Automatisierte Firewall-Regelwerke (Fortsetzung)

Lernfähigessystem
Nehmen wir einen typischen Fall: Ein neuer Mitarbeiter soll von seinem Standrechner sowie seinem Laptop auf den Unternehmensserver zugreifen können. Das Firewallmanagement gleicht ab, ob bereits früher für einen anderen Mitarbeiter ein ähnlicher Zugriff eingerichtet wurde. Ist das der Fall, kann die Lösung wieder verwendet werden. Ein lästiges Durchsuchen der Filterregeln entfällt. Dies ist gerade dann wichtig, wenn viele Firewall-Regeln betroffen sind. Anhand der Ähnlichkeit ist es zudem möglich, dem Benutzer statt eines einzelnen gleich mehrere Lösungsvorschläge in Form einer Trefferliste zu präsentieren, aus der er den passendsten auswählen kann. Bei einer solchen Lösungsübertragung entfällt das Speichern der neuen Regel. Dabei merkt sich das System, wie oft eine Regel zur Lösung neuer Probleme verwendet werden konnte oder ob der daraus generierte Lösungsvorschlag zurückgewiesen wurde.Diese Werte fließen beim nächsten Vergleich mit in die Bewertung ein und verhindern, dass sich eine falsche Lösung wiederholt.   

Ermutigende Praxistests
Tests in einer Großbank haben gezeigt: Trotz einer relativ kleinen und »untrainierten « Erfahrungsdatenbank konnten mehr als drei von vier der von dem System gemachten Vorschläge zur Umsetzung der Firewall-Änderungen verwendet werden. In fast 14 Prozent aller Fälle legte die Anwendung neue Kategorien für Regeln an. Das System lernt also aus neuen Situationen. Lediglich in rund zehn Prozent der Fälle konnten die vom System vorgeschlagenen Lösungen nicht in der Form verwendet werden. Auch dies merkt sich das System, so dass Wiederholungs-Fehler vermieden werden. Über eine Lernfunktion speichert das System einerseits die gemachten Erfahrungen und merkt sich andererseits, wie der Administrator auf die Änderungsvorschläge reagiert, das heißt welche der vorgeschlagenen Änderungen hilfreich waren und wie oft eine gespeicherte Erfahrung benutzt oder zurückgewiesen wurde.Zudem erkennt das System die Fälle, die wenig brauchbar waren und löscht diese automatisch. Intelligente Firewallmanagement-Anwendungen eignen sich neben Banken und Versicherungen vor allem auch für Internetdienste- Anbieter. Diese müssen nämlich durch ihre ständig wechselnde Kundenzahl sehr viele, aber weitgehend ähnliche Firewalländerungen durchführen.  

Automatisierte Vorschläge
Das Firewallmanagement auf Basis des Fallorientierten Schließens geht über das hinaus, was marktgängige Firewall- Management-Systeme bieten wie beispielsweise das des französischen Anbieters Solsoft. Mit letzterem lassen sich Konfigurationen für Firewalls mit einer einfachen Benutzeroberfläche »zusammenklicken« oder auch prinzipielle Zusammenhänge verschiedener Rechtevergaben erkennen. Das hier vorgestellte Firewall-Management auf der Basis des Fallorientierten Schließens macht dagegen anhand einer Problemstellung selbstständig Vorschläge, wie und wo genau eine Regeländerung durchzuführen ist oder bietet eine Auswahl der Regeln, die für eine mögliche Änderung in Frage kommen.

Voraussetzung dafür ist eine fundierte Grundlage an Informationen. Bei Problembeschreibungen mit zu wenigen Informationen liefert das System weniger brauchbare Lösungsvorschläge. Dies kann mit einer Suchmaschinen-Abfrage verglichen werden, bei der zu wenige Schlagwörter eingegeben werden. Das intelligente Firewallmanagement zeigt beim Vergleich der Fälle eine relativ große Flexibilität gegenüber unvollständigen Informationen. Die Fallbasis sollte jedoch anhand einer bestehenden Firewall sorgfältig aufgesetzt werden, um die Lernphase des Systems möglichst gering zu halten. Bei einer neuen Firewall ist dies weniger problematisch, da das System hier bereits von Anfang an mit dem Firewall-Regelwerk trainiert.   

Dipl.-Wirt.-Inf. Thomas Wagner ist Wissenschaftlicher Mitarbeiter am Institut für Wirtschaftsinformatik der Universität Trier