消防员

消防员:防火墙建模和分析的工具包。在网络化系统中,安全问题变得越来越重要。防火墙为网络安全提供了重要的防御。然而,防火墙中的错误配置是非常常见的,并且显著削弱了所需的安全性。本文介绍了一个防火墙建模与分析的静态分析工具包Fixman。通过将防火墙配置视为专门的程序,Fixman应用静态分析技术来检查单个防火墙和分布式防火墙之间的错误配置,例如策略违反、不一致性和低效性。消防员对所有可能的IP数据包和所有可能的数据路径执行防火墙配置的符号模型检查。由于防火墙配置的有限状态属性,它既完好无损又完整。利用二元决策图(BDDS)对防火墙规则进行建模,成功地用于硬件验证和模型检测。我们已经试用了Fixman,并使用它来揭示企业网络中的几个真正的错误配置,其中一些已经被这些网络的管理员确认和更正。