Transcript Click
分散ファイアウォールにおける 負荷の軽減 201002678 大畑 嵩 研究の背景 • セキュリティ対策としてファイア ウォールは重要である • ファイアウォールの設置方法 は集中型と分散型の2種類が ある • 分散型はセキュリティ強化とし て注目されているが、負荷の 増加が問題となっている。 分散型ファイアウォール • 内部からの攻撃に対する防御 • 部署ごとに異なるセキュリティポリシーの設定が可能 • 上位層のファイアウォールには集中型と同じ負荷がかかる • 上位層の負荷の増加による遅延は下位層にも影響を与える パケットフィルタリング ルールと送られてきたパケットを検査し、そのパ ケットの動作(通過させるか破棄するか)を決定 する。 パケット • • • • • • インターフェース 送信元IP 宛先IP プロトコル 宛先ポート その他 許可 破棄 パケットフィルタリング ルールチェーン内の早い行から順番に比較が行われる =大きな行番号で比較が行われるほどマッチング回数が増加 →負荷増大 ルール1 A is DENY ルール2 B is ALLOW ルール3 C is DENY Packet A × Packet B ○ ○ ○ Packet C ○ ○ × Packet Aのマッチング回数 ・・・1回 Packet Bのマッチング回数 ・・・3回 Packet Cのマッチング回数 ・・・3回 研究の動向 • 先行研究ではマッチング回数に注目し、ルー ルの並び替え及び統合を行っていた • 今回は、分散環境下の各ファイアウォールの 通信速度の低下率に注目する • 各ファイアウォールで負荷の重みを比較し、 ルールの受け渡しを行う 研究の目的 • スループット(通信速度)の 低下率を測定・比較し、 ルールの移動を行う • ルールチェーン再構築後、 負荷の総和が最小となる ことを最適と定義し、負荷 の軽減をめざす Firewall A Firewall B Firewall C ルール受け渡し 提案手法 ① ② 共通ルールの受け渡し スループット・低下率𝑇の測定 負荷の重み𝑌𝑗 の測定・比較 ルール受け渡し・再構築 総負荷𝐸 再測定 提案手法 共通ルールの受け渡し スループット測定 負荷の重み𝑌𝑗 の測定・比較 ルール受け渡し・再構築 総負荷𝐸 再測定 共通ルールの受け渡し • 分散環境下にあるファイアウォールとその上流にある ファイアウォールとの間でルールの受け渡しを行う Firewall A 同意義のルールを 見つけ、ルール統 合の処理を行い、 ルール数自体を減 らす 上流層 下流層 Firewall B Firewall C 提案手法 共通ルールの受け渡し スループット・低下率𝑇の測定 負荷の重み𝑌𝑗 の測定・比較 ルール受け渡し・再構築 総負荷𝐸 再測定 スループット・低下率の測定 • スループットはある行Kまではほぼ一定のスループットを保つ • しかしK行目以上からは大きく低下する • ルールの削減は負荷の軽減につながる スループットの低下率 • ファイアウォールの処理能力を 𝑥[𝐺𝐻𝑧]としたと き、K行目をスループットが落ち始める行、N行目 をスループットが低下しきった行とする • このとき低下率𝑇は |𝑆𝐾 − 𝑆𝑁 | 𝑇= |𝐾 − 𝑁| 𝐾行目・𝑁行目でのスループット である 𝑆𝐾 ・𝑆𝑁 [𝑀𝑏𝑝𝑠] 提案手法 共通ルールの受け渡し スループット・低下率の測定 負荷の重み𝑌𝑗 の測定・比較 ルール受け渡し・再構築 総負荷𝐸 再測定 負荷の重みの測定 • 分散環境下に属する各ファイアウォール間で スループットによる負荷の大きさを求め、マッ チング回数の多いルールを負荷の大きいファ イアウォールから小さいファイアウォールへ移 動する Firewall A Firewall B 負荷 B > Cの場合 Firewall C ルール移動 負荷の重みの測定 • ルールの移動を行うファイアウォールは次式を基に選ぶ 1 𝑌𝑗 = 𝑁−𝐾 • • • • • スループットが落ち始める行 スループットが低下しきった行 ルールチェーンの設定行番号 各行におけるマッチング回数 ファイアウォールの数 𝑁 𝑀𝑖 ⋅ 𝑇 ⋅ 𝑖 𝑖=𝐾 𝐾 𝑁 𝑖 𝑀𝑖 𝑗 𝑌𝑗 の大きさを負荷の重みと定義し、それぞれの値を比較する 提案手法 共通ルールの受け渡し スループット測定 負荷の重み𝑌𝑗 の測定・比較 ルール受け渡し・再構築 総負荷𝐸 再測定 ルールの受け渡し・再構築 • K行目以上のルールにおいて、 ルール番号×マッチング回数の値が一番大きな ルールを移動させる • また、以下の条件を加える 操作がDENY(破棄)である 後方のルールと重複していない デフォルトルールでは、すべてのパケットを 破棄するため、セキュリティポリシーを維持 できる 受け渡し概要 [Firewall A] Rule list Matching allow 1 11 負荷の重み: Firewall A > Firewall B allow 2 30 となったときの例 deny 3 25 allow 4 20 [Firewall B] [Firewall B] Rule list Rule list ルール移動 Rule 並び替え Rule Rule Rule deny 3 deny 3 Default all deny Default all deny 提案手法 共通ルールの受け渡し スループット測定 負荷の重み𝑌𝑗 の測定・比較 ルール受け渡し・再構築 総負荷𝐸 再測定 総負荷𝐸 再測定 • 𝐸が最小になったとき、分散環境下での最適な ルール配置と定義できる 𝑠 𝐸= 𝑌𝑗 𝑗=1 分散環境下ファイアウォールでの負荷の重み 𝑌𝑗 ファイアウォールの数 𝑗 (1 ≤ 𝑗 ≤ 𝑠) 𝐸は分散環境下ファイアウォールの総負荷となる 実験 • 今回は上位層と下位層での共通ルールの統 合を行う手順が自動的に行われるようプログ ラムに書いてシミュレートを行った Firewall A 部署ごとのセキュリ ティポリシーを集め、 集めたセキュリティポ リシーに基づいてルー ルの統合を行う 上流層 下流層 Firewall B Firewall C 実験 • プロトコルやポート番号やアクションからなる ルールが似たものから順番に並び替えルー ル統合の処理を行いルール数自体を減らす • 今回はランダムで50個並べられたルールを 共通ルール統合により削減する 結果 1. Allow port 25 2. Allow port 4 3. Allow port 7 4. Allow port 9 5. Allow port 19 ・ ・ ・ 50. Allow port N ルール50個 1. Allow port 1 2. Allow port 1 3. Allow port 2 4. Allow port 3 5. Allow port 3 6. Allow port 4 ・ ・ ・ 50. Allow port N ルール50個 1. Allow 2. Allow 3. Allow 4. Allow 5. Allow port 1 port 2 port 3 port 4 port 5 ・ ・ ・ 25. Allow port 25 ルール25個 共通ルール統合により50個のルールを25個に減らすことができた これによりパケットとのマッチング回数が減り、負荷は軽減されるといえる まとめ • 本研究では、共通ルール統合のシミュレートを 行いルールの最適化を実現した • また、各ファイアウォールでの負荷の重みを比 較し、マッチング回数の多いルールを受け渡すと いう手法を導出した • 実際の測定・検証には10000行以上のルール チェーン(大規模ネットワーク)と各行のパケットと のマッチング回数を測定するシステムが必要と なる [終]