防火墻訪問控制采集分析

■

在當(dāng)今的互聯(lián)網(wǎng)時(shí)代，人們的工作生活都與網(wǎng)絡(luò)密切相關(guān)，網(wǎng)絡(luò)安全關(guān)系到個(gè)人、企業(yè)甚至國(guó)家。2014年年初中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立，由此可見統(tǒng)籌規(guī)劃網(wǎng)絡(luò)安全已然成為強(qiáng)國(guó)的發(fā)展戰(zhàn)略。無論企業(yè)大小，規(guī)劃網(wǎng)絡(luò)安全時(shí)首選即是防火墻，中小型企業(yè)通過為數(shù)不多的防火墻進(jìn)行網(wǎng)絡(luò)防護(hù)，大中型企業(yè)特別是電信、金融企業(yè)則是在防火墻基礎(chǔ)上配合其他安全軟硬件實(shí)現(xiàn)網(wǎng)絡(luò)防護(hù)。毋庸置疑，防火墻是當(dāng)前網(wǎng)絡(luò)中數(shù)目最多的安全設(shè)備。防火墻訪問控制策略的制定直接關(guān)系到一個(gè)企業(yè)信息化資產(chǎn)的安全。本文從防火墻現(xiàn)狀分析開始，對(duì)防火墻訪問控制策略的審查方案加以闡釋和總結(jié)，最終提供平臺(tái)化系統(tǒng)化的集中解決方案。

防火墻訪問控制策略現(xiàn)狀

防火墻作為安全基礎(chǔ)設(shè)備，用于隔離內(nèi)、外網(wǎng)是各業(yè)務(wù)系統(tǒng)安全的第一道防線。隨著網(wǎng)絡(luò)規(guī)模的增長(zhǎng)和系統(tǒng)長(zhǎng)期運(yùn)行中訪問需求不斷調(diào)整，防火墻上配置了數(shù)百或數(shù)千條訪問控制策略。因系統(tǒng)管理員變換，這些策略中可能包含廢棄的、冗余的、沖突的策略，不僅影響防火墻策略的匹配效率，而且因?yàn)檫^度授權(quán)還會(huì)違反安全規(guī)定，最終成為各業(yè)務(wù)系統(tǒng)重大安全隱患。

對(duì)于歷史沉淀下來的數(shù)量龐大、邏輯關(guān)系復(fù)雜的防火墻策略，人工方式進(jìn)行策略優(yōu)化和審核的方式精確度差效率低下，而且人工核查雖然可以查出明顯的設(shè)置漏洞，但在缺失真實(shí)互連需求信息的情況下，無法進(jìn)一步發(fā)現(xiàn)那些看似嚴(yán)謹(jǐn)實(shí)則寬松的策略，導(dǎo)致核查結(jié)論無法覆蓋所有存在缺陷的訪問控制策略。同時(shí)，人工方式也極其容易導(dǎo)致判斷錯(cuò)誤，特別是在策略數(shù)量成百上千、防火墻數(shù)量繁多、防火墻品牌較多的情況下，人的判斷難以勝任審計(jì)要求，影響了全網(wǎng)從低水平、相對(duì)粗放管理模式向精準(zhǔn)管理模式轉(zhuǎn)型。

平臺(tái)化解決方案

面對(duì)以上描述的防火墻策略審查問題，必須通過平臺(tái)功能自動(dòng)化、系統(tǒng)化的解決。

要完成防火墻策略深度審計(jì)就要對(duì)防火墻策略進(jìn)行自動(dòng)化審計(jì)，使防火墻策略滿足權(quán)限最小化和效率最優(yōu)化原則。審計(jì)過程結(jié)合業(yè)務(wù)實(shí)際使用情況，并能對(duì)多類型防火墻策略進(jìn)行標(biāo)準(zhǔn)化展示，從多個(gè)維度輔助管理員定位問題策略，加強(qiáng)對(duì)防火墻策略的管理，避免建立具有安全風(fēng)險(xiǎn)策略。

防火墻策略深度審計(jì)系統(tǒng)主要包含通用策略審計(jì)審計(jì)和業(yè)務(wù)策略審計(jì)功能：

通用策略審計(jì)的目的是發(fā)現(xiàn)已經(jīng)發(fā)生的或潛在的重復(fù)或沖突策略，提供策略優(yōu)化的解決方案，以便防火墻管理員對(duì)策略進(jìn)行管理，減少冗余策略，提高防火墻策略的匹配效率；

業(yè)務(wù)策略審計(jì)審計(jì)功能針對(duì)業(yè)務(wù)復(fù)雜、配置存在沖突且不容易合并整理的策略，通過周期性自動(dòng)化采集防火墻的策略匹配計(jì)數(shù)信息，發(fā)現(xiàn)定義時(shí)間段內(nèi)的策略匹配情況，發(fā)現(xiàn)疑似無效策略。

系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

平臺(tái)部署設(shè)計(jì)（如圖1所示）：主要包含數(shù)據(jù)庫(kù)服務(wù)器、核心/WEB服務(wù)器、Probe采集器等。

圖1 平臺(tái)部署設(shè)計(jì)圖

1.WEB服務(wù)器

提供防火墻策略圖形化展示，管理搭建的web服務(wù)器。

2.核心服務(wù)器

核心服務(wù)器承擔(dān)的主要功能是訪問和存儲(chǔ)防火墻設(shè)備信息、向probe采集器發(fā)起采集分析命令、把標(biāo)準(zhǔn)化策略和策略分析結(jié)果友好地展現(xiàn)給用戶、并生成和導(dǎo)出報(bào)表供管理員參考。主要由以下5個(gè)功能模塊組成：

(1)信息同步模塊

負(fù)責(zé)從安全管控平臺(tái)同步防火墻信息，并存入數(shù)據(jù)庫(kù)服務(wù)器中。同步的信息包括設(shè)備類型、設(shè)備名稱、IP地址、賬號(hào)憑證等用來登錄設(shè)備的信息。

(2)采集消息發(fā)送模塊

當(dāng)用戶選定所要采集分析的防火墻設(shè)備之后，此模塊會(huì)根據(jù)其設(shè)備類型、設(shè)備ID等信息找到對(duì)應(yīng)的登錄信息、設(shè)備的采集腳本信息，然后組成probe采集器所要求的消息格式發(fā)送給對(duì)應(yīng)的probe采集器。

(3)標(biāo)準(zhǔn)化策略存儲(chǔ)模塊

probe采集器根據(jù)核心服務(wù)器發(fā)送的設(shè)備信息，會(huì)登錄設(shè)備并執(zhí)行采集命令，調(diào)用自身的標(biāo)準(zhǔn)化程序，把采集的原始策略信息標(biāo)準(zhǔn)化成易于閱讀的五元組形式，返回給核心服務(wù)器，此模塊的功能就是把probe采集返回的標(biāo)準(zhǔn)化數(shù)據(jù)存儲(chǔ)到數(shù)據(jù)庫(kù)中，為前臺(tái)頁(yè)面的展示作數(shù)據(jù)準(zhǔn)備。

(4)數(shù)據(jù)展示模塊

此模塊可以把存儲(chǔ)在數(shù)據(jù)庫(kù)中的標(biāo)準(zhǔn)化策略直觀的展現(xiàn)給用戶，并且用戶可以按照一定的條件檢索需的策略，比如按照動(dòng)作，分析結(jié)果類型等。由于數(shù)據(jù)庫(kù)服務(wù)器會(huì)把每次采集的結(jié)果都保存起來，因此管理員還可以查看不同時(shí)間點(diǎn)的策略，便于比較。

(5)報(bào)表展現(xiàn)及報(bào)表導(dǎo)出模塊

報(bào)表展現(xiàn)和導(dǎo)出模塊提供了豐富、詳實(shí)的報(bào)表功能。采集完成后點(diǎn)擊統(tǒng)計(jì)按鈕，可以方便的查看本次采集分析的總覽信息，而且可以導(dǎo)出報(bào)表便于交流和傳遞。

3.數(shù)據(jù)庫(kù)服務(wù)器

為中央服務(wù)器的業(yè)務(wù)提供數(shù)據(jù)存儲(chǔ)服務(wù)。

4.PROBE采集器

執(zhí)行策略采集命令獲取策略原始結(jié)果并標(biāo)準(zhǔn)化的采集服務(wù)器。主要分為以下三個(gè)模塊：

(1)策略采集模塊

probe采集器根據(jù)核心服務(wù)器發(fā)送的設(shè)備登錄信息連接設(shè)備，執(zhí)行采集命令，并把回顯結(jié)果傳遞給策略標(biāo)準(zhǔn)化引擎。

(2)策略標(biāo)準(zhǔn)化模塊

接收由信息采集模塊反饋的策略原始信息，根據(jù)正則表達(dá)式和相應(yīng)的規(guī)則對(duì)原始信息進(jìn)行標(biāo)準(zhǔn)化，得到標(biāo)準(zhǔn)五元組形式傳遞給策略審計(jì)引擎。

(3)策略審計(jì)引擎

策略審計(jì)引擎是最核心的功能模塊，它對(duì)接收到的標(biāo)準(zhǔn)化正則進(jìn)行優(yōu)化審計(jì)和安全審計(jì)，幫助管理員及時(shí)、高效地發(fā)現(xiàn)防火墻中冗余、沖突及違反安全規(guī)則的策略。

應(yīng)用效果

防火墻策略分析審計(jì)功能按防火墻策略順序執(zhí)行邏輯智能分析各系統(tǒng)防火墻策略，發(fā)現(xiàn)沖突、冗余、垃圾和違規(guī)配置問題，給出準(zhǔn)確提示，輔助系統(tǒng)管理員在防火墻策略成百上千條策略中及時(shí)發(fā)現(xiàn)問題策略，實(shí)現(xiàn)防火墻策略自動(dòng)審計(jì)。促進(jìn)防火墻策略配置規(guī)范化，加固各業(yè)務(wù)系統(tǒng)的第一道防線。

圖2 模塊運(yùn)行分析結(jié)果

圖3 二次檢查后結(jié)果

模塊試運(yùn)行過程中審計(jì)防火墻63臺(tái)，共計(jì)8505條策略，分析結(jié)果統(tǒng)計(jì)如圖2所示。

計(jì)算方法：百分比為此類違規(guī)條數(shù)占策略總條數(shù)的百分比，百分比=此類違規(guī)策略條數(shù)/8505。

由于存在一條策略同時(shí)滿足多項(xiàng)違規(guī)的情況，所以各項(xiàng)違規(guī)百分比相加出現(xiàn)大于1的情況為正常。

將各防火墻審計(jì)報(bào)告分發(fā)給管理員進(jìn)行整改，整改后總策略條數(shù)為8307條，二次檢查后結(jié)果如圖3所示。

由表中數(shù)據(jù)可看出實(shí)施效果明顯。本模塊可精準(zhǔn)發(fā)現(xiàn)防火墻策略中已發(fā)生的及潛在的不安全和不規(guī)范策略，經(jīng)管理員根據(jù)審核報(bào)告整改后，效果明顯。

結(jié)論及未來工作

總的來說，防火墻策略核查系統(tǒng)能夠深度、自動(dòng)、高效的審查防火墻策略，為企業(yè)的安全系統(tǒng)長(zhǎng)期穩(wěn)定運(yùn)行提供保障。

現(xiàn)今在大規(guī)模使用防火墻的電信運(yùn)營(yíng)商中，其安全負(fù)責(zé)人已初步融合安全系統(tǒng)，進(jìn)行統(tǒng)一化的管理建設(shè)，但是對(duì)防火墻策略的核查尚屬空白。相信在未來，本文提出的系統(tǒng)化解決防火墻訪問控制策略的方案將出現(xiàn)在電信運(yùn)營(yíng)商及安全廠家的安全防護(hù)審查方案中，使安全管理員脫離低效率的審查工作。