赵冠哲等

摘要防火墙是业务系统的第一道防线，对保证内网安全起着关键作用，而防火墙策略配置粗粒度使得防火墙作用难以真正发挥。目前，人工策略审核费时费力，亟需一种自动化的策略审计手段。本文研究并实现了关于防火墙策略的自动化审计系统，该系统能有助于促进防火墙策略配置规范化，提升安全水平的同时提高工作效率，辅助管理员加固网络的第一道防线。

关键词防火墙策略；策略审计；自动化审计

Abstract： Firewall is the first line of defense for business systems，and it plays a key role in the security of intranet， but careless configuration makes it difficult to work. Nowadays， policy audit mostly depends on manual work， and it is a time-consuming effort， we need a way to check the configuration of the firewall policyautomatically. We have researched and realized a system for the automatic audit，which can help to raise the standardizationfor the firewall configuration， and improve the level of security and increase the efficiency of audit， and help the administrators to strengthening the intranet.

Key words：FirewallPolicy； Audit of Policy；GeneralPolicy； Automatically Audit

1引言

防火墙作为安全基础设备，用于隔离内、外网，是各业务系统安全的第一道防线。随着网络规模的增长和系统长期运行中访问需求不断调整，防火墙上配置了数百或数千条访问控制策略。因系统管理员变换，这些策略中可能包含垃圾的、冗余的、冲突的策略，不仅影响防火墙策略的匹配效率，而且过度授权还会违反安全规定，成为各业务系统重要安全隐患。

对于历史沉淀下来的数量庞大、逻辑关系复杂的防火墙策略，基于人工方式进行策略优化和审核的精确度差、效率低下成为当前突出问题，同时人工方式也极其容易导致判断错误，特别是在策略数量成百上千、防火墙数量繁多、防火墙品牌较多的情况下，人的判断已经难以胜任审计要求，影响了全网从低水平、相对粗放管理模式向精准管理模式转型。

为解决上述问题，本文给出了一种关于防火墙策略的自动化审计系统。该系统能有助于促进防火墙策略配置规范化，使防火墙策略满足权限最小化和效率最优化原则，提升安全水平的同时提高工作效率，辅助管理员加固网络的第一道防线。

2系统平台构造

下图为系统框架图，主要包含数据库服务器、核心/WEB服务器、Probe采集器等。

WEB服务器：提供防火墙策略图形化展示，管理搭建的web服务器。

核心服务器：核心服务器承担的主要功能是访问和存储防火墙设备信息、向probe采集器发起采集分析命令、把标准化策略和策略分析结果友好地展现给用户、并生成和导出报表供管理员参考。

数据库服务器：为中央服务器的业务提供数据存储服务。

PROBE采集器：执行策略采集命令获取策略原始结果，并对不同厂家的防火墙策略语法进行标准化处理。

3系统功能实现

防火墙策略深度审计系统主要包含通用策略审计和业务策略审计两大功能。

3.1通用策略审计

系统采集防火墙策略并将策略标准化，对标准化后的ACL所涉及的目标端口内容、目标端口个数、目标IP内容、目标IP个数等元素进行量化，并以ACL为单位进行排列组合比较，判断防火墙策略ACL中是否存在策略覆盖、拦截等策略冗余问题及开放目的IP范围过大，目标端口过大等安全性问题。

通用策略审计功能可定位目的IP或端口开放范围过大的策略、重复策略、冲突策略等，提供策略优化的解决方案，以便防火墙管理员对问题策略进行管理，提高防火墙策略的匹配效率，提升防火墙保障网络安全的作用。

以下是系统定义的几种问题策略类型：

业务策略审计功能针对业务复杂、配置存在冲突且不容易合并整理的策略，通过周期性自动化采集防火墙的策略匹配计数（logcount）信息，发现定义时间段内的策略匹配情况，发现疑似无效策略。

3.2业务策略审计

绝大部分防火墙设备都具有策略匹配计数功能，该功能统计了当前时间内策略的命中次数，即匹配次数。业务策略审计功能是结合现网防火墙策略实际命中数，选取一个时间范围（要求这个时间范围内至少进行两次策略分析），计算每条策略在该时间范围内的命中数差值（最近一次的策略命中次数减去最早一次的策略命中次数），从而反映出在这段时间内，策略的命中情况。命中数差值数据不但可以反映策略的实际命中情况，还可以据此发现非正常访问以及潜在的攻击行为。

实现原理如图2所示。

根据命中数差值的不同，审计结果分为以下四种：

1）活动策略

命中数差值大于0的情况，这表示在该时间范围内策略被命中过，属活动策略。

2）非活动策略

命中数差值等于0，表示在该时间范围内该策略始终未曾被匹配。若策略长期未匹配，管理员可考虑此策略是否为垃圾策略。

3）未定策略

该时间范围内的采集结果未发现命中数统计信息，在早期华为防火墙不支持策略匹配计数功能，容易出现这种审计结果。

4结束语

目前现网的防火墙策略审计主要采用人工方式，费时低效、依赖经验、标准不统一、时效性差。本系纺克服人工审计的缺陷，通过对防火墙策略的自动智能分析，使防火墙策略满足权限最小化和效率最优化原则。审计过程结合业务实际使用情况，并能对多类型防火墙策略进行标准化展示。辅助管理员在成百上千条策略中快速准确定位问题策略，给出准确提示，督促管理员在第一时间进行整改。加强对防火墙策略的管理，避免建立具有安全风险策略。有助于促进防火墙策略配置规范化，提升安全水平的同时提高工作效率，辅助管理员加固网络的第一道防线。

参考文献

[1]杨勇辉，贠亚男. 网络安全——防火墙技术浅析[J].科技信息，2007（4）：162.

[2] 李玉勤.浅谈计算机网络中防火墙技术的应用[J].甘肃科技，2006，22（11）：99-101.

[3]赵芳，马玉磊. 网络安全防火墙技术浅析[J].科技信息，2010（3）：42-42.

[4]胡道元， 闵京华.网络安全[M].清华大学出版社，2008（2）：173-197.endprint