防火墙策略梳理经验谈

大型企业网络防火墙 策略梳理经验谈 2013年1月作者：belmontcaesar版本：0.9（还需要修订）目录 1环境特点........................................................................................................................................32策略梳理意义...............................................................................................................................33目标是什么....................................................................................................................................44如何做好策略梳理工作...............................................................................................................44.1统一模板...........................................................................................................................44.2CMDB配置库..................................................................................................................54.3工单系统和策略登记表..................................................................................................54.4防火墙运维的工具...........................................................................................................64.5人员配置...........................................................................................................................64.6维护手册和方法论...........................................................................................................64.7处理原则...........................................................................................................................64.8策略梳理会面临的问题..................................................................................................74.9如何处理问题...................................................................................................................85防火墙策略梳理...........................................................................................................................95.1策略梳理流程图...............................................................................................................95.2关键流程说明...................................................................................................................95.3关键工作说明.................................................................................................................105.4防火墙策略合规性.........................................................................................................115.5防火墙策略分层.............................................................................................................12前言笔者目前在一家省级运营商里面做安全运维工作，这里的防火墙策略梳理是我们2012年的主要工作之一，从12年4月开始一直有人在参与这项工作，花了大量的人力一直到18大才基本完成，此项工作任务之繁杂和艰巨恐怕是外行人很难想象出来的。一直很想把这项工作写出来，因为我觉得这里面有很多学问，很多经验，很多有意义的东西可以带给大家讨论。1环境特点 某省运营商防火墙系统有几个显著的特点：1)防火墙设备多，数量大于30台，有3个主要品牌；2)安全区域多，这么多防火墙分别部署在不同安全区域的边界；3)防火墙策略多，核心防火墙有上千条策略，其他边界上也有几十到几百条策略；4)一条防火墙策略往往需要经过多个区域，涉及多台防火墙，策略登记不便；5)工单系统建立之前很多策略都已无据可查，积累了好几代人的运维后，很多策略都已经属于无人认领的状态。2策略梳理意义 防火墙策略是信息安全管理的重要组成部分，数据安全保护是防火墙的保障目标，而策略的梳理则是安全生命周期管理的一个表现形式，信息资产出现变更或废止后势必会引起策略的变化，如果防火墙策略没有及时更新或清退必然会成为潜在的安全风险，经过数年的积累后会越积越多将风险逐步扩大，更会影响防火墙的性能。而防火墙策略的梳理工作，也是将防火墙的策略池和相关配置作为一种虚拟资产进行管理的尝试，有利于提高企业安全运维质量和水平。3目标是什么 首先通过这项工作将所有在用策略的各项属性明确下来（属性即策略表中的元素），全部策略梳理完毕后开始进行无用策略清退和违规策略的修改或清退，然后将剩下的合规策略进行策略的分层，最后将此项工作作为一种常态化的日常工作保持下去。4如何做好策略梳理工作 4.1统一模板 在开始这项工作之前运维部门就需要和安全管理部门、业务部门等讨论那些是模板中必要的元素，然后根据不同部门的使用和维护的需求，制作成统一模板发布，并由特定的一组人员去整理。根据现有环境我这里的模板需要这么几个要素：源地址源地址描述目的地址目的地址描述服务端口允许/拒绝单号实施人策略责任人策略说明开通日期有效期变更情况前面几项都是从防火墙中直接提取的策略表信息，后面的几项是防火墙运维中的开通需求情况，将两部分结合起来即为一张完整的《防火墙策略维护模板》。4.2CMDB配置库 有登记工单过的策略都可以找到源目的地址和描述信息（因为工单有要求必须填写），但是那些“迷失“的策略则是什么都没有，你可以想象一下上千条记录中的源地址或者目的地址都没有记录是多么残酷的事情……幸好以前有做过这方面的工作，建过CMDB数据，虽然不是很全但也能查到一大半，还有其他管理部门自己维护的一些记录所以绝大部分的地址都能查到数据。4.3工单系统和策略登记表 有历史记录的防火墙策略工单信息都可以在这里查询，登记表则除了记录已有单据的防火墙策略开通情况外还记录了一些非正常途径开启的策略，如领导指示、公文、安全检查或者是一些临时的紧急任务等，为之后的策略清退提供了依据。4.4防火墙运维的工具 主要指网管工具，查链路情况，能ping，能telnet，能tracert这个不详细说明。防火墙自带的管理平台，可以将策略导出成便于处理的文档格式。抓包工具，查询是否有匹配策略的数据流经过。最好能以数据库的形式做这份策略表，在处理大量的数据时EXCEL还是有很多不便之处。4.5人员配置 因为策略太多设备太多，仅有的专职处理防火墙策略的员工不足以独立完成此项工作，因此调集了其他几名人员一同完成。策略表维护不需要维护人员具有非常专业的防火墙配置、网络维护的能力，需要的是认真、仔细、谨慎、负责的工作态度。4.6维护手册和方法论 怎么样使用防火墙设备怎么测试防火墙策略的路由走向怎么登陆策略源目的地址主机4.7处理原则 在梳理防火墙策略时必然会遇到各种问题，当出现问题时项目负责人必须制定一个处理的基调，让处理人员遵照这些原则梳理，避免因处理结果不统一而造成的各种不必要的问题。地址确认原则 某些IP地址（段），经过多次变更后原有策略所表示的业务系统可能已不存在或被变更，则已现有系统的业务属性、主机名等进行登记。策略有效性原则 对于查不到责任人也没有登记有效期的策略，则需要人工检测策略是否仍在用。策略整合原则 同一业务应用策略，具有相同或相似端口，在不影响安全性的前提下可以多条整合为一条，其他具有相似性的策略可以酌情整合。策略划分原则 根据业务和通讯端口将某一类应用的策略划分在一个策略区域中，以后同类策略均添加在该区域中。排序原则 以目的地址的顺序进行排序。4.8策略梳理会面临的问题 1)防火墙设备复杂，有些是WEB界面，有些是命令行式的，各家的策略显示都不一致，亲和力最好的是WEB界面，命令行式的看起来则像天书，整理起来非常耗时；2)网络很复杂，网管工具也不够犀利，即使是资深运维人员也很难从源目的地址上识别出路由是怎么走的，基本都需要用tracert\pathping等查询；3)防火墙策略太多，之前的运维人员处理的也比较机械，策略没有细分，也没有登记清楚，很多策略归属不详，是否仍在使用也不详。4)工单系统建立后新上线的防火墙策略都有单据可依，老的策略往往都已经不明确，需要补充和完善。5)因为每天需要开通的策略很多，且需要一一登记，维护工作实在不易。6)防火墙策略每天都会有任务，如果只更新老版本的登记表内容必然会缺失，为新表制作带来麻烦。7)系统几经易主（如下线、变更IP、设备利旧变更应用等情况）很多策略已失去原有意义，CMDB数据和其他维护数据也不能准确认定主机。4.9如何处理问题 1)由专职防火墙管理维护人员梳理策略表，转换成统一模板后分发至其他处理人员，并由防火墙维护人员作为整个项目的负责人，提供必要的培训和指导，教会其使用必要的工具和检查方法，协助其他人员