Firewall Optimisation Strategy
当前,随着信息化的加速,用户面临的网络安全威胁也越来越大。因此,用户往往购买了许多的网络安全设备部署在网络信息系统中,其中应用和部署最广的网络安全设备之一就是防火墙。
防火墙是通过安全策略来进行安全防护的,安全策略的配置对防火墙的安全防护作用起着至关重要的作用,根据 Gartner 的统计,99%的防火墙安全事件均是由防火墙的配置错误而引起的。另外,防火墙安全策略 的配置好坏,将很大程度上影响这台防火墙的性能、稳定性等。实验表明,通过定期进行策略优化后的防火墙,其性能最高可提升达 30%以上!
Key Issues
防火墙安全策略配置的正确性对于防火墙设备的安全防护作用至关重要。 但是,许多用户目前对防火墙安全策略的管理缺乏有效的手段,使得防火墙安全策略处于“不可见”的状态,无法检查防火墙安全策略配置的正确性。在防火墙的安全策略配置、变更时,包括新增策略、变更策略,或者删除策略时,管理员操作依据较为模糊,缺少相关的数据分析报告或者科学依据, 从而有时会出现防火墙安全策略配置上的缺陷或者错误,如过多不必要的策略、过于复杂的策略,或者 漏配一些需要的安全策略等等,这给系统安全与稳定性带来隐忧。
一些典型管理员关于安全策略的疑问包括:
- 哪些安全策略是多余的?
- 哪个或哪些安全策略被使用的最多、最频繁?而哪些策略没有被用到?安全策略的次序配置 是否正确?
- 这条安全策略的目的?谁配的?为什么要配置?配置后起到作用了吗?可以删除吗?
- 某条安全策略下的流量构成是什么,流量的占比情况如何,特别是那些’any’类型的安全策 略?是否确实只有被允许的流量穿过这条安全策略?
- 系统内是否还存在安全漏洞或者危险端口?防火墙是否已经对这些安全漏洞或危险端口进 行了安全策略防护?是否存在误配置或者遗漏的状况?
- 系统内防火墙的配置是否符合特定的安全规范,如 PCI 或者 ISO27002 等?如果存在不符合, 是哪些不符合?该如何修改?是否符合企业自定义的安全规范?
大量案例表明,许多客户的防火墙设备的安全策略配置存在错误,包括许多冗余的安全策略(据Gartner 统计,通常 30%~50%的安全策略是冗余的,不必要的)、过于复杂的安全策略、安全策略配置不规范等,因而这些防火墙的工作状态也是低效的、不稳定的、不安全的,存在隐患。而实际案例中也 确实发生过许多由于防火墙策略配置错误而造成的信息泄露或者业务中断。而通过部署防火墙策略管理平台,这些难题将迎刃而解!
Proposed Solution
通过防火墙策略管理平台提供对防火墙设备安全策略的统一管理,可以管理不同厂家的防火墙设备的安全策略。 通过全图形化界面提升管理员对安全策略的可视性, 这将大大提高管理员针对防火墙的安全管理效率。防火墙的管理将变得简单、容易。
防火墙策略管理平台可以协助管理员优化防火墙的安全策略,了解当前防火墙策略的使用状况,可以查看哪些策略是长期以来没有被使用过,哪些安全策略的使用率最高,可以查看某条 安全策略实际的流量状况,分析流量是如何穿过这条策略的;根据这些信息,管理员就可以对安全策略 进行优化,如清除掉一些不必要的策略,并且能够准确了解到当前策略的使用效果等。
Key Functionalities
安全策略变更管理
变更通知
实时监控防火墙,当防火墙的配置或者安全策略被变更时,指定的管理员会实时收到发来的通知,告知管理员配置的变更以及变更状况。
当系统增加新业务,或者其他需求,需要增加防火墙安全策略时,可通过 相关管理模块协助规划安全策略的配置。这对需要修改多台防火墙策略时特别有帮助。通过策略分析能够一步一步的帮助分析是否需要新的安全策略,以及策略新的安全策略如何配置等等。
变更控制跟踪
不同时间点配置比对 记录每次防火墙配置的修改,包括修改的详细技术信息。并且可比较不同时间点的配置的异同, 并详细标记差异之处,使得管理员清楚地了解配置的变化,以及变化的过程。
安全策略测试
可以测试当前网络结构下,以及防火墙策略配置下,系统内的两个节点间的指导服务是否可达。如,可测试系统内 A 点到 B 点是否允许 telnet 服务。这样, 管理员能够方便的了解所配置的某条策略是否生效,或者是否需要增加新的安全策略来阻止系统 内两点间的某项服务。
日志审计
记录每次防火墙配置变更的具体状况,包括那个人、什么时间、修改了什么等等。可通过格式化输出审计报告。
策略使用状况分析
策略使用状况分析
通过记录每条安全策略的被使用情况,并且通过图形化方式显示。通过这个 报告,你可以查看某台防火墙上哪些策略是长期以来没有被使用过,哪些安全策略的使用率最高等等。 管理员通过该报告可以调整防火墙安全策略的顺序,可以删除长期命中率为零的俺策略等。下图就是一 张安全策略使用率报告样本。
对象使用状况分析
防火墙策略管理平台不仅能够记录每条安全策略的使用率状况,还能够记录每天策略内的各 个对象的使用状况,是否存在冗余的、无用的对象,管理员可以通过此信息精简策略配置, 提升防火墙效率;
每日活动报告
Security Manager 记录防火墙每天的活动状况,并产生防火墙的每日活动报告。通过这个报告,管理员可查看该防火墙当日是否过于繁忙,或者异常的无活动等;
冗余安全策略分析
随着网络复杂度的提升,防火墙的策略也变得日益庞大,而其中通常有大量的无用,或者冗余的安全策略。过多的安全策略严重降低防火墙的性能及效率。通过策略管理平台,管理员可以查看哪 些安全策略是不必要的冗余配置。可以根据该报告清理多余的安全策略。
防火墙安全策略复杂度分析
通过管理平台可以查看所有防火墙配置的复杂度状况,过于复杂的防火墙配置,包括安全策略配置,将大幅影响防火墙的工作效率。通过该报告,可以发现哪些防火墙的配置过于复杂,需要进行清理。
安全策略流量分析
很多时候,管理员会在防火墙上配置一些’any’类型的安全策略。但在管理上,非常需 要知道这些’any’类型安全策略下的流量状况,包括特定应用流量的占比,如 HTTP 流量百分比多少,TCP 端口 443 的占比多少等。通过管理平台的策略流量分析功能,管理员可查看任何一条安全策略的流量详细信息,包括各种应用的占比等。
管理员可以根据该报告制定更加有针对性、更加准确的安全策略,从而提升防火墙的安全性。
配置安全规范审计
安全规范审计
根据国际规范 或者标准,包括 PCI 或者 ISO 27002 等,审计防火墙的配置。审计报告中 会显示哪些配置是不符合规范,并且 会给出建议,如何修改去符合规范。
自定义安全规范审计 有时,许多客户会自定义企业自身的安全规范。如企业可定义某 TCP 端口为危险端口,不允许任何流量通 过 该 端 口 。 这 是 , 管 理 员 可 通 过 管理平台的自定义安全审计功能,审计系统内所有防火墙设备上的安全策略配置,是否存在允许该危险 TCP 端口的安全策略,并做出相应的修改。
Deployment
防火墙策略管理平台可部署在系统中任何网络可达位置,用户可以选择专用硬件产品,也可以选择将管理软件安装在系统内的服务器上。并不需要在防火墙或者其他网络 设备上安装软件,对用户网络安全方面的配置不会有任何改变。
目前防火墙策略管理平台比较成熟解决方案有:Algosec、Firemon 及Tufin,宇信安国内专业的安全方案供应商和这些厂商进行了广泛长期的合作,始终在不断为用户选择最优的防火墙策略管理平台不断努力。
Key Products
AlgoSec Security Management Solution
Firemon Network Data Security Manager