通信網絡防火墻策略優化實踐

顏昭治

摘要：防火墻是確保通信網絡安全的重要設施，但存在部分設備由于維護不當，導致防火墻策略臃腫，不符合策略“最小化”原則，給防火墻性能及業務安全帶來隱患。該文通過總結公司通信網絡防火墻策略問題及其成因，并提出相應的策略優化方法，最后闡述了優化過程中幾點實踐，以此來掌握防火墻策略如何優化，進而到達提升通信網絡安全的目的。

關鍵詞：防火墻;安全策略;策略優化;網絡安全;通信網絡

中圖分類號：TP311? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2021）07-0046-02

Abstract：Firewall is an important facility to ensure the security of communication network.However，due to improper maintenance of some devices，the firewall policy is unreasonable and does not follow the principle of minimization， which brings hidden danger to firewall performance and business security.This paper summarizes the problems and causes of the company's communication network firewall policy， and puts forward the corresponding policy optimization methods. Finally， it expounds several practices in the optimization process， so as to master how to optimize the firewall policy，and then achieve the purpose of improving the communication network security.

Key words：firewall;security policy;policy optimization;network security;communication network

1引言

防火墻是網絡安全體系中極為重要的一環，通過在網絡邊界上構建一道相對隔絕的保護屏障，以阻擋來自外部的網絡入侵，其在通信網絡關鍵基礎設施安全防護中起到舉足輕重的作用。但由于策略沒有得到有效合理的維護，甚至將防火墻當作路由器來看待，把原本不應暴露的安全資產對外暴露了，致使防火墻應有功能“失效”，對通信網絡安全造成嚴峻挑戰。

2問題及其成因

目前通信網絡的防火墻主要是使用包過濾功能在網絡層來允許或拒絕外部網絡的訪問，通過訪問控制列表和安全策略兩種方式實現。訪問控制列表一般用于限制設備自身被訪問范圍，比如TELNET、SNMP等，以及防范一些蠕蟲、DDOS等網絡層攻擊;安全策略即是用于業務層面的訪問控制，按照一定規則檢測各個區域互訪的數據流。在實際應用中，主要存在以下六個方面的問題：

2.1策略范圍過大

即源IP、目的IP及目的端口沒有按照策略“最小化”原則進行配置，甚至配置成“ANY TO ANY”。究其原因一是審核不嚴，沒有嚴格把關策略需求;二是貪圖方便，采用大網段代替具體IP;三是數據作不規范，把沒有共性業務特征的策略進行合并;四是對應用協議缺乏認識，特別是涉及動態端口。應從嚴把關、規范操作、掌握協議，根據業務實際需求，將源IP、目的IP及目的端口改成滿足要求的最小范圍。

2.2策略無用無效

通常防火墻存在未命中策略、未引用策略、過期策略、重復策略或沖突策略等多余數據，這些數據不僅無用無效，還會影響防火墻性能以及業務安全。未命中、未引用和過期策略主要是未定期對防火墻策略數據進行清理造成的;重復或沖突策略主要是新建策略時，未對已有策略數據進行分析引起的，需要細心分析這些策略是優先級高的策略的開放范圍過大還是確實反映了實際需求，又或者是存在冗余策略。

2.3策略開通雙向

由于對專業知識掌握不牢，未能深入理解防火墻機制，在新建策略時，時常配置一條入站策略的同時又配置一條與此對應的出站策略。其實出站策略純粹是多余的，一是有些防火墻出站策略是默認全放通的，這與防火墻品牌、型號、系統版本、區域優先級有關，二是新一代防火墻已能根據入站策略創建此策略的會話狀態，可實現單向訪問控制。

2.4策略違反管理

策略違反管理是指策略配置違反了公司自身一些安全管理要求，比如不允許源IP為它網IP或跨區域IP、不能對互聯網開放管理端口、禁止繞過集中維護平臺直接訪問設備等。存在不符合要求的策略，主要根源是日常維護管理不到位所致，應按管理要求，去除違規地址、修改管理端口或者策略給予刪除。

2.5臺賬陳舊欠缺

策略臺賬登記著策略歸屬、用途、五元組等重要信息，可以起到溯源作用。但由于維護人員變動、工單系統變遷、信息未定期更新等原因，導致策略臺賬不準確、不完善，信息過于陳舊。在實施數據變更時，無法找到對應負責人，難以知曉策略用途，強制刪除又恐引起在用業務中斷。應盡可能做到策略臺賬信息完整無誤，并與設備上策略數據一一匹配。

2.6命名無規無則

因缺乏有效的數據管理規范，策略數據的制作僅憑維護人員自身的想法，其結果往往是五花八門、無跡可尋。科學合理的策略數據制作規范可以有效幫助我們快速明確策略的用途和歸屬，同時也可以幫助我們得到更加清晰的策略臺賬信息，對任何時候的策略梳理和優化都是有利無弊的。因此應通盤考慮、統一規劃策略相關字段命名規范。

3策略優化方法

3.1策略建賬

建立防火墻策略臺賬信息是落實優化的前提，清晰明確的臺賬信息可以起到事半功倍的效果。首先是通過手工或腳本方式梳理防火墻策略表，然后將無用策略、反向策略、違規策略等多余數據標記出來，接著根據已掌握維護資料，盡可能明確策略五元組整改信息以及歸屬專業、歸屬部門和使用用途，最終將策略標記為無須整改、已明確整改、不明確整改和即將刪除。對于不明確整改的，按照其他優化方法做進一步分析。

3.2分組分類

分組分類的目的是減少優化的復雜度。可根據安全區域、策略出入站方向、專業/系統、IP歸屬地等維度對不明確整改的安全策略進行分組，同時根據源IP和目的IP進一步細分。源IP可按照業務類型進行分類，可分為4A平臺、應急終端、安全系統（如防病毒、補丁、日志、掃描器等）、支撐系統（如監控、分析、備份等）;目的IP可按照設備類型進行分類，因同樣類型的設備一般提供相同的業務，特別是使用端口，可分為網絡設備、主機、標準應用、定制化應用等。

3.3拆分合并

某些策略過于臃腫，源IP或目的IP包含了許多IP段，不利于確認策略歸屬，同時也不滿足“最小化”原則，必須對其進行拆分。一般按照訪問源進行拆分，然后再細化目標地址，最后再確認使用端口，最終將策略拆分到合理程度。當然有時策略數量過大，不利于維護，可視實際情況，將有共性業務特征的策略進行合并，如4A平臺、安全系統等業務。

3.4 日志分析

為精準獲取策略五元組在用信息，將策略優化至符合“最小化”要求，此時就需要進行日志分析。可通過啟用策略日志，統計分析一段時間內的日志結果，然后根據日志記錄的五元組信息，新建相關安全策略，這些策略盡可能符合“最小化”原則，并且優先級比原策略高，最后根據日志記錄不斷新增或優化這些策略，直到原策略沒有命中，則策略優化完成。

此外，還可采用更為激進的優化方法，那就是統計分析長時間內所有策略日志或會話記錄，然后以記錄到的五元組信息重新創建所有策略，最后在舊策略都未命中時將其全部刪除。但一方面須對新建策略進行合理合并，另一方面則要剔除干擾流量產生的無效數據。

4 策略優化實踐

4.1日志會話分析

以華為SRG2200系列防火墻為例，分析前須先啟用策略日志并清除策略命中統計信息，當隔一段時間或命中率達到一定值時，即可開始分析日志，如圖1所示。

當然設備如果支持web方式，操作更為簡便。有時也可通過查看會話記錄輔助分析，具體指令是“display firewall session table”。

4.2目標端口確認

全端口放通是策略配置常見的問題，有些策略活動頻率較低，優化時無法在短時間內通過日志或會話分析確認目標端口。端口分標準化端口和自定義端口，定制化軟件通常使用（一段）動態端口。為準確獲取目標端口信息，避免誤操作造成業務中斷，可通過查閱目標對象業務文檔、登錄設備查看監聽端口、主動掃描設備開放端口等方法進行確認，相關指令如下：

lnmap -Pn -p 1-65535 ip #遠程掃描端口

lnetstat –an #主機上查看使用端口

ltelnet ip port ? ? ? ? #驗證TCP端口是否開放

lnmap –sU ip –p port #驗證UDP端口是否開放

4.3數據命名規范

其實策略數據命名規范也是策略優化的組成部分。策略數據命名應遵從一定的規范性、科學性，做到區分清晰、有章可循。從策略的命名及描述中即可知道歸屬部門、歸屬專業、業務類型、使用用途等有效信息，同樣從源地址、目的地址和地址組的命名及描述中即可知道歸屬部門、歸屬專業、歸屬區域、主機名稱、設備型號、設備位置、業務類型或使用用途等有效信息。參考示例如下：

l歸屬地域_歸屬專業_GROUP? ? ? ? #地址組命名

l歸屬地域_歸屬專業_設備位置_設備型號_主機名稱#地址命名

l歸屬專業_業務類型_GROUP? ?#策略命名

最后，在描述中填寫依據（比如工單號等）、用途或時間等有關信息。

4.4 策略工具輔助

某些型號的防火墻支持策略冗余、策略命中率等分析，然而功能畢竟有限，無法滿足優化要求。第三方策略管理工具提供了更加全面、更加高效的功能支持，可快速、有效、詳細地分析出防火墻策略各種存在問題，包括策略源IP、目的IP及目的端口等合規性分析，策略是否存在交叉、包含、冗余、沖突，策略是否存在管理違規等，特別是定制化工具，更具有針對性，可滿足個性化需求。可以根據工具生成的分析報告，對于檢查出的問題，逐條落實優化整改。

5 結束語

防火墻策略優化是項煩瑣、費時的工作，策略未能符合要求更多的是管理問題，應把關需求、規范制作、定期清理、明確歸屬、了解業務。對于一時無法進行全面策略優化的，應做好“控新增、減存量”。另外必須夯實專業知識，透徹掌握防火墻機制及品牌、版本區別，全面精通協議及其端口，如SNMP和SNMPTRAP、FTP主動和被動模式、HRP和VRRP等。

【通聯編輯：代影】