0 引言

防火墻作為內(nèi)外網(wǎng)重要的安全防護(hù)設(shè)備,是信息安全管理的基本工具之一,防火墻按照工作層級(jí)分類主要分為包過濾防火墻和應(yīng)用級(jí)防火墻,包過濾防火墻作為安全管理人員最熟悉的防火墻^[1],其安裝部署方便,策略設(shè)置簡(jiǎn)單,因此得到大面積應(yīng)用。隨著公司信息安全管理的日益嚴(yán)格,各類網(wǎng)絡(luò)邊界安全防護(hù)越來越嚴(yán)格,加之信息系統(tǒng)不斷出現(xiàn),防火墻的訪問控制列表（Access Control List,ACL）策略也變得日益復(fù)雜^[2-4]。如何對(duì)防火墻的ACL策略進(jìn)行有效管理,已成為黃山供電公司信息運(yùn)維藍(lán)隊(duì)對(duì)信息安全防護(hù)工作的重要課題。

運(yùn)維人員在日常防火墻管理過程中存在的主要問題如下：

1）防火墻ACL策略存在合理性問題,由于多個(gè)管理員配置ACL策略或者策略設(shè)置時(shí)間較長(zhǎng),防火墻策略之間就有包含、重復(fù)開放、端口等問題;

2）管理員通常根據(jù)需要配置開放策略,很少進(jìn)行策略回收,導(dǎo)致ACL策略到期后無人清除,同時(shí)策略多數(shù)沒有設(shè)置時(shí)間策略;

3）ACL策略設(shè)置不合理,但缺乏檢測(cè)手段,如存在ANY的策略、端口全開的策略、防火墻策略是否在用等問題,但面對(duì)數(shù)量眾多的策略時(shí)無法人工處理。

防火墻端口管理是藍(lán)隊(duì)工作的重要組成部分,黃山供電公司信息運(yùn)維藍(lán)隊(duì)在日常藍(lán)隊(duì)防護(hù)過程中總結(jié)出防火墻ACL管理的各類問題,自主研發(fā)一套ACL規(guī)則管理分析工具并應(yīng)用于本單位,該工具主要針對(duì)公司常用的防火墻設(shè)備、交換機(jī)、路由器ACL管理,通過對(duì)不同設(shè)備建立模板達(dá)到通用的目的,主要包括思科、天融信、華三、Juniper、啟明星防火墻策略設(shè)置合理性的掃描工具,能夠快速有效的對(duì)公司防火墻設(shè)備內(nèi)策略進(jìn)行解析并開展內(nèi)部資源開放情況分析,分析結(jié)果可通過圖形化展示,同時(shí),通過工具的使用能提示運(yùn)維人員告警信息,及時(shí)幫助網(wǎng)絡(luò)運(yùn)維人員快速掌握網(wǎng)絡(luò)資源的異常開放行為,并進(jìn)行加固和整改,有效發(fā)現(xiàn)網(wǎng)絡(luò)邊界的端口異常情況。

 1 防火墻ACL規(guī)則管理分析工具的實(shí)現(xiàn)

1.1 ACL規(guī)則的分類方法及可行性分析

防火墻ACL規(guī)則管理分析工具在針對(duì)整個(gè)防火墻的規(guī)則分析時(shí),主要通過危險(xiǎn)策略、無效策略、策略間的交叉關(guān)系和沖突關(guān)系4種規(guī)則分類進(jìn)行分析^[5-6]。在實(shí)現(xiàn)ACL中的規(guī)則分類時(shí),對(duì)不同的規(guī)則分類劃分分類依據(jù),如：危險(xiǎn)策略主要依據(jù)是源地址（目的地址）開放過大（如ANY、掩碼數(shù)小于24等）、端口開放過大（如ANY）等;無效策略主要依據(jù)是判斷規(guī)則是否存在過期、存在無地址（無協(xié)議、端口）等;策略間交叉關(guān)系與沖突關(guān)系的分析依據(jù)主要通過在策略執(zhí)行順序上對(duì)規(guī)則進(jìn)行兩兩對(duì)比,判斷源地址或目的地址、端口、動(dòng)作域之間是否存在內(nèi)容相交或動(dòng)作相反的策略,以此判斷規(guī)則的交叉或沖突關(guān)系。根據(jù)以上4種規(guī)則分類對(duì)ACL規(guī)則進(jìn)行分析,能夠準(zhǔn)確、簡(jiǎn)單地分析出單策略或多策略存在的不合規(guī)性,同時(shí)有利于網(wǎng)絡(luò)運(yùn)維人員明確了解策略的錯(cuò)誤,更有效地協(xié)助網(wǎng)絡(luò)運(yùn)維人員優(yōu)化策略,在一定程度上提高策略的準(zhǔn)確性。

在現(xiàn)實(shí)網(wǎng)絡(luò)環(huán)境中,網(wǎng)絡(luò)的信息安全防護(hù)并非只是通過一道防火墻就可以實(shí)現(xiàn),為實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)的安全防護(hù)工作,需要部署一組防火墻共同實(shí)現(xiàn)。為了實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)的安全防護(hù)及運(yùn)行,即實(shí)現(xiàn)單個(gè)防火墻ACL與其他防火墻ACL的聯(lián)動(dòng)性,對(duì)整個(gè)網(wǎng)絡(luò)環(huán)境中級(jí)聯(lián)的防火墻ACL規(guī)則進(jìn)行解析,根據(jù)相鄰防火墻,按照規(guī)則分類對(duì)兩者防火墻的ACL規(guī)則進(jìn)行策略對(duì)比,從而實(shí)現(xiàn)防火墻與防火墻之間ACL規(guī)則的聯(lián)動(dòng)性,完善整個(gè)網(wǎng)絡(luò)中防火墻的策略優(yōu)化,達(dá)到整個(gè)網(wǎng)絡(luò)區(qū)域的安全防護(hù)^[7-9]。

1.2 工具實(shí)現(xiàn)原理與功能

1.2.1 工具實(shí)現(xiàn)原理

防火墻策略是由過濾規(guī)則組成的有序鏈表,每一條過濾規(guī)則包含若干個(gè)網(wǎng)絡(luò)域。通常過濾規(guī)則由協(xié)議類型（protocol）、源IP地址（source IP address）、源端口（source port）、目的IP地址（destination IP address）、目的端口 （destination port）、動(dòng)作（action）6個(gè)域組成（見表1）。

表1 防火墻策略的過濾規(guī)則有序鏈表Tab.1 Filter rules and their ordered chained lists for firewall policies

協(xié)議定義了傳輸層協(xié)議;s_ip和d_ip分別表示源地址和目的地址,既可以是一個(gè)主機(jī)地址（如192.168.1.16）,也可以是一個(gè)地址范圍（192.168.1.0/24）;s_port和d_port分別表示源端口和目標(biāo)端口,同IP類似,既可以是一個(gè)特定的端口號(hào),也可以是任何端口;動(dòng)作域是類似布爾型permit或者deny,僅當(dāng)數(shù)據(jù)包的各個(gè)域與規(guī)則域中的條件匹配時(shí),才會(huì)執(zhí)行對(duì)應(yīng)的動(dòng)作,當(dāng)執(zhí)行permit時(shí),防火墻放行數(shù)據(jù)包,而執(zhí)行deny時(shí),防火墻拒絕該數(shù)據(jù)包通過^[10-11]。

防火墻ACL規(guī)則管理分析工具依據(jù)防火墻型號(hào)及型號(hào)對(duì)應(yīng)的規(guī)則定義格式,解析防火墻配置文件,將每條規(guī)則解析提取出7個(gè)基本域：序號(hào)、協(xié)議、源地址、源端口、目的地址、目的端口、動(dòng)作域,得到防火墻規(guī)則表,作為防火墻規(guī)則合理性分析、可視化分析的基礎(chǔ)數(shù)據(jù)。為了掌握防火墻內(nèi)部保護(hù)區(qū)域的網(wǎng)絡(luò)資源開放情況,由網(wǎng)絡(luò)運(yùn)維人員給出“內(nèi)部區(qū)域”網(wǎng)絡(luò)地址資源范圍;再遍歷防火墻規(guī)則表,對(duì)于目的地址與“內(nèi)部區(qū)域”存在交集,動(dòng)作區(qū)域?yàn)閜ermit的規(guī)則,其對(duì)應(yīng)的目的地址即為開放的網(wǎng)絡(luò)地址資源^[12-13]。

為判定防火墻策略的合理性,遍歷防火墻規(guī)則表,針對(duì)每一條策略,若沒有設(shè)置時(shí)間限制、端口為ANY、源地址或目的地址為ANY則判定為危險(xiǎn)策略;若策略已過期,判定為無效策略;若2條策略的源地址或目的地址存在交叉,動(dòng)作域相同,判定為交叉關(guān)系;若2條策略的源地址或目的地址存在交叉,動(dòng)作域不同,判定為沖突關(guān)系。

1.2.2 工具實(shí)現(xiàn)功能

防火墻ACL規(guī)則是由過濾規(guī)則組成的有序鏈表,該工具采用C/S形式,主要通過對(duì)防火墻的過濾規(guī)則進(jìn)行完全解析,解析過濾規(guī)則主要包括協(xié)議類型、源IP地址、源端口、目的IP地址、目的端口、動(dòng)作、方向。同時(shí)根據(jù)一定的對(duì)比方案對(duì)策略進(jìn)行分析,并將策略的基本信息進(jìn)行有效展示和導(dǎo)出。其具體功能如下。

1）配置文件的導(dǎo)入解析。配置文件的導(dǎo)入解析是指該工具可對(duì)多種不同品牌防火墻的配置文件進(jìn)行解析,先讀取防火墻配置文件內(nèi)容,再依次解讀文本中每一行內(nèi)容,解析后得到防火墻規(guī)則表,其包括源地址、目的地址、端口、協(xié)議（服務(wù)）、方向、動(dòng)作、規(guī)則文本等。同時(shí)將解析的數(shù)量結(jié)果進(jìn)行展示,包括接口、服務(wù)等。

2）策略導(dǎo)出。策略導(dǎo)出是在配置文件解析完成的基礎(chǔ)上,對(duì)規(guī)則表進(jìn)行導(dǎo)出csv文件功能,導(dǎo)出內(nèi)容包括源地址、目的地址、協(xié)議（端口）、地址、規(guī)則內(nèi)容等詳細(xì)信息。

3）策略可視化展示。策略可視化展示是指在配置文件解析完成的基礎(chǔ)上,通過拓?fù)鋱D的方式對(duì)策略規(guī)則按照點(diǎn)（源地址）與點(diǎn)（目的地址）之間相互訪問的關(guān)聯(lián)進(jìn)行簡(jiǎn)單、明確的展示,同時(shí)可詳細(xì)的顯示點(diǎn)點(diǎn)之間的關(guān)聯(lián),如：源地址與目的地址之間動(dòng)作、方向、所關(guān)聯(lián)協(xié)議及端口等信息,同時(shí)可根據(jù)地址、方向等信息對(duì)拓?fù)湔故具M(jìn)行篩選。

4）危險(xiǎn)規(guī)則分析。危險(xiǎn)規(guī)則分析是指對(duì)解析后的規(guī)則進(jìn)行分析,以協(xié)議（服務(wù)）、端口為主,IP地址為輔進(jìn)行分析,判斷防火墻策略是否開放了國網(wǎng)禁止的協(xié)議（服務(wù)）或端口、源地址（目的地址）開放太大（如ANY、10.138.0.0/16等）、端口開放太大（如ANY）等存在安全隱患的規(guī)則。

5）無效規(guī)則分析。無效規(guī)則分析是指為了防火墻策略的合理性,對(duì)防火墻中所有策略進(jìn)行逐個(gè)分析。判斷是否為無效規(guī)則的基準(zhǔn)為：是否存在過期的策略;是否存在無地址（無源地址、無目的地址）;是否存在無協(xié)議（服務(wù)）、無端口;在執(zhí)行順序上進(jìn)行排序,對(duì)相鄰的2條策略進(jìn)行兩兩對(duì)比,判斷是否存在重復(fù)策略。

6）交叉、沖突規(guī)則分析。交叉、規(guī)則分析是根據(jù)防火墻在對(duì)策略從前到后的執(zhí)行順序上進(jìn)行兩兩對(duì)比,判斷源地址或目的地址、端口與端口之間是否存在交叉的策略規(guī)則,同時(shí)將策略之間相交叉的部分進(jìn)行展示。沖突規(guī)則分析是根據(jù)防火墻規(guī)則對(duì)比,以2條策略的源地址或目的地址存在交叉或相同、動(dòng)作域不同,作為沖突分析依據(jù)進(jìn)行策略分析。

 2 工具使用及應(yīng)用演示

2.1 工具使用步驟

以防火墻配置文件分析為例對(duì)工具的使用進(jìn)行說明。工具操作步驟如下。

1）設(shè)置防火墻配置文件及型號(hào)。運(yùn)行工具后正確選擇防火墻設(shè)備廠家及防火墻設(shè)備型號(hào),并選擇防火墻配置文件的存儲(chǔ)位置。

2）添加內(nèi)部保護(hù)區(qū)域IP地址段。在分析界面中逐個(gè)錄入內(nèi)部區(qū)域包含的IP地址段,可為多個(gè);IP地址段可為IP地址段、連續(xù)的IP地址或單個(gè)IP地址。

3）規(guī)則解析。點(diǎn)擊“檢測(cè)”對(duì)防火墻配置文件進(jìn)行解析并依據(jù)列出所有防火墻規(guī)則的7個(gè)基本域。

4）各類不合理規(guī)則分析。針對(duì)過期規(guī)則、開放范圍過大、沖突規(guī)則、交叉規(guī)則等各類不合理規(guī)則進(jìn)行分析并展示不合理規(guī)則明細(xì)。

5）危險(xiǎn)性規(guī)則查找。針對(duì)一些常用的遠(yuǎn)程訪問協(xié)議在規(guī)則中執(zhí)行查找、快速定位相關(guān)規(guī)則。

6）規(guī)則圖形化展示。點(diǎn)擊“圖形化結(jié)果”以圖形化方式展示防火墻每條規(guī)則對(duì)應(yīng)的資源開放情況;可查看整體開放情況,也可以查看In、Out方向資源開放情況。

7）規(guī)則導(dǎo)