防火墙策略日志分析工具的应用与实践

防火墙策略日志分析工具的应用与实践

邓小勇,黄彦智,车艳艳

（广西电网有限责任公司桂林供电局，广西 桂林 541002）

摘要：为保障桂林供电局网络稳定可靠运行，主动发现防火墙策略配置存在的安全隐患，并及时整改，通过部署防火墙策略日志分析工具，利用其冗余策略分析、无用策略分析、策略利用率等功能对防火墙策略进行梳理及优化，使管理员能够准确了解当前策略的使用效果，提高了对防火墙的安全管理效率。

关键字：防火墙；日志记录；策略梳理

0引言

随着网络技术和社会的发展，网络攻击越来越多，信息安全成为全球普遍关注的焦点。防火墙作为重要的网络防护手段在信息安全领域占据越来越重要的位置。防火墙通过执行由管理人员配置的防火墙策略文件实现对网络的保护功能。但是，由于诸多因素的限制，例如：网络扩大、应用增多、防火墙需求多样化，导致了防火墙规则增多与策略文件膨胀[1-3]。同时，由于防火墙规则本身语义的复杂性以及防火墙管理对人员的依赖性，导致了防火墙策略的编辑、分析、管理异常困难。上述因素导致了策略冲突、冗余。防火墙策略梳理变的尤为重要。如何实现对防火墙设备安全策略的统一管理，协助管理员优化防火墙的安全策略，成为运维人员要研究的问题。

1 现状

当前，防火墙上安全策略的堆积问题已经越来越严重， 成为了不少管理员头疼的一个问题。从外部原因来看，当然是信息系统系统越来越大，越来越复杂，需要在防火墙上开的“口子”也越来越多。并且目前面临的网络风险很高、很复杂，需要配置多的、复杂的安全策略。而从防火墙内部技术而言，防火墙安全策略大量累积的根本原因在于防火墙安全策略管理工具的缺失，使得防火墙安全策略处于一种“不可见”的状态，无法了解安全策略配置是否正确、是否需要配置这条安全策略、这条安全测试是否还有人使用等等[4]。当管理员收到一个安全策略配置请求时，往往会重复性的增加许多新的策略从而造成了策略累积和无用策略的产生。长久以往，如果没有合适的管理分析工具进行处理优化，策略冗余数将会严重影响运维效率，甚至会导致网路安全事故的发生。

目前，管理员梳理防火墙策略主要通过两种途径：一是自行导出防火墙策略日志，通过人工分析的方法进行策略梳理；二是利用防火墙策略日志分析管理工具进行智能分析进行可视化管理。当防火墙策略越来越复杂时，人工分析的方法往往容易出现开通策略范围过大、策略冗余和无用策略堆积等情况，而防火墙策略日记分析管理工具则可以解决上述问题。其通过读取并分析日志记录，形成报告，安全可靠的帮助管理员实现对安全策略梳理整改。

2 防火墙策略日志分析工具的部署

防火墙策略日志分析管理工具一般包含4个组件：Application Sever(AS)、Database、Data Collector(DC)、Graphical User Interface(GUI)。其中AS负责在数据库中存储Data Collector收集的数据，处理发生在GUI和数据库之间的事件，并且必须和Data Collector保持连接。DC负责监控设备的变更。防火墙策略日志分析工具的部署只需开通特定的端口、协议即可与防火墙等其他设备进行通讯。防火墙策略日志分析工具与安全设备和GUI通讯模式如图1所示：

图1 防火墙策略日志分析工具与安全设备和GUI通讯模式

防火墙策略日志分析工具是通过网络访问防火墙互联网端口来读取防火墙策略日志记录来进行分析梳理策略的。当其与防火墙通讯时，一般需开方UDP/514和SSH/Telnet端口。Application Server(AC)负责在数据库中存储Data Collertor收集数据，AC与Data Colleror(DC)通讯时必须开放TCP/3192和Https协议，为了方便管理，AC与DC部署在同一台VMware虚拟平台服务器中。

3防火墙策略日志分析工具的功能与实现

3.1冗余策略分析

防火墙策略日志分析工具可对防火墙策略进行分析，查看是否存在冗余策略（即某条策略被另外一条或一些策略覆盖），并生成报告，其中包含了对安全策略的分析以及建议操作。

    生成的冗余策略报告能显示本台防火墙有多少组冗余策略，通过分析源地址、目标地址和协议都大于或等于标准值时, 可判断被分析的策略为冗余策略，永远不会被匹配，可以考虑删除该条策略或者把策略顺序提前，实现优先匹配。

3.2无用策略分析

防火墙策略日志分析工具动态统计防护墙的命中状况，也记录在一段时间内未命中的安全策略，这些策略系统由于无相关流量、应用、IP等原因未被使用过，管理员可以根据一个时间跨度较长的报告判断策略是否为无用策略。届时便可以及时禁用这些无用策略，实现策略优化工作。

3.3策略利用率分析

防火墙策略日志分析工具可以实时分析当前时刻防火墙上安全策略的使用情况，给出每条安全规则的利用率，并产生相关的分析报告，其中包括安全策略使用率的排名，以及近期未被使用的安全策略。管理员可以根据这份报告，调整防火墙上安全策略的顺序，以使得防火墙的策略配置次序最优。

3.4访问路径分析

管理员可以利用防火墙策略日志分析工具分析访问路径。选中网络中的源地址、目的地址以及端口服务，日志分析工具可以分析告知次服务是否可达，并且能够给出详细的访问路径，以及该路径上通过的每台防火墙及具体是命中了那一条策略。由此可以分析一些网络流量，用于分析处理网络异常问题。

3.5给安全策略增加注解

防火墙策略日志分析工具可以为被管理设备上的安全策略增加注解，注解信息可以包括策略管理人、过期时间、策略配置目的、申请部门等。管理员通过注解更加了解策略的相关信息，使得策略管理更加高效。

4效果评价

通过防火墙策略梳理日志分析工具，并利用其对防火墙策略进行梳理，了解当前防火墙策略的使用状况，包括发现配置策略冲突、策略冗余提醒、策略实际流量状况等。使管理员能够准确了解到当前策略的使用效果，大大提高管理员对防火墙的安全管理效率。

参考文献

[1]王小奎. 防火墙日志系统的分析与研究[D].电子科技大学,2007.

[2]孙立琴. 防火墙策略冲突检测及可视化[D].上海交通大学,2011.

[3]贾贺，张旭等. 防火墙原理与使用技术[M].电子工业出版社，2002。

[4]阎慧，王伟. 防火墙原理与技术[M].机械工业出版社，2014.

[5]王代潮，曾德超. 防火墙技术的演变机器发展趋势分析[J].网络安全技术与应用，2005(7):40-42.