辛平安 李昆华 王元冬 王杰鸿 周艳平

（云南电网有限责任公司昆明供电局 云南省昆明市 650000）

1 引言

近年来，随着网络的发展和壮大,网络安全问题成为现代信息安全所要解决的主要问题[1]。针对不同的网络环境，防火墙策略的配置不仅越来越复杂，而且多域间各策略之间的冲突时有发生，严重影响安全策略的执行效率，因此，如何保证不同安全域之间的防火墙策略的一致性、可靠性，以及同一安全域内安全策略的正确性、可靠性，成为防火墙安全策略配置的关键[2]。因此，防火墙设备的安全性及其配置参数和策略的可靠性管理日益重要，其管理的内容主要包括接入者账号权限安全性、路由的访问控制策略、确保信息传输的保密与完整性、是否具备入侵检测配套或手段、防火墙设备防病毒措施是否具备等。

针对调度数据网设备安全防护，很多单位开展了相关工作和研究：例如在安防配置管理方面，国网济南供电公司提出对网络设备的安全运行管理，从账号安全、配置安全、审计安全和维护安全四个方面考虑，其中配置安全的方法是对电力数据网内的重要数据信息定期实行备份处理，并且对每一次关键设备上的配置修改都进行记录，这种方法较为原始，完全依赖运维人员操作正确性，一旦运维人员配置错误或未及时备份配置记录，产生的影响不可预估[3]。在安防配置检测方面，华北电力大学对防火墙、隔离装置等网络设备给出了具体的配置及检测内容（对象、服务、策略），根据这些配置命令基本满足安防配置要求，但需要运维人员全程手动操作，运维工作量大[4]。在安防配置分析方面，国网宣城供电公司中提出基于Syslog 协议的日志自动采集及存储服务，记录设备的任何时间发生的大小事件日志，通过分析这些网络行为日志，追踪掌握设备的运行状态，能够及时识别调度数据网络中可能发生的安全隐患，但很多发现都是基于已经出现的事件，从侧面反映问题，只实现对问题的快速监测和识别，且事件的定义不能完全覆盖很多隐患[5]。

2 研究思路

2.1 自动化推送SSH命令与采集回显信息，程序化比对分析，实现防火墙设备安防配置主动分析

SSH 协议是专为远程登录会话和其他网络服务提供的安全性协议，利用SSH协议可以有效的防止远程管理过程中的信息泄露问题，在进行数据传输之前，SSH 先对联机数据包通过加密技术进行加密处理，加密后再进行数据传输[6]。

通过网络通道中传送SSH 协议加密过的命令和防火墙返回的应答信息，能够实现防火墙设备安防配置的主动分析，比如图1所示，在以主机自动化推送命令和采集回显信息的方案中，需要扫描主机首先通过SSH 协议发送登录命令至防火墙设备，在登录成功后通过输入基线配置命令来获取回显结果，最后通过与基线配置规则模板进行校验比对得出分析结果。

图1：主动推送命令脚本检测配置过程

图2：定制自动巡检任务功能截图

在此基础上，对防火墙设备安防配置检测内容的反馈信息增加逻辑研判及相关处置功能，即根据反馈信息中的相关内容，按照自定义的逻辑处置功能，执行相应的操作。最终，融合防火墙设备安防配置数据获取、问题分析判定方法，将设备安防配置策略与主动分析技术相结合，形成可编程可定义可识别的安防配置检测策略，对防火墙设备安防配置问题进行自动研判，并满足可编程可自定义的要求。

2.2 结合主动网络探测分析技术分析防火墙配置问题

对防火墙的配置进行比对分析是直接分析对象的“白盒”方案，但是仍然有很多隐性问题通过“白盒分析”难以发现，却可以通过侧面或其他数据来反映防火墙的问题，比如多个防火墙之间的策略影响，通过直接分析配置难以较大，却可以通过测试数据包是否通达的现象发现问题所在。因此，通过网络主动探测发现防火墙安全配置的不足，如同软件的黑盒测试一样，可以更直接和快速的发现问题。

3 关键技术

表1：防火墙设备安防基线配置要求表

3.1 SSL主动脚本基线配置校验技术

根据当前防火墙设备数量和配置检查项多，调试设备策略变更闭环管理困难，需要人工逐一检查核对、记录，较为繁琐，设计设备程序化的防火墙配置策略自动化检测方案。该方案利用计算机模拟人工，按照规则自动进行条件筛选，形成自动执行的任务，自动发送命令并等待搜集设备回显进行判定。该任务支持安全配置基线扫描，能根据设备IP 列表、安防基线检测项（参考表1 防火墙设备安防基线配置要求）、扫描周期等进行检查。开启扫描任务后，会先检测所需进行的防火墙设备和安防基线检测项，并将任务设置存入数据库中，根据设置的扫描周期定时进行扫描，在主站通过网络以多个线程同时运行，快速获取设备内部通信策略并替代人工进行问题分析判定。在扫描完成后，根据获取到的检测信息与设置的信息结果相比较，看是否在需要的回显结果范围内，并将检测项的结果和该问题的修复处置方案添加进报表中，短时间将所有设备最新状态与问题显示在报表中。

3.2 可编程柔性自动化技术

由于目前国内外防火墙设备安防配置检测策略需要支持的厂商、设备型号、设备类型较多且后期会不断扩增数量，通常这些不同厂商、类型的设备指令存在差异，研究并得出这些指令的共通之处是个难点，即需要在应用中开展满足绝大部分防火墙设备指令的适配方法研究。

对于一些不能通用的指令可以通过建立一个设备与指令的对应关系库，将设备型号与指令关联起来，指明那种设备型号对应着那些指令，在进行安防基线配置检测时提前获取设备型号，再根据设备型号查找相应的检测命令，最后通过检测指令获取基线配置获取命令的回显结果，再进行校验。

3.3 与网络探针的主动融合分析

网络探针目前尚未由很明确的定义，从类型分主要包括测试探针和流量探针，从工作方式来看主要包括主动型探针和被动型探针，顾名思义，主动型探针是可以主动和定时的开展网络性能、质量测试的装置或程序，实时性较强，而被动型探针是通过接入网络后，通过流经的流量或者外在设备对其反馈得出结论的装置和程序，因此，探针的用途十分丰富和灵活。在防火墙分析方面，主动型探针可以通过预先定义或者轮询的测试，发现单一通过防火墙基线配置规则校验难以发现的问题。

（1）可以解决不同域防火墙隐性冲突的发现困难问题。如果防火墙上下级或者横向多域之间存在另一个或者多个防火墙，那么理清他们之间基于源、目的直接的端口和数据流访问控制比较困难，存在相互冲突的可能，如上级防火墙限制的，下级防火墙放开，那么下级防火墙管理网络的数据不可达问题排查就较困难和费事；又如上级防火墙允许的，下级防火墙限制了，上级防火墙的配置问题也很难发现。通过不同域之间探针的主动可达测试，可以有效的发现这些问题，并通知管理人员。

（2）可主动定期对服务进行访问，可发现防火墙配置变更和薄弱部分对主机服务产生的影响。电网内部服务较多，通过定期对服务的测试分析，可以有效的防止服务本身运行异常、内部局域网DDos 攻击造成的响应、防火墙DDos 攻击配置不合规或未生效、防火墙配置后造成的应用访问IP 不可达等问题，及时的通知管理人员，及时更新，杜绝发生故障事后处理的现象。

（3）主动发现防火墙在数据流控制配置方面的漏洞。网内软件系统的大量部署并不总能保障不出现漏洞，通过主动探针进行服务的发现和定向测试，可以快速告知管理员，建议其进行防火墙访问控制，最大限度减少风险，为后期软件与系统整改争取时间。

（4）在保障安全的前提下，通过主动探针模拟少量异常报文、攻击性报文测试穿透防火墙、看是否存在相应告警与防护措施（比如入侵检测是否配置或者入侵检测策略是否有效），可以有效的发现网内不足，后期通过升级改造或者配置优化，杜绝以上问题。被动型探针可以对流量进行精细化分析，由于防火墙对于合法的TCP数据流是放行的，所以难以发现合法地址流量的异常，比如攻击者或者病毒程序，非法控制了某个合法终端的服务，发射探测数据的现象。针对特定服务的流量开展分析，能够通过流量映射行为，分析来自客户端外挂程序的频繁访问、异常访问现象；也能发现测试性、探测类的黑客行为，形成告警提供给管理人员。

4 应用情况分析

当前，昆明供电局调度中心自动化班组需要运维主站与厂站近百台防火墙设备，运维人员每次对所有防火墙设备的安防配置检测需要逐个人工操作、效率低。现场控制口接入操作方式需要监控人员在笔记本手动输入命令，查看回显结果然后规则逐条比对，操作不方便，费时费力。按照这样的检查方式单台设备每次进行检测需要大约1 个小时，所有设备全部检测完成共计需要100 小时左右。

由于全面检查费时费力，日常多通过管理手段控制，即对防火墙配置记录，形成版本。由于缺乏及时主动的分析，每次对防火墙配置维护后，若产生配置冗余、冲突等问题，发现困难且分析解决时间长。防火墙设备安防基线主动分析方案在昆明供电局的应用，从防火墙设备配置直接比对和其管理的网内运行现象侧面分析，主动发现隐患和问题。日常实际应用中，单台防火墙设备配置读取与分析时长控制在不超过1 分钟，可以协助自动化工作人员快速精确的维护防火墙设备安防基线，提高自动化人员工作效能，大大减少人工重复劳动，有效提高调度自动化人员对防火墙设备安防维护和处置效率。

利用系统的自动巡检功能，如图2 可以对巡检项目、巡检频率、巡检开始时间进行设置，自动开展扫描，根据管理需要，设置多个不同的巡检任务，系统将自动开展分析，形成结果报告，减轻自动化运维人员在防火墙安全基线管理这方面的工作压力。

5 结束语

本文主要阐述防火墙设备安防基线配置数据主动获取、问题分析与判定方法，将设备安防配置策略与主动分析技术相结合，形成可编程可定义可识别的安防配置检测策略，对调防火墙设备安防基线配置问题进行自动研判。同时，利用网络探针在线主动探测技术，分析反映防火墙设备的基线安防配置情况，生成防火墙设备安全基线配置报告，辅助调度网络运维工作的开展。最终，形成多方位的防火墙安全防护配置主动分析应用。同时，根据问题的安全等级（告知、严重、危急等）生成相应的告知方式，提供一份全面的检测处置报告及相关修复建议，从而有效的提高对防火墙设备安防配置正确性、网络设备运行稳定性，保障电力调度数据网稳定可靠运行。