颜昭治

摘要：防火墙是确保通信网络安全的重要设施，但存在部分设备由于维护不当，导致防火墙策略臃肿，不符合策略“最小化”原则，给防火墙性能及业务安全带来隐患。该文通过总结公司通信网络防火墙策略问题及其成因，并提出相应的策略优化方法，最后阐述了优化过程中几点实践，以此来掌握防火墙策略如何优化，进而到达提升通信网络安全的目的。

关键词：防火墙;安全策略;策略优化;网络安全;通信网络

中图分类号：TP311        文献标识码：A

文章编号：1009-3044（2021）07-0046-02

Abstract：Firewall is an important facility to ensure the security of communication network.However，due to improper maintenance of some devices，the firewall policy is unreasonable and does not follow the principle of minimization， which brings hidden danger to firewall performance and business security.This paper summarizes the problems and causes of the company's communication network firewall policy， and puts forward the corresponding policy optimization methods. Finally， it expounds several practices in the optimization process， so as to master how to optimize the firewall policy，and then achieve the purpose of improving the communication network security.

Key words：firewall;security policy;policy optimization;network security;communication network

1引言

防火墙是网络安全体系中极为重要的一环，通过在网络边界上构建一道相对隔绝的保护屏障，以阻挡来自外部的网络入侵，其在通信网络关键基础设施安全防护中起到举足轻重的作用。但由于策略没有得到有效合理的维护，甚至将防火墙当作路由器来看待，把原本不应暴露的安全资产对外暴露了，致使防火墙应有功能“失效”，对通信网络安全造成严峻挑战。

2问题及其成因

目前通信网络的防火墙主要是使用包过滤功能在网络层来允许或拒绝外部网络的访问，通过访问控制列表和安全策略两种方式实现。访问控制列表一般用于限制设备自身被访问范围，比如TELNET、SNMP等，以及防范一些蠕虫、DDOS等网络层攻击;安全策略即是用于业务层面的访问控制，按照一定规则检测各个区域互访的数据流。在实际应用中，主要存在以下六个方面的问题：

2.1策略范围过大

即源IP、目的IP及目的端口没有按照策略“最小化”原则进行配置，甚至配置成“ANY TO ANY”。究其原因一是审核不严，没有严格把关策略需求;二是贪图方便，采用大网段代替具体IP;三是数据作不规范，把没有共性业务特征的策略进行合并;四是对应用协议缺乏认识，特别是涉及动态端口。应从严把关、规范操作、掌握协议，根据业务实际需求，将源IP、目的IP及目的端口改成满足要求的最小范围。

2.2策略无用无效

通常防火墙存在未命中策略、未引用策略、过期策略、重复策略或冲突策略等多余数据，这些数据不仅无用无效，还会影响防火墙性能以及业务安全。未命中、未引用和过期策略主要是未定期对防火墙策略数据进行清理造成的;重复或冲突策略主要是新建策略时，未对已有策略数据进行分析引起的，需要细心分析这些策略是优先级高的策略的开放范围过大还是确实反映了实际需求，又或者是存在冗余策略。

2.3策略开通双向

由于對专业知识掌握不牢，未能深入理解防火墙机制，在新建策略时，时常配置一条入站策略的同时又配置一条与此对应的出站策略。其实出站策略纯粹是多余的，一是有些防火墙出站策略是默认全放通的，这与防火墙品牌、型号、系统版本、区域优先级有关，二是新一代防火墙已能根据入站策略创建此策略的会话状态，可实现单向访问控制。

2.4策略违反管理

策略违反管理是指策略配置违反了公司自身一些安全管理要求，比如不允许源IP为它网IP或跨区域IP、不能对互联网开放管理端口、禁止绕过集中维护平台直接访问设备等。存在不符合要求的策略，主要根源是日常维护管理不到位所致，应按管理要求，去除违规地址、修改管理端口或者策略给予删除。

2.5台账陈旧欠缺

策略台账登记着策略归属、用途、五元组等重要信息，可以起到溯源作用。但由于维护人员变动、工单系统变迁、信息未定期更新等原因，导致策略台账不准确、不完善，信息过于陈旧。在实施数据变更时，无法找到对应负责人，难以知晓策略用途，强制删除又恐引起在用业务中断。应尽可能做到策略台账信息完整无误，并与设备上策略数据一一匹配。

2.6命名无规无则

因缺乏有效的数据管理规范，策略数据的制作仅凭维护人员自身的想法，其结果往往是五花八门、无迹可寻。科学合理的策略数据制作规范可以有效帮助我们快速明确策略的用途和归属，同时也可以帮助我们得到更加清晰的策略台账信息，对任何时候的策略梳理和优化都是有利无弊的。因此应通盘考虑、统一规划策略相关字段命名规范。

3策略优化方法

3.1策略建账

建立防火墙策略台账信息是落实优化的前提，清晰明确的台账信息可以起到事半功倍的效果。首先是通过手工或脚本方式梳理防火墙策略表，然后将无用策略、反向策略、违规策略等多余数据标记出来，接着根据已掌握维护资料，尽可能明确策略五元组整改信息以及归属专业、归属部门和使用用途，最终将策略标记为无须整改、已明确整改、不明确整改和即将删除。对于不明确整改的，按照其他优化方法做进一步分析。

3.2分组分类

分组分类的目的是减少优化的复杂度。可根据安全区域、策略出入站方向、专业/系统、IP归属地等维度对不明确整改的安全策略进行分组，同时根据源IP和目的IP进一步细分。源IP可按照业务类型进行分类，可分为4A平台、应急终端、安全系统（如防病毒、补丁、日志、扫描器等）、支撑系统（如监控、分析、备份等）;目的IP可按照设备类型进行分类，因同样类型的设备一般提供相同的业务，特别是使用端口，可分为网络设备、主机、标准应用、定制化应用等。

3.3拆分合并

某些策略过于臃肿，源IP或目的IP包含了许多IP段，不利于确认策略归属，同时也不满足“最小化”原则，必须对其进行拆分。一般按照访问源进行拆分，然后再细化目标地址，最后再确认使用端口，最终将策略拆分到合理程度。当然有时策略数量过大，不利于维护，可视实际情况，将有共性业务特征的策略进行合并，如4A平台、安全系统等业务。

3.4 日志分析

为精准获取策略五元组在用信息，将策略优化至符合“最小化”要求，此时就需要进行日志分析。可通过启用策略日志，统计分析一段时间内的日志结果，然后根据日志记录的五元组信息，新建相关安全策略，这些策略尽可能符合“最小化”原则，并且优先级比原策略高，最后根据日志记录不断新增或优化这些策略，直到原策略没有命中，则策略优化完成。

此外，还可采用更为激进的优化方法，那就是统计分析长时间内所有策略日志或会话记录，然后以记录到的五元组信息重新创建所有策略，最后在旧策略都未命中时将其全部删除。但一方面须对新建策略进行合理合并，另一方面则要剔除干扰流量产生的无效数据。

4 策略优化实践

4.1日志会话分析

以华为SRG2200系列防火墙为例，分析前须先启用策略日志并清除策略命中统计信息，当隔一段时间或命中率达到一定值时，即可开始分析日志，如图1所示。

当然设备如果支持web方式，操作更为简便。有时也可通过查看会话记录辅助分析，具体指令是“display firewall session table”。

4.2目标端口确认

全端口放通是策略配置常见的问题，有些策略活动频率较低，优化时无法在短时间内通过日志或会话分析确认目标端口。端口分标准化端口和自定义端口，定制化软件通常使用（一段）动态端口。为准确获取目标端口信息，避免误操作造成业务中断，可通过查阅目标对象业务文档、登录设备查看监听端口、主动扫描设备开放端口等方法进行确认，相关指令如下：

lnmap -Pn -p 1-65535 ip #远程扫描端口

lnetstat –an #主机上查看使用端口

ltelnet ip port         #验证TCP端口是否开放

lnmap –sU ip –p port #验证UDP端口是否开放

4.3数据命名规范

其实策略数据命名规范也是策略优化的组成部分。策略数据命名应遵从一定的规范性、科学性，做到区分清晰、有章可循。从策略的命名及描述中即可知道归属部门、归属专业、业务类型、使用用途等有效信息，同样从源地址、目的地址和地址组的命名及描述中即可知道归属部门、归属专业、归属区域、主机名称、设备型号、设备位置、业务类型或使用用途等有效信息。参考示例如下：

l歸属地域_归属专业_GROUP        #地址组命名

l归属地域_归属专业_设备位置_设备型号_主机名称#地址命名

l归属专业_业务类型_GROUP   #策略命名

最后，在描述中填写依据（比如工单号等）、用途或时间等有关信息。

4.4 策略工具辅助

某些型号的防火墙支持策略冗余、策略命中率等分析，然而功能毕竟有限，无法满足优化要求。第三方策略管理工具提供了更加全面、更加高效的功能支持，可快速、有效、详细地分析出防火墙策略各种存在问题，包括策略源IP、目的IP及目的端口等合规性分析，策略是否存在交叉、包含、冗余、冲突，策略是否存在管理违规等，特别是定制化工具，更具有针对性，可满足个性化需求。可以根据工具生成的分析报告，对于检查出的问题，逐条落实优化整改。

5 结束语

防火墙策略优化是项烦琐、费时的工作，策略未能符合要求更多的是管理问题，应把关需求、规范制作、定期清理、明确归属、了解业务。对于一时无法进行全面策略优化的，应做好“控新增、减存量”。另外必须夯实专业知识，透彻掌握防火墙机制及品牌、版本区别，全面精通协议及其端口，如SNMP和SNMPTRAP、FTP主动和被动模式、HRP和VRRP等。

【通联编辑：代影】