當(dāng)前,隨著信息化的加速,用戶面臨的網(wǎng)絡(luò)安全威脅也越來(lái)越大。因此,用戶往往購(gòu)買了許多的網(wǎng)絡(luò)安全設(shè)備部署在網(wǎng)絡(luò)信息系統(tǒng)中,其中應(yīng)用和部署最廣的網(wǎng)絡(luò)安全設(shè)備之一就是防火墻。
防火墻是通過(guò)安全策略(rule)來(lái)進(jìn)行安全防護(hù)的,防火墻安全策略的配置對(duì)防火墻的安全防護(hù)作用起著至關(guān)重要的作用。試想,一臺(tái)再好的防火墻設(shè)備,如果不配置安全策略,或者安全策略的配置錯(cuò)誤,那么這臺(tái)防火墻就完全無(wú)法起到應(yīng)有的安全防護(hù)作用,并且還會(huì)帶來(lái)許多安全隱患和安全事件。根據(jù)Gartner 的統(tǒng)計(jì),95%的防火墻安全事件均是由防火墻的配置錯(cuò)誤而引起的。而另一份Gartner 的報(bào)告表明,造成系統(tǒng)故障的原因有超過(guò)80%是由于人員失誤,包括配置失誤、流程失誤等。
因此,防火墻安全策略配置的正確性對(duì)于防火墻設(shè)備的安全防護(hù)作用至關(guān)重要。
但是,許多用戶目前對(duì)防火墻安全策略的管理缺乏有效的手段,使得防火墻安全策略處于“不可見(jiàn)”的狀態(tài)。最基本的兩個(gè)困惑之處是:1)如何確定防火墻上的安全策略配置是正確的?2)當(dāng)收到業(yè)務(wù)部門提交的安全策略配置申請(qǐng)時(shí),該如何配置一條正確的策略?
一些典型的管理員關(guān)于安全策略的問(wèn)題包括:
哪些安全策略是冗余的? 哪些策略是無(wú)用的?
哪個(gè)或哪些安全策略被使用的最多、最頻繁?
這條安全策略的目的?誰(shuí)配的?什么時(shí)間配的?在起作用嗎?
是否存在過(guò)于“寬松”的安全策略,允許了過(guò)多的流量通過(guò)?該如何收斂該條策略?
是否存在安全策略,允許了高危端口流量的通過(guò)?
網(wǎng)絡(luò)中某兩點(diǎn)間某服務(wù)是否可達(dá)?可達(dá)的路徑是什么?穿過(guò)了哪些防火墻設(shè)備?命中了哪些策略?
當(dāng)收到業(yè)務(wù)部門提交的安全策略配置申請(qǐng)時(shí),該如何配置策略?是否需要新增策略?該配置一條什么樣的策略?該在哪一臺(tái)防火墻上增加策略?這條新增的策略合規(guī)嗎?
系統(tǒng)內(nèi)防火墻的配置是否符合安全規(guī)范,如PCI、ISO27002 等?
企業(yè)內(nèi)部安全域之間的互訪規(guī)則,在防火墻上的安全策略是否符合這些互訪規(guī)則呢?
因此,在防火墻的安全策略配置、變更時(shí),包括新增策略、變更策略,或者刪除策略時(shí),管理員操作依據(jù)較為模糊,缺少相關(guān)的數(shù)據(jù)分析報(bào)告或者科學(xué)依據(jù),從而有時(shí)會(huì)出現(xiàn)防火墻安全策略配置上的缺陷或者錯(cuò)誤,有些配置錯(cuò)誤甚至造成了客戶信息系統(tǒng)的故障。
[page]現(xiàn)在,有了啟明星辰的FlowEye,這些頭痛的問(wèn)題將迎刃而解!
FlowEye可以協(xié)助管理員優(yōu)化防火墻的安全策略,了解當(dāng)前防火墻策略的使用狀況,可以查看哪些策略是長(zhǎng)期以來(lái)沒(méi)有被使用過(guò),哪些安全策略的使用率最高,可以查看某條安全策略實(shí)際的流量狀況,分析流量是如何穿過(guò)這條策略的;根據(jù)這些信息,管理員就可以對(duì)安全策略進(jìn)行優(yōu)化,如清理掉一些不必要的策略,并且能夠準(zhǔn)確了解到當(dāng)前策略的使用效果等。良好的全圖形化界面將提升管理員對(duì)安全策略的可視性,這將大大提高管理員針對(duì)防火墻的安全管理效率。防火墻的管理將變得簡(jiǎn)單、容易。
FlowEye的一些典型功能包括:
安全策略初始化
FlowEye提供統(tǒng)一的模板,能夠?qū)⒉煌放频姆阑饓Σ呗耘渲梦募?dǎo)入到FlowEye中,以便FlowEye統(tǒng)一對(duì)不同位置的、不同品牌的防火墻策略進(jìn)行分析
安全策略審計(jì)分析
冗余安全策略分析
隨著網(wǎng)絡(luò)復(fù)雜度的提升,防火墻的策略也變得日益龐大,而其中通常有大量的無(wú)用或者冗余的安全策略。過(guò)多的安全策略嚴(yán)重降低防火墻的性能及效率。通過(guò)FlowEye,管理員可查看哪些安全策略是不必要的冗余配置??梢愿鶕?jù)該報(bào)告清理多余的安全策略。
安全策略收斂分析
許多防火墻上均會(huì)存在一些過(guò)于“寬松”的安全策略,包括允許了過(guò)多的IP 地址、允許了過(guò)多的服務(wù)端口,或者直接是“any”類型的安全策略。這不符合安全策略配置的一般性原則,需要進(jìn)行“收斂”。這需要了解這些安全策略下的真實(shí)流量狀況,包括具體的源和目的都是誰(shuí),特定應(yīng)用的發(fā)生頻次。。通過(guò)FlowEye,管理員可查看任何一條安全策略的流量詳細(xì)信息,包括各種應(yīng)用的占比等。管理員可以根據(jù)該報(bào)告制定更加有針對(duì)性、更加準(zhǔn)確的安全策略,從而提升防火墻的安全性。
策略命中頻率分析
通常,將命中頻率高的策略放在靠前的位置,有助于提升防火墻的處理能力。但是,當(dāng)策略達(dá)到一定規(guī)模時(shí),靠人去分析命中頻率情況是不現(xiàn)實(shí)的。FlowEye利用自身采集到的一定時(shí)間范圍內(nèi)流經(jīng)防火墻的流量,對(duì)每一條防火墻策略的流量命中情況進(jìn)行計(jì)算,報(bào)告出策略命中情況,輔助用戶快速完成策略次序的調(diào)整。從而達(dá)到優(yōu)化防火墻處理性能的目的。
▲
(圖中數(shù)據(jù)為構(gòu)造數(shù)據(jù),僅供了解功能使用)
潛在沖突策略分析
潛在沖突策略是指防火墻訪問(wèn)控制效果與策略次序相關(guān)的策略。例如,將any any策略放在最前和放在最后會(huì)導(dǎo)致訪問(wèn)控制效果完全不同。放在最前導(dǎo)致防火墻形同虛設(shè)。放在最后卻不然(雖然防火墻也不應(yīng)該允許any any策略的存在,在此僅為方便描述問(wèn)題),因?yàn)槠淝叭绻蠨ENY動(dòng)作的策略,就能起到一定的訪問(wèn)控制效果。這類策略是用戶最難發(fā)現(xiàn)的,而且也是導(dǎo)致用戶總是將新策略插入到最后,不敢刪除老策略的一個(gè)重要的原因。導(dǎo)致策略條目越來(lái)越多、策略次序不合理等現(xiàn)象出現(xiàn)。FlowEye使用特有的策略元素重合度分析技術(shù),能夠準(zhǔn)確發(fā)現(xiàn)這類策略,幫助用戶消除策略中潛藏的隱患。
直觀的策略分析報(bào)告
FlowEye提供清晰易懂的、符合防火墻策略管理員習(xí)慣的分析報(bào)告。
(圖中數(shù)據(jù)為構(gòu)造數(shù)據(jù),僅供了解功能使用)
策略動(dòng)態(tài)跟蹤
FlowEye的策略監(jiān)視實(shí)現(xiàn)了對(duì)防火墻策略全生命周期的管理。FlowEye根據(jù)自身采集到的流量持續(xù)不斷地對(duì)防火墻策略進(jìn)行監(jiān)視,一旦發(fā)現(xiàn)問(wèn)題及時(shí)給出告警。使得用戶對(duì)防火墻策略的管理變得更加主動(dòng)。
部署
FlowEye可部署在系統(tǒng)中任何IP 可達(dá)的位置,技術(shù)上通過(guò)旁路鏡像抓包的形式采集交換上的鏡像流量。硬件方面,用戶可以選擇FlowEye 的專用硬件產(chǎn)品,并不需要在防火墻或者其他網(wǎng)絡(luò)設(shè)備上安裝軟件,對(duì)用戶網(wǎng)絡(luò)安全方面的配置不會(huì)有任何。