■

在当今的互联网时代，人们的工作生活都与网络密切相关，网络安全关系到个人、企业甚至国家。2014年年初中央网络安全和信息化领导小组成立，由此可见统筹规划网络安全已然成为强国的发展战略。无论企业大小，规划网络安全时首选即是防火墙，中小型企业通过为数不多的防火墙进行网络防护，大中型企业特别是电信、金融企业则是在防火墙基础上配合其他安全软硬件实现网络防护。毋庸置疑，防火墙是当前网络中数目最多的安全设备。防火墙访问控制策略的制定直接关系到一个企业信息化资产的安全。本文从防火墙现状分析开始，对防火墙访问控制策略的审查方案加以阐释和总结，最终提供平台化系统化的集中解决方案。

防火墙访问控制策略现状

防火墙作为安全基础设备，用于隔离内、外网是各业务系统安全的第一道防线。随着网络规模的增长和系统长期运行中访问需求不断调整，防火墙上配置了数百或数千条访问控制策略。因系统管理员变换，这些策略中可能包含废弃的、冗余的、冲突的策略，不仅影响防火墙策略的匹配效率，而且因为过度授权还会违反安全规定，最终成为各业务系统重大安全隐患。

对于历史沉淀下来的数量庞大、逻辑关系复杂的防火墙策略，人工方式进行策略优化和审核的方式精确度差效率低下，而且人工核查虽然可以查出明显的设置漏洞，但在缺失真实互连需求信息的情况下，无法进一步发现那些看似严谨实则宽松的策略，导致核查结论无法覆盖所有存在缺陷的访问控制策略。同时，人工方式也极其容易导致判断错误，特别是在策略数量成百上千、防火墙数量繁多、防火墙品牌较多的情况下，人的判断难以胜任审计要求，影响了全网从低水平、相对粗放管理模式向精准管理模式转型。

平台化解决方案

面对以上描述的防火墙策略审查问题，必须通过平台功能自动化、系统化的解决。

要完成防火墙策略深度审计就要对防火墙策略进行自动化审计，使防火墙策略满足权限最小化和效率最优化原则。审计过程结合业务实际使用情况，并能对多类型防火墙策略进行标准化展示，从多个维度辅助管理员定位问题策略，加强对防火墙策略的管理，避免建立具有安全风险策略。

防火墙策略深度审计系统主要包含通用策略审计审计和业务策略审计功能：

通用策略审计的目的是发现已经发生的或潜在的重复或冲突策略，提供策略优化的解决方案，以便防火墙管理员对策略进行管理，减少冗余策略，提高防火墙策略的匹配效率；

业务策略审计审计功能针对业务复杂、配置存在冲突且不容易合并整理的策略，通过周期性自动化采集防火墙的策略匹配计数信息，发现定义时间段内的策略匹配情况，发现疑似无效策略。

系统设计与实现

平台部署设计（如图1所示）：主要包含数据库服务器、核心/WEB服务器、Probe采集器等。

图1 平台部署设计图

1.WEB服务器

提供防火墙策略图形化展示，管理搭建的web服务器。

2.核心服务器

核心服务器承担的主要功能是访问和存储防火墙设备信息、向probe采集器发起采集分析命令、把标准化策略和策略分析结果友好地展现给用户、并生成和导出报表供管理员参考。主要由以下5个功能模块组成：

(1)信息同步模块

负责从安全管控平台同步防火墙信息，并存入数据库服务器中。同步的信息包括设备类型、设备名称、IP地址、账号凭证等用来登录设备的信息。

(2)采集消息发送模块

当用户选定所要采集分析的防火墙设备之后，此模块会根据其设备类型、设备ID等信息找到对应的登录信息、设备的采集脚本信息，然后组成probe采集器所要求的消息格式发送给对应的probe采集器。

(3)标准化策略存储模块

probe采集器根据核心服务器发送的设备信息，会登录设备并执行采集命令，调用自身的标准化程序，把采集的原始策略信息标准化成易于阅读的五元组形式，返回给核心服务器，此模块的功能就是把probe采集返回的标准化数据存储到数据库中，为前台页面的展示作数据准备。

(4)数据展示模块

此模块可以把存储在数据库中的标准化策略直观的展现给用户，并且用户可以按照一定的条件检索需的策略，比如按照动作，分析结果类型等。由于数据库服务器会把每次采集的结果都保存起来，因此管理员还可以查看不同时间点的策略，便于比较。

(5)报表展现及报表导出模块

报表展现和导出模块提供了丰富、详实的报表功能。采集完成后点击统计按钮，可以方便的查看本次采集分析的总览信息，而且可以导出报表便于交流和传递。

3.数据库服务器

为中央服务器的业务提供数据存储服务。

4.PROBE采集器

执行策略采集命令获取策略原始结果并标准化的采集服务器。主要分为以下三个模块：

(1)策略采集模块

probe采集器根据核心服务器发送的设备登录信息连接设备，执行采集命令，并把回显结果传递给策略标准化引擎。

(2)策略标准化模块

接收由信息采集模块反馈的策略原始信息，根据正则表达式和相应的规则对原始信息进行标准化，得到标准五元组形式传递给策略审计引擎。

(3)策略审计引擎

策略审计引擎是最核心的功能模块，它对接收到的标准化正则进行优化审计和安全审计，帮助管理员及时、高效地发现防火墙中冗余、冲突及违反安全规则的策略。

应用效果

防火墙策略分析审计功能按防火墙策略顺序执行逻辑智能分析各系统防火墙策略，发现冲突、冗余、垃圾和违规配置问题，给出准确提示，辅助系统管理员在防火墙策略成百上千条策略中及时发现问题策略，实现防火墙策略自动审计。促进防火墙策略配置规范化，加固各业务系统的第一道防线。

图2 模块运行分析结果

图3 二次检查后结果

模块试运行过程中审计防火墙63台，共计8505条策略，分析结果统计如图2所示。

计算方法：百分比为此类违规条数占策略总条数的百分比，百分比=此类违规策略条数/8505。

由于存在一条策略同时满足多项违规的情况，所以各项违规百分比相加出现大于1的情况为正常。

将各防火墙审计报告分发给管理员进行整改，整改后总策略条数为8307条，二次检查后结果如图3所示。

由表中数据可看出实施效果明显。本模块可精准发现防火墙策略中已发生的及潜在的不安全和不规范策略，经管理员根据审核报告整改后，效果明显。

结论及未来工作

总的来说，防火墙策略核查系统能够深度、自动、高效的审查防火墙策略，为企业的安全系统长期稳定运行提供保障。

现今在大规模使用防火墙的电信运营商中，其安全负责人已初步融合安全系统，进行统一化的管理建设，但是对防火墙策略的核查尚属空白。相信在未来，本文提出的系统化解决防火墙访问控制策略的方案将出现在电信运营商及安全厂家的安全防护审查方案中，使安全管理员脱离低效率的审查工作。