自動化運維系統(tǒng)是內(nèi)網(wǎng)的核心管控平臺，其安全性十分重要。一旦該系統(tǒng)被攻破，攻擊者就能獲得“上帝視角”的超級權(quán)限，可能造成敏感數(shù)據(jù)泄露、關(guān)鍵業(yè)務(wù)中斷、被潛伏操控等嚴(yán)重?fù)p失。

防守方的網(wǎng)絡(luò)邊界一般會部署防火墻等安全設(shè)備，但數(shù)據(jù)中心內(nèi)部、運維區(qū)域內(nèi)部大都沒有設(shè)置網(wǎng)絡(luò)訪問規(guī)則，沒有充分收斂暴露面，仍然存在被攻擊的風(fēng)險。

Firewalld是Linux操作系統(tǒng)標(biāo)配的開源防火墻，其功能和性能都十分強大，可以為自動化運維系統(tǒng)提供全面防護(hù)，有效收斂系統(tǒng)暴露面，降低網(wǎng)絡(luò)安全風(fēng)險。

在某大型銀行的HVV過程中，安博通安全服務(wù)團(tuán)隊以開源防火墻Firewalld，保障自動化運維系統(tǒng)。實現(xiàn)高性價比部署、靈活定制使用，為自動化運維系統(tǒng)增加雙重防護(hù)。

1、防護(hù)準(zhǔn)備

提前準(zhǔn)備下列信息：

（1）可以登錄自動化運維系統(tǒng)后臺（SSH，22/TCP）的堡壘機(jī)IP地址、終端IP地址。

（2）可以登錄自動化運維系統(tǒng)前臺（HTTPS，443/TCP）的堡壘機(jī)IP地址、終端IP地址。

（3）與自動化運維系統(tǒng)對接的應(yīng)用系統(tǒng)IP地址，即調(diào)用自動化運維系統(tǒng)API（HTTPS，443/TCP）的ITSM或OA系統(tǒng)IP地址。

（4）探活設(shè)備或網(wǎng)管終端的主機(jī)IP地址，其需要定期探測（通常為ICMP協(xié)議）自動化運維系統(tǒng)的狀態(tài)。

（5）自動化運維系統(tǒng)是否開啟了防火墻日志采集功能。

（6）分布式部署的自動化運維系統(tǒng)的各主機(jī)IP地址。

2、開源防火墻配置

將上述需要訪問自動化運維系統(tǒng)的IP地址，轉(zhuǎn)換為Firewalld可以識別的IP地址集和安全策略命令行，配置使其生效。

firewall-cmd --permanent --add-rich-rule=rule family="ipv4" source ipset="https" port port="443" protocol="tcp" accept

firewall-cmd --permanent --add-rich-rule=rule family="ipv4" source ipset="ssh" port port="22" protocol="tcp" accept

firewall-cmd --permanent --add-rich-rule=rule family="ipv4" source ipset="web" port port="80" protocol="tcp" accept

firewall-cmd --permanent --add-rich-rule=rule family="ipv4" source address="10.112.228.180" accept

firewall-cmd --permanent --add-rich-rule=rule family="ipv4" source ipset="icmp" protocol value="1" accept

firewall-cmd --permanent --add-port=514/udp

在為期一個月的HVV行動中，自動化運維系統(tǒng)作為封禁處置的主力，快速封禁了數(shù)千個IP地址/段。該系統(tǒng)未被惡意掃描或攻擊，開源防火墻防護(hù)效果佳。