利用大數(shù)據(jù)技術(shù)挖掘網(wǎng)絡(luò)防火墻日志的安全價值

肖鳴

【摘要】 網(wǎng)絡(luò)防火墻是部署在網(wǎng)絡(luò)安全域之間的屏障，它可以監(jiān)控和攔截域間的流量，實現(xiàn)安全防護(hù)。隨著數(shù)據(jù)中心網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大、業(yè)務(wù)數(shù)據(jù)日益增長，防火墻的安全作用越顯重要。在大數(shù)據(jù)時代，通過收集防火墻日志并進(jìn)行分析，可以讓網(wǎng)絡(luò)防火墻的安全功能得以進(jìn)一步利用和提升。

【關(guān)鍵字】 大數(shù)據(jù) 網(wǎng)絡(luò)防火墻 網(wǎng)絡(luò)安全 策略審計 安全感知

一、防火墻的傳統(tǒng)安全功能

網(wǎng)絡(luò)防火墻是數(shù)據(jù)中心一個必不可少的安全防護(hù)工具，負(fù)責(zé)網(wǎng)絡(luò)地址轉(zhuǎn)換（Network Address Translation）和訪問控制（Access Control List）。網(wǎng)絡(luò)地址轉(zhuǎn)換用于隱藏私網(wǎng)IP和端口信息和地址復(fù)用；訪問控制用于防護(hù)服務(wù)器敏感端口和漏洞端口的非法訪問、非法掃描，以及控制各個安全域間的服務(wù)器或終端的訪問權(quán)限。

二、防火墻日志做策略審計和優(yōu)化

2.1防火墻策略審計需求

防火墻策略控制著安全域之間服務(wù)器或終端的訪問權(quán)限，它的有效性直接影響業(yè)務(wù)，必須定期檢查。每個業(yè)務(wù)和資產(chǎn)都有生命周期，資產(chǎn)或者業(yè)務(wù)的終止會讓對應(yīng)的ACL策略變成無效策略，這些無效策略必須定期審計并刪除。每個網(wǎng)絡(luò)安全運(yùn)維人員都有配置錯誤ACL的可能，這些錯誤可以通過審計發(fā)現(xiàn)。

2.2大數(shù)據(jù)助力防火墻策略審計和優(yōu)化

策略審計基本是通過檢查ACL配置實現(xiàn)。然而，通過大數(shù)據(jù)平臺收集防火墻日志并作分析，可以優(yōu)化審計或者實現(xiàn)新的功能：

1）對近期的訪問量進(jìn)行排序，根據(jù)訪問頻率調(diào)整ACL順序，能有效減輕防火墻工作壓力。

2）通過防火墻的拒絕連接日志，發(fā)現(xiàn)錯誤配置。例如某個應(yīng)用程序配置了錯誤的訪問目標(biāo)IP，則會被防火墻攔截并產(chǎn)生大量防火墻拒絕連接日志，我們可以通過收集這些拒絕連接日志發(fā)現(xiàn)程序錯誤。

3）根據(jù)ACL的源IP和目標(biāo)IP，對近期的訪問量進(jìn)行搜索從而發(fā)現(xiàn)0命中策略，再去確認(rèn)源IP或目標(biāo)IP服務(wù)器是否下線，可以發(fā)現(xiàn)無效策略。

三、防火墻日志感知互聯(lián)網(wǎng)

防火墻的主要作用是負(fù)責(zé)訪問控制，攔截違反訪問策略的流量。在大數(shù)據(jù)平臺接收互聯(lián)網(wǎng)邊界防火墻日志后，我們不僅可以知道違規(guī)的流量，也可以感知互聯(lián)網(wǎng)IP，建立互聯(lián)網(wǎng)IP信譽(yù)庫，表1舉了幾個例子。

四、防火墻日志感知內(nèi)網(wǎng)訪問

網(wǎng)絡(luò)防火墻日志中，大部分是建立連接和拒絕連接的告警日志。在長期收集日志后，對成功鏈接的日志根據(jù)源IP、目標(biāo)IP進(jìn)行統(tǒng)計，可以感知數(shù)據(jù)中心服務(wù)器間的業(yè)務(wù)訪問行為，從而建立安全訪問規(guī)則庫。對于違反訪問規(guī)則的日志，則發(fā)出告警，讓安全管理員對源IP服務(wù)器進(jìn)行安全分析。如果數(shù)據(jù)中心有配置管理數(shù)據(jù)庫（CMDB），把IP與服務(wù)器名關(guān)聯(lián)起來，可以提升安全分析效率。

五、防火墻日志在挖掘攻擊鏈路的作用

現(xiàn)在的網(wǎng)絡(luò)攻擊越來越復(fù)雜和隱蔽，網(wǎng)絡(luò)入侵的發(fā)現(xiàn)和溯源需要多種安全設(shè)備告警的關(guān)聯(lián)分析。如果黑客在某個攻擊環(huán)節(jié)中采用0day惡意代碼，則很有可能沒有告警，從而無法還原整個攻擊鏈路，給溯源分析帶來困難。例如：黑客成功入侵服務(wù)器A后，通過IP掃描得知服務(wù)器A可以訪問服務(wù)器B，然后植入0day惡意代碼并成功控制服務(wù)器B。在這個例子中，我們可能會發(fā)現(xiàn)服務(wù)器A有安全告警，服務(wù)器B有安全告警，但沒有找到A入侵B的安全告警。但無論攻擊再隱蔽，惡意代碼再難發(fā)現(xiàn)，只要服務(wù)器A訪問服務(wù)器B經(jīng)過防火墻，訪問記錄是無法掩蓋的。我們可以通過防火墻日志完善攻擊鏈路，從而實現(xiàn)攻擊鏈路的溯源。

六、總結(jié)

網(wǎng)絡(luò)防火墻的傳統(tǒng)安全功能是隱藏IP信息和訪問控制。但是，我們可以通過大數(shù)據(jù)技術(shù)收集網(wǎng)絡(luò)防火墻日志并進(jìn)行分析，在策略審計、互聯(lián)網(wǎng)IP感知、內(nèi)網(wǎng)安全感知、挖掘攻擊鏈路等方面提升安全防御能力。