www涩-www黄网站-www黄色-www黄色com-国产免费拍拍视频在线观看网站-国产免费怕怕免费视频观看

防火墻ACL規(guī)則管理分析工具研究與應(yīng)用

2018-03-28 21:47:14 《電力信息與通信技術(shù)》微信公眾號  點(diǎn)擊量: 評論 (0)
隨著黃山供電公司信息安全管理的日益嚴(yán)格,防火墻的ACL策略也變得日益復(fù)雜,如何對防火墻的ACL策略進(jìn)行有效管理,成為公司信息運(yùn)維藍(lán)隊(duì)對信息安全防護(hù)工作的重要課題。針對防火墻ACL管理存在的各類問題,黃山供電公司自主研發(fā)一套ACL規(guī)則管理分析工具并應(yīng)用于本單位,通過本工具的使用,可

出。點(diǎn)擊“導(dǎo)出csv”可以將解析后所有規(guī)則或不合理的規(guī)則導(dǎo)出到csv文件。

2.2 工具應(yīng)用演示
2.2.1 工具參數(shù)初始化

工具參數(shù)初始化包括防火墻參數(shù)設(shè)置及內(nèi)部區(qū)域地址段設(shè)置,完成防火墻型號及防火墻配置文件參數(shù)設(shè)置。雙擊運(yùn)行軟件,選擇防火墻配置文件路徑,及防火墻類型;同時(shí)在右邊錄入內(nèi)部區(qū)域包含的IP地址段;區(qū)域1、2、3分別對應(yīng)配置文件物理路徑、防火墻型號及內(nèi)部區(qū)域地址段。

2.2.2 ACL策略獲取與展示

點(diǎn)擊“檢測”按鈕,展示策略檢測結(jié)果,按照防火墻策略的基本域設(shè)計(jì)展示表的字段,包括:被訪問的內(nèi)部地址、外部地址、訪問形式、規(guī)則文本及規(guī)則所在行(見圖1)。

圖1 內(nèi)部地址開放情況分析Fig.1 Opening situation analysis of internal address

1)被訪問的內(nèi)部地址:ACL規(guī)則目的地址。

2)外部地址:ACL規(guī)則源地址。

3)訪問形式:ACL規(guī)則規(guī)定的協(xié)議和端口信息。

4)規(guī)則文本:ACL規(guī)則的文本信息。

5)規(guī)則所在行:ACL規(guī)則在文件中所在的行。

點(diǎn)擊“不顯示放行所有規(guī)則”,將會過濾掉那些放行任何源地址到任何目的地址的規(guī)則(如有配置的運(yùn)行任何地址之間進(jìn)行icmp的規(guī)則)(見圖2)。

圖2 內(nèi)部地址開放情況分析(不顯示放行所有規(guī)則)Fig.2 Opening situation analysis of internal address (no display of all release rules)

2.2.3 ACL策略合規(guī)性分析

1)危險(xiǎn)策略發(fā)現(xiàn)。工具可以解析出防火墻規(guī)則中設(shè)置范圍過大的規(guī)則,包括端口為ANY、地址范圍沒有限制的策略。危險(xiǎn)規(guī)則分析如圖3所示,配置文件中603、624、659、645行對應(yīng)的防火墻策略開發(fā)端口為ANY,695行對應(yīng)的策略源地址、目的地址均為ANY。

圖3 危險(xiǎn)規(guī)則分析Fig.3 Hazard rule analysis

2)過期策略、被包含及未使用的無效策略發(fā)現(xiàn)。工具可分析出防火墻規(guī)則中無效的規(guī)則。包括已過期的規(guī)則:防火墻設(shè)置的有效時(shí)間已過期;被包含的規(guī)則:已經(jīng)有其他比較大的規(guī)則完全能包含這條規(guī)則;未使用的規(guī)則:規(guī)則存在但是沒有啟用(見圖4)。

圖4 無效規(guī)則分析Fig.4 Invalid rule analysis

3)存在交叉關(guān)系或者重復(fù)開放的沖突策略發(fā)現(xiàn)。工具可檢測防火墻與其他規(guī)則存在交集的防火墻策略,可展示沖突策略總數(shù),并從In、Out及動作域多個(gè)角度展示沖突策略明細(xì)情況(見圖5)。

圖5 沖突策略分析與展示Fig.5 Conflict strategy analysis and presentation

4)ACL策略查找功能。提供了按照常用固定端口過濾規(guī)則功能,方便查看風(fēng)險(xiǎn)性比較高的通用協(xié)議開放情況,如:查找過濾安全外殼(Secure Shell,SSH)協(xié)議(TCP 22端口)、遠(yuǎn)程桌面協(xié)議(Remote Desktop Protocol,RDP)(TCP 3389端口)、X顯示監(jiān)控協(xié)議(XDisplay Manager Control Protocol,XDMCP)(UDP 177端口)。可以展示規(guī)則方向、源地址、目的地址及原規(guī)則文本、行數(shù)等信息。

5)ACL策略導(dǎo)出與備份。點(diǎn)擊“導(dǎo)出”按鈕可以將解析的規(guī)則導(dǎo)出到csv文件中,后續(xù)可有利用excel功能對策略中的端口等信息進(jìn)行高級過濾分析,如獲取開放了SSH、SNMP等服務(wù)的網(wǎng)絡(luò)地址。

 3 結(jié)語

黃山供電公司自主研發(fā)的防火墻ACL策略解析分析工具很好地解決了防火墻規(guī)則過于繁瑣龐大、不利于分析管理的問題,網(wǎng)絡(luò)安全運(yùn)維人員可利用工具快速發(fā)現(xiàn)內(nèi)網(wǎng)區(qū)域地址資源開放情況,并針對不合規(guī)的開放進(jìn)行整改、完善,實(shí)現(xiàn)不合規(guī)策略的早發(fā)現(xiàn)、早處理,降低因策略的不合理設(shè)置帶來的安全風(fēng)險(xiǎn)。

(編輯:張京娜)

參考文獻(xiàn)

[1] 范萍, 李罕偉. 基于ACL的網(wǎng)絡(luò)層訪問權(quán)限控制技術(shù)研究[J]. 華東交通大學(xué)學(xué)報(bào), 2004, 21(4): 89-92.

FAN Ping. LI Han-wei.Research on technique to control access to network layer based on ACL[J]. Journal of East China Jiaotong University, 2004, 21(4): 89-92.

[2] 唐子蛟, 李紅蟬. 基于ACL的網(wǎng)絡(luò)安全管理的應(yīng)用研究[J]. 四川理工學(xué)院學(xué)報(bào)(自然科學(xué)版), 2009, 22(1): 48-51.

TANG Zi-jiao, LI Hong-chan.Application of network security management based on ACL[J]. Journal of Sichuan University of Science & Engineering(Natural Science Edition), 2009, 22(1): 48-51.

[3] 胡海璐, 陳曙暉, 蘇金樹. 路由器訪問表技術(shù)研究[J]. 計(jì)算機(jī)科學(xué), 2001, 28(4): 94-96.

HU Hai-lu, CHEN Shu-hui, SU Jin-shu.On router access control list technology[J]. Computer Science, 2001,28(4): 94-96.

[4] 孫翠玲, 顧建華. 利用ACL技術(shù)對園區(qū)網(wǎng)絡(luò)實(shí)現(xiàn)精細(xì)化控制[J]. 電腦知識與技術(shù), 2006(36): 72-73, 95.

SUN Cui-ling, GU Jun-hua.Drawing upon ACL to realize finely garden area network control[J]. Computer Knowledge and Technology, 2006(36): 72-73, 95.

[5] 沈健, 周興社, 張凡, . 基于網(wǎng)絡(luò)處理器的防火墻優(yōu)化設(shè)計(jì)與研究[J]. 計(jì)算機(jī)工程, 2007, 33(10): 172-174.

SHEN Jian, ZHOU Xing-she, ZHANG Fan.et al.Optimized design and research of firewall based on network processor[J]. Computer Engineering, 2007, 33(10): 172-174.

[6] Cisco Systems,Inc. Cisco security appliance command reference software Version 7. 0(8)[Z]. 2008.

[7] 于本成, 慕東周, 陸玉陽. 中小型企業(yè)網(wǎng)絡(luò)控制方案的分析與設(shè)計(jì)[J]. 計(jì)算機(jī)安全, 2011, 31(7): 72-74.

YU Ben-cheng, MU Dong-zhou, LU Yu-yang.Small and medium enterprises network control program analysis and design[J]. Computer Security, 2011, 31(7): 72-74.

[8] 葉競, 葉水勇, 陳清萍, . 應(yīng)對企業(yè)中的第三方應(yīng)用程序漏洞探討[J]. 電力信息與通信技術(shù), 2016, 14(5): 147-151.

YE Jing, YE Shui-yong, CHEN Qing-ping, et al.Deal with third party application flaw in the enterprise[J].Electric Power Information and Communication Technology, 2016, 14(5): 147-151.

[9] 王芳, 韓國棟, 李鑫. 路由器訪問控制列表及其實(shí)現(xiàn)技術(shù)研究[J]. 計(jì)算機(jī)工程與設(shè)計(jì), 2007, 28(23): 5638-5639.

WANG Fang, HAN Guo-dong, LI Xin.Web service discovery based on cooperation of UDDI and DF[J].Computer Engineering and Design, 2007, 28(23): 5638-5639.

[10] Cisco Systems,Inc. Cisco security appliance command reference software Version8. 2(5)[Z]. 2011.

[11] 馮登國, 張陽, 張玉清. 信息安全風(fēng)險(xiǎn)評估綜述[J]. 通信學(xué)報(bào), 2004, 25(7): 10-18.

FENG Deng-guo, ZHANG Yang, ZHANG Yu-qing.Survey of information security risk assessment[J]. Journal of China Institute of Communications, 2004, 25(7): 10-18.

[12] 莫林利. 使用ACL技術(shù)的網(wǎng)絡(luò)安全策略研究及應(yīng)用[J]. 華東交通大學(xué)學(xué)報(bào), 2009, 26(6): 79-82.

MO Lin-li.Research and application of network security policies with ACL[J]. Journal of East China Jiaotong University, 2009, 26(6): 79-82.

[13] 陳琳, 朱紹文, 陳緒君, . 新型Access-list技術(shù)應(yīng)用研究[J]. 計(jì)算機(jī)應(yīng)用, 2002, 22(8): 69-71.

  • <img data-cke-saved-src=http://www.zuoguai.cn/uploadfile/2018/0328/20180328102450703.png&quot;" src=http://www.zuoguai.cn/uploadfile/2018/0328/20180328102450703.png&quot;" "="" style="box-sizing: border-box; padding: 1px; border: 1px solid rgb(204, 204, 204); width: 70px; float: left; margin-right: 1rem;">

    葉水勇(1964-),男,福建龍海人,高級工程師,從事電力行業(yè)信息化研究、開發(fā)和應(yīng)用工作;

  • 潘靜(1969-),女,安徽安慶人,高級工程師,從事電力行業(yè)信息化管理工作;

  • 王旭東(1966-),男,安徽霍山人,高級工程師,從事電力行業(yè)信息化管理工作;

  • 陳清萍(1974-),女,安徽蕪湖人,高級工程師,從事電力行業(yè)計(jì)算機(jī)應(yīng)用工作;

  • 蔡翔(1983-),男,安徽蚌埠人,工程師,從事電力行業(yè)網(wǎng)絡(luò)與信息安全工作。

  • 楊先杰(1977-),男,安徽阜陽人,高級工程師,從事電力行業(yè)信息化管理工作;

  • 李周(1984-),男,安徽長豐人,高級工程師,從事電力行業(yè)信息通信規(guī)劃及技術(shù)應(yīng)用工作。

 

 

 

大云網(wǎng)官方微信售電那點(diǎn)事兒

責(zé)任編輯:售電衡衡

免責(zé)聲明:本文僅代表作者個(gè)人觀點(diǎn),與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實(shí)相關(guān)內(nèi)容。
我要收藏
個(gè)贊
?
主站蜘蛛池模板: 国产亚洲精品九九久在线观看 | 99久久免费看国产精品 | 久久久久久久国产精品视频 | 亚洲日本va | 欧美成人看片一区二区三区尤物 | 91视频社区 | 欧美日韩视频在线第一区 | 免费一级毛片在线播放欧美 | 可以看的黄网 | 尹人在线视频 | 偷偷久久| 国产女主播91 | 黄色一级毛片免费 | 2020毛片| 日本理论片免费高清影视在线观看 | 国产成人精品曰本亚洲78 | 亚洲综合日本 | 国产特级全黄一级毛片不卡 | 91久久精品| 久久久综合网 | 国产 高清 在线 | 久久久久久久久中文字幕 | 在线播放一级片 | 国产三级播放 | 国产在线一区二区三区 | 欧美日韩国产免费一区二区三区 | 欧美一区二区三区不卡免费观看 | 亚洲加勒比久久88色综合一区 | 国产亚洲欧美久久精品 | 狠狠色丁香九九婷婷综合五月 | 三区在线视频 | 亚洲精品第五页中文字幕 | 美女视频网站色 | 精品videosex性欧美 | 国产亚洲欧美在线视频 | 91精品日本久久久久久牛牛 | 成人网视频在线观看免费 | 嫩草一区二区三区四区乱码 | 日本久久久久一级毛片 | 91免费永久国产在线观看 | 黄网在线观看免费 |