数据存储产业服务平台

HW行动之防火墙策略管理,从半个月变成半小时的秘诀

简介:安博通持续保障安全策略的准确与合规

一年一度的HW行动就要开始了,防守方进行的诸多准备中,防火墙策略的梳理检查和整改加固是重要的一项工作。

“防火墙策略管理”说起来容易做起来难,这项工作需要花费大量的人力和时间,在运营商行业尤其如此。原因在于以下几个难点:

1、防火墙设备数量多、品牌多;

2、安全区域多,防火墙部署在不同区域的边界;

3、安全策略多,核心防火墙有成百上千条策略;

4、策略涉及广,一条安全策略可能经过多个区域、涉及多台防火墙;

5、有些策略无据可查,随着人员变更无人认领。

但是“防火墙策略管理”又是不可或缺的,怎么把复杂变得简单?不妨来看看这场battle吧!

Round 1

某省运营商派出2名精兵强将,对两台核心防火墙的安全策略,进行梳理和有效性验证。他们需要梳理出策略台账,整改其中存在的无效、宽松、配置错误等问题策略。

  经过半个月时间,效果却并不尽如人意。虽然2名“参赛选手”能力过硬,但面对黑黑屏幕上超过30万行的策略代码,还是难以完成。

Round 2

安博通派出自主研发的安全策略智能运维平台,同样对上述两台防火墙的安全策略进行梳理和验证。

  半个小时后,就给出了最终结果:除了清晰的策略台账外,还发现其中存在一定比例的问题策略甚至风险策略。运营商专家逐条核对后,确认梳理结果无误。

两台防火墙共有近4000条策略,由于设备型号较陈旧,只能通过命令行形式梳理,而两台设备的命令行将近30万行。在半个月内审计如此之多的内容,对人工方式来说是巨大的挑战;但对防火墙策略管理产品却轻而易举,只需半小时即可完成。

要将半个月缩减为半小时,安博通的这三项能力必不可少:

1、跨厂商策略管理

为更好管理各类异构网络安全设备的安全策略,平台通过在线采集方式,定期抓取异构防火墙、路由交换、负载均衡、VPN等设备的策略配置文件和路由表信息。再通过归一化方式,解析存储到统一的安全策略模型中。最终实现各类访问控制策略的集中展示、查询、分析等相关功能,可兼容市面上95%以上的防火墙品牌。

因此,尽管两台防火墙型号陈旧,依然可以快速将30万行命令行还原为安全策略。

2、策略风险评估

策略开通或变更时,极易产生风险配置和不合规问题。平台预置大量的策略风险检测规则,覆盖配置不当、域间违规、高危端口开放等多个维度;根据安全域间访问控制规则,设置区域间的访问控制基线。针对安全策略的五元组信息进行合规性检查,帮助运维人员最大限度减少策略配置带来的安全风险。

通过预置规则发现策略中的问题策略和风险策略。在策略变更时,还可以提前进行风险评估,规避错误配置。

3、优化策略配置

防火墙由于日积月累、业务变更等原因形成了很多垃圾策略,防护效果随之降低。平台将配置文件中的安全策略与其他策略逐一比对分析,判断相互之间的包含与被包含关系,发现冗余策略、隐藏策略、可合并策略和过期策略等问题策略;通过字段分析,发现空策略、含ANY策略等风险策略,作为运维人员策略清理和优化的依据。保证访问控制规则数量最小化,提升设备运行效率。

清理问题策略,实现“策略清”,提升网络安全等级。

除这三项能力之外,安博通安全策略智能运维平台还通过策略变更自动化管理、攻击面评估与收敛等功能,持续保障安全策略的准确与合规。

产品目前已服务上海移动、河北移动、青海移动、江西电信、北京电信、江苏电信、湖北联通等运营商行业客户,并成功应用于政企、金融等行业,为千行百业持续创造网络安全业务新体验。

未经允许不得转载:存储在线-存储专业媒体 » HW行动之防火墙策略管理,从半个月变成半小时的秘诀