趙冠哲等

摘要防火墻是業(yè)務(wù)系統(tǒng)的第一道防線，對(duì)保證內(nèi)網(wǎng)安全起著關(guān)鍵作用，而防火墻策略配置粗粒度使得防火墻作用難以真正發(fā)揮。目前，人工策略審核費(fèi)時(shí)費(fèi)力，亟需一種自動(dòng)化的策略審計(jì)手段。本文研究并實(shí)現(xiàn)了關(guān)于防火墻策略的自動(dòng)化審計(jì)系統(tǒng)，該系統(tǒng)能有助于促進(jìn)防火墻策略配置規(guī)范化，提升安全水平的同時(shí)提高工作效率，輔助管理員加固網(wǎng)絡(luò)的第一道防線。

關(guān)鍵詞防火墻策略；策略審計(jì)；自動(dòng)化審計(jì)

Abstract： Firewall is the first line of defense for business systems，and it plays a key role in the security of intranet， but careless configuration makes it difficult to work. Nowadays， policy audit mostly depends on manual work， and it is a time-consuming effort， we need a way to check the configuration of the firewall policyautomatically. We have researched and realized a system for the automatic audit，which can help to raise the standardizationfor the firewall configuration， and improve the level of security and increase the efficiency of audit， and help the administrators to strengthening the intranet.

Key words：FirewallPolicy； Audit of Policy；GeneralPolicy； Automatically Audit

1引言

防火墻作為安全基礎(chǔ)設(shè)備，用于隔離內(nèi)、外網(wǎng)，是各業(yè)務(wù)系統(tǒng)安全的第一道防線。隨著網(wǎng)絡(luò)規(guī)模的增長(zhǎng)和系統(tǒng)長(zhǎng)期運(yùn)行中訪問需求不斷調(diào)整，防火墻上配置了數(shù)百或數(shù)千條訪問控制策略。因系統(tǒng)管理員變換，這些策略中可能包含垃圾的、冗余的、沖突的策略，不僅影響防火墻策略的匹配效率，而且過度授權(quán)還會(huì)違反安全規(guī)定，成為各業(yè)務(wù)系統(tǒng)重要安全隱患。

對(duì)于歷史沉淀下來的數(shù)量龐大、邏輯關(guān)系復(fù)雜的防火墻策略，基于人工方式進(jìn)行策略優(yōu)化和審核的精確度差、效率低下成為當(dāng)前突出問題，同時(shí)人工方式也極其容易導(dǎo)致判斷錯(cuò)誤，特別是在策略數(shù)量成百上千、防火墻數(shù)量繁多、防火墻品牌較多的情況下，人的判斷已經(jīng)難以勝任審計(jì)要求，影響了全網(wǎng)從低水平、相對(duì)粗放管理模式向精準(zhǔn)管理模式轉(zhuǎn)型。

為解決上述問題，本文給出了一種關(guān)于防火墻策略的自動(dòng)化審計(jì)系統(tǒng)。該系統(tǒng)能有助于促進(jìn)防火墻策略配置規(guī)范化，使防火墻策略滿足權(quán)限最小化和效率最優(yōu)化原則，提升安全水平的同時(shí)提高工作效率，輔助管理員加固網(wǎng)絡(luò)的第一道防線。

2系統(tǒng)平臺(tái)構(gòu)造

下圖為系統(tǒng)框架圖，主要包含數(shù)據(jù)庫(kù)服務(wù)器、核心/WEB服務(wù)器、Probe采集器等。

WEB服務(wù)器：提供防火墻策略圖形化展示，管理搭建的web服務(wù)器。

核心服務(wù)器：核心服務(wù)器承擔(dān)的主要功能是訪問和存儲(chǔ)防火墻設(shè)備信息、向probe采集器發(fā)起采集分析命令、把標(biāo)準(zhǔn)化策略和策略分析結(jié)果友好地展現(xiàn)給用戶、并生成和導(dǎo)出報(bào)表供管理員參考。

數(shù)據(jù)庫(kù)服務(wù)器：為中央服務(wù)器的業(yè)務(wù)提供數(shù)據(jù)存儲(chǔ)服務(wù)。

PROBE采集器：執(zhí)行策略采集命令獲取策略原始結(jié)果，并對(duì)不同廠家的防火墻策略語(yǔ)法進(jìn)行標(biāo)準(zhǔn)化處理。

3系統(tǒng)功能實(shí)現(xiàn)

防火墻策略深度審計(jì)系統(tǒng)主要包含通用策略審計(jì)和業(yè)務(wù)策略審計(jì)兩大功能。

3.1通用策略審計(jì)

系統(tǒng)采集防火墻策略并將策略標(biāo)準(zhǔn)化，對(duì)標(biāo)準(zhǔn)化后的ACL所涉及的目標(biāo)端口內(nèi)容、目標(biāo)端口個(gè)數(shù)、目標(biāo)IP內(nèi)容、目標(biāo)IP個(gè)數(shù)等元素進(jìn)行量化，并以ACL為單位進(jìn)行排列組合比較，判斷防火墻策略ACL中是否存在策略覆蓋、攔截等策略冗余問題及開放目的IP范圍過大，目標(biāo)端口過大等安全性問題。

通用策略審計(jì)功能可定位目的IP或端口開放范圍過大的策略、重復(fù)策略、沖突策略等，提供策略優(yōu)化的解決方案，以便防火墻管理員對(duì)問題策略進(jìn)行管理，提高防火墻策略的匹配效率，提升防火墻保障網(wǎng)絡(luò)安全的作用。

以下是系統(tǒng)定義的幾種問題策略類型：

業(yè)務(wù)策略審計(jì)功能針對(duì)業(yè)務(wù)復(fù)雜、配置存在沖突且不容易合并整理的策略，通過周期性自動(dòng)化采集防火墻的策略匹配計(jì)數(shù)（logcount）信息，發(fā)現(xiàn)定義時(shí)間段內(nèi)的策略匹配情況，發(fā)現(xiàn)疑似無效策略。

3.2業(yè)務(wù)策略審計(jì)

絕大部分防火墻設(shè)備都具有策略匹配計(jì)數(shù)功能，該功能統(tǒng)計(jì)了當(dāng)前時(shí)間內(nèi)策略的命中次數(shù)，即匹配次數(shù)。業(yè)務(wù)策略審計(jì)功能是結(jié)合現(xiàn)網(wǎng)防火墻策略實(shí)際命中數(shù)，選取一個(gè)時(shí)間范圍（要求這個(gè)時(shí)間范圍內(nèi)至少進(jìn)行兩次策略分析），計(jì)算每條策略在該時(shí)間范圍內(nèi)的命中數(shù)差值（最近一次的策略命中次數(shù)減去最早一次的策略命中次數(shù)），從而反映出在這段時(shí)間內(nèi)，策略的命中情況。命中數(shù)差值數(shù)據(jù)不但可以反映策略的實(shí)際命中情況，還可以據(jù)此發(fā)現(xiàn)非正常訪問以及潛在的攻擊行為。

實(shí)現(xiàn)原理如圖2所示。

根據(jù)命中數(shù)差值的不同，審計(jì)結(jié)果分為以下四種：

1）活動(dòng)策略

命中數(shù)差值大于0的情況，這表示在該時(shí)間范圍內(nèi)策略被命中過，屬活動(dòng)策略。

2）非活動(dòng)策略

命中數(shù)差值等于0，表示在該時(shí)間范圍內(nèi)該策略始終未曾被匹配。若策略長(zhǎng)期未匹配，管理員可考慮此策略是否為垃圾策略。

3）未定策略

該時(shí)間范圍內(nèi)的采集結(jié)果未發(fā)現(xiàn)命中數(shù)統(tǒng)計(jì)信息，在早期華為防火墻不支持策略匹配計(jì)數(shù)功能，容易出現(xiàn)這種審計(jì)結(jié)果。

4結(jié)束語(yǔ)

目前現(xiàn)網(wǎng)的防火墻策略審計(jì)主要采用人工方式，費(fèi)時(shí)低效、依賴經(jīng)驗(yàn)、標(biāo)準(zhǔn)不統(tǒng)一、時(shí)效性差。本系紡克服人工審計(jì)的缺陷，通過對(duì)防火墻策略的自動(dòng)智能分析，使防火墻策略滿足權(quán)限最小化和效率最優(yōu)化原則。審計(jì)過程結(jié)合業(yè)務(wù)實(shí)際使用情況，并能對(duì)多類型防火墻策略進(jìn)行標(biāo)準(zhǔn)化展示。輔助管理員在成百上千條策略中快速準(zhǔn)確定位問題策略，給出準(zhǔn)確提示，督促管理員在第一時(shí)間進(jìn)行整改。加強(qiáng)對(duì)防火墻策略的管理，避免建立具有安全風(fēng)險(xiǎn)策略。有助于促進(jìn)防火墻策略配置規(guī)范化，提升安全水平的同時(shí)提高工作效率，輔助管理員加固網(wǎng)絡(luò)的第一道防線。

參考文獻(xiàn)

[1]楊勇輝，贠亞男. 網(wǎng)絡(luò)安全——防火墻技術(shù)淺析[J].科技信息，2007（4）：162.

[2] 李玉勤.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)中防火墻技術(shù)的應(yīng)用[J].甘肅科技，2006，22（11）：99-101.

[3]趙芳，馬玉磊. 網(wǎng)絡(luò)安全防火墻技術(shù)淺析[J].科技信息，2010（3）：42-42.

[4]胡道元， 閔京華.網(wǎng)絡(luò)安全[M].清華大學(xué)出版社，2008（2）：173-197.endprint