當(dāng)前，隨著信息化的加速，用戶面臨的網(wǎng)絡(luò)安全威脅也越來越大。因此，用戶往往購買了許多的網(wǎng)絡(luò)安全設(shè)備部署在網(wǎng)絡(luò)信息系統(tǒng)中，其中應(yīng)用和部署最廣的網(wǎng)絡(luò)安全設(shè)備之一就是防火墻。

防火墻是通過安全策略(rule)來進(jìn)行安全防護(hù)的，防火墻安全策略的配置對防火墻的安全防護(hù)作用起著至關(guān)重要的作用。試想，一臺再好的防火墻設(shè)備，如果不配置安全策略，或者安全策略的配置錯誤，那么這臺防火墻就完全無法起到應(yīng)有的安全防護(hù)作用，并且還會帶來許多安全隱患和安全事件。根據(jù)Gartner 的統(tǒng)計，95%的防火墻安全事件均是由防火墻的配置錯誤而引起的。而另一份Gartner 的報告表明，造成系統(tǒng)故障的原因有超過80%是由于人員失誤，包括配置失誤、流程失誤等。

因此，防火墻安全策略配置的正確性對于防火墻設(shè)備的安全防護(hù)作用至關(guān)重要。

但是，許多用戶目前對防火墻安全策略的管理缺乏有效的手段，使得防火墻安全策略處于“不可見”的狀態(tài)。最基本的兩個困惑之處是：1)如何確定防火墻上的安全策略配置是正確的?2)當(dāng)收到業(yè)務(wù)部門提交的安全策略配置申請時，該如何配置一條正確的策略?

一些典型的管理員關(guān)于安全策略的問題包括：

哪些安全策略是冗余的? 哪些策略是無用的?

哪個或哪些安全策略被使用的最多、最頻繁?

這條安全策略的目的?誰配的?什么時間配的?在起作用嗎?

是否存在過于“寬松”的安全策略，允許了過多的流量通過?該如何收斂該條策略?

是否存在安全策略，允許了高危端口流量的通過?

網(wǎng)絡(luò)中某兩點間某服務(wù)是否可達(dá)?可達(dá)的路徑是什么?穿過了哪些防火墻設(shè)備?命中了哪些策略?

當(dāng)收到業(yè)務(wù)部門提交的安全策略配置申請時，該如何配置策略?是否需要新增策略?該配置一條什么樣的策略?該在哪一臺防火墻上增加策略?這條新增的策略合規(guī)嗎?

系統(tǒng)內(nèi)防火墻的配置是否符合安全規(guī)范，如PCI、ISO27002 等?

企業(yè)內(nèi)部安全域之間的互訪規(guī)則，在防火墻上的安全策略是否符合這些互訪規(guī)則呢?

因此，在防火墻的安全策略配置、變更時，包括新增策略、變更策略，或者刪除策略時，管理員操作依據(jù)較為模糊，缺少相關(guān)的數(shù)據(jù)分析報告或者科學(xué)依據(jù)，從而有時會出現(xiàn)防火墻安全策略配置上的缺陷或者錯誤，有些配置錯誤甚至造成了客戶信息系統(tǒng)的故障。

現(xiàn)在，有了啟明星辰的FlowEye，這些頭痛的問題將迎刃而解!

FlowEye可以協(xié)助管理員優(yōu)化防火墻的安全策略，了解當(dāng)前防火墻策略的使用狀況，可以查看哪些策略是長期以來沒有被使用過，哪些安全策略的使用率最高，可以查看某條安全策略實際的流量狀況，分析流量是如何穿過這條策略的;根據(jù)這些信息，管理員就可以對安全策略進(jìn)行優(yōu)化，如清理掉一些不必要的策略，并且能夠準(zhǔn)確了解到當(dāng)前策略的使用效果等。良好的全圖形化界面將提升管理員對安全策略的可視性，這將大大提高管理員針對防火墻的安全管理效率。防火墻的管理將變得簡單、容易。

　FlowEye的一些典型功能包括：

安全策略初始化

FlowEye提供統(tǒng)一的模板，能夠?qū)⒉煌放频姆阑饓Σ呗耘渲梦募?dǎo)入到FlowEye中，以便FlowEye統(tǒng)一對不同位置的、不同品牌的防火墻策略進(jìn)行分析

安全策略審計分析

冗余安全策略分析

隨著網(wǎng)絡(luò)復(fù)雜度的提升，防火墻的策略也變得日益龐大，而其中通常有大量的無用或者冗余的安全策略。過多的安全策略嚴(yán)重降低防火墻的性能及效率。通過FlowEye，管理員可查看哪些安全策略是不必要的冗余配置。可以根據(jù)該報告清理多余的安全策略。

安全策略收斂分析

許多防火墻上均會存在一些過于“寬松”的安全策略，包括允許了過多的IP 地址、允許了過多的服務(wù)端口，或者直接是“any”類型的安全策略。這不符合安全策略配置的一般性原則，需要進(jìn)行“收斂”。這需要了解這些安全策略下的真實流量狀況，包括具體的源和目的都是誰，特定應(yīng)用的發(fā)生頻次。。通過FlowEye，管理員可查看任何一條安全策略的流量詳細(xì)信息，包括各種應(yīng)用的占比等。管理員可以根據(jù)該報告制定更加有針對性、更加準(zhǔn)確的安全策略，從而提升防火墻的安全性。

策略命中頻率分析

通常，將命中頻率高的策略放在靠前的位置，有助于提升防火墻的處理能力。但是，當(dāng)策略達(dá)到一定規(guī)模時，靠人去分析命中頻率情況是不現(xiàn)實的。FlowEye利用自身采集到的一定時間范圍內(nèi)流經(jīng)防火墻的流量，對每一條防火墻策略的流量命中情況進(jìn)行計算，報告出策略命中情況，輔助用戶快速完成策略次序的調(diào)整。從而達(dá)到優(yōu)化防火墻處理性能的目的。

　　▲

(圖中數(shù)據(jù)為構(gòu)造數(shù)據(jù)，僅供了解功能使用)

潛在沖突策略分析

潛在沖突策略是指防火墻訪問控制效果與策略次序相關(guān)的策略。例如，將any any策略放在最前和放在最后會導(dǎo)致訪問控制效果完全不同。放在最前導(dǎo)致防火墻形同虛設(shè)。放在最后卻不然(雖然防火墻也不應(yīng)該允許any any策略的存在，在此僅為方便描述問題)，因為其前如果有DENY動作的策略，就能起到一定的訪問控制效果。這類策略是用戶最難發(fā)現(xiàn)的，而且也是導(dǎo)致用戶總是將新策略插入到最后，不敢刪除老策略的一個重要的原因。導(dǎo)致策略條目越來越多、策略次序不合理等現(xiàn)象出現(xiàn)。FlowEye使用特有的策略元素重合度分析技術(shù)，能夠準(zhǔn)確發(fā)現(xiàn)這類策略，幫助用戶消除策略中潛藏的隱患。

直觀的策略分析報告

FlowEye提供清晰易懂的、符合防火墻策略管理員習(xí)慣的分析報告。

(圖中數(shù)據(jù)為構(gòu)造數(shù)據(jù)，僅供了解功能使用)

策略動態(tài)跟蹤

FlowEye的策略監(jiān)視實現(xiàn)了對防火墻策略全生命周期的管理。FlowEye根據(jù)自身采集到的流量持續(xù)不斷地對防火墻策略進(jìn)行監(jiān)視，一旦發(fā)現(xiàn)問題及時給出告警。使得用戶對防火墻策略的管理變得更加主動。

部署

FlowEye可部署在系統(tǒng)中任何IP 可達(dá)的位置，技術(shù)上通過旁路鏡像抓包的形式采集交換上的鏡像流量。硬件方面，用戶可以選擇FlowEye 的專用硬件產(chǎn)品，并不需要在防火墻或者其他網(wǎng)絡(luò)設(shè)備上安裝軟件，對用戶網(wǎng)絡(luò)安全方面的配置不會有任何。