首頁 > 關于我們 > 新聞動態 > 深度解讀

需要體檢的不只是你 還有你的墻

發布時間 2019-09-05
定期體檢是身體健康的保證,有助于找出隱藏的疾病,對疾病早發現早治療......你可知,有一種非常重要的網絡安全設備像人一樣需要定期做檢查,它就是——防火墻!

想要防火墻高效穩定運行,定期“體檢”必不可少!

“健康”標準解讀,人的健康狀態有嚴格的衡量標準,那防火墻的健康標準又是什么呢?

國家公安部在今年發布的等保2.0中做了闡述:




摘自《GBT22239-2019信息安全技術網絡安全等級保護基本要求》

眾所周知,防火墻的工作原理是按照預先配置的策略控制規則,來決定允許或拒絕(deny or permit)數據包的進出。數據包匹配策略控制規則存在優先順序,一般是按照由前到后進行順序匹配。

然而,防火墻管理員在使用防火墻的過程中,只會根據新增的業務需求,對防火墻策略進行添加,卻不敢輕易刪減。隨著策略規則的日漸增多,防火墻就會出現“健康問題”,即等保2.0中提到的“多余”和“無效”的策略規則。

此外,管理員在添加策略時,為了確保業務的正常運行,經常將源地址、目的地址和端口范圍設置過大,甚至設置為any,給網絡造成較大安全隱患。因此,等保2.0里面明確要求“檢查策略規則的源地址、目的地址、端口和協議”,并確保規則范圍的最小化。



防火墻策略分析系統


啟明星辰網絡安全域流監控系統(FlowEye)產品團隊,長期致力于防火墻策略問題的研究,并擁有一款防火墻策略分析系統,該系統擅長檢查防火墻策略中存在的各種“疑難雜癥”。主要包括:

◆ 檢查多余或無效策略規則

多余或無效的策略規則主要包括策略中存在的被覆蓋、冗余、沖突、交叉、可合并、過期等策略,這些“多余”“無效”的問題策略會給防火墻造成較大的性能壓力,并且存在一定的安全隱患。

針對策略中存在的“多余”“無效”策略,防火墻策略分析系統通過解析策略規則文件,將策略的源、目的、服務、動作和有效時間進行數字化處理,再依據策略規則優先級,將數字化處理后的策略進行全遍歷計算,分析出策略中存在的被覆蓋、冗余、沖突、交叉、可合并和過期的策略。

◆ 檢查范圍過大策略和ANY策略

范圍過大和ANY策略是指策略中的源地址、目的地址、服務設置的范圍超過了正常業務使用的范圍,甚至將范圍設置為ANY。無論是ANY策略還是范圍過大策略,都可能給攻擊者提供“鉆空子”的機會。

針對該類問題,防火墻策略分析系統通過解析用戶的業務流量,將業務流量數據進行結構化處理,并將其存入數據庫,然后將防火墻策略與存儲的業務流量數據進行模擬“流量過墻”,可以分析出范圍設置過大的策略,并且可展示ANY策略里通過的具體業務流量,幫助用戶縮小策略范圍以及擺脫ANY策略的困擾。


成功應用案例


某全國性銀行根據監管單位要求,需要對網絡中的防火墻策略進行優化,清理防火墻中多余無效的策略規則,保證策略規則的最優化和最小化,在所有放行的策略規則(源、目的、服務)中不能出現有任何ANY的配置項。

針對該要求,使用啟明星辰防火墻策略分析系統進行策略問題分析,部署方式示意圖如下:


通過交換機將業務流量鏡像至防火墻策略分析系統,并將防火墻策略規則配置文件導入至分析系統,分析系統經過一個完整業務周期的流量采集,將策略規則與業務流量進行匹配分析,可以得出策略中存在的被覆蓋策略、冗余策略、可合并策略、交叉策略、沖突策略、過期策略、活躍策略、不活躍策略、寬松策略。


針對策略規則存在的各類問題,分析系統可以給出具體的詳細結果和明確處理建議,用戶可根據分析結果直接調整防火墻策略。

? 被覆蓋策略


? 寬松策略


防火墻策略分析系統可以準確分析策略規則存在的各種問題,協助用戶對策略規則進行優化,得到了該銀行客戶的一致認可,并已在全國進行了規模部署。

啟明星辰防火墻策略分析系統可以幫助用戶消除策略配置隱患、降低策略管理風險。通過對策略間邏輯關系的靜態分析,可發現策略中存在的被覆蓋、冗余、沖突、可合并、交叉和過期等多余無效策略,還可結合用戶業務流量對策略的命中情況進行動態分析,能直觀展示策略的寬松程度和ANY策略所命中的具體業務數據。目前,啟明星辰防火墻策略分析系統已支持啟明星辰、網御星云、思科、華為、天融信、東軟等十多家防火墻品牌的策略解析,并廣泛應用于政府、金融、電力、運營商、煙草、公檢法等行業,并取得了良好的使用效果,得到了用戶的一致好評。


上一篇 下一篇