防火墙策略智能识别优化工具研究

1工具开发背景

当前,信息安全已经引起了人们的高度重视,其中数据安全是信息安全中非常重要的一个环节,而局域网的数据安全则主要靠防火墙来实施管理控制。近几年,网络信息安全防护的关键点之一就是访问控制,即防火墙中不允许冗余策略存留,不允许配置过宽地址段,不允许配置过宽端口,全面封堵高危端口等,在检查过程中发现存在以下问题:

（1)现阶段,防火墙中配置的访问策略多达几百条,人工检查这些访问策略的合规性不仅耗费大量时间和人力,而且容易出现差错。

（2)防火墙自身会对策略命中情况进行统计,如果某策略长期不起作用,策略命中数会显示为零。根据信息安全要求,工作人员每月需对防火墙重启并切换。切换重启后,防火墙的策略命中数量统计就会清零。此时便无法区分有效策略与失效策略,这些访问策略关系全局生产网络运行,影响重大。

（3)部分防火墙策略无导出功能,影响安全分析及安全审计工作效率。

（4)防火墙日志输出的每一条日志信息都存在较多的字段,每日产生的信息数据量巨大,且日志文件为文本文档格式,不利于防火墙日志查询及分析。

2工具研究与实现

2.1实现思路

（1)分析防火墙可视化页面的策略、端口、地址簿等数据的记录和显示方式,建立防火墙数据提取模式。技术实现:利用爬虫技术,定时登录防火墙抓取数据,将策略ID、命中数、源地址名称、源地址IP、源端口、目的地址名称、目的地址IP、目的端口等数据,相互匹配后完整呈现在一张表格上,并实现导出功能。

（2)分析防火墙日志文件记录方式,分析每个字段存储信息的含义,将字段分类存入数据库,根据需求按字段进行提取查询日志信息。技术实现:利用脚本,将日志数据按字段分类,筛选出必要字段写入数据库中,实现日志快速查询。

（3)开发基于c#/winform的桌面工具,实现各防火墙信息的查询及显示。技术实现:采用c#语言开发,在桌面上打开工具,实现信息的查询功能和显示功能。

2.2防火墙策略配置信息获取功能的实现

防火墙的管理需要使用浏览器。由于防火墙会在后台对相关信息进行加密,因此无法直接从后台获取其策略配置信息,只能借助浏览器对前台页面请求返回的数据包进行抓取,并设置抓取时不显示浏览器,抓取到的数据需做匹配处理,匹配采用正则表达式核心代码:

2.3防火墙日志信息获取功能的实现

防火墙输出的日志信息由多个字段组成,且输出格式为文本文档,不利于运维人员查询及分析,因此需要根据日志记录方式,将日志分字段存入数据库,并按字段作用为字段命名,数据导入核心代码为:

2.4防火墙日志信息查询功能的实现

工具采用c#/winform进行开发,使用soL语句实现对日志信息的查询,核心代码:

防火墙策略智能识别优化工具效果如图1所示。

3软件测试

软件测试主要是针对软件的各项功能及性能,包括软件运行情况、资源占用情况、策略配置获取功能实现情况、日志数据查询功能实现情况、各项导出功能实现情况等,通过软件测试希望能挖掘出工具的缺陷,及时进行修改完善,确保工具高效高质量运行。

测试结果:本次测试对工具的2个功能模块进行全面的测试,共发现1个缺陷,缺陷率为1%,缺陷内容为:无法抓取远程服务器中的天融信防火墙的数据,显示无法登录,ssL证书没有验证。代码行数和缺陷比值为99:1,表明发现的缺陷数量在合理范围内。

开发人员针对测试结果修复了工具的缺陷,第二次的软件测试结果表明该缺陷已消除,工具得到完善。

4结语

随着现代科技的不断发展,计算机信息技术对企业的影响力日益增强,电力企业的信息安全与否直接影响到电力企业的经济效益,高效的信息安全分析有助于企业有效规避信息安全事件对企业造成的破坏,维护企业利益。防火墙策略智能识别工具能有效帮助运维人员分析防火墙的工作情况,一方面能大大降低运维人员获取防火墙日志及配置信息的时间成本,另一方面提高了运维人员安全策略分析的准确度和效率,助力运维人员实现信息安全的精准运维和高效运维,对企业信息安全建设起到了很好的促进作用。