防火墻訪問控制列表規則合理性研究分析與應用

程 前，齊微微，葉 飛，王文林，雍文濤，董 勇，汪 路，葉水勇

(1. 國網休寧供電公司，安徽 黃山，245400；2. 國網黃山供電公司，安徽 黃山 245000)

防火墻訪問控制列表規則合理性研究分析與應用

程 前1，齊微微2，葉 飛2，王文林2，雍文濤2，董 勇2，汪 路2，葉水勇2

(1. 國網休寧供電公司，安徽 黃山，245400；2. 國網黃山供電公司，安徽 黃山 245000)

隨著公司信息安全管理的日益嚴格，防火墻的訪問控制列表(ACL)策略也變得日益復雜。針對防火墻ACL管理存在的各類問題，自主研發一套ACL規則管理分析工具并進行應用。該工具的使用可快速解析防火墻規則，發現過期策略、開放范圍過大策略以及和其他策略存在包含關系的策略，幫助運維人員快速梳理不合理的防火墻策略，為策略的整改完善提供決策支撐。

防火墻規則解析；防火墻基線；ACL規則

防火墻作為公司系統內外網重要的安全防護設備，一直以來都是信息安全管理的基本工具之一。防火墻按照工作層級分類主要分為包過濾防火墻和應用級防火墻。包過濾防火墻作為安全管理人員最熟悉的防火墻[1]，其安裝部署方便，策略設置簡單，因此得到大范圍應用。隨著公司信息安全管理的日益嚴格，各類網絡邊界安全防護越來越嚴格，加之信息系統不斷上馬，防火墻的訪問控制列表(ACL)策略也變得日益復雜。如何對防火墻的ACL策略進行有效管理，已成為公司信息安全防護工作的重要課題。

1 日常防火墻管理過程中存在的問題

運行維護人員在日常防火墻管理過程中發現，防火墻存在的主要問題具體如下。

(1)部分防火墻ACL策略設置不合理，由于多個管理員配置ACL策略或者策略設置時間較長，防火墻策略之間就有包含、重復開放，端口等問題。

(2)管理員通常根據需要配置開放策略，很少進行策略回收，導致ACL策略到期后無人清除，同時策略多數沒有設置時間策略。

(3)ACL策略設置不合理，但缺乏檢測手段，如存在ANY的策略、端口全開的策略、防火墻策略是否在用等問題，但在面對數量眾多的策略時無法進行人工處理。

2 工具實現原理及功能

防火墻端口管理一直以來都是藍隊工作的重要組成部分，國網黃山供電公司信息運維藍隊在日常防護過程中總結出防火墻ACL管理的各類問題，在此基礎上自主研發一套ACL規則管理分析工具并進行應用。該工具主要針對常用的防火墻設備、交換機、路由器ACL管理，通過對不同設備建立模板達到通用的目的，主要包括思科、天融信、華三、Juniper、啟明星防火墻策略設置合理性的掃描工具，能夠快速有效地對防火墻設備內策略進行解析并開展內部資源開放情況分析。分析結果可通過圖形化展示，同時通過工具的使用能提示運維人員告警信息及時幫助網絡運維人員快速掌握網絡資源的異常開放行為，并進行加固和整改，可有效發現網絡邊界的端口異常情況。

防火墻策略是由過濾規則組成的有序鏈表，每一條過濾規則包含若干個網絡域[2]。通常過濾規則由協議類型 (protocol)、源IP地址(source IP address)、源端口(source port) 、目的IP地址(destination IP address)、目的端口 (destination port)、動作(action)這六個域組成。

協議(protocol)定義了傳輸層協議；s_ip和d_ip分別表示源地址和目的地址，源地址既可以是一個主機地址，也可以是一個地址范圍；s_port和d_port分別表示源端口和目標端口，同IP類似，既可以是一個特定的端口號，也可以是任何(any)端口。動作域(action)是類似布爾型permit或者deny，僅當數據包的各個域與規則域中的條件匹配時，才會執行對應的動作；當執行permit時，防火墻放行數據包，而執行deny時，防火墻拒絕該數據包通過[3]。

工具依據防火墻型號及型號對應的規則定義格式，解析防火墻配置文件，將每條規則解析提取出七個基本域[4]：序號(index)、協議(protocol)、源地址(s_ip)、源端口(s_port)、目的地址(d_ip)、目的端口(d_port)、動作域(action)，得到防火墻規則表，作為防火墻規則合理性分析、可視化分析的基礎數據。

為掌握防火墻內部保護區域的網絡資源開放情況，由網絡運維人員給出“內部區域”網絡地址資源范圍；再遍歷防火墻規則表，對于目的地址與“內部區域”存在交集，動作區域為permit的規則，其對應的目的地址即為開放的網絡地址資源。

為判定防火墻策略的合理性，遍歷防火墻規則表，針對每一條策略：若沒有設置時間限制、端口為ANY、原地址或目的地址為ANY則判定為危險策略；若策略已過期，判定為無效策略；若兩條策略的源地址或目的地址存在交叉，動作域相同，判定為交叉關系；若兩條策略的源地址或目的地址存在交叉，動作域不同，判定為沖突關系。

基于防火墻策略解析及策略合理性分析[5]，工具實現了思科、天融信、華三、Juniper、啟明星防火墻策略多個廠家多個類型防火墻設備的規則解析、防火墻策略合理性分析及防火墻策略的可視化展示功能，幫助運維人員快速發現設置不合理的策略以及防火墻保護內部區域地址資源開放情況。

3 工具使用及應用場景

3.1 工具使用步驟

通過自主研發的防火墻ACL策略合理性分析工具對防火墻配置文件分析為例進行說明。工具操作步驟如下。

(1)設置防火墻配置文件及型號。運行工具后正確選擇防火墻設備廠家及防火墻設備型號，并選擇防火墻配置文件的存儲位置。

(2)添加內部保護區域IP地址段。在分析界面中逐個錄入內部區域包含的IP地址段，可為多個；IP地址段可為IP地址段、連續的IP地址或單個IP地址。

(3)規則解析。點擊“檢測”對防火墻配置文件進行解析并依據列出所有防火墻規則的七個基本域。

(4)各類不合理規則分析。針對過期規則、開放范圍過大、沖突規則、交叉規則等各類不合理規則進行分析并展示不合理規則明細。

(5)危險性規則查找。針對一些常用的遠程訪問協議在規則中執行查找，快速定位相關規則。

(6)規則圖形化展示。點擊“圖形化結果”，以圖形化方式展示防火墻每條規則對應的資源開放情況；可查看整體開放情況，也可以查看In、Out方向資源開放情況。

(7)規則導出。點擊“導出csv”可以將解析后所有規則或不合理的規則導出到csv文件。

3.2 工具應用場景

3.2.1工具參數初始化

工具參數初始化包括防火墻參數設置及內部區域地址段設置，完成防火墻型號及防火墻配置文件參數設置[6]。雙擊運行軟件，選擇防火墻配置文件路徑，選擇防火墻類型；同時在右邊錄入內部區域包含的IP地址段；區域1、2、3分別對應配置文件物理路徑、防火墻型號及內部區域地址段。

3.2.2ACL策略獲取與展示

點擊檢測按鈕，展示策略檢測結果，按照防火墻策略的基本域設計展示表的字段，包括：被訪問的內部地址、外部地址、訪問形式、規則文本及規則所在行[7]。

(1)被訪問的內部地址：acl規則目的地址。

(2)外部地址：acl規則源地址。

(3)訪問形式：acl規則規定的協議和端口信息。

(4)規則文本：acl規則的文本信息。

(5)規則所在行：acl規則在文件中所在的行。

點擊 “不顯示放行所有規則”，將會過濾掉那些放行任何源地址到任何目的地址的規則(比如，有配置的運行任何地址之間進行icmp的規則)。

3.2.3ACL策略合規性分析

(1)危險策略發現。工具可以解析出防火墻規則中設置范圍過大的規則，包括端口為ANY、地址范圍沒有限制的策略。配置文件中603、624、659、645行對應的防火墻策略開發端口為ANY，695行對應的策略源地址、目的地址均為ANY。

(2)過期策略、被包含及未使用的無效策略發現。工具可分析出防火墻規則中無效的規則[8]：已過期的規則，防火墻設置的有效時間已過期；被包含的規則，已經有其他比較大的規則完全能包含這條規則；未使用的規則，規則存在但是沒有啟用(disable)。

(3)存在交叉關系或者重復開放的沖突策略發現。工具可檢測防火墻與其它規則存在交集的防火墻策略，可展示沖突策略總數，并從In、Out及動作域多個角度展示沖突策略明細情況。點擊最左邊重合數量，會彈出詳細情況。點擊重合類型，展示兩條規則的對比情況。

(4)ACL策略查找功能。提供了按照常用固定端口過濾規則功能，方便查看風險性比較高的通用協議開放情況[8]，例如：查找過濾SSH協議(TCP 22端口)、RDP協議(TCP 3389端口)、XDMCP協議(UDP 177端口)，可以展示規則方向、源地址、目的地址及原規則文本、行數等信息。

3.2.4ACL策略可視化分析

點擊“可視化結果”按鈕，在瀏覽器中打開acl分析結果的可視化展示頁面，如圖1所示。圖1中，左側的點代表源地址，右側的點代表目的地址。

圖1 ACL分析可視化展示

線條中間為連接的協議/端口信息。用鼠標按住線段，可以看到該線段代表的規則的詳細信息，如圖2所示。點擊某個點(IP地址)，將只顯示連接到所有該地址的線段，如圖3所示。圖3左上角為過濾條件，例如點擊”permit”將只會顯示允許連接的acl規則，如圖4所示。

圖2 單個策略協議/端口信息展示

圖3 特定IP地址關聯的策略情況

圖4 只展示所有放行的策略

3.2.5ACL策略導出與備份

點擊“導出”按鈕可以將解析的規則導出到csv文件中，后續可有利用excel功能對策略中的端口等信息進行高級過濾分析，如獲取開放了ssh、snmp等服務的網絡地址。

4 結語

國網黃山供電公司自主研發的防火墻ACL策略解析分析工具很好地解決了防火墻規則過于繁瑣龐大，不利于分析管理的問題。網絡安全運維人員可利用工具快速發現內網區域地址資源開放情況，并針對不合規的開放進行整改、完善，實現不合規策略的早發現、早處理，降低因策略的不合理設置帶來的安全風險。

[1] 范萍,李罕偉.基于ACL的網絡層訪問權限控制技術研究[J].華東交通大學學報,2004,21(4):89-92.

FAN Ping, LI Hanwei. Research on technique to control access to network layer based on acl[J].Journal of East China Jiaotong University,2004,21(4): 89-92.

[2]唐子蛟,李紅蟬.基于ACL的網絡安全管理的應用研究[J].四川理工學院學報(自然科學版),2009,22(1):48-51.

TANG Zijiao, LI Hongchan. Application of network security management based on acl[J]. Journal of Sichuan University of Science & Engineering(Natural Sicence Edition), 2009, 22(1): 48-51.

[3]胡海璐,陳曙暉,蘇金樹.路由器訪問表技術研究[J].計算機科學,2001,28(4):94-96.

[4]孫翠玲,顧建華.利用ACL技術對園區網絡實現精細化控制[J].電腦知識與技術, 2006(36):72-73.

[5]沈健,周興社,張凡,等.基于網絡處理器的防火墻優化設計與研究[J].計算機工程,2007,33(10):172-174.

SHEN Jian, ZHOU Xingshe, ZHANG Fan, et al. Optimized design and research of firewall based on network processor[J]. Computer Engineering, 2007, 33(10): 172-174.

[6]于本成,慕東周,陸玉陽.中小型企業網絡控制方案的分析與設計[J].計算機安全,2011(7):72-74.

YU Bencheng, MU Dongzhou, LU Yuyang. Small and medium enterprises network control program analysis and design[J]. Network and Computer Security, 2011(7): 72-74.

[7]王芳,韓國棟,李鑫.路由器訪問控制列表及其實現技術研究[J].計算機工程與設計,2007,28(23): 5638-5639.

WANG Fang, HAN Guodong, LI Xin. Access control list of router and research of realization[J]. Computer Engineering and Design, 2007, 28(23): 5638-5639.

[8]徐新.信息安全風險評估綜述[J].科技風,2013(15): 236-236.

RationalityAnalysisandApplicationoftheFirewallACLRules

CHENG qian1，QI Weiwei2，YE Fei2，WANG Wenlin2，YONG Wentao2，DONG Yong2，WANG Lu2，YE Shuiyong2

(1. State Grid Xiuning Power Supply Company, Xiuning 245000, China;2. State Grid Huangshan Power Supply Company, Huangshan 245000, China)

With the increasingly stringent corporate information security management, firewall ACL policies have become increasingly complex. In view of the various problems of firewall ACL management, a set of ACL rules and management analysis tools have been developed and used. This tool can rapidly analyze the firewall rules, find out the expiration policies, the policies with excessively open range and those with containment relationship, which can help operation and maintenance personnel quickly sort out the unreasonable firewall policies, and provide decision support for policy rectification and perfection.

analysis of firewall rules；firewall baseline；ACL rule

10.11973/dlyny201705011

程 前(1983—)，女，工程師，從事電力行業信息化研究、開發和應用工作。

TP393

A

2095-1256(2017)05-0537-04

2017-06-15

(本文編輯：趙艷粉)