www涩-www黄网站-www黄色-www黄色com-国产免费拍拍视频在线观看网站-国产免费怕怕免费视频观看

防火墻ACL規(guī)則管理分析工具研究與應(yīng)用

2018-03-28 21:47:14 《電力信息與通信技術(shù)》微信公眾號(hào)  點(diǎn)擊量: 評(píng)論 (0)
隨著黃山供電公司信息安全管理的日益嚴(yán)格,防火墻的ACL策略也變得日益復(fù)雜,如何對(duì)防火墻的ACL策略進(jìn)行有效管理,成為公司信息運(yùn)維藍(lán)隊(duì)對(duì)信息安全防護(hù)工作的重要課題。針對(duì)防火墻ACL管理存在的各類(lèi)問(wèn)題,黃山供電公司自主研發(fā)一套ACL規(guī)則管理分析工具并應(yīng)用于本單位,通過(guò)本工具的使用,可

出。點(diǎn)擊“導(dǎo)出csv”可以將解析后所有規(guī)則或不合理的規(guī)則導(dǎo)出到csv文件。

2.2 工具應(yīng)用演示
2.2.1 工具參數(shù)初始化

工具參數(shù)初始化包括防火墻參數(shù)設(shè)置及內(nèi)部區(qū)域地址段設(shè)置,完成防火墻型號(hào)及防火墻配置文件參數(shù)設(shè)置。雙擊運(yùn)行軟件,選擇防火墻配置文件路徑,及防火墻類(lèi)型;同時(shí)在右邊錄入內(nèi)部區(qū)域包含的IP地址段;區(qū)域1、2、3分別對(duì)應(yīng)配置文件物理路徑、防火墻型號(hào)及內(nèi)部區(qū)域地址段。

2.2.2 ACL策略獲取與展示

點(diǎn)擊“檢測(cè)”按鈕,展示策略檢測(cè)結(jié)果,按照防火墻策略的基本域設(shè)計(jì)展示表的字段,包括:被訪問(wèn)的內(nèi)部地址、外部地址、訪問(wèn)形式、規(guī)則文本及規(guī)則所在行(見(jiàn)圖1)。

圖1 內(nèi)部地址開(kāi)放情況分析Fig.1 Opening situation analysis of internal address

1)被訪問(wèn)的內(nèi)部地址:ACL規(guī)則目的地址。

2)外部地址:ACL規(guī)則源地址。

3)訪問(wèn)形式:ACL規(guī)則規(guī)定的協(xié)議和端口信息。

4)規(guī)則文本:ACL規(guī)則的文本信息。

5)規(guī)則所在行:ACL規(guī)則在文件中所在的行。

點(diǎn)擊“不顯示放行所有規(guī)則”,將會(huì)過(guò)濾掉那些放行任何源地址到任何目的地址的規(guī)則(如有配置的運(yùn)行任何地址之間進(jìn)行icmp的規(guī)則)(見(jiàn)圖2)。

圖2 內(nèi)部地址開(kāi)放情況分析(不顯示放行所有規(guī)則)Fig.2 Opening situation analysis of internal address (no display of all release rules)

2.2.3 ACL策略合規(guī)性分析

1)危險(xiǎn)策略發(fā)現(xiàn)。工具可以解析出防火墻規(guī)則中設(shè)置范圍過(guò)大的規(guī)則,包括端口為ANY、地址范圍沒(méi)有限制的策略。危險(xiǎn)規(guī)則分析如圖3所示,配置文件中603、624、659、645行對(duì)應(yīng)的防火墻策略開(kāi)發(fā)端口為ANY,695行對(duì)應(yīng)的策略源地址、目的地址均為ANY。

圖3 危險(xiǎn)規(guī)則分析Fig.3 Hazard rule analysis

2)過(guò)期策略、被包含及未使用的無(wú)效策略發(fā)現(xiàn)。工具可分析出防火墻規(guī)則中無(wú)效的規(guī)則。包括已過(guò)期的規(guī)則:防火墻設(shè)置的有效時(shí)間已過(guò)期;被包含的規(guī)則:已經(jīng)有其他比較大的規(guī)則完全能包含這條規(guī)則;未使用的規(guī)則:規(guī)則存在但是沒(méi)有啟用(見(jiàn)圖4)。

圖4 無(wú)效規(guī)則分析Fig.4 Invalid rule analysis

3)存在交叉關(guān)系或者重復(fù)開(kāi)放的沖突策略發(fā)現(xiàn)。工具可檢測(cè)防火墻與其他規(guī)則存在交集的防火墻策略,可展示沖突策略總數(shù),并從In、Out及動(dòng)作域多個(gè)角度展示沖突策略明細(xì)情況(見(jiàn)圖5)。

圖5 沖突策略分析與展示Fig.5 Conflict strategy analysis and presentation

4)ACL策略查找功能。提供了按照常用固定端口過(guò)濾規(guī)則功能,方便查看風(fēng)險(xiǎn)性比較高的通用協(xié)議開(kāi)放情況,如:查找過(guò)濾安全外殼(Secure Shell,SSH)協(xié)議(TCP 22端口)、遠(yuǎn)程桌面協(xié)議(Remote Desktop Protocol,RDP)(TCP 3389端口)、X顯示監(jiān)控協(xié)議(XDisplay Manager Control Protocol,XDMCP)(UDP 177端口)。可以展示規(guī)則方向、源地址、目的地址及原規(guī)則文本、行數(shù)等信息。

5)ACL策略導(dǎo)出與備份。點(diǎn)擊“導(dǎo)出”按鈕可以將解析的規(guī)則導(dǎo)出到csv文件中,后續(xù)可有利用excel功能對(duì)策略中的端口等信息進(jìn)行高級(jí)過(guò)濾分析,如獲取開(kāi)放了SSH、SNMP等服務(wù)的網(wǎng)絡(luò)地址。

 3 結(jié)語(yǔ)

黃山供電公司自主研發(fā)的防火墻ACL策略解析分析工具很好地解決了防火墻規(guī)則過(guò)于繁瑣龐大、不利于分析管理的問(wèn)題,網(wǎng)絡(luò)安全運(yùn)維人員可利用工具快速發(fā)現(xiàn)內(nèi)網(wǎng)區(qū)域地址資源開(kāi)放情況,并針對(duì)不合規(guī)的開(kāi)放進(jìn)行整改、完善,實(shí)現(xiàn)不合規(guī)策略的早發(fā)現(xiàn)、早處理,降低因策略的不合理設(shè)置帶來(lái)的安全風(fēng)險(xiǎn)。

(編輯:張京娜)

參考文獻(xiàn)

[1] 范萍, 李罕偉. 基于ACL的網(wǎng)絡(luò)層訪問(wèn)權(quán)限控制技術(shù)研究[J]. 華東交通大學(xué)學(xué)報(bào), 2004, 21(4): 89-92.

FAN Ping. LI Han-wei.Research on technique to control access to network layer based on ACL[J]. Journal of East China Jiaotong University, 2004, 21(4): 89-92.

[2] 唐子蛟, 李紅蟬. 基于ACL的網(wǎng)絡(luò)安全管理的應(yīng)用研究[J]. 四川理工學(xué)院學(xué)報(bào)(自然科學(xué)版), 2009, 22(1): 48-51.

TANG Zi-jiao, LI Hong-chan.Application of network security management based on ACL[J]. Journal of Sichuan University of Science & Engineering(Natural Science Edition), 2009, 22(1): 48-51.

[3] 胡海璐, 陳曙暉, 蘇金樹(shù). 路由器訪問(wèn)表技術(shù)研究[J]. 計(jì)算機(jī)科學(xué), 2001, 28(4): 94-96.

HU Hai-lu, CHEN Shu-hui, SU Jin-shu.On router access control list technology[J]. Computer Science, 2001,28(4): 94-96.

[4] 孫翠玲, 顧建華. 利用ACL技術(shù)對(duì)園區(qū)網(wǎng)絡(luò)實(shí)現(xiàn)精細(xì)化控制[J]. 電腦知識(shí)與技術(shù), 2006(36): 72-73, 95.

SUN Cui-ling, GU Jun-hua.Drawing upon ACL to realize finely garden area network control[J]. Computer Knowledge and Technology, 2006(36): 72-73, 95.

[5] 沈健, 周興社, 張凡, . 基于網(wǎng)絡(luò)處理器的防火墻優(yōu)化設(shè)計(jì)與研究[J]. 計(jì)算機(jī)工程, 2007, 33(10): 172-174.

SHEN Jian, ZHOU Xing-she, ZHANG Fan.et al.Optimized design and research of firewall based on network processor[J]. Computer Engineering, 2007, 33(10): 172-174.

[6] Cisco Systems,Inc. Cisco security appliance command reference software Version 7. 0(8)[Z]. 2008.

[7] 于本成, 慕東周, 陸玉陽(yáng). 中小型企業(yè)網(wǎng)絡(luò)控制方案的分析與設(shè)計(jì)[J]. 計(jì)算機(jī)安全, 2011, 31(7): 72-74.

YU Ben-cheng, MU Dong-zhou, LU Yu-yang.Small and medium enterprises network control program analysis and design[J]. Computer Security, 2011, 31(7): 72-74.

[8] 葉競(jìng), 葉水勇, 陳清萍, . 應(yīng)對(duì)企業(yè)中的第三方應(yīng)用程序漏洞探討[J]. 電力信息與通信技術(shù), 2016, 14(5): 147-151.

YE Jing, YE Shui-yong, CHEN Qing-ping, et al.Deal with third party application flaw in the enterprise[J].Electric Power Information and Communication Technology, 2016, 14(5): 147-151.

[9] 王芳, 韓國(guó)棟, 李鑫. 路由器訪問(wèn)控制列表及其實(shí)現(xiàn)技術(shù)研究[J]. 計(jì)算機(jī)工程與設(shè)計(jì), 2007, 28(23): 5638-5639.

WANG Fang, HAN Guo-dong, LI Xin.Web service discovery based on cooperation of UDDI and DF[J].Computer Engineering and Design, 2007, 28(23): 5638-5639.

[10] Cisco Systems,Inc. Cisco security appliance command reference software Version8. 2(5)[Z]. 2011.

[11] 馮登國(guó), 張陽(yáng), 張玉清. 信息安全風(fēng)險(xiǎn)評(píng)估綜述[J]. 通信學(xué)報(bào), 2004, 25(7): 10-18.

FENG Deng-guo, ZHANG Yang, ZHANG Yu-qing.Survey of information security risk assessment[J]. Journal of China Institute of Communications, 2004, 25(7): 10-18.

[12] 莫林利. 使用ACL技術(shù)的網(wǎng)絡(luò)安全策略研究及應(yīng)用[J]. 華東交通大學(xué)學(xué)報(bào), 2009, 26(6): 79-82.

MO Lin-li.Research and application of network security policies with ACL[J]. Journal of East China Jiaotong University, 2009, 26(6): 79-82.

[13] 陳琳, 朱紹文, 陳緒君, . 新型Access-list技術(shù)應(yīng)用研究[J]. 計(jì)算機(jī)應(yīng)用, 2002, 22(8): 69-71.

  • <img data-cke-saved-src=http://www.zuoguai.cn/uploadfile/2018/0328/20180328102450703.png&quot;" src=http://www.zuoguai.cn/uploadfile/2018/0328/20180328102450703.png&quot;" "="" style="box-sizing: border-box; padding: 1px; border: 1px solid rgb(204, 204, 204); width: 70px; float: left; margin-right: 1rem;">

    葉水勇(1964-),男,福建龍海人,高級(jí)工程師,從事電力行業(yè)信息化研究、開(kāi)發(fā)和應(yīng)用工作;

  • 潘靜(1969-),女,安徽安慶人,高級(jí)工程師,從事電力行業(yè)信息化管理工作;

  • 王旭東(1966-),男,安徽霍山人,高級(jí)工程師,從事電力行業(yè)信息化管理工作;

  • 陳清萍(1974-),女,安徽蕪湖人,高級(jí)工程師,從事電力行業(yè)計(jì)算機(jī)應(yīng)用工作;

  • 蔡翔(1983-),男,安徽蚌埠人,工程師,從事電力行業(yè)網(wǎng)絡(luò)與信息安全工作。

  • 楊先杰(1977-),男,安徽阜陽(yáng)人,高級(jí)工程師,從事電力行業(yè)信息化管理工作;

  • 李周(1984-),男,安徽長(zhǎng)豐人,高級(jí)工程師,從事電力行業(yè)信息通信規(guī)劃及技術(shù)應(yīng)用工作。

 

 

 

大云網(wǎng)官方微信售電那點(diǎn)事兒

責(zé)任編輯:售電衡衡

免責(zé)聲明:本文僅代表作者個(gè)人觀點(diǎn),與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,請(qǐng)讀者僅作參考,并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。
我要收藏
個(gè)贊
?
主站蜘蛛池模板: 午夜影院h| 亚洲国产天堂久久九九九 | 另类二区三四 | 国产精品精品国产 | 久久人 | 美女视频一区二区三区 | 2020国产精品 | 26uuu影院亚洲欧美综合 | 国产精品合集一区二区 | 久久亚洲国产 | 特级毛片在线播放 | 日本一本久 | 午夜在线观看视频免费 成人 | 久久成人国产精品免费 | wwwxxx黄色| 三级午夜三级三点在看 | 国产欧美久久久精品影院 | 91香蕉视频网| 免费观看一级成人毛片 | 久久久久久久久久免免费精品 | 美女美女大片黄a大片 | 欧美成人鲁丝片在线观看 | 男女一级爽爽快视频 | 精品亚洲福利一区二区 | 99免费在线播放99久久免费 | 色多多香蕉| 国产精品玖玖 | 亚洲一区二区免费 | 高清一级片 | 日韩精品一区二区三区免费观看 | 国内高清久久久久久久久 | 欧美人成一本免费观看视频 | 在线观看 一区 | 国产亚洲人成网站观看 | 国产美女动态免费视频 | 国产欧美日韩另类 | aaa在线| 老司机精品影院一区二区三区 | 亚洲欧洲一区二区 | 美女黄色毛片免费看 | 三级视频网站在线观看播放 |