處理諸如允許惡意流量進入或阻止合法流量這樣的錯誤,可能就是檢測防火墻策略問題,以及執(zhí)行自動校正防火墻策略錯誤。
在San Jose舉行的LISA會議上,Michigan State大學(xué)的研究員Fei Chen、Alex X. Liu以及North Carolina State大學(xué)的JeeHyun Hwang、Tao Xie聯(lián)合發(fā)布了一篇題為《自動校正防火墻策略故障的關(guān)鍵步驟》的論文,論文概括地介紹了防火墻策略故障模式,同時也簡要提出了五種常見的策略問題類型,并對這五種類型的問題提出了自動的校正技術(shù)解決方案。
這篇論文的基本前提是對糾正錯誤數(shù)據(jù)包的重要性認識,因為我們知道找到所有這些錯誤的數(shù)據(jù)包并做更正是不太可能的。因此,最佳的做法就是在采樣的錯誤數(shù)據(jù)包基礎(chǔ)上創(chuàng)建策略變更,同時這種方法還可用于更大型的數(shù)據(jù)包。
該論文中提到的五種最常見的防火墻策略故障包括:
1.次序錯誤:防火墻秩序混亂時,會出現(xiàn)錯誤地配置。當在防火墻策略初期添加一些新規(guī)則時,如果沒有認真考慮新規(guī)則和原始規(guī)則之間的順序,就次序錯誤就會發(fā)生。
2.缺失規(guī)則:當管理員添加新規(guī)則,但卻忘記把新規(guī)則添加至原始防火墻策略時,就會發(fā)生此類故障。
3.判斷錯誤:當管理員根據(jù)安全需求對某些規(guī)則做判斷時,有一些特殊的案例可能會被忽略,這時就會發(fā)生判斷失誤。
4.決策錯誤:此種錯誤歸因于在設(shè)置規(guī)則后的錯誤決策。
5.外部規(guī)則錯誤:此種類型的錯誤表明,管理員需要從原始的策略中刪除某些規(guī)則。當管理員添加了新規(guī)則,卻忘記刪除舊規(guī)則時,舊的規(guī)則會過濾出一個和新規(guī)則相似的數(shù)據(jù)包,這時就會出現(xiàn)這種錯誤了。
自動校正防火墻策略故障的實施
研究人員建議使用agreedy算法,來解決上述問題。在他們的實驗中,研究人員在每個步驟中都確定了一個策略故障,之后計算出成功或失敗的實驗次數(shù),來確定他們使用的方法是否為最恰當?shù)摹=酉聛硌芯咳藛T計算了修正每種類型的故障時的試驗次數(shù),用來選擇能夠最大可能成功完整實驗的最恰當?shù)姆椒ā?/span>
| 
