基于正則表達(dá)式的防火墻安全配置核查方法研究

湯 飛

（中國鐵道科學(xué)研究院 電子計(jì)算技術(shù)研究所，北京 100081）

基于正則表達(dá)式的防火墻安全配置核查方法研究

湯 飛

（中國鐵道科學(xué)研究院 電子計(jì)算技術(shù)研究所，北京 100081）

本文以鐵路車站客票網(wǎng)防火墻為研究對(duì)象，提出了一種基于正則表達(dá)式的防火墻安全配置核查方法。此方法使用正則表達(dá)式匹配代替人工評(píng)判，提高了核查的效率；同時(shí)，該方法的安全配置基于信息安全國家標(biāo)準(zhǔn)要求和實(shí)際業(yè)務(wù)需求制定，降低了核查的主觀性。

防火墻；配置；配置核查；正則表達(dá)式

防火墻安全配置是防火墻執(zhí)行訪問控制功能依據(jù)的規(guī)則集合，可分為安全策略配置和安全管理配置。其中，安全策略配置是防火墻決定網(wǎng)絡(luò)數(shù)據(jù)是否通過的規(guī)則集合[1]，它從數(shù)據(jù)報(bào)文安全層面為信息系統(tǒng)安全提供保障，防止網(wǎng)絡(luò)數(shù)據(jù)威脅信息系統(tǒng)安全。安全管理配置指定防火墻工作和管理方式，是防火墻運(yùn)行和維護(hù)時(shí)應(yīng)遵循的規(guī)則集合[2]，它從設(shè)備管理安全層面為信息系統(tǒng)安全提供保障，避免防火墻自身安全問題威脅信息系統(tǒng)安全。作為保護(hù)信息系統(tǒng)安全的重要手段，防火墻自身的安全核查和測(cè)評(píng)也應(yīng)得到驗(yàn)證。

1 問題提出

隨著國家信息安全等級(jí)保護(hù)工作的推進(jìn)，需對(duì)信息系統(tǒng)安全等級(jí)實(shí)施測(cè)評(píng)和定級(jí)。鐵路客票系統(tǒng)作為涉及社會(huì)公共秩序的計(jì)算機(jī)系統(tǒng)，是國家信息安全等級(jí)保護(hù)第四級(jí)要求確定的系統(tǒng)，它在邏輯上分為鐵路總公司級(jí)安全域、地區(qū)級(jí)安全域、車站級(jí)安全域，不同安全區(qū)域間通過防火墻等設(shè)備實(shí)現(xiàn)安全區(qū)域邊界防護(hù)[3]。為驗(yàn)證鐵路客票系統(tǒng)安全保護(hù)能力，需對(duì)防火墻開展安全配置核查工作,從配置制定和配置實(shí)施兩個(gè)層面進(jìn)行檢查分析。在配置制定層面，需檢查分析防火墻安全配置是否合理、完備；在配置實(shí)施層面，需實(shí)地核查防火墻是否啟用配置。

傳統(tǒng)上，防火墻配置核查多采用基于人工評(píng)判的Web界面配置核查方法，該方法需人工判斷，且無法深入底層對(duì)防火墻配置進(jìn)行全面核查。另外，也有人采用基于人工評(píng)判的命令行配置核查方法，該方法解決了不能查看防火墻底層配置的缺陷，但復(fù)雜防火墻命令對(duì)核查人員提出了較高的技術(shù)要求，而以上方法對(duì)待查安全配置結(jié)果的認(rèn)定會(huì)受到核查人員主觀意識(shí)和工作經(jīng)驗(yàn)的制約，不一定具有合理性和完備性。Gawanmeh等人曾研究了一種使用域限制(domain restriction)技術(shù)模擬和驗(yàn)證防火墻規(guī)則的方法[4]，通過查看防火墻的反應(yīng)以核查其安全配置，但該方法需要搭建復(fù)雜的測(cè)試環(huán)境且工作量大。

本文以鐵路客票系統(tǒng)車站級(jí)安全域H3C防火墻為研究對(duì)象，依據(jù)等級(jí)保護(hù)要求和客票業(yè)務(wù)需求，引入正則表達(dá)式，提出了一種基于正則表達(dá)式的防火墻安全配置核查方法。

2 正則表達(dá)式

2.1 正則表達(dá)式簡(jiǎn)介

正則表達(dá)式是一種字符串，擅長(zhǎng)操縱字符序列和處理結(jié)構(gòu)化數(shù)據(jù)[5]。它由代表特定含義的元字符及其組合構(gòu)成，這些元字符及其組合按照一定的語法規(guī)則結(jié)合起來，來表達(dá)對(duì)字符序列的過濾匹配邏輯。

如“d”、“s”、“w”為3個(gè)不同的元字符，分別表示任意一位數(shù)字字符、任意一個(gè)空格或回車或換行符、任意一個(gè)可構(gòu)成單詞的字符?？梢苑謩e使用“dddd”表示任意相連的四位數(shù)字，“dwwwd”表示第1位及最后1位為任意數(shù)字、中間3位為任意可成單詞字符的長(zhǎng)度為5的字符序列。

2.2 正則表達(dá)式功能及應(yīng)用

正則表達(dá)式的主要功能是字符（或序列）匹配，其使用可分為3個(gè)環(huán)節(jié)：輸入、處理和輸出。輸入環(huán)節(jié)的輸入內(nèi)容包括兩部分：描述預(yù)期字符或字符序列的正表達(dá)式、待處理字符序列；處理環(huán)節(jié)是正則表達(dá)式引擎依據(jù)輸入的正則表達(dá)式代表的句法規(guī)則，對(duì)另一輸入—待處理字符序列進(jìn)行匹配過濾的過程；輸出環(huán)節(jié)是將處理環(huán)節(jié)產(chǎn)生的結(jié)果輸出，輸出內(nèi)容為包含在待處理字符序列中滿足句法規(guī)則的字符或字符序列。正則表達(dá)式的主要應(yīng)用對(duì)象是文本，它在基于文本的編輯器和基于文本的搜索工具中應(yīng)用廣泛。

2.3 正則表達(dá)式與配置核查

在基于人工評(píng)判的防火墻安全配置核查過程中，核查人員依據(jù)防火墻的展示信息，確定核查結(jié)論。若將該過程的參與要素抽象為核查人員、防火墻展示信息和核查結(jié)論，那么可將核查人員和防火墻的展示信息視為該過程的輸入，核查人員對(duì)展示信息的評(píng)判視為該過程的處理，核查結(jié)論的確定視為該過程的輸出，如圖1所示。

圖1 基于人工評(píng)判的防火墻配置核查過程

可以發(fā)現(xiàn)，上述核查過程與正則表達(dá)式的使用過程類似。

由此，不妨將正則表達(dá)式引入配置核查過程，使用預(yù)先編制好的正則表達(dá)式代替核查人員，對(duì)防火墻的展示信息進(jìn)行自動(dòng)匹配評(píng)判，免去人工評(píng)判工作，提高核查效率。

3 防火墻安全配置要求

安全配置是防火墻發(fā)揮網(wǎng)絡(luò)安全防護(hù)功能的關(guān)鍵。防火墻依據(jù)自身安全配置，執(zhí)行訪問控制功能，允許符合規(guī)則的正常數(shù)據(jù)流通過，拒絕不符合規(guī)則的非正常數(shù)據(jù)流通過。

傳統(tǒng)的安全配置基于核查人員知識(shí)水平和工作經(jīng)驗(yàn)得出，具有明顯的個(gè)人主觀性和不規(guī)范性。本文從國家標(biāo)準(zhǔn)要求和業(yè)務(wù)需求出發(fā)，提出對(duì)防火墻的安全配置要求。

3.1 信息安全等級(jí)保護(hù)要求

信息安全等級(jí)保護(hù)國家標(biāo)準(zhǔn)GB/T 28448-2012[6]及GB/T 22239-2008[7]第3級(jí)要求，從訪問控制、安全審計(jì)、網(wǎng)絡(luò)設(shè)備防護(hù)、備份和恢復(fù)4個(gè)方面對(duì)防火墻的安全能力作出了規(guī)定。《標(biāo)準(zhǔn)》對(duì)防火墻的安全能力提出了以下要求。

3.1.1 訪問控制

防火墻依據(jù)安全策略允許或拒絕數(shù)據(jù)報(bào)文通過；能對(duì)應(yīng)用層協(xié)議如HTTP進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾；對(duì)已連接的會(huì)話應(yīng)在其處于非活躍狀態(tài)一段時(shí)間或會(huì)話結(jié)束后終止連接；應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)和網(wǎng)絡(luò)連接數(shù)；采取措施如IP/MAC綁定防止地址欺騙；對(duì)受控資源的訪問按用戶和系統(tǒng)之間的允許訪問規(guī)則進(jìn)行；對(duì)進(jìn)入內(nèi)網(wǎng)的用戶數(shù)進(jìn)行限制。

3.1.2 安全審計(jì)

防火墻應(yīng)對(duì)設(shè)備的運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；審計(jì)記錄應(yīng)包括事件的時(shí)間和日期、用戶、事件類型、事件是否成功等信息；能夠進(jìn)行審計(jì)數(shù)據(jù)分析并生成審計(jì)報(bào)表；應(yīng)采取措施對(duì)審計(jì)記錄加以保護(hù)以防止未預(yù)期的刪除、修改、覆蓋。

3.1.3 網(wǎng)絡(luò)設(shè)備防護(hù)

防火墻應(yīng)對(duì)登陸用戶進(jìn)行身份鑒別；限制管理員登陸的IP地址；不允許出現(xiàn)共享賬號(hào)；重要防火墻應(yīng)采用組合鑒別技術(shù)進(jìn)行身份鑒別；鑒別信息應(yīng)具有不易被冒用的特點(diǎn)；具備登陸失敗處理功能；遠(yuǎn)程管理應(yīng)采用SSH、HTTPS等加密協(xié)議防止鑒別信息被竊聽；不同類型管理員僅分配業(yè)務(wù)需要的最小權(quán)限。

3.1.4 備份和恢復(fù)

應(yīng)定期對(duì)防火墻的配置文件進(jìn)行備份以防止防火墻因意外導(dǎo)致策略丟失影響系統(tǒng)正常運(yùn)行；主要的防火墻設(shè)備，應(yīng)提供硬件冗余，保證系統(tǒng)的高可用性。

3.2 鐵路客票系統(tǒng)業(yè)務(wù)需求

鐵路車站客票網(wǎng)防火墻，部署于車站客票網(wǎng)邊界，對(duì)鐵路局中心客票網(wǎng)與車站客票網(wǎng)間的交互數(shù)據(jù)執(zhí)行檢查過濾。車站客票網(wǎng)與鐵路局客票網(wǎng)的部署結(jié)構(gòu)如圖2所示[8]。

圖2 車站與鐵路局客票網(wǎng)部署示意圖

鐵路局中心客票網(wǎng)與車站客票網(wǎng)間存在數(shù)據(jù)交互的業(yè)務(wù)有[9]：

（1）車站窗口售票業(yè)務(wù)：包括窗口售票終端執(zhí)行售票、退票、廢票、換票、改簽、互聯(lián)網(wǎng)取票、財(cái)務(wù)統(tǒng)計(jì)等。

（2）車站自動(dòng)售票業(yè)務(wù)：包括在自動(dòng)售票機(jī)上旅客自助購票和電子票取票。

（3）車站檢票業(yè)務(wù)： 包括鐵路局中心向本站閘機(jī)下發(fā)檢票計(jì)劃，閘機(jī)上傳檢票信息至鐵路局檢票服務(wù)器。

（4）車站補(bǔ)票業(yè)務(wù)[10]：包括車站到站補(bǔ)票，收入統(tǒng)計(jì)，結(jié)賬等。

3.3 鐵路車站級(jí)安全域防火墻安全配置內(nèi)容

按照上述等級(jí)保護(hù)要求及鐵路客票網(wǎng)業(yè)務(wù)需求，總結(jié)出防火墻安全配置內(nèi)容如下。

3.3.1 訪問控制

（1）開啟默認(rèn)禁止策略，默認(rèn)禁止未明確規(guī)定的數(shù)據(jù)通過；

（2）開啟常用應(yīng)用層協(xié)議如HTTP、FTP等的過濾策略；

（3）啟用會(huì)話超時(shí)自動(dòng)斷開連接策略；

（4）啟用最大流量數(shù)及最大連接數(shù)限制；

（5）重要應(yīng)用啟用IP/MAC地址綁定策略；

（6）支持并啟用用戶與資源的允許訪問規(guī)則，特定用戶只能訪問特定資源；

（7）限制具有撥號(hào)訪問權(quán)限的用戶數(shù)。

3.3.2 安全審計(jì)

（1） 啟用對(duì)防火墻自身運(yùn)行狀態(tài)、網(wǎng)絡(luò)流量、用戶行為的日志審計(jì)策略；

（2） 審計(jì)記錄應(yīng)包括：事件日期、事件時(shí)間、用戶、事件類型、事件成功狀態(tài)等；

（3）能夠?qū)徲?jì)日志數(shù)據(jù)進(jìn)行分析，生成審計(jì)報(bào)表；

（4）啟用審計(jì)記錄保護(hù)策略，防止日志受到未預(yù)期的刪除、修改或覆蓋。

3.3.3 網(wǎng)絡(luò)設(shè)備防護(hù)

（1）對(duì)登陸防火墻的用戶進(jìn)行身份鑒別；

（2）啟用防火墻登陸地址限制策略；

（3）防火墻用戶標(biāo)識(shí)名唯一；

（4）重要防火墻采用組合鑒別技術(shù)進(jìn)行身份鑒別；

（5）身份鑒別信息應(yīng)不易被冒用，口令滿足復(fù)雜度要求，并定期更換；

（6）啟用登陸失敗處理功能，多次登陸失敗鎖定賬號(hào)、網(wǎng)絡(luò)連接超時(shí)自動(dòng)退出；

（7）采用加密的SSH或HTTPS等協(xié)議進(jìn)行遠(yuǎn)程管理，防止鑒別信息被竊聽；

（8）為不同管理用戶分配滿足業(yè)務(wù)需求的最小權(quán)限，實(shí)現(xiàn)特權(quán)用戶權(quán)限分離。

3.3.4 備份和恢復(fù)

（1）啟用防火墻配置備份策略，定期對(duì)防火墻配置進(jìn)行備份；

（2）重要防火墻啟用硬件冗余策略，實(shí)現(xiàn)雙機(jī)熱備。

3.3.5 業(yè)務(wù)需求配置

若3.2中窗口售票、自動(dòng)售票、自動(dòng)檢票及到站補(bǔ)票業(yè)務(wù)執(zhí)行時(shí)，業(yè)務(wù)數(shù)據(jù)的參數(shù)如表1所示。

表1 鐵路客票網(wǎng)不同業(yè)務(wù)數(shù)據(jù)參數(shù)

則防火墻應(yīng)新增4條安全策略配置規(guī)則，允許符合上表描述的數(shù)據(jù)報(bào)文通過。

4 基于正則表達(dá)式的防火墻安全配置核查方法

4.1 傳統(tǒng)防火墻安全配置核查方法

傳統(tǒng)防火墻安全配置核查方法分為基于人工評(píng)判的Web界面配置核查方法和基于人工評(píng)判的命令行配置核查方法。

在前者中，核查人員登入防火墻Web管理界面，以查看Web頁面的方式，對(duì)待查安全配置予以核查確認(rèn)。該方法原理簡(jiǎn)單、易于操作，但不能深入底層對(duì)防火墻配置進(jìn)行全面核查。

在基于人工評(píng)判的命令行配置核查過程中，核查人員登入防火墻，輸入防火墻命令，依據(jù)防火墻返回的提示信息，判定防火墻當(dāng)前的配置狀況。該方法從開發(fā)級(jí)深度，深入底層對(duì)防火墻配置進(jìn)行全面核查，核查過程如圖3所示。

圖3 基于人工評(píng)判的命令行配置核查過程

4.2 基于正則表達(dá)式的防火墻安全配置核查方法

類似于圖3所述過程，若將配置查看命令提交遠(yuǎn)程防火墻執(zhí)行，然后使用預(yù)設(shè)正則表達(dá)式對(duì)防火墻提示信息進(jìn)行匹配，由匹配結(jié)果便得核查結(jié)果。這即為基于正則表達(dá)式的安全配置核查方法的基本思路。

安全配置、防火墻命令、正則表達(dá)式是該方法的3要素。安全配置為核查提供核查條目，是核查過程的指導(dǎo)和依據(jù)；防火墻命令為核查提供實(shí)施指令，是核查工作執(zhí)行的承載者；正則表達(dá)式為核查判定結(jié)果，是核查結(jié)論的確立者。

在該方法的實(shí)施過程中，可將安全配置對(duì)應(yīng)的防火墻命令和正則表達(dá)式保存于本地，逐條取命令提交遠(yuǎn)程防火墻執(zhí)行，然后使用正則表達(dá)式對(duì)防火墻的返回信息予以匹配，依據(jù)匹配結(jié)果得出核查結(jié)果。

若將上述實(shí)施過程程序化，則核查人員只需事先將安全配置對(duì)應(yīng)的防火墻命令和正則表達(dá)式作為參數(shù)輸入程序，之后便可不做任何人工干預(yù)，程序即能一次性完成配置核查工作，從而極大提高核查工作的效率?；谡齽t表達(dá)式的配置核查模型如圖4所示。

在該模型中，安全配置是防火墻命令和正則表達(dá)式完成配置核查過程的基準(zhǔn)和依據(jù)，防火墻命令和正則表達(dá)式是實(shí)現(xiàn)配置核查過程的手段和方法。

圖4 基于正則表達(dá)式的配置核查模型

4.3 基于正則表達(dá)式的防火墻安全配置核查內(nèi)容

將3要素逐一總結(jié)(正則表達(dá)式為配置符合要求時(shí)的匹配規(guī)則)，得到基于正則表達(dá)式的配置核查內(nèi)容如下[11]。

4.3.1 訪問控制

依據(jù)3.3中訪問控制的各項(xiàng)要求，得到對(duì)應(yīng)配置核查內(nèi)容如表2所示。

表2 防火墻訪問控制類配置核查內(nèi)容

4.3.2 安全審計(jì)

依據(jù)3.3中安全審計(jì)的各項(xiàng)要求，得到對(duì)應(yīng)配置核查內(nèi)容如表3所示。

4.3.3 網(wǎng)絡(luò)設(shè)備防護(hù)

依據(jù)3.3中網(wǎng)絡(luò)設(shè)備防護(hù)的各項(xiàng)要求，得到對(duì)應(yīng)配置核查內(nèi)容如表4所示。

4.3.4 備份和恢復(fù)

依據(jù)3.3中備份和恢復(fù)的各項(xiàng)要求，得到對(duì)應(yīng)配置核查內(nèi)容如表5所示。

表3 防火墻安全審計(jì)類配置核查內(nèi)容

表4 防火墻網(wǎng)絡(luò)設(shè)備防護(hù)類配置核查內(nèi)容

表5 防火墻備份和恢復(fù)類配置核查內(nèi)容

4.3.5 業(yè)務(wù)需求策略

依據(jù)3.3中業(yè)務(wù)需求配置的要求，將表1中代表不同數(shù)據(jù)包類型的數(shù)值1、2、3、4以X替代，得到對(duì)應(yīng)配置核查內(nèi)容如表6所示。

表6 防火墻業(yè)務(wù)需求類配置核查內(nèi)容

5 結(jié)束語

本文依據(jù)信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)要求，以鐵路車站客票網(wǎng)防火墻為研究對(duì)象，提出了一種基于正則表達(dá)式的安全配置核查方法，該方法同樣可以推廣應(yīng)用于其他網(wǎng)絡(luò)安全設(shè)備的配置核查工作，為信息安全等級(jí)保護(hù)配置核查工作的開展提供了一種新的思路。

[1] 任展銳. 防火墻安全策略配置關(guān)鍵技術(shù)研究[D] .長(zhǎng)沙：國防科技大學(xué)，2011.

[2] 杜 雨. 防火墻遠(yuǎn)程配置管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D]. 成都：四川大學(xué)，2006.

[3] 祝詠升，丁 妍，張 彥. 鐵路客票系統(tǒng)信息安全技術(shù)方案設(shè)計(jì)[J]. 鐵道科學(xué)與工程學(xué)報(bào)，2012，9（5）：119–124.

[4] Gawanmeh Amjad，Tahar Sof i ène. Modeling and verif i cation of fi rewall conf i gurations using domain restriction method [C]. 2011 International Conference for Internet Technology and Secured Transactions，Abu Dhabi United arab emirates，2011.

[5] Broberg Niklas, Farre Andreas, Svenningsson Josef. Regular expression patterns [C]. Proceedings of the Ninth ACM SIGPLAN International Conference on Functional Programming，Snowbird UT United states，2004.

[6] 中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局，中國國家標(biāo)準(zhǔn)化管理委員會(huì). GB/T 28448-2012，信息安全技術(shù)—信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求[S]. 北京：中國標(biāo)準(zhǔn)出版社，2012.

[7] 中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局，中國國家標(biāo)準(zhǔn)化管理委員會(huì). GB/T 22239-2008，信息安全技術(shù)—信息系統(tǒng)安全等級(jí)保護(hù)基本要求[S] . 北京：中國標(biāo)準(zhǔn)出版社，2008.

[8] 中國鐵道科學(xué)研究院電子計(jì)算技術(shù)研究所. 京滬高速鐵路客票系統(tǒng)實(shí)施方案 [Z] . 北京：中國鐵道科學(xué)研究院電子計(jì)算技術(shù)研究所，2011.

[9] 張 彥，史天運(yùn)，李仕達(dá)，李 超. AFC技術(shù)及鐵路自動(dòng)售檢票系統(tǒng)研究[J] . 中國鐵路，2009，1（3）：50-55.

[10] 方 凱. 鐵路客運(yùn)車站補(bǔ)票系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J]. 交通運(yùn)輸系統(tǒng)工程與信息，2008，8（5）：124–128.

[11] 華三通信技術(shù)有限公司. H3C SecPath系列安全產(chǎn)品命令手冊(cè)[Z]. 杭州：華三通信技術(shù)有限公司，2009.

責(zé)任編輯 方 圓

Method of f i rewall conf i guration checking based on Regular Expression

TANG Fei
(Institute of Computing Technologies, China Academy of Railway Sciences, Beijing 100081, China)

This paper proposed a method based on Regular Expression to check configurations through studying fi rewalls in TRS network of railway station. The method adopted Regular Expression matching instead of manual judging, made checking process more ef fi cient. In addition, con fi guration checking lists were made based on national standards of information security and practical requirements of TRS network, which made checking process less subjective.

fi rewall; con fi guration; con fi guration checking; Regular Expression

U29-39

A

1005-8451（2015）02-0022-06

2014-10-08

湯 飛，在讀碩士研究生。