因而，即使規(guī)則集相同而狀態(tài)部分不同，也可能導(dǎo)致防火墻的決策不同。然而，傳統(tǒng)的FDD(Firewall DecisionDiagram，簡稱FDD)構(gòu)造算法并未考慮狀態(tài)部分的影響，因此，F(xiàn)DD不適用于狀態(tài)防火墻規(guī)則集的比對。迄今為止，狀態(tài)防火墻規(guī)則比對方面的研究還未見報道，研究狀態(tài)防火墻規(guī)則比對方法十分必要。
　　 因而，本文在研究防火墻規(guī)則集比對

3、的方法基礎(chǔ)上，提出一種狀態(tài)防火墻決策圖構(gòu)造算法（Stateful Firewall Decision Diagram，簡稱SFDD），將規(guī)則集轉(zhuǎn)化成等價的SFDD，用于狀態(tài)防火墻規(guī)則集比對。本文的主要工作如下:
　　 1.分析狀態(tài)防火墻的國內(nèi)外研究現(xiàn)狀、關(guān)鍵技術(shù)和模型。對防火墻規(guī)則集的形式、關(guān)鍵技術(shù)進行說明。
　　 2.在FDD構(gòu)造算法的基礎(chǔ)上，提出SFDD構(gòu)造算法，將狀態(tài)防火墻規(guī)則表轉(zhuǎn)化為等價的SFDD。
　　

4、 3.提出狀態(tài)防火墻規(guī)則集比對方法。主要步驟包括設(shè)計、比對、校正。首先，由多個的開發(fā)團隊根據(jù)給定的安全需求分別按照各自的方法實現(xiàn)。然后，通過簡化、半同構(gòu)等操作，轉(zhuǎn)換為半同構(gòu)的SFDD，再進行比較并判斷它們的決策是否完全一致，若不一致，則找出不同點。最后，對這些不同決策進行分析，根據(jù)安全需求，對狀態(tài)防火墻設(shè)計進行校正。
　　 理論分析和仿真實驗結(jié)果表明，利用SFDD構(gòu)造算法進行比對，能有效檢測出規(guī)則集之間的全部不同點;當狀態(tài)防火墻