[发明专利]跨域协作防火墙中的分段冗余检测方法

摘要

本发明公开了一种应用于跨域协作防火墙中的分段冗余检测方法，跨域协作防火墙包括部署在不同的网络管理域Net1和Net2中相互协作执行安全策略的两个防火墙FW1和FW2，其中通信流量从FW1到FW2。对于FW2中的某条规则r，如果所有的数据包与FW2中的规则r匹配，但不与r之前的任一条规则匹配，且这些数据包被FW1丢弃，r相对于FW1而言是防火墙间的冗余规则。本发明所述的冗余检测方法，基于现有的跨域协作防火墙冗余检测方案，在隐私保护的前提下，对防火墙规则集发生更新时的处理过程做出改进，大大提高了冗余检测的效率，节约了冗余分析时两个网络管理域之间数据传输的通信成本。

主权项

一种应用于跨域协作防火墙中的分段冗余检测方法，跨域协作防火墙简称CDCF，所述CDCF是指部署在不同的管理域Net1和Net2中的防火墙FW1和FW2，通信流量从FW1到FW2，所述冗余是指对于FW2中的某条规则r，如果所有的数据包与FW2中的规则r匹配，但不与r之前的任一条规则匹配，且这些数据包被FW1丢弃，r相对于FW1而言是防火墙间的冗余规则，其特征在于，所述分段冗余检测方法基于现有的防火墙间冗余检测方案，通过缩减冗余检测过程中需处理的数据规模，来降低冗余检测的处理时间、比较时间与通信成本，以解决动态更新的CDCF造成的冗余检测速度慢、开销大的问题，该方法包括以下步骤：步骤1：若FW1和FW2在构成CDCF后，从未进行过防火墙间的冗余检测，则执行首次防火墙间的冗余检测方案，分别进行步骤2和步骤3；若FW1和FW2已完成首次防火墙间的冗余检测，则分析FW1和FW2的更新情况：【场景1】FW1更新，FW2保持不变，进行步骤2；【场景2】FW2更新，FW1保持不变，进行步骤3；【场景3】FW1和FW2同时更新，则将FW1和FW2视为两个新的防火墙，按照首次防火墙间冗余检测方案，分别进行步骤2和步骤3；步骤2：本步骤的目的是转化FW1，FW1的转化过程包含以下9个子步骤：(1)运行“关联规则查找算法”，查找FW1中与更新规则相关联的规则子集S1；(2)根据S1构造防火墙决策图子图，简称SFDD，并通过合并同构子图来进一步简化SFDD的规模，对于首次防火墙间的冗余检测，节点u指向节点v的每条边e，是一个非空整数区间，记为I(e)；节点v的所有输出边界的集合，记为E(v)；此时需记录SFDD的第一个节点v1所有的输出边界上边界值的并集对于更新场景下的【场景1】，记录SFDD的第一个节点v1所有的输出边界的边界值并将其与中未更新的范围子集做并集运算，求出新的节点v1所有的输出边界上边界值的并集(3)Net1从SFDD中抽取所有的非重叠丢弃规则；(4)Net1将抽取到的每条非重叠丢弃规则中每一个字段Fk的取值范围[a′,b′]转化为一个等价的最小前缀集，用表示，其中k表示字段的顺序号；(5)Net1计算所有非重叠丢弃规则中得到的最小前缀集的并集；(6)Net1数值化每个前缀并用K1加密，然后将K1加密后的前缀发送给Net2；(7)Net2用K2进一步加密这些前缀然后将K1、K2双重加密后的前缀发送回Net1；K1表示一个密钥，K2表示另一个密钥；(8)Net1根据这些双重加密前缀重建非重叠规则；(9)Net1给每一条重建的非重叠规则分配一个独一无二的随机索引；该索引将被用于后期的冗余检测过程；FW1转化完成后，Net1从FW1获得一系列“双重加密非重叠规则”，用表示双重加密规则，其中Fi表示字段，1≤i≤d，i表示防火墙FW1字段的顺序号，d表示防火墙FW1字段的总数；表示一组双重加密数值，然后，进行步骤4；步骤3：本步骤的目的是转化FW2，FW2的转化过程包含以下7个子步骤：(1)对于更新场景下的【场景2】，根据上一次防火墙间的冗余检测的结果，记录更新后的规则集中上一次被判定为冗余的那些规则的序列号，用∪rm表示，1≤m≤n，m表示规则的顺序号，n表示规则的总数；且FW2:<r1,…,rn>，注意，对于首次防火墙间的冗余检测，则跳过此环节，直接进入FW2转化过程中的第(2)步；(2)运行“关联规则查找算法”，查找FW2中与更新规则相关联的规则子集S2；(3)根据S2构造全匹配的防火墙决策图子图，简称all‑match SFDD，对于首次防火墙间的冗余检测，记录all‑match SFDD的第一个节点v1所有的输出边界上边界值的并集对于更新场景下的【场景2】，记录all‑match SFDD的节点v1所有的输出边界的边界值并将其与中未更新的范围子集做并集运算，求出新的节点v1所有的输出边界上边界值的并集(4)Net2从all‑match SFDD中抽取所有的非重叠规则，并将每一条非重叠规则中每一个字段Fk的取值范围[a,b]用前缀族格式和表示；(5)Net2计算每一个字段Fk下在所有非重叠规则中得到的前缀族的并集，再将这些前缀族用多个前缀表示，表示方法是：用x表示a的二进制位长，则前缀族由x+1个前缀组成，将x中的最后i‑1位用*替换可获得第i个前缀；(6)Net2数值化每个前缀并用K2加密，并将K2加密后的前缀发送给Net2；(7)Net1用K1进一步加密这些前缀；FW2转化完成后，Net1从FW2获得d组双重加密数值，用Τ1…Τd表示FW2中d组双重加密数值集，然后进行步骤4；步骤4：覆盖冗余检测：对于FW1的每一个字段Fi以及FW2的双重加密数值集Τi中的每一个数值a，Net1检测是否存在一条双重加密规则满足如果规则ri满足条件，那么Net1将a和规则索引i关联起来，如果条件不满足，Net1则将a与空集关联；最终Net1用与Τ1…Τd中的每个数值相对应的规则索引集替换这些数值，并将其发送到Net2；Net2根据接收结果，找出与每一个前缀族重叠的规则索引，对于FW2中的某条非重叠规则nr，如果它所有的前缀族都与FW1中的同一条丢失规则nr′重叠，则nr被nr′覆盖，那么nr是冗余的；步骤5：鉴于前面的步骤，Net2可识别出FW2中冗余的非重叠规则，接下来Net2需要识别出哪些原始规则是防火墙间的冗余规则，因为FW2的all‑matchSFDD中的每条路径都对应一条非重叠规则，我们称那些和冗余的非重叠规则对应的路径为冗余路径，剩下的路径称为有效路径，Net2根据“防火墙间冗余规则判定标准”识别出FW2中相对于FW1的防火墙间冗余规则集Rnew，判定标准如下：给定无内部冗余的防火墙FW2:<r1,…,rn>和它的all‑match SFDD，当且仅当满足以下两个条件时，FW2中的规则ri相对于FW1来说是防火墙间的冗余规则：(1)存在一条冗余路径，其终端节点包含序列号i，(2)不存在终端节点包含i为最小元素的有效路径；对于更新场景下的【场景2】，此时还需要利用此时得到的Rnew、步骤3中得到的∪rm以及S2，使用“比较与合并冗余规则算法”，得到最终的完整的FW2中相对于FW1的防火墙间冗余规则集。