防火墻策略智能識別優(yōu)化工具研究

時間：2022-05-23 00:47:53

關鍵字：安全審計安全分析爬蟲

手機看文章

掃描二維碼
隨時隨地手機看文章

[導讀]摘要:防火墻是信息安全防護工作中必不可少的設備,各品牌防火墻對訪問策略設置情況、地址設置情況、端口設置情況、策略命中情況等關鍵信息顯示各有不同,影響安全審計效率及日常安全分析工作效率。防火墻策略智能識別優(yōu)化工具采用爬蟲技術(shù)模擬用戶進入防火墻可視化頁面,從頁面中抓取策略配置、端口設置等情況,讀取防火墻推送日志關鍵信息,通過c#/winform桌面程序開發(fā),將相關信息在工具上歸集顯示。

1工具開發(fā)背景

當前,信息安全已經(jīng)引起了人們的高度重視,其中數(shù)據(jù)安全是信息安全中非常重要的一個環(huán)節(jié),而局域網(wǎng)的數(shù)據(jù)安全則主要靠防火墻來實施管理控制。近幾年,網(wǎng)絡信息安全防護的關鍵點之一就是訪問控制,即防火墻中不允許冗余策略存留,不允許配置過寬地址段,不允許配置過寬端口,全面封堵高危端口等,在檢查過程中發(fā)現(xiàn)存在以下問題:

（1)現(xiàn)階段,防火墻中配置的訪問策略多達幾百條,人工檢查這些訪問策略的合規(guī)性不僅耗費大量時間和人力,而且容易出現(xiàn)差錯。

（2)防火墻自身會對策略命中情況進行統(tǒng)計,如果某策略長期不起作用,策略命中數(shù)會顯示為零。根據(jù)信息安全要求,工作人員每月需對防火墻重啟并切換。切換重啟后,防火墻的策略命中數(shù)量統(tǒng)計就會清零。此時便無法區(qū)分有效策略與失效策略,這些訪問策略關系全局生產(chǎn)網(wǎng)絡運行,影響重大。

（3)部分防火墻策略無導出功能,影響安全分析及安全審計工作效率。

（4)防火墻日志輸出的每一條日志信息都存在較多的字段,每日產(chǎn)生的信息數(shù)據(jù)量巨大,且日志文件為文本文檔格式,不利于防火墻日志查詢及分析。

2工具研究與實現(xiàn)

2.1實現(xiàn)思路

（1)分析防火墻可視化頁面的策略、端口、地址簿等數(shù)據(jù)的記錄和顯示方式,建立防火墻數(shù)據(jù)提取模式。技術(shù)實現(xiàn):利用爬蟲技術(shù),定時登錄防火墻抓取數(shù)據(jù),將策略ID、命中數(shù)、源地址名稱、源地址IP、源端口、目的地址名稱、目的地址IP、目的端口等數(shù)據(jù),相互匹配后完整呈現(xiàn)在一張表格上,并實現(xiàn)導出功能。

（2)分析防火墻日志文件記錄方式,分析每個字段存儲信息的含義,將字段分類存入數(shù)據(jù)庫,根據(jù)需求按字段進行提取查詢?nèi)罩拘畔?。技術(shù)實現(xiàn):利用腳本,將日志數(shù)據(jù)按字段分類,篩選出必要字段寫入數(shù)據(jù)庫中,實現(xiàn)日志快速查詢。

（3)開發(fā)基于c#/winform的桌面工具,實現(xiàn)各防火墻信息的查詢及顯示。技術(shù)實現(xiàn):采用c#語言開發(fā),在桌面上打開工具,實現(xiàn)信息的查詢功能和顯示功能。

2.2防火墻策略配置信息獲取功能的實現(xiàn)

防火墻的管理需要使用瀏覽器。由于防火墻會在后臺對相關信息進行加密,因此無法直接從后臺獲取其策略配置信息,只能借助瀏覽器對前臺頁面請求返回的數(shù)據(jù)包進行抓取,并設置抓取時不顯示瀏覽器,抓取到的數(shù)據(jù)需做匹配處理,匹配采用正則表達式核心代碼:

2.3防火墻日志信息獲取功能的實現(xiàn)

防火墻輸出的日志信息由多個字段組成,且輸出格式為文本文檔,不利于運維人員查詢及分析,因此需要根據(jù)日志記錄方式,將日志分字段存入數(shù)據(jù)庫,并按字段作用為字段命名,數(shù)據(jù)導入核心代碼為:

2.4防火墻日志信息查詢功能的實現(xiàn)

工具采用c#/winform進行開發(fā),使用soL語句實現(xiàn)對日志信息的查詢,核心代碼:

防火墻策略智能識別優(yōu)化工具效果如圖1所示。

3軟件測試

軟件測試主要是針對軟件的各項功能及性能,包括軟件運行情況、資源占用情況、策略配置獲取功能實現(xiàn)情況、日志數(shù)據(jù)查詢功能實現(xiàn)情況、各項導出功能實現(xiàn)情況等,通過軟件測試希望能挖掘出工具的缺陷,及時進行修改完善,確保工具高效高質(zhì)量運行。

測試結(jié)果:本次測試對工具的2個功能模塊進行全面的測試,共發(fā)現(xiàn)1個缺陷,缺陷率為1%,缺陷內(nèi)容為:無法抓取遠程服務器中的天融信防火墻的數(shù)據(jù),顯示無法登錄,ssL證書沒有驗證。代碼行數(shù)和缺陷比值為99:1,表明發(fā)現(xiàn)的缺陷數(shù)量在合理范圍內(nèi)。

開發(fā)人員針對測試結(jié)果修復了工具的缺陷,第二次的軟件測試結(jié)果表明該缺陷已消除,工具得到完善。

4結(jié)語

隨著現(xiàn)代科技的不斷發(fā)展,計算機信息技術(shù)對企業(yè)的影響力日益增強,電力企業(yè)的信息安全與否直接影響到電力企業(yè)的經(jīng)濟效益,高效的信息安全分析有助于企業(yè)有效規(guī)避信息安全事件對企業(yè)造成的破壞,維護企業(yè)利益。防火墻策略智能識別工具能有效幫助運維人員分析防火墻的工作情況,一方面能大大降低運維人員獲取防火墻日志及配置信息的時間成本,另一方面提高了運維人員安全策略分析的準確度和效率,助力運維人員實現(xiàn)信息安全的精準運維和高效運維,對企業(yè)信息安全建設起到了很好的促進作用。