基于正則表達式的防火墻安全配置核查方法研究

湯 飛

（中國鐵道科學研究院 電子計算技術研究所，北京 100081）

基于正則表達式的防火墻安全配置核查方法研究

湯 飛

（中國鐵道科學研究院 電子計算技術研究所，北京 100081）

本文以鐵路車站客票網防火墻為研究對象，提出了一種基于正則表達式的防火墻安全配置核查方法。此方法使用正則表達式匹配代替人工評判，提高了核查的效率；同時，該方法的安全配置基于信息安全國家標準要求和實際業務需求制定，降低了核查的主觀性。

防火墻；配置；配置核查；正則表達式

防火墻安全配置是防火墻執行訪問控制功能依據的規則集合，可分為安全策略配置和安全管理配置。其中，安全策略配置是防火墻決定網絡數據是否通過的規則集合[1]，它從數據報文安全層面為信息系統安全提供保障，防止網絡數據威脅信息系統安全。安全管理配置指定防火墻工作和管理方式，是防火墻運行和維護時應遵循的規則集合[2]，它從設備管理安全層面為信息系統安全提供保障，避免防火墻自身安全問題威脅信息系統安全。作為保護信息系統安全的重要手段，防火墻自身的安全核查和測評也應得到驗證。

1 問題提出

隨著國家信息安全等級保護工作的推進，需對信息系統安全等級實施測評和定級。鐵路客票系統作為涉及社會公共秩序的計算機系統，是國家信息安全等級保護第四級要求確定的系統，它在邏輯上分為鐵路總公司級安全域、地區級安全域、車站級安全域，不同安全區域間通過防火墻等設備實現安全區域邊界防護[3]。為驗證鐵路客票系統安全保護能力，需對防火墻開展安全配置核查工作,從配置制定和配置實施兩個層面進行檢查分析。在配置制定層面，需檢查分析防火墻安全配置是否合理、完備；在配置實施層面，需實地核查防火墻是否啟用配置。

傳統上，防火墻配置核查多采用基于人工評判的Web界面配置核查方法，該方法需人工判斷，且無法深入底層對防火墻配置進行全面核查。另外，也有人采用基于人工評判的命令行配置核查方法，該方法解決了不能查看防火墻底層配置的缺陷，但復雜防火墻命令對核查人員提出了較高的技術要求，而以上方法對待查安全配置結果的認定會受到核查人員主觀意識和工作經驗的制約，不一定具有合理性和完備性。Gawanmeh等人曾研究了一種使用域限制(domain restriction)技術模擬和驗證防火墻規則的方法[4]，通過查看防火墻的反應以核查其安全配置，但該方法需要搭建復雜的測試環境且工作量大。

本文以鐵路客票系統車站級安全域H3C防火墻為研究對象，依據等級保護要求和客票業務需求，引入正則表達式，提出了一種基于正則表達式的防火墻安全配置核查方法。

2 正則表達式

2.1 正則表達式簡介

正則表達式是一種字符串，擅長操縱字符序列和處理結構化數據[5]。它由代表特定含義的元字符及其組合構成，這些元字符及其組合按照一定的語法規則結合起來，來表達對字符序列的過濾匹配邏輯。

如“d”、“s”、“w”為3個不同的元字符，分別表示任意一位數字字符、任意一個空格或回車或換行符、任意一個可構成單詞的字符。可以分別使用“dddd”表示任意相連的四位數字，“dwwwd”表示第1位及最后1位為任意數字、中間3位為任意可成單詞字符的長度為5的字符序列。

2.2 正則表達式功能及應用

正則表達式的主要功能是字符（或序列）匹配，其使用可分為3個環節：輸入、處理和輸出。輸入環節的輸入內容包括兩部分：描述預期字符或字符序列的正表達式、待處理字符序列；處理環節是正則表達式引擎依據輸入的正則表達式代表的句法規則，對另一輸入—待處理字符序列進行匹配過濾的過程；輸出環節是將處理環節產生的結果輸出，輸出內容為包含在待處理字符序列中滿足句法規則的字符或字符序列。正則表達式的主要應用對象是文本，它在基于文本的編輯器和基于文本的搜索工具中應用廣泛。

2.3 正則表達式與配置核查

在基于人工評判的防火墻安全配置核查過程中，核查人員依據防火墻的展示信息，確定核查結論。若將該過程的參與要素抽象為核查人員、防火墻展示信息和核查結論，那么可將核查人員和防火墻的展示信息視為該過程的輸入，核查人員對展示信息的評判視為該過程的處理，核查結論的確定視為該過程的輸出，如圖1所示。

圖1 基于人工評判的防火墻配置核查過程

可以發現，上述核查過程與正則表達式的使用過程類似。

由此，不妨將正則表達式引入配置核查過程，使用預先編制好的正則表達式代替核查人員，對防火墻的展示信息進行自動匹配評判，免去人工評判工作，提高核查效率。

3 防火墻安全配置要求

安全配置是防火墻發揮網絡安全防護功能的關鍵。防火墻依據自身安全配置，執行訪問控制功能，允許符合規則的正常數據流通過，拒絕不符合規則的非正常數據流通過。

傳統的安全配置基于核查人員知識水平和工作經驗得出，具有明顯的個人主觀性和不規范性。本文從國家標準要求和業務需求出發，提出對防火墻的安全配置要求。

3.1 信息安全等級保護要求

信息安全等級保護國家標準GB/T 28448-2012[6]及GB/T 22239-2008[7]第3級要求，從訪問控制、安全審計、網絡設備防護、備份和恢復4個方面對防火墻的安全能力作出了規定。《標準》對防火墻的安全能力提出了以下要求。

3.1.1 訪問控制

防火墻依據安全策略允許或拒絕數據報文通過；能對應用層協議如HTTP進出網絡的信息內容進行過濾；對已連接的會話應在其處于非活躍狀態一段時間或會話結束后終止連接；應限制網絡最大流量數和網絡連接數；采取措施如IP/MAC綁定防止地址欺騙；對受控資源的訪問按用戶和系統之間的允許訪問規則進行；對進入內網的用戶數進行限制。

3.1.2 安全審計

防火墻應對設備的運行狀況、網絡流量、用戶行為等進行日志記錄；審計記錄應包括事件的時間和日期、用戶、事件類型、事件是否成功等信息；能夠進行審計數據分析并生成審計報表；應采取措施對審計記錄加以保護以防止未預期的刪除、修改、覆蓋。

3.1.3 網絡設備防護

防火墻應對登陸用戶進行身份鑒別；限制管理員登陸的IP地址；不允許出現共享賬號；重要防火墻應采用組合鑒別技術進行身份鑒別；鑒別信息應具有不易被冒用的特點；具備登陸失敗處理功能；遠程管理應采用SSH、HTTPS等加密協議防止鑒別信息被竊聽；不同類型管理員僅分配業務需要的最小權限。

3.1.4 備份和恢復

應定期對防火墻的配置文件進行備份以防止防火墻因意外導致策略丟失影響系統正常運行；主要的防火墻設備，應提供硬件冗余，保證系統的高可用性。

3.2 鐵路客票系統業務需求

鐵路車站客票網防火墻，部署于車站客票網邊界，對鐵路局中心客票網與車站客票網間的交互數據執行檢查過濾。車站客票網與鐵路局客票網的部署結構如圖2所示[8]。

圖2 車站與鐵路局客票網部署示意圖

鐵路局中心客票網與車站客票網間存在數據交互的業務有[9]：

（1）車站窗口售票業務：包括窗口售票終端執行售票、退票、廢票、換票、改簽、互聯網取票、財務統計等。

（2）車站自動售票業務：包括在自動售票機上旅客自助購票和電子票取票。

（3）車站檢票業務： 包括鐵路局中心向本站閘機下發檢票計劃，閘機上傳檢票信息至鐵路局檢票服務器。

（4）車站補票業務[10]：包括車站到站補票，收入統計，結賬等。

3.3 鐵路車站級安全域防火墻安全配置內容

按照上述等級保護要求及鐵路客票網業務需求，總結出防火墻安全配置內容如下。

3.3.1 訪問控制

（1）開啟默認禁止策略，默認禁止未明確規定的數據通過；

（2）開啟常用應用層協議如HTTP、FTP等的過濾策略；

（3）啟用會話超時自動斷開連接策略；

（4）啟用最大流量數及最大連接數限制；

（5）重要應用啟用IP/MAC地址綁定策略；

（6）支持并啟用用戶與資源的允許訪問規則，特定用戶只能訪問特定資源；

（7）限制具有撥號訪問權限的用戶數。

3.3.2 安全審計

（1） 啟用對防火墻自身運行狀態、網絡流量、用戶行為的日志審計策略；

（2） 審計記錄應包括：事件日期、事件時間、用戶、事件類型、事件成功狀態等；

（3）能夠對審計日志數據進行分析，生成審計報表；

（4）啟用審計記錄保護策略，防止日志受到未預期的刪除、修改或覆蓋。

3.3.3 網絡設備防護

（1）對登陸防火墻的用戶進行身份鑒別；

（2）啟用防火墻登陸地址限制策略；

（3）防火墻用戶標識名唯一；

（4）重要防火墻采用組合鑒別技術進行身份鑒別；

（5）身份鑒別信息應不易被冒用，口令滿足復雜度要求，并定期更換；

（6）啟用登陸失敗處理功能，多次登陸失敗鎖定賬號、網絡連接超時自動退出；

（7）采用加密的SSH或HTTPS等協議進行遠程管理，防止鑒別信息被竊聽；

（8）為不同管理用戶分配滿足業務需求的最小權限，實現特權用戶權限分離。

3.3.4 備份和恢復

（1）啟用防火墻配置備份策略，定期對防火墻配置進行備份；

（2）重要防火墻啟用硬件冗余策略，實現雙機熱備。

3.3.5 業務需求配置

若3.2中窗口售票、自動售票、自動檢票及到站補票業務執行時，業務數據的參數如表1所示。

表1 鐵路客票網不同業務數據參數

則防火墻應新增4條安全策略配置規則，允許符合上表描述的數據報文通過。

4 基于正則表達式的防火墻安全配置核查方法

4.1 傳統防火墻安全配置核查方法

傳統防火墻安全配置核查方法分為基于人工評判的Web界面配置核查方法和基于人工評判的命令行配置核查方法。

在前者中，核查人員登入防火墻Web管理界面，以查看Web頁面的方式，對待查安全配置予以核查確認。該方法原理簡單、易于操作，但不能深入底層對防火墻配置進行全面核查。

在基于人工評判的命令行配置核查過程中，核查人員登入防火墻，輸入防火墻命令，依據防火墻返回的提示信息，判定防火墻當前的配置狀況。該方法從開發級深度，深入底層對防火墻配置進行全面核查，核查過程如圖3所示。

圖3 基于人工評判的命令行配置核查過程

4.2 基于正則表達式的防火墻安全配置核查方法

類似于圖3所述過程，若將配置查看命令提交遠程防火墻執行，然后使用預設正則表達式對防火墻提示信息進行匹配，由匹配結果便得核查結果。這即為基于正則表達式的安全配置核查方法的基本思路。

安全配置、防火墻命令、正則表達式是該方法的3要素。安全配置為核查提供核查條目，是核查過程的指導和依據；防火墻命令為核查提供實施指令，是核查工作執行的承載者；正則表達式為核查判定結果，是核查結論的確立者。

在該方法的實施過程中，可將安全配置對應的防火墻命令和正則表達式保存于本地，逐條取命令提交遠程防火墻執行，然后使用正則表達式對防火墻的返回信息予以匹配，依據匹配結果得出核查結果。

若將上述實施過程程序化，則核查人員只需事先將安全配置對應的防火墻命令和正則表達式作為參數輸入程序，之后便可不做任何人工干預，程序即能一次性完成配置核查工作，從而極大提高核查工作的效率。基于正則表達式的配置核查模型如圖4所示。

在該模型中，安全配置是防火墻命令和正則表達式完成配置核查過程的基準和依據，防火墻命令和正則表達式是實現配置核查過程的手段和方法。

圖4 基于正則表達式的配置核查模型

4.3 基于正則表達式的防火墻安全配置核查內容

將3要素逐一總結(正則表達式為配置符合要求時的匹配規則)，得到基于正則表達式的配置核查內容如下[11]。

4.3.1 訪問控制

依據3.3中訪問控制的各項要求，得到對應配置核查內容如表2所示。

表2 防火墻訪問控制類配置核查內容

4.3.2 安全審計

依據3.3中安全審計的各項要求，得到對應配置核查內容如表3所示。

4.3.3 網絡設備防護

依據3.3中網絡設備防護的各項要求，得到對應配置核查內容如表4所示。

4.3.4 備份和恢復

依據3.3中備份和恢復的各項要求，得到對應配置核查內容如表5所示。

表3 防火墻安全審計類配置核查內容

表4 防火墻網絡設備防護類配置核查內容

表5 防火墻備份和恢復類配置核查內容

4.3.5 業務需求策略

依據3.3中業務需求配置的要求，將表1中代表不同數據包類型的數值1、2、3、4以X替代，得到對應配置核查內容如表6所示。

表6 防火墻業務需求類配置核查內容

5 結束語

本文依據信息安全等級保護標準要求，以鐵路車站客票網防火墻為研究對象，提出了一種基于正則表達式的安全配置核查方法，該方法同樣可以推廣應用于其他網絡安全設備的配置核查工作，為信息安全等級保護配置核查工作的開展提供了一種新的思路。

[1] 任展銳. 防火墻安全策略配置關鍵技術研究[D] .長沙：國防科技大學，2011.

[2] 杜 雨. 防火墻遠程配置管理系統的設計與實現[D]. 成都：四川大學，2006.

[3] 祝詠升，丁 妍，張 彥. 鐵路客票系統信息安全技術方案設計[J]. 鐵道科學與工程學報，2012，9（5）：119–124.

[4] Gawanmeh Amjad，Tahar Sof i ène. Modeling and verif i cation of fi rewall conf i gurations using domain restriction method [C]. 2011 International Conference for Internet Technology and Secured Transactions，Abu Dhabi United arab emirates，2011.

[5] Broberg Niklas, Farre Andreas, Svenningsson Josef. Regular expression patterns [C]. Proceedings of the Ninth ACM SIGPLAN International Conference on Functional Programming，Snowbird UT United states，2004.

[6] 中華人民共和國國家質量監督檢驗檢疫總局，中國國家標準化管理委員會. GB/T 28448-2012，信息安全技術—信息系統安全等級保護測評要求[S]. 北京：中國標準出版社，2012.

[7] 中華人民共和國國家質量監督檢驗檢疫總局，中國國家標準化管理委員會. GB/T 22239-2008，信息安全技術—信息系統安全等級保護基本要求[S] . 北京：中國標準出版社，2008.

[8] 中國鐵道科學研究院電子計算技術研究所. 京滬高速鐵路客票系統實施方案 [Z] . 北京：中國鐵道科學研究院電子計算技術研究所，2011.

[9] 張 彥，史天運，李仕達，李 超. AFC技術及鐵路自動售檢票系統研究[J] . 中國鐵路，2009，1（3）：50-55.

[10] 方 凱. 鐵路客運車站補票系統的設計與實現[J]. 交通運輸系統工程與信息，2008，8（5）：124–128.

[11] 華三通信技術有限公司. H3C SecPath系列安全產品命令手冊[Z]. 杭州：華三通信技術有限公司，2009.

責任編輯 方 圓

Method of f i rewall conf i guration checking based on Regular Expression

TANG Fei
(Institute of Computing Technologies, China Academy of Railway Sciences, Beijing 100081, China)

This paper proposed a method based on Regular Expression to check configurations through studying fi rewalls in TRS network of railway station. The method adopted Regular Expression matching instead of manual judging, made checking process more ef fi cient. In addition, con fi guration checking lists were made based on national standards of information security and practical requirements of TRS network, which made checking process less subjective.

fi rewall; con fi guration; con fi guration checking; Regular Expression

U29-39

A

1005-8451（2015）02-0022-06

2014-10-08

湯 飛，在讀碩士研究生。