防火墙策略核查系统可对各类型主流防火墙的策略进行自动化分析,使防火墙策略满足权限最小化和效率最优化原则,主要包含通用策略审计和业务策略审计功能。审计过程结合业务实际使用情况,并能对多类型防火墙策略进行标准化展示,从多个维度辅助管理员定位问题策略,加强对防火墙策略的管理,避免建立具有安全风险策略。
某运营商目前封堵应急响应缺乏工具支撑,响应速度相对省公司较慢,无法实现一键式封堵指令下发到各业务系统互联网出口。同时现网防火墙策略缺乏复核工具,无法审核新策略开通是否合规,也无法系统全面的对历史策略进行梳理和清查,亟需自动化工具支撑防火墙管理工作。
帮助运营商防火墙维护的网络工程师实现防火墙的管理工作,使策略审计、封堵与解封均实现自动化过程。
选定防火墙设备。选择被检查防火墙设备,确定防火墙策略核查任务的检查范围,并获取被检查设备登录信息(设备类型、IP地址、帐号名、密码、端口)等。
根据预设连接方式登录防火墙。多台Probe服务器并发登录被检查防火墙设备,支持多种连接协议,包括Telnet、SSH等。
执行采集命令,获得原始策略信息。根据防火墙设备厂家的不同,选择执行不同的采集脚本,获取防火墙全量原始策略信息。
原始策略信息标准化。对采集到的防火墙策略信息进行分析与标准化处理,屏蔽不同厂家之间策略格式的差异。
对标准化后的策略进行审计分析,生成报表。以防火墙为单位,展现该防火墙所有问题策略明细信息。
防火墙管理并兼容 支持对防火墙的集中管理,且支持的产品品牌包括华为、H3C、思科、飞塔、中兴等,同时需支持同一厂家的不同硬件设备型号和设备操作系统软件版本,且同时支持IPV4和IPV6。
防火墙策略采集 防火墙策略采集支持自动与手动两种采集方式,其中自动采集方式能够定期、自动提取防火墙的配置和路由等需要使用show/display命令才能获取到的信息;自动采集的方式包括但不限于SSH等。手工导入方式支持手工方式将防火墙策略文件导入系统并进行分析。
防火墙策略解析 防火墙的策略解析能够解析防火墙的全局策略与配置,包括主机的软硬件信息、虚拟防火墙配置、接口信息、安全区域信息等;支持防火墙出入向的地址端口转换策略配置解析,能直观展示地址转换和映射关系;支持内网核心防火墙的列表策略解析,能够直观展示内网的访问控制策略。
防火墙策略审计 防火墙策略审计包括通用的策略审计和符合公司配置规范的防火墙策略合规审计。审计报告包括汇总审计报告和明细审计报告两种类型。
一键封堵 系统支持对多种场景下的封堵和解封操作,指令下发前可查看系统生成并将执行的指令脚本。管理员可以追溯操作记录,如操作类型(封堵、解封)、封堵场景、封堵目标、需求来源、封堵指令、封堵设备、操作人、操作时间等。
防火墙策略配置指令下发
防火墙策略管理