防火墻策略智能識別優(yōu)化工具研究

1工具開發(fā)背景

當前,信息安全已經引起了人們的高度重視,其中數據安全是信息安全中非常重要的一個環(huán)節(jié),而局域網的數據安全則主要靠防火墻來實施管理控制。近幾年,網絡信息安全防護的關鍵點之一就是訪問控制,即防火墻中不允許冗余策略存留,不允許配置過寬地址段,不允許配置過寬端口,全面封堵高危端口等,在檢查過程中發(fā)現存在以下問題:

（1)現階段,防火墻中配置的訪問策略多達幾百條,人工檢查這些訪問策略的合規(guī)性不僅耗費大量時間和人力,而且容易出現差錯。

（2)防火墻自身會對策略命中情況進行統(tǒng)計,如果某策略長期不起作用,策略命中數會顯示為零。根據信息安全要求,工作人員每月需對防火墻重啟并切換。切換重啟后,防火墻的策略命中數量統(tǒng)計就會清零。此時便無法區(qū)分有效策略與失效策略,這些訪問策略關系全局生產網絡運行,影響重大。

（3)部分防火墻策略無導出功能,影響安全分析及安全審計工作效率。

（4)防火墻日志輸出的每一條日志信息都存在較多的字段,每日產生的信息數據量巨大,且日志文件為文本文檔格式,不利于防火墻日志查詢及分析。

2工具研究與實現

2.1實現思路

（1)分析防火墻可視化頁面的策略、端口、地址簿等數據的記錄和顯示方式,建立防火墻數據提取模式。技術實現:利用爬蟲技術,定時登錄防火墻抓取數據,將策略ID、命中數、源地址名稱、源地址IP、源端口、目的地址名稱、目的地址IP、目的端口等數據,相互匹配后完整呈現在一張表格上,并實現導出功能。

（2)分析防火墻日志文件記錄方式,分析每個字段存儲信息的含義,將字段分類存入數據庫,根據需求按字段進行提取查詢日志信息。技術實現:利用腳本,將日志數據按字段分類,篩選出必要字段寫入數據庫中,實現日志快速查詢。

（3)開發(fā)基于c#/winform的桌面工具,實現各防火墻信息的查詢及顯示。技術實現:采用c#語言開發(fā),在桌面上打開工具,實現信息的查詢功能和顯示功能。

2.2防火墻策略配置信息獲取功能的實現

防火墻的管理需要使用瀏覽器。由于防火墻會在后臺對相關信息進行加密,因此無法直接從后臺獲取其策略配置信息,只能借助瀏覽器對前臺頁面請求返回的數據包進行抓取,并設置抓取時不顯示瀏覽器,抓取到的數據需做匹配處理,匹配采用正則表達式核心代碼:

2.3防火墻日志信息獲取功能的實現

防火墻輸出的日志信息由多個字段組成,且輸出格式為文本文檔,不利于運維人員查詢及分析,因此需要根據日志記錄方式,將日志分字段存入數據庫,并按字段作用為字段命名,數據導入核心代碼為:

2.4防火墻日志信息查詢功能的實現

工具采用c#/winform進行開發(fā),使用soL語句實現對日志信息的查詢,核心代碼:

防火墻策略智能識別優(yōu)化工具效果如圖1所示。

3軟件測試

軟件測試主要是針對軟件的各項功能及性能,包括軟件運行情況、資源占用情況、策略配置獲取功能實現情況、日志數據查詢功能實現情況、各項導出功能實現情況等,通過軟件測試希望能挖掘出工具的缺陷,及時進行修改完善,確保工具高效高質量運行。

測試結果:本次測試對工具的2個功能模塊進行全面的測試,共發(fā)現1個缺陷,缺陷率為1%,缺陷內容為:無法抓取遠程服務器中的天融信防火墻的數據,顯示無法登錄,ssL證書沒有驗證。代碼行數和缺陷比值為99:1,表明發(fā)現的缺陷數量在合理范圍內。

開發(fā)人員針對測試結果修復了工具的缺陷,第二次的軟件測試結果表明該缺陷已消除,工具得到完善。

4結語

隨著現代科技的不斷發(fā)展,計算機信息技術對企業(yè)的影響力日益增強,電力企業(yè)的信息安全與否直接影響到電力企業(yè)的經濟效益,高效的信息安全分析有助于企業(yè)有效規(guī)避信息安全事件對企業(yè)造成的破壞,維護企業(yè)利益。防火墻策略智能識別工具能有效幫助運維人員分析防火墻的工作情況,一方面能大大降低運維人員獲取防火墻日志及配置信息的時間成本,另一方面提高了運維人員安全策略分析的準確度和效率,助力運維人員實現信息安全的精準運維和高效運維,對企業(yè)信息安全建設起到了很好的促進作用。