地震行業(yè)網(wǎng)防火墻訪問(wèn)控制策略部署研究

郝麗，邊鵬飛，馮錄剛，王紅蕾，蔣弘毅

(河北省地震局，河北 石家莊 050021)

0 引 言

地震系統(tǒng)行業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)為雙星形樹狀形(圖1)，系統(tǒng)內(nèi)各單位分別通過(guò)電信及聯(lián)通運(yùn)營(yíng)商的專線鏈路連接到國(guó)家局臺(tái)網(wǎng)中心及廣東局速報(bào)備份中心。除速報(bào)備份業(yè)務(wù)外，單位之間的互訪均需經(jīng)國(guó)家臺(tái)網(wǎng)中心轉(zhuǎn)發(fā)。在中國(guó)地震信息網(wǎng)絡(luò)安全防護(hù)項(xiàng)目實(shí)施之前，行業(yè)內(nèi)各單位之間的網(wǎng)絡(luò)為全通全開放狀態(tài)，存在極大的網(wǎng)絡(luò)安全隱患。中國(guó)地震信息網(wǎng)絡(luò)安全防護(hù)項(xiàng)目(一期)為每個(gè)單位增配了兩臺(tái)行業(yè)網(wǎng)防火墻，按照設(shè)計(jì)方案要求，兩臺(tái)防火墻應(yīng)分別部署于各個(gè)單位行業(yè)網(wǎng)出口設(shè)備與國(guó)家局臺(tái)網(wǎng)中心、廣東局速報(bào)業(yè)務(wù)備份中心兩條運(yùn)營(yíng)商接入鏈路之間，為行業(yè)網(wǎng)內(nèi)單位與國(guó)家中心、各單位之間互訪提供安全防護(hù)。

目前，河北省地震局開放有4個(gè)網(wǎng)絡(luò)出口，分別為互聯(lián)網(wǎng)出口、政務(wù)外網(wǎng)出口、行業(yè)網(wǎng)(北京)出口和行業(yè)網(wǎng)(廣東)出口。兩個(gè)行業(yè)網(wǎng)出口分別通過(guò)專線連接到國(guó)家局臺(tái)網(wǎng)中心及廣東局速報(bào)備份中心。互聯(lián)網(wǎng)邊界防火墻主要隔離局辦公網(wǎng)絡(luò)和互聯(lián)網(wǎng)，保護(hù)單位內(nèi)部網(wǎng)絡(luò)的安全。邊界防火墻按安全域分割為外部網(wǎng)、DMZ區(qū)和內(nèi)網(wǎng)等，其策略設(shè)置相對(duì)簡(jiǎn)單成熟[1-3]。政務(wù)外網(wǎng)防火墻按工作要求嚴(yán)格劃分了接入?yún)^(qū)域，主要包括網(wǎng)絡(luò)接入?yún)^(qū)、應(yīng)用服務(wù)器和公共服務(wù)器區(qū)等，并通過(guò)政務(wù)外網(wǎng)防火墻采取對(duì)IP、端口等嚴(yán)格的訪問(wèn)控制措施，實(shí)現(xiàn)電子政務(wù)外網(wǎng)與地震行業(yè)網(wǎng)的互聯(lián)互通，增強(qiáng)政務(wù)信息的保密性。行業(yè)網(wǎng)防火墻仍為透明模式，未添加任何防護(hù)策略，系統(tǒng)內(nèi)部可任意互訪互問(wèn)，對(duì)行業(yè)系統(tǒng)網(wǎng)絡(luò)安全不利，因此行業(yè)網(wǎng)防火墻策略部署工作顯得尤為重要[4-5]。

圖1 行業(yè)網(wǎng)絡(luò)拓?fù)鋱D

1 行業(yè)網(wǎng)防火墻策略部署的難點(diǎn)

河北省地震局總體按照業(yè)務(wù)訪問(wèn)需求進(jìn)行策略整理，通過(guò)地震系統(tǒng)業(yè)務(wù)互訪(IP地址互通)定義策略。按照部署思路，要對(duì)單位內(nèi)全部IP地址按照業(yè)務(wù)分類進(jìn)行梳理和歸類，添加描述信息，以便于下一步按照業(yè)務(wù)進(jìn)行策略的收集。部署防火墻策略面臨以下三個(gè)難題。

(1)梳理業(yè)務(wù)難度大。河北局地震業(yè)務(wù)涉及強(qiáng)震、測(cè)震及預(yù)測(cè)等多類，各業(yè)務(wù)的訪問(wèn)策略需求各有不同，而防火墻策略梳理過(guò)程由網(wǎng)管人員自主進(jìn)行，缺乏與多類業(yè)務(wù)聯(lián)系的實(shí)際性，難以保證實(shí)際業(yè)務(wù)的需求，在業(yè)務(wù)梳理過(guò)程中存在一定的困難，直接增加了部署策略的梳理難度。

(2)本端、對(duì)端IP地址多。策略信息涉及的關(guān)鍵字段有源地址、目的地址等，由于河北局臺(tái)站數(shù)量大、觀測(cè)手段多，還包括市縣與中心臺(tái)業(yè)務(wù)，IP地址涉及較多，需要時(shí)間仔細(xì)梳理，避免重復(fù)或遺漏。這在防火墻上線運(yùn)行后，仍需要較長(zhǎng)時(shí)間的IP信息調(diào)整與增刪。

(3)策略管理繁瑣。隨著業(yè)務(wù)的拓展，有些業(yè)務(wù)并不是持續(xù)性訪問(wèn)，需要增加臨時(shí)策略，也給防火墻日常運(yùn)維帶來(lái)一定的困難。這些操作會(huì)導(dǎo)致策略臃腫，使得防火墻運(yùn)行效率降低，給業(yè)務(wù)安全與防火墻性能帶來(lái)隱患。

2 防火墻策略梳理與部署方法

針對(duì)策略部署面臨的問(wèn)題，部署工作按照業(yè)務(wù)訪問(wèn)關(guān)系梳理、策略與地址對(duì)象定義、策略配置及業(yè)務(wù)測(cè)試幾個(gè)步驟進(jìn)行，梳理流程見(jiàn)圖2。

圖2 防火墻策略部署流程

2.1 業(yè)務(wù)訪問(wèn)關(guān)系梳理

業(yè)務(wù)訪問(wèn)關(guān)系梳理是準(zhǔn)備階段的關(guān)鍵，網(wǎng)管人員可通過(guò)日常了解的業(yè)務(wù)訪問(wèn)需求整理，同時(shí)各業(yè)務(wù)部門應(yīng)根據(jù)所承擔(dān)的業(yè)務(wù)工作相關(guān)訪問(wèn)需求整理，此外也可通過(guò)現(xiàn)有路由器與交換機(jī)上ACL(Access Control List)配置讀取。網(wǎng)管將訪問(wèn)關(guān)系統(tǒng)一匯總并反饋相關(guān)業(yè)務(wù)部門核對(duì)，待確認(rèn)無(wú)誤后定義地址對(duì)象。目前省局業(yè)務(wù)包括測(cè)震、前兆、強(qiáng)震和GNSS等八類業(yè)務(wù)，涉及市縣、綜合臺(tái)站等節(jié)點(diǎn)共七個(gè)，業(yè)務(wù)梳理如圖3所示。

在梳理過(guò)程中，各業(yè)務(wù)再按照實(shí)際需求進(jìn)行合理的子類劃分，確保整理后的業(yè)務(wù)訪問(wèn)關(guān)系條目完備且邏輯清晰。例如將測(cè)震業(yè)務(wù)劃分為2個(gè)子類—省局匯聚至國(guó)家臺(tái)網(wǎng)中心數(shù)據(jù)業(yè)務(wù)和省局及國(guó)家臺(tái)(紅山臺(tái))匯聚至國(guó)家臺(tái)網(wǎng)中心衛(wèi)星段。同時(shí)需要合并有相同目標(biāo)IP地址的業(yè)務(wù)，防止發(fā)生重復(fù)策略。由于一次將所有地址精確到IP地址有困難，因此部署過(guò)程對(duì)不明確地址的可以先從網(wǎng)段部署，隨后參考科來(lái)全流量日志等逐步縮小范圍。

圖3 河北局業(yè)務(wù)

2.2 策略定義

2.2.1 策略定義總體思路

防火墻策略規(guī)則配置總體思路有兩種，第一種是策略沒(méi)有明確允許，一律禁止；第二種是沒(méi)有明確禁止，一律允許。河北局選擇第一種方案，采用防火墻白名單方式，策略允許同類業(yè)務(wù)互訪，沒(méi)有允許的策略全部阻斷其IP地址。

為了最大限度的保障業(yè)務(wù)正常訪問(wèn)，河北局按照每條策略規(guī)則定義雙向訪問(wèn)，訪問(wèn)策略中暫不定義端口號(hào)。同業(yè)務(wù)類別與相同部門的IP地址定義為同一地址對(duì)象，具有共同訪問(wèn)目標(biāo)的多個(gè)地址對(duì)象按照地址類別(業(yè)務(wù)類地址、互聯(lián)地址及管理地址等)合并為地址組，每條策略中最終為地址組到地址組的訪問(wèn)，且源地址與目的地址組個(gè)數(shù)盡量少，最好為一對(duì)一。

2.2.2 策略定義原則

通過(guò)梳理業(yè)務(wù)訪問(wèn)需求，可將策略的源對(duì)象分為兩類—省局局域網(wǎng)與臺(tái)站市縣等，目的對(duì)象分為三類—國(guó)家臺(tái)網(wǎng)中心、廣東速報(bào)備份中心與其他省局或單位。策略以業(yè)務(wù)名稱+目標(biāo)單位系統(tǒng)代碼+單位縮寫原則命名，策略中的源地址組與目的地址組均以業(yè)務(wù)分類+單位縮寫規(guī)則命名，地址對(duì)象以單位代碼+具體業(yè)務(wù)名稱規(guī)則命名。以河北局“測(cè)震”中“省局匯聚到國(guó)家臺(tái)網(wǎng)中心和北京局的業(yè)務(wù)”為例，河北局系統(tǒng)代碼為13，國(guó)家局系統(tǒng)代碼為05，北京局系統(tǒng)代碼為11，按照原則將策略命名為“cezhen-13-hbdzj”，源地址組命名為“cezhen-hbdzj”，目的地址組命名為“cezhen-guojia”，地址對(duì)象定義、業(yè)務(wù)描述、地址分類及所屬單位等策略屬性見(jiàn)表1與表2。

表1 源地址對(duì)象定義

表2 目的地址對(duì)象定義

3 防火墻上線測(cè)試

按照定義的安全策略上線實(shí)施，密切監(jiān)控相關(guān)業(yè)務(wù)應(yīng)用運(yùn)行情況。測(cè)試工作采用在線網(wǎng)絡(luò)測(cè)試方式，優(yōu)先對(duì)連續(xù)性要求高的核心業(yè)務(wù)進(jìn)行測(cè)試，如測(cè)震—GNSS—前兆—強(qiáng)震等，策略上線后，先檢查核心服務(wù)是否正常，發(fā)現(xiàn)問(wèn)題馬上與相關(guān)業(yè)務(wù)人員聯(lián)系，及時(shí)回退策略，修改信息，最大限度保障核心業(yè)務(wù)的連續(xù)性。在整個(gè)測(cè)試過(guò)程中，要一直保留any到any策略，測(cè)試出現(xiàn)問(wèn)題，及時(shí)啟用此策略，避免造成業(yè)務(wù)長(zhǎng)時(shí)間的中斷。策略上線后期可以持續(xù)更新與優(yōu)化策略，包括策略子網(wǎng)IP地址的縮小、更改或刪除等，最大限度的保護(hù)省局中心核心服務(wù)與數(shù)據(jù)的安全性。

4 結(jié) 語(yǔ)

防火墻策略部署是網(wǎng)絡(luò)安全的保障工作，通過(guò)結(jié)合河北局的業(yè)務(wù)現(xiàn)狀，分析了策略部署工作面臨的問(wèn)題，提出了部署流程，規(guī)范了防火墻策略部署的步驟，保障了行業(yè)網(wǎng)防火墻策略成功上線，提高了地震系統(tǒng)信息網(wǎng)絡(luò)的安全，解決了地震行業(yè)信息網(wǎng)絡(luò)安全防護(hù)嚴(yán)重缺失的問(wèn)題。河北局作為第一批試點(diǎn)單位，充分發(fā)揮了示范帶動(dòng)作用，在防火墻部署工作中取得了諸多實(shí)踐經(jīng)驗(yàn)，可供其他單位作為參考，適度借鑒。由于策略部署過(guò)程中沒(méi)有涉及服務(wù)端口，下一步工作可以考慮加入服務(wù)端口限制，增強(qiáng)網(wǎng)絡(luò)安全的管理。