×

GET新技能,2秒钟发现上千条ACL规则中的错误!
  

深信服安全产品研发 4545

{{ttag.title}}

如何用2秒发现上千条ACL规则中的错误?


      在安全领域,安全运维人员往往会花费大量的时间精力在ACL规则的检查中,因为对于中等规模的数据中心他们往往要检查少则几百条多则上千条的ACL控制策略,以便判断其是否有逻辑错误。

ACL是什么?
      ACL 即访问控制列表。信息点间通信和内外网络的通信都是企业网络中必不可少的业务需求,为了保证内网的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的。简而言之,ACL可以过滤网络中的流量,是控制访问的一种网络技术手段。

      比如,你可以允许主机A访问人力资源系统,而禁止主机B访问;还可以允许工作人员只在午休等非工作时间访问某些特定服务。

令人头疼的逻辑策略管理

      过去,安全运维人员由于管理的应用策略众多,同时又没有简单易用的管理工具,所以往往只能通过人工的、经验式的方式进行策略添加、策略检查和单一的策略查找。耗时费力不说,还总是会出现以下的问题:

策略难控
      对于繁多的控制规则,很有时候可能有所忽略,导致前后的添加的策略在逻辑上是冲突的,从而使部分策略失效或者没有更好地对安全策略进行把控。

任务繁重
为了更好地维护控制规则,需要定期人工检查,但是谁辛苦谁知道,而且还无法有效保证准确率。

排查纠错
针对新增的场景,想要知道到底有哪些策略是会对其产生影响的话,就需要一条条的查看,工作量之大令人心力交瘁。

辨识困难
      某些策略是单独针对特定的安全设备,过去只能修改名称加一个前缀用以区分,比如AF_XXXX这种方式。但这种方式在规则数目很多的情况下并没有起到实际分组的作用。

查找不便
      如果要利用搜索功能查找一条信息,只能通过其名称来查找,但是名称复杂往往不易记忆,所以会导致无法精确查找或者查找出的模糊匹配条目太多,极大降低了工作效率。

2秒内核查上千条ACL规则是个梦?

     一般来说遇到这些问题,运维人员首先会将ACL策略进行分类,在某一个类别里面看是否存在匹配次数为0的情况,如果有就需要重点关注。因为很可能是这条策略已经失效才导致不匹配,之后就需要凭借管理员的技能和经验加以判断了。

    但是,这种传统的方法存在BUG。首先匹配次数会在机器重启后自动清零,意味着这个判断方式并不完全准确。其次,即便匹配次数不为0,也不代表没有问题。因此,仅靠个人的技能和经验加以筛选,效率和准确度并不理想。

那如果想在2秒内准确查找到上千条ACL规则中的错误,对于传统方法来说简直就是天方夜谭,但是某公司安全产品可以做到。

在使用某公司安全产品时,可以对ACL逻辑进行配置,利用ACL逻辑错误自检功能自动化、高效地对ACL逻辑进行核对,有效规避各类错误,提高工作效率。

丰富的常用功能
      ACL逻辑管理中一般都有新增、删除、启用、禁用、导入和导出以及刷新功能。这些常用的功能方便相关人员进行策略的增删和使用管理。

新增的策略管理辅助模块
      此外,可以通过失效策略检查、启用定期检查、模拟策略匹配和分组管理功能分别可以解决策略难控、任务繁重、排查纠错和辨识困难的问题。


强大的策略查找功能与策略调级矛盾自检
      对于查找不便的情况,也可以通过搜索功能进行精确定位,这种搜索功能比传统方式强大许多,精确到什么程度呢?比如搜索“全部”,可以看到在详细信息中,所有包含“全部”字样的条目都会展现出来,而不仅仅局限于名称部分。此外,一般还可通过上移和下移的功能,方便安全运维人员对某些策略的升优先级和降优先级操作。而一旦操作后导致策略上产生矛盾,管理界面将会提示。


总结
对于安全产品而言,如果ACL逻辑是混乱的,不仅会给运维人员带来繁重的工作量还可能诱发无法预知的安全事件。因此,某公司希望可以通过工具化的手段、自动化的方式将ACL逻辑的问题所在予以呈现,让IT更简单、更安全、更有价值。


ACL的使用,您学会了么?
对于某公司安全产品中的ACL功能,您还有哪些需求、建议,欢迎跟帖~

打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

liangjiahang 发表于 2016-9-22 16:24
  
支持~
小z 发表于 2016-9-23 11:04
  
配置核查?
友谊之门 发表于 2017-1-5 20:59
  
不错,长知识了 。。。
Jupiter 发表于 2017-1-5 21:16
  
其实有一个bug:
当内网有两个同一个网段的透明口,网关配置在vlan接口上。
放通LAN到WAN时,本来只需选择源区域为vlan接口所在区域即可
但是配置完后,该策略显示感叹号,但又不影响上网·····。
于是源区域再加上两个透明口所在区域之后,该策略的感叹号就消失了····。
之后再去掉两个透明口所在区域,这时该策略就不显示感叹号了····。
真是无语········
袁小鹏 发表于 2017-1-6 08:52
  
这个功能很实用。研发哥给力!!!
龙腾风云 发表于 2017-1-17 12:46
  
只有这个是不够的,应该要有ACL的匹配历史记录,某些ACL3个月从未命中的就应该列出给用户审核。
发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
干货满满
每日一问
新版本体验
【 社区to talk】
技术笔记
功能体验
技术咨询
产品连连看
标准化排查
GIF动图学习
2023技术争霸赛专题
每周精选
信服课堂视频
通用技术
自助服务平台操作指引
秒懂零信任
技术晨报
安装部署配置
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人