出。點(diǎn)擊“導(dǎo)出csv”可以將解析后所有規(guī)則或不合理的規(guī)則導(dǎo)出到csv文件。

2.2 工具應(yīng)用演示

2.2.1 工具參數(shù)初始化

工具參數(shù)初始化包括防火墻參數(shù)設(shè)置及內(nèi)部區(qū)域地址段設(shè)置,完成防火墻型號(hào)及防火墻配置文件參數(shù)設(shè)置。雙擊運(yùn)行軟件,選擇防火墻配置文件路徑,及防火墻類(lèi)型;同時(shí)在右邊錄入內(nèi)部區(qū)域包含的IP地址段;區(qū)域1、2、3分別對(duì)應(yīng)配置文件物理路徑、防火墻型號(hào)及內(nèi)部區(qū)域地址段。

2.2.2 ACL策略獲取與展示

點(diǎn)擊“檢測(cè)”按鈕,展示策略檢測(cè)結(jié)果,按照防火墻策略的基本域設(shè)計(jì)展示表的字段,包括：被訪問(wèn)的內(nèi)部地址、外部地址、訪問(wèn)形式、規(guī)則文本及規(guī)則所在行（見(jiàn)圖1）。

圖1 內(nèi)部地址開(kāi)放情況分析Fig.1 Opening situation analysis of internal address

1）被訪問(wèn)的內(nèi)部地址：ACL規(guī)則目的地址。

2）外部地址：ACL規(guī)則源地址。

3）訪問(wèn)形式：ACL規(guī)則規(guī)定的協(xié)議和端口信息。

4）規(guī)則文本：ACL規(guī)則的文本信息。

5）規(guī)則所在行：ACL規(guī)則在文件中所在的行。

點(diǎn)擊“不顯示放行所有規(guī)則”,將會(huì)過(guò)濾掉那些放行任何源地址到任何目的地址的規(guī)則（如有配置的運(yùn)行任何地址之間進(jìn)行icmp的規(guī)則）（見(jiàn)圖2）。

圖2 內(nèi)部地址開(kāi)放情況分析（不顯示放行所有規(guī)則）Fig.2 Opening situation analysis of internal address (no display of all release rules)

2.2.3 ACL策略合規(guī)性分析

1）危險(xiǎn)策略發(fā)現(xiàn)。工具可以解析出防火墻規(guī)則中設(shè)置范圍過(guò)大的規(guī)則,包括端口為ANY、地址范圍沒(méi)有限制的策略。危險(xiǎn)規(guī)則分析如圖3所示,配置文件中603、624、659、645行對(duì)應(yīng)的防火墻策略開(kāi)發(fā)端口為ANY,695行對(duì)應(yīng)的策略源地址、目的地址均為ANY。

圖3 危險(xiǎn)規(guī)則分析Fig.3 Hazard rule analysis

2）過(guò)期策略、被包含及未使用的無(wú)效策略發(fā)現(xiàn)。工具可分析出防火墻規(guī)則中無(wú)效的規(guī)則。包括已過(guò)期的規(guī)則：防火墻設(shè)置的有效時(shí)間已過(guò)期;被包含的規(guī)則：已經(jīng)有其他比較大的規(guī)則完全能包含這條規(guī)則;未使用的規(guī)則：規(guī)則存在但是沒(méi)有啟用（見(jiàn)圖4）。

圖4 無(wú)效規(guī)則分析Fig.4 Invalid rule analysis

3）存在交叉關(guān)系或者重復(fù)開(kāi)放的沖突策略發(fā)現(xiàn)。工具可檢測(cè)防火墻與其他規(guī)則存在交集的防火墻策略,可展示沖突策略總數(shù),并從In、Out及動(dòng)作域多個(gè)角度展示沖突策略明細(xì)情況（見(jiàn)圖5）。

圖5 沖突策略分析與展示Fig.5 Conflict strategy analysis and presentation

4）ACL策略查找功能。提供了按照常用固定端口過(guò)濾規(guī)則功能,方便查看風(fēng)險(xiǎn)性比較高的通用協(xié)議開(kāi)放情況,如：查找過(guò)濾安全外殼（Secure Shell,SSH）協(xié)議（TCP 22端口）、遠(yuǎn)程桌面協(xié)議（Remote Desktop Protocol,RDP）（TCP 3389端口）、X顯示監(jiān)控協(xié)議（XDisplay Manager Control Protocol,XDMCP）（UDP 177端口）。可以展示規(guī)則方向、源地址、目的地址及原規(guī)則文本、行數(shù)等信息。

5）ACL策略導(dǎo)出與備份。點(diǎn)擊“導(dǎo)出”按鈕可以將解析的規(guī)則導(dǎo)出到csv文件中,后續(xù)可有利用excel功能對(duì)策略中的端口等信息進(jìn)行高級(jí)過(guò)濾分析,如獲取開(kāi)放了SSH、SNMP等服務(wù)的網(wǎng)絡(luò)地址。

 3 結(jié)語(yǔ)

黃山供電公司自主研發(fā)的防火墻ACL策略解析分析工具很好地解決了防火墻規(guī)則過(guò)于繁瑣龐大、不利于分析管理的問(wèn)題,網(wǎng)絡(luò)安全運(yùn)維人員可利用工具快速發(fā)現(xiàn)內(nèi)網(wǎng)區(qū)域地址資源開(kāi)放情況,并針對(duì)不合規(guī)的開(kāi)放進(jìn)行整改、完善,實(shí)現(xiàn)不合規(guī)策略的早發(fā)現(xiàn)、早處理,降低因策略的不合理設(shè)置帶來(lái)的安全風(fēng)險(xiǎn)。

(編輯:張京娜)

參考文獻(xiàn)

[1] 范萍, 李罕偉. 基于ACL的網(wǎng)絡(luò)層訪問(wèn)權(quán)限控制技術(shù)研究[J]. 華東交通大學(xué)學(xué)報(bào), 2004, 21(4): 89-92.

FAN Ping. LI Han-wei.Research on technique to control access to network layer based on ACL[J]. Journal of East China Jiaotong University, 2004, 21(4): 89-92.

[2] 唐子蛟, 李紅蟬. 基于ACL的網(wǎng)絡(luò)安全管理的應(yīng)用研究[J]. 四川理工學(xué)院學(xué)報(bào)(自然科學(xué)版), 2009, 22(1): 48-51.

TANG Zi-jiao, LI Hong-chan.Application of network security management based on ACL[J]. Journal of Sichuan University of Science & Engineering(Natural Science Edition), 2009, 22(1): 48-51.

[3] 胡海璐, 陳曙暉, 蘇金樹(shù). 路由器訪問(wèn)表技術(shù)研究[J]. 計(jì)算機(jī)科學(xué), 2001, 28(4): 94-96.

HU Hai-lu, CHEN Shu-hui, SU Jin-shu.On router access control list technology[J]. Computer Science, 2001,28(4): 94-96.

[4] 孫翠玲, 顧建華. 利用ACL技術(shù)對(duì)園區(qū)網(wǎng)絡(luò)實(shí)現(xiàn)精細(xì)化控制[J]. 電腦知識(shí)與技術(shù), 2006(36): 72-73, 95.

SUN Cui-ling, GU Jun-hua.Drawing upon ACL to realize finely garden area network control[J]. Computer Knowledge and Technology, 2006(36): 72-73, 95.

[5] 沈健, 周興社, 張凡, 等. 基于網(wǎng)絡(luò)處理器的防火墻優(yōu)化設(shè)計(jì)與研究[J]. 計(jì)算機(jī)工程, 2007, 33(10): 172-174.

SHEN Jian, ZHOU Xing-she, ZHANG Fan.et al.Optimized design and research of firewall based on network processor[J]. Computer Engineering, 2007, 33(10): 172-174.

[6] Cisco Systems,Inc. Cisco security appliance command reference software Version 7. 0(8)[Z]. 2008.

[7] 于本成, 慕東周, 陸玉陽(yáng). 中小型企業(yè)網(wǎng)絡(luò)控制方案的分析與設(shè)計(jì)[J]. 計(jì)算機(jī)安全, 2011, 31(7): 72-74.

YU Ben-cheng, MU Dong-zhou, LU Yu-yang.Small and medium enterprises network control program analysis and design[J]. Computer Security, 2011, 31(7): 72-74.

[8] 葉競(jìng), 葉水勇, 陳清萍, 等. 應(yīng)對(duì)企業(yè)中的第三方應(yīng)用程序漏洞探討[J]. 電力信息與通信技術(shù), 2016, 14(5): 147-151.

YE Jing, YE Shui-yong, CHEN Qing-ping, et al.Deal with third party application flaw in the enterprise[J].Electric Power Information and Communication Technology, 2016, 14(5): 147-151.

[9] 王芳, 韓國(guó)棟, 李鑫. 路由器訪問(wèn)控制列表及其實(shí)現(xiàn)技術(shù)研究[J]. 計(jì)算機(jī)工程與設(shè)計(jì), 2007, 28(23): 5638-5639.

WANG Fang, HAN Guo-dong, LI Xin.Web service discovery based on cooperation of UDDI and DF[J].Computer Engineering and Design, 2007, 28(23): 5638-5639.

[10] Cisco Systems,Inc. Cisco security appliance command reference software Version8. 2(5)[Z]. 2011.

[11] 馮登國(guó), 張陽(yáng), 張玉清. 信息安全風(fēng)險(xiǎn)評(píng)估綜述[J]. 通信學(xué)報(bào), 2004, 25(7): 10-18.

FENG Deng-guo, ZHANG Yang, ZHANG Yu-qing.Survey of information security risk assessment[J]. Journal of China Institute of Communications, 2004, 25(7): 10-18.

[12] 莫林利. 使用ACL技術(shù)的網(wǎng)絡(luò)安全策略研究及應(yīng)用[J]. 華東交通大學(xué)學(xué)報(bào), 2009, 26(6): 79-82.

MO Lin-li.Research and application of network security policies with ACL[J]. Journal of East China Jiaotong University, 2009, 26(6): 79-82.

[13] 陳琳, 朱紹文, 陳緒君, 等. 新型Access-list技術(shù)應(yīng)用研究[J]. 計(jì)算機(jī)應(yīng)用, 2002, 22(8): 69-71.