分散ファイアウォールにおける負荷の軽減

分散ファイアウォールにおける
負荷の軽減
201002678 大畑 嵩
研究の背景
• セキュリティ対策としてファイア
ウォールは重要である
• ファイアウォールの設置方法
は集中型と分散型の2種類が
ある
• 分散型はセキュリティ強化とし
て注目されているが、負荷の
増加が問題となっている。
分散型ファイアウォール
• 内部からの攻撃に対する防御
• 部署ごとに異なるセキュリティポリシーの設定が可能
• 上位層のファイアウォールには集中型と同じ負荷がかかる
• 上位層の負荷の増加による遅延は下位層にも影響を与える
パケットフィルタリング
ルールと送られてきたパケットを検査し、そのパ
ケットの動作(通過させるか破棄するか)を決定
する。
パケット
•
•
•
•
•
•
インターフェース
送信元IP
宛先IP
プロトコル
宛先ポート
その他
許可
破棄
パケットフィルタリング
ルールチェーン内の早い行から順番に比較が行われる
=大きな行番号で比較が行われるほどマッチング回数が増加
→負荷増大
ルール1
A is DENY
ルール2
B is ALLOW
ルール3
C is DENY
Packet A
×
Packet B
○
○
○
Packet C
○
○
×
Packet Aのマッチング回数 ・・・1回
Packet Bのマッチング回数 ・・・3回
Packet Cのマッチング回数 ・・・3回
研究の動向
• 先行研究ではマッチング回数に注目し、ルー
ルの並び替え及び統合を行っていた
• 今回は、分散環境下の各ファイアウォールの
通信速度の低下率に注目する
• 各ファイアウォールで負荷の重みを比較し、
ルールの受け渡しを行う
研究の目的
• スループット(通信速度)の
低下率を測定・比較し、
ルールの移動を行う
• ルールチェーン再構築後、
負荷の総和が最小となる
ことを最適と定義し、負荷
の軽減をめざす
Firewall A
Firewall B
Firewall C
ルール受け渡し
提案手法
①
②
共通ルールの受け渡し
スループット・低下率𝑇の測定
負荷の重み𝑌𝑗 の測定・比較
ルール受け渡し・再構築
総負荷𝐸
再測定
提案手法
共通ルールの受け渡し
スループット測定
負荷の重み𝑌𝑗 の測定・比較
ルール受け渡し・再構築
総負荷𝐸
再測定
共通ルールの受け渡し
• 分散環境下にあるファイアウォールとその上流にある
ファイアウォールとの間でルールの受け渡しを行う
Firewall A
同意義のルールを
見つけ、ルール統
合の処理を行い、
ルール数自体を減
らす
上流層
下流層
Firewall B
Firewall C
提案手法
共通ルールの受け渡し
スループット・低下率𝑇の測定
負荷の重み𝑌𝑗 の測定・比較
ルール受け渡し・再構築
総負荷𝐸
再測定
スループット・低下率の測定
• スループットはある行Kまではほぼ一定のスループットを保つ
• しかしK行目以上からは大きく低下する
• ルールの削減は負荷の軽減につながる
スループットの低下率
• ファイアウォールの処理能力を 𝑥[𝐺𝐻𝑧]としたと
き、K行目をスループットが落ち始める行、N行目
をスループットが低下しきった行とする
• このとき低下率𝑇は
|𝑆𝐾 − 𝑆𝑁 |
𝑇=
|𝐾 − 𝑁|
𝐾行目・𝑁行目でのスループット
である
𝑆𝐾 ・𝑆𝑁 [𝑀𝑏𝑝𝑠]
提案手法
共通ルールの受け渡し
スループット・低下率の測定
負荷の重み𝑌𝑗 の測定・比較
ルール受け渡し・再構築
総負荷𝐸
再測定
負荷の重みの測定
• 分散環境下に属する各ファイアウォール間で
スループットによる負荷の大きさを求め、マッ
チング回数の多いルールを負荷の大きいファ
イアウォールから小さいファイアウォールへ移
動する
Firewall A
Firewall B
負荷 B > Cの場合
Firewall C
ルール移動
負荷の重みの測定
• ルールの移動を行うファイアウォールは次式を基に選ぶ
1
𝑌𝑗 =
𝑁−𝐾
•
•
•
•
•
スループットが落ち始める行
スループットが低下しきった行
ルールチェーンの設定行番号
各行におけるマッチング回数
ファイアウォールの数
𝑁
𝑀𝑖 ⋅ 𝑇 ⋅ 𝑖
𝑖=𝐾
𝐾
𝑁
𝑖
𝑀𝑖
𝑗
𝑌𝑗 の大きさを負荷の重みと定義し、それぞれの値を比較する
提案手法
共通ルールの受け渡し
スループット測定
負荷の重み𝑌𝑗 の測定・比較
ルール受け渡し・再構築
総負荷𝐸
再測定
ルールの受け渡し・再構築
• K行目以上のルールにおいて、
ルール番号×マッチング回数の値が一番大きな
ルールを移動させる
• また、以下の条件を加える
操作がDENY(破棄)である
後方のルールと重複していない
デフォルトルールでは、すべてのパケットを
破棄するため、セキュリティポリシーを維持
できる
受け渡し概要
[Firewall A]
Rule list
Matching
allow 1
11
負荷の重み:
Firewall A > Firewall B
allow 2
30
となったときの例
deny 3
25
allow 4
20
[Firewall B]
[Firewall B]
Rule list
Rule list
ルール移動
Rule
並び替え
Rule
Rule
Rule
deny 3
deny 3
Default all deny
Default all deny
提案手法
共通ルールの受け渡し
スループット測定
負荷の重み𝑌𝑗 の測定・比較
ルール受け渡し・再構築
総負荷𝐸
再測定
総負荷𝐸
再測定
• 𝐸が最小になったとき、分散環境下での最適な
ルール配置と定義できる
𝑠
𝐸=
𝑌𝑗
𝑗=1
分散環境下ファイアウォールでの負荷の重み 𝑌𝑗
ファイアウォールの数 𝑗 (1 ≤ 𝑗 ≤ 𝑠)
𝐸は分散環境下ファイアウォールの総負荷となる
実験
• 今回は上位層と下位層での共通ルールの統
合を行う手順が自動的に行われるようプログ
ラムに書いてシミュレートを行った
Firewall A
部署ごとのセキュリ
ティポリシーを集め、
集めたセキュリティポ
リシーに基づいてルー
ルの統合を行う
上流層
下流層
Firewall B
Firewall C
実験
• プロトコルやポート番号やアクションからなる
ルールが似たものから順番に並び替えルー
ル統合の処理を行いルール数自体を減らす
• 今回はランダムで50個並べられたルールを
共通ルール統合により削減する
結果
1. Allow port 25
2. Allow port 4
3. Allow port 7
4. Allow port 9
5. Allow port 19
・
・
・
50. Allow port N
ルール50個
1. Allow port 1
2. Allow port 1
3. Allow port 2
4. Allow port 3
5. Allow port 3
6. Allow port 4
・
・
・
50. Allow port N
ルール50個
1. Allow
2. Allow
3. Allow
4. Allow
5. Allow
port 1
port 2
port 3
port 4
port 5
・
・
・
25. Allow port 25
ルール25個
共通ルール統合により50個のルールを25個に減らすことができた
これによりパケットとのマッチング回数が減り、負荷は軽減されるといえる
まとめ
• 本研究では、共通ルール統合のシミュレートを
行いルールの最適化を実現した
• また、各ファイアウォールでの負荷の重みを比
較し、マッチング回数の多いルールを受け渡すと
いう手法を導出した
• 実際の測定・検証には10000行以上のルール
チェーン(大規模ネットワーク)と各行のパケットと
のマッチング回数を測定するシステムが必要と
なる
[終]