利用大數據技術挖掘網絡防火墻日志的安全價值

肖鳴

【摘要】 網絡防火墻是部署在網絡安全域之間的屏障，它可以監控和攔截域間的流量，實現安全防護。隨著數據中心網絡規模不斷擴大、業務數據日益增長，防火墻的安全作用越顯重要。在大數據時代，通過收集防火墻日志并進行分析，可以讓網絡防火墻的安全功能得以進一步利用和提升。

【關鍵字】 大數據 網絡防火墻 網絡安全 策略審計 安全感知

一、防火墻的傳統安全功能

網絡防火墻是數據中心一個必不可少的安全防護工具，負責網絡地址轉換（Network Address Translation）和訪問控制（Access Control List）。網絡地址轉換用于隱藏私網IP和端口信息和地址復用；訪問控制用于防護服務器敏感端口和漏洞端口的非法訪問、非法掃描，以及控制各個安全域間的服務器或終端的訪問權限。

二、防火墻日志做策略審計和優化

2.1防火墻策略審計需求

防火墻策略控制著安全域之間服務器或終端的訪問權限，它的有效性直接影響業務，必須定期檢查。每個業務和資產都有生命周期，資產或者業務的終止會讓對應的ACL策略變成無效策略，這些無效策略必須定期審計并刪除。每個網絡安全運維人員都有配置錯誤ACL的可能，這些錯誤可以通過審計發現。

2.2大數據助力防火墻策略審計和優化

策略審計基本是通過檢查ACL配置實現。然而，通過大數據平臺收集防火墻日志并作分析，可以優化審計或者實現新的功能：

1）對近期的訪問量進行排序，根據訪問頻率調整ACL順序，能有效減輕防火墻工作壓力。

2）通過防火墻的拒絕連接日志，發現錯誤配置。例如某個應用程序配置了錯誤的訪問目標IP，則會被防火墻攔截并產生大量防火墻拒絕連接日志，我們可以通過收集這些拒絕連接日志發現程序錯誤。

3）根據ACL的源IP和目標IP，對近期的訪問量進行搜索從而發現0命中策略，再去確認源IP或目標IP服務器是否下線，可以發現無效策略。

三、防火墻日志感知互聯網

防火墻的主要作用是負責訪問控制，攔截違反訪問策略的流量。在大數據平臺接收互聯網邊界防火墻日志后，我們不僅可以知道違規的流量，也可以感知互聯網IP，建立互聯網IP信譽庫，表1舉了幾個例子。

四、防火墻日志感知內網訪問

網絡防火墻日志中，大部分是建立連接和拒絕連接的告警日志。在長期收集日志后，對成功鏈接的日志根據源IP、目標IP進行統計，可以感知數據中心服務器間的業務訪問行為，從而建立安全訪問規則庫。對于違反訪問規則的日志，則發出告警，讓安全管理員對源IP服務器進行安全分析。如果數據中心有配置管理數據庫（CMDB），把IP與服務器名關聯起來，可以提升安全分析效率。

五、防火墻日志在挖掘攻擊鏈路的作用

現在的網絡攻擊越來越復雜和隱蔽，網絡入侵的發現和溯源需要多種安全設備告警的關聯分析。如果黑客在某個攻擊環節中采用0day惡意代碼，則很有可能沒有告警，從而無法還原整個攻擊鏈路，給溯源分析帶來困難。例如：黑客成功入侵服務器A后，通過IP掃描得知服務器A可以訪問服務器B，然后植入0day惡意代碼并成功控制服務器B。在這個例子中，我們可能會發現服務器A有安全告警，服務器B有安全告警，但沒有找到A入侵B的安全告警。但無論攻擊再隱蔽，惡意代碼再難發現，只要服務器A訪問服務器B經過防火墻，訪問記錄是無法掩蓋的。我們可以通過防火墻日志完善攻擊鏈路，從而實現攻擊鏈路的溯源。

六、總結

網絡防火墻的傳統安全功能是隱藏IP信息和訪問控制。但是，我們可以通過大數據技術收集網絡防火墻日志并進行分析，在策略審計、互聯網IP感知、內網安全感知、挖掘攻擊鏈路等方面提升安全防御能力。