系統(tǒng)管理員嘉年華
——LISA 2010之二防火墻策略管理

前文我們介紹了LISA 2010上關(guān)于存儲的一些討論，本文將是LISA2010上的另一個熱門話題：訪問控制策略管理。在網(wǎng)絡(luò)管理中，訪問控制策略中最主要的就是防火墻策略，這次會議的三篇文章也大都是圍繞如何自動化地對各類策略進行檢查、修正來討論的。

用于防火墻分析的工具

隨著網(wǎng)絡(luò)規(guī)模的變化，防火墻或網(wǎng)絡(luò)設(shè)備的配置隨著不斷增加的改變越來越復(fù)雜，即使是資深的網(wǎng)絡(luò)管理員，有時候也會發(fā)現(xiàn)在一番復(fù)雜的防火墻配置后，自己的服務(wù)器仍然不能訪問外網(wǎng)或者不能被外網(wǎng)訪問，規(guī)則看了很多遍，卻不知道是哪里出了問題。有一個自動化的工具來幫助網(wǎng)絡(luò)管理員發(fā)現(xiàn)問題一直是網(wǎng)管們的夢想，來自伍斯特理工學(xué)院（Worcester Polytechnic Institute）的Timothy Nelson等人就專門開發(fā)了一個開源工具Margrave來解決這個問題。Margrave 是一個用于防火墻分析的工具，提供了枚舉規(guī)則修改后果、發(fā)現(xiàn)沖突規(guī)則、為防火墻的行為跟蹤到具體執(zhí)行規(guī)則以及驗證安全目的與規(guī)則等多項功能。與傳統(tǒng)的防火墻規(guī)則分析工具不同，Margrave提供了多種不同層次的分析：從規(guī)則、過濾器、防火墻到網(wǎng)絡(luò)。Margrave支持現(xiàn)實中網(wǎng)絡(luò)防火墻的配置語言（例如思科的IOS），并從這些配置中提取出NAT、路由、IP ACL設(shè)置，如圖1所示。當(dāng)管理員發(fā)現(xiàn)問題時，可以向配置規(guī)則查詢，期望通過的報文是被哪一條具體的規(guī)則所丟棄，或期望被丟棄的報文被哪一條報文所接受。這樣管理員就可以迅速定位到問題發(fā)生的地點。有興趣的讀者可以訪問http://www.cs.brown.edu/research/plt/software/margrave/來試試這個工具。

自動修正防火墻策略的第一步

Margrave能夠幫助管理員發(fā)現(xiàn)問題，但發(fā)現(xiàn)問題以后還是需要網(wǎng)絡(luò)管理員自己修改問題。有沒有可能讓計算機幫助管理員來自動解決錯誤的配置？雖然大多數(shù)網(wǎng)絡(luò)管理員不敢將配置托付給一臺計算機，但計算機的科學(xué)家們已經(jīng)開始了這樣的嘗試。密歇根州立大學(xué)陳飛等人發(fā)表的文章開始了自動修正防火墻策略的第一步。修正防火墻策略首先必須發(fā)現(xiàn)防火墻策略的錯誤，為了能讓計算機理解防火墻的錯誤，陳飛等人將防火墻可能發(fā)生的錯誤定義為5類：1.錯誤的順序，防火墻的規(guī)則發(fā)生沖突時是以優(yōu)先級或先后為選擇依據(jù)，如果規(guī)則的優(yōu)先級倒置或順序錯誤，則該生效的規(guī)則沒有生效，或者錯誤的規(guī)則生效了；2.缺少規(guī)則，顧名思義就是缺少了用于處理該類報文的規(guī)則；3.錯誤的條件，即期望處理的報文和規(guī)則定義的報文不完全符合；4.錯誤的動作，即雖然定義期望處理的報文是什么，但是對該報文應(yīng)該進行的動作定義錯了；5.多余的規(guī)則，這種規(guī)則的作用由更高優(yōu)先級或先出現(xiàn)的規(guī)則所實現(xiàn)，不會被命中。為了讓計算機自動發(fā)現(xiàn)錯誤和修改錯誤，作者采用軟件測試的辦法，將安全目標(biāo)轉(zhuǎn)換成一系列的測試報文（測試報文分為兩種：一種應(yīng)該穿過防火墻，另一種不應(yīng)該穿過防火墻），作者再將兩類報文分別對防火墻策略進行測試，如果所有報文的行為都符合預(yù)期，說明規(guī)則正確，否則就需要修改報文。為了避免計算機自動修改規(guī)則時出現(xiàn)狀態(tài)爆炸問題，作者引入了全匹配防火墻決策圖(all-matched Firewall Decision Diagram)的數(shù)據(jù)結(jié)構(gòu)。結(jié)合測試報文和決策圖兩種工具，作者實現(xiàn)了一種自動化的策略修改算法。盡管根據(jù)對實際防火墻策略的實驗，作者的算法也只對某些錯誤的更正有較好的效率，但這仍是防火墻自動策略管理的第一步。

基于角色的策略管理

除了防火墻策略的管理，華中科技大學(xué)胡經(jīng)緯等人發(fā)表的文章討論了一個更形式化的問題：基于角色的策略管理。在大型系統(tǒng)中，權(quán)限不僅僅是網(wǎng)絡(luò)權(quán)限，還包括了用戶對各類資源的訪問。在這篇文章中，作者借用了RBAC中的角色和權(quán)限的概念，將一切實際對象泛化成為抽象的角色u和抽象的權(quán)限p，將權(quán)限的管理轉(zhuǎn)化為符號的計算，并在符號計算工具NuSMV的基礎(chǔ)上開發(fā)了自己的工具RoleUpdater。相對于前兩篇文章而言，這篇文章更多的是停留在如何在理論上實現(xiàn)一個自動化的最小代價進行訪問控制策略管理，并沒有考慮與實際系統(tǒng)的連接。