跨域防火墙提高网络性能的隐私保障优化协议研究综述

Trupti V Inamdar¹， R. M. Goudar教授²

印度浦那大学MITAOE学生
印度浦那大学MITAOE副教授

摘要

防火墙已经成为Internet上为保护私有网络而部署的最重要的部件。优化防火墙规则对于提高网络性能至关重要。关于防火墙优化的早期工作主要集中在一个管理域中的防火墙内部或防火墙之间的优化，其中不考虑防火墙策略的私密性。需要关注的主要技术挑战是防火墙策略不能跨域公开，因为防火墙策略包含秘密信息甚至潜在的安全漏洞，攻击者可以很容易地利用这些信息。建议的工作首先涉及保存防火墙策略和优化它们的协议。特别是，对于属于两个不同管理域的任何两个相邻防火墙，该协议可以识别每个防火墙中可以因另一个防火墙而删除的规则。这个优化过程涉及两个防火墙之间的计算，而不需要任何一方将其策略透露给另一方。优化过程降低了通信成本。该协议不需要额外的在线数据包处理开销，离线处理时间也短。

关键字

防火墙优化，隐私，冗余，安全，IP网络

I.INTRODUCTION

防火墙广泛应用于各种机构、组织、个人网络等。所以，保护防火墙已经
成为一种需求，从而为网络提供安全保障。在这个互联网的世界里，防火墙被设置在
私有网络的入口点，提供对网络的安全访问。这意味着它会
检查每一个进入网络的数据包或从网络发出的数据包。根据
网络设计的策略将接受或丢弃数据包。设计策略就是设计策略的顺序
规则，并基于这些规则防火墙将执行其功能。我们将这些规则集称为访问控制列表(ACL)。
该列表在规则表中组织。每个规则对报文报头字段有条件，并决定是否接受
或者拒绝该数据包。当数据包根据策略中规则的第一个匹配到达系统时，将作出决策。
防火墙中的规则数量对网络的吞吐量影响很大。的急剧增长
随着互联网上部署的各种服务，防火墙策略的规模迅速增长。因此，它是
需要优化防火墙策略以提高网络性能。

之前关于防火墙优化的工作只展示了防火墙内部优化[2]、[3]或防火墙间优化
优化。这是在一个没有防火墙策略保密性的管理域中观察到的
考虑到。防火墙内优化是指对单个防火墙进行优化，使策略最小化。它是
通过删除冗余规则[3]或重写规则[2]，[4]，[5]来实现。之前关于防火墙间的工作
优化需要两个防火墙策略，而不提供任何隐私保护，因此只能使用它
在单个管理域中。但实际上，两个防火墙属于不同的管理系统是很常见的
域之间不能共享策略。保持这种防火墙策略的机密性是很重要的
因为防火墙策略可能与容易被攻击者利用的安全漏洞相关联。这是
发生的原因是大多数防火墙都配置错误。机密性之所以重要的另一个原因是，防火墙策略通常包含机密信息，例如服务器的IP地址，攻击者可以滥用这些信息来攻击
发动更精确的攻击。

2防火墙优化调查

A.跨域防火墙优化

漫游用户使用隧道来保持通信的私密性，例如虚拟专用网，但是这种流量
由于其加密性质，国外网络防火墙没有适当地检查和控制。因为这些
攻击可能会发生。防止这两种方法可以采用在第一，用户释放自己的网络到国外网络
在第二种情况下，该网络可能会向隧道端释放防火墙规则。但实际执行这两个
方法是不可能的。提出的解决方案为我们提供了一个虚拟私有的跨域合作防火墙
网络应用防火墙策略对虚拟专用网隧道进行加密，保证远端安全
网络的防火墙策略。他们实际上在网络上分布防火墙的基本规则，他们的结果表明了这一点
该技术可以保护外部网络免受加密隧道的侵害。通过使用与上述相同的技术Alex X. Liu Fei
Chen，提出了一种新的技术，在不了解彼此的情况下，消除防火墙间存在的冗余规则
政策。他们提出了一种类型的保护框架，他们在其中协同工作并执行防火墙
政策。这个解决方案比拟议的跨域合作防火墙(CDCF)更好，因为加密
CDFC技术比Alex X. Liu Fei提出的包的线性搜索技术慢3个数量级
处理比使用防火墙决策图花费更多时间。所以这个技术比之前的好。

以往的工作都是在一个管理域中优化防火墙间或防火墙内
不考虑策略的隐私度量。内部防火墙优化工作在单个防火墙，其中我们
可以通过删除冗余或重写这些冗余规则来实现防火墙优化。但工作
在此基础上，要求一个防火墙公开其与其他防火墙的策略，或者一个防火墙应该知道另一个防火墙的策略。
但在实际应用中，存在于不同域中的防火墙不可能没有任何共享。因为防火墙包含安全
保持防火墙策略的信心是非常重要的。所以，Fei Chen, BezawadaBruhadeshwar和Alex X. Liu [1]
提出了一种协作环境下具有隐私保护的跨域优化技术。要做到这一点
首先提出了两种检测技术，分别给出了一种新颖的检测方法和一种检测协议
在防火墙中的冗余去除，在第二部分中，他们重点讨论了冗余规则的去除。但是,尽管
在设计该协议时，他们考虑了两个防火墙是半诚实的威胁模型。他们首先转换
每个防火墙分成不重叠的规则序列。在此之后，他们会进行范围比较以保护隐私。在
其次，对单个规则冗余进行检测，对多个规则冗余进行检测，最后去除冗余
防火墙冗余。该技术适用于数千条规则，最多可去除2000条规则冗余
保护防火墙隐私是主要问题，因为两个防火墙都不需要告知策略。在这个
研究表明，从一个防火墙到第二个防火墙的优化和反向的优化也是可行的。
Fei Chen, BezawadaBruhadeshwar和Alex X. Liu在评估该协议后获得了巨大的结果。他们
该协议在真实防火墙和合成防火墙上均有较好的应用效果。他们对五组学生进行了评估
防火墙。每个将检查五个重要的字段，如源IP地址，目的IP地址，源和
目的端口地址、源协议和目的协议。规则的数量从一个到多个，用于做什么
加密他们使用了波灵-海尔曼算法[1]。提出的协议是有效的处理和
比较真实防火墙和合成防火墙。同时也有效地降低了真实与合成之间的通信成本
防火墙。这样既保护了规则的私密性，又在两种不同的管理方式下对防火墙进行了优化
域是要做的。

3提出工作

A.防火墙冗余移除

之前关于删除防火墙内冗余的工作主要集中在检测单个防火墙内的冗余规则
防火墙[3]。删除冗余需要两种防火墙策略的知识，因此这是适用的
仅到单个管理域。该系统从不同的角度对防火墙进行优化
域。

B.系统模型

防火墙是规则的有序列表，每个规则都有字段的谓词和匹配数据包的决策
谓词。通常防火墙会检查五个字段，源IP地址、目的IP地址、源端口地址、
目的端口地址和协议类型。防火墙决策通常包括接受、丢弃、接受并记录日志
并使用日志丢弃。本文主要研究防火墙的接受和丢弃规则。

C.保护隐私防火墙间冗余删除

所提出的用于检测防火墙2中防火墙间冗余规则的隐私保护协议
防火墙。为了做到这一点，将每个防火墙转换为等效的不重叠规则序列，因为
不重叠的规则集等于匹配的规则集。

建议的系统架构

图显示了拟议工作的系统架构。防火墙策略文件，其中包含各种规则
接受的数据包被识别，并通过使用加密技术提供安全
传播[6]。识别和更新冗余规则。防火墙的处理是针对两个防火墙进行的
来自不同的领域。更新的防火墙策略是通过优化来定义的。

五、结论和未来范围

在本文中，我们识别和研究了在检测冗余以保存数据时出现的问题
防火墙策略。所提出的协议通过检测和删除冗余来保护隐私。保持
私有规则保密加密技术在一个管理领域和两个不同的管理领域都有应用
管理域。防火墙的优化可以通过删除规则中的冗余或重写规则来实现
这些规则。在提议的工作规则优化中，从一个防火墙到另一个防火墙，反之亦然
提高两个防火墙的加载性能。该系统降低了通信成本
处理开销。

数字一览

图1

参考文献

范陈;Bruhadeshwar b;刘a.x .，“跨域隐私保护合作防火墙优化，”网络，IEEE/ACMTransactions，第21卷，no. 213.，pp.857,868, June 2013.

董q, S. Banerjee，王杰，D. Agrawal, A. Shukla。三元cam中的包分类器可以更小。在ACM SIGMETRICS2006年,pages311 - 322。

刘,A.X.;Gouda, m.g.，“tcam中包分类器的完全冗余去除”，并行和分布式系统，IEEETransactions，第21卷，no. 214，pp.424,437, April 2010.

Meiners C.R.;刘,A.X.;Torng, E，“TCAM剃刀:TCAM中最小化包分类器的系统方法，”NetworkProtocols, 2007年。ICNP 2007。IEEE国际会议， vol.， no。，pp.266,275, 16-19 Oct. 2007.

刘,A.X.;Torng大肠;Meiners, c.r.，“防火墙压缩器:最小化防火墙策略的算法”，INFOCOM 2008。第27届计算机通信会议。IEEE， vol.， no。，pp.,, 13-18 April 2008.

k·h·d·r·萨福德和d·l·沙尔斯。TELNET和FTP的安全RPC认证(SRA)。中欧。代表,1993。

S. Singh, F. Baboescu, G. Varghese和J. Wang。使用多维切割的数据包分类。在ACM SIGCOMM,2003年。

美国阿;王,j .;ZihuiGe;Znati T.F.;Greenberg, Albert，“流量感知防火墙优化策略”，通讯,2006年。刑事法庭06年。IEEE国际会议，第5卷，no。，pp.2225,2230, June 2006.

Shaer和H. Hamed，“用于异常检测和规则编辑的防火墙策略顾问”，载于《集成管理程序》，2003年。

Jerry Cheng，杨浩，Starsky H.Y. Wong, PetrosZergos，陆松武，“跨域防火墙的设计与实现”，2007,IEEE。

Shaer和H. Hamed，“分布式防火墙中策略异常的发现”，载于《IEEE INFOCOM》，2004年。

S. loannidis, A. Keromytis, S. Bellovin和J. Smith，“实现分布式防火墙”，载于Proc. ACM CCS, 2000。

J. Lee, J. Jeon，和K. Yoo，“防火墙中保护安全策略的安全方案”，SIGOPS操作系统评论，第38卷，第2页。69 - 72年,2004年。

P. Gupta和N. McKeown，“分组分类的算法”，ieeennetwork，第15卷，no. 2。2，页24- 32,2001。

B. Hore, S. Mehrotra和G. Tsudik，“用于范围查询的隐私保护索引”，见Proc. VLDB, 2004。