隨著互聯(lián)網技術的不斷發(fā)展�����,防火墻作為內網的安全屏障,被大量的使用��。防火墻數(shù)量的增加以及防火墻中安全策略條目的增加,安全工程師的運維工作量成倍的增長����,應用交付往往要求防火墻策略能快速設置。用傳統(tǒng)的人工方式運維大量的防火墻策略已經變得非常困難���。
本次分享將會介紹網絡安全運維如何通過自動化方式��,在防火墻數(shù)量達到幾十臺�����,策略條目龐大��、多品牌的情況下�����,對防火墻策略進行集中式統(tǒng)一化的管理�,提升用戶查詢����、申請策略體驗���,優(yōu)化申批流程�,提升安全工程師效率的同時降低人工出錯概率。
防火墻運維存在的痛點
1. 多品牌
我們在建設基礎的安全架構的時候�,企業(yè)網使用多品牌防火墻是一種普遍情況。比如金融業(yè)有雙墻異構的合規(guī)要求���。不同品牌的防火墻提供不同的功能特性����,不同時期�����、商務因素等原因���,導致我們使用了多種品牌的防火墻來滿足安全隔離的要求�����。
2. 數(shù)量大
防火墻運維的第二個痛點來自于數(shù)量的增加�,隨著互聯(lián)網技術的不斷發(fā)展���,網絡的規(guī)模越來越大�,防火墻作為網絡的安全屏障在廣泛使用,其數(shù)量也在相應的增加��。下圖的拓撲圖展示了一些較大規(guī)?��;ヂ?lián)網公司或金融型的防火墻部署示意圖�����,體現(xiàn)了邊界防護����、重要業(yè)務系統(tǒng)隔離保護�、辦公與生產隔離的一些保護需求。據(jù)我了解使用幾臺到幾十臺的企業(yè)有很多��,也有一些大型集團公司或跨國公司使用數(shù)百臺防火墻���。
3.運維實際過程遇到的問題
用戶經常會提出這樣的問題���,我訪問某個資源不通,是不是被墻攔截了���?訪問lab 環(huán)境有沒有墻呀�?上午提的申請為什么中午還是不通呀��,測試訪問生產是違規(guī)的����,需要特別審批,找誰去審批呢��?而防火墻安全工程師呢要一遍遍解答用戶的疑問�����,不斷與用戶溝通�。同時要人工審核策略需求,編寫防火墻配置工藝���,在變更窗口登錄到防火墻設備下發(fā)配置����,不斷重復這個過程�����。
防火墻策略管理利器-FireMon
Firemon產品部署在系統(tǒng)中任一IP可達點��,用于對防火墻安全策略進行科學系統(tǒng)的管理、分析�����、審計���。這樣���,可以更加高效率的管理防火墻配置,保障防火墻安全策略配置的準確性���,系統(tǒng)化防火墻配置的變更管理����,保障防火墻安全策略的合規(guī)性����,實時分析防火墻安全策略的利用狀況,優(yōu)化防火墻的安全策略配置����,從而使得防火墻管理的更加系統(tǒng)化、規(guī)范化、流程化�����。良好的全圖形化界面將提升管理員對安全策略的可視性�,這將大大提高管理員針對防火墻的安全管理效率�����。防火墻的管理將變得簡單����、高效、準確�。
核心功能介紹
實現(xiàn)被管理設備配置統(tǒng)一管理:
目前防火墻設備品牌眾多,并且當前系統(tǒng)防火墻異構的要求也越來越高��,因此系統(tǒng)中往往有許多不同品牌的防火墻設備��。這些防火墻設備的管理方式��,特別是配置的格式均不相同�����,這給防火墻配置的管理帶來了問題,特別是需要從整個系統(tǒng)全局角度管理防火墻安全策略配置時�。Firemon產品能夠將所有被管理設備的配置用統(tǒng)一的格式顯示,并且可以將這些不同品牌設備的安全策略配置以統(tǒng)一格式輸出�����,這大大方便了管理員對不同品牌防火墻的統(tǒng)一管理��。
傳統(tǒng)查看ACl方式
使用FireMon 統(tǒng)一格式查看
安全策略注解:
通過Security Manager可以為被管理設備上的安全策略或者ACL增加注解��。注解信息可包含策略管理人���、過期時間����、策略配置目的�����、申請部門等�。注解可以為中文。該功能可以對配置的策略進行注解備案�����,同時FireMon提供了靈活的查詢工具,能夠根據(jù)策略注解的每項參數(shù)的內容進行查詢�����,方便進行維護管理��。
注解格式
安全策略利用率分析:
FireMon 產品記錄每條安全策略的被使用情況����,并且通過圖形化方式顯示策略利用率報告����。通過這個報告,你可以查看某臺防火墻上安全策略的利用率狀況�����,或者哪些策略是長期以來沒有被使用過����。管理員通過該報告可以調整防火墻安全策略的順序,或者刪除長期命中率為零的安全策略����。
冗余策略分析:
防火墻安全策略配置中通常有大量的無用����,或者冗余的安全策略�。過多的安全策略嚴重降低防火墻的性能及效率。通過Firemon產品�����,管理員可查看哪些安全策略是不必要的冗余配置��,可以根據(jù)該報告清理多余的安全策略�����。
安全策略流量分析及安全策略收斂:
許多防火墻上均會存在一些過于“寬松”的安全策略��,包括允許了過多的IP地址���、允許了過多的服務端口����,或者直接是’any’類型的安全策略��。這不符合安全策略配置的一般性原則���,需要進行“收斂”����。通過Firemon產品的Traffic Flow Analysis功能,管理員可查看任何一條安全策略的流量詳細信息��,包括各種應用的命中次數(shù)等����。管理員可以根據(jù)該報告制定更加有針對性、更加準確的安全策略����,從而提升防火墻的安全性�����。
訪問路徑分析:
管理員可以利用Firemon產品的APA功能�,分析當前網絡結構下,以及防火墻策略配置下����,系統(tǒng)內的兩個節(jié)點間的某服務是否可達,并給出可達的詳細報告�,包括路徑����、通過的設備��、通過的防火墻設備命中的哪一條策略等等�����。這樣����,管理員能夠方便的了解所配置的某條策略是否生效,或者是否需要增加新的安全策略來阻止系統(tǒng)內兩點間的某項服務��。
定制化安全策略查詢:
FireMon提供的Insight工具��。管理員可在Insight界面中����,根據(jù)自己的需求,定義各種條件��,Insight可根據(jù)管理員所指定的條件�����,查詢出結果。在條件中�,可指定設備、地址范圍���、地址類型��、用戶名�����、包含關鍵字�����、服務端口范圍等等�,并可自由進行組合查詢�,非常貼近管理員實際管理查詢的需求�。
變更通知:
FireMon產品會實時監(jiān)控防火墻,當防火墻的配置或者安全策略被變更時���,根據(jù)配置���,可發(fā)送email通知到指定人員或者發(fā)送syslog到log服務器�����。
變更比對:
管理員可利用Firemon 產品查看被管理設備的配置���、配置變更記錄,包括變更記錄的詳細信息�����,何時����、何地、何人���、做了怎樣的變更����,并且可比較不同時間點的配置的異同����,并詳細標記差異之處,使得管理員清楚地了解配置的變化,以及變化的過程����。
防火墻策略變更“預”檢查及變更流程管理:
FireMon IPA利用自動化和智能化來減少變更管理流程每個階段的工作量并提高準確性。
Ø 捕獲請求詳細信息
Ø 確定是/否應該設計什么規(guī)則
Ø 分析對合規(guī)性和風險的影響
Ø 低影響變化的跳過審查
Ø 自動驗證計劃的更改
Ø 實施后審查/監(jiān)控
Ø 利用 Policy Optimizer
技術聯(lián)盟伙伴——國內外品牌
未來發(fā)展
隨著網絡設備和防火墻設備的普及應用����,設備自動化運維將是未來的趨勢。這不僅能夠提高設備運行的效率�,還能夠降低維護成本,有效提高投資回報率�。業(yè)內其他銀行很多都已經搭建設備自動化運維的系統(tǒng),成效顯著�。
我們根據(jù)自身業(yè)務的發(fā)展以及防火墻設備的安全策略運維情況,未來逐步完善IT系統(tǒng)安全可靠運行所需要的各種條件�,確保整個系統(tǒng)無故障無間斷的安全運行。
