长期以来,防火墙作为隔离内外网的基础安全设备,是企业的第一道安全防线,对保证内网安全起着关键作用。随着业务的发展、网络规模的增长、访问需求的变更和维护人员的变化,没有人清楚的了解每条策略的用途。为避免对已有业务造成影响,防火墙策略普遍只增不减,单台防火墙存在几百、几千甚至上万条策略,其中包含大量无效、重复和冲突的策略,对防火墙的安全性和性能造成重大影响。大量防火墙形同虚设,企业的核心IT资产处于“裸奔”状态。
人工的策略审计方式极其容易导致判断错误,特别是在策略数量成百上千、防火墙数量繁多和防火墙品牌较多的情况下,人的判断已经难以胜任审计要求。
神州泰岳防火墙策略深度审计系统,通过动态与静态结合的方式,从策略自身静态配置、策略动态实际使用情况和结合企业基础访问控制系统等几方面,实现自动化的策略深度审计能力,并丰富、直观的呈献给管理员,帮助企业提高安全运维效率、打牢第一道安全防线。
亮点能力一:防火墙策略静态审计
对防火墙策略做逐条分析,从开放范围、策略冗余和策略冲突几个方面静态分析策略问题。
亮点能力二:策略实际使用情况动态监测
上文提到,在真实的生产环境中,大量防火墙积累了成千上万条策略。由于不知道每条策略的具体使用情况,管理员们不敢轻易删除,一旦删除了使用中的策略,会影响业务运行、造成大量损失,这也是防火墙策略管理的难点和痛点。自动化监测防火墙每条策略的实际的命中使用次数,可以帮助管理员掌握成千上万条策略的实际使用情况,通过将经常用的策略放到最前面和精简长时间(半年或一年)没有使用的策略,既节省了防火墙的性能开销,又加强了安全性。
策略的实际使用情况有多个来源:
1、防火墙自身策略的命中数
2、防火墙日志中的策略命中情况
3、流量采集系统的实际流量统计
企业可以根据自身实际情况,自由选择策略命中数的数据来源。神州泰岳防火墙策略深度审计系统支持所有来源,可通过月、周、日等粒度对策略使用情况进行统计分析,以趋势图的方式直观呈现。
亮点能力三:发现对互联网开放管理端口
检查核心服务器的管理端口是否暴露在互联网上,避免严重安全隐患。
亮点能力四:网络绕行审计
随着安全意识的提升,越来越多的企业已经建设了4A等访问控制系统,未通过访问控制系统直接登录设备的情况称为绕行访问。防火墙策略深度审计系统可检查策略是否存在绕行可能,对于设备的SSH、TELNET、远程桌面等管理端口(支持自定义管理端口),只允许对4A和应急终端开放,从网络层面彻底切断绕行可能,保障访问控制系统的使用效果。
除上述亮点能力之外,泰岳安全的防火墙策略分析管理方案还具备如下特点:
1、深度搜索:不同类型的防火墙策略的语法多样,例如可定义一个组,组内包含多个IP,策略中只需写组名即可,组可以嵌套组。本系统支持对组内的IP、端口等进行深度查询,并可同时查询多个IP或端口。策略中各类属性的嵌套可逐层展开,并辅以原始信息。
2、变更告警与对比分析:防火墙作为重要的安全基础设备,掌握策略的变更至关重要,系统支持对变更进行告警,并可进一步对比差异。
3、设备类型支持范围:防火墙策略核查系统支持主流五大厂商的防火墙设备,包括Cisco、Huawei、H3C、Juniper和Fortinet。
4、灵活的部署方式与分布式的系统架构:系统可以根据网络情况分布式并发部署,满足各类复杂网络环境,并可根据管理设备数量动态扩充。
关注泰岳安全,洞悉企业信息安全管理变革!
