网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

随着企业信息化的发展，网络安全越来越重要。作为网络安全基本防护设备的防火墙，其安全性依然是网络安全防护的最重要一环。不同厂家各种产品不断地部署到网络中，势必会存在众多复杂且在不断变化的防火墙安全策略，如何对它们有效管理逐渐成为网络及安全管理的一个重点。本文针对企业网中存在不同厂家不同型号多重异构防火墙设备的情况下，防火墙安全策略管理系统的设计与实现进行探讨。

1、引言

在企业网络的管理及项目建设上，防火墙的使用越来越普遍。为了充分发挥安全控制与防护作用，每台防火墙都要根据实际的访问需求制定出成百上千的安全控制策略。

在网络应用日益复杂的今天，如何对大量的安全策略进行有效的管理，是摆在工程技术和网络维护人员面前的一个重要课题。如果通过软件的方法实现对网络中防火墙的策略的发现、管理部署及审计分析等功能，最大限度实现防火墙安全策略管理的智能化、自动化，就可以使管理人员从繁杂重复的工作中解放出来，从而大大提高工作效率，节省人员管理开销并减少人为失误的发生。

2、设计目标及要求

防火墙安全策略管理软件的设计目标，可以按照防火墙在网络中的生命周期的几个阶段逐一进行描述。

(1)准备阶段

在防火墙准备阶段，主要涉及业务系统数据流的发现和防火墙安全策略的生成。而策略生成就是要根据实际的防火墙型号以及已发现的业务流向及管理控制要素（如控制粒度）等条件生成相应的安全策略。

(2)上线阶段
上线阶段主要是防火墙安全策略的部署，在部署方式上可以是系统生成文本化的安全策略，在人工校验后进行手动部署，也可以是系统自动部署。

(3)管理维护阶段

管理维护阶段，主要涉及防火墙安全策略的查询、增加、删除、优化、审计等功能。需要把防火墙的每一条安全策略与业务系统，维护人员等信息紧密关联，根据业务系统的变化进行安全策略的增加、删除、迁移、优化等，保证系统中的安全策略在合理的控制粒度前提下既无冗余更无遗漏。

(4)防火墙下线

防火墙下线阶段根据实际情况，可能是防火墙所保护的业务系统下线或者防护需求的减少，也可能是被新防火墙取代而下线。若是前一种情况，就涉及安全策略在管理系统中的归档及删除等操作。后一种情况则需要安全策略的迁移及重新部署等。
根据防火墙在以上各个阶段的功能要求，在防火墙安全策略管理软件中主要解决以下问题:

(1)通用安全策略存储

由于各个厂家防火墙的配置的方法、语法、形式各不相同，必须设计一种通用的存储形式，使得各种防火墙安全策略能够按照相同的格式存储下来，这是异构防火墙环境中实现对安全策略统

(2)业务流及安全策略发现

业务流发现是指在没有部署防火墙或已部署但没有配置安全策略的网络节点，采用网络分析的方法对现网中的业务数据流进行发现，并转换成策略元数据库的形式进行存储。安全策略发现是对现网运行的防火墙安全策略能够进行自动发现和识别，并转换成策略元数据库的数据形式进行存储。

(3)安全策略生成

根据策略元数据生成目标防火墙识别的安全策略。在安全策略生成中，要考虑控制粒度的问题。另外，由于目前防火墙厂家及产品众多，其配置模式千差万别，这就需要系统能够根据实际情况自动生成与实际防火墙产品相适应的安全策略。

(4)安全策略部署

在完成安全策略生成后，可以人工或系统自动部署到目标防火墙上。这个相对较为容易实现，但要考虑部署前后系统性能的影响等问题，还考虑对安全策略是否需要进行优化。

(5)安全策略管理

主要是对系统中的安全策略进行查询，修改，增加，删除等，并使之关联到业务系统的具体应用。

(6)自身的安全

由于系统存放着大量的安全策略及业务信息，自身的安全不容忽视主要考虑用户权限的分级管理，与防火墙通信的安全，数据的加密存储等。

3、主要模块及功能

(1)两个数据库策略元数据库

记录每条策略详细信息的数据库，与部署的防火墙软硬件平台无关。策略数据库:记录实际物理设备上配置的具安全策略信息，与防火墙软硬件平台相关。

(2)主要功能模块

策略发现及确认模块：增加，修改，补充安全策略元数据库和策略数据库的条目。