秦 拯，歐 露?，張大方，Alex X.Liu

（1.湖南大學(xué) 信息科學(xué)與工程學(xué)院，湖南 長(zhǎng)沙 410082；2.密歇根州立大學(xué) 計(jì)算機(jī)科學(xué)與工程系，密歇根 蘭西 48824－1266）

協(xié)作防火墻（Cooperative Firewall，CF）與傳統(tǒng)的防火墻不同，是部署在網(wǎng)絡(luò)域內(nèi)或域間的多個(gè)防火墻，基于訪問控制列表 （Access Control List，ACL），以協(xié)同方式進(jìn)行多層數(shù)據(jù)包過濾.ACL是由一系列的規(guī)則組成，而規(guī)則的數(shù)量越多，CF的吞吐量也隨之顯著降低.因此，通過減少防火墻規(guī)則的數(shù)量來提高CF的性能成了當(dāng)務(wù)之急.

目前，協(xié)作防火墻分為域內(nèi)協(xié)作防火墻和跨域協(xié)作防火墻.在域內(nèi)協(xié)作防火墻方面，研究者針對(duì)防火墻異常檢測(cè)方法和防火墻配置錯(cuò)誤檢測(cè)等開展了相關(guān)研究工作[1]，但是在域內(nèi)協(xié)作防火墻的冗余規(guī)則去除方面未見相關(guān)工作報(bào)道.在跨域協(xié)作防火墻方面，研究者構(gòu)建了加密跨域防火墻模型[2]，Liu等[3]解決了在VPN中安全執(zhí)行協(xié)作防火墻策略問題.另外，Chen等[4]提出了基于隱私保護(hù)的跨域協(xié)作防火墻冗余規(guī)則去除方法，但該方法只去除了協(xié)作防火墻中一方的冗余規(guī)則，未能同時(shí)去除兩個(gè)防火墻的冗余規(guī)則，難以明顯提高協(xié)作防火墻的吞吐量.

為有效去除冗余規(guī)則和明顯提高吞吐量，本文提出一種可雙向去冗余的協(xié)作防火墻優(yōu)化方法，同時(shí)刪除域內(nèi)協(xié)作防火墻的冗余規(guī)則，降低規(guī)則數(shù)量.

1 雙向去冗余方法

1.1 基本思想

將CF簡(jiǎn)化為由兩個(gè)防火墻組成，相互合作過濾外來的數(shù)據(jù)包，防御外來攻擊，其工作原理如圖1所示.防火墻A和防火墻B組成一個(gè)數(shù)據(jù)流管道T，數(shù)據(jù)包P經(jīng)防火墻A處理并被接受后，防火墻B才可對(duì)數(shù)據(jù)包P進(jìn)行處理；只有在防火墻A和B都接受數(shù)據(jù)包P的情況下，數(shù)據(jù)包P才能進(jìn)入內(nèi)部網(wǎng)絡(luò).倘若兩個(gè)防火墻中有一個(gè)拒絕了數(shù)據(jù)包P，數(shù)據(jù)包P就不能進(jìn)入到內(nèi)部網(wǎng)絡(luò).根據(jù)CF工作原理可知，假設(shè)數(shù)據(jù)包P既能匹配防火墻A中accept規(guī)則，又可匹配防火墻B中discard規(guī)則，則防火墻A中accept規(guī)則為冗余規(guī)則.同理，若數(shù)據(jù)包P可同時(shí)匹配防火墻A中discard規(guī)則和防火墻B中任一規(guī)則，則此時(shí)防火墻B中此類規(guī)則為冗余規(guī)則.

圖1 協(xié)作防火墻模型Fig.1 Cooperative firewall model

當(dāng)且僅當(dāng)防火墻A和防火墻B依次都接收了數(shù)據(jù)包P時(shí)，數(shù)據(jù)包才能通過管道T，進(jìn)入到內(nèi)部網(wǎng)絡(luò)，這些允許數(shù)據(jù)包進(jìn)入內(nèi)部網(wǎng)絡(luò)的規(guī)則為有效規(guī)則.為搜尋冗余規(guī)則，需先篩選有效規(guī)則，篩選出有效規(guī)則之后，可將其余的規(guī)則進(jìn)行3種組合：組合1，防火墻A中accept規(guī)則和防火墻B中discard規(guī)則；組合2，防火墻A中discard規(guī)則和防火墻B中accept規(guī)則；組合3，防火墻A中discard規(guī)則和防火墻B中discard規(guī)則，如圖2所示.在組合1中，一部分discard規(guī)則與有效規(guī)則重疊，此類discard規(guī)則稱為偽有效規(guī)則，不能刪除.根據(jù)上文對(duì)協(xié)作防火墻冗余規(guī)則的定義，此時(shí)防火墻A和B中accept規(guī)則為冗余規(guī)則，可一并刪除.此外，防火墻B中除偽有效規(guī)則之外的discard規(guī)則亦為冗余規(guī)則，可刪除.

圖2 協(xié)作防火墻規(guī)則組合情況Fig.2 Rules combinations in cooperative firewall

我們給出協(xié)作防火墻的冗余規(guī)則示例，如圖3所示，其中SIP，DIP，SP，DP，PR和Dec分別表示源IP，目標(biāo)IP，源端口、目標(biāo)端口，協(xié)議類型和相應(yīng)決策.防火墻FWA和FWB中有效規(guī)則分別為r4和r4′.因r5′與r4重疊，所以r5′是偽有效規(guī)則.因此r2，r3，r1′，r2′和r3′均為冗余規(guī)則，可刪除.

圖3 協(xié)作防火墻冗余規(guī)則示例Fig.3 Example cooperative－firewall redundant rules

1.2 域內(nèi)協(xié)作防火墻雙向去冗余方法

域內(nèi)協(xié)作防火墻屬于同一網(wǎng)絡(luò)管理域，其去冗余方法分4步進(jìn)行.

1）提取有效規(guī)則 .首先，將防火墻A和B的規(guī)則分別轉(zhuǎn)化成等價(jià)的全匹配防火墻決策圖[5－7]（Firewall Decision Diagram，F(xiàn)DD），然后提取全匹配FDD中非重疊的accept規(guī)則，比對(duì)兩個(gè)防火墻中提取的accept規(guī)則，計(jì)算其是否重疊，若重疊，則為協(xié)作防火墻管道T中有效規(guī)則，否則不是.

2）提取偽有效規(guī)則 .比對(duì)防火墻B中discard規(guī)則和防火墻A中有效規(guī)則，若這兩類規(guī)則重疊，此類discard規(guī)則為偽有效規(guī)則.

3）尋找備選冗余規(guī)則 .首先，剔除防火墻A和B中有效規(guī)則，剩余的accept規(guī)則均為備選冗余規(guī)則.然后，剔除防火墻B中偽有效規(guī)則，防火墻B中其余的discard規(guī)則亦為備選冗余規(guī)則.分別在兩個(gè)防火墻的全匹配FDD[8－10]中，用虛線標(biāo)示備選冗余規(guī)則.

4）雙向去除冗余規(guī)則 .分別在防火墻A和B的全匹配FDD中，用虛線標(biāo)示出備選冗余規(guī)則之后，其余規(guī)則路徑均用實(shí)線標(biāo)示，稱為有效路徑.首先提取虛線路徑中的規(guī)則，然后判定各有效路徑中編號(hào)最小的規(guī)則是否為虛線路徑中的規(guī)則.若提取的規(guī)則為有效路徑中編號(hào)最小的規(guī)則，那么該規(guī)則不能刪除；反之，該規(guī)則可以刪除.

下面給出雙向去冗余方法示例.CF中各防火墻規(guī)則提取過程如圖4所示.

首先，依次比對(duì)防火墻A和B中所有的accept規(guī)則.例如，比對(duì)nrA3和nrB1，其中[3，4]∩[3，4]≠?，[3，8]∩[0，7]≠?，那么nrA3和nrB1相重疊，則nrA3和nrB1為有效規(guī)則.同理可知，nrA5和 nrB3以及nrA6和nrB4均為有效規(guī)則.

然后，依次將防火墻B中的discard規(guī)則和防火墻A中的有效規(guī)則進(jìn)行比對(duì).例如，比對(duì)nrA3和nrB6，其中[3，4]∩[3，4]≠?，[3，8]∩[8，15]≠?，那么nrA3和nrB6重疊，因此nrB6為偽有效規(guī)則.根據(jù)上文雙向去冗余方法3），可得防火墻A中備選冗余規(guī)則為nrA1，nrA2和nrA4，防火墻B中備選冗余規(guī)則為nrB2，nrB5和 nrB7.在圖5中用虛線標(biāo)示出備選冗余規(guī)則.

最后，判定備選冗余規(guī)則是否為冗余規(guī)則，判定過程如圖5所示.rA5為有效路徑中編號(hào)最小規(guī)則，因此防火墻A的冗余規(guī)則為rA1，刪除之.同理，防火墻B的冗余規(guī)則為rB1，rB4和rB6，可刪除.

圖4 防火墻規(guī)則的提取過程Fig.4 The detection of rules in firewall

2 仿真實(shí)驗(yàn)

2.1 實(shí)驗(yàn)方法

在本實(shí)驗(yàn)中，實(shí)驗(yàn)對(duì)象是5組防火墻，分別為Econ，Host，Wan，Ath和Comp.每個(gè)防火墻均檢測(cè)規(guī)則的5個(gè)元素為：源IP地址，目的IP地址，源端口，目的端口和協(xié)議類型，并從協(xié)作防火墻規(guī)則冗余率和吞吐量?jī)蓚€(gè)方面來評(píng)估高吞吐量協(xié)作防火墻雙向去冗余方法.

圖5 協(xié)作防火墻的雙向去冗余過程Fig.5 Cooperative firewall bidirectional redundancy deletion

2.1.1 統(tǒng)計(jì)協(xié)作防火墻規(guī)則冗余率

我們?cè)谑褂秒p向去冗余方法優(yōu)化協(xié)作防火墻之前，統(tǒng)計(jì)各個(gè)防火墻的規(guī)則總數(shù)，標(biāo)記為N.然后再統(tǒng)計(jì)優(yōu)化后的協(xié)作防火墻規(guī)則總數(shù)，標(biāo)記為n.那么可知協(xié)作防火墻的冗余規(guī)則數(shù)量為N－n，其冗余率可定義為在實(shí)驗(yàn)中，為了方便辨認(rèn)統(tǒng)計(jì)數(shù)據(jù)，將入口防火墻A中冗余規(guī)則總數(shù)標(biāo)記為a，出口防火墻B中冗余規(guī)則總數(shù)標(biāo)記為b，入口防火墻A的規(guī)則總數(shù)標(biāo)記為｜FWA｜，出口防火墻B的規(guī)則總數(shù)標(biāo)記為｜FWB｜，入口防火墻A的冗余率標(biāo)記為出口防火墻B的冗余率標(biāo)記為協(xié)作防火墻整體的冗余標(biāo)記為θ在本實(shí)驗(yàn)中，將本文方法的實(shí)驗(yàn)結(jié)果與現(xiàn)有協(xié)作防火墻去冗余方法的實(shí)驗(yàn)結(jié)果進(jìn)行對(duì)比.

2.1.2 測(cè)量協(xié)作防火墻吞吐量

吞吐量是指防火墻在不丟包情況下能轉(zhuǎn)發(fā)的最大網(wǎng)絡(luò)數(shù)據(jù)包數(shù)量.防火墻作為內(nèi)外網(wǎng)之間的唯一數(shù)據(jù)通道，吞吐量的大小將直接影響到網(wǎng)絡(luò)的性能.因此，設(shè)計(jì)一種有效可靠的協(xié)作防火墻優(yōu)化方法是非常必要的.

為測(cè)量防火墻吞吐量，利用SmartBits6000C（SMB6000C）和 H3CS2126 24口交換機(jī)（H3C2126）來測(cè)試協(xié)作防火墻的吞吐量，測(cè)試設(shè)備、交換設(shè)備和控制臺(tái)的連接拓?fù)淙鐖D6所示.為了能精確測(cè)量?jī)?yōu)化后的協(xié)作防火墻吞吐量，我們采用二分法，其主要方法為：SMB6000C在每一對(duì)端口上，以全線速度（或測(cè)試設(shè)置中規(guī)定的速率）在測(cè)試設(shè)置規(guī)定的時(shí)間段內(nèi)生成傳輸流.如果任何端口上丟失包的話，SMB6000C就將負(fù)載減少50%并重新開始測(cè)試.然后，SMB6000C用二分搜索法搜索沒有包丟失發(fā)生時(shí)的最大速率.這個(gè)速率就是被測(cè)試設(shè)備的吞吐量，它是按測(cè)試設(shè)置中規(guī)定的每一種包長(zhǎng)度測(cè)試得出的.

圖6 實(shí)驗(yàn)拓?fù)鋱DFig.6 Experimental topology

先測(cè)量運(yùn)用雙向去冗余方法優(yōu)化前的協(xié)作防火墻吞吐量，再測(cè)量運(yùn)用本文方法優(yōu)化后的協(xié)作防火墻吞吐量，然后根據(jù)測(cè)量數(shù)據(jù)，計(jì)算統(tǒng)計(jì)出協(xié)作防火墻的吞吐量提高的百分比.

2.2 實(shí)驗(yàn)結(jié)果

通過大量仿真對(duì)比實(shí)驗(yàn)，驗(yàn)證了雙向去冗余方法能更有效可靠地去除協(xié)作防火墻中冗余規(guī)則，并提高了協(xié)作防火墻的吞吐量.表1為現(xiàn)有協(xié)作防火墻去冗余方法的實(shí)驗(yàn)結(jié)果.由于現(xiàn)有協(xié)作防火墻去冗余方法只去除了出口防火墻B中的冗余規(guī)則，所以每個(gè)防火墻組的入口防火墻A的冗余率均為0，平均總?cè)哂嗦蕿?.6%.表2為雙向去冗余的實(shí)驗(yàn)結(jié)果.由表2可得，域內(nèi)協(xié)作防火墻雙向去冗余方法在Econ，Host，Ath和Comp 4組協(xié)作防火墻中，均取得了明顯成效.在5組域內(nèi)協(xié)作防火墻檢測(cè)結(jié)果中，平均FWA冗余率達(dá)到了21.3%，平均總?cè)哂嗦蔬_(dá)到了22.7%.

表1和表2的實(shí)驗(yàn)結(jié)果表明，在協(xié)作防火墻中冗余規(guī)則是普遍存在的，需要設(shè)計(jì)一種有效可靠的方法來優(yōu)化協(xié)作防火墻.同時(shí)，對(duì)比2種方法中平均總?cè)哂嗦?，雙向去冗余方法的平均總?cè)哂嗦适乾F(xiàn)有協(xié)作防火墻去冗余方法的平均冗余率的兩倍多.因此，在減少協(xié)作防火墻整體規(guī)則數(shù)量方面，本文提出的雙向去冗余方法明顯優(yōu)于現(xiàn)有方法.

協(xié)作防火墻吞吐量的實(shí)驗(yàn)計(jì)算結(jié)果如圖7所示.運(yùn)用雙向去冗余方法去除協(xié)作防火墻的冗余規(guī)則之后，在同等條件下，每組防火墻的吞吐量均有所提高.5組協(xié)作防火墻平均吞吐量提高達(dá)到了8.2%，其中Host防火墻組的吞吐量提高20.1%.這說明域內(nèi)防火墻雙向去冗余方法能有效提高協(xié)作防火墻的吞吐量.

表1 現(xiàn)有協(xié)作防火墻去冗余方法的冗余率實(shí)驗(yàn)結(jié)果Tab.1 Redundant ratios for current redundancy deletion of cooperative firewall

表2 域內(nèi)協(xié)作防火墻中的冗余率實(shí)驗(yàn)結(jié)果Tab.2 Redundant ratios for domain cooperative firewall

圖7 域內(nèi)協(xié)作防火墻的吞吐量Fig.7 Throughput on domain cooperative firewall

3 結(jié) 論

本文提出一種高吞吐量協(xié)作防火墻的雙向去冗余方法，在提取有效規(guī)則的基礎(chǔ)上，能同時(shí)去除兩個(gè)防火墻中的冗余規(guī)則，明顯提高協(xié)作防火墻的吞吐量.

隨著網(wǎng)絡(luò)的發(fā)展，協(xié)作防火墻的研究將會(huì)是一項(xiàng)長(zhǎng)期的工作.在今后的工作中，我們將更深入研究域內(nèi)和跨域協(xié)作防火墻技術(shù)理論，重點(diǎn)是如何提高協(xié)作防火墻性能，以推動(dòng)協(xié)作防火墻技術(shù)的實(shí)用化和產(chǎn)業(yè)化.

[1] SHAER－AL E，HAMED H.Discovery of policy anomalies in distributed firewalls[C]／／Pro of IEEE INFOCOM2004.Hong Kong：IEEE，2004：2605－2616.

[2] CHENG J，YANG H，WONG S H，etal.Design and implementation of cross－domain cooperative firewall[C]／／Pro of the 2007IEEE International Conference on Network Protocols.Beijing：IEEE，2007：284－293.

[3] LIU A X，CHEN Fei.Collaborative enforcement of firewall policies in virtual private networks[C]／／Pro of 27th Annual ACM Symposium on Principles of Distributed Computing.Toronto：ACM，2008：95－104.

[4] CHEN Fei，BEZAWADA B，LIU A X.A cross－domain privacy－preserving protocol for cooperative firewall optimization[C]／／IEEE INFOCOM 2011.Shanghai：IEEE，2011：2903－2911.

[5] YUAN L，CHEN H，MAI J，etal.Fireman：a toolkit for firewall modeling and analysis[C]／／Pro of IEEE Symposium on Security and Privacy 2006.Berkeley：IEEE，2006：199－213.

[6] LIU A X，MEINERS C R，YUN ZHOU.All－match based complete redundancy removal for packet classifiers in TCAMs[C]／／IEEE INFOCOM2008.Phoenix：IEEE，2008：574－582.

[7] LIU A X，GOUDA M G.Complete redundancy removal for packet classifiers in TCAMs[J].IEEE Transactions on Parallel and Distributed Systems，2010，21（4）：424－437.

[8] LIU A X，CHAD R M，ZHOU Yun.All－match based complete redundancy removal for packet classifiers in TCAMs[C]／／Pro of the 27th Annual IEEE Conference on Computer Communications （INFOCOM）.Phoenix，Arizona：IEEE，2008：574－582.

[9] LIU A X，GOUDA M G.Diverse firewall design[C]／／Pro of the IEEE International Conference on Dependable Systems and Networks.Florence，Italy：IEEE，2004：595－604.

[10] GOUDA M G，LIU A X.Firewall Design：consistency，completeness and compactness[C]／／Pro the 24th IEEE International Conference on Distributed Computing Systems （ICDCS）.Tokyo，Japan：IEEE，2004：320－327.