处理诸如允许恶意流量进入或阻止合法流量这样的错误,可能就是检测防火墙策略问题,以及执行自动校正防火墙策略错误。
在San Jose举行的LISA会议上,Michigan State大学的研究员Fei Chen、Alex X. Liu以及North Carolina State大学的JeeHyun Hwang、Tao Xie联合发布了一篇题为《自动校正防火墙策略故障的关键步骤》的论文,论文概括地介绍了防火墙策略故障模式,同时也简要提出了五种常见的策略问题类型,并对这五种类型的问题提出了自动的校正技术解决方案。
这篇论文的基本前提是对纠正错误数据包的重要性认识,因为我们知道找到所有这些错误的数据包并做更正是不太可能的。因此,最佳的做法就是在采样的错误数据包基础上创建策略变更,同时这种方法还可用于更大型的数据包。
该论文中提到的五种最常见的防火墙策略故障包括:
1.次序错误:防火墙秩序混乱时,会出现错误地配置。当在防火墙策略初期添加一些新规则时,如果没有认真考虑新规则和原始规则之间的顺序,就次序错误就会发生。
2.缺失规则:当管理员添加新规则,但却忘记把新规则添加至原始防火墙策略时,就会发生此类故障。
3.判断错误:当管理员根据安全需求对某些规则做判断时,有一些特殊的案例可能会被忽略,这时就会发生判断失误。
4.决策错误:此种错误归因于在设置规则后的错误决策。
5.外部规则错误:此种类型的错误表明,管理员需要从原始的策略中删除某些规则。当管理员添加了新规则,却忘记删除旧规则时,旧的规则会过滤出一个和新规则相似的数据包,这时就会出现这种错误了。
自动校正防火墙策略故障的实施
研究人员建议使用agreedy算法,来解决上述问题。在他们的实验中,研究人员在每个步骤中都确定了一个策略故障,之后计算出成功或失败的实验次数,来确定他们使用的方法是否为最恰当的。接下来研究人员计算了修正每种类型的故障时的试验次数,用来选择能够最大可能成功完整实验的最恰当的方法。
