Эффективный алгоритм разрешения коллизий в правилах политики безопасности

Межсетевой экран является основным классическим инструментом для контроля и управления сетевым трафиком в локальной сети. Его задача — сравнивать проходящий через него сетевой трафик с установленными правилами безопасности. Эти правила, которые часто также называют политикой безопасности, могут быть определены как до, так и во время работы межсетевого экрана. Управление политикой безопасности крупных корпоративных сетей является сложной задачей. Для того чтобы правильно ее реализовать, правила фильтрации межсетевого экрана должны быть написаны и организованы аккуратно и без ошибок. Кроме того, процесс изменения или вставки новых правил должен выполняться только после тщательного анализа отношений между изменяемыми или вставляемыми правилами, а также правилами, которые уже существуют в политике безопасности. В данной статье авторы рассматривают классификацию отношений, в которых могут находиться правила политики безопасности между собой, и дают определение возможных коллизий между ними. Авторы представляют также новый эффективный алгоритм обнаружения и устранения коллизий в правилах межсетевого экрана на примере контроллера ПКС Floodlight.

1. Al-Shaer E., et al., "Automated Firewall Analytics. Design, Configuration and Optimization", Proceedings of 2016 IEEE Trustcom/BigDataSE/ISPA, 2014, 15-18.

2. Abedin M., Nessa S., Khan L., Thuraisingham B., "Detection and Resolution of Anomalies in Firewall Policy Rules", Data and Applications Security XX, Springer, 2006, 15-29.

3. Morzhov S., Nikitinskiy M., "Development and research of the PreFirewall network application for Floodlight SDN controller", 2018 Moscow Workshop on Electronic and Networking Technologies (MWENT) (Moscow, March 14-16), 2018, 1-4.

4. Morzhov S., Sokolov V., Nikitinskiy M., Chaly D., "Building a Security Policy Tree for SDN Controllers", 2018 International Scientific and Technical Conference Modern Computer Network Technologies (MoNeTec) (Moscow, October 25), 2018, 1-6.

5. Morzhov S., Alekseev I., Nikitinskiy M., "Firewall application for Floodlight SDN controller", XII International Siberian Conference on Control and Communications (SIBCON-2016) (Moscow, May 12-14), 2016, 1-5.