防火墙运维的新思考|流量+访问控制策略
1- 防火墙运维的困扰
防火墙,作为数据中心建设体系中最重要的环节,承担着访问控制的责任,需要时刻保护数据中心内不受非法访问的影响。但在实际运维中,防火墙又是问题最频发的环节,众多的访问失败问题和安全问题,均是由于防火墙访问策略配置错误或不严谨导致。运维人员在面临这些问题时,往往依赖传统抓取防火墙策略配置及日志的方式进行访问控制策略的优化。但是,防火墙本身就容易成为数据中心架构中的性能瓶颈点,获取日志的方式必然加大防火墙的负荷,这就导致在“先进、实用、稳定、可靠”的数据中心运维管理原则下,管理员往往选择不开启防火墙日志,通过获取策略配置对防火墙进行日常管理。此情况下,管理员只能判断策略开通了哪些,却无法获知访问策略是否有效,以及是否还有访问安全问题等。
2- 流量结合访问控制策略的解决方案
基于此,智维数据推出了流量结合访问控制策略的解决方案,通过采集流量,来对防火墙策略的有效性进行对比分析。相较于传统监控方案,流量结合访问控制策略的方案优势是极其明显的,主要体现在以下几个方面:
旁路部署,对网络零影响;
不依赖防火墙日志,防火墙性能零影响;
全流量全通讯对,效果真实而准确
2021年,智维数据隆重发布了防火墙策略可视化平台产品,从真实流量出发,在不影响防火墙性能的情况下,帮助用户筛查出大量的防火墙访问策略中的无效策略、可收敛策略、业务已下线策略以及误定义策略,实际效果得到了众多用户的认可。
3- 使用场景分析
防火墙策略可视化平台产品在用户的实际使用中,不仅帮助用户实现了访问策略的精细化,还在众多的运维场景中发挥了价值。以下我们通过几个场景,来详解防火墙策略可视化平台在日常运维中的应用:
高危端口访问溯源
数据中心内提供各种应用业务,而这些应用开放了众多的服务端口,一些端口常常会被黑客和木马病毒利用,对数据中心系统进行攻击。比如我们最常用的TCP8080端口,通常会被一些提供网页服务的应用使用,但这个端口同样可以被各种病毒程序所利用,比如:Brown Orifice(BrO)特洛伊木马病毒可以利用8080端口完全遥控被感染的计算机;另外,RemoConChubo、RingZero木马也可以利用该端口进行攻击。
对于运维人员来说,既要保证8080端口可访问,又要及时发现基于此端口的攻击流量并快速应对,如何解决?
针对高危端口,我们可在防火墙策略可视化平台中进行预定义,来筛查访问策略中是否存在包含高危端口的访问策略。
【上图为demo数据演示】
然后结合流量,筛查包含高危端口的访问策略是否有命中,命中的访问量是多少,请求数量是多少。并可进一步追溯访问高危端口的请求都是由哪些源IP发起的,结合CMDB系统,判断这些源IP是否是可信的IP,对非法源IP进行快速处理。
异常跨区访问溯源
往往数据中心内部业务区之间的互访有防火墙隔离,如果有数据流被这些防火墙阻断,那么这些数据流很可能是非法尝试。这种异常的跨区访问,会在通过防火墙时,被防火墙Deny。防火墙策略可视化平台能够对这种异常跨区访问且被防火墙 Deny 的通讯对进行统计分析,展示非法尝试的通讯对分布情况及变化情况,帮助用户进行快速梳理异常跨区访问,并可将数据提供给相关部门处理。
【上图为demo数据演示】
业务变更迁移保障
数据中心中90%以上的业务变更和业务迁移都和防火墙有关,访问策略的正确与否,直接影响变更的成功与否。以往我们在变更前,都需要将前防火墙的配置手动记录,并配置到新的防火墙。但是,始终缺乏一种有效的手段对这些策略的正确与否进行精确验证。笔者在过往的割接经验中,曾不止一次的发生过业务割接上线后,由于访问策略方向错误、网段定义错误导致的业务不通,甚至割接回退的情况。
防火墙策略可视化平台,提供了便捷、高效的可视化能力,辅助数据中心的业务变更和业务迁移:
割接前对策略进行对比,能够输出访问策略的差异,确保策略的准确性。防火墙策略可视化平台支持不同品牌防火墙的策略对比;
【上图为demo数据演示】
对流量命中访问策略进行对比,能够查看割接前后防火墙策略的流量命中情况,判断流量及通讯对的命中情况是否正常,从而进行变更后的业务验证。
【上图为demo数据演示】
通过以上步骤,从业务变更迁移前的准备阶段,到业务变更迁移后的业务验证阶段,防火墙策略可视化平台能够为运维人员保障业务准确性提供有力支撑,保证整体变更或迁移高效的完成。
4- 平台联动与智能分析
防火墙访问策略与我们数据中心的运维息息相关,重要性已不必再次阐述。现在,我们通过防火墙策略可视化平台,已经实现了访问策略的准确性及合理性,面向防火墙运维人员、安全运维人员,输出了访问策略精细化收敛、异常访问识别和溯源、业务变更迁移保障等应用场景。
未来,我们将基于智能分析与故障定位,结合防火墙策略配置与真实流量,尝试更多场景的分析,比如:业务故障是否由防火墙策略错误导致?如果是,那么是哪台防火墙、哪条策略的错误?防火墙策略可视化平台结合智维数据的其他产品系列产品,还可以帮助企业进一步提升在复杂运维场景下的智能分析能力。