防火墻設(shè)備安防配置主動(dòng)分析技術(shù)應(yīng)用

辛平安 李昆華 王元冬 王杰鴻 周艷平

（云南電網(wǎng)有限責(zé)任公司昆明供電局 云南省昆明市 650000）

1 引言

近年來，隨著網(wǎng)絡(luò)的發(fā)展和壯大,網(wǎng)絡(luò)安全問題成為現(xiàn)代信息安全所要解決的主要問題[1]。針對(duì)不同的網(wǎng)絡(luò)環(huán)境，防火墻策略的配置不僅越來越復(fù)雜，而且多域間各策略之間的沖突時(shí)有發(fā)生，嚴(yán)重影響安全策略的執(zhí)行效率，因此，如何保證不同安全域之間的防火墻策略的一致性、可靠性，以及同一安全域內(nèi)安全策略的正確性、可靠性，成為防火墻安全策略配置的關(guān)鍵[2]。因此，防火墻設(shè)備的安全性及其配置參數(shù)和策略的可靠性管理日益重要，其管理的內(nèi)容主要包括接入者賬號(hào)權(quán)限安全性、路由的訪問控制策略、確保信息傳輸?shù)谋Ｃ芘c完整性、是否具備入侵檢測(cè)配套或手段、防火墻設(shè)備防病毒措施是否具備等。

針對(duì)調(diào)度數(shù)據(jù)網(wǎng)設(shè)備安全防護(hù)，很多單位開展了相關(guān)工作和研究：例如在安防配置管理方面，國網(wǎng)濟(jì)南供電公司提出對(duì)網(wǎng)絡(luò)設(shè)備的安全運(yùn)行管理，從賬號(hào)安全、配置安全、審計(jì)安全和維護(hù)安全四個(gè)方面考慮，其中配置安全的方法是對(duì)電力數(shù)據(jù)網(wǎng)內(nèi)的重要數(shù)據(jù)信息定期實(shí)行備份處理，并且對(duì)每一次關(guān)鍵設(shè)備上的配置修改都進(jìn)行記錄，這種方法較為原始，完全依賴運(yùn)維人員操作正確性，一旦運(yùn)維人員配置錯(cuò)誤或未及時(shí)備份配置記錄，產(chǎn)生的影響不可預(yù)估[3]。在安防配置檢測(cè)方面，華北電力大學(xué)對(duì)防火墻、隔離裝置等網(wǎng)絡(luò)設(shè)備給出了具體的配置及檢測(cè)內(nèi)容（對(duì)象、服務(wù)、策略），根據(jù)這些配置命令基本滿足安防配置要求，但需要運(yùn)維人員全程手動(dòng)操作，運(yùn)維工作量大[4]。在安防配置分析方面，國網(wǎng)宣城供電公司中提出基于Syslog 協(xié)議的日志自動(dòng)采集及存儲(chǔ)服務(wù)，記錄設(shè)備的任何時(shí)間發(fā)生的大小事件日志，通過分析這些網(wǎng)絡(luò)行為日志，追蹤掌握設(shè)備的運(yùn)行狀態(tài)，能夠及時(shí)識(shí)別調(diào)度數(shù)據(jù)網(wǎng)絡(luò)中可能發(fā)生的安全隱患，但很多發(fā)現(xiàn)都是基于已經(jīng)出現(xiàn)的事件，從側(cè)面反映問題，只實(shí)現(xiàn)對(duì)問題的快速監(jiān)測(cè)和識(shí)別，且事件的定義不能完全覆蓋很多隱患[5]。

2 研究思路

2.1 自動(dòng)化推送SSH命令與采集回顯信息，程序化比對(duì)分析，實(shí)現(xiàn)防火墻設(shè)備安防配置主動(dòng)分析

SSH 協(xié)議是專為遠(yuǎn)程登錄會(huì)話和其他網(wǎng)絡(luò)服務(wù)提供的安全性協(xié)議，利用SSH協(xié)議可以有效的防止遠(yuǎn)程管理過程中的信息泄露問題，在進(jìn)行數(shù)據(jù)傳輸之前，SSH 先對(duì)聯(lián)機(jī)數(shù)據(jù)包通過加密技術(shù)進(jìn)行加密處理，加密后再進(jìn)行數(shù)據(jù)傳輸[6]。

通過網(wǎng)絡(luò)通道中傳送SSH 協(xié)議加密過的命令和防火墻返回的應(yīng)答信息，能夠?qū)崿F(xiàn)防火墻設(shè)備安防配置的主動(dòng)分析，比如圖1所示，在以主機(jī)自動(dòng)化推送命令和采集回顯信息的方案中，需要掃描主機(jī)首先通過SSH 協(xié)議發(fā)送登錄命令至防火墻設(shè)備，在登錄成功后通過輸入基線配置命令來獲取回顯結(jié)果，最后通過與基線配置規(guī)則模板進(jìn)行校驗(yàn)比對(duì)得出分析結(jié)果。

圖1：主動(dòng)推送命令腳本檢測(cè)配置過程

圖2：定制自動(dòng)巡檢任務(wù)功能截圖

在此基礎(chǔ)上，對(duì)防火墻設(shè)備安防配置檢測(cè)內(nèi)容的反饋信息增加邏輯研判及相關(guān)處置功能，即根據(jù)反饋信息中的相關(guān)內(nèi)容，按照自定義的邏輯處置功能，執(zhí)行相應(yīng)的操作。最終，融合防火墻設(shè)備安防配置數(shù)據(jù)獲取、問題分析判定方法，將設(shè)備安防配置策略與主動(dòng)分析技術(shù)相結(jié)合，形成可編程可定義可識(shí)別的安防配置檢測(cè)策略，對(duì)防火墻設(shè)備安防配置問題進(jìn)行自動(dòng)研判，并滿足可編程可自定義的要求。

2.2 結(jié)合主動(dòng)網(wǎng)絡(luò)探測(cè)分析技術(shù)分析防火墻配置問題

對(duì)防火墻的配置進(jìn)行比對(duì)分析是直接分析對(duì)象的“白盒”方案，但是仍然有很多隱性問題通過“白盒分析”難以發(fā)現(xiàn)，卻可以通過側(cè)面或其他數(shù)據(jù)來反映防火墻的問題，比如多個(gè)防火墻之間的策略影響，通過直接分析配置難以較大，卻可以通過測(cè)試數(shù)據(jù)包是否通達(dá)的現(xiàn)象發(fā)現(xiàn)問題所在。因此，通過網(wǎng)絡(luò)主動(dòng)探測(cè)發(fā)現(xiàn)防火墻安全配置的不足，如同軟件的黑盒測(cè)試一樣，可以更直接和快速的發(fā)現(xiàn)問題。

3 關(guān)鍵技術(shù)

表1：防火墻設(shè)備安防基線配置要求表

3.1 SSL主動(dòng)腳本基線配置校驗(yàn)技術(shù)

根據(jù)當(dāng)前防火墻設(shè)備數(shù)量和配置檢查項(xiàng)多，調(diào)試設(shè)備策略變更閉環(huán)管理困難，需要人工逐一檢查核對(duì)、記錄，較為繁瑣，設(shè)計(jì)設(shè)備程序化的防火墻配置策略自動(dòng)化檢測(cè)方案。該方案利用計(jì)算機(jī)模擬人工，按照規(guī)則自動(dòng)進(jìn)行條件篩選，形成自動(dòng)執(zhí)行的任務(wù)，自動(dòng)發(fā)送命令并等待搜集設(shè)備回顯進(jìn)行判定。該任務(wù)支持安全配置基線掃描，能根據(jù)設(shè)備IP 列表、安防基線檢測(cè)項(xiàng)（參考表1 防火墻設(shè)備安防基線配置要求）、掃描周期等進(jìn)行檢查。開啟掃描任務(wù)后，會(huì)先檢測(cè)所需進(jìn)行的防火墻設(shè)備和安防基線檢測(cè)項(xiàng)，并將任務(wù)設(shè)置存入數(shù)據(jù)庫中，根據(jù)設(shè)置的掃描周期定時(shí)進(jìn)行掃描，在主站通過網(wǎng)絡(luò)以多個(gè)線程同時(shí)運(yùn)行，快速獲取設(shè)備內(nèi)部通信策略并替代人工進(jìn)行問題分析判定。在掃描完成后，根據(jù)獲取到的檢測(cè)信息與設(shè)置的信息結(jié)果相比較，看是否在需要的回顯結(jié)果范圍內(nèi)，并將檢測(cè)項(xiàng)的結(jié)果和該問題的修復(fù)處置方案添加進(jìn)報(bào)表中，短時(shí)間將所有設(shè)備最新狀態(tài)與問題顯示在報(bào)表中。

3.2 可編程柔性自動(dòng)化技術(shù)

由于目前國內(nèi)外防火墻設(shè)備安防配置檢測(cè)策略需要支持的廠商、設(shè)備型號(hào)、設(shè)備類型較多且后期會(huì)不斷擴(kuò)增數(shù)量，通常這些不同廠商、類型的設(shè)備指令存在差異，研究并得出這些指令的共通之處是個(gè)難點(diǎn)，即需要在應(yīng)用中開展?jié)M足絕大部分防火墻設(shè)備指令的適配方法研究。

對(duì)于一些不能通用的指令可以通過建立一個(gè)設(shè)備與指令的對(duì)應(yīng)關(guān)系庫，將設(shè)備型號(hào)與指令關(guān)聯(lián)起來，指明那種設(shè)備型號(hào)對(duì)應(yīng)著那些指令，在進(jìn)行安防基線配置檢測(cè)時(shí)提前獲取設(shè)備型號(hào)，再根據(jù)設(shè)備型號(hào)查找相應(yīng)的檢測(cè)命令，最后通過檢測(cè)指令獲取基線配置獲取命令的回顯結(jié)果，再進(jìn)行校驗(yàn)。

3.3 與網(wǎng)絡(luò)探針的主動(dòng)融合分析

網(wǎng)絡(luò)探針目前尚未由很明確的定義，從類型分主要包括測(cè)試探針和流量探針，從工作方式來看主要包括主動(dòng)型探針和被動(dòng)型探針，顧名思義，主動(dòng)型探針是可以主動(dòng)和定時(shí)的開展網(wǎng)絡(luò)性能、質(zhì)量測(cè)試的裝置或程序，實(shí)時(shí)性較強(qiáng)，而被動(dòng)型探針是通過接入網(wǎng)絡(luò)后，通過流經(jīng)的流量或者外在設(shè)備對(duì)其反饋得出結(jié)論的裝置和程序，因此，探針的用途十分豐富和靈活。在防火墻分析方面，主動(dòng)型探針可以通過預(yù)先定義或者輪詢的測(cè)試，發(fā)現(xiàn)單一通過防火墻基線配置規(guī)則校驗(yàn)難以發(fā)現(xiàn)的問題。

（1）可以解決不同域防火墻隱性沖突的發(fā)現(xiàn)困難問題。如果防火墻上下級(jí)或者橫向多域之間存在另一個(gè)或者多個(gè)防火墻，那么理清他們之間基于源、目的直接的端口和數(shù)據(jù)流訪問控制比較困難，存在相互沖突的可能，如上級(jí)防火墻限制的，下級(jí)防火墻放開，那么下級(jí)防火墻管理網(wǎng)絡(luò)的數(shù)據(jù)不可達(dá)問題排查就較困難和費(fèi)事；又如上級(jí)防火墻允許的，下級(jí)防火墻限制了，上級(jí)防火墻的配置問題也很難發(fā)現(xiàn)。通過不同域之間探針的主動(dòng)可達(dá)測(cè)試，可以有效的發(fā)現(xiàn)這些問題，并通知管理人員。

（2）可主動(dòng)定期對(duì)服務(wù)進(jìn)行訪問，可發(fā)現(xiàn)防火墻配置變更和薄弱部分對(duì)主機(jī)服務(wù)產(chǎn)生的影響。電網(wǎng)內(nèi)部服務(wù)較多，通過定期對(duì)服務(wù)的測(cè)試分析，可以有效的防止服務(wù)本身運(yùn)行異常、內(nèi)部局域網(wǎng)DDos 攻擊造成的響應(yīng)、防火墻DDos 攻擊配置不合規(guī)或未生效、防火墻配置后造成的應(yīng)用訪問IP 不可達(dá)等問題，及時(shí)的通知管理人員，及時(shí)更新，杜絕發(fā)生故障事后處理的現(xiàn)象。

（3）主動(dòng)發(fā)現(xiàn)防火墻在數(shù)據(jù)流控制配置方面的漏洞。網(wǎng)內(nèi)軟件系統(tǒng)的大量部署并不總能保障不出現(xiàn)漏洞，通過主動(dòng)探針進(jìn)行服務(wù)的發(fā)現(xiàn)和定向測(cè)試，可以快速告知管理員，建議其進(jìn)行防火墻訪問控制，最大限度減少風(fēng)險(xiǎn)，為后期軟件與系統(tǒng)整改爭取時(shí)間。

（4）在保障安全的前提下，通過主動(dòng)探針模擬少量異常報(bào)文、攻擊性報(bào)文測(cè)試穿透防火墻、看是否存在相應(yīng)告警與防護(hù)措施（比如入侵檢測(cè)是否配置或者入侵檢測(cè)策略是否有效），可以有效的發(fā)現(xiàn)網(wǎng)內(nèi)不足，后期通過升級(jí)改造或者配置優(yōu)化，杜絕以上問題。被動(dòng)型探針可以對(duì)流量進(jìn)行精細(xì)化分析，由于防火墻對(duì)于合法的TCP數(shù)據(jù)流是放行的，所以難以發(fā)現(xiàn)合法地址流量的異常，比如攻擊者或者病毒程序，非法控制了某個(gè)合法終端的服務(wù)，發(fā)射探測(cè)數(shù)據(jù)的現(xiàn)象。針對(duì)特定服務(wù)的流量開展分析，能夠通過流量映射行為，分析來自客戶端外掛程序的頻繁訪問、異常訪問現(xiàn)象；也能發(fā)現(xiàn)測(cè)試性、探測(cè)類的黑客行為，形成告警提供給管理人員。

4 應(yīng)用情況分析

當(dāng)前，昆明供電局調(diào)度中心自動(dòng)化班組需要運(yùn)維主站與廠站近百臺(tái)防火墻設(shè)備，運(yùn)維人員每次對(duì)所有防火墻設(shè)備的安防配置檢測(cè)需要逐個(gè)人工操作、效率低。現(xiàn)場控制口接入操作方式需要監(jiān)控人員在筆記本手動(dòng)輸入命令，查看回顯結(jié)果然后規(guī)則逐條比對(duì)，操作不方便，費(fèi)時(shí)費(fèi)力。按照這樣的檢查方式單臺(tái)設(shè)備每次進(jìn)行檢測(cè)需要大約1 個(gè)小時(shí)，所有設(shè)備全部檢測(cè)完成共計(jì)需要100 小時(shí)左右。

由于全面檢查費(fèi)時(shí)費(fèi)力，日常多通過管理手段控制，即對(duì)防火墻配置記錄，形成版本。由于缺乏及時(shí)主動(dòng)的分析，每次對(duì)防火墻配置維護(hù)后，若產(chǎn)生配置冗余、沖突等問題，發(fā)現(xiàn)困難且分析解決時(shí)間長。防火墻設(shè)備安防基線主動(dòng)分析方案在昆明供電局的應(yīng)用，從防火墻設(shè)備配置直接比對(duì)和其管理的網(wǎng)內(nèi)運(yùn)行現(xiàn)象側(cè)面分析，主動(dòng)發(fā)現(xiàn)隱患和問題。日常實(shí)際應(yīng)用中，單臺(tái)防火墻設(shè)備配置讀取與分析時(shí)長控制在不超過1 分鐘，可以協(xié)助自動(dòng)化工作人員快速精確的維護(hù)防火墻設(shè)備安防基線，提高自動(dòng)化人員工作效能，大大減少人工重復(fù)勞動(dòng)，有效提高調(diào)度自動(dòng)化人員對(duì)防火墻設(shè)備安防維護(hù)和處置效率。

利用系統(tǒng)的自動(dòng)巡檢功能，如圖2 可以對(duì)巡檢項(xiàng)目、巡檢頻率、巡檢開始時(shí)間進(jìn)行設(shè)置，自動(dòng)開展掃描，根據(jù)管理需要，設(shè)置多個(gè)不同的巡檢任務(wù)，系統(tǒng)將自動(dòng)開展分析，形成結(jié)果報(bào)告，減輕自動(dòng)化運(yùn)維人員在防火墻安全基線管理這方面的工作壓力。

5 結(jié)束語

本文主要闡述防火墻設(shè)備安防基線配置數(shù)據(jù)主動(dòng)獲取、問題分析與判定方法，將設(shè)備安防配置策略與主動(dòng)分析技術(shù)相結(jié)合，形成可編程可定義可識(shí)別的安防配置檢測(cè)策略，對(duì)調(diào)防火墻設(shè)備安防基線配置問題進(jìn)行自動(dòng)研判。同時(shí)，利用網(wǎng)絡(luò)探針在線主動(dòng)探測(cè)技術(shù)，分析反映防火墻設(shè)備的基線安防配置情況，生成防火墻設(shè)備安全基線配置報(bào)告，輔助調(diào)度網(wǎng)絡(luò)運(yùn)維工作的開展。最終，形成多方位的防火墻安全防護(hù)配置主動(dòng)分析應(yīng)用。同時(shí)，根據(jù)問題的安全等級(jí)（告知、嚴(yán)重、危急等）生成相應(yīng)的告知方式，提供一份全面的檢測(cè)處置報(bào)告及相關(guān)修復(fù)建議，從而有效的提高對(duì)防火墻設(shè)備安防配置正確性、網(wǎng)絡(luò)設(shè)備運(yùn)行穩(wěn)定性，保障電力調(diào)度數(shù)據(jù)網(wǎng)穩(wěn)定可靠運(yùn)行。