隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展,防火墻作為內(nèi)網(wǎng)的安全屏障��,被大量的使用����。防火墻數(shù)量的增加以及防火墻中安全策略條目的增加��,安全工程師的運(yùn)維工作量成倍的增長(zhǎng)����,應(yīng)用交付往往要求防火墻策略能快速設(shè)置�����。用傳統(tǒng)的人工方式運(yùn)維大量的防火墻策略已經(jīng)變得非常困難。
本次分享將會(huì)介紹網(wǎng)絡(luò)安全運(yùn)維如何通過自動(dòng)化方式���,在防火墻數(shù)量達(dá)到幾十臺(tái)�,策略條目龐大�、多品牌的情況下,對(duì)防火墻策略進(jìn)行集中式統(tǒng)一化的管理�����,提升用戶查詢�����、申請(qǐng)策略體驗(yàn)����,優(yōu)化申批流程,提升安全工程師效率的同時(shí)降低人工出錯(cuò)概率��。
防火墻運(yùn)維存在的痛點(diǎn)
1. 多品牌
我們?cè)诮ㄔO(shè)基礎(chǔ)的安全架構(gòu)的時(shí)候�,企業(yè)網(wǎng)使用多品牌防火墻是一種普遍情況。比如金融業(yè)有雙墻異構(gòu)的合規(guī)要求�����。不同品牌的防火墻提供不同的功能特性��,不同時(shí)期、商務(wù)因素等原因���,導(dǎo)致我們使用了多種品牌的防火墻來(lái)滿足安全隔離的要求�����。
2. 數(shù)量大
防火墻運(yùn)維的第二個(gè)痛點(diǎn)來(lái)自于數(shù)量的增加�,隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展��,網(wǎng)絡(luò)的規(guī)模越來(lái)越大���,防火墻作為網(wǎng)絡(luò)的安全屏障在廣泛使用����,其數(shù)量也在相應(yīng)的增加����。下圖的拓?fù)鋱D展示了一些較大規(guī)模互聯(lián)網(wǎng)公司或金融型的防火墻部署示意圖���,體現(xiàn)了邊界防護(hù)�、重要業(yè)務(wù)系統(tǒng)隔離保護(hù)���、辦公與生產(chǎn)隔離的一些保護(hù)需求�。據(jù)我了解使用幾臺(tái)到幾十臺(tái)的企業(yè)有很多,也有一些大型集團(tuán)公司或跨國(guó)公司使用數(shù)百臺(tái)防火墻�����。
3.運(yùn)維實(shí)際過程遇到的問題
用戶經(jīng)常會(huì)提出這樣的問題����,我訪問某個(gè)資源不通�����,是不是被墻攔截了����?訪問lab 環(huán)境有沒有墻呀?上午提的申請(qǐng)為什么中午還是不通呀���,測(cè)試訪問生產(chǎn)是違規(guī)的��,需要特別審批����,找誰(shuí)去審批呢?而防火墻安全工程師呢要一遍遍解答用戶的疑問�����,不斷與用戶溝通�。同時(shí)要人工審核策略需求,編寫防火墻配置工藝��,在變更窗口登錄到防火墻設(shè)備下發(fā)配置�,不斷重復(fù)這個(gè)過程。
防火墻策略管理利器-FireMon
Firemon產(chǎn)品部署在系統(tǒng)中任一IP可達(dá)點(diǎn)����,用于對(duì)防火墻安全策略進(jìn)行科學(xué)系統(tǒng)的管理、分析�����、審計(jì)��。這樣�,可以更加高效率的管理防火墻配置,保障防火墻安全策略配置的準(zhǔn)確性����,系統(tǒng)化防火墻配置的變更管理����,保障防火墻安全策略的合規(guī)性��,實(shí)時(shí)分析防火墻安全策略的利用狀況�,優(yōu)化防火墻的安全策略配置,從而使得防火墻管理的更加系統(tǒng)化�����、規(guī)范化��、流程化�。良好的全圖形化界面將提升管理員對(duì)安全策略的可視性��,這將大大提高管理員針對(duì)防火墻的安全管理效率�����。防火墻的管理將變得簡(jiǎn)單����、高效、準(zhǔn)確。
核心功能介紹
實(shí)現(xiàn)被管理設(shè)備配置統(tǒng)一管理:
目前防火墻設(shè)備品牌眾多�,并且當(dāng)前系統(tǒng)防火墻異構(gòu)的要求也越來(lái)越高,因此系統(tǒng)中往往有許多不同品牌的防火墻設(shè)備�����。這些防火墻設(shè)備的管理方式�,特別是配置的格式均不相同,這給防火墻配置的管理帶來(lái)了問題��,特別是需要從整個(gè)系統(tǒng)全局角度管理防火墻安全策略配置時(shí)����。Firemon產(chǎn)品能夠?qū)⑺斜还芾碓O(shè)備的配置用統(tǒng)一的格式顯示,并且可以將這些不同品牌設(shè)備的安全策略配置以統(tǒng)一格式輸出���,這大大方便了管理員對(duì)不同品牌防火墻的統(tǒng)一管理����。
傳統(tǒng)查看ACl方式
使用FireMon 統(tǒng)一格式查看
安全策略注解:
通過Security Manager可以為被管理設(shè)備上的安全策略或者ACL增加注解��。注解信息可包含策略管理人����、過期時(shí)間、策略配置目的、申請(qǐng)部門等���。注解可以為中文�����。該功能可以對(duì)配置的策略進(jìn)行注解備案��,同時(shí)FireMon提供了靈活的查詢工具���,能夠根據(jù)策略注解的每項(xiàng)參數(shù)的內(nèi)容進(jìn)行查詢,方便進(jìn)行維護(hù)管理�����。
注解格式
安全策略利用率分析:
FireMon 產(chǎn)品記錄每條安全策略的被使用情況�,并且通過圖形化方式顯示策略利用率報(bào)告����。通過這個(gè)報(bào)告,你可以查看某臺(tái)防火墻上安全策略的利用率狀況�,或者哪些策略是長(zhǎng)期以來(lái)沒有被使用過。管理員通過該報(bào)告可以調(diào)整防火墻安全策略的順序��,或者刪除長(zhǎng)期命中率為零的安全策略。
冗余策略分析:
防火墻安全策略配置中通常有大量的無(wú)用��,或者冗余的安全策略��。過多的安全策略嚴(yán)重降低防火墻的性能及效率���。通過Firemon產(chǎn)品�,管理員可查看哪些安全策略是不必要的冗余配置�����,可以根據(jù)該報(bào)告清理多余的安全策略����。
安全策略流量分析及安全策略收斂:
許多防火墻上均會(huì)存在一些過于“寬松”的安全策略,包括允許了過多的IP地址����、允許了過多的服務(wù)端口,或者直接是’any’類型的安全策略����。這不符合安全策略配置的一般性原則,需要進(jìn)行“收斂”�����。通過Firemon產(chǎn)品的Traffic Flow Analysis功能,管理員可查看任何一條安全策略的流量詳細(xì)信息�,包括各種應(yīng)用的命中次數(shù)等。管理員可以根據(jù)該報(bào)告制定更加有針對(duì)性��、更加準(zhǔn)確的安全策略�����,從而提升防火墻的安全性���。
訪問路徑分析:
管理員可以利用Firemon產(chǎn)品的APA功能�,分析當(dāng)前網(wǎng)絡(luò)結(jié)構(gòu)下���,以及防火墻策略配置下��,系統(tǒng)內(nèi)的兩個(gè)節(jié)點(diǎn)間的某服務(wù)是否可達(dá)����,并給出可達(dá)的詳細(xì)報(bào)告�,包括路徑���、通過的設(shè)備��、通過的防火墻設(shè)備命中的哪一條策略等等�����。這樣�����,管理員能夠方便的了解所配置的某條策略是否生效����,或者是否需要增加新的安全策略來(lái)阻止系統(tǒng)內(nèi)兩點(diǎn)間的某項(xiàng)服務(wù)。
定制化安全策略查詢:
FireMon提供的Insight工具�����。管理員可在Insight界面中�,根據(jù)自己的需求,定義各種條件�����,Insight可根據(jù)管理員所指定的條件����,查詢出結(jié)果�。在條件中��,可指定設(shè)備����、地址范圍、地址類型��、用戶名����、包含關(guān)鍵字、服務(wù)端口范圍等等�,并可自由進(jìn)行組合查詢,非常貼近管理員實(shí)際管理查詢的需求��。
變更通知:
FireMon產(chǎn)品會(huì)實(shí)時(shí)監(jiān)控防火墻�,當(dāng)防火墻的配置或者安全策略被變更時(shí),根據(jù)配置�,可發(fā)送email通知到指定人員或者發(fā)送syslog到log服務(wù)器。
變更比對(duì):
管理員可利用Firemon 產(chǎn)品查看被管理設(shè)備的配置���、配置變更記錄�����,包括變更記錄的詳細(xì)信息���,何時(shí)、何地�����、何人����、做了怎樣的變更,并且可比較不同時(shí)間點(diǎn)的配置的異同����,并詳細(xì)標(biāo)記差異之處,使得管理員清楚地了解配置的變化�����,以及變化的過程���。
防火墻策略變更“預(yù)”檢查及變更流程管理:
FireMon IPA利用自動(dòng)化和智能化來(lái)減少變更管理流程每個(gè)階段的工作量并提高準(zhǔn)確性��。
Ø 捕獲請(qǐng)求詳細(xì)信息
Ø 確定是/否應(yīng)該設(shè)計(jì)什么規(guī)則
Ø 分析對(duì)合規(guī)性和風(fēng)險(xiǎn)的影響
Ø 低影響變化的跳過審查
Ø 自動(dòng)驗(yàn)證計(jì)劃的更改
Ø 實(shí)施后審查/監(jiān)控
Ø 利用 Policy Optimizer
技術(shù)聯(lián)盟伙伴——國(guó)內(nèi)外品牌
未來(lái)發(fā)展
隨著網(wǎng)絡(luò)設(shè)備和防火墻設(shè)備的普及應(yīng)用��,設(shè)備自動(dòng)化運(yùn)維將是未來(lái)的趨勢(shì)�����。這不僅能夠提高設(shè)備運(yùn)行的效率�,還能夠降低維護(hù)成本,有效提高投資回報(bào)率����。業(yè)內(nèi)其他銀行很多都已經(jīng)搭建設(shè)備自動(dòng)化運(yùn)維的系統(tǒng),成效顯著�。
我們根據(jù)自身業(yè)務(wù)的發(fā)展以及防火墻設(shè)備的安全策略運(yùn)維情況,未來(lái)逐步完善IT系統(tǒng)安全可靠運(yùn)行所需要的各種條件�����,確保整個(gè)系統(tǒng)無(wú)故障無(wú)間斷的安全運(yùn)行��。
