返回
IP网防火墙规则及其异常检测分析.doc

IP网防火墙规则及其异常检测分析.doc

ID:48579865

大小:87.00 KB

页数:4页

时间:2020-02-26

IP网防火墙规则及其异常检测分析.doc_第1页
IP网防火墙规则及其异常检测分析.doc_第2页
IP网防火墙规则及其异常检测分析.doc_第3页
IP网防火墙规则及其异常检测分析.doc_第4页
资源描述:

《IP网防火墙规则及其异常检测分析.doc》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、IP网防火墙规则及其异常检测分析李春亮,马媛媛航天飞行控制中心摘要IP网防火墙作为内网对外的重要防护设备,其规则配置是否正确、是否合适直接影响到它的工作效率,从而影响到数据的正常接收和转发。本文对防火墙规则进行简要说明,并联系试验任务IP网防火墙的规则配置,对防火墙的异常检测进行研究分类,为后续管理员对防火墙的规则配置工作提供依据。关键词规则策略异常检测分类1.前言IP网防火墙作为最重要的安全防护设备之一,串联于核心交换机于核心路由器之间,确保内部网络不受外网的非法入侵和病毒攻击。防火墙的策略配置直接关系到IP网络上承载业务的正常接收和转发。因此,研究防火

2、墙规则的异常检测,充分掌握防火墙的工作原理,结合IP网络承载的业务特点,合理配置防火墙的策略,才能确保试验任务安全可靠运行。2.防火墙规则及状态检测防火墙对进入内部网络的数据包放行还是禁止,判断依据为防火墙安全策略,来自于它的配置文件。防火墙安全策略是一个访问控制列表,该列表有多行,每一行就是一条防火墙规则。防火墙规则是由三部分构成:规则序号、网络字段过滤域及动作。规则序号表示的是该规则在防火墙安全策略规则表中的顺序,保证了数据包对规则进行匹配操作的次序。序号的大小决定了规则的优先级,序号越小,规则的优先级越高。网络字段过滤域可以有许多项,但在防火墙规则中

3、通常使用的是下面的五项:协议、源IP地址、源端口、目的IP地址和目的端口。规则动作是指对数据包的处理行为,通常为接受和禁止两种选择,即允许数据包通过防火墙和不让数据包通过防火墙。如果数据包找不到匹配的规则,那么它最后将匹配一条默认的过滤规则。防火墙规则表是防火墙对进入内部网络数据包进行判定的依据,是网络安全策略的具体体现,相关管理人员需要根据自身网络安全需要制定相应的规则表。由此可见,规则表的配置对防火墙性能有着直接影响,对防火墙安全策略的研究有着重要意义。在网络上进行传输的数据都是基于TCP/IP协议的,根据TCP协议可知,建立一个可靠连接都是按照三个阶

4、段进行的,即“客户端同步请求”、“服务器应答”和“客户端再应答”,日常生活中最常用到的收发邮件、Web浏览和文件下载等都要经过之前提到的三个阶段。这就表明数据包之间并不是孤立的,它们先后顺序之间却存在着紧密的状态联系,同时基于这种状态的变化,研究人员提出了数据包状态检测技术。状态检测防火墙与包过滤防火墙相比,它不仅只考查数据包包头的IP和端口信息等参数,更关心数据包连接状态的变化。状态检测防火墙在其内部建立一个状态连接表,并将进出防火墙的数据包当成一个个的会话,通过状态表对每一个会话状态进行跟踪。状态检测不仅根据过滤规则对每一个数据包进行检查,而且对数据包

5、是否符合会话所处的状态进行监测,因此拥有了完整的控制传输层的能力。3.IP网防火墙部署及相关策略简介IP网目前部署防火墙为天融信网络卫士NGFW4000,其访问控制关系的是连接,与包过滤有本质的区别。对新建的应用连接,状态检测检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下该连接的相关信息,生成状态表。对该连接的后续数据包,只要符合状态表,就可以通过。IP网络防火墙的能否正常数据转发主要取决于阻断策略、访问控制策略和区域权限这三项设置,这三个配置项有其先后工作顺序和工作原理。从前面的原理和菜单项功能介绍来看,数据包转发策略匹配过程如下:图1

6、IP网防火墙数据包转发策略匹配过程首先匹配的是阻断策略,若有匹配项为禁止时则丢弃,允许时则转发,若无匹配项则进入第二步,检查防火墙当前连接会话表,若已创建会话则直接转发,若无此会话则进入下一步匹配访问控制策略,若有匹配项为禁止时则丢弃,允许时则转发,若无匹配项时,进入最后一步,匹配区域权限,若禁止则丢弃,若允许则转发。为便于配置和故障分析,试验任务IP网的防火墙采用“先禁止再根据需求开放服务”的原则制定策略。即区域权限设为禁止,阻断策略中将一些易被攻击的协议端口设为阻断,访问控制策略只允许试验任务测控通信业务使用的协议和端口通过。这样,只有加入访问控制策略

7、中的业务才能通过防火墙与基地终端完成数据交互。1.防火墙规则的异常检测及分类4.1防火墙规则异常检测的定义防火墙规则的先后顺序对防火墙过滤策略有着至关重要的影响,不同的顺序可能造成不同的过滤策略。这是因为防火墙对数据包进行过滤时,数据包是按照规则的先后顺序进行匹配,一旦找到匹配的规则就不会与剩余的规则进行比较。如果所有规则是不相关的,规则的先后顺序就无关紧要。但是,在实际情况中规则之间通常是相关的。在这种情况下,如果没有仔细考虑规则之间的先后顺序,一些规则可能会被其它规则所屏蔽而从来不会使用到,造成不正确的防火墙过滤策略。而且当防火墙包含的规则数越多时,规

8、则之间冲突或冗余的可能性也会相应提高。防火墙规则的异常检测是指对数

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。