（计算机应用技术专业论文）分布式防火墙策略异常检测与分析.pdf

湖北工业大学硕士学位论文 摘要 因特网的普及为社会带来了巨大的经济效益。然而，网络的安全问题也日益 突出，已经成为人们关注的核心问题。各种安全防范技术应运而生，其中防火墙 技术以其实用性、安全性获得了广泛的应用。 防火墙技术作为保护局域网的第一道屏障与实现网络安全的一个相当有效手 段，它的目的是有效控制内部网络与外部网络之间的访问及数据传输。从而能够 保护内部网络的信息不受外部非授权用户的访问和过滤不良信息。防火墙技术己 经成为一个很重要的安全机制，为保证网络的安全发挥了重要作用。但是在实际 应用中，防火墙常常遭受攻击，并处于失效状态，分析后发现造成防火墙失效的 原因很多，其中策略异常占了很大的比例，此外关于检测策略异常的实际应用非 常少，因此本论文选择“分布式防火墙策略异常检测与分析”作为研究方向。 本文首先分析了传统防火墙的技术要点，以及在新生的网络技术环境下传统 防火墙面临的挑战及其表现出的局限性。传统防火墙单一控制点成为网络性能的 瓶颈及安全隐患，为了克服传统防火墙的局限性，分布式防火墙的概念应运而生。 在分布式防火墙中，安全策略统一制定，由各主机负责实施，很好地解决了边界 防火墙安全策略越来越膨胀的弊端及内部网的安全性问题。论文对分布式l 疗火墙 的本质特征，体系结构和运做过程进行了详细的阐述。 然后针对策略异常给防火墙造成的安全隐患做出了以下几方面的工作：深入 研究了防火墙安全策略和防火墙失效状态，论述了策略异常与防火墙失效的紧密 关系。另外，分析并定义了防火墙过滤规则之间所有可能存在的关系，在此基础 上对集中式环境和分布式环境下的防火墙策略异常进行详细的分析。接着设计了 分布式防火墙策略异常检测系统的总体框架，描述了各模块间的工作流程，定义 了相关数据结构，并用伪语言实现了策略异常检测的主要算法。 关键词：防火墙，安全策略，过滤规则，策略异常 湖北工业大学硕士学位论文 a b s t r a c t t h ed o p u l a r i z a t i o no fi n e r n e tb r i n g sh u g ee c o n o m i cb e n e f i tf o rt h e s o c i e t y h o w e v e r 。t h es a f ep r o b l e mo fi n f o r m a t i o ni sa l s oi n c r e a s i n g l y o u t s t a n d i n g ，t h en e t w o r ks a f e t yh a sa l r e a d yb e c o m et h ec o r ep r o b l e mw h i c h p e o p l ei n c r e a s i n g l yp a ya t t e n t i o nt o v a r i o u ss a f e t yg u a r dt e c h n o l o g i e s e m e r g ei st h et i m e sr e q u i r e ，a n df i r e w a l lw i t hi t sp r a c t i c a b i l i t y ，s e c u r i t y e x t e n s i v ea p p l i c a t i o n a st h ef i r s tb a r r i e rt op r o t e c tl a n a n da v e r ye f f e c t i w em e a n st oa c h i e v e n e t w o r ks e c u r i t y ，f i r e w a l li st h em o s ta b r o a dn e t w o r ks e c u r i t yt e c h n o l o g y a tp r e s e n t i t sa i mi st oc o n t r o la c c e s s i n ga n dd a t at r a n s m i s s i o nb e t w e e n i n t e r i o ra n de x t e r i o r ，t h e r e b yf i r e w a l lc a nf i l t e rb a di n f o r m a t i o na n d p r o t e c ti n t e r i o ri n f o r m a t i o nf r o m e x t e r i o ru n a u t h o r i z e du s e r s a c c e s s i n g f i r e w a l lh a sb e e nav e r yi m p o r t a n ts e c u r i t ym e c h a n i s m a n dp a l y sa n i m p o r t a n tr o l ei nn e t w o r ks e c u r i t y h o w e v e r i nt h ea p p l i c a t i o n 。f i r e w a l i s o f e ns u f e ra t t a c k sa n df a l l i nt of a il u r es t a t e 。a f t e ra n a l y z i n g ，t h e r e a r em a n yf a c t o r s ，b u tb ys t a t i s t i c ，p o li c ya n o m a li e si st h em a i n l yf a c t o r t ol e a dt of i r e w a l l sf a i l u r e ， f u t h e r m o r e ，t h e r ei s n tp r a c t i c a l a p p l i c a t i o na b o u ti t s o ，w e s e l e c td e t e c t i o na n da n a l y s i so fp o l i c y a n o m a l i e si nd i s t r i b u t e df i r e w a l l st or e s e a r c h t h i sp a f ) e rf i r s ta n a l y s e st h e1 i m i t a t i o n o ft r a d i t i o n a lp e r i m e t e r f i r e w a l l t h i ss i n g l ee n t r yp o i n ti sm o r ea n dm o r et h o u g h ta sap e r f o r m a n c e b o t t l e - n e c ka n das e c r u i t yh i d d e nt r o u b l e 。a n dt h es a m et i m e ，t h ei n n e r n e t w o r ki s r e l i a b l e ，i sp r o v e dt ob ec o n n e c t l e s si nf a c t c o n c e p to f d i s t r i b u t e df i r e w a l li si n t r d u c e dt oe l i m i h a t et h e s es h o r t c o m i n g t h e d i s t r i b u t e df i r e w a l lt a k e so nt h ea r c h i t e c t u r et h a tt h ec o n t r o lc e n t e r m a k e ss e c u r i t yp o l i c ya n dm a n yn o d ef i r e w a l l se x e c u t et h ep o l i c y ，a n d e f f c e t i v e l ys o l v e st h ea b u s er a e s e dw i t ht h em o r ea n dm o r ep o l i c ya n dt h e i n n e rn e t w o r k ss e c u r i t y t h e nt h eb a s i cp r i n c i p l ea n dr e l a t e dc o n c e p t o fd f wa r ed e s c r i b e da n dac l o s es t u d yi sm a d ea b o u tt h es y s t e mm o d e l so f d f w t h e nt h i sp a p e ra t t e m p tt os o l v et h ef i r e w a l lp o l i c ya n o m a l i e s ，m a i n w o r ki s ：t h r o u g ht h ed e e pa n a l y z ea n ds t u d yo ff i r e w a l lf a i l u r es t a t ea n d f i r e w a l lp o l i c ya n o m a l i e s ，p r e s e n tt h er e l a t i v i t yb e t w e e nf i r e w a l lf a i l u r e a n df i r e w a l lp o l i c ya n o m a l i e s i na d d i t i o f f b a s e do nt h ed e f i n i t i o no f f i l t e r i n g r u l er e l a t i o n s 。w ei d e n t i f ya l la n o m a l i e st h a tc o u l de x i s ti n as i n g l e o rm u l t i f i r e w a l le n v i r o n m e n t a n dp u tf o r w a r d sa l o r i t h m st o a u t o m a t i c a l l yd i s c o v e rp o l i c ya n o m a l i e si na n yf i r e w a l i s f u r t h e r m o r e ， t h i sp a p e rd e s i g ns y s t e mm o d u l ea n dd e f i d ed a t as t r u c t u r e k e y w o r d s ：f i r e w a l l ，s e c u r i t yp o l i c y ，f i l t e r i n gr u l e s p o l i c ya n o m a l y 潮班j 耋大磬 学位论文原创性声明和使用授权说明 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师指导下，独立进行研究工 作所取得的研究成果。除文中已经标明引用的内容外，本论文不包含任何其他个 人或集体己经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体， 均已在文中以明确方式标明。本声明的法律结果由本人承担。 学位论文作者签名：三i 哆卷蚺 日期： 心年6 月习日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校有 权保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和 借阅。本人授权湖北工业大学可以将本学位论文的全部或部分内容编入有关数据 库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文 学位论文作者签名：苫l ，盔胡 指导教师签名： 日期：b 、年3 月习日日期：叼年j 月习日 湖北工业大学硕士学位论文 第1 章引言 从因特网雏形a r p a n e t 的时代发展至今，网络技术和网络应用规模的发展突 飞猛进，这个错综复杂的信息系统向人们提供各种服务和便利，同时也为各种越 权访问、恶意代码、入侵行为提供藏身之所。社会和经济的发展对网络的依赖越 强，安全事件所产生的危害就越大【“，安全方面的威胁逐渐成为网络技术面临的重 大挑战，网络安全也成为网络技术研究领域最具挑战性和现实意义的课题之一 1 1 课题的来源 课题来源于：2 0 0 4 年湖北省科技攻关项目，项目编号：2 0 0 4 a a l 0 1 c 6 7 1 2 研究背景及选题意义 1 2 1 课题的研究背景 网络安全在不同的环境和应用中会得到不同的解释，比如运行系统安全，网 络上系统信息的安全，网络上信息传播的安全，以及网络上信息内容的安全等等。 显然，网络安全与其所保护的信息对象有关，它的本质就是在信息的安全期内。 保证信息在网络上流动或者静态存放时不被非授权用户非法访问，但授权用户却 可以访问。 这里，我们给出网络安全的一个通用定义：网络安全是指网络系统的硬件、 软件及其系统中数据受到保护。不受偶然的或者恶意的原因而遭到破坏、更改、 泄露，系统连续可靠正常地运行，网络服务不中断。 针对目前网络所面临的各种威胁，人们也研究出了许多用于安全肪御的技术， 下面是当前应用较为广泛的几种技术【2 j ： ( 1 ) 防火墙技术。防火墙是建立在两个网络边界上的实现安全策略和网络通 信监控的系统或系统集，它强制执行对内部网络( 如校园网) 和外部网络( 如 h t c m e t ) 的访问控制。通过建立一整套规则和策略来监测、限制、转换跨越防火 墙的数据流，从而达到保护内部网络的目的。防火墙的功甜3 4 。“1 主要有访问控 制、授权认证、地址转换、均衡负载等。它已经成为目前保护内部网络最重要的 安全技术之一。 ( 2 ) 防病毒技术防病毒技术主要是通过自身常驻系统内存，通过监视、判 湖北工业大学硕士学位论文 断系统是否存在病毒来阻止计算机病毒进入计算机系统，防止病毒对系统进行破 坏，从而可以有效防止计算机病毒对系统造成的危害。 ( 3 ) 漏洞扫描技术。漏洞扫描技术通过扫描系统来发现系统存在的安全漏洞， 判断系统存在的安全威胁，帮助系统管理人员修正系统存在的安全隐患，以此提 高系统的安全性。 d ，+ 1 6 ( 1 ) b = 凸+ 尼i f = 0( 2 ) p i ：系统为了保护安全目标设置各种保护手段后的防护时问，理解为在某种保 护方式下，入侵者攻击安全目标所花费的时间。d 。：从入侵者发动攻击之后，系 统能够检测到入侵行为所花费的时间。r t ：从发现入侵行为开始，系统能够做出 足够的响应且将系统调整到正常状态的时间。对于安全目标，如果( 1 ) 式满足： 防护时间大于检测时间与响应时间之和，也就是在入侵者危害安全目标之前就能 够被检测到并及时处理，则系统是安全的。( 2 ) 式的前提是假设防护时间为0 。 d t 与r l 之和是该安全目标的暴露时间e t ，e l 越小则系统就越安全。 在p 2 d r 模型中，最重要的是安全策略环节，如果安全策略本身不合适，就无 法对防护、检测和响应进行正确的控制和指导：其次，防护环节是非常重要的一 个环节，防火墙技术是这个环节上非常重要的一种技术。防火墙是一种用来加强 网络之阋访问控制的特殊网络互联安全设备，它在内部网络和外部网络之间构成 了一道屏障，其主要目的是控制入、出一个网络的权限，它可通过监测、限制、 1 4 湖北工业大学硕士学位论文 更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部信息、结构和运行状况， 防止一个需要保护的网络免受网络外因素的干扰、破坏，是系统管理员可以较有 效的控制、审计、评估自己的系统。 3 2 安全策略 策略通常被定义为策略规则的集合。每条策略规则是由一个条件集和一个与之 对应的行为集所组成。条件确定了在何种情况下策略规则可以适用。一旦一条策 略规则被激活，包含在这条规则中的一个或多个行为将被执行。这些规则和是否 满足该策略规则的条件联系在一起。换句话，一条策略规则说明了当一系列相关 条件得到满足以后将执行的一系列行为。 对于网络，从简单的角度看来，策略是用来控制通信的。即，网络策略定义 了使用网络资源的客户与提供这些网络资源的网元之间的关系。这里的客户除了 包括使用者以外，也指应用程序和服务哪j 。 纵观信息安全发展过程中涌现的安全策略，多为解决资源共享的访问控制问 题而提出，且面向特定的安全需求：b e l l l a p a d u l a 安全策略为保证信息机密性规 定“不上读和不下写” 3 h ；b i b a 安全策略设定“不下读不上写”以保证信息完整 性【3 2 j 。自主访问控制策略( d a c ) ，根据主体的身份和访问对象要求的权限进行决 策，且允许用户将自身拥有的权限子集授予其它主体田卅；强制访问控制策略 ( m a c ) ，规定不同安全属性下的主体对对象访问权限，且不允许主体进行干预p 。 3 6 】；基于角色的访问控制通过访问者的角色身份，决定其对信息资源的访问权限 【3 7 】：“中国墙”安全策略通过隔离可能产生商业泄密的数据，而保证企业信息交换 的机密性”。 有必要重新思考策略及安全策略的内涵。策略是对一项行动的规划和过程概 述。它是对事件发展过程的具体把握。安全策略是网络安全的指南，是在安全需 求驱动下的约束规则，它描述了系统应该符合的安全行为要求。安全策略的目标 是：预防攻击，在遭遇攻击后，采取措施将损失降到最小。 定义策略是对某一防御目标的反映，可表示为一个三元组：t = ( c ，0 ，f ) 其 中。c = e v e i ，“e 2 ，c v c 。) 是安全漏洞组成的集合，c v c i 是公用漏洞斟卵4 0 1 定义的安全漏洞。0 是保护对象的集合，可以是的主机、路由器、存储设备等被 保护的系统级对象，以重要性级别加以区分。c x o 称为防御目标集。f 是 c x o - d x e x p x r 的关系，称为系统的规则集p ，d ，e ，r 描述安全周期中四个 阶段的安全操作，其中p 为防护子策略集，且存在全函数昂；c p ：d 为检测子 湖北工业大学硕士学位论文 策略集，且存在全函数f d ：c d ；e 为预测子策略集，且存在全函数f e ：c e ； r 为响应子策略集，且存在全函数f r ：c x o d e - - * r 。 在应用安全策略过程中，总的指导原则是：( 1 ) 防护是基础，是基本条件， 它包含了对系统的静态保护措施，是保护信息系统必须实现的部分；( 2 ) 检测和 预测是手段，是扩展条件，提供对系统的动态监测措施，是保护信息系统须扩展 实现的部分；( 3 ) 响应是目标，是进行安全控制和缓解入侵威胁的期望结果，反 应了系统的安全控制力度，是保护信息系统须优先实现的部分当一个企业或组 织购买安全产品以加固系统安全时，应优先实现( 1 ) 和( 3 ) ，扩展实现( 2 ) 。具 体地，分析信息系统的安全现状、入侵威胁来源和应急响应要求，在防护技术体 系和响应技术体系中有针对的选择产品。在实现( 1 ) 和( 3 ) 的前提下，如果添 加动态检测和预警功能，则达到了一个较为完备的安全防御系统。 3 2 1 防护子策略 安全周期中，防护阶段的策略是针对系统的安全漏洞或脆弱点而实施的对策， 包括为实现一定防护目标而运用的防护技术。防护子策略面向特定的安全漏洞， 说明补救该安全漏洞所采取的方法。同时指出该漏洞可能影响到的网络安全层次， 据此可以确定采用相应的安全产品加固系统。 如拒绝服务攻击“d o si g m p ”的防护子策略：c v e - 1 9 9 9 0 9 1 8 - - * p a t e h ( h t t p ：w w w m i c r o s o f t c o m t e c h n e t y s e c u r i t y b u l l e t i n f q 9 9 0 3 4 a s p ) ：c ( p a c k e tf i l t e r i n gf i r e w a l l ) 意 为防护安全漏洞“c v e 1 9 9 9 0 9 1 8 ”( 可被用于拒绝服务攻击的i g m p 漏洞) ，对于w i n d o w s 版本的系统，修补该漏洞需要添加补丁，可于以下位置查找，h t t p ：w w w m i c r o s o f t c o m t e e h n e t s e c u r i t y b u l l e t i n f q 9 9 0 3 4 a s p ，配置防护技术体系中c 级安全 技术( 连接控制产品中的包过滤防火墙) 。 防护子策略是一个全函数，是从安全漏洞集c 到二元组( r ) 的映射。其中 a 是对策集，r 是关联集。p ：c a r 。一条防护子策略p = ( m i a ，r ) 表明： 防御漏洞c v e i ，可采用a 方法，涉及到r 层次的安全控制技术。防护子策略不仅指 出了漏洞补救方法，而且包括了部署何种层次安全产品的建议。 关联r 不是安全产品的罗列，需要一种系统的分类方法将防护技术构成一个 技术体系，反映信息流动过程中的安全控制。 3 2 2 检测子策略 安全策略中设置检测子策略的目的是准确、高效地检测出网络攻击和入侵。 因此，检测子策略应明确给出网络攻击的识别方法。网络攻击对应着一定的攻击 1 6 湖北工业大学硕士学位论文 模式，且总与信息系统的某种安全漏洞相关联。攻击模式的建立可采用任何完备、 实用的特征分析技术。定义检测子策略如下： 检测子策略是一个全函数，是从安全漏洞集c 到攻击模式集的映射，攻击模 式为二元组( q ，n ) 。其中q 是检测条件，n 是攻击类型。d ：c - - , q x n 。一条检 测子策略d 邓v e i 咱，n ) ，表明：利用安全漏洞c v e i 的n 型网络攻击，可通过方法 q 进行检测。 例如，i g m pd o s 攻击的检测子策略为：e v e - 1 9 9 9 0 9 1 8 一( ( c o n t e n t ：”1 0 2 0 0 1 ”； d e p t h ：2 ；i p _ p r o t o 2 ；f r a g b i t s m + ) ，i g m p d o sa t t a c k ) 。意为：如果数据包载荷 的头两个字节是“0 20 0 ”( 十六位字节代码) ，且i p 包类型为i g m p ，i p 头中分片字 段置位为1 ，则断定是i g m p 拒绝服务攻击，这种类型的攻击利用了安全漏洞 e v e 1 9 9 9 0 9 1 8 。 3 2 3 预测子策略 预测的目的是为了防御和响应入侵，缓解安全风险。因此，预测的结果不仅 指出了攻击将会发生，而且包括攻击的具体特征，如攻击类型或包特征、频度、 波及范围等数量关系。不同类型的攻击有着相异的入侵规律，采用不同预测模型 来描述。预测子策略明确给出特定类型的网络攻击对应的预测模型。 预测子策略定义为一个全函数，它建立从安全漏洞集c 、攻击类型集n ，到预 测方法集f 的映射。e ：c ，n f 。单个预测子策略e = ( c 。n ) 一f 表示攻击类型 为n 、利用了漏洞c 的网络攻击，可通过f 指定的方法对该己知类型攻击进行预测。 攻击类型也可能为未知类型，这时f 对应着一定的流量测度指标，采用流量测量的 方法预测未知攻击及其安全趋势。 3 2 4 响应子策略 响应子策略指明入侵响应对策。对于检测的入侵事件集，或者预测的入侵趋 势信息，响应子策略给出与之对应的响应方法。静态响应策略对同一攻击类型的 入侵事件，采用相同的响应方法。动态响应策略依据入侵信息的威胁评估值选择 相应级别的响应方法，它考虑了系统运行因素，动态、灵活地指定响应策略 响应子策略定义为一个全函数，是从威胁评估值到响应方法集w 的映射。其中， 威胁评估值由安全漏洞集c 、保护目标集o 、入侵事件集i ( 由d 或e 产生) 计算 产生。r ：c ，o ，i w 。单个响应子策略r = ( ( c ，o ，i ) - - , w ) 表示：对于攻击类型 为n 、利用了漏洞c 的网络攻击，采用w 指定的响应方法。为支持动态响应策略， 响应子策略中把攻击类型与入侵事件相联系，实现对攻击者的细粒度响应。 湖北工业大学硕士学位论文 安全策略的根本目的是用来指定在面对某种具体威胁的环境下应该采用的相 应措施。所有组织通常都设定应用于组织内部网络中所有系统的安全策略以及定 义与外部网络中其他组织的网络之间的安全关系。这里，安全策略定义为某种具 体的规则。由这些规则管制的网络是由可以在某些对象上执行某些操作的代理所 组成。这种系统中的规则规定了代理所允许，强制以及禁止执行的操作。以后不 特别说明，策略均指安全策略。 3 3 策略异常 美国联邦调查局公布的一项调查结果显示，美国有9 2 的大型企业和政府机 构都遭受过不同程度的计算机黑客攻击，虽然这些大型企业和政府机构都安装了 不同类型、不同型号的防火墙，但是只有2 8 的防火墙能对攻击进行有效的防御， 其它的防火墙都不能有效的防止网络攻击。从调查结果显示，防火墙对网络攻击 的失效比例在不断增加，通过对导致防火墙失效的因素进行分析后发现，4 1 的防 火墙失效是由于缓冲区溢出攻击【4 1 1 ，3 6 的防火墙失效是由于规则方面的因素造 成的。主要是规则冲突原因，包括规则集内冲突、新添加规则与规则集的冲突、 规则顺序不合理和规则的冗余，即规则重复，1 2 的防火墙失效是由于拒绝服务攻 击，5 的防火墙失效是由于口欺骗，3 的防火墙失效是由于内部人员的攻击， 2 的防火墙失效是由于防火墙硬件的因素( 如图3 2 ) 。 耐防火墙造成的 危害程度 溢出突 务攻击 5 员攻击尊 1 4 1 3 6 1 2 3 2 图3 2 防火墙失效因素比例 从图3 1 就能看出，安全策略是安全模型的核心，安全防护、检测和响应的工 作都是在安全策略的指导和控制下完成的，而安全策略正是通过规则来体现的。 规则作为防火墙发挥其安全防护作用的核心，是至关重要的，如果无法保证防火 湖北工业大学硕士学位论文 墙规则集的一致性，规则之间发生冲突，就不能完全有效的执行管理员制定的安 全策略，也就不能有效的保护内网的安全。从图3 2 可以看出，规则冲突和缓冲 区溢出攻击是造成防火墙失效的主要因素，但是就自身的安全角度而言，从规则 入手，对防火墙策略异常进行分析，是提高防火墙安全性的主要手段，此外，部 分缓冲区溢出攻击也能够添加策略来预防，因此，策略是关键，只有保证策略的 有效才能使防火墙充分的发挥防御攻击作用，有效的保护网络。 显然，在一个具有不安全操作系统的主机或使用不安全协议的网络中实施安 全防护方法，期望有效的保护主机和网络的安全，是不现实的。首先应该提高主 机和网络自身的安全性，克服诸如操作系统、人员管理等方面的安全缺陷，为各 种安全措施的实施创造良好的条件。而且，具有策略异常分析的防火墙系统，其 安全性总是强于没有策略异常分析的防火墙系统，尤其是随着网络的不断发展， 系统需要防火墙提供越来越多的服务，这就需要更多、更复杂的策略来保证系统 的安全性，防火墙策略异常分析功能在一定程度上提高了系统的安全性。通过将 策略异常分析功能补充到现在己使用的防火墙，不仅可以节约大量资金，而且能 够在短时间内提高防火墙的安全性。因此，实现防火墙的策略异常分析是很有价 值的 策略规则的具体表现形式可以用自然语言表示为如下的一个条件集和一个相 应的行为集所组成形式。通常的形式为： i f a n d a n d a n d t h e n a n d a n d 用自然语言表示的规则包括了分级的、排序的条件性表述。这在多条规则同 时存在的时候是非常重要的。当至少有两条规则的条件同时得到满足。并且这两 条规则的行为相矛盾的时候就存在规则的冲突。例如，可能在一个路由器上同时 存在两条访问控制策略规则，并且他们的条件同时被满足，但两者的行为却相反。 如下： a c c e s s ，l i s tl l 弛* r m i t 2 0 2 1 1 4 3 3 06 i 1 8 3 0 2 5 5 a c c e s s - l i s tl d e n y 2 0 2 1 1 4 0 06 1 1 8 3 2 5 5 2 5 5 前面一条规则允许以2 0 2 “4 3 3 打头的i p 数据流通过。后面一条规则则禁止 以2 0 2 。1 1 4 打头的口数据流通过。这样在这两条规则同时满足条件时就同时被触 发，结果就导致了截然不同的行为。这就称为策略规则发生了异常 湖北工业大学硕士学位论文 3 4 防火墙的失效状态分析 3 4 1 防火墙失效状态的概念 防火墙的实质是它包含着的一对矛盾( 或称机制) ：一方面它限制数据流通； 另一方面它又允许数据流通。由于网络的管理机制以及安全策略的不同，使得这 对矛盾呈现出不同的表现形式 存在两种极端的情形 4 2 1 ：( 1 ) 除了非允许不可的都被禁止( t h a tw h i c hi sn o t e x p r e s s l y p e r m i t t e d i s p r o h i b i t e d ) ，( 2 ) 除了非禁止不可的都被允许( t h a t w h i c h i s n o t p r o h i b i t e dp e r m i t t e di se x p r e s s l y ) 。情形( 1 ) 的特点是安全不好用，情形( 2 ) 的特 点是好用但不安全，而多数的防火墙都选取它们的折衷。 这里所谓好用不好用主要是指跨越防火墙的访问效率。在确保防火墙访问效 率的前提下，防火墙的安全性是当前防火墙技术研究和实现的热点。防火墙作为 网络安全的一种防护手段得到了广泛的使用，应该说起到了一定的防护作用，但 并非万无一失，通过对防火墙的基本原理和实现方式进行分析和研究我们对防 火墙的安全性有了迸一步的认识。 任何一个防火墙系统都可能存在若干缺陷，如果执行次任务时未涉及到有 缺陷的部分，防火墙系统仍然能正常工作，如果在执行一次任务时恰好涉及到有 缺陷的部分，则防火墙系统的功能或判决就会与规定不符，即丧失了在规定限度 内执行所要求的功能的能力，本文将这种状态定义为防火墙的失效状态。 防火墙的失效分析是指分析造成防火墙失效的原因，研究和采取补救措施和 预防措施来防止防火墙继续失效的技术与管理活动。 失效影响是指失效类型对系统功能或一个任务执行状态的影响，失效影响通 常根据其对整个体系影响的程度来分类。通常分为灾难性失效、致命失效、临界 失效和轻度失效，其中灾难性失效是指一种会引起系统毁坏的失效，致命失效是 指会引起重大经济损失或导致任务失败的系统严重损坏，临界失效是指会引起一 定经济损失或导致任务延迟或降级的系统轻度损坏，轻度失效是指一种不足以导 致一定经济损失或系统损坏的失效，但它会导致非计划性维护或修理。 失效原因是指当物理或程序设计缺陷、部件误用、硬件品质不良或其它过程 导致系统处于失效状态的基本原因。 3 4 ，2 防火墙失效过程的特点 ( 1 )失效过程的不可逆性：任何一次失效过程都是不可逆过程，某一失效 湖北工业大学硕士学位论文 过程是无法完全再现的，任何模拟再现试验都不能完全代替某一实际的失效过程。 ( 2 ) 失效过程的有序性：任一失效，客观上都有一个或长或短、或快或慢 的发展过程，一般要经过起始状态寸中间状态寸完成状态三个状态，在时间序 列上，这是一个有序的过程，不可颠倒，是不可逆过程在时序上的表征。 ( 3 ) 失效过程的不稳定性：除了起始状态和完成状态这两个端状态比较稳 定之外，中间状态往往是不稳定的、可变的，甚至不连续的，不确定的因素较多。 任何失效都有一个发展过程，而任何失效过程都是有条件的，也就是说有原 因的，并且过程的发展与原因的变化是同步的。以下是失效原因的几个特点： ( 1 )失效原因的必要性：不论何种失效过程，都不是自发的过程，都是有 条件的，即是有原因的。不同失效模式所反映的机理不同，失效过程的条件也会 不同，缺少必要的条件，失效过程就无法进行。 ( 2 )失效原因的多样性和相互联系：失效过程常常是由多个相关环节发展 而成的，瞬时造成的失效后果往往是多环节原因失败而导致的，这些环节全部失 败，失效就必然发生，反之，这些环节中如果有一个环节不失败，失效就会发生