技術(shù)點對點應(yīng)答唯品會

1、 “技術(shù)指標(biāo)要求”的點對點應(yīng)答功能類別功能項功能描述需求類別安全策略變更管理變更通知當(dāng) 的配置或者安全策略被變更時，指定的管理 實時收到發(fā)來 ，告知管理員配置的變更以及變更狀況一類答：滿足。Firemon Security Manager被管理設(shè)備的變更，根據(jù)配置，當(dāng)發(fā)現(xiàn)被管理設(shè)備的某些后，可通知到指定或者syslog 到 log 服務(wù)器。可以包括：、路由交換設(shè)備策略配置變更、預(yù)定的審計結(jié)果、預(yù)定的策略測試報告結(jié)果等。同時，當(dāng)發(fā)現(xiàn)策略配置變更后，Security Manager 可以試試抓取被管理設(shè)備的配置，做到和被管理設(shè)備的配置同步。變更跟蹤不同時間點配置比對 每次 配置的修改，包括修改的詳

2、細(xì)技術(shù)信息。并且可比較不同時間點的配置的異同，并詳細(xì)標(biāo)記差異之處。一類安全策略測試可以測試當(dāng)前網(wǎng)絡(luò)結(jié)構(gòu)下，以及策略配置二類答：滿足要求。Firemon Security Manager 可對比被管理不同時間點配置的異同，支持變更比對、全部 比對，已本形式的比對方式，并給出報告，請參考下圖：下，系統(tǒng)內(nèi)的兩個節(jié)點間的指導(dǎo)服務(wù)是否可達(dá)。方便的了解所配置的某條策略是否生效，或者是否需要增加新的安全策略來 系統(tǒng) 內(nèi)兩點間的某項服務(wù)。答：滿足要求。Firemon 的 APA 功能（Access Path Analysis）能夠測試當(dāng)前網(wǎng)絡(luò)結(jié)構(gòu)下，以及 策略配置下，系統(tǒng)內(nèi)的兩個節(jié)點間的指導(dǎo)服務(wù)是否可達(dá)。方便

3、的了解所配置的某條策略是否生效，或者 是否需要增加新的安全策略來 系統(tǒng) 內(nèi)兩點間的某項服務(wù)。在 Firemon 的 APA 功能下，用戶只需輸入：起始源、終結(jié)點、服務(wù)，F(xiàn)iremon 即可給出這兩個節(jié)點間是否可達(dá)，如可達(dá)，則顯示出可達(dá)的路徑；如不可達(dá)，則顯示出在哪里被阻斷。如果該 路徑上存在 ，則會顯示出是命中的哪一條策略，或者哪一條策略把流量 drop 掉。如果路徑上存在 NAT，也會顯示出命中的哪一條 NAT 策略，并且是如何進(jìn)行地址翻譯的。日志審計每次配置變更的具體狀況，包括那個一類人、什么時間、修改了什么等等。可通過格式化輸出審計報告。答：滿足要求。Firemon Security M

4、anager 可下被管理設(shè)備的每一次變更，并在系統(tǒng)中保存，保存的時間可以為數(shù)年甚至更長時間。根據(jù)上述，管理員可利用 Firemon Security Manager 查看被被管理設(shè)備的配置、配置變更，包括變更的詳細(xì)信息，何時、何地、何人、做了怎樣的變更?？赏ㄟ^格式化輸出審計報告。策略使用狀況 策略使用狀況分析通過每條安全策略的被使用情況，并且通過圖形化方式顯示。通過報告可以查看某臺上哪一類分析些策略是長期以來沒有被使用過，哪些安全策略的使用率最高等等。通過該報告可以調(diào)整 安全策略的順序，可以刪除長期 為零的策略等。對象使用狀況分析能夠 每條安全策略的使用率狀況，還能夠每天策略內(nèi)的各個對象的使用

5、狀況，是否存在冗余的、無用的對象，管理員可以通過此信息精簡策略配置，提升 效率一類答：滿足要求。Firemon 的策略利用率分析功能，能夠每條安全策略的使用率狀況，還能夠每天策略內(nèi)的各個對象的使用狀況，是否存在冗余的、無用的對象，管理員可以通過此信息精簡策略配答：滿足要求。FireMon Security Manager每條安全策略的被使用情況。其 Rule Usage 報告能夠?qū)崟r以圖形化方式或者報表方式顯示當(dāng)前時刻某或者路由交換設(shè)備上安全策略使用率狀況。通過，你可以查看某臺上哪些策略是長期以來沒有被使用過，哪些安全策略的使用率最高等等。通過該報告可以調(diào)整安全策略的順序，可以刪除長期為零的策

6、略等。需要說明的是：Firemon 的策略利用率報告生成，可以由用戶自由選擇需要分析的起始時間和結(jié)束時間（如生成 2016 年 3 月 12 日到 2016 年 5 月 20 日的指定 上的策略利用率）。并且也可以搜索特定利用率的策略（如搜索所有 上策略利用率大于 5%的所有策略）。下圖就是一張安全策略使用率報告樣本置，提升效率。活動報告每天的活動狀況，并產(chǎn)生的活動報告。通過，管理員可查看該當(dāng)日是否過于繁忙，或者異常的無活動等。一類拓?fù)浜筒呗赃M(jìn)出流向的展現(xiàn)后是否能自動發(fā)現(xiàn)設(shè)備并自動生成邏輯拓?fù)洌?另通過源和目的 IP能提供策略流量所經(jīng)過的設(shè)備及匹配的策略。一類答：滿足要求。FireMon 分析

7、每天活動情況，能夠生成每天連接數(shù)，最近 30 天的總連接數(shù)，使用最頻繁的來源 IP 和目的 IP。答：滿足要求。Firemon 可根據(jù)獲取到的被管理設(shè)備配置信息，自動生成網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖，并且可在該拓?fù)浣Y(jié)構(gòu)圖的基礎(chǔ)上，利用 APA 功能（Access Path Analysis），測試當(dāng)前網(wǎng)絡(luò)結(jié)構(gòu)下，以及策略配置下，系統(tǒng)內(nèi)的兩個節(jié)點間的指導(dǎo)服務(wù)是否可達(dá)。方便的了解所配置的某條策略是否生效， 或者是否需要增加新的安全策略來系統(tǒng) 內(nèi)兩點間的某項服務(wù)。在 Firemon 的 APA 功能下，用戶只需輸入：起始源、終結(jié)點、服務(wù)，F(xiàn)iremon 即可給出這兩個節(jié)點間是否可達(dá)，如可達(dá)，則顯示出可達(dá)的路徑；如

8、不可達(dá)，則顯示出在哪里被阻斷。如果該 路徑上存在 ，則會顯示出是命中的哪一條策略，或者哪一條策略把流量 drop 掉。如果路徑上存在 NAT，也會顯示出命中的哪一條 NAT 策略，并且是如何進(jìn)行地址翻譯的。冗余安全策略分析大量的無用，或者冗余的安全策略，審計管理協(xié)助管理員可以查看哪些安全策略是不必要的冗余配置。可以根據(jù)該報告 多余的安全策略。一類答：滿足要求。Firemon Security Manager 的冗余策略報告功能，能夠分析某 當(dāng)前策略是否存在冗余策略，并生成相應(yīng)報告。報告中詳細(xì)分析了冗余策略的狀況，并給出建議的操作。另外，在 Security Manager 上，不僅可分析出策略

9、的冗余，還可以分析出對象（object）的冗余狀況，能夠更加全面的分析當(dāng)前策略的冗余狀況。可以根據(jù)該報告 多余的安全策略。需要說明的是，即使客戶策略配置包含反向掩碼，F(xiàn)iremon Security Manager 也可正常分析出冗余策略報告。下圖是一個冗余策略報告的截圖。安全策略復(fù)雜度分析查看所有配置的復(fù)雜度狀況，過于復(fù)雜的防火墻配置，包括安全策略配置，將大幅影響的工作效率。通過報告，可以發(fā)現(xiàn)哪些的配置過于復(fù)雜，需要進(jìn)行。一類答：滿足要求。Firemon Security Manager 的 復(fù)雜度報告，能夠查看所有 配置的復(fù)雜度狀況，過于復(fù)雜的 配置，包括安全策略配置，將大幅影響 的工作效

10、率。通過報告，可以發(fā)現(xiàn)哪些 的配置過于復(fù)雜，需要進(jìn)行 。安全策略流量分析管理員可查看任何一條安全策略的流量詳細(xì)信息， 包括各種應(yīng)用的等。根據(jù)該報告制定更加有針對性、更加準(zhǔn)確的安全策略，從而提升的安。一類答：滿足要求。Firemon Security Manager 的 TFA 策略流量分析功能（Traffic Flow Analysis）可查看任何一條安全策略的流量詳細(xì)信息，包括各種應(yīng)用的 等。根據(jù)該報告制定更加有 性、更加準(zhǔn)確的安全策略，從而提升 的安 。啟動對某策略的 TFA 分析操作上非常簡單。l 在 Firmeon中對這條策略啟動 TFA 功能；l Firemon會開始自動對該策略的流

11、量進(jìn)行分析統(tǒng)計； 一段時間后，管理員到 Firemon上操作生成 TFA 報告。TFA 報告將包括這段時間目標(biāo)策略的詳細(xì)被使用情況，包括哪些 IP 地址使用了該策略、都命中的哪些對象（object）、每個對象命中次數(shù)多少等，并根據(jù)算法，進(jìn)行統(tǒng)計整理。TFA 報告還可輸出為可編輯的 CSV 格式，供管理員進(jìn)行進(jìn)一步的 處理。下圖為一份 TFA報告樣本:安全規(guī)范審計安全規(guī)范審計根據(jù)國際規(guī)范 或者標(biāo)準(zhǔn)， 包括 PCI 或者ISO27002 等，審計 的配置。審計報告中會顯示哪些配置是不符合規(guī)范，并且給出建議。一類答：滿足要求Firemon 中，其 內(nèi)部缺省內(nèi)置了幾十種安全規(guī)范模板，包括 PCI-DS

12、S、SOX、ISO27002 等（ 相關(guān)部分），以及各 廠家的最佳安全實踐?？筛鶕?jù)這些內(nèi)置的安全規(guī)范審計防火墻的配置。審計報告中會顯示哪些配置是不符合規(guī)范，并且給出建議。自定義安全規(guī)范審計審計系統(tǒng)的自定義安全審計功能，審計系統(tǒng)內(nèi)所有設(shè)備上的安全策略配置，是否存在該危險 TCP 端口的安全策略，并做出相應(yīng)的修改一類答：滿足要求。Firemon Security Manager 提供了自定義安全規(guī)范的能力，內(nèi)部提供了良好的模板及安全規(guī)范定義工具，基本上所有的安全規(guī)范，無論行業(yè)自身規(guī)范，還是企業(yè)自身規(guī)范，均可自定義在Firemon中。管基于用戶支持為具體用戶指派些操作定義用戶可進(jìn)行哪一類理答：滿足要

13、求。Firemon Security Manager 支持多個管理員，不同的管理員可以被賦予不同的管理權(quán)限，管理不同的 、路由交換設(shè)備。一個管理員登錄進(jìn)入系統(tǒng)后，將只能夠看到 權(quán)限內(nèi)的防火墻或路由交換設(shè)備。并且管理員的操作權(quán)限也可 細(xì)分，能夠按照功能需求分配操作權(quán)限。支持管理用戶組授權(quán)能夠設(shè)置不同的管理用戶組，每個用戶組具有不同的管理和權(quán)限。一類操作審計支持用戶活動審計支持每個用戶的活動，如在何時、使用何帳號、登錄何以及登錄持續(xù)時間等一類支持命令行審計支持通過 ssh 登錄后執(zhí)行令行，可或一類答：滿足要求。Firemon 支持每個用戶的活動，如在何時、使用何帳號、登錄何以及登錄持續(xù)時間等。答：

14、滿足要求。Firemon Security Manager 支持多個管理員，不同的管理員能夠設(shè)置不同的管理用戶組，每個用戶組具有不同的管理和權(quán)限。一個管理員登錄進(jìn)入系統(tǒng)后，將只能夠看到權(quán)限內(nèi)的或路由交換設(shè)備。并且管理員的操作權(quán)限也可細(xì)分，能夠按照功能需求分配操作權(quán)限。到指置支持命令行可以通過關(guān)鍵字進(jìn)行，并快速到活動發(fā)生的時間點一類系統(tǒng) 管理統(tǒng)一數(shù)據(jù)歸集支持將數(shù)據(jù)、日志定期到服務(wù)器，以便于長期存檔，滿足合規(guī)性要求。一類其他API 開發(fā)接口審計系統(tǒng)提供與我司管理系統(tǒng)的 API 開發(fā)接口，并且提供多種方式的數(shù)據(jù)交互方式。二類答：滿足要求。Security Manager 提供標(biāo)準(zhǔn)的 WebServe

15、r 接口，外部系統(tǒng)可以通過該 WEB 接口，調(diào)用 Security Manager 中提供的一些數(shù)據(jù)或報告，如策略利用率、不合規(guī)安全策略等。這樣外部系統(tǒng)可以根據(jù)這些數(shù)據(jù)進(jìn)行二次開發(fā)，使得 及路由交換設(shè)備的管理更加自動、智能。答：滿足要求。Firemon Security Manager 支持將數(shù)據(jù)、日志定期到服務(wù)器，以便于長期存檔，滿足合規(guī)性要求。答：滿足要求。Firemon 可以通過關(guān)鍵字進(jìn)行，并快速到活動發(fā)生的時間點。答：滿足要求。Firemon 支持通過 ssh 登錄后執(zhí)行令行，可或到指置。Firemon支持并提供與其他系統(tǒng)的接口。Firemon內(nèi)置數(shù)據(jù)庫，從被管理上獲取并分析后提取的數(shù)據(jù)，通過 Firemon UI 界面產(chǎn)生的報告均基于數(shù)據(jù)庫中的數(shù)據(jù)產(chǎn)生。Firemon 系統(tǒng)數(shù)據(jù)，而不是報告。從大數(shù)據(jù)角度而言，F(xiàn)iremon內(nèi)部了系統(tǒng)內(nèi)部所有以“”角度的“大數(shù)據(jù)”。這些大數(shù)據(jù)包括：系統(tǒng)的拓?fù)浣Y(jié)構(gòu)圖、網(wǎng)關(guān)的位置（包括、路由交換設(shè)備等）、網(wǎng)關(guān)的配置（特別是安全策略配置）、配置的變更歷史、