防火墻策略深度審計系統

趙冠哲等

摘要防火墻是業務系統的第一道防線，對保證內網安全起著關鍵作用，而防火墻策略配置粗粒度使得防火墻作用難以真正發揮。目前，人工策略審核費時費力，亟需一種自動化的策略審計手段。本文研究并實現了關于防火墻策略的自動化審計系統，該系統能有助于促進防火墻策略配置規范化，提升安全水平的同時提高工作效率，輔助管理員加固網絡的第一道防線。

關鍵詞防火墻策略；策略審計；自動化審計

Abstract： Firewall is the first line of defense for business systems，and it plays a key role in the security of intranet， but careless configuration makes it difficult to work. Nowadays， policy audit mostly depends on manual work， and it is a time-consuming effort， we need a way to check the configuration of the firewall policyautomatically. We have researched and realized a system for the automatic audit，which can help to raise the standardizationfor the firewall configuration， and improve the level of security and increase the efficiency of audit， and help the administrators to strengthening the intranet.

Key words：FirewallPolicy； Audit of Policy；GeneralPolicy； Automatically Audit

1引言

防火墻作為安全基礎設備，用于隔離內、外網，是各業務系統安全的第一道防線。隨著網絡規模的增長和系統長期運行中訪問需求不斷調整，防火墻上配置了數百或數千條訪問控制策略。因系統管理員變換，這些策略中可能包含垃圾的、冗余的、沖突的策略，不僅影響防火墻策略的匹配效率，而且過度授權還會違反安全規定，成為各業務系統重要安全隱患。

對于歷史沉淀下來的數量龐大、邏輯關系復雜的防火墻策略，基于人工方式進行策略優化和審核的精確度差、效率低下成為當前突出問題，同時人工方式也極其容易導致判斷錯誤，特別是在策略數量成百上千、防火墻數量繁多、防火墻品牌較多的情況下，人的判斷已經難以勝任審計要求，影響了全網從低水平、相對粗放管理模式向精準管理模式轉型。

為解決上述問題，本文給出了一種關于防火墻策略的自動化審計系統。該系統能有助于促進防火墻策略配置規范化，使防火墻策略滿足權限最小化和效率最優化原則，提升安全水平的同時提高工作效率，輔助管理員加固網絡的第一道防線。……