王一飞

——本人2008年1月第一作者发表于中文核心期刊《计算机工程》Vol.34 No.2


（收稿日期：2007-01-30）


摘 要：分析过量规则对网络访问控制设备性能的影响，讨论针对这一问题的解决方法。基于优化规则、多设备分担负载的思想，提出IP编组与访问控制分离、管理与优化分离的串接-两分离访问控制法，设计了相应的双防火墙串接设备部署方案和超越应用的规则编组优化方案。物理仿真实验验证了串接-两分离访问控制法的可行性与优越性。


关键词：网络访问控制；过量规则；串接-两分离访问控制法；规则编组优化


Network Access Control Method with Excessive Filtering Rules


【Abstract】After analyzing the excessive filtering rules, a solution to increase the performance of network access control equipment is proposed.Based on ideas of optimizing rules and load balance of multi-equipment, the approach of Serial Double-separation Access Control(SDAC) method isput forward. In this method, organizing source IP into groups (control of source address) is separated from opening access port (control of service),and the management of firewall is separated from the optimization of access control. Double firewall serial setting scheme for the first separation andoptimizing rules scheme for the second separation are designed. Feasibility and superiority of SDAC are proved by physical simulation experiments.


【Key words】network access control; excessive filtering rules; Serial Double-separation Access Control(SDAC) method; optimizing rules


1 网络访问控制及其设备性能

访问控制技术是保证计算机安全最重要的核心技术之一，是维护计算机系统安全、保护计算机资源的重要手段。主流的访问控制方法包括MAC地址过滤、VLAN隔离、交换机路由器上的ACL列表、防火墙控制等。其中，防火墙是一种功能性能最佳的访问控制产品[1]。


衡量网络访问控制设备性能的指标主要有吞吐量、并发连接数、时延等，而从具体运行监控数据看，一台访问控制设备的CPU、内存使用情况则直观地反映了系统的实际性能状况。


在实际信息网络中，网络流量过大、并发连接过多、数据包长过小、访问规则过多都可能导致防火墙或其他访问控制设备的CPU、内存超过警戒线，工作不正常[2]。


2 过量规则现象的产生及其对设备性能的影响


2.1 规则过量的定义


所谓规则过量，是指访问控制设备上的控制规则数超出了设备实际能够承受的量。作为性能最为强大的访问控制设备，市场上主流防火墙的理想访问规则数，一般不能超过万条，过多的规则在编译时会带来过量的系统开销。而其他访问控制设备对访问规则数量的承受能力则更弱。


防火墙的核心访问控制技术包括状态检测和包过滤，而其他访问控制设备则主要使用包过滤技术。由于工作原理不同，状态检测技术比包过滤技术对规则数量的承受能力要强。


2.2 规则过量现象产生的可能性


在通常环境下，规则过量现象并不常见，但在一些特定的部署条件下，确实会出现流量、并发连接数均可让用户接受但访问规则过量的情况，这包括：(1)大型企业全国数据集中时多点访问总数据中心，而又未能附以身份认证等机制，完全靠防火墙承担访问源限制、服务限制双重控制，由此产生过量规则。(2)企业广域网拓扑不合理、IP规划不当带来的由一部防火墙承担过多规则导致规则过量问题。(3)由于拓扑的特殊性只能在路由器等性能相对较弱的设备上进行访问控制，带来承受规则数量能力不足的问题。(4)由于访问特点，无法使用状态检测技术，只能使用包过滤技术，原本使用状态检测技术并不过量的规则却令使用包过滤技术的设备无法承受。


2.3 规则过量对设备性能的影响


过量的访问控制规则，会令访问控制设备的性能受到严重影响，系统的CPU和内存使用率会随着规则数的增加大幅提升，设备读取控制列表的时间周期增加，数据转发的速度变慢，使访问控制设备成为网络中的速度瓶颈和故障易发点。


3 设备过量规则解决思路研究


3.1 规则过量解决方法的误区


对于如何解决规则过量问题，通常存在这样一个误区，即使用把源IP、目的IP或端口编组的方法，归并减少规则总条数。


但是根据作者对产品的调研，由于不同类型防火墙的生产工艺、硬件工作机理不同，并非所有硬件类型的防火墙都能够在编组后节省系统开销。那些不受编组影响的防火墙，编组后的规则在设备运行编译时，将被一一拆解开，恢复原有的条数，所以不能减轻设备所面临的规则过量压力。
例如，有100个源IP地址，欲访问1个目的IP地址的10个端口，不编组需要写1 000条访问控制规则。通过编组，可以把规则简化为100+10条，但实际经过编译，防火墙上仍在执行100×10=1000条规则。


3.2 规则过量解决思路研究


解决规则过量问题，最根本的方法应该是减少对规则的需求，相应的措施有：(1)使用VPN或有关专用设备实现身份认证，而防火墙等访问控制设备专职进行服务(端口)的控制。(2)合理规划网络IP，使防火墙上可以使用掩码技术来减少规则的设置。但是，以上方法都属于在访问控制设备之外的工作，成本高，周期长，更需要网络建设者通盘规划。


如果只在被保护安全域本身进行改进，可以这样考虑：既然规则过量的后果是导致一台访问控制设备无法承受，而一台墙上的规则编组又不能缓解设备承受的压力，那么解决的思路自然是用多台设备分担压力。


多台设备部署的直观思路有两种：(1)站在总数据中心的角度，在广域网的各个远端分支机构网络出口实施访问控制。(2)在总数据中心并联部署多台防火墙，将访问来的流量分开导向不同设备，多台墙分担压力。


以上两种方法具有可行性，但存在缺点。前者过于分布的部署不便于管理员进行集中管理，安全隐患大。后者具有并联思想的固有缺点，即在数学上属于加减法，只能靠累加设备来增强处理能力，较宜用在流量分担上，用在规则分担上成本高。另外，为了配合后者的方法，在路由上还需配合实施较复杂的数据分流。


区别于上述解决思路，笔者提出了在原墙外侧串接防火墙分担压力、间接实现IP分组策略的串接-两分离访问控 制法。


3.3 串接-两分离访问控制法的提出与论证


3.3.1 串接-两分离访问控制法的提出


本文提出的串接-两分离访问控制法的核心思想是IP编组与访问控制分离、管理与优化分离。较之并联分担压力的思想，本方法在数学上属于乘除法。本方法在国内外相关文献上未见报道。


(1)IP编组与访问控制分离


考虑到将分担压力的访问控制设备部署在远端分支机构不能有效管理，将分担压力的设备放在本地，即在网络流量经过处串联部署两台访问控制设备，分为外侧、内侧两台。首先根据访问目的和端口对源IP进行分组，外侧一台专职对源IP按编好的组进行分组NAT，NAT后获得的数量大幅少于原始输入地址的新地址提供给内侧设备，内侧一台则专职进行数据过滤。而对于自内向外的访问，在外侧墙上可以使用端口映射技术实现。


(2)管理与优化分离


IP编组本身是一种非常复杂的技术，因为在编组过程中，可管理性和最优化是一组矛盾的属性，不易找到可管理与优化的平衡。可管理性与冗余度是成正比的，而编组工作打破各种界限做得越彻底，访问控制列表的冗余性就越低，可管理性越差。将管理与优化分离的方法，配备两套访问控制策略列表，一套用于管理查询追求可管理，一套用于墙上实际运转追求最优化，两套表格通过相互翻译的方法保持一致。


串接-两分离访问控制法中的两种分离，IP编组与访问控制的分离侧重硬件设备的分离，称为硬分离；管理与优化的分离侧重于软件算法中不同属性的分离，称为软分离。


3.3.2 串接-两分离访问控制法的论证


串接-两分离访问控制法的可行性体现在：(1)物理设备支持这样的部署：如果使用防火墙，其NAT消耗的资源与数据过滤的基本相当，故串接-两分离访问控制法可以支持两墙上各数千条的NAT转换和规则；(2)能够有效减小设备压力：如3.1节中的例子，使用串接-两分离访问控制法，外侧设备承担100条规则的性能压力，内侧设备承担10条性能压力，这样两台设备的总压力为100+10=110<1000；(3)可用双机热备防范串接所带来的单点故障。
串接-两分离访问控制法的优越性体现在3个方面：

(1)便于有效管控：分担压力的设备放在本地，防止异地设备的不可控。

(2)节省成本：较之3.2节提到的直观思路1，在本地部署的成本要明显低，较之直观思路2，使用2台墙的成本明显低于多台墙。

(3)软分离可以解决管理与优化的固有矛盾。


4 串接-两分离访问控制法的具体设计


4.1 串接-两分离访问控制法的整体设计


串接-两分离访问控制法的整体设计方案可见图1。






4.2 管理、优化分离与超越应用的规则编组优化方案


按照软分离的思路，作者将管理优化分离的方案具体设计如下：

(1)建立两张防火墙总表，分别命名为管理表和优化表，两者的访问控制作用等价。管理表供接受申请时登记使用、接受信息审计使用，优化表于防火墙实际配置时使用。

(2)接到一份新规则变更申请时，填入管理表，管理表中力求保持申请原状，以可管理为立足点，不顾及冗余。

(3)将管理表翻译成优化表，优化表力求优化规则，大幅度合并可编组的IP，不惜打破原有远端地域、应用系统的界限，以优化为立足点。

(4)按照优化表配置内侧外侧防火墙或其他访问控制 设备。


4.3 IP编组、访问控制分离与双防火墙串接设备部署方案


如图1所示，在硬分离方面，防火墙或其他访问控制设备采用串联的方式部署于网络中，外侧设备对优化表中编好的组进行分组NAT，并设置好相关端口映射以处理由内向外的数据。


在这一NAT过程中，针对的是一系列不规则的IP组，每组IP少至3个~4个，多可达100个以上，最终形成若干IP组。


经过这一过程，因为有优化表的充分优化做保障，笔者获得NAT后的IP数量将大幅少于原始输入地址提供给内侧设备，内侧设备专职进行对目的端口、目的IP的访问控制。


5 串接-两分离访问控制法的物理仿真实验


5.1 物理仿真方案设计与环境搭建


笔者依托某国内著名防火墙厂商的专业测试实验室进行了串接-两分离访问控制法的物理仿真实验。本实验侧重于观测由外部网络访问内部网络的数据流。


实验分为两步：(1)使用一部防火墙在网络中承受过量规则的压力，测试其能够承受的极限。(2)使用两部防火墙按本文方法部署，测试其对一部墙不能承受的规则压力的反应。


实验选择的主要技术参数与设备参数为：网络流量150 Mb/s、并发连接数2×104、规则数量为变量；测试仪为IXIA-400T，防火墙额定端口吞吐量为1 GB。


5.2 物理仿真过程与数据




图2是第1步的测试环境，防火墙的ETH0与ETH1处于透明模式，用IXIA的1、2口打150 Mb/s的流量；IXIA的3, 4口建立10 000条规则的TCP连接，然后连接数以 10 000为单位递增，达到40 000条时设备无法工作。测试结果如表1所示。





图3是第2步的测试环境，主要参数与第1步时相同，只是在防火墙方面采用了负载分担的方案。





首先在up防火墙(外侧设备)上作600条地址转换，在down防火墙(内侧设备)上作100条访问控制，然后以100为单位逐步减小up墙的NAT数，这样模拟的正是第1步测试中的40 000、30 000、20 000条规则的一系列测试，并实现了上一测试中不能实现的50 000、60 000条情况。


测试结果见表2、表3，其中由于10 000条规则分离时up墙CPU有时会高于一台墙独立工作的数据，因此测试了多次，得到了一个范围值。





5.3 数据分析与研究


分析上述数据可以得知：

(1)增加流量和连接数时最受影响的是CPU，当流量或者连接数达到一定数量时CPU的利用率为100%，可见防火墙的过量规则确实会对系统性能带来影响。本实验中使用的吞吐量较小，如果增大，影响会更大。

(2)使用“串接-两分离访问控制法”，可以有效减小两部墙各自的规则压力，具备可行性。

(3)使用“串接-两分离访问控制法”可以规则过量时有效控制CPU的使用率，规则数量越大效果越明显，较之单墙工作可以大幅提高规则承受能力，体现出优越性。

(4)本物理仿真实验只选了最典型的情况来测试压力分担工作，对于4.3节提到的非规律编组情况未作测试，但该情况与本实验属性相同，可同理推证出“串接-两分离访问控制法”在非规律编组时也具有可行性和优越性。

(5)虽然实验只测试了从内到外的数据流，但同理可以证明从外到内的数据在本方法下也具有可行性。


6 结束语



本文提出了IP编组与访问控制分离、管理与优化分离的“串接-两分离访问控制法”。由此展开的研究工作，为过量规则下网络访问控制的方法提出了一种新型解决思路，并通过了实验室的物理仿真验证，可供在特定条件下的网络环境中参考部署。


参考文献


[1] Tanenbaum A S. Computer Networks[M]. 4th ed. New Jersey: Prentice Hall, 2003.

[2] Pfleeger C P, Pfleeger S L. Security in Computing[M]. 3rd ed. New Jersey: Prentice Hall PTR, 2002.