네트워크 접근 제어 정책의 통합과 자동 배포

본 논문은 네트워크 보안 정책이 여러 방화벽과 필터링 라우터에 분산되어 적용될 때 발생하는 오류와 모순을 체계적으로 해결하고, 일관된 전역 정책을 효율적으로 배포하는 방법을 제시한다. 먼저 서론에서는 보안 정책이 “무엇을 허용하고 무엇을 금지할지”를 정의하는 규칙 집합이며, 이를 여러 보안 장비에 나누어 적용할 때 **정책 일관성**과 **중복 방지**가 필수적임을 강조한다. 기존 연구는 (1) 전역 정책을 형식 언어로 정의하고 각 장비에 자동 변환하는 **상향식** 접근과 (2) 이미 배포된 규칙을 감사·수정하는 **하향식** 접근으로 나뉘지만, 각각 전역 시각 부족과 초기 정책 부재라는 한계를 가진다. 본 논문은 이 두 접근을 결합한 **두 단계 메커니즘**을 제안한다. 1️⃣ **정책 집계(aggregation) 단계**에서는 시스템에 존재하는 모든 방화벽 F와 영역 Z를 사전에 수집한다. 영역은 서로 겹치지 않는 **존(zone)** 으로 정의하고, 각 방화벽 간 연결은 **connected(f1,f2)**, 방화벽과 존 사이의 인접은 **adjacent(f,z)** 로 표현한다. 이를 바탕으로 **경로 집합 P**와 **최소 경로 MR(z1,z2)** 를 정의하고, 각 규칙 R_i = {cnd_i} → decision_i 형태로 형식화한다. 집계 과정은 두 단계로 나뉜다. - **Phase 1**: 각 방화벽의 로컬 규칙을 **policy‑rewriting** 함수를 통해 내부 이상(그림자·중복)을 제거한다. 이 과정은 알고리즘 2~4에서 정의된 **exclusion**, **intersection**, **merge** 절차를 사용해 규칙 간 속성 의존성을 없애고, 동일한 트래픽에 대해 중복된 허용·거부가 없도록 만든다. - **Phase 2**: 정제된 로컬 규칙을 전역 규칙 집합 R 로 통합한다. 각 규칙의 소스와 목적지를 해당 존으로 매핑하고, 규칙이 적용되는 최소 경로 MR에 포함되는지 확인한다. 여기서 **inter‑firewall 이상**을 검증한다. 구체적으로는 (①) **irrelevance**(소스와 목적지가 같은 존이거나 방화벽이 MR에 포함되지 않음), (②) **full/partial‑redundancy**(멀리 있는 방화벽이 이미 차단된 트래픽을 다시 차단), (③) **full/partial‑shadowing**(멀리 있는 방화벽이 허용하는 트래픽이 앞선 방화벽에 의해 차단), (④) **misconnection**(앞선 방화벽이 허용하지만 뒤의 방화벽이 차단) 등을 탐지한다. 이상이 발견되면 **aggregationError()** 를 호출해 집계 과정을 중단하고 빈 집합을 반환한다. 모든 이상이 없을 경우, 전역 규칙 R 은 기존 모든 방화벽 규칙의 합집합이면서 중복·그림자 없이 정제된 형태가 된다. 마지막으로 **policy‑rewriting**을 다시 적용해 전역 규칙 내 허용 규칙의 중복을 제거한다. 논문은 **정리 1**과 **정리 2**를 통해 집계·재작성 과정이 **정책 동치(preservation of semantics)**와 **무모순성(no‑anomaly)**을 보장함을 형식적으로 증명한다. 즉, 전역 정책 R 은 원래 시스템이 제공하던 보안 기능을 정확히 재현하면서도, 관리자가 한눈에 전체 정책을 파악·수정할 수 있는 형태가 된다. **실험 및 적용** 부분에서는 자동 토폴로지 수집 도구(