通信網(wǎng)絡(luò)防火墻策略優(yōu)化實(shí)踐

顏昭治

摘要：防火墻是確保通信網(wǎng)絡(luò)安全的重要設(shè)施，但存在部分設(shè)備由于維護(hù)不當(dāng)，導(dǎo)致防火墻策略臃腫，不符合策略“最小化”原則，給防火墻性能及業(yè)務(wù)安全帶來隱患。該文通過總結(jié)公司通信網(wǎng)絡(luò)防火墻策略問題及其成因，并提出相應(yīng)的策略優(yōu)化方法，最后闡述了優(yōu)化過程中幾點(diǎn)實(shí)踐，以此來掌握防火墻策略如何優(yōu)化，進(jìn)而到達(dá)提升通信網(wǎng)絡(luò)安全的目的。

關(guān)鍵詞：防火墻;安全策略;策略優(yōu)化;網(wǎng)絡(luò)安全;通信網(wǎng)絡(luò)

中圖分類號：TP311? ? ? ? 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2021）07-0046-02

Abstract：Firewall is an important facility to ensure the security of communication network.However，due to improper maintenance of some devices，the firewall policy is unreasonable and does not follow the principle of minimization， which brings hidden danger to firewall performance and business security.This paper summarizes the problems and causes of the company's communication network firewall policy， and puts forward the corresponding policy optimization methods. Finally， it expounds several practices in the optimization process， so as to master how to optimize the firewall policy，and then achieve the purpose of improving the communication network security.

Key words：firewall;security policy;policy optimization;network security;communication network

1引言

防火墻是網(wǎng)絡(luò)安全體系中極為重要的一環(huán)，通過在網(wǎng)絡(luò)邊界上構(gòu)建一道相對隔絕的保護(hù)屏障，以阻擋來自外部的網(wǎng)絡(luò)入侵，其在通信網(wǎng)絡(luò)關(guān)鍵基礎(chǔ)設(shè)施安全防護(hù)中起到舉足輕重的作用。但由于策略沒有得到有效合理的維護(hù)，甚至將防火墻當(dāng)作路由器來看待，把原本不應(yīng)暴露的安全資產(chǎn)對外暴露了，致使防火墻應(yīng)有功能“失效”，對通信網(wǎng)絡(luò)安全造成嚴(yán)峻挑戰(zhàn)。

2問題及其成因

目前通信網(wǎng)絡(luò)的防火墻主要是使用包過濾功能在網(wǎng)絡(luò)層來允許或拒絕外部網(wǎng)絡(luò)的訪問，通過訪問控制列表和安全策略兩種方式實(shí)現(xiàn)。訪問控制列表一般用于限制設(shè)備自身被訪問范圍，比如TELNET、SNMP等，以及防范一些蠕蟲、DDOS等網(wǎng)絡(luò)層攻擊;安全策略即是用于業(yè)務(wù)層面的訪問控制，按照一定規(guī)則檢測各個區(qū)域互訪的數(shù)據(jù)流。在實(shí)際應(yīng)用中，主要存在以下六個方面的問題：

2.1策略范圍過大

即源IP、目的IP及目的端口沒有按照策略“最小化”原則進(jìn)行配置，甚至配置成“ANY TO ANY”。究其原因一是審核不嚴(yán)，沒有嚴(yán)格把關(guān)策略需求;二是貪圖方便，采用大網(wǎng)段代替具體IP;三是數(shù)據(jù)作不規(guī)范，把沒有共性業(yè)務(wù)特征的策略進(jìn)行合并;四是對應(yīng)用協(xié)議缺乏認(rèn)識，特別是涉及動態(tài)端口。應(yīng)從嚴(yán)把關(guān)、規(guī)范操作、掌握協(xié)議，根據(jù)業(yè)務(wù)實(shí)際需求，將源IP、目的IP及目的端口改成滿足要求的最小范圍。

2.2策略無用無效

通常防火墻存在未命中策略、未引用策略、過期策略、重復(fù)策略或沖突策略等多余數(shù)據(jù)，這些數(shù)據(jù)不僅無用無效，還會影響防火墻性能以及業(yè)務(wù)安全。未命中、未引用和過期策略主要是未定期對防火墻策略數(shù)據(jù)進(jìn)行清理造成的;重復(fù)或沖突策略主要是新建策略時，未對已有策略數(shù)據(jù)進(jìn)行分析引起的，需要細(xì)心分析這些策略是優(yōu)先級高的策略的開放范圍過大還是確實(shí)反映了實(shí)際需求，又或者是存在冗余策略。

2.3策略開通雙向

由于對專業(yè)知識掌握不牢，未能深入理解防火墻機(jī)制，在新建策略時，時常配置一條入站策略的同時又配置一條與此對應(yīng)的出站策略。其實(shí)出站策略純粹是多余的，一是有些防火墻出站策略是默認(rèn)全放通的，這與防火墻品牌、型號、系統(tǒng)版本、區(qū)域優(yōu)先級有關(guān)，二是新一代防火墻已能根據(jù)入站策略創(chuàng)建此策略的會話狀態(tài)，可實(shí)現(xiàn)單向訪問控制。

2.4策略違反管理

策略違反管理是指策略配置違反了公司自身一些安全管理要求，比如不允許源IP為它網(wǎng)IP或跨區(qū)域IP、不能對互聯(lián)網(wǎng)開放管理端口、禁止繞過集中維護(hù)平臺直接訪問設(shè)備等。存在不符合要求的策略，主要根源是日常維護(hù)管理不到位所致，應(yīng)按管理要求，去除違規(guī)地址、修改管理端口或者策略給予刪除。

2.5臺賬陳舊欠缺

策略臺賬登記著策略歸屬、用途、五元組等重要信息，可以起到溯源作用。但由于維護(hù)人員變動、工單系統(tǒng)變遷、信息未定期更新等原因，導(dǎo)致策略臺賬不準(zhǔn)確、不完善，信息過于陳舊。在實(shí)施數(shù)據(jù)變更時，無法找到對應(yīng)負(fù)責(zé)人，難以知曉策略用途，強(qiáng)制刪除又恐引起在用業(yè)務(wù)中斷。應(yīng)盡可能做到策略臺賬信息完整無誤，并與設(shè)備上策略數(shù)據(jù)一一匹配。

2.6命名無規(guī)無則

因缺乏有效的數(shù)據(jù)管理規(guī)范，策略數(shù)據(jù)的制作僅憑維護(hù)人員自身的想法，其結(jié)果往往是五花八門、無跡可尋。科學(xué)合理的策略數(shù)據(jù)制作規(guī)范可以有效幫助我們快速明確策略的用途和歸屬，同時也可以幫助我們得到更加清晰的策略臺賬信息，對任何時候的策略梳理和優(yōu)化都是有利無弊的。因此應(yīng)通盤考慮、統(tǒng)一規(guī)劃策略相關(guān)字段命名規(guī)范。

3策略優(yōu)化方法

3.1策略建賬

建立防火墻策略臺賬信息是落實(shí)優(yōu)化的前提，清晰明確的臺賬信息可以起到事半功倍的效果。首先是通過手工或腳本方式梳理防火墻策略表，然后將無用策略、反向策略、違規(guī)策略等多余數(shù)據(jù)標(biāo)記出來，接著根據(jù)已掌握維護(hù)資料，盡可能明確策略五元組整改信息以及歸屬專業(yè)、歸屬部門和使用用途，最終將策略標(biāo)記為無須整改、已明確整改、不明確整改和即將刪除。對于不明確整改的，按照其他優(yōu)化方法做進(jìn)一步分析。

3.2分組分類

分組分類的目的是減少優(yōu)化的復(fù)雜度?？筛鶕?jù)安全區(qū)域、策略出入站方向、專業(yè)/系統(tǒng)、IP歸屬地等維度對不明確整改的安全策略進(jìn)行分組，同時根據(jù)源IP和目的IP進(jìn)一步細(xì)分。源IP可按照業(yè)務(wù)類型進(jìn)行分類，可分為4A平臺、應(yīng)急終端、安全系統(tǒng)（如防病毒、補(bǔ)丁、日志、掃描器等）、支撐系統(tǒng)（如監(jiān)控、分析、備份等）;目的IP可按照設(shè)備類型進(jìn)行分類，因同樣類型的設(shè)備一般提供相同的業(yè)務(wù)，特別是使用端口，可分為網(wǎng)絡(luò)設(shè)備、主機(jī)、標(biāo)準(zhǔn)應(yīng)用、定制化應(yīng)用等。

3.3拆分合并

某些策略過于臃腫，源IP或目的IP包含了許多IP段，不利于確認(rèn)策略歸屬，同時也不滿足“最小化”原則，必須對其進(jìn)行拆分。一般按照訪問源進(jìn)行拆分，然后再細(xì)化目標(biāo)地址，最后再確認(rèn)使用端口，最終將策略拆分到合理程度。當(dāng)然有時策略數(shù)量過大，不利于維護(hù)，可視實(shí)際情況，將有共性業(yè)務(wù)特征的策略進(jìn)行合并，如4A平臺、安全系統(tǒng)等業(yè)務(wù)。

3.4 日志分析

為精準(zhǔn)獲取策略五元組在用信息，將策略優(yōu)化至符合“最小化”要求，此時就需要進(jìn)行日志分析。可通過啟用策略日志，統(tǒng)計(jì)分析一段時間內(nèi)的日志結(jié)果，然后根據(jù)日志記錄的五元組信息，新建相關(guān)安全策略，這些策略盡可能符合“最小化”原則，并且優(yōu)先級比原策略高，最后根據(jù)日志記錄不斷新增或優(yōu)化這些策略，直到原策略沒有命中，則策略優(yōu)化完成。

此外，還可采用更為激進(jìn)的優(yōu)化方法，那就是統(tǒng)計(jì)分析長時間內(nèi)所有策略日志或會話記錄，然后以記錄到的五元組信息重新創(chuàng)建所有策略，最后在舊策略都未命中時將其全部刪除。但一方面須對新建策略進(jìn)行合理合并，另一方面則要剔除干擾流量產(chǎn)生的無效數(shù)據(jù)。

4 策略優(yōu)化實(shí)踐

4.1日志會話分析

以華為SRG2200系列防火墻為例，分析前須先啟用策略日志并清除策略命中統(tǒng)計(jì)信息，當(dāng)隔一段時間或命中率達(dá)到一定值時，即可開始分析日志，如圖1所示。

當(dāng)然設(shè)備如果支持web方式，操作更為簡便。有時也可通過查看會話記錄輔助分析，具體指令是“display firewall session table”。

4.2目標(biāo)端口確認(rèn)

全端口放通是策略配置常見的問題，有些策略活動頻率較低，優(yōu)化時無法在短時間內(nèi)通過日志或會話分析確認(rèn)目標(biāo)端口。端口分標(biāo)準(zhǔn)化端口和自定義端口，定制化軟件通常使用（一段）動態(tài)端口。為準(zhǔn)確獲取目標(biāo)端口信息，避免誤操作造成業(yè)務(wù)中斷，可通過查閱目標(biāo)對象業(yè)務(wù)文檔、登錄設(shè)備查看監(jiān)聽端口、主動掃描設(shè)備開放端口等方法進(jìn)行確認(rèn)，相關(guān)指令如下：

lnmap -Pn -p 1-65535 ip #遠(yuǎn)程掃描端口

lnetstat –an #主機(jī)上查看使用端口

ltelnet ip port ? ? ? ? #驗(yàn)證TCP端口是否開放

lnmap –sU ip –p port #驗(yàn)證UDP端口是否開放

4.3數(shù)據(jù)命名規(guī)范

其實(shí)策略數(shù)據(jù)命名規(guī)范也是策略優(yōu)化的組成部分。策略數(shù)據(jù)命名應(yīng)遵從一定的規(guī)范性、科學(xué)性，做到區(qū)分清晰、有章可循。從策略的命名及描述中即可知道歸屬部門、歸屬專業(yè)、業(yè)務(wù)類型、使用用途等有效信息，同樣從源地址、目的地址和地址組的命名及描述中即可知道歸屬部門、歸屬專業(yè)、歸屬區(qū)域、主機(jī)名稱、設(shè)備型號、設(shè)備位置、業(yè)務(wù)類型或使用用途等有效信息。參考示例如下：

l歸屬地域_歸屬專業(yè)_GROUP? ? ? ? #地址組命名

l歸屬地域_歸屬專業(yè)_設(shè)備位置_設(shè)備型號_主機(jī)名稱#地址命名

l歸屬專業(yè)_業(yè)務(wù)類型_GROUP? ?#策略命名

最后，在描述中填寫依據(jù)（比如工單號等）、用途或時間等有關(guān)信息。

4.4 策略工具輔助

某些型號的防火墻支持策略冗余、策略命中率等分析，然而功能畢竟有限，無法滿足優(yōu)化要求。第三方策略管理工具提供了更加全面、更加高效的功能支持，可快速、有效、詳細(xì)地分析出防火墻策略各種存在問題，包括策略源IP、目的IP及目的端口等合規(guī)性分析，策略是否存在交叉、包含、冗余、沖突，策略是否存在管理違規(guī)等，特別是定制化工具，更具有針對性，可滿足個性化需求。可以根據(jù)工具生成的分析報(bào)告，對于檢查出的問題，逐條落實(shí)優(yōu)化整改。

5 結(jié)束語

防火墻策略優(yōu)化是項(xiàng)煩瑣、費(fèi)時的工作，策略未能符合要求更多的是管理問題，應(yīng)把關(guān)需求、規(guī)范制作、定期清理、明確歸屬、了解業(yè)務(wù)。對于一時無法進(jìn)行全面策略優(yōu)化的，應(yīng)做好“控新增、減存量”。另外必須夯實(shí)專業(yè)知識，透徹掌握防火墻機(jī)制及品牌、版本區(qū)別，全面精通協(xié)議及其端口，如SNMP和SNMPTRAP、FTP主動和被動模式、HRP和VRRP等。

【通聯(lián)編輯：代影】