需要体检的不只是你 还有你的墙

发布时间 2019-09-05

定期体检是身体健康的保证,有助于找出隐藏的疾病,对疾病早发现早治疗......你可知,有一种非常重要的网络安全设备像人一样需要定期做检查,它就是——防火墙!

想要防火墙高效稳定运行,定期“体检”必不可少!

“健康”标准解读,人的健康状态有严格的衡量标准,那防火墙的健康标准又是什么呢?

国家公安部在今年发布的等保2.0中做了阐述:




摘自《GBT22239-2019信息安全技术网络安全等级保护基本要求》

众所周知,防火墙的工作原理是按照预先配置的策略控制规则,来决定允许或拒绝(deny or permit)数据包的进出。数据包匹配策略控制规则存在优先顺序,一般是按照由前到后进行顺序匹配。

然而,防火墙管理员在使用防火墙的过程中,只会根据新增的业务需求,对防火墙策略进行添加,却不敢轻易删减。随着策略规则的日渐增多,防火墙就会出现“健康问题”,即等保2.0中提到的“多余”和“无效”的策略规则。

此外,管理员在添加策略时,为了确保业务的正常运行,经常将源地址、目的地址和端口范围设置过大,甚至设置为any,给网络造成较大安全隐患。因此,等保2.0里面明确要求“检查策略规则的源地址、目的地址、端口和协议”,并确保规则范围的最小化。



防火墙策略分析系统


启明星辰网络安全域流监控系统(FlowEye)产品团队,长期致力于防火墙策略问题的研究,并拥有一款防火墙策略分析系统,该系统擅长检查防火墙策略中存在的各种“疑难杂症”。主要包括:

◆ 检查多余或无效策略规则

多余或无效的策略规则主要包括策略中存在的被覆盖、冗余、冲突、交叉、可合并、过期等策略,这些“多余”“无效”的问题策略会给防火墙造成较大的性能压力,并且存在一定的安全隐患。

针对策略中存在的“多余”“无效”策略,防火墙策略分析系统通过解析策略规则文件,将策略的源、目的、服务、动作和有效时间进行数字化处理,再依据策略规则优先级,将数字化处理后的策略进行全遍历计算,分析出策略中存在的被覆盖、冗余、冲突、交叉、可合并和过期的策略。

◆ 检查范围过大策略和ANY策略

范围过大和ANY策略是指策略中的源地址、目的地址、服务设置的范围超过了正常业务使用的范围,甚至将范围设置为ANY。无论是ANY策略还是范围过大策略,都可能给攻击者提供“钻空子”的机会。

针对该类问题,防火墙策略分析系统通过解析用户的业务流量,将业务流量数据进行结构化处理,并将其存入数据库,然后将防火墙策略与存储的业务流量数据进行模拟“流量过墙”,可以分析出范围设置过大的策略,并且可展示ANY策略里通过的具体业务流量,帮助用户缩小策略范围以及摆脱ANY策略的困扰。


成功应用案例


某全国性银行根据监管单位要求,需要对网络中的防火墙策略进行优化,清理防火墙中多余无效的策略规则,保证策略规则的最优化和最小化,在所有放行的策略规则(源、目的、服务)中不能出现有任何ANY的配置项。

针对该要求,使用启明星辰防火墙策略分析系统进行策略问题分析,部署方式示意图如下:


通过交换机将业务流量镜像至防火墙策略分析系统,并将防火墙策略规则配置文件导入至分析系统,分析系统经过一个完整业务周期的流量采集,将策略规则与业务流量进行匹配分析,可以得出策略中存在的被覆盖策略、冗余策略、可合并策略、交叉策略、冲突策略、过期策略、活跃策略、不活跃策略、宽松策略。


针对策略规则存在的各类问题,分析系统可以给出具体的详细结果和明确处理建议,用户可根据分析结果直接调整防火墙策略。

▸ 被覆盖策略


▸ 宽松策略


防火墙策略分析系统可以准确分析策略规则存在的各种问题,协助用户对策略规则进行优化,得到了该银行客户的一致认可,并已在全国进行了规模部署。

启明星辰防火墙策略分析系统可以帮助用户消除策略配置隐患、降低策略管理风险。通过对策略间逻辑关系的静态分析,可发现策略中存在的被覆盖、冗余、冲突、可合并、交叉和过期等多余无效策略,还可结合用户业务流量对策略的命中情况进行动态分析,能直观展示策略的宽松程度和ANY策略所命中的具体业务数据。目前,启明星辰防火墙策略分析系统已支持启明星辰、网御星云、思科、华为、天融信、东软等十多家防火墙品牌的策略解析,并广泛应用于政府、金融、电力、运营商、烟草、公检法等行业,并取得了良好的使用效果,得到了用户的一致好评。