■

在當今的互聯(lián)網(wǎng)時代，人們的工作生活都與網(wǎng)絡密切相關，網(wǎng)絡安全關系到個人、企業(yè)甚至國家。2014年年初中央網(wǎng)絡安全和信息化領導小組成立，由此可見統(tǒng)籌規(guī)劃網(wǎng)絡安全已然成為強國的發(fā)展戰(zhàn)略。無論企業(yè)大小，規(guī)劃網(wǎng)絡安全時首選即是防火墻，中小型企業(yè)通過為數(shù)不多的防火墻進行網(wǎng)絡防護，大中型企業(yè)特別是電信、金融企業(yè)則是在防火墻基礎上配合其他安全軟硬件實現(xiàn)網(wǎng)絡防護。毋庸置疑，防火墻是當前網(wǎng)絡中數(shù)目最多的安全設備。防火墻訪問控制策略的制定直接關系到一個企業(yè)信息化資產(chǎn)的安全。本文從防火墻現(xiàn)狀分析開始，對防火墻訪問控制策略的審查方案加以闡釋和總結(jié)，最終提供平臺化系統(tǒng)化的集中解決方案。

防火墻訪問控制策略現(xiàn)狀

防火墻作為安全基礎設備，用于隔離內(nèi)、外網(wǎng)是各業(yè)務系統(tǒng)安全的第一道防線。隨著網(wǎng)絡規(guī)模的增長和系統(tǒng)長期運行中訪問需求不斷調(diào)整，防火墻上配置了數(shù)百或數(shù)千條訪問控制策略。因系統(tǒng)管理員變換，這些策略中可能包含廢棄的、冗余的、沖突的策略，不僅影響防火墻策略的匹配效率，而且因為過度授權還會違反安全規(guī)定，最終成為各業(yè)務系統(tǒng)重大安全隱患。

對于歷史沉淀下來的數(shù)量龐大、邏輯關系復雜的防火墻策略，人工方式進行策略優(yōu)化和審核的方式精確度差效率低下，而且人工核查雖然可以查出明顯的設置漏洞，但在缺失真實互連需求信息的情況下，無法進一步發(fā)現(xiàn)那些看似嚴謹實則寬松的策略，導致核查結(jié)論無法覆蓋所有存在缺陷的訪問控制策略。同時，人工方式也極其容易導致判斷錯誤，特別是在策略數(shù)量成百上千、防火墻數(shù)量繁多、防火墻品牌較多的情況下，人的判斷難以勝任審計要求，影響了全網(wǎng)從低水平、相對粗放管理模式向精準管理模式轉(zhuǎn)型。

平臺化解決方案

面對以上描述的防火墻策略審查問題，必須通過平臺功能自動化、系統(tǒng)化的解決。

要完成防火墻策略深度審計就要對防火墻策略進行自動化審計，使防火墻策略滿足權限最小化和效率最優(yōu)化原則。審計過程結(jié)合業(yè)務實際使用情況，并能對多類型防火墻策略進行標準化展示，從多個維度輔助管理員定位問題策略，加強對防火墻策略的管理，避免建立具有安全風險策略。

防火墻策略深度審計系統(tǒng)主要包含通用策略審計審計和業(yè)務策略審計功能：

通用策略審計的目的是發(fā)現(xiàn)已經(jīng)發(fā)生的或潛在的重復或沖突策略，提供策略優(yōu)化的解決方案，以便防火墻管理員對策略進行管理，減少冗余策略，提高防火墻策略的匹配效率；

業(yè)務策略審計審計功能針對業(yè)務復雜、配置存在沖突且不容易合并整理的策略，通過周期性自動化采集防火墻的策略匹配計數(shù)信息，發(fā)現(xiàn)定義時間段內(nèi)的策略匹配情況，發(fā)現(xiàn)疑似無效策略。

系統(tǒng)設計與實現(xiàn)

平臺部署設計（如圖1所示）：主要包含數(shù)據(jù)庫服務器、核心/WEB服務器、Probe采集器等。

圖1 平臺部署設計圖

1.WEB服務器

提供防火墻策略圖形化展示，管理搭建的web服務器。

2.核心服務器

核心服務器承擔的主要功能是訪問和存儲防火墻設備信息、向probe采集器發(fā)起采集分析命令、把標準化策略和策略分析結(jié)果友好地展現(xiàn)給用戶、并生成和導出報表供管理員參考。主要由以下5個功能模塊組成：

(1)信息同步模塊

負責從安全管控平臺同步防火墻信息，并存入數(shù)據(jù)庫服務器中。同步的信息包括設備類型、設備名稱、IP地址、賬號憑證等用來登錄設備的信息。

(2)采集消息發(fā)送模塊

當用戶選定所要采集分析的防火墻設備之后，此模塊會根據(jù)其設備類型、設備ID等信息找到對應的登錄信息、設備的采集腳本信息，然后組成probe采集器所要求的消息格式發(fā)送給對應的probe采集器。

(3)標準化策略存儲模塊

probe采集器根據(jù)核心服務器發(fā)送的設備信息，會登錄設備并執(zhí)行采集命令，調(diào)用自身的標準化程序，把采集的原始策略信息標準化成易于閱讀的五元組形式，返回給核心服務器，此模塊的功能就是把probe采集返回的標準化數(shù)據(jù)存儲到數(shù)據(jù)庫中，為前臺頁面的展示作數(shù)據(jù)準備。

(4)數(shù)據(jù)展示模塊

此模塊可以把存儲在數(shù)據(jù)庫中的標準化策略直觀的展現(xiàn)給用戶，并且用戶可以按照一定的條件檢索需的策略，比如按照動作，分析結(jié)果類型等。由于數(shù)據(jù)庫服務器會把每次采集的結(jié)果都保存起來，因此管理員還可以查看不同時間點的策略，便于比較。

(5)報表展現(xiàn)及報表導出模塊

報表展現(xiàn)和導出模塊提供了豐富、詳實的報表功能。采集完成后點擊統(tǒng)計按鈕，可以方便的查看本次采集分析的總覽信息，而且可以導出報表便于交流和傳遞。

3.數(shù)據(jù)庫服務器

為中央服務器的業(yè)務提供數(shù)據(jù)存儲服務。

4.PROBE采集器

執(zhí)行策略采集命令獲取策略原始結(jié)果并標準化的采集服務器。主要分為以下三個模塊：

(1)策略采集模塊

probe采集器根據(jù)核心服務器發(fā)送的設備登錄信息連接設備，執(zhí)行采集命令，并把回顯結(jié)果傳遞給策略標準化引擎。

(2)策略標準化模塊

接收由信息采集模塊反饋的策略原始信息，根據(jù)正則表達式和相應的規(guī)則對原始信息進行標準化，得到標準五元組形式傳遞給策略審計引擎。

(3)策略審計引擎

策略審計引擎是最核心的功能模塊，它對接收到的標準化正則進行優(yōu)化審計和安全審計，幫助管理員及時、高效地發(fā)現(xiàn)防火墻中冗余、沖突及違反安全規(guī)則的策略。

應用效果

防火墻策略分析審計功能按防火墻策略順序執(zhí)行邏輯智能分析各系統(tǒng)防火墻策略，發(fā)現(xiàn)沖突、冗余、垃圾和違規(guī)配置問題，給出準確提示，輔助系統(tǒng)管理員在防火墻策略成百上千條策略中及時發(fā)現(xiàn)問題策略，實現(xiàn)防火墻策略自動審計。促進防火墻策略配置規(guī)范化，加固各業(yè)務系統(tǒng)的第一道防線。

圖2 模塊運行分析結(jié)果

圖3 二次檢查后結(jié)果

模塊試運行過程中審計防火墻63臺，共計8505條策略，分析結(jié)果統(tǒng)計如圖2所示。

計算方法：百分比為此類違規(guī)條數(shù)占策略總條數(shù)的百分比，百分比=此類違規(guī)策略條數(shù)/8505。

由于存在一條策略同時滿足多項違規(guī)的情況，所以各項違規(guī)百分比相加出現(xiàn)大于1的情況為正常。

將各防火墻審計報告分發(fā)給管理員進行整改，整改后總策略條數(shù)為8307條，二次檢查后結(jié)果如圖3所示。

由表中數(shù)據(jù)可看出實施效果明顯。本模塊可精準發(fā)現(xiàn)防火墻策略中已發(fā)生的及潛在的不安全和不規(guī)范策略，經(jīng)管理員根據(jù)審核報告整改后，效果明顯。

結(jié)論及未來工作

總的來說，防火墻策略核查系統(tǒng)能夠深度、自動、高效的審查防火墻策略，為企業(yè)的安全系統(tǒng)長期穩(wěn)定運行提供保障。

現(xiàn)今在大規(guī)模使用防火墻的電信運營商中，其安全負責人已初步融合安全系統(tǒng)，進行統(tǒng)一化的管理建設，但是對防火墻策略的核查尚屬空白。相信在未來，本文提出的系統(tǒng)化解決防火墻訪問控制策略的方案將出現(xiàn)在電信運營商及安全廠家的安全防護審查方案中，使安全管理員脫離低效率的審查工作。