热门标签:代写本科论文 写作发表 工程师论文 代写一篇论文多少钱
当前位置: 代写一篇论文多少钱 > 计算机论文 > 防火墙策略梳理及其优化措施

防火墙策略梳理及其优化措施

时间:2018-09-14 13:29作者:怡然
本文导读:这是一篇关于防火墙策略梳理及其优化措施的文章,防火墙是确保企业网络安全的重要基础设施, 梳理与优化防火墙策略是防火墙运行维护的基本工作。

  摘要:防火墙是确保企业网络安全的重要基础设施, 梳理与优化防火墙策略是防火墙运行维护的基本工作。文章以国网天津市电力公司的防火墙运维为例, 分析了防火墙的应用现状及存在的问题, 提出梳理与优化思路及流程, 并结合思路及流程进行了实践。实践证明, 使用文章所述的流程及实用工具可以规范防火墙策略运维流程, 提高工作效率, 增强防火墙可用性和可靠性, 提升公司网络安全, 为其他公司的防火墙运维提供借鉴。

  关键词:防火墙; 策略; 梳理; 优化;

  Abstract:Firewall is an important infrastructure to ensure enterprise network security. Combing and optimizing firewall strategy is the basic work of firewall operation and maintenance. This paper takes the firewall operation and maintenance of State Grid Tianjin Electric Power Company as an example, analyzes the present situation and existing problems of the firewall, puts forward the combing and optimizing methods and processes, and combines the methods and processes to carry out the practice. The practice has proved that the processes and the practical tools proposed in this paper can standardize the firewall strategy operation process, improve work efficiency, enhance the firewall availability and reliability, improve the network security level. This work also provides a reference for other company's firewall operation and maintenance.

  Keyword:firewall; strategy; combing; optimization;
 

防火墙技术

  0 引言

  随着国网天津市电力公司信息化程度的日益加深, 网络安全已经成为保障信息系统安全可靠运行的重要前提。防火墙作为一种部署于网络边界的软硬件设备, 可以根据策略对进出的流量进行管控, 从而达到保证网络安全的目的。作为网络安全的第一道屏障, 防火墙在企业信息化设施中发挥着重要的基础作用[1]。当前, 防火墙技术已经比较成熟并且广泛应用, 但防火墙的重要组件——策略表, 仍需要人工运维。不同厂商、不同接口的防火墙设备, 以及经年日久累积的数千条策略, 给运维过程造成了巨大挑战[2]。

  针对防火墙运维工作中的难点与问题, 本文从管理和技术手段2方面出发, 总结运维经验, 提炼运维流程, 开发运维工具, 进行了防火墙策略梳理与优化方法的研究, 以期达到增强网络安全性、提高保障水平的目的。

  1 天津市电力公司防火墙技术应用现状

  目前工业界防火墙设备厂商众多, 主要设备厂商包括华三、思科、天清汉马、天融信等。天津市电力公司内网防火墙同样使用了众多厂商的设备, 其部署结构示意如图1所示。

  图1 天津市电力公司内网防火墙部署结构示意Fig.1 The intranet firewall structure of Tianjin Electric Power Company

  天津市电力公司信息内网中涉及3个数据中心, 分别为利民道数据中心、本部数据中心以及国网总部数据中心。天津市电力公司本部数据中心二级、三级服务器区分别部署了2台防火墙 (H3C及天融信) 进行安全防护;在利民道数据中心二级、三级服务器区分别部署了2台防火墙 (H3C) 进行安全防护;在与国家电网公司总部级联的双链路中部署了2台一体化安全网关 (天融信) 进行安全防护。各防火墙均采用双机备份, 主备之间的策略表定期进行同步。各防火墙的设备厂商及策略条数统计见表1所列。

  3个数据中心的策略条数共计3 847条, 其中, 国网总部数据中心防火墙负责过滤国网总部和天津市电力公司之间的数据访问, 包含策略466条;本部数据中心防火墙承担更多重要系统的策略, 包括策略2 635条;利民道数据中心防火墙承担次要系统的策略, 包括策略746条。

  表1 防火墙统计Tab.1 Statistics of firewall

  防火墙设备的厂商包括华三以及天融信。二者均提供了基于Web的防火墙管理工具, 日常的防火墙策略删改等维护工作主要通过运维人员在调度监控中心的专用内网电脑上进行。

  2 防火墙运维过程中的问题与难点

  日常工作中, 防火墙的维护工作主要包括策略的添加、修改以及删除。运维人员在收到操作票后, 根据票面内容, 通过Web防火墙管理工具进行相应变动。运维过程中, 涉及的关键字段包括:源地址、目的地址、源端口、目的端口、策略状态、策略动作、策略生效时间段等[3-4], 均由运维人员根据票面内容修改, 有一定的出错几率。随着防火墙系统的使用, 策略表也会愈发臃肿, 运行效率随之降低, 加之重大保障任务和安全生产等要求, 需要运维人员定期进行防火墙策略表的优化工作。通过工作中的观察与总结, 防火墙策略表运维过程中通常会出现以下3种配置问题[5]。

  1) 过期配置:未指定策略生效时间段的策略过期后将会继续存在。

  2) 重复配置:调度指令票中的策略地址可能存在重叠的现象。

  3) 不合理配置:策略权限可能过大, 让非法IP也能通过防火墙, 或者策略配置错误[6]。

  目前, 解决上述问题主要有2种途径:一是等待用户向调度监控中心反映问题, 针对问题进行配置修正;二是通过运维人员定期逐条筛查, 主动发现配置问题。为提升服务质量、保障安全生产, 运维人员定期逐条筛查是必然的选择。然而, 筛查过程对于运维人员具有一定的挑战性, 在逐条筛查过程中, 主要面临以下难点。

  1) 运维压力大:策略条数多, 定期维护压力大。

  2) 运维难度大:策略表中IP地址表示方法多 (分为子网地址、IP范围地址、IP地址列表) , 难以直观判断2条策略IP地址之间的包含关系。

  3) 运维水平低:防火墙厂商不同, 提供的分析工具各异, 且大多提供简单的查找功能, 综合分析功能较弱。

  4) 运维流程差:无标准操作规范, 运维流程缺乏规范性。

  3 防火墙策略梳理与优化方法

  3.1 梳理与优化思路

  针对上文提到的3种配置问题, 为降低筛查过程难度, 分别制订了梳理与优化思路, 提出3种分析方法, 分别为大策略分析、闲置策略分析以及关键系统所用策略分析。

  1) 大策略是指权限过大的策略, 对应解决前文所述的不合理配置问题。大策略梳理过程通过统计字段值为“Any/任意/所有/Any_Address”[7]的策略来实现。统计字段为源地址、目的地址以及端口号。实施过程中, 首先分别统计各统计字段中字段值为指定值的个数, 然后根据其个数将策略分为1Any、2Any、3Any的策略, 最后, 根据策略等级进行不同的处理。3Any策略是源地址、目的地址、端口号都是Any的策略, 此种设置会导致任何规则都可以通过防火墙, 所以3Any策略应该被删除;2Any策略权限较大, 需要逐条查明是否有存在的必要, 不必要的策略可以删除或者缩减为1Any;1Any策略可能较多, 需要逐条分析, 确定Any字段的必要性。

  2) 闲置策略分析是指通过总结企业关键信息系统所用IP列表, 查看未被IP列表中命中的防火墙策略[8]。统计出未命中策略后, 即可有针对性的对其进行逐条筛查。此分析可以筛选出无用的配置策略, 从而解决过期配置的问题。

  3) 关键系统所用策略分析是在闲置策略分析的基础上进行的, 可以在梳理时进一步统计每个信息系统命中了哪些策略, 逐系统进行策略筛查比对[9-10]。日后再次收到某系统的策略添加命令时, 可以和本系统的现有策略进行对比, 从而一定程度上减少重复配置的出现。

  3.2 梳理与优化流程

  防火墙策略梳理过程往往由运维人员自主进行, 缺乏规范的操作流程。本文结合梳理与优化思路, 提出以下防火墙策略梳理与优化流程, 以期对操作流程进行规范。流程包括数据收集阶段、数据分析阶段、操作实施阶段、跟进反馈阶段 (见图2) 。

  数据收集阶段中, 首先需要收集防火墙台账信息, 从而明晰治理范围;其次, 由于不同防火墙厂商提供的分析功能各异且有限, 还需导出防火墙策略, 从而进一步进行深入分析;接着需要整理关键系统及这些系统的访问IP, 从而支撑未使用策略分析以及各系统使用策略分析的展开;最后, 由于某些策略可能因上级安排或其他原因不能予以删除, 需要对相关事项进行整理。

  整理好基础数据后, 可以进入数据分析阶段。此阶段中, 首先需要对导出的防火墙策略进行格式解析, 然后分别进行大策略分析、未使用策略分析、各系统所用策略分析, 结合策略命中数、相关事项记录、分析结果得到待删策略列表。

  得到待删策略列表后, 可以进入操作实施阶段。对每一条待删策略需要首先进行禁用, 由调度监控人员持续关注禁用策略的用户报告, 若有用户反馈无法正常使用业务系统, 则进入跟进反馈阶段。若1个月内没有与所禁用策略相关的反馈, 则可以在备份后删除策略。

  图2 防火墙策略梳理与优化流程Fig.2 Firewall strategy combing and optimization process

  进入跟进反馈阶段, 需要判断用户反馈和哪条禁用的策略相关。如果找到了相关策略, 在企业关键信息系统所用IP列表中添加用户IP后, 重新启用策略。启用策略时可以使用“各系统使用策略分析”的结果, 合理开启策略, 减少重复配置。如果未找到相关策略, 则证明用户反馈与防火墙封禁操作无关, 由调度人员告知用户防火墙未进行封禁。处理完成后, 需要对用户反馈进行记录, 以待日后查验。

  4 方法应用及成效

  4.1 实用工具研发

  为了提高分析效率, 本文进行了实用工具的开发。工具利用Python分析防火墙导出的策略配置文件, 针对XML和CFG格式的策略导出文件, 分别提供包括Any策略查询、按系统输出策略、输出无用策略[11]、策略查询等多项功能[12-14]。实用工具界面如图3所示。

  图3 防火墙策略实用工具界面Fig.3 Firewall policy combing and optimization tool

  由于华三和天融信的防火墙策略导出文件格式有所不同, 工具提供了2个选项卡, 2个选项卡中的功能相同。具体功能如下。

  1) Any策略查询:查询指定字段包含指定值 (Any/任意/所有/Any_Address) 的策略。

  2) 按系统输出策略:根据IP表输出各系统所使用的策略。

  3) 查询未使用策略:根据IP表输出未被任一系统使用的策略。

  4) 导入系统IP表:导入企业关键信息系统所用IP列表 (简称IP表) , 格式为<系统名, IP>。

  5) 解析防火墙文本:提供防火墙规则导出文件的解析功能, 将数据保存到My SQL数据库。

  6) 策略查询:可以根据目的地址、源地址、端口号查询策略。3个查询条件可以任意为空。查询过程中将会查出所有包含查询值的策略, 策略定义方式可以是地址段、IP列表、子网地址、端口列表。

  7) 结果展示:窗口一展示查询出的策略号以及策略条数, 窗口二使用表格展示查询命中的策略。

  4.2 防火墙策略梳理及优化专项工作

  依托防火墙策略梳理与优化实用工具, 天津市电力公司开展了防火墙策略梳理及优化专项工作。

  工作首先梳理了“企业关键信息系统所用IP列表”, 企业关键信息系统共计45个, 部分系统IP个数见表2所列。

  表2 企业关键信息系统所用IP列表 (部分) Tab.2 IP list used for enterprise key information systems (part)

  使用实用工具后, 可进一步分析得到各防火墙未使用策略占比 (见图4) 。通过程序对未使用策略进行筛查, 大大节省了工作时间, 提高了工作效率和准确性。

  最后, 通过对国网天融信防火墙的200余条未使用策略进行分析, 删除无用策略70余条, 精简了防火墙策略表, 提高了防火墙运行效率。

  图4 未使用策略占比Fig.4 Unused strategy ratio

  5 结语

  本文通过分析防火墙策略表中可能出现的问题, 结合天津市电力公司防火墙应用现状, 提出了一套解决问题的方法流程, 并针对流程中的关键步骤开发了实用工具, 降低了运维压力, 减小了运维难度, 提高了运维水平, 规范了运维流程, 最终达到了提高信息通信运维水平的目的。本文方法目前的局限性主要在于仍需运维人员主观进行判断策略是否需要删除。下一步工作可以考虑采用人工智能、辅助决策等方法, 进一步提高策略梳理优化能力。

  参考文献
  [1]张然, 钱德沛, 过晓兵.防火墙与入侵检测技术[J].计算机应用研究, 2000 (1) :4-7.
  [2]蔡梦臣, 刘军, 李明, 等.防火墙策略管理工具[J].现代工业经济和信息化, 2017 (14) :60-61.CAI Meng-chen, LIU Jun, LI Ming, et al.Firewall policy management tool[J].Modern Industrial Economy and Informationization, 2017 (14) :60-61.
  [3]莫林利.使用ACL技术的网络安全策略研究及应用[J].华东交通大学学报, 2009, 26 (6) :79-82.MO Lin-li.Research and application of network security polices with ACL[J].Journal of East China Jiaotong University, 2009, 26 (6) :79-82.
  [4]马程.防火墙在网络安全中的应用[J].甘肃科技, 2008, 23 (4) :95-96.
  [5]王卫平, 陈文惠, 朱卫未.防火墙规则配置错误快速检测算法[J].计算机工程, 2007, 33 (11) :132-134.WANG Wei-ping, CHEN Wen-hui, ZHU Wei-wei.Algorthm for fast detecting firewall rule configuration mistakes[J].Computer Engineering, 2007, 33 (11) :132-134.
  [6]李琳.试析计算机防火墙技术及其应用[J].信息安全域技术, 2012 (8) :46, 48.
  [7]孙翠玲, 顾建华.利用ACL技术对园区网络实现精细化控制[J].电脑知识与技术, 2006 (36) :72-73.SUN Cui-ling, GU Jian-hua.Drawing upon ACL to realize finely garden area network control[J].Computer Knowledge and Technology, 2006 (36) :72-73.

  [8]曾旷怡, 杨家海.访问控制列表的优化问题[J].软件学报, 2007, 18 (4) :978-986.ZENG Kuang-yi, YANG Jia-hai.Towards the optimization of access control list[J].Journal of Software, 2007, 18 (4) :978-986.
  [9]胡迪.防火墙策略审计系统的设计与实现[D].北京:北京邮电大学, 2011.
  [10]商娟叶, 刘静.基于防火墙的网络安全技术[J].电子设计工程, 2010, 18 (6) :133-135.SHANG Juan-ye, LIU Jing.Network security technology based on firewall[J].Electronic Design Engineering, 2010, 18 (6) :133-135.
  [11]张昭理, 洪帆, 肖海军.一种防火墙规则冲突检测算法[J].计算机工程与应用, 2007, 43 (15) :111-113.ZHANG Zhao-li, HONG Fan, XIAO Hai-jun.Firewall rule conflict discovery algorithm[J].Computer Engineering and Applications, 2007, 43 (15) :111-113.
  [12]王国锋.基于策略的网络安全管理系统设计与实现[D].郑州:中国人民解放军信息工程大学, 2005.
  [13]温长洋.防火墙运维自动化工具的设计与实现[J].中国金融电脑, 2010 (11) :48-53.
  [14]田涛.基于防火墙的企业网络安全策略及实现技术研究[D].北京:中国科学院研究生院, 2003.

联系我们
  • 写作QQ:78307562
  • 发表QQ:78303642
  • 服务电话:18930620780
  • 售后电话:18930493766
  • 邮箱:lunwen021@163.com
范文范例
网站地图 | 网站介绍 | 联系我们 | 服务承诺| 服务报价| 论文要求 | 期刊发表 | 服务流程