防火墻策略深度審計系統

趙冠哲等

摘要防火墻是業務系統的第一道防線，對保證內網安全起著關鍵作用，而防火墻策略配置粗粒度使得防火墻作用難以真正發揮。目前，人工策略審核費時費力，亟需一種自動化的策略審計手段。本文研究并實現了關于防火墻策略的自動化審計系統，該系統能有助于促進防火墻策略配置規范化，提升安全水平的同時提高工作效率，輔助管理員加固網絡的第一道防線。

關鍵詞防火墻策略；策略審計；自動化審計

Abstract： Firewall is the first line of defense for business systems，and it plays a key role in the security of intranet， but careless configuration makes it difficult to work. Nowadays， policy audit mostly depends on manual work， and it is a time-consuming effort， we need a way to check the configuration of the firewall policyautomatically. We have researched and realized a system for the automatic audit，which can help to raise the standardizationfor the firewall configuration， and improve the level of security and increase the efficiency of audit， and help the administrators to strengthening the intranet.

Key words：FirewallPolicy； Audit of Policy；GeneralPolicy； Automatically Audit

1引言

防火墻作為安全基礎設備，用于隔離內、外網，是各業務系統安全的第一道防線。隨著網絡規模的增長和系統長期運行中訪問需求不斷調整，防火墻上配置了數百或數千條訪問控制策略。因系統管理員變換，這些策略中可能包含垃圾的、冗余的、沖突的策略，不僅影響防火墻策略的匹配效率，而且過度授權還會違反安全規定，成為各業務系統重要安全隱患。

對于歷史沉淀下來的數量龐大、邏輯關系復雜的防火墻策略，基于人工方式進行策略優化和審核的精確度差、效率低下成為當前突出問題，同時人工方式也極其容易導致判斷錯誤，特別是在策略數量成百上千、防火墻數量繁多、防火墻品牌較多的情況下，人的判斷已經難以勝任審計要求，影響了全網從低水平、相對粗放管理模式向精準管理模式轉型。

為解決上述問題，本文給出了一種關于防火墻策略的自動化審計系統。該系統能有助于促進防火墻策略配置規范化，使防火墻策略滿足權限最小化和效率最優化原則，提升安全水平的同時提高工作效率，輔助管理員加固網絡的第一道防線。

2系統平臺構造

下圖為系統框架圖，主要包含數據庫服務器、核心/WEB服務器、Probe采集器等。

WEB服務器：提供防火墻策略圖形化展示，管理搭建的web服務器。

核心服務器：核心服務器承擔的主要功能是訪問和存儲防火墻設備信息、向probe采集器發起采集分析命令、把標準化策略和策略分析結果友好地展現給用戶、并生成和導出報表供管理員參考。

數據庫服務器：為中央服務器的業務提供數據存儲服務。

PROBE采集器：執行策略采集命令獲取策略原始結果，并對不同廠家的防火墻策略語法進行標準化處理。

3系統功能實現

防火墻策略深度審計系統主要包含通用策略審計和業務策略審計兩大功能。

3.1通用策略審計

系統采集防火墻策略并將策略標準化，對標準化后的ACL所涉及的目標端口內容、目標端口個數、目標IP內容、目標IP個數等元素進行量化，并以ACL為單位進行排列組合比較，判斷防火墻策略ACL中是否存在策略覆蓋、攔截等策略冗余問題及開放目的IP范圍過大，目標端口過大等安全性問題。

通用策略審計功能可定位目的IP或端口開放范圍過大的策略、重復策略、沖突策略等，提供策略優化的解決方案，以便防火墻管理員對問題策略進行管理，提高防火墻策略的匹配效率，提升防火墻保障網絡安全的作用。

以下是系統定義的幾種問題策略類型：

業務策略審計功能針對業務復雜、配置存在沖突且不容易合并整理的策略，通過周期性自動化采集防火墻的策略匹配計數（logcount）信息，發現定義時間段內的策略匹配情況，發現疑似無效策略。

3.2業務策略審計

絕大部分防火墻設備都具有策略匹配計數功能，該功能統計了當前時間內策略的命中次數，即匹配次數。業務策略審計功能是結合現網防火墻策略實際命中數，選取一個時間范圍（要求這個時間范圍內至少進行兩次策略分析），計算每條策略在該時間范圍內的命中數差值（最近一次的策略命中次數減去最早一次的策略命中次數），從而反映出在這段時間內，策略的命中情況。命中數差值數據不但可以反映策略的實際命中情況，還可以據此發現非正常訪問以及潛在的攻擊行為。

實現原理如圖2所示。

根據命中數差值的不同，審計結果分為以下四種：

1）活動策略

命中數差值大于0的情況，這表示在該時間范圍內策略被命中過，屬活動策略。

2）非活動策略

命中數差值等于0，表示在該時間范圍內該策略始終未曾被匹配。若策略長期未匹配，管理員可考慮此策略是否為垃圾策略。

3）未定策略

該時間范圍內的采集結果未發現命中數統計信息，在早期華為防火墻不支持策略匹配計數功能，容易出現這種審計結果。

4結束語

目前現網的防火墻策略審計主要采用人工方式，費時低效、依賴經驗、標準不統一、時效性差。本系紡克服人工審計的缺陷，通過對防火墻策略的自動智能分析，使防火墻策略滿足權限最小化和效率最優化原則。審計過程結合業務實際使用情況，并能對多類型防火墻策略進行標準化展示。輔助管理員在成百上千條策略中快速準確定位問題策略，給出準確提示，督促管理員在第一時間進行整改。加強對防火墻策略的管理，避免建立具有安全風險策略。有助于促進防火墻策略配置規范化，提升安全水平的同時提高工作效率，輔助管理員加固網絡的第一道防線。

參考文獻

[1]楊勇輝，贠亞男. 網絡安全——防火墻技術淺析[J].科技信息，2007（4）：162.

[2] 李玉勤.淺談計算機網絡中防火墻技術的應用[J].甘肅科技，2006，22（11）：99-101.

[3]趙芳，馬玉磊. 網絡安全防火墻技術淺析[J].科技信息，2010（3）：42-42.

[4]胡道元， 閔京華.網絡安全[M].清華大學出版社，2008（2）：173-197.endprint