防火墻安全策略梳理

1、 防火墻安全策略梳理 目錄防火墻策略梳理需求分析產(chǎn)品簡(jiǎn)介功能特點(diǎn)技術(shù)優(yōu)勢(shì)典型應(yīng)用用戶價(jià)值需求分析隨著網(wǎng)絡(luò)和信息技術(shù)的高速發(fā)展，用戶的網(wǎng)絡(luò)規(guī)模在不斷擴(kuò)大，承載的業(yè)務(wù)也在不斷增多，為此網(wǎng)絡(luò)中的流量也愈加復(fù)雜。通過對(duì)網(wǎng)絡(luò)中業(yè)務(wù)的分析，梳理了當(dāng)前網(wǎng)絡(luò)中存在的典型問題如下：- 對(duì)IP地址的使用情況掌握的不全面。除了已知的可信的IP外，是否還有未知的IP、網(wǎng)段在活動(dòng)？這些IP地址、網(wǎng)段是否屬于誤用或?yàn)E用？?jī)?nèi)網(wǎng)中哪些IP地址是暴露在互聯(lián)網(wǎng)的？是否存在遺漏的暴露面IP？ 不清楚安全域之間的訪問關(guān)系真實(shí)情況，不清楚是否按照安全域劃分要求對(duì)網(wǎng)絡(luò)進(jìn)行了劃分。 不清楚是否存在因防火墻配置錯(cuò)誤而被放行的違規(guī)訪問？是否存

2、在不該出現(xiàn)的外連訪問，外連的目標(biāo)是哪里？ 針對(duì)網(wǎng)絡(luò)流量分析缺乏簡(jiǎn)單易用的工具支撐，復(fù)雜的流量分析產(chǎn)品對(duì)用戶專業(yè)能力要求高。 未知威脅頻繁發(fā)生，僅靠傳統(tǒng)的威脅檢測(cè)技術(shù)不足以應(yīng)對(duì)日益嚴(yán)峻的安全形勢(shì)。產(chǎn)品簡(jiǎn)介產(chǎn)品簡(jiǎn)介FlowEye安全域流監(jiān)控系統(tǒng)依托啟明星辰集團(tuán)自身在安全行業(yè)多年的經(jīng)驗(yàn)積累和技術(shù)沉淀，適應(yīng)信息安全技術(shù)發(fā)展的新趨勢(shì)，適時(shí)推出的一款主動(dòng)化安全運(yùn)維管理系統(tǒng)。此系統(tǒng)集網(wǎng)絡(luò)訪問行為監(jiān)控、網(wǎng)絡(luò)流量管理、監(jiān)控、分析于一體，以IP資產(chǎn)為核心，通過對(duì)網(wǎng)絡(luò)中的流量進(jìn)行審計(jì)，梳理出網(wǎng)絡(luò)中的互訪關(guān)系，監(jiān)控網(wǎng)絡(luò)中的訪問行為；通過對(duì)網(wǎng)絡(luò)中的異常行為分析建立算法模型，準(zhǔn)確識(shí)別出異常行為，通過溯源，近而定位原因；另

3、外此還提供了專門的防火墻策略分析和梳理功能，通過對(duì)防火墻策略的分析梳理出策略的有效性，并為用戶提供合理化的建議。此系統(tǒng)從實(shí)際使用出發(fā)，采用專家的視角，充分考慮運(yùn)維人員、安全服務(wù)人員的需求。節(jié)省了人力，大大提高了工作效率。目前，此系統(tǒng)已成功應(yīng)用在多個(gè)領(lǐng)域，包括運(yùn)營(yíng)商、金融、能源、公安、政府、煙草、教育等，成功幫助眾多客戶實(shí)現(xiàn)了安全運(yùn)維管理工作從被動(dòng)向主動(dòng)、安全建設(shè)路線從合規(guī)化向合規(guī)與實(shí)際需求相結(jié)合、網(wǎng)絡(luò)威脅從被動(dòng)響應(yīng)向主動(dòng)感知、主動(dòng)干預(yù)的轉(zhuǎn)變。功能特點(diǎn)防火墻策略管理：系統(tǒng)能夠?qū)χ髁鞣阑饓Σ呗耘渲脝栴}和使用情況進(jìn)行分析，并為新部署的防火墻，快速梳理出一個(gè)基礎(chǔ)策略。異常行為檢測(cè)：系統(tǒng)依托自身存儲(chǔ)的海

4、量網(wǎng)絡(luò)流行為信息，通過分析流量的行為特征，能夠發(fā)現(xiàn)多種異常流量。流量行為報(bào)表：系統(tǒng)支持流量報(bào)表的自定義。支持報(bào)表導(dǎo)出為pdf、word、html、excel多種格式，支持報(bào)表計(jì)劃。查詢統(tǒng)計(jì)：系統(tǒng)提供一個(gè)強(qiáng)大靈活的流量查詢引擎，查詢結(jié)果列表展示，查詢結(jié)果可導(dǎo)出excel表。流量監(jiān)控：系統(tǒng)提供行為發(fā)生時(shí)的流量的趨勢(shì)、Top10 IP、Top10應(yīng)用監(jiān)控功能，支持監(jiān)控范圍自定義，可自定義監(jiān)控的IP范圍、服務(wù)、端口、采集引擎及接口、流量方向等?；ヂ?lián)監(jiān)控：系統(tǒng)提供的互聯(lián)監(jiān)控功能，形象展示出互聯(lián)關(guān)系黑白名單類型，支持圖形對(duì)象下鉆，支持監(jiān)控圖的縮放、導(dǎo)出等操作。IP管理：所有的流量都是來自于IP節(jié)點(diǎn)，系統(tǒng)從

5、安全管理的角度將IP劃分為可信的已知IP和不可信的未知IP。黑白名單管理：系統(tǒng)提供黑白名單方式管理流量的功能。黑白名單由五元組定義，用戶可以在系統(tǒng)新建黑白名單，也可以從excel表導(dǎo)入。技術(shù)優(yōu)勢(shì)智能策略梳理采用基于流量和安全域配置的策略智能梳理技術(shù)，解決了用戶為新防火墻快速配置策略的難題。IP地理定位系統(tǒng)采用IP地理定位技術(shù)，不但增強(qiáng)了數(shù)據(jù)的可讀性和關(guān)聯(lián)性，更豐富了數(shù)據(jù)分析的視角?？梢暬到y(tǒng)采用地圖、拓?fù)鋱D、柱狀圖、餅狀圖、趨勢(shì)圖等數(shù)據(jù)可視化展現(xiàn)技術(shù)，使得數(shù)據(jù)展現(xiàn)更直觀，監(jiān)控分析工作更輕松。數(shù)據(jù)聚合預(yù)先對(duì)基礎(chǔ)數(shù)據(jù)按照不同主題進(jìn)行聚合處理，保證用戶查詢的快速響應(yīng)。高性能抓包根據(jù)磁盤的工作原理，對(duì)

6、包存儲(chǔ)算法進(jìn)行優(yōu)化，抓包存儲(chǔ)性能接近千兆?；谛袨榈臋z測(cè)系統(tǒng)的異常流量檢測(cè)全部采用基于流量的行為分析技術(shù)，不需要特征庫(kù)，可以應(yīng)對(duì)已知和未知威脅。典型應(yīng)用系統(tǒng)采用流量采集引擎分布式旁路部署，和數(shù)據(jù)中心集中存儲(chǔ)、分析、展現(xiàn)部署。 端口鏡像部署方案 Flow部署方案用戶價(jià)值無干擾式部署：系統(tǒng)采用旁路分布式部署方式采集流量，對(duì)用戶網(wǎng)絡(luò)無任何影響。數(shù)據(jù)豐富：系統(tǒng)不但具有海量的數(shù)據(jù)存儲(chǔ)能力，還提供從基本的流信息到會(huì)話內(nèi)容，到最原始的網(wǎng)絡(luò)包等不同粒度的數(shù)據(jù)。除了這些來自數(shù)據(jù)包的信息外，還提供了地理位置信息、IP分組信息、設(shè)備名字等更加易讀的關(guān)聯(lián)信息。分析靈活：系統(tǒng)提供靈活的查詢分析手段，支持豐富的查詢條件及組合，以及豐富的查詢結(jié)果分組和排序，可滿足用戶靈活多樣的數(shù)據(jù)分析要求。名單策略配置靈活：系統(tǒng)不但支持名單和策略的IP地址引用具體IP，更支持IP地址引用地理區(qū)域。這對(duì)于那些無法確切描述IP地址，但可以描述地理區(qū)域的場(chǎng)合十分方便。如用戶可以輕松地配置出Internet到本地網(wǎng)絡(luò)、某國(guó)到本地網(wǎng)絡(luò)等等這樣的策略?？梢暬宫F(xiàn)