多层防火墙策略部署方法研究.pdf

1、3期http:/海洋信息技术与应用JOURNAL OF MARINE INFORMATION TECHNOLOGY AND APPLICATION多层防火墙策略部署方法研究张学灵，王晓瑞，谢硕，吴永芳（国家海洋信息中心，天津300171）摘要：随着信息化程度不断增强，网络结构日益复杂，大多企事业单位需部署多层防火墙对网络进行安全防护，而防火墙策略是防火墙发挥防护作用的基础，因此本文对多层防火墙策略和部署难点进行梳理分析，提出部署方法，并在某单位的实际工作中进行应用和实践。结果证明该方法可优化防火墙策略的部署过程，能按照最小化原则制定策略并最大程度保证业务连续性，提高工作效率，为相关网络运维人员

2、提供借鉴。关键词：网络安全；防火墙；策略中图分类号：TN915.08文献识别码：A文章编号：2097-0307(2023)03-0151-07Doi:10.3969/j.issn.2097-0307.2023.03.005Research on policy deployment method of multi-layer firewallZHANG Xueling,WANG Xiaorui,XIE Shuo,WU Yongfang（National Marine Data and Information Service,Tianjin 300171,China）Abstract:With t

3、he continuous enhancement of informatization and the increasingly complex network structure,manyinstitutional organizations and enterprises need to deploy multi-layer firewalls for network security protection,wherefirewall strategy is the basis to play a protective role.Therefore,this paper analyzes

4、 the difficulties in the strategy cardingand deployment of the multi-layer firewall,proposing the strategy process and deployment method,which has beenapplied and practiced in the actual work of an information center.The results show that this method can optimize thedeployment process of firewall po

5、licies,formulate policies according to the principle of minimization,ensure businesscontinuity to the greatest extent,and improve work efficiency.It is expected to provide a reference for relevant networkoperation and maintenance personnel.Keywords:network security;firewall;strategy第38卷第3期2023年8月收稿日

6、期：2022-11-14；修订日期：2023-01-13作者简介：张学灵，学士，工程师，主要从事网络安全研究，电子邮箱：通信作者：吴永芳，硕士，工程师，电子邮箱：随着海洋信息化的发展，海洋核心业务信息化水平显著提升，海域使用、海岛开发与保护、海洋环境保护等海洋核心业务对信息化的依赖程度日益提高，现海洋核心业务依托外网、专网、涉密网等在内的多条海洋业务专线网络、云平台等海洋信息基础设施和海洋业务系统，已实现国家与地方、地方与地方之间海洋信息的传输、交换、共享和服务。保障海洋信息基础设施和海洋业务系统安全稳定运行，防止海洋数据被窃取和破坏，构建海洋网络安全体系的重要性日益凸显，而防火墙作为网络安全

7、的第一道屏障，可根据策略对进出流量进行管控，是保障网络安全的重要手段。但要使防火墙发挥最大安全防护效果，必须将防火墙部署在合理的位置并制定严格的安全策略，防火墙及策略的部署与网络结构和业务访问情况密切相关，需针对实际情况实施。本文以某信息中心为例，该中心部署了三层防火墙并运行了大量海洋业务系统，具有很强的代表性。本文主要介绍该中心的防火墙应用现状，针对其防火墙策略梳理和部署工作中的难点，总结运维经Vol.38,No.3Aug.202338卷海洋信息技术与应用http:/验，对策略梳理和部署方法进行研究，以期能按照最小化原则，快速、准确地完成策略部署，达到提升网络安全防护能力的目的。1防火墙应用

8、现状该单位通过两条运营商专线接入海洋业务专网，由防火墙作为边界防护设备1-2。随着信息化程度不断加强，虚拟化技术得到应用，网络结构和区域划分日益复杂，单一防火墙已无法满足网络安全性的需要，难以实现区域间的隔离。因此结合实际情况，部署了多层防火墙以实现对安全域的划分和不同区域间的访问控制3，为网络及业务系统提供有效保护，其部署示意图如图1所示。各层防火墙的部署位置均须适应网络结构，一切流量均需经过防火墙才能起到管控作用，该单位三层交换机位于接入区，私有云区交换机为二层交换机，私有云区内同一VLAN的主机之间通过二层交换机即可通信。根据网络实际情况，按照所有流量经过防火墙的原则，该单位共部署三层防

9、火墙，第一、二层防火墙负责控制南北向流量，第三层防火墙负责控制东西向流量。各自功能设计如下：第一层防火墙，作为边界防火墙，接入海洋业务专网，是该单位与外部网络的第一道屏障，负责配置针对外部用户的安全策略。该防火墙只允许 web、地图等端口对外部用户开放并提供服务，可限制通过外部网络对内部业务系统发起的非授权访问，也可限制内部网络对外发起的不必要访问。另可利用地址转换技术，实现与有海洋数据共享需求的合作单位之间的网络互通。第二层防火墙，位于内部办公区、私有云区和物理服务器区之间，起到三个区域之间的隔离作用，负责配置针对内部用户的安全策略。内部用户指位于内部办公区的所有终端用户，包括业务系统访问人

10、员、开发人员、运维人员等。该防火墙只允许特定端口对内部特定用户开放并提供服务，保护私有云区和物理服务器区内的业务系统不被内部用户非授权访问。第三层防火墙，位于私有云区内部，起到私有云区内同一VLAN内的业务系统间的隔离作用，负责配置针对业务系统间的安全策略。该防火墙允许同一业务系统内主机间通信，或有调用需求的不同业务系统间的通信，防止内部业务系统间图1某信息中心防火墙部署结构示意图1523期http:/的非授权访问。三层防火墙的设置，在保障所有流量均得到管控的前提下，将对网络性能影响程度降到最低，用户来源的明确划分有利于策略制定和维护。为实现各层防火墙的安全防护功能，还需对各防火墙策略进行准确

11、梳理和正确部署。防火墙的优势在于其基于安全策略的流量过滤能力，准确的安全策略可将防火墙效用发挥到最大，但不良或不完整的安全策略会带来很大的安全隐患。2防火墙策略梳理和部署难点防火墙策略的梳理需建立在内部资产梳理的基础上，应针对资产的访问需求对策略进行梳理和部署。根据实际情况，防火墙策略梳理和部署有以下四个难点4。（1）业务访问需求梳理难度大。该单位承载的业务系统多，业务范围广，对不熟悉业务的防火墙管理人员来说，业务访问需求的梳理是一大挑战。另外，无人运维、职责交叉、非持续性访问的业务系统的存在，也为业务访问需求的梳理增加了难度。（2）策略所需要素多。制定一条防火墙策略，需要明确源地址、目的地址

12、、源端口、目的端口、策略状态、策略动作、策略生效时间段等要素。某信息中心内部提供服务的IP地址就有近千个，外部涉及更多，且多数业务系统使用自定义端口，对策略所需要素需仔细梳理，避免遗漏。（3）策略管理烦琐。多层防火墙的策略需根据防火墙的不同功能，按照一定规则制定，容易出现策略冲突、冗余，需要防火墙管理人员具备一定的经验和逻辑性。（4）业务连续性要求高。该单位运行了多个国家级重要业务系统，对数据实时性要求高，需保障其业务不中断，对防火墙策略梳理和部署提出了较高要求。3防火墙策略梳理和部署方法针对以上难点，本文提出了策略梳理和部署流程，主要按照准备阶段、策略梳理、策略部署、上线运行等步骤进行（图2

13、），在相应的步骤提出具体实施方法，以降低策略梳理和部署难度，最大化保证业务连续性，提高运维效率5-7。3.1准备阶段在准备阶段，需对网络IP分配表、机房设备清单、服务器配置清单等各类资产信息进行收集和整理，利用扫描工具下发主机存活扫描任务，在防火墙配置日志采集策略，为下一步策略梳理做好充分的信息和材料准备。3.2策略梳理防火墙策略的梳理是防火墙策略制定和部署的前提，只有对资产和业务访问需求做了充分调研，才能制定出准确的策略。该项工作须深入业务部门，开展走访调研，反复确认。策略梳理可分为资产梳理、资产分组、访问需求梳理三个阶段。在资产梳理阶段，先明确内部IP地址段，利用扫描工具扫描服务器 IP

14、网段，确定网内存活IP，将存活的服务器IP对应到事先整理的资产清图2策略梳理和部署流程张学灵 等：多层防火墙策略部署方法研究15338卷海洋信息技术与应用http:/单中，对不明作用的IP进行标记，形成全面的资产台账，台账须明确归属部门、归属系统及用途，对存活IP进行扫描可避免IP遗漏导致策略不完整的情况。资产梳理完成后，对资产进行分组。可按照业务类型进行分组，如业务系统A、业务系统B、安全系统、备份系统、网管系统等，也可按照设备类型分组，特别是业务和端口都一致的设备，如交换机类、宿主机类等。资产分组完成后，进入访问需求梳理阶段。访问需求梳理是在资产台账的基础上，明确业务系统的访问源地址、目的

15、地址、端口号、出入站方向等。在向业务部门调研的基础上，通过采集和分析防火墙日志（至少半个月，时间越长准确性越高），以脚本方式对访问关系所需要素进行整理。因防火墙可完整记录网络互联的各种请求和通信信息，通过读取日志，可快速自动梳理互访关系所需要素，结合调研情况可形成准确的访问关系列表。访问需求梳理完成以后与各业务部门再次确认。3.3策略部署该单位多数业务系统均对外提供服务，个别业务系统需要访问外部网络获取数据和服务。基于以上实际情况，采用基于目的地址、目的端口的访问控制技术以及白名单的防火墙策略部署方式可简化防火墙策略条目并方便后期运维。第一、二层防火墙面向用户，安全要求较高，需按照最小化原则，

16、将每条策略定义为单向访问，明确源地址、目的地址、端口号等。第三层防火墙面向内部系统，每条规则定义为双向访问，暂不定义端口号。在以上策略制定原则的基础上，对防火墙策略进行部署。有外部用户访问需求的，需在第一层防火墙部署策略，允许授权用户流量通过；有内部用户访问需求的，需在第二层防火墙部署策略，允许授权用户流量通过；业务系统内部和之间互访需在第三层防火墙部署；另有内部系统访问外部系统需求的，统一在第二层防火墙部署策略。因第一、二层防火墙存在流量交互，已在第一层防火墙部署策略进行流量过滤后，需在第二层防火墙部署放行策略，反之亦然，放行策略部署如图3所示。在策略部署阶段，首先将网络监测、云平台服务、备

17、份等基础系统的策略部署在优先匹配的位置，对大量策略命中进行过滤；其次对明显的病毒流量等一些异常访问制定临时拒绝策略，对命中进行过滤；最后在策略部署完成后部署测试策略，如外部用户到内部系统、内部用户到内部系统、同一部门业务系统间、不同部门业务系统间、any到any放行策略，将测试策略放在最后匹配的位置，只开通测试策略的日志记录。为方便理解，现举例对各层防火墙策略部署情 况 进 行 说 明。假 设 一 内 部 目 标 服 务 器（10.10.10.1），所在业务系统还有数据库服务器（10.10.10.2）和地图服务器（10.10.10.3），目标服务 器（10.10.10.1）的 web 应 用

18、可 被 外 部 用 户图3放行策略Access list 内部用户IP段取反 to any:any保证第一层防火墙流量经过内部用户外部用户外部系统内部系统Access list 内部服务器IP段 to any:any保证第二层防火墙流量通过1543期http:/3.4策略测试和运行防火墙策略部署完成以后开展试运行工作，此时关注测试策略的命中情况，如出现命中，则说明前面策略未匹配有遗漏，查看并分析防火墙日志，进一步完善策略，这样可在完全不影响业务的同时对策略进行修正。通过试运行，在测试策略无大量命中的情况下，防火墙可正式上线，将测试策略的动作由允许变更成拒绝，持续关注其命中情况，以防非持续性访问

19、的业务被阻断。运行稳定以后，对未知地址组进行持续关注，逐步优化。4方法应用和效果验证4.1方法应用根据以上方法，该单位针对防火墙开展了策略梳理和部署工作，首先对访问关系进行了梳理，利用漏扫工具对内部所有网段进行扫描，确定存活 IP 1 051 个，将资产进行分类，共分为 59 类，部分整理情况见表 1。在资产明确的情况下，结合防火墙日志，合并整理出访问关系324条，形成文本清单，样例如表2所示。防火墙可通过web界面和后台命令的方式进行维护，通过后台命令进行策略大批量部署较为快捷。按照访问需求制定策略，并将策略编辑成文本，通过后台命令进行部署操作，共部署策略439条，具体见表3。（any）通过

20、 80 端口访问，内部用户（10.10.9.0/24）需访问目标服务器（10.10.10.1）的 80（web应用）和 8080（后台管理），该目标服务器（10.10.10.1）还需读取同一业务系统的数据库（10.10.10.2）和地图服务（10.10.10.3）的数据，同 时 还 需 访 问 外 部 网 络 的 地 图 服 务 器（11.11.11.1）的地图服务（6080）读取数据，各层防火墙策略制定如图4所示。序号12345资产分类网络设备安全系统存储云基础设施业务系统AIP数7226518247系统名称业务系统A业务系统C子系统数据库WEB应用Web应用及数据库IP地址X.X.X.X等

21、5个IPX.X.X.X等4个IPX.X.X.X入方向源地址内部用户外部用户外部用户内部用户端口152180808080.3306出方向目的地址N/AN/AX.X.X.X等端口N/AN/A3 336横向访问业务系统BN/A部门部门A部门B图4策略制定示意图表2访问关系列表（样例）表1资产分类列表（部分）张学灵 等：多层防火墙策略部署方法研究15538卷海洋信息技术与应用http:/4.2效果验证本文采用Nmap网络扫描工具对目标主机进行端口扫描，对防火墙防护效果进行验证。选取杀毒服务器71.3.110.218作为目标主机，该台服务器只允许内部用户访问部分端口，在防火墙部署的策略如图5所示，为简化

22、策略条目，3389端口在其他通用策略已开放。在71.3.110.218本机使用命令netstat-ano查看本机开放端口，开放端口如图6所示。在 内 部 客 户 端 上 使 用 Nmap 扫 描 工 具 对71.3.110.218进行端口扫描，扫描到可利用端口如图7所示。测试证明，通过Nmap扫描到的端口和防火墙策略允许的端口一致，说明防火墙策略生效，对外屏蔽了不被允许的端口，发挥了网络安全屏障作用。防火墙层级第一层第二层第三层数量6229877表3各层防火墙策略数量图5防火墙策略详情图6目标主机端口开放情况图7Nmap扫描情况1563期http:/5总结防火墙策略是防火墙工作的基础，本文结合

23、某单位防火墙部署现状，分析多层防火墙策略梳理及部署难点，提出策略梳理流程和部署方法，并在该单位得到应用和实践。结果证明本文所述方法可优化防火墙策略的部署过程，能按照最小化原则，快速准确地完成策略梳理和部署，简化策略条目，最大化保障业务连续性。最后通过测试验证了防火墙策略的有效性，只有策略允许的流量可以通过防火墙，其余流量均被防火墙阻断。但是本文提出的防火墙策略梳理和部署方法需要运维人员介入，多个流程环节均需要人为分析和部署。在今后工作中，需将人工智能技术引入该项工作，尽快实现策略的自动化部署。参考文献1王颀,吴文婷,张彬,等.海洋信息通信网不同VPN实例之间互通问题的研究J.海洋信息,2020

24、,35(3):24-30.2周雪,郭艺峰,韩泽欣,等.国家海洋信息通信网建设与规划研究J.科技导报,2018,36(14):63-74.3陈宁.基于多层防火墙技术的跨域访问控制研究与应用D.重庆:重庆大学,2008.4郝丽,边鹏飞,冯录刚,等.地震行业网防火墙访问控制策略部署研究J.高原地震,2020,32(2):55-58.5韩国龙,王伟,盛红雷.防火墙策略梳理与优化方法研究J.电力信息与通信技术,2018,16(6):31-35.6颜昭治.通信网络防火墙策略优化实践J.电脑知识与技术,2021,17(7):46-47+53.7曹磊,李占斌,李晋,等.海洋信息安全主动防御模型的设计构建J.海洋信息,2019,34(4):23-26+45.（本文编辑：崔尚公）张学灵 等：多层防火墙策略部署方法研究157