摘要
路由器、防火墙、IPSec网关和NAT等网络设备是使用访问控制列表配置的。然而,最近的研究和ISP调查表明,访问控制配置的管理是一项非常复杂且容易出错的任务。如果没有自动化的全局配置管理工具,由于网络设备配置错误而导致的不可访问性和不安全性问题变得越来越可能。
在本报告中,我们提出了一种新的方法,该方法模拟网络中访问控制设备的全局端到端行为,包括路由器、防火墙、NAT、单播和多播数据包的IPSec网关。我们的模型将网络表示为状态机,其中包头和位置决定状态。该模型中的转换由被建模设备的包头信息、包位置和策略语义决定。我们使用二进制决策图(BDD)用布尔函数编码访问控制策略的语义。
我们扩展了计算树逻辑(CTL)以提供更有用的操作符,然后使用CTL和符号模型检查来调查该数据包在网络中的所有未来和过去状态,并验证网络可达性和安全要求。该模型是在一个名为ConfigChecker的工具中实现的。我们特别考虑了如何确保高效且可扩展的实现。我们对各种网络和策略大小的广泛评估研究表明,ConfigChecker具有可接受的计算和空间需求,具有大量节点和配置规则。
