防火墻ACL規(guī)則管理分析工具研究與應(yīng)用
出。點(diǎn)擊“導(dǎo)出csv”可以將解析后所有規(guī)則或不合理的規(guī)則導(dǎo)出到csv文件。
2.2 工具應(yīng)用演示
2.2.1 工具參數(shù)初始化
工具參數(shù)初始化包括防火墻參數(shù)設(shè)置及內(nèi)部區(qū)域地址段設(shè)置,完成防火墻型號(hào)及防火墻配置文件參數(shù)設(shè)置。雙擊運(yùn)行軟件,選擇防火墻配置文件路徑,及防火墻類(lèi)型;同時(shí)在右邊錄入內(nèi)部區(qū)域包含的IP地址段;區(qū)域1、2、3分別對(duì)應(yīng)配置文件物理路徑、防火墻型號(hào)及內(nèi)部區(qū)域地址段。
2.2.2 ACL策略獲取與展示
點(diǎn)擊“檢測(cè)”按鈕,展示策略檢測(cè)結(jié)果,按照防火墻策略的基本域設(shè)計(jì)展示表的字段,包括:被訪問(wèn)的內(nèi)部地址、外部地址、訪問(wèn)形式、規(guī)則文本及規(guī)則所在行(見(jiàn)
圖1 內(nèi)部地址開(kāi)放情況分析Fig.1 Opening situation analysis of internal address
1)被訪問(wèn)的內(nèi)部地址:ACL規(guī)則目的地址。
2)外部地址:ACL規(guī)則源地址。
3)訪問(wèn)形式:ACL規(guī)則規(guī)定的協(xié)議和端口信息。
4)規(guī)則文本:ACL規(guī)則的文本信息。
5)規(guī)則所在行:ACL規(guī)則在文件中所在的行。
點(diǎn)擊“不顯示放行所有規(guī)則”,將會(huì)過(guò)濾掉那些放行任何源地址到任何目的地址的規(guī)則(如有配置的運(yùn)行任何地址之間進(jìn)行icmp的規(guī)則)(見(jiàn)
圖2 內(nèi)部地址開(kāi)放情況分析(不顯示放行所有規(guī)則)Fig.2 Opening situation analysis of internal address (no display of all release rules)
2.2.3 ACL策略合規(guī)性分析
1)危險(xiǎn)策略發(fā)現(xiàn)。工具可以解析出防火墻規(guī)則中設(shè)置范圍過(guò)大的規(guī)則,包括端口為ANY、地址范圍沒(méi)有限制的策略。危險(xiǎn)規(guī)則分析如
圖3 危險(xiǎn)規(guī)則分析Fig.3 Hazard rule analysis
2)過(guò)期策略、被包含及未使用的無(wú)效策略發(fā)現(xiàn)。工具可分析出防火墻規(guī)則中無(wú)效的規(guī)則。包括已過(guò)期的規(guī)則:防火墻設(shè)置的有效時(shí)間已過(guò)期;被包含的規(guī)則:已經(jīng)有其他比較大的規(guī)則完全能包含這條規(guī)則;未使用的規(guī)則:規(guī)則存在但是沒(méi)有啟用(見(jiàn)
圖4 無(wú)效規(guī)則分析Fig.4 Invalid rule analysis
3)存在交叉關(guān)系或者重復(fù)開(kāi)放的沖突策略發(fā)現(xiàn)。工具可檢測(cè)防火墻與其他規(guī)則存在交集的防火墻策略,可展示沖突策略總數(shù),并從In、Out及動(dòng)作域多個(gè)角度展示沖突策略明細(xì)情況(見(jiàn)
圖5 沖突策略分析與展示Fig.5 Conflict strategy analysis and presentation
4)ACL策略查找功能。提供了按照常用固定端口過(guò)濾規(guī)則功能,方便查看風(fēng)險(xiǎn)性比較高的通用協(xié)議開(kāi)放情況,如:查找過(guò)濾安全外殼(Secure Shell,SSH)協(xié)議(TCP 22端口)、遠(yuǎn)程桌面協(xié)議(Remote Desktop Protocol,RDP)(TCP 3389端口)、X顯示監(jiān)控協(xié)議(XDisplay Manager Control Protocol,XDMCP)(UDP 177端口)。可以展示規(guī)則方向、源地址、目的地址及原規(guī)則文本、行數(shù)等信息。
5)ACL策略導(dǎo)出與備份。點(diǎn)擊“導(dǎo)出”按鈕可以將解析的規(guī)則導(dǎo)出到csv文件中,后續(xù)可有利用excel功能對(duì)策略中的端口等信息進(jìn)行高級(jí)過(guò)濾分析,如獲取開(kāi)放了SSH、SNMP等服務(wù)的網(wǎng)絡(luò)地址。
3 結(jié)語(yǔ)
黃山供電公司自主研發(fā)的防火墻ACL策略解析分析工具很好地解決了防火墻規(guī)則過(guò)于繁瑣龐大、不利于分析管理的問(wèn)題,網(wǎng)絡(luò)安全運(yùn)維人員可利用工具快速發(fā)現(xiàn)內(nèi)網(wǎng)區(qū)域地址資源開(kāi)放情況,并針對(duì)不合規(guī)的開(kāi)放進(jìn)行整改、完善,實(shí)現(xiàn)不合規(guī)策略的早發(fā)現(xiàn)、早處理,降低因策略的不合理設(shè)置帶來(lái)的安全風(fēng)險(xiǎn)。
(編輯:張京娜)
參考文獻(xiàn)
[1]
[2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13]

責(zé)任編輯:售電衡衡
-
權(quán)威發(fā)布 | 新能源汽車(chē)產(chǎn)業(yè)頂層設(shè)計(jì)落地:鼓勵(lì)“光儲(chǔ)充放”,有序推進(jìn)氫燃料供給體系建設(shè)
2020-11-03新能源,汽車(chē),產(chǎn)業(yè),設(shè)計(jì) -
中國(guó)自主研制的“人造太陽(yáng)”重力支撐設(shè)備正式啟運(yùn)
2020-09-14核聚變,ITER,核電 -
探索 | 既耗能又可供能的數(shù)據(jù)中心 打造融合型綜合能源系統(tǒng)
2020-06-16綜合能源服務(wù),新能源消納,能源互聯(lián)網(wǎng)
-
新基建助推 數(shù)據(jù)中心建設(shè)將迎爆發(fā)期
2020-06-16數(shù)據(jù)中心,能源互聯(lián)網(wǎng),電力新基建 -
泛在電力物聯(lián)網(wǎng)建設(shè)下看電網(wǎng)企業(yè)數(shù)據(jù)變現(xiàn)之路
2019-11-12泛在電力物聯(lián)網(wǎng) -
泛在電力物聯(lián)網(wǎng)建設(shè)典型實(shí)踐案例
2019-10-15泛在電力物聯(lián)網(wǎng)案例
-
新基建之充電樁“火”了 想進(jìn)這個(gè)行業(yè)要“心里有底”
2020-06-16充電樁,充電基礎(chǔ)設(shè)施,電力新基建 -
燃料電池汽車(chē)駛?cè)雽こ0傩占疫€要多久?
-
備戰(zhàn)全面電動(dòng)化 多部委及央企“定調(diào)”充電樁配套節(jié)奏
-
權(quán)威發(fā)布 | 新能源汽車(chē)產(chǎn)業(yè)頂層設(shè)計(jì)落地:鼓勵(lì)“光儲(chǔ)充放”,有序推進(jìn)氫燃料供給體系建設(shè)
2020-11-03新能源,汽車(chē),產(chǎn)業(yè),設(shè)計(jì) -
中國(guó)自主研制的“人造太陽(yáng)”重力支撐設(shè)備正式啟運(yùn)
2020-09-14核聚變,ITER,核電 -
能源革命和電改政策紅利將長(zhǎng)期助力儲(chǔ)能行業(yè)發(fā)展
-
探索 | 既耗能又可供能的數(shù)據(jù)中心 打造融合型綜合能源系統(tǒng)
2020-06-16綜合能源服務(wù),新能源消納,能源互聯(lián)網(wǎng) -
5G新基建助力智能電網(wǎng)發(fā)展
2020-06-125G,智能電網(wǎng),配電網(wǎng) -
從智能電網(wǎng)到智能城市
-
山西省首座電力與通信共享電力鐵塔試點(diǎn)成功
-
中國(guó)電建公司公共資源交易服務(wù)平臺(tái)摘得電力創(chuàng)新大獎(jiǎng)
-
電力系統(tǒng)對(duì)UPS的技術(shù)要求