宜信防火牆自動化運維之路

寫在前面

作者淺言

做了多年安全運維的我一直想出點乾貨，經常看眾大神分享經驗，仰望的同時總是想有一天自己也能貢獻點什麼。在宜信的這些年工作了許久，經驗也積攢了一些，不敢說乾貨多硬，只能算是近幾年工作經驗的沉澱，希望能給閱讀者帶來啟示和幫助。更歡迎同行各位大佬給予斧正，共同交流經驗和從業心得體會，在此謝過。

本文簡介

文章分為2個部分——正文篇1.0 & 正文篇2.0，1.0篇編寫於2017年，2.0篇編寫於2018年，是對1.0版本的升級與優化，通過標題標註以示區分。

正文篇1.0

互聯網金融行業快速發展，覆蓋範圍廣， 行業規範監管要求等特點，宜信作為互聯網金融企業，傳統運維模式已問題凸顯。

異構網路架構下多品牌防火牆並存，各大廠商產品從配置管理角度也不盡相同，包含GUI、CLI、WEB等多種方式，了解防火牆安全策略的使用狀況，及時發現安全隱患，詳細記錄防火牆安全策略的變更，幫助管理員配置出正確的安全策略，確保防火牆的配置符合外部以及內部的安全規範等問題，運維工作急迫一套集中管理平台完成這些內容。

更好的安全來源於更好的管理，我們要解決什麼問題？

策略自主查詢

提供用戶自助查詢功能，解決用戶疑惑如A到B的訪問是否默認已經開通？

策略申請：

平台填寫申請安全策略五元組及日期，事由等相關信息，平台利用預製規則對申請進行預判斷，是否為合理需求？是否無需開通? 從需求提出階段減少人工成本和快速預響應。

策略審核變更：

管理員得到相應申請通知郵件後通過平台進行策略評估後，進行同意變更下發策略或打回動作。

審計：

平台記錄所有用戶申請，管理員的操作記錄，方便後期查詢並滿足如等保及其他合規要求。

報表：

可看到各部門當前使用了哪些安全規則。

配置管理：

通過平台對設備配置進行備份，方便進行配置比對和配置恢復工作。

平台開發過程中兩個核心問題需要解決：

1

：

如何判斷一個主機訪問另外主機經過哪些網路設備？

2：如何將各個廠商防火牆策略導出並離線合併生成統一資料庫作為平台基礎。

綜合考慮對比各種方案，如攜程網運維平台路由計算方法，Firemon的配置抓取生成拓撲等，我們最終採用使用Python的三方庫Networkx做拓撲計算和生成，將各區域網段定義為點對象，按照生產拓撲連接情況進行邊連接，最終利用最短路徑和權重特性完成主機通訊路徑判斷，並定位到經過哪些防火牆。

Nexworkx使用舉例~

對於如Paloalto這種提供Rest XML API的防火牆直接利用其介面進行配置提取，Checkpoint因為宜信暫未用到其最新有API的R80版本，只能通過廠商工具

WebVisualization Tool

命令行將策略導出為XML格式做處理，平台底層使用自動化腳本定時登陸Smartcenter系統進行策略抓取，對於其他如使用命令行方式為主配置的防火牆，如山石/思科等通過命令完成策略相關導出和配置，最終完成策略庫生成（在此呼籲各大廠商開放自動化API，大勢所趨呀！！！）

Paloalto API舉例

Checkpoint自動登陸並導出

統一策略庫平台申請審批流程

審計&報告

平台其他功能：

安全策略使用狀況分析：

如策略命中數，策略可合併梳理，實現策略優化及設備性能提升。

防火牆配置安全規範審計

完善宜信自身的安全規範，並根據此規範審計系統內所有防火牆設備上的安全策略配置，是否存在允許該危險埠的安全策略，並做出相應的修改。

平台當前開發完善功能：

自動化防護建立

完善利用防火牆與其他安全設備或威脅情報系統集成通過攻擊態勢感知，自動創建針對攻擊流量的安全策略防護。

正文篇2.0

功能更新

0x01日誌聯動

通過利用安全日誌平台集成其他安全設備，如WAF/IDS/主機等類型日誌，對攻擊者Ip通過規則進行分析和後續操作。

0x02自動化攔截

默認的防火牆策略依賴靜態策略，例如基本都會放行互聯網到一個Web系統的80、443埠，但是通過自動化攔截功能實現在防火牆上對風險級別較高來源ip的動態阻攔，即使訪問的是正常的埠或者應用。

0x03攻擊可視化

通過日誌平台對常規的入侵行為和攔截情況進行分類實時展示，並可生成報告，對重點關注對象做告警操作。

0x04回溯分析

對攻擊類型或業務的關注級別較高的對象進行自動抓包，解決常規IPS/IDS海量日誌分析困難的難題。

0x05威脅情報對接

結合外部第三方威脅情報庫自動化防禦。

自動化攔截

日誌平台通過如WAF日誌進行分析，通過制定規則，比如某些IP採用多種攻擊手法XSS+SQL組合對業務進行了攻擊，會統計產出惡意IP更新至IP_list（攻擊者ip清單），並執行?動攔截腳本通知防?牆運維平台，防火牆運維平台使用防火牆RESTful API接?去更新動態攔截策略的地址庫對象，對惡意IP進?攔截。到達指定攔截時長後，同樣方式進行釋放操作。

（防火牆動態阻止列表功能）

通過日誌平台對攔截情況進行實時監控。

項目收益：

設備性能提升，將風險較高

IP

直接在外層防火牆上拒絕，減少內部

Waf/

負載均衡

/

伺服器資源佔用，物盡所用。

IP

信譽庫積累。

內部安全日誌和外部威脅情報的充分利用

單個區域發現的攻擊

IP

可直接在多個數據中心出口同時攔截，提升整體安全性。

IDS自動抓包告警功能

目前大多數的IPS/IDS還是基於各自特徵庫對數據包進行入侵防禦識別，如果判斷為攻擊通常會直接攔截或低級事件採取記錄日誌動作，對於甲方安全人員能看到的只是某個地址到我們的應用有命中IPS規則，給個CVE編號和攻擊基本解釋就結束了，想要復現基本很難。通常我們的需求需要知道到底數據包是什麼內容，包含什麼欄位，為什麼會命中IPS規則，這樣也好給到開發人員進行代碼修改，所以我們對內網IDS工作流程進行了優化，實現對關注的攻擊進行數據包保存溯源，針對特定攻擊和事件也進行高級告警。

流程

1：IDS接收內網所有需要關注的流量。

2：管理員對IDS規則進行調優，將需要關注的事件log發送到日誌平台，並指定自動抓包動作(IDS上針對某些攻擊的動作指定為自動抓包)，如針對各種應用層攻擊，內網掃描事件等。

3：日誌平台根據搜索語句定時進行搜索，如果搜索到攻擊事件日誌，將日誌的時間戳和自動抓包生成的Pcap ID發送到防火牆運維平台介面。

4-5：防火牆運維平台通過防火牆API介面，利用時間戳和Pcap ID欄位登陸設備進行數據包下載到本地， 並執行提取X-forward For欄位和三層IP地址。

6：防火牆運維平台將提取出的X-forward For和IP地址信息欄位和pcap文件下載url發送給日誌平台，

7：日誌平台進行白名單篩選，排除白名單後，日誌平台進行郵件告警

告警內容：攻擊源地址 目的地址 攻擊類型 原始數據包下載鏈接 ，如圖

項目收益

內網安全關注的攻擊類型和業務攻擊事件發現時間大大縮短，從海量日誌中準確提取了我們需要關注的信息，減少人工參與工作量。

原始包的留存對我們的安全研究和系統代碼修改都提供了很好的材料。

寫在最後

第一次發布文章，心情還是有點小激動，如有錯誤，歡迎斧正。

*本文作者：宜信安全應急響應中心，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！