“零信任”下的防火墙策略管理

一、一个著名的勒索攻击案例

2018 年，某大型半导体制造企业突然传出消息：其营运总部及相关园区电脑遭到勒索病毒——WannaCry 大规模入侵，且病毒迅速蔓延至生产线，几小时内，该企业几个重要的生产基地全部停摆。仅 3 天，亏损额就超过了 11 亿，股价蒸发近 78 亿，损失惨重。这场事故将隐藏在现代制造业特点背后的网络安全隐患曝光在大众视野中。

勒索病毒攻击一般始于网络端口扫描，找到网络暴露端口的服务器，再利用漏洞进入目标服务器内部。而上述提到的 WannaCry 就是利用了 Windows 的 SMB 协议（文件共享）的漏洞进行传播的。病毒通过扫描 445 端口，发现漏洞之后，就能在电脑里执行任意代码，植入后门程序，然后再进行内网东西向传播。

究其原因，缺乏基于“零信任”架构的防火墙策略管理，使现如今国内一些仍然依赖人工方式进行防火墙策略管理的企业成为攻击的重灾区。

二、“零信任”下的防火墙策略管理难题

“零信任”是 Forrester 分析师在 2010 年提出的一种安全概念，它的核心思想是默认不应该信任网络内部和外部的任何人/设备/系统，遵循关键的零信任原则，即对最小特权访问的每一步都需要策略检查。

当我们在执行“零信任”策略“是”的时候，无论是 Gartner 提出的“五步最佳实践”，还是 NIST 白皮书提出的“六项基础原则”，我们通常最优先需要考虑的，是以下两条：

• 消除攻击面以降低风险频率

• 使用细粒度策略的数据保护

基于以上两条原则，对防火墙运维团队的策略管理，采取“一劳永逸”的做法是不切实际的。随着业务需求的不断变化，应适时调整远程访问策略。例如：伴随新应用程序（或季节性应用程序）的部署，防火墙运维团队将需要添加新的访问策略；随着应用程序不断变化或业务负责人确定需要粒度更强或限制性更强的策略，访问策略也可能需要持续更新。防火墙运维团队要有这样的观念，即要始终不断改进和完善访问策略，适配组织当前的 IT 网络服务需求。

但在持续的策略更新过程中，策略表会越来越臃肿，运行效率也随之降低，另外，由于是人工添加修改策略，就存在一定的出错几率。如遇到重大保障任务和安全生产等需求时，防火墙运维团队更加需要防火墙策略梳理产品。

三、nCompass 防火墙策略可视化平台

智维数据发布的 nCompass 防火墙策略可视化平台（以下简称 NFM），通过 7*24 小时采集防火墙前后“全流量+配置”采集分析输出优化方案。与传统“日志+配置”采集分析相比，本产品优势如下：

1、精准度高

通过日志采集到的是已经经过过滤的数据，因此信息并不全面。而全流量采集到的数据是最原始、最全面的数据，因此在精准度方面要比日志采集高很多。

2、防火墙性能零损伤

开启日志非常影响防火墙性能，而 NFM 平台采用旁路部署的方式，利用“全流量+配置”进行采集分析，对防火墙性能没有任何干扰。

在前面我们讨论的防火墙策略“零信任”管理，提到了减少攻击面以降低风险，下面我们来看看 NFM 如何通过事前和事中来防范风险。

四、NFM 策略梳理

风险的事前优化，减少攻击暴露面

NFM 策略梳理包含以下功能场景：

• 宽泛策略收敛、无效策略删除、策略数量最小化

• 历史的宽泛策略收敛

• 已下线业务的相关策略回收

• 无效策略删除（重复、被包含、未命中、已停用）

• 误定义对象查找

NFM 策略梳理场景：

NFM 平台会根据策略真实的访问数据进行观察分析、调用，用 1 周或 1 个月的会话和连接流量表作为数据支撑，验证策略命中的详情。

【上图为demo数据演示】

流量表

在策略梳理界面，对重复、被包含、可合并、停用、冲突策略做出发现，并给出相关收敛建议。

【上图为demo数据演示】

发现可以合并的策略

自动发现过宽松的弱策略，这种现象是包括允许过多的 IP 地址、允许过多的服务端口、甚至直接是“any to any”类型的弱策略。这会增加攻击面的暴露，需要进行收敛。而 NFM 平台通过真实生产流量，业务数据配置表相结合的方式进行分析，即可发现用户真实使用的业务 IP 和端口，并给出收敛意见。

【上图为demo数据演示】

自动发现可收敛策略，并给出收敛建议

另一类策略收敛，是对已经下线但没有提交对应下线工单的业务，此时防火墙上没有进行删除。NFM 会对比这些策略有无正确命中，命中的时候有无有效载荷 payload 数据，从而精准发现此类“无业务”的策略，便于运维人员及时处理。

【上图为demo数据演示】

没有正常业务交互，建议优化梳理

自动排查“误定义”策略对象，通过策略的六元组定义规则，和实际策略制定的地址簿名称、服务名称、策略名称等，发生明显的相悖，可自动发现并给予警告。

【上图为demo数据演示】

例如，如上图所示，地址名称定义的是 172.25.14.4/32，但配置的 IP 并不包含这个地址，即会被“误定义”告警指出。

最后，NFM 平台会根据防火墙当前梳理的结果，给出周报、月报等分析结果统计，对防火墙策略的问题做出总览。

【上图为demo数据演示】

五、异常跨区访问统计，发现事中威胁

前文我们提到勒索软件在感染主机后，优先会进行内网的东西向传播，从而扩大其扩散面，发现并勒索其他重要服务器。

数据中心内部业务区之间的互访有防火墙隔离，如果存在被这些防火墙阻断的数据流，这些数据流很可能是非法的尝试。对异常跨区访问做统计分析，并提供所有异常的数据流。

【上图为demo数据演示】

从图中可以看到，防火墙 deny 会话突增，意味着违规事件的产生，从而可以追踪回溯异常源 IP，于事中发现威胁。

同时，NFM 内置了高危端口表和违规定义表，针对现网的所有防火墙，可以探查是否出现配置高危风险端口或者违规的规则。

【上图为demo数据演示】

【上图为demo数据演示】

如图，NFM 可自动发现现网的高危端口。

以“零信任”架构的防火墙策略管理为准则，现在我们可以通过使用智维数据的防火墙策略可视化平台，对海量防火墙策略进行策略优化，消除隐患策略，加固防火墙策略漏洞，并自动发现高危端口，降低防火墙策略安全管控风险。