出。點擊“導出csv”可以將解析后所有規則或不合理的規則導出到csv文件。

2.2 工具應用演示

2.2.1 工具參數初始化

工具參數初始化包括防火墻參數設置及內部區域地址段設置,完成防火墻型號及防火墻配置文件參數設置。雙擊運行軟件,選擇防火墻配置文件路徑,及防火墻類型;同時在右邊錄入內部區域包含的IP地址段;區域1、2、3分別對應配置文件物理路徑、防火墻型號及內部區域地址段。

2.2.2 ACL策略獲取與展示

點擊“檢測”按鈕,展示策略檢測結果,按照防火墻策略的基本域設計展示表的字段,包括：被訪問的內部地址、外部地址、訪問形式、規則文本及規則所在行（見圖1）。

圖1 內部地址開放情況分析Fig.1 Opening situation analysis of internal address

1）被訪問的內部地址：ACL規則目的地址。

2）外部地址：ACL規則源地址。

3）訪問形式：ACL規則規定的協議和端口信息。

4）規則文本：ACL規則的文本信息。

5）規則所在行：ACL規則在文件中所在的行。

點擊“不顯示放行所有規則”,將會過濾掉那些放行任何源地址到任何目的地址的規則（如有配置的運行任何地址之間進行icmp的規則）（見圖2）。

圖2 內部地址開放情況分析（不顯示放行所有規則）Fig.2 Opening situation analysis of internal address (no display of all release rules)

2.2.3 ACL策略合規性分析

1）危險策略發現。工具可以解析出防火墻規則中設置范圍過大的規則,包括端口為ANY、地址范圍沒有限制的策略。危險規則分析如圖3所示,配置文件中603、624、659、645行對應的防火墻策略開發端口為ANY,695行對應的策略源地址、目的地址均為ANY。

圖3 危險規則分析Fig.3 Hazard rule analysis

2）過期策略、被包含及未使用的無效策略發現。工具可分析出防火墻規則中無效的規則。包括已過期的規則：防火墻設置的有效時間已過期;被包含的規則：已經有其他比較大的規則完全能包含這條規則;未使用的規則：規則存在但是沒有啟用（見圖4）。

圖4 無效規則分析Fig.4 Invalid rule analysis

3）存在交叉關系或者重復開放的沖突策略發現。工具可檢測防火墻與其他規則存在交集的防火墻策略,可展示沖突策略總數,并從In、Out及動作域多個角度展示沖突策略明細情況（見圖5）。

圖5 沖突策略分析與展示Fig.5 Conflict strategy analysis and presentation

4）ACL策略查找功能。提供了按照常用固定端口過濾規則功能,方便查看風險性比較高的通用協議開放情況,如：查找過濾安全外殼（Secure Shell,SSH）協議（TCP 22端口）、遠程桌面協議（Remote Desktop Protocol,RDP）（TCP 3389端口）、X顯示監控協議（XDisplay Manager Control Protocol,XDMCP）（UDP 177端口）。可以展示規則方向、源地址、目的地址及原規則文本、行數等信息。

5）ACL策略導出與備份。點擊“導出”按鈕可以將解析的規則導出到csv文件中,后續可有利用excel功能對策略中的端口等信息進行高級過濾分析,如獲取開放了SSH、SNMP等服務的網絡地址。

 3 結語

黃山供電公司自主研發的防火墻ACL策略解析分析工具很好地解決了防火墻規則過于繁瑣龐大、不利于分析管理的問題,網絡安全運維人員可利用工具快速發現內網區域地址資源開放情況,并針對不合規的開放進行整改、完善,實現不合規策略的早發現、早處理,降低因策略的不合理設置帶來的安全風險。

(編輯:張京娜)

參考文獻

[1] 范萍, 李罕偉. 基于ACL的網絡層訪問權限控制技術研究[J]. 華東交通大學學報, 2004, 21(4): 89-92.

FAN Ping. LI Han-wei.Research on technique to control access to network layer based on ACL[J]. Journal of East China Jiaotong University, 2004, 21(4): 89-92.

[2] 唐子蛟, 李紅蟬. 基于ACL的網絡安全管理的應用研究[J]. 四川理工學院學報(自然科學版), 2009, 22(1): 48-51.

TANG Zi-jiao, LI Hong-chan.Application of network security management based on ACL[J]. Journal of Sichuan University of Science & Engineering(Natural Science Edition), 2009, 22(1): 48-51.

[3] 胡海璐, 陳曙暉, 蘇金樹. 路由器訪問表技術研究[J]. 計算機科學, 2001, 28(4): 94-96.

HU Hai-lu, CHEN Shu-hui, SU Jin-shu.On router access control list technology[J]. Computer Science, 2001,28(4): 94-96.

[4] 孫翠玲, 顧建華. 利用ACL技術對園區網絡實現精細化控制[J]. 電腦知識與技術, 2006(36): 72-73, 95.

SUN Cui-ling, GU Jun-hua.Drawing upon ACL to realize finely garden area network control[J]. Computer Knowledge and Technology, 2006(36): 72-73, 95.

[5] 沈健, 周興社, 張凡, 等. 基于網絡處理器的防火墻優化設計與研究[J]. 計算機工程, 2007, 33(10): 172-174.

SHEN Jian, ZHOU Xing-she, ZHANG Fan.et al.Optimized design and research of firewall based on network processor[J]. Computer Engineering, 2007, 33(10): 172-174.

[6] Cisco Systems,Inc. Cisco security appliance command reference software Version 7. 0(8)[Z]. 2008.

[7] 于本成, 慕東周, 陸玉陽. 中小型企業網絡控制方案的分析與設計[J]. 計算機安全, 2011, 31(7): 72-74.

YU Ben-cheng, MU Dong-zhou, LU Yu-yang.Small and medium enterprises network control program analysis and design[J]. Computer Security, 2011, 31(7): 72-74.

[8] 葉競, 葉水勇, 陳清萍, 等. 應對企業中的第三方應用程序漏洞探討[J]. 電力信息與通信技術, 2016, 14(5): 147-151.

YE Jing, YE Shui-yong, CHEN Qing-ping, et al.Deal with third party application flaw in the enterprise[J].Electric Power Information and Communication Technology, 2016, 14(5): 147-151.

[9] 王芳, 韓國棟, 李鑫. 路由器訪問控制列表及其實現技術研究[J]. 計算機工程與設計, 2007, 28(23): 5638-5639.

WANG Fang, HAN Guo-dong, LI Xin.Web service discovery based on cooperation of UDDI and DF[J].Computer Engineering and Design, 2007, 28(23): 5638-5639.

[10] Cisco Systems,Inc. Cisco security appliance command reference software Version8. 2(5)[Z]. 2011.

[11] 馮登國, 張陽, 張玉清. 信息安全風險評估綜述[J]. 通信學報, 2004, 25(7): 10-18.

FENG Deng-guo, ZHANG Yang, ZHANG Yu-qing.Survey of information security risk assessment[J]. Journal of China Institute of Communications, 2004, 25(7): 10-18.

[12] 莫林利. 使用ACL技術的網絡安全策略研究及應用[J]. 華東交通大學學報, 2009, 26(6): 79-82.

MO Lin-li.Research and application of network security policies with ACL[J]. Journal of East China Jiaotong University, 2009, 26(6): 79-82.

[13] 陳琳, 朱紹文, 陳緒君, 等. 新型Access-list技術應用研究[J]. 計算機應用, 2002, 22(8): 69-71.