神州泰岳

产品介绍

防火墙策略核查系统可对各类型主流防火墙的策略进行自动化分析,使防火墙策略满足权限最小化和效率最优化原则,主要包含通用策略审计和业务策略审计功能。审计过程结合业务实际使用情况,并能对多类型防火墙策略进行标准化展示,从多个维度辅助管理员定位问题策略,加强对防火墙策略的管理,避免建立具有安全风险策略。

优势分析

产品功能

适用场景

经典案例

结合实际业务访问情况,定制化审计现网策略

掌握策略应用情况 Ultra-FWAnalyser系统在策略通用审计的基础上,继续对策略深度审计进行技术攻关,率先实现了结合业务实际访问情况的策略业务审计功能,满足了企业网络安全精细化管理的要求,突破性的解决了历史沉淀下来的数量庞大、逻辑关系复杂的防火墙策略无法梳理的顽症。降低防火墙设备性能损耗、提高策略匹配率。

自动定位冲突、冗余、垃圾、过宽和向互联网开放管理端口等违规策略

基于统一的策略安全规则知识库自动分析策略违规情况,发现已经发生的或潜在的重复或冲突策略,提供策略优化的解决方案,以便防火墙管理员对策略进行管理,减少冗余策略,提高防火墙策略的匹配效率。Ultra-FWAnalyser系统对现网双向防火墙策略进行检查,发现策略重复、策略冲突、允许所有IP或端口、IP或端口范围过大等问题的策略条目,给出整改和优化建议。

分布式并行采集引擎,适应现网复杂网络环境,满足海量资源采集需求

为满足企业网复杂的网络环境和海量资源,Ultra-FWAnalyser系统创新性的实现了大规模分布式并行采集引擎,通过负载均衡算法对海量防火墙的采集进行负载调度,提高了安全管控力度、保障了安全检查的及时性。

兼容主流防火墙,率先建立策略标准化机制

实现策略深度检索能力 Ultra-FWAnalyser系统向用户提供了主流厂商的防火墙设备的策略标准化和深度检索服务,并建立了统一的策略标准化模型,该模型可动态扩充支持范围。基于经过标准化后的结构化策略数据,深度检索功能可将策略中包含嵌套关系的复杂策略层层解耦,支持最细粒度的“元策略”的查询,将网络的策略开放情况以最直观的感受提供给最终用户。

发现疑似垃圾策略,为防火墙配置“瘦身”

利用防火墙自带的“策略匹配计数功能(logcount信息)”,通过对策略匹配值进行周期性计算,发现长期无命中的策略,以此为依据为防火墙配置“瘦身”,提高策略的匹配效率。

报表管理

用于管理Ultra-FWAnalyser系统检查任务生成的报表,以图表形式分业务系统、设备类型、具体设备展现防火墙问题策略的变化趋势等信息,使用户可以直观的观察各个业务系统存在的漏洞数量及其数量变化趋势。

任务管理

Ultra-FWAnalyser系统可以灵活的制定防火墙策略核查任务,任务分为两类:在线检查和离线检查。在线检查用于检查网络可达的设备,根据检查需要,选择被检查设备范围、设定检查开始时间和检查周期。离线检查用于检查网络不可达的防火墙设备,下载离线检查脚本并在被检查防火墙设备上执行,将脚本执行后自动生成的结果文件导入到Ultra-FWAnalyser系统中,完成检查。

防火墙策略变更

提供防火墙策略对比功能,对比两个不同时间点防火墙的策略信息,并对发生变更的防火墙生成告警日志,方便用户通过告警信息核查变更是否合理。

防火墙列表

防火墙列表展示Ultra-FWAnalyser系统接入的所有防火墙设备,展现每台防火墙设备的所有策略,并展现所有问题策略的详情。用户可以通过防火墙列表查看防火墙设备的详细配置情况和了解防火墙配置方面的问题。

白名单管理

白名单用于定义防火墙策略合法范围集合,从防火墙设备上获取的策略将逐条与白名单匹配。如果策略中的所有通路都可以在白名单中找到,则为完全匹配,如果部分找到则为部分匹配,如果找不到则为完全不匹配。

策略通用核查配置

用于设定判断策略开放地址范围过大、端口范围过大、对互联网开放管理端口等防火墙策略问题的依据。根据设定值,结合对策略的解析结果,即可判断策略是否存在问题。

安全对象管理

安全对象管理用于管理被检查设备信息,包括业务系统、设备类型、设备IP、登录账号、登录密码、访问端口等。安全对象信息支持通过接口从第三方系统导入和手动创建两种方式。

存在设备互连需求管理问题,需自动定位策略问题。

在缺失准确、合理的真实互连需求信息的情况下,无法进一步无法发现那些看似严谨实则过于宽松的策略,导致审计结论无法覆盖所有存在缺陷的访问控制策略。

发现无用策略,为防火墙“瘦身”

防火墙设备实际使用过程中存在的问题违反权限最小化原则和违反效率最优化原则,基于人工方式进行策略优化和审核的精确度差,标准不统一且极其容易导致判断错误。

企业内部防火墙数量繁多

企业内部防火墙数量繁多、品牌较多,且策略数量成百上千的情况下,人工核查方式费时低效,且时效性差。

经典案例

防火墙策略审计与一键封堵软件

合作背景

某运营商目前封堵应急响应缺乏工具支撑,响应速度相对省公司较慢,无法实现一键式封堵指令下发到各业务系统互联网出口。同时现网防火墙策略缺乏复核工具,无法审核新策略开通是否合规,也无法系统全面的对历史策略进行梳理和清查,亟需自动化工具支撑防火墙管理工作。

客户价值

帮助运营商防火墙维护的网络工程师实现防火墙的管理工作,使策略审计、封堵与解封均实现自动化过程。

  

技术方案

选定防火墙设备。选择被检查防火墙设备,确定防火墙策略核查任务的检查范围,并获取被检查设备登录信息(设备类型、IP地址、帐号名、密码、端口)等。

根据预设连接方式登录防火墙。多台Probe服务器并发登录被检查防火墙设备,支持多种连接协议,包括Telnet、SSH等。

执行采集命令,获得原始策略信息。根据防火墙设备厂家的不同,选择执行不同的采集脚本,获取防火墙全量原始策略信息。

原始策略信息标准化。对采集到的防火墙策略信息进行分析与标准化处理,屏蔽不同厂家之间策略格式的差异。

对标准化后的策略进行审计分析,生成报表。以防火墙为单位,展现该防火墙所有问题策略明细信息。

应用场景

防火墙管理并兼容 支持对防火墙的集中管理,且支持的产品品牌包括华为、H3C、思科、飞塔、中兴等,同时需支持同一厂家的不同硬件设备型号和设备操作系统软件版本,且同时支持IPV4和IPV6。

防火墙策略采集 防火墙策略采集支持自动与手动两种采集方式,其中自动采集方式能够定期、自动提取防火墙的配置和路由等需要使用show/display命令才能获取到的信息;自动采集的方式包括但不限于SSH等。手工导入方式支持手工方式将防火墙策略文件导入系统并进行分析。

防火墙策略解析 防火墙的策略解析能够解析防火墙的全局策略与配置,包括主机的软硬件信息、虚拟防火墙配置、接口信息、安全区域信息等;支持防火墙出入向的地址端口转换策略配置解析,能直观展示地址转换和映射关系;支持内网核心防火墙的列表策略解析,能够直观展示内网的访问控制策略。

防火墙策略审计 防火墙策略审计包括通用的策略审计和符合公司配置规范的防火墙策略合规审计。审计报告包括汇总审计报告和明细审计报告两种类型。

一键封堵 系统支持对多种场景下的封堵和解封操作,指令下发前可查看系统生成并将执行的指令脚本。管理员可以追溯操作记录,如操作类型(封堵、解封)、封堵场景、封堵目标、需求来源、封堵指令、封堵设备、操作人、操作时间等。

防火墙策略配置指令下发

防火墙策略管理