引語：Gartner 預測“到2023年99％的防火墻被攻破是由于防火墻配置錯誤而非防火墻本身的缺陷?！?

      防火墻是最常見的網(wǎng)絡安全防護設備，在各類金融機構的網(wǎng)絡中有著廣泛的部署。防火墻的基本功能是通過設置網(wǎng)絡訪問控制策略，收斂網(wǎng)絡訪問權限，落地最小授權原則，防止非授權訪問，預防和減少網(wǎng)絡風險。訪問控制策略是防火墻的靈魂，是網(wǎng)絡安全防御體系的基礎，它設置的效果直接影響著防火墻的應用效果與網(wǎng)絡安全防御的整體水平。如果一個網(wǎng)絡的訪問控制策略部署的不夠好，即使擁有再先進的網(wǎng)絡安全設備，攻擊者都有可能通過最簡單的方式實現(xiàn)非法入侵。2019年2月，Gartner在一份技術觀察報告中這樣預測：“到2023年99％的防火墻被攻破是由于防火墻配置錯誤而非防火墻本身的缺陷?！?

      當前，大多數(shù)金融機構的防火墻策略采用人工方式進行管理。隨著網(wǎng)絡規(guī)模的不斷擴大與業(yè)務的頻繁變更，策略規(guī)則的數(shù)量與日劇增、效果評估難于完成、合規(guī)性難于保證。等保2.0中明確提出了防火墻策略精細化、集中化的管理要求，但無論對于用戶單位還是測評機構，在復雜網(wǎng)絡場景下，海量防火墻策略的分析已超出了人力所及，防火墻策略的精細化管理工作與測評工作均難于落地。

      金融機構防火墻策略管理的難點

      金融機構防火墻策略管理工作的難點主要體現(xiàn)在三個方面：異構性、復雜性與動態(tài)性。

      1.異構性

      金融機構網(wǎng)絡中的防火墻的品牌普遍在五個以上，不同品牌設備的訪問控制策略配置不同，而且同一品牌設備的不同軟件版本在訪問控制策略配置方面也會存在差異。大中型金融機構網(wǎng)絡中防火墻的數(shù)量能達到幾十臺至幾百臺，每臺設備的策略規(guī)則普遍在1000條以上，核心邊界設備的策略規(guī)則能達到幾萬條。異構性的另一主要表現(xiàn)是本地與云同時存在的混合網(wǎng)絡環(huán)境，訪問控制設備呈現(xiàn)為物理、虛擬、安全組策略、主機訪問控制等多種形態(tài)。

      2.復雜性

      防火墻策略設置的有效性與風險性分析不僅限于單臺防火墻，還需要通過網(wǎng)絡對象間的訪問關系與訪問路徑進行分析。網(wǎng)絡中兩點間的訪問路徑需要對多臺網(wǎng)絡設備的邏輯連接與訪問控制進行關聯(lián)分析，這里面所提到的網(wǎng)絡設備不僅指防火墻，還包括路由器、交換機與負載均衡，需要分析的數(shù)據(jù)包括IP、VLAN、VXLAN、路由、策略路由、NAT、ACL、安全策略等。金融機構的網(wǎng)絡結構復雜，人工方式實現(xiàn)全局網(wǎng)絡對象訪問路徑與訪問關系分析基本不可能。

      3.動態(tài)性

      金融機構防火墻策略變更是常態(tài)化的，每周至少兩次以上的變更窗口，其主要原因是防火墻訪問控制策略與網(wǎng)絡連通性和安全性都相關，訪問控制的安全原理就是通過收斂網(wǎng)絡連通性以降低網(wǎng)絡風險。所以，只要網(wǎng)絡結構與業(yè)務發(fā)生變化，訪問控制策略就需要隨之變化，對于業(yè)務敏捷性高的金融機構網(wǎng)絡來說，策略變更加頻繁、規(guī)則數(shù)量更大。

      以上三方面的問題使得金融機構防火墻策略精細化管理工作難于落地，將會造成了兩方面的后果，一是頻繁的策略變更增加了安全風險引入的機會，二是占用了大量的人力。有些金融機構的策略管理工作量占比達到安全運維工作量的40%，直接導致其他更高層面工作資源得不到保證。

      防火墻策略集中管理的應對

      1．關于NSPM的定義

      Gartner在2019年的一篇技術觀察中對網(wǎng)絡安全策略管理(NSPM：Network security policy management）進行了定義：NSPM超越了防火墻供應商提供的用戶策略管理界面，提供異構環(huán)境下集中的安全策略可視化控制能力，NSPM將整網(wǎng)的設備及其訪問控制規(guī)則映射為虛擬網(wǎng)絡拓撲，為規(guī)則優(yōu)化、變更管理工作流、規(guī)則仿真、合規(guī)性評估與可視化提供分析和審計能力。NSPM提供異構品牌安全策略的集中管理、變更管理、風險和脆弱性分析與應用程序連接管理四個方面的能力。

      混合網(wǎng)絡環(huán)境下，網(wǎng)絡防火墻的形態(tài)更加多樣化，包括專用的物理設備、虛擬設備、嵌入式防火墻模塊、IaaS平臺提供的防火墻控制系統(tǒng)。Gartner在2019年網(wǎng)絡防火墻魔力象限報告中建議用戶應考慮使用NSPM之類的專用工具，以便能夠集中管理混合網(wǎng)絡的訪問控制策略。

      2．防火墻策略集中管理平臺總體架構

      參考Gartner關于NSPM的定義，結合現(xiàn)階段金融行業(yè)用戶防火墻策略的管理方法與管理體系的調研，接下來本文將對防火墻策略集中管理平臺總體架構進行一般性的描述，希望能夠對金融行業(yè)用戶在防火墻策略集中管理體系的設計、建設與運行方面起到借鑒作用。

      防火墻策略集中管理平臺總體架構包含四大部分，即：策略配置管理、策略優(yōu)化清理、基線與風險管理、變更流程管理。

      策略配置管理模塊是平臺的基礎，需要實現(xiàn)不同品牌、不同種類的網(wǎng)絡訪問控制設備配置的采集，對策略相關數(shù)據(jù)進行提取，為上層計算模塊提供標準化數(shù)據(jù)，并且可以反向將配置腳本下發(fā)至設備。策略配置管理模塊可以通過SSH、Telnet、https等方式登錄到設備上進行配置采集，也可以通過API接口從設備上或CMDB中獲取配置。之后，需要解析策略ID、源地址對象、目的地址對象、服務、動作、生效時間、老化時間等策略相關數(shù)據(jù)，并基于標準化的格式進行輸出，使得采用不同語法的策略配置數(shù)據(jù)實現(xiàn)統(tǒng)一的、標準化的展示。策略配置管理模塊需要支持不同品牌防火墻策略配置腳本模版的預置與自定義，以實現(xiàn)防火墻策略配置腳本自動生成與下發(fā)。為了實現(xiàn)安全拓撲的自動生成，策略配置管理模塊還需要實現(xiàn)接口、IP、路由、 NAT等數(shù)據(jù)的解析。

      策略優(yōu)化清理模塊主要的作用是實現(xiàn)垃圾策略與風險策略的檢查，通過定期對存量策略規(guī)則的清理優(yōu)化，實現(xiàn)策略規(guī)則最小化與精細化的平衡。在策略優(yōu)化清理模塊中，需要對標準化的策略數(shù)據(jù)進行計算，檢查策略規(guī)則之間的相互關系，從而發(fā)現(xiàn)隱藏策略、冗余策略與可合并策略，并且通過某些字段的分析發(fā)現(xiàn)空策略、含ANY策略、過期策略，實現(xiàn)垃圾策略與風險策略的檢查，并提供處置建議，優(yōu)化策略規(guī)則。對于一些較為深層的問題策略，不能通過策略配置的分析實現(xiàn)，需要將策略配置數(shù)據(jù)與會話日志數(shù)據(jù)進行比對，在一段時間周期內統(tǒng)計策略配置中源地址、目的地址、服務三個對象的命中率與命中細節(jié)，實現(xiàn)寬松策略與長期不命中策略的分析。

      基線與風險管理模塊包含三個子模塊，即安全域與安全拓撲管理、訪問控制基線管理與網(wǎng)絡暴露風險管理。安全域與安全拓撲管理子模塊需實現(xiàn)全局訪問控制策略關聯(lián)分析建模，自動生成安全拓撲，安全拓撲與傳統(tǒng)基于SNMP的物理拓撲不同，基于SNMP的網(wǎng)絡拓撲主要描述設備的物理狀態(tài)與物理連接關系，而安全拓撲描述的是網(wǎng)絡對象間的邏輯連接關系與訪問控制關系；訪問控制基線管理子模塊能夠根據(jù)安全域間訪問控制規(guī)則設置區(qū)域之間的訪問控制基線，訪問控制基線信息至少包括源域、源地址、目的域、目的地址、協(xié)議、端口、動作等信息，支持黑白名單、高危端口、病毒端口的自定義，支持定期依據(jù)訪問控制基線對網(wǎng)絡訪問控制策略進行檢查，發(fā)現(xiàn)違規(guī)策略；網(wǎng)絡暴露風險管理子模塊能夠以某一主機或主機組為對象，自動化實現(xiàn)網(wǎng)絡暴露路徑與暴露風險的分析，從網(wǎng)絡訪問關系與安全路徑的角度描述其對外的暴露情況，可以幫助用戶及時了解某些重要主機與主機組網(wǎng)絡暴露面的大小、風險的高低，輔助用戶進行暴露面收斂與暴露路徑的安全加固。

      變更流程管理模塊需要實現(xiàn)策略變更業(yè)務的全流程閉環(huán)管理，包括策略變更工單管理、路徑仿真計算、路徑合規(guī)與風險分析、策略開通與驗證。變更工單管理子模塊的作用是接受業(yè)務部門的策略變更申請，并對工單執(zhí)行進展進行監(jiān)控，對執(zhí)行結果實行記錄與審計。路徑仿真計算子模塊的作用是基于策略變更工單的需求對變更路徑進行計算與查詢，自動找出需要開通的路徑與需要進行策略配置變更的目標設備。路徑合規(guī)與風險分析子模塊的作用主要有兩方面：一是分析新增策略規(guī)則與現(xiàn)有策略規(guī)則是否存在沖突關系，避免出現(xiàn)冗余與隱藏規(guī)則；二是分析新增策略規(guī)則是否符合域間安全基線與風險策略規(guī)則。策略開通與驗證子模塊的作用主要有兩方面：一方面是依據(jù)路徑仿真的計算結果，對不同目標設備的策略變更配置腳本進行生成；二是將生成的配置腳本進行下發(fā)，下發(fā)完成后，依據(jù)策略變更工單的路徑開通要求，進行源到目的路徑查詢，以確認策略變更是否正確完成。

      防火墻策略集中管理平臺還需要考慮與安全運營管理中心的對接，一方面網(wǎng)絡訪問控制策略管理是安全運營管理體系的組成部分。另一方面可以實現(xiàn)策略配置數(shù)據(jù)的采集與下發(fā)、多種安全能力的集成與用戶業(yè)務平臺的流程對接。

      防火墻策略集中管理平臺應用價值總結

      首先，落地防火墻策略的精細化與集中化管理，實現(xiàn)海量策略規(guī)則的快速優(yōu)化清理，降低網(wǎng)絡風險，同時降低了網(wǎng)絡訪問控制設備的性能負載。

      其次，基于網(wǎng)絡安全基礎架構建模分析生成網(wǎng)絡安全拓撲，實現(xiàn)策略安全基線的設定與動態(tài)監(jiān)控，實現(xiàn)網(wǎng)絡暴露風險的可視化分析，幫助用戶收斂網(wǎng)絡暴露面、降低網(wǎng)絡風險。

      第三，實現(xiàn)防火墻策略變更全流程自動化閉環(huán)管理，確保新增策略滿足合規(guī)管理要求與安全控制要求，實現(xiàn)訪問控制策略的持續(xù)合規(guī)運維，并且大幅提升策略變更工作的效率。

      當前，能夠提供防火墻策略集中管理平臺產品的主要是國外幾家廠商，國內的安博通在該領域研究較為深入，并且擁有大型金融機構的成功案例。