防火墻設備安防配置主動分析技術應用

辛平安 李昆華 王元冬 王杰鴻 周艷平

（云南電網有限責任公司昆明供電局 云南省昆明市 650000）

1 引言

近年來，隨著網絡的發展和壯大,網絡安全問題成為現代信息安全所要解決的主要問題[1]。針對不同的網絡環境，防火墻策略的配置不僅越來越復雜，而且多域間各策略之間的沖突時有發生，嚴重影響安全策略的執行效率，因此，如何保證不同安全域之間的防火墻策略的一致性、可靠性，以及同一安全域內安全策略的正確性、可靠性，成為防火墻安全策略配置的關鍵[2]。因此，防火墻設備的安全性及其配置參數和策略的可靠性管理日益重要，其管理的內容主要包括接入者賬號權限安全性、路由的訪問控制策略、確保信息傳輸的保密與完整性、是否具備入侵檢測配套或手段、防火墻設備防病毒措施是否具備等。

針對調度數據網設備安全防護，很多單位開展了相關工作和研究：例如在安防配置管理方面，國網濟南供電公司提出對網絡設備的安全運行管理，從賬號安全、配置安全、審計安全和維護安全四個方面考慮，其中配置安全的方法是對電力數據網內的重要數據信息定期實行備份處理，并且對每一次關鍵設備上的配置修改都進行記錄，這種方法較為原始，完全依賴運維人員操作正確性，一旦運維人員配置錯誤或未及時備份配置記錄，產生的影響不可預估[3]。在安防配置檢測方面，華北電力大學對防火墻、隔離裝置等網絡設備給出了具體的配置及檢測內容（對象、服務、策略），根據這些配置命令基本滿足安防配置要求，但需要運維人員全程手動操作，運維工作量大[4]。在安防配置分析方面，國網宣城供電公司中提出基于Syslog 協議的日志自動采集及存儲服務，記錄設備的任何時間發生的大小事件日志，通過分析這些網絡行為日志，追蹤掌握設備的運行狀態，能夠及時識別調度數據網絡中可能發生的安全隱患，但很多發現都是基于已經出現的事件，從側面反映問題，只實現對問題的快速監測和識別，且事件的定義不能完全覆蓋很多隱患[5]。

2 研究思路

2.1 自動化推送SSH命令與采集回顯信息，程序化比對分析，實現防火墻設備安防配置主動分析

SSH 協議是專為遠程登錄會話和其他網絡服務提供的安全性協議，利用SSH協議可以有效的防止遠程管理過程中的信息泄露問題，在進行數據傳輸之前，SSH 先對聯機數據包通過加密技術進行加密處理，加密后再進行數據傳輸[6]。

通過網絡通道中傳送SSH 協議加密過的命令和防火墻返回的應答信息，能夠實現防火墻設備安防配置的主動分析，比如圖1所示，在以主機自動化推送命令和采集回顯信息的方案中，需要掃描主機首先通過SSH 協議發送登錄命令至防火墻設備，在登錄成功后通過輸入基線配置命令來獲取回顯結果，最后通過與基線配置規則模板進行校驗比對得出分析結果。

圖1：主動推送命令腳本檢測配置過程

圖2：定制自動巡檢任務功能截圖

在此基礎上，對防火墻設備安防配置檢測內容的反饋信息增加邏輯研判及相關處置功能，即根據反饋信息中的相關內容，按照自定義的邏輯處置功能，執行相應的操作。最終，融合防火墻設備安防配置數據獲取、問題分析判定方法，將設備安防配置策略與主動分析技術相結合，形成可編程可定義可識別的安防配置檢測策略，對防火墻設備安防配置問題進行自動研判，并滿足可編程可自定義的要求。

2.2 結合主動網絡探測分析技術分析防火墻配置問題

對防火墻的配置進行比對分析是直接分析對象的“白盒”方案，但是仍然有很多隱性問題通過“白盒分析”難以發現，卻可以通過側面或其他數據來反映防火墻的問題，比如多個防火墻之間的策略影響，通過直接分析配置難以較大，卻可以通過測試數據包是否通達的現象發現問題所在。因此，通過網絡主動探測發現防火墻安全配置的不足，如同軟件的黑盒測試一樣，可以更直接和快速的發現問題。

3 關鍵技術

表1：防火墻設備安防基線配置要求表

3.1 SSL主動腳本基線配置校驗技術

根據當前防火墻設備數量和配置檢查項多，調試設備策略變更閉環管理困難，需要人工逐一檢查核對、記錄，較為繁瑣，設計設備程序化的防火墻配置策略自動化檢測方案。該方案利用計算機模擬人工，按照規則自動進行條件篩選，形成自動執行的任務，自動發送命令并等待搜集設備回顯進行判定。該任務支持安全配置基線掃描，能根據設備IP 列表、安防基線檢測項（參考表1 防火墻設備安防基線配置要求）、掃描周期等進行檢查。開啟掃描任務后，會先檢測所需進行的防火墻設備和安防基線檢測項，并將任務設置存入數據庫中，根據設置的掃描周期定時進行掃描，在主站通過網絡以多個線程同時運行，快速獲取設備內部通信策略并替代人工進行問題分析判定。在掃描完成后，根據獲取到的檢測信息與設置的信息結果相比較，看是否在需要的回顯結果范圍內，并將檢測項的結果和該問題的修復處置方案添加進報表中，短時間將所有設備最新狀態與問題顯示在報表中。

3.2 可編程柔性自動化技術

由于目前國內外防火墻設備安防配置檢測策略需要支持的廠商、設備型號、設備類型較多且后期會不斷擴增數量，通常這些不同廠商、類型的設備指令存在差異，研究并得出這些指令的共通之處是個難點，即需要在應用中開展滿足絕大部分防火墻設備指令的適配方法研究。

對于一些不能通用的指令可以通過建立一個設備與指令的對應關系庫，將設備型號與指令關聯起來，指明那種設備型號對應著那些指令，在進行安防基線配置檢測時提前獲取設備型號，再根據設備型號查找相應的檢測命令，最后通過檢測指令獲取基線配置獲取命令的回顯結果，再進行校驗。

3.3 與網絡探針的主動融合分析

網絡探針目前尚未由很明確的定義，從類型分主要包括測試探針和流量探針，從工作方式來看主要包括主動型探針和被動型探針，顧名思義，主動型探針是可以主動和定時的開展網絡性能、質量測試的裝置或程序，實時性較強，而被動型探針是通過接入網絡后，通過流經的流量或者外在設備對其反饋得出結論的裝置和程序，因此，探針的用途十分豐富和靈活。在防火墻分析方面，主動型探針可以通過預先定義或者輪詢的測試，發現單一通過防火墻基線配置規則校驗難以發現的問題。

（1）可以解決不同域防火墻隱性沖突的發現困難問題。如果防火墻上下級或者橫向多域之間存在另一個或者多個防火墻，那么理清他們之間基于源、目的直接的端口和數據流訪問控制比較困難，存在相互沖突的可能，如上級防火墻限制的，下級防火墻放開，那么下級防火墻管理網絡的數據不可達問題排查就較困難和費事；又如上級防火墻允許的，下級防火墻限制了，上級防火墻的配置問題也很難發現。通過不同域之間探針的主動可達測試，可以有效的發現這些問題，并通知管理人員。

（2）可主動定期對服務進行訪問，可發現防火墻配置變更和薄弱部分對主機服務產生的影響。電網內部服務較多，通過定期對服務的測試分析，可以有效的防止服務本身運行異常、內部局域網DDos 攻擊造成的響應、防火墻DDos 攻擊配置不合規或未生效、防火墻配置后造成的應用訪問IP 不可達等問題，及時的通知管理人員，及時更新，杜絕發生故障事后處理的現象。

（3）主動發現防火墻在數據流控制配置方面的漏洞。網內軟件系統的大量部署并不總能保障不出現漏洞，通過主動探針進行服務的發現和定向測試，可以快速告知管理員，建議其進行防火墻訪問控制，最大限度減少風險，為后期軟件與系統整改爭取時間。

（4）在保障安全的前提下，通過主動探針模擬少量異常報文、攻擊性報文測試穿透防火墻、看是否存在相應告警與防護措施（比如入侵檢測是否配置或者入侵檢測策略是否有效），可以有效的發現網內不足，后期通過升級改造或者配置優化，杜絕以上問題。被動型探針可以對流量進行精細化分析，由于防火墻對于合法的TCP數據流是放行的，所以難以發現合法地址流量的異常，比如攻擊者或者病毒程序，非法控制了某個合法終端的服務，發射探測數據的現象。針對特定服務的流量開展分析，能夠通過流量映射行為，分析來自客戶端外掛程序的頻繁訪問、異常訪問現象；也能發現測試性、探測類的黑客行為，形成告警提供給管理人員。

4 應用情況分析

當前，昆明供電局調度中心自動化班組需要運維主站與廠站近百臺防火墻設備，運維人員每次對所有防火墻設備的安防配置檢測需要逐個人工操作、效率低。現場控制口接入操作方式需要監控人員在筆記本手動輸入命令，查看回顯結果然后規則逐條比對，操作不方便，費時費力。按照這樣的檢查方式單臺設備每次進行檢測需要大約1 個小時，所有設備全部檢測完成共計需要100 小時左右。

由于全面檢查費時費力，日常多通過管理手段控制，即對防火墻配置記錄，形成版本。由于缺乏及時主動的分析，每次對防火墻配置維護后，若產生配置冗余、沖突等問題，發現困難且分析解決時間長。防火墻設備安防基線主動分析方案在昆明供電局的應用，從防火墻設備配置直接比對和其管理的網內運行現象側面分析，主動發現隱患和問題。日常實際應用中，單臺防火墻設備配置讀取與分析時長控制在不超過1 分鐘，可以協助自動化工作人員快速精確的維護防火墻設備安防基線，提高自動化人員工作效能，大大減少人工重復勞動，有效提高調度自動化人員對防火墻設備安防維護和處置效率。

利用系統的自動巡檢功能，如圖2 可以對巡檢項目、巡檢頻率、巡檢開始時間進行設置，自動開展掃描，根據管理需要，設置多個不同的巡檢任務，系統將自動開展分析，形成結果報告，減輕自動化運維人員在防火墻安全基線管理這方面的工作壓力。

5 結束語

本文主要闡述防火墻設備安防基線配置數據主動獲取、問題分析與判定方法，將設備安防配置策略與主動分析技術相結合，形成可編程可定義可識別的安防配置檢測策略，對調防火墻設備安防基線配置問題進行自動研判。同時，利用網絡探針在線主動探測技術，分析反映防火墻設備的基線安防配置情況，生成防火墻設備安全基線配置報告，輔助調度網絡運維工作的開展。最終，形成多方位的防火墻安全防護配置主動分析應用。同時，根據問題的安全等級（告知、嚴重、危急等）生成相應的告知方式，提供一份全面的檢測處置報告及相關修復建議，從而有效的提高對防火墻設備安防配置正確性、網絡設備運行穩定性，保障電力調度數據網穩定可靠運行。