0 引言

防火墻作為內外網重要的安全防護設備,是信息安全管理的基本工具之一,防火墻按照工作層級分類主要分為包過濾防火墻和應用級防火墻,包過濾防火墻作為安全管理人員最熟悉的防火墻^[1],其安裝部署方便,策略設置簡單,因此得到大面積應用。隨著公司信息安全管理的日益嚴格,各類網絡邊界安全防護越來越嚴格,加之信息系統不斷出現,防火墻的訪問控制列表（Access Control List,ACL）策略也變得日益復雜^[2-4]。如何對防火墻的ACL策略進行有效管理,已成為黃山供電公司信息運維藍隊對信息安全防護工作的重要課題。

運維人員在日常防火墻管理過程中存在的主要問題如下：

1）防火墻ACL策略存在合理性問題,由于多個管理員配置ACL策略或者策略設置時間較長,防火墻策略之間就有包含、重復開放、端口等問題;

2）管理員通常根據需要配置開放策略,很少進行策略回收,導致ACL策略到期后無人清除,同時策略多數沒有設置時間策略;

3）ACL策略設置不合理,但缺乏檢測手段,如存在ANY的策略、端口全開的策略、防火墻策略是否在用等問題,但面對數量眾多的策略時無法人工處理。

防火墻端口管理是藍隊工作的重要組成部分,黃山供電公司信息運維藍隊在日常藍隊防護過程中總結出防火墻ACL管理的各類問題,自主研發一套ACL規則管理分析工具并應用于本單位,該工具主要針對公司常用的防火墻設備、交換機、路由器ACL管理,通過對不同設備建立模板達到通用的目的,主要包括思科、天融信、華三、Juniper、啟明星防火墻策略設置合理性的掃描工具,能夠快速有效的對公司防火墻設備內策略進行解析并開展內部資源開放情況分析,分析結果可通過圖形化展示,同時,通過工具的使用能提示運維人員告警信息,及時幫助網絡運維人員快速掌握網絡資源的異常開放行為,并進行加固和整改,有效發現網絡邊界的端口異常情況。

 1 防火墻ACL規則管理分析工具的實現

1.1 ACL規則的分類方法及可行性分析

防火墻ACL規則管理分析工具在針對整個防火墻的規則分析時,主要通過危險策略、無效策略、策略間的交叉關系和沖突關系4種規則分類進行分析^[5-6]。在實現ACL中的規則分類時,對不同的規則分類劃分分類依據,如：危險策略主要依據是源地址（目的地址）開放過大（如ANY、掩碼數小于24等）、端口開放過大（如ANY）等;無效策略主要依據是判斷規則是否存在過期、存在無地址（無協議、端口）等;策略間交叉關系與沖突關系的分析依據主要通過在策略執行順序上對規則進行兩兩對比,判斷源地址或目的地址、端口、動作域之間是否存在內容相交或動作相反的策略,以此判斷規則的交叉或沖突關系。根據以上4種規則分類對ACL規則進行分析,能夠準確、簡單地分析出單策略或多策略存在的不合規性,同時有利于網絡運維人員明確了解策略的錯誤,更有效地協助網絡運維人員優化策略,在一定程度上提高策略的準確性。

在現實網絡環境中,網絡的信息安全防護并非只是通過一道防火墻就可以實現,為實現整個網絡的安全防護工作,需要部署一組防火墻共同實現。為了實現整個網絡的安全防護及運行,即實現單個防火墻ACL與其他防火墻ACL的聯動性,對整個網絡環境中級聯的防火墻ACL規則進行解析,根據相鄰防火墻,按照規則分類對兩者防火墻的ACL規則進行策略對比,從而實現防火墻與防火墻之間ACL規則的聯動性,完善整個網絡中防火墻的策略優化,達到整個網絡區域的安全防護^[7-9]。

1.2 工具實現原理與功能

1.2.1 工具實現原理

防火墻策略是由過濾規則組成的有序鏈表,每一條過濾規則包含若干個網絡域。通常過濾規則由協議類型（protocol）、源IP地址（source IP address）、源端口（source port）、目的IP地址（destination IP address）、目的端口 （destination port）、動作（action）6個域組成（見表1）。

表1 防火墻策略的過濾規則有序鏈表Tab.1 Filter rules and their ordered chained lists for firewall policies

協議定義了傳輸層協議;s_ip和d_ip分別表示源地址和目的地址,既可以是一個主機地址（如192.168.1.16）,也可以是一個地址范圍（192.168.1.0/24）;s_port和d_port分別表示源端口和目標端口,同IP類似,既可以是一個特定的端口號,也可以是任何端口;動作域是類似布爾型permit或者deny,僅當數據包的各個域與規則域中的條件匹配時,才會執行對應的動作,當執行permit時,防火墻放行數據包,而執行deny時,防火墻拒絕該數據包通過^[10-11]。

防火墻ACL規則管理分析工具依據防火墻型號及型號對應的規則定義格式,解析防火墻配置文件,將每條規則解析提取出7個基本域：序號、協議、源地址、源端口、目的地址、目的端口、動作域,得到防火墻規則表,作為防火墻規則合理性分析、可視化分析的基礎數據。為了掌握防火墻內部保護區域的網絡資源開放情況,由網絡運維人員給出“內部區域”網絡地址資源范圍;再遍歷防火墻規則表,對于目的地址與“內部區域”存在交集,動作區域為permit的規則,其對應的目的地址即為開放的網絡地址資源^[12-13]。

為判定防火墻策略的合理性,遍歷防火墻規則表,針對每一條策略,若沒有設置時間限制、端口為ANY、源地址或目的地址為ANY則判定為危險策略;若策略已過期,判定為無效策略;若2條策略的源地址或目的地址存在交叉,動作域相同,判定為交叉關系;若2條策略的源地址或目的地址存在交叉,動作域不同,判定為沖突關系。

1.2.2 工具實現功能

防火墻ACL規則是由過濾規則組成的有序鏈表,該工具采用C/S形式,主要通過對防火墻的過濾規則進行完全解析,解析過濾規則主要包括協議類型、源IP地址、源端口、目的IP地址、目的端口、動作、方向。同時根據一定的對比方案對策略進行分析,并將策略的基本信息進行有效展示和導出。其具體功能如下。

1）配置文件的導入解析。配置文件的導入解析是指該工具可對多種不同品牌防火墻的配置文件進行解析,先讀取防火墻配置文件內容,再依次解讀文本中每一行內容,解析后得到防火墻規則表,其包括源地址、目的地址、端口、協議（服務）、方向、動作、規則文本等。同時將解析的數量結果進行展示,包括接口、服務等。

2）策略導出。策略導出是在配置文件解析完成的基礎上,對規則表進行導出csv文件功能,導出內容包括源地址、目的地址、協議（端口）、地址、規則內容等詳細信息。

3）策略可視化展示。策略可視化展示是指在配置文件解析完成的基礎上,通過拓撲圖的方式對策略規則按照點（源地址）與點（目的地址）之間相互訪問的關聯進行簡單、明確的展示,同時可詳細的顯示點點之間的關聯,如：源地址與目的地址之間動作、方向、所關聯協議及端口等信息,同時可根據地址、方向等信息對拓撲展示進行篩選。

4）危險規則分析。危險規則分析是指對解析后的規則進行分析,以協議（服務）、端口為主,IP地址為輔進行分析,判斷防火墻策略是否開放了國網禁止的協議（服務）或端口、源地址（目的地址）開放太大（如ANY、10.138.0.0/16等）、端口開放太大（如ANY）等存在安全隱患的規則。

5）無效規則分析。無效規則分析是指為了防火墻策略的合理性,對防火墻中所有策略進行逐個分析。判斷是否為無效規則的基準為：是否存在過期的策略;是否存在無地址（無源地址、無目的地址）;是否存在無協議（服務）、無端口;在執行順序上進行排序,對相鄰的2條策略進行兩兩對比,判斷是否存在重復策略。

6）交叉、沖突規則分析。交叉、規則分析是根據防火墻在對策略從前到后的執行順序上進行兩兩對比,判斷源地址或目的地址、端口與端口之間是否存在交叉的策略規則,同時將策略之間相交叉的部分進行展示。沖突規則分析是根據防火墻規則對比,以2條策略的源地址或目的地址存在交叉或相同、動作域不同,作為沖突分析依據進行策略分析。

 2 工具使用及應用演示

2.1 工具使用步驟

以防火墻配置文件分析為例對工具的使用進行說明。工具操作步驟如下。

1）設置防火墻配置文件及型號。運行工具后正確選擇防火墻設備廠家及防火墻設備型號,并選擇防火墻配置文件的存儲位置。

2）添加內部保護區域IP地址段。在分析界面中逐個錄入內部區域包含的IP地址段,可為多個;IP地址段可為IP地址段、連續的IP地址或單個IP地址。

3）規則解析。點擊“檢測”對防火墻配置文件進行解析并依據列出所有防火墻規則的7個基本域。

4）各類不合理規則分析。針對過期規則、開放范圍過大、沖突規則、交叉規則等各類不合理規則進行分析并展示不合理規則明細。

5）危險性規則查找。針對一些常用的遠程訪問協議在規則中執行查找、快速定位相關規則。

6）規則圖形化展示。點擊“圖形化結果”以圖形化方式展示防火墻每條規則對應的資源開放情況;可查看整體開放情況,也可以查看In、Out方向資源開放情況。

7）規則導