肖鸣
【摘要】 网络防火墙是部署在网络安全域之间的屏障,它可以监控和拦截域间的流量,实现安全防护。随着数据中心网络规模不断扩大、业务数据日益增长,防火墙的安全作用越显重要。在大数据时代,通过收集防火墙日志并进行分析,可以让网络防火墙的安全功能得以进一步利用和提升。
【关键字】 大数据 网络防火墙 网络安全 策略审计 安全感知
一、防火墙的传统安全功能
网络防火墙是数据中心一个必不可少的安全防护工具,负责网络地址转换(Network Address Translation)和访问控制(Access Control List)。网络地址转换用于隐藏私网IP和端口信息和地址复用;访问控制用于防护服务器敏感端口和漏洞端口的非法访问、非法扫描,以及控制各个安全域间的服务器或终端的访问权限。
二、防火墙日志做策略审计和优化
2.1防火墙策略审计需求
防火墙策略控制着安全域之间服务器或终端的访问权限,它的有效性直接影响业务,必须定期检查。每个业务和资产都有生命周期,资产或者业务的终止会让对应的ACL策略变成无效策略,这些无效策略必须定期审计并删除。每个网络安全运维人员都有配置错误ACL的可能,这些错误可以通过审计发现。
2.2大数据助力防火墙策略审计和优化
策略审计基本是通过检查ACL配置实现。然而,通过大数据平台收集防火墙日志并作分析,可以优化审计或者实现新的功能:
1)对近期的访问量进行排序,根据访问频率调整ACL顺序,能有效减轻防火墙工作压力。
2)通过防火墙的拒绝连接日志,发现错误配置。例如某个应用程序配置了错误的访问目标IP,则会被防火墙拦截并产生大量防火墙拒绝连接日志,我们可以通过收集这些拒绝连接日志发现程序错误。
3)根据ACL的源IP和目标IP,对近期的访问量进行搜索从而发现0命中策略,再去确认源IP或目标IP服务器是否下线,可以发现无效策略。
三、防火墙日志感知互联网
防火墙的主要作用是负责访问控制,拦截违反访问策略的流量。在大数据平台接收互联网边界防火墙日志后,我们不仅可以知道违规的流量,也可以感知互聯网IP,建立互联网IP信誉库,表1举了几个例子。
四、防火墙日志感知内网访问
网络防火墙日志中,大部分是建立连接和拒绝连接的告警日志。在长期收集日志后,对成功链接的日志根据源IP、目标IP进行统计,可以感知数据中心服务器间的业务访问行为,从而建立安全访问规则库。对于违反访问规则的日志,则发出告警,让安全管理员对源IP服务器进行安全分析。如果数据中心有配置管理数据库(CMDB),把IP与服务器名关联起来,可以提升安全分析效率。
五、防火墙日志在挖掘攻击链路的作用
现在的网络攻击越来越复杂和隐蔽,网络入侵的发现和溯源需要多种安全设备告警的关联分析。如果黑客在某个攻击环节中采用0day恶意代码,则很有可能没有告警,从而无法还原整个攻击链路,给溯源分析带来困难。例如:黑客成功入侵服务器A后,通过IP扫描得知服务器A可以访问服务器B,然后植入0day恶意代码并成功控制服务器B。在这个例子中,我们可能会发现服务器A有安全告警,服务器B有安全告警,但没有找到A入侵B的安全告警。但无论攻击再隐蔽,恶意代码再难发现,只要服务器A访问服务器B经过防火墙,访问记录是无法掩盖的。我们可以通过防火墙日志完善攻击链路,从而实现攻击链路的溯源。
六、总结
网络防火墙的传统安全功能是隐藏IP信息和访问控制。但是,我们可以通过大数据技术收集网络防火墙日志并进行分析,在策略审计、互联网IP感知、内网安全感知、挖掘攻击链路等方面提升安全防御能力。
