◆張曉東 朱洪剛

（1.鼎信信息科技有限責(zé)任公司 廣東 510623；2.北京宏達(dá)隆和科技有限公司 北京 100007）

隨著信息化的高速發(fā)展，網(wǎng)絡(luò)安全的威脅和攻擊更加頻繁，對(duì)網(wǎng)絡(luò)訪問控制提出更嚴(yán)格的安全管理要求，網(wǎng)絡(luò)安全已經(jīng)成為保障信息系統(tǒng)安全可靠運(yùn)行的重要前提。防火墻作為一種部署于網(wǎng)絡(luò)邊界的軟硬件設(shè)備，可以根據(jù)策略對(duì)進(jìn)出的流量進(jìn)行管控，從而達(dá)到保證網(wǎng)絡(luò)安全的目的。防火墻通過安全策略來進(jìn)行安全防護(hù)，安全策略的正確配置對(duì)防火墻的安全防護(hù)功能起著至關(guān)重要的作用。

與此同時(shí)，隨著業(yè)務(wù)的不斷發(fā)展、網(wǎng)絡(luò)規(guī)模的不斷增長，網(wǎng)絡(luò)安全設(shè)備不斷新增，存在多個(gè)品牌網(wǎng)絡(luò)安全設(shè)備，不同品牌多個(gè)型號(hào)、同一個(gè)型號(hào)存在不同版本的復(fù)雜情況，加之網(wǎng)絡(luò)策略管理模糊又加大了漏洞風(fēng)險(xiǎn)，增加了網(wǎng)絡(luò)安全遭受惡意威脅和攻擊的可能性。目前，應(yīng)重大保障和安全生產(chǎn)的要求，需要運(yùn)維人員定期進(jìn)行防火墻策略表梳理與優(yōu)化工作，但由于防火墻策略普遍只增不減，單臺(tái)防火墻存在幾百、幾千甚至上萬條策略，運(yùn)維人員定期逐條篩查工作量較大，且極易判斷錯(cuò)誤，特別是在策略數(shù)量成百上千、防火墻數(shù)量繁多和防火墻品牌眾多復(fù)雜的情況下，人的判斷已經(jīng)難以勝任審計(jì)要求。

1 防火墻策略采集解析

要實(shí)現(xiàn)策略自動(dòng)梳理，首先需將網(wǎng)絡(luò)安全設(shè)備納入系統(tǒng)進(jìn)行集中管理，在系統(tǒng)中導(dǎo)入設(shè)備信息包含設(shè)備名稱、IP地址、廠商、設(shè)備廠商、型號(hào)、策略采集指令等，關(guān)于安全設(shè)備配置文件的采集方式，可采用SSH模式或TELNET模式采集設(shè)備配置文件。啟動(dòng)單個(gè)或批量采集線程自動(dòng)登錄設(shè)備并執(zhí)行配置文件采集指令，采集成功以后，將不同的文件分別存放在系統(tǒng)指定路徑，并對(duì)系統(tǒng)配置進(jìn)行加密操作，防止信息泄露。

策略解析模塊從指定路徑獲取配置文件，分析配置文件的設(shè)備類型、廠商、設(shè)備平臺(tái)信息，不同設(shè)備廠商建立不同的策略匹配模型，根據(jù)模型匹配配置文件中的接口信息，地址組對(duì)象信息，服務(wù)組對(duì)象信息、時(shí)間對(duì)象信息、NAT策略信息、安全策略信息等，從而達(dá)到不同品牌、型號(hào)的設(shè)備的安全策略集中可視化展示的目的。展示內(nèi)容包含策略名、作用域、協(xié)議、源地址、目的地址、源服務(wù)、目的服務(wù)、動(dòng)作、狀態(tài)、有效日期、策略原型等。

2 防火墻策略審查分析

為減輕人工梳理策略的壓力，降低人工審查產(chǎn)生的錯(cuò)漏風(fēng)險(xiǎn)，網(wǎng)絡(luò)安全管理平臺(tái)以規(guī)則庫五元組方法為基準(zhǔn)實(shí)現(xiàn)防火墻安全策略的自動(dòng)分析審查。從策略開放范圍、策略冗余和策略沖突等防火墻策略進(jìn)行逐條分析，生成寬松策略、重復(fù)策略、沖突策略、過期策略、敏感策略等審查結(jié)果。

寬松策略：審查設(shè)備策略中作用IP或者端口過大的策略。寬松策略規(guī)則由用戶在頁面自定義，平臺(tái)根據(jù)用戶選擇的設(shè)備進(jìn)行寬松策略檢查，統(tǒng)計(jì)每條策略的IP和端口數(shù)量，結(jié)合用戶預(yù)設(shè)的閾值，進(jìn)行寬松策略審計(jì)入庫。

敏感策略：根據(jù)系統(tǒng)平臺(tái)自定義的高危端口，以及用戶定義的敏感端口進(jìn)行策略分析，策略中有匹配高危敏感端口則為敏感策略。海量分析所有策略數(shù)據(jù)，包括端口組引用、多層引用等情況都需進(jìn)行運(yùn)算，為適應(yīng)每個(gè)設(shè)備端口定義的多變性以及大量的數(shù)據(jù)，該子程序設(shè)定數(shù)據(jù)存儲(chǔ)閾值，自動(dòng)分表存儲(chǔ)，提高審查效率。

重復(fù)策略：審查同一臺(tái)安全設(shè)備中策略的源地址、目的地址、源服務(wù)、目的服務(wù)、協(xié)議五組信息以及動(dòng)作是否完全一致，符合則標(biāo)識(shí)為重復(fù)策略。為了提高策略審查速度，程序按照策略作用域進(jìn)行分組，按不同分組進(jìn)行多線程審查，相同分組中，快速比較標(biāo)識(shí)五元組信息及動(dòng)作是否完全一致。

重復(fù)沖突策略：審查同一臺(tái)安全設(shè)備中策略的源地址、目的地址、源服務(wù)、目的服務(wù)、協(xié)議五元組信息是否一致且動(dòng)作相反，符合則標(biāo)識(shí)為重復(fù)沖突策略。同樣，程序按照策略作用域分組處理，提高審查效率。

交叉策略：審查同步一臺(tái)安全設(shè)備中策略的源地址、目的地址、源服務(wù)、目的服務(wù)、協(xié)議五元組信息是否有交叉，且動(dòng)作相同，符合則標(biāo)識(shí)為交叉策略。

交叉沖突策略：審查同一臺(tái)安全設(shè)備中策略的源地址、目的地址、源服務(wù)、目的服務(wù)、協(xié)議五元組信息是否有交叉，且動(dòng)作相反，符合則標(biāo)識(shí)為交叉沖突策略。

包含策略：審查同一臺(tái)安全設(shè)備中策略的源地址、目的地址、源服務(wù)、目的服務(wù)、協(xié)議五元組信息是否有包含關(guān)系，且動(dòng)作相同，符合則標(biāo)識(shí)為包含策略。

包含沖突策略：審查同一臺(tái)安全設(shè)備中策略的源地址、目的地址、源服務(wù)、目的服務(wù)、協(xié)議五元組信息是否有包含關(guān)系，且動(dòng)作相反，符合則標(biāo)識(shí)為包含沖突策略。

根據(jù)以上策略審查規(guī)則，自動(dòng)生成寬松、敏感、重復(fù)、重復(fù)沖突、交叉、交叉沖突、包含、包含沖突策略報(bào)表，運(yùn)維人員依據(jù)審查結(jié)果可進(jìn)行策略優(yōu)化。

3 防火墻策略優(yōu)化收斂

防火墻策略優(yōu)化的目標(biāo)是為了提高防火墻的工作性能，增強(qiáng)防火墻對(duì)企業(yè)應(yīng)用系統(tǒng)的保護(hù)能力，進(jìn)而減少安全事件發(fā)生的可能性。策略優(yōu)化主要從以下兩方面進(jìn)行。

3.1 冗余策略優(yōu)化

冗余策略優(yōu)化包括策略審查結(jié)果中重復(fù)、包含、交叉以及沖突關(guān)系策略的自動(dòng)優(yōu)化。首先建立策略優(yōu)化模型，系統(tǒng)依據(jù)優(yōu)化模型將策略審查結(jié)果中符合條件的策略自動(dòng)添加至策略優(yōu)化管理列表中，再將策略優(yōu)化列表中待優(yōu)化策略生成策略優(yōu)化變更單，根據(jù)變更單內(nèi)容自動(dòng)生成策略下發(fā)指令，自動(dòng)登錄防火墻設(shè)備下發(fā)指令，下發(fā)成功后再驗(yàn)證冗余策略是否優(yōu)化成功（見圖1）。

以包含策略優(yōu)化為例，從以下幾點(diǎn)規(guī)則建立包含策略優(yōu)化模型：（1）審查結(jié)果是A策略包含B策略，且B策略的優(yōu)先級(jí)低于A策略，將B策略添加到策略優(yōu)化管理列表中；（2）審查結(jié)果是A策略包含B策略與C策略，B策略與C策略的優(yōu)先級(jí)高于A策略，且B策略與C策略的五元組相加與A策略完全相等，將A策略添加到策略優(yōu)化管理列表中；（3）審查結(jié)果為A策略包含B策略，B策略優(yōu)先級(jí)高于A策略，且A策略與B策略之間沒有與A策略動(dòng)作相反的策略時(shí)，將A策略調(diào)序到B策略前面后，刪除B策略。

某防火墻設(shè)備存在策略177與策略188，策略188包含策略177，且策略188優(yōu)先級(jí)高于策略177，系統(tǒng)自動(dòng)添加策略177至優(yōu)化列表，系統(tǒng)根據(jù)優(yōu)化對(duì)象與處置辦法生成刪除策略腳本，并自動(dòng)登錄防火墻設(shè)備下發(fā)指令。

生成的腳本如下：

security-policy

undo rulename策略177

quit

最后通過下發(fā)display security-policy rule name策略177指令驗(yàn)證策略是否刪除成功。

3.2 寬松策略收斂

系統(tǒng)自動(dòng)采集防火墻設(shè)備策略并按照源地址、源端口、目的地址、目的端口、協(xié)議五元組等信息進(jìn)行格式化解析入庫并展示，并通過對(duì)防火墻流量會(huì)話的持續(xù)跟蹤監(jiān)控和統(tǒng)計(jì)分析，實(shí)現(xiàn)防火墻上每條安全策略在監(jiān)控周期內(nèi)的會(huì)話命中統(tǒng)計(jì)，對(duì)策略中已經(jīng)被命中的會(huì)話元素生成訪問報(bào)告。

例如，某防火墻存在一條策略如下：

192.168.6.113 訪問 192.168.2.222 8090端口。

192.168.6.113 訪問 192.168.2.150 7001端口。

圖1 冗余策略優(yōu)化

表1 統(tǒng)計(jì)到已有會(huì)話命中的訪問

表2 未有會(huì)話命中的訪問

結(jié)合訪問報(bào)告，我們可以清晰看到哪些訪問在監(jiān)控周期內(nèi)沒有發(fā)生訪問會(huì)話。結(jié)合源端與目的端系統(tǒng)情況對(duì)存在未有會(huì)話命中的策略訪問進(jìn)行收斂。

4 結(jié)語

計(jì)算機(jī)技術(shù)的不斷發(fā)展為人們的網(wǎng)絡(luò)生活帶來了許多的便利，與此同時(shí)也出現(xiàn)了許多的新問題，對(duì)于傳統(tǒng)的網(wǎng)絡(luò)安全管理平臺(tái)提出了許多的新要求，主要包括網(wǎng)絡(luò)策略數(shù)據(jù)收集、分析、安全告警等方面。本文以網(wǎng)絡(luò)安全管理平臺(tái)為研究對(duì)象，該平臺(tái)實(shí)現(xiàn)對(duì)策略的自動(dòng)采集、管理、分析和優(yōu)化，確保采用的策略符合相關(guān)法律法規(guī)和網(wǎng)絡(luò)安全的需要，提高系統(tǒng)內(nèi)部網(wǎng)絡(luò)訪問控制的安全系數(shù)，有效規(guī)避安全風(fēng)險(xiǎn)，提高維護(hù)效率，降低維護(hù)成本。