防火墙ACL规则管理分析工具研究与应用

2018-03-28 21:47:14 《电力信息与通信技术》微信公众号　点击量：评论 (0)

随着黄山供电公司信息安全管理的日益严格,防火墙的ACL策略也变得日益复杂,如何对防火墙的ACL策略进行有效管理,成为公司信息运维蓝队对信息安全防护工作的重要课题。针对防火墙ACL管理存在的各类问题,黄山供电公司自主研发一套ACL规则管理分析工具并应用于本单位,通过本工具的使用,可

出。点击“导出csv”可以将解析后所有规则或不合理的规则导出到csv文件。

2.2 工具应用演示

2.2.1 工具参数初始化

工具参数初始化包括防火墙参数设置及内部区域地址段设置,完成防火墙型号及防火墙配置文件参数设置。双击运行软件,选择防火墙配置文件路径,及防火墙类型;同时在右边录入内部区域包含的IP地址段;区域1、2、3分别对应配置文件物理路径、防火墙型号及内部区域地址段。

2.2.2 ACL策略获取与展示

点击“检测”按钮,展示策略检测结果,按照防火墙策略的基本域设计展示表的字段,包括：被访问的内部地址、外部地址、访问形式、规则文本及规则所在行（见图1）。

图1 内部地址开放情况分析Fig.1 Opening situation analysis of internal address

1）被访问的内部地址：ACL规则目的地址。

2）外部地址：ACL规则源地址。

3）访问形式：ACL规则规定的协议和端口信息。

4）规则文本：ACL规则的文本信息。

5）规则所在行：ACL规则在文件中所在的行。

点击“不显示放行所有规则”,将会过滤掉那些放行任何源地址到任何目的地址的规则（如有配置的运行任何地址之间进行icmp的规则）（见图2）。

图2 内部地址开放情况分析（不显示放行所有规则）Fig.2 Opening situation analysis of internal address (no display of all release rules)

2.2.3 ACL策略合规性分析

1）危险策略发现。工具可以解析出防火墙规则中设置范围过大的规则,包括端口为ANY、地址范围没有限制的策略。危险规则分析如图3所示,配置文件中603、624、659、645行对应的防火墙策略开发端口为ANY,695行对应的策略源地址、目的地址均为ANY。

图3 危险规则分析Fig.3 Hazard rule analysis

2）过期策略、被包含及未使用的无效策略发现。工具可分析出防火墙规则中无效的规则。包括已过期的规则：防火墙设置的有效时间已过期;被包含的规则：已经有其他比较大的规则完全能包含这条规则;未使用的规则：规则存在但是没有启用（见图4）。

图4 无效规则分析Fig.4 Invalid rule analysis

3）存在交叉关系或者重复开放的冲突策略发现。工具可检测防火墙与其他规则存在交集的防火墙策略,可展示冲突策略总数,并从In、Out及动作域多个角度展示冲突策略明细情况（见图5）。

图5 冲突策略分析与展示Fig.5 Conflict strategy analysis and presentation

4）ACL策略查找功能。提供了按照常用固定端口过滤规则功能,方便查看风险性比较高的通用协议开放情况,如：查找过滤安全外壳（Secure Shell,SSH）协议（TCP 22端口）、远程桌面协议（Remote Desktop Protocol,RDP）（TCP 3389端口）、X显示监控协议（XDisplay Manager Control Protocol,XDMCP）（UDP 177端口）。可以展示规则方向、源地址、目的地址及原规则文本、行数等信息。

5）ACL策略导出与备份。点击“导出”按钮可以将解析的规则导出到csv文件中,后续可有利用excel功能对策略中的端口等信息进行高级过滤分析,如获取开放了SSH、SNMP等服务的网络地址。

3 结语

黄山供电公司自主研发的防火墙ACL策略解析分析工具很好地解决了防火墙规则过于繁琐庞大、不利于分析管理的问题,网络安全运维人员可利用工具快速发现内网区域地址资源开放情况,并针对不合规的开放进行整改、完善,实现不合规策略的早发现、早处理,降低因策略的不合理设置带来的安全风险。

(编辑:张京娜)

参考文献

[1] 范萍, 李罕伟. 基于ACL的网络层访问权限控制技术研究[J]. 华东交通大学学报, 2004, 21(4): 89-92.

FAN Ping. LI Han-wei.Research on technique to control access to network layer based on ACL[J]. Journal of East China Jiaotong University, 2004, 21(4): 89-92.

[2] 唐子蛟, 李红蝉. 基于ACL的网络安全管理的应用研究[J]. 四川理工学院学报(自然科学版), 2009, 22(1): 48-51.

TANG Zi-jiao, LI Hong-chan.Application of network security management based on ACL[J]. Journal of Sichuan University of Science & Engineering(Natural Science Edition), 2009, 22(1): 48-51.

[3] 胡海璐, 陈曙晖, 苏金树. 路由器访问表技术研究[J]. 计算机科学, 2001, 28(4): 94-96.

HU Hai-lu, CHEN Shu-hui, SU Jin-shu.On router access control list technology[J]. Computer Science, 2001,28(4): 94-96.

[4] 孙翠玲, 顾建华. 利用ACL技术对园区网络实现精细化控制[J]. 电脑知识与技术, 2006(36): 72-73, 95.

SUN Cui-ling, GU Jun-hua.Drawing upon ACL to realize finely garden area network control[J]. Computer Knowledge and Technology, 2006(36): 72-73, 95.

[5] 沈健, 周兴社, 张凡, 等. 基于网络处理器的防火墙优化设计与研究[J]. 计算机工程, 2007, 33(10): 172-174.

SHEN Jian, ZHOU Xing-she, ZHANG Fan.et al.Optimized design and research of firewall based on network processor[J]. Computer Engineering, 2007, 33(10): 172-174.

[6] Cisco Systems,Inc. Cisco security appliance command reference software Version 7. 0(8)[Z]. 2008.

[7] 于本成, 慕东周, 陆玉阳. 中小型企业网络控制方案的分析与设计[J]. 计算机安全, 2011, 31(7): 72-74.

YU Ben-cheng, MU Dong-zhou, LU Yu-yang.Small and medium enterprises network control program analysis and design[J]. Computer Security, 2011, 31(7): 72-74.

[8] 叶竞, 叶水勇, 陈清萍, 等. 应对企业中的第三方应用程序漏洞探讨[J]. 电力信息与通信技术, 2016, 14(5): 147-151.

YE Jing, YE Shui-yong, CHEN Qing-ping, et al.Deal with third party application flaw in the enterprise[J].Electric Power Information and Communication Technology, 2016, 14(5): 147-151.

[9] 王芳, 韩国栋, 李鑫. 路由器访问控制列表及其实现技术研究[J]. 计算机工程与设计, 2007, 28(23): 5638-5639.

WANG Fang, HAN Guo-dong, LI Xin.Web service discovery based on cooperation of UDDI and DF[J].Computer Engineering and Design, 2007, 28(23): 5638-5639.

[10] Cisco Systems,Inc. Cisco security appliance command reference software Version8. 2(5)[Z]. 2011.

[11] 冯登国, 张阳, 张玉清. 信息安全风险评估综述[J]. 通信学报, 2004, 25(7): 10-18.

FENG Deng-guo, ZHANG Yang, ZHANG Yu-qing.Survey of information security risk assessment[J]. Journal of China Institute of Communications, 2004, 25(7): 10-18.

[12] 莫林利. 使用ACL技术的网络安全策略研究及应用[J]. 华东交通大学学报, 2009, 26(6): 79-82.

MO Lin-li.Research and application of network security policies with ACL[J]. Journal of East China Jiaotong University, 2009, 26(6): 79-82.

[13] 陈琳, 朱绍文, 陈绪君, 等. 新型Access-list技术应用研究[J]. 计算机应用, 2002, 22(8): 69-71.

<img data-cke-saved-src=http://www.sgcio.com/uploadfile/2018/0328/20180328102450703.png"" src=http://www.sgcio.com/uploadfile/2018/0328/20180328102450703.png"" "="" style="box-sizing: border-box; padding: 1px; border: 1px solid rgb(204, 204, 204); width: 70px; float: left; margin-right: 1rem;">

叶水勇（1964-）,男,福建龙海人,高级工程师,从事电力行业信息化研究、开发和应用工作;
潘静（1969-）,女,安徽安庆人,高级工程师,从事电力行业信息化管理工作;
王旭东（1966-）,男,安徽霍山人,高级工程师,从事电力行业信息化管理工作;
陈清萍（1974-）,女,安徽芜湖人,高级工程师,从事电力行业计算机应用工作;
蔡翔（1983-）,男,安徽蚌埠人,工程师,从事电力行业网络与信息安全工作。
杨先杰（1977-）,男,安徽阜阳人,高级工程师,从事电力行业信息化管理工作;
李周（1984-）,男,安徽长丰人,高级工程师,从事电力行业信息通信规划及技术应用工作。