安全策略集中管理智能化運維平臺需求說明

安全策略集中管理智能化運維平臺需求說明1系統(tǒng)概述1.1建設(shè)目標對中心網(wǎng)絡(luò)設(shè)備安全防護提升，在安全防護提升方面，安全策略集中管理智能化運維平臺納管全網(wǎng)異構(gòu)訪問控制設(shè)備，形成作戰(zhàn)地圖，平時持續(xù)進行策略優(yōu)化、暴露面收斂和業(yè)務(wù)開通，戰(zhàn)時進行一鍵封堵，快速阻斷攻擊。在簡化運維及節(jié)約成本方面，攔截網(wǎng)關(guān)減小后續(xù)安全防護設(shè)備處理壓力，減少重復(fù)日志，簡化其他安全設(shè)備的運維；全流量分析提供可視化分析能力，降低人員對流量分析的技術(shù)門檻，降低人員能力要求，節(jié)約人力成本。安全策略集中管理智能化運維平臺統(tǒng)一納管全網(wǎng)異構(gòu)訪問控制設(shè)備，自動化化開通，減少運維人力，降低技術(shù)門檻，規(guī)范化并簡化業(yè)務(wù)流程；系統(tǒng)聯(lián)動，如策略可視化與攔截網(wǎng)關(guān)聯(lián)動，快速自動化封禁惡意地址，為實現(xiàn)一鍵處置、一鍵查找、一鍵封堵做準備，進一步簡化運維并節(jié)約投入成本。（1）實現(xiàn)全網(wǎng)安全策略集中可視化管理，提升網(wǎng)絡(luò)安全運維效率通過網(wǎng)絡(luò)安全設(shè)備與安全策略的集中管理，實現(xiàn)對網(wǎng)異構(gòu)品牌的防火墻、交換路由、負載均衡等設(shè)備的安全策略、路由策略、NAT策略等策略配置信息的自動采集、解析、歸一化存儲，并采用統(tǒng)一的可視化結(jié)構(gòu)進行策略業(yè)務(wù)邏輯展示，可讀性和可維護管理性大大提高。安全策略集中管理智能化運維平臺提供了智能化、自動化的策略開通管理，從策略變更申請工單提交到工單審批、工單推送、策略執(zhí)行做到及時跟蹤和審核，同時平臺自帶策略仿真功能，在工單審批環(huán)節(jié)可根據(jù)全網(wǎng)安全策略現(xiàn)狀與企業(yè)訪問控制策略基線提供全面的策略變更風險分析報告，協(xié)助運維人員能快速、有效的完成策略變更，并確保變更內(nèi)容準確性。同時平臺圍繞安全策略管理方面還提供策略查詢分析、策略優(yōu)化檢查、策略歷史備份與對比、策略命中與收斂分析、策略報表報告等一系列功能，最終實現(xiàn)全網(wǎng)安全策略可控、可看、可管，大幅提升網(wǎng)絡(luò)安全運維管理效率。（2）通過策略優(yōu)化檢查，落實信息安全最小化原則由于網(wǎng)絡(luò)安全設(shè)備長時間維護和使用，通常會存在較多過多的、不必要的、重復(fù)的安全策略，同時也會存在一些過于寬松的策略設(shè)置(服務(wù)、地址全any)，這類垃圾與過于寬松的策略驗證影響設(shè)備運行效率，也不符合信息安全管理規(guī)范，同時還存在被惡意利用和攻擊的嚴重安全隱患。針對此類策略的檢查和梳理，平臺提供基于大數(shù)據(jù)和機器學(xué)習算法的安全策略優(yōu)化檢查功能，可對設(shè)備中安全策略進行秒級的優(yōu)化檢查，從而快速找出設(shè)備中的各類冗余策略、屏蔽策略、空策略、過期策略，及時發(fā)現(xiàn)并規(guī)避全網(wǎng)中過于“寬松”的安全策略與訪問控制策略（類似核心交換防火墻安全策略默認全通），從而減少核心業(yè)務(wù)與數(shù)據(jù)資產(chǎn)受攻擊面。（3）通過策略開通實現(xiàn)智能化運維，釋放業(yè)務(wù)敏感性提供網(wǎng)絡(luò)訪問控制策略變更全生命周期管理能力，實現(xiàn)工單申請、路徑仿真、策略檢查、風險分析、配置生成下發(fā)、路徑驗證與報告審計全流程自動化，批量業(yè)務(wù)開通最快能實現(xiàn)分鐘級完成，確保業(yè)務(wù)變更準確的同時提升業(yè)務(wù)變更響應(yīng)與交付效率。完美解決策略運維工作效率低與業(yè)務(wù)敏捷性高的矛盾，持續(xù)保證策略變更工作的準確、合規(guī)與高效。（4）助力安全監(jiān)管真正合規(guī)、網(wǎng)絡(luò)環(huán)境更加健康安全等保2.0中對安全策略與訪問控制方面的強制要求：應(yīng)對服務(wù)層個安全組件的安全策略進行集中的可視化展示、管理和控制，并檢測安全策略的有效性；應(yīng)刪除多余或無效的訪問控制規(guī)則，優(yōu)化訪問控制列表，并保證訪問控制規(guī)則梳理最小化。安全策略集中管理智能化運維平臺安全策略管理、策略優(yōu)化檢查、策略基線等功能將很好助力企業(yè)安全監(jiān)管真正合規(guī)、絡(luò)環(huán)境更加健康安全。（5）監(jiān)控聯(lián)動告警、提升運維智能化水平告警可視化：通過廣泛集成，增強網(wǎng)絡(luò)運維支撐系統(tǒng)間橫向聯(lián)動，實現(xiàn)監(jiān)控告警可視化展示，相關(guān)監(jiān)控系統(tǒng)的告警信息能直觀在拓撲視圖中顯示，準確定位告警位置；報表報告：依托大數(shù)據(jù)分析和統(tǒng)計，滿足用戶自定義各類設(shè)備臺賬、設(shè)備變更、拓撲鏈接更新等相關(guān)監(jiān)控告警、報表報告。1.2系統(tǒng)架構(gòu)（1）安全策略可視化系統(tǒng)技術(shù)架構(gòu)系統(tǒng)采用分層設(shè)計理念，共分為數(shù)據(jù)采集層、建模分析層、安全清理運維層、監(jiān)控呈現(xiàn)層。數(shù)據(jù)采集層主要通過在線采集方式定期采集防火墻、路由、交換機、負載均衡等設(shè)備的策略配置文件與路由數(shù)據(jù)，并進行歸一化入庫存儲。建模分析層提供了一套策略模擬仿真環(huán)境，可以根據(jù)業(yè)務(wù)開通信息進行全網(wǎng)訪問路徑模擬仿真分析，生成策略開通建議并翻譯成命令行。業(yè)務(wù)功能層主要提供訪問控制策略的集中管理和分析，主要包括策略列表、策略梳理、策略檢查、策略命中與收斂分析?？梢暬故緦又饕峁┚W(wǎng)絡(luò)拓撲可視化及安全路徑可視化。（2）網(wǎng)絡(luò)節(jié)點資源管理平臺技術(shù)架構(gòu)網(wǎng)絡(luò)資源節(jié)點管理平臺由數(shù)據(jù)采集層、建模分析層、業(yè)務(wù)應(yīng)用層、可視化展示層組成。主要通過種子設(shè)備的方式，采用SNMP協(xié)議定期采集防火墻、路由、交換機、負載均衡等設(shè)備的MIB庫數(shù)據(jù)，并進行歸一化入庫存儲。基于讀取到的MIB庫基本信息，匹配預(yù)定義規(guī)則庫，實現(xiàn)自動分類設(shè)備類型廠商，通過接口-IP-MAC映射數(shù)據(jù)，關(guān)聯(lián)分析出生成樹。業(yè)務(wù)功能層提供了一套設(shè)備發(fā)現(xiàn)及設(shè)備管理的環(huán)境，可以通過種子發(fā)現(xiàn)設(shè)備自動發(fā)現(xiàn)設(shè)備，并自動按機構(gòu)分組，自動生成拓撲圖?？梢暬故緦又饕峁┚W(wǎng)絡(luò)拓撲可視化、鏈路信息可視及設(shè)備狀態(tài)告警可視。1.3部署方式部署位置：中心主機房與下屬網(wǎng)點機房部署方式：安全策略集中管理智能化運維平臺為軟件系統(tǒng)，采用旁路部署即可，不改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)。建議部署在網(wǎng)絡(luò)安全管理區(qū)，保證平臺與被管防火墻設(shè)備之間IP網(wǎng)絡(luò)可到即可，平臺通過節(jié)點設(shè)備只讀賬號以SSH方式在線讀取設(shè)備配置信息。1.4規(guī)劃體現(xiàn)（1）異構(gòu)設(shè)備集中管理技術(shù)異構(gòu)設(shè)備關(guān)聯(lián)分析的基礎(chǔ)工作是針對多源異構(gòu)設(shè)備進行統(tǒng)一解析和治理。依照網(wǎng)絡(luò)OSI結(jié)構(gòu)模型，異構(gòu)多源網(wǎng)絡(luò)安全設(shè)備在網(wǎng)絡(luò)安全管理上同樣具備共通性，如網(wǎng)絡(luò)層安全訪問控制，最終通過對源地址、目的地址、源端口、目的端口、協(xié)議端口號等七元組信息來達成管控的目的。異構(gòu)設(shè)備策略解析技術(shù)通過策略建模將多源異構(gòu)網(wǎng)絡(luò)安全設(shè)備的策略進行統(tǒng)一解析。（2）異構(gòu)設(shè)備策略關(guān)聯(lián)分析技術(shù)多源異構(gòu)設(shè)備策略統(tǒng)一解析后，多臺設(shè)備和各業(yè)務(wù)系統(tǒng)之間可進行關(guān)聯(lián)分析。安全策略集中管理系統(tǒng)運用數(shù)據(jù)關(guān)聯(lián)分析技術(shù)進行多源異構(gòu)網(wǎng)絡(luò)安全設(shè)備策略解析形成業(yè)務(wù)拓撲并進行業(yè)務(wù)路徑分析。（3）異構(gòu)設(shè)備聯(lián)動處置技術(shù)基于安全策略集中管理平臺根據(jù)異構(gòu)網(wǎng)絡(luò)安全設(shè)備實際配置所構(gòu)建的安全業(yè)務(wù)域拓撲，平臺分析網(wǎng)絡(luò)攻擊所利用的業(yè)務(wù)路徑信息，判斷可進行威脅處理的網(wǎng)絡(luò)安全設(shè)備，并向異構(gòu)網(wǎng)絡(luò)安全設(shè)備下發(fā)配置，實現(xiàn)安全威脅的一鍵處置、快速封禁和策略收斂。本項目進行流程和技術(shù)的自動化設(shè)計，通過系統(tǒng)間關(guān)聯(lián)分析，自動化發(fā)現(xiàn)和處置安全威脅，提升網(wǎng)絡(luò)安全和運維效率，并降低運維成本。策略自動化開通和封堵包括業(yè)務(wù)請求服務(wù)化、模擬仿真分析、選路建議、策略風險分析、策略配置自動生成以及策略開通驗證等多個環(huán)節(jié)，通過全流程化、自動化的方式減輕策略開通和封堵業(yè)務(wù)工作量，并確保變更內(nèi)容準確。1.5關(guān)鍵技術(shù)設(shè)計（1）異構(gòu)設(shè)備訪問控制策略集中管理平臺通過在線采集方式定期抓取防火墻、路由交換、負載均衡等網(wǎng)關(guān)設(shè)備的策略配置文件以及路由表信息，再通過歸一化方式解析存儲到統(tǒng)一的安全策略模型中，最終實現(xiàn)對異構(gòu)品牌型號及設(shè)備的各類訪問控制策略的集中展示、查詢、導(dǎo)出、分析等相關(guān)功能。為滿足不同的應(yīng)用場景，支持手工采集和在線采集兩種策略配置采集提取方式：手工采集：管理員通過手工方式在目標防火墻等設(shè)備Web管理界面通過“導(dǎo)出配置”或命令行控制臺通過ShowConfig的方式將設(shè)備策略配置信息導(dǎo)出到配置文件中，再將配置文件上傳至安全策略集中管理平臺。支持Log、txt、conf、cfg、XML等多種文件格式的配置文件解析。在線采集：針對目標防火墻設(shè)備是否支持命令行配置管理，安全策略集中管理平臺提供兩種在線采集方式。對于支持命令行配置的目標設(shè)備，平臺可通過SSH、Telnet等遠程訪問管理協(xié)議在線自動采集目標設(shè)備的策略配置信息；對于不支持命令行配置的目標設(shè)備，平臺可通過API接口或Web管理頁面獲取策略配置信息。（2）安全策略配置檢查與優(yōu)化分析防火墻策略由于日積月累、頻繁變更等原因造成很多垃圾無效策略，安全策略配置檢查通過對配置文件中的安全策略進行逐一與其他策略進行比對分析，判斷相互之間的包含與被包含關(guān)系，最終檢查分析判斷是否為冗余策略或隱藏策略，以及是否存在可合并策略和空策略等，管理員可根據(jù)分析結(jié)果進行精簡和優(yōu)化調(diào)整。（3）邏輯安全域拓撲自動生成通過讀取防火墻、路由交換設(shè)備的配置，解析出各網(wǎng)關(guān)設(shè)備包含的接口與網(wǎng)段、以及安全域設(shè)置；任意兩個網(wǎng)關(guān)節(jié)點之間，若存在相同的接口子網(wǎng)，即為互聯(lián)關(guān)系，在拓撲上會自動通過子網(wǎng)連線體現(xiàn)出來，依次遞歸遍歷所有網(wǎng)關(guān)設(shè)備，即可自動形成全網(wǎng)邏輯拓撲；在此基礎(chǔ)上，通過人工干預(yù)安全域及資產(chǎn)信息，描繪安全域架構(gòu)拓撲。（4）端到端全路徑分析實現(xiàn)任意源地址到目的地址的訪問路徑及數(shù)據(jù)流分析，包括是否有可達路徑、可達路徑經(jīng)過的節(jié)點及命中的路由及策略信息、允許或拒絕的數(shù)據(jù)流詳情等；訪問路徑分析時，通過源地址定位到對應(yīng)的網(wǎng)關(guān)設(shè)備，再通過網(wǎng)關(guān)設(shè)備上的路由逐一尋找下一網(wǎng)關(guān)，直到目的地址；期間需匹配網(wǎng)關(guān)設(shè)備上的ACL策略、Nat策略、路由、安全策略等信息。（5）訪問控制策略自動化運維訪問控制策略自動化運維包括開通業(yè)務(wù)請求服務(wù)化、模擬仿真分析、開通選路建議、策略風險分析、策略配置自動生成以及策略開通驗證等多個環(huán)節(jié)，通過全流程化、自動化的方式減輕訪問控制開通業(yè)務(wù)工作量，并確保變更內(nèi)容準確。2項目建設(shè)需求本項目包括但不限于以下建設(shè)需求：2.1異構(gòu)設(shè)備集中管理實現(xiàn)對全網(wǎng)防火墻、路由交換、負載均衡、VPN等異構(gòu)品牌、異構(gòu)型號的網(wǎng)絡(luò)安全設(shè)備進行統(tǒng)一集中管理，包括策略采集、策略解析、策略歷史、策略變更監(jiān)控、策略查詢、策略清理、策略開通等相關(guān)功能。支持對被管設(shè)備通過SSH、Telnet等遠程訪問管理協(xié)議在線定期自動采集策略配置信息，并通過解析模板解析成歸一化的格式進行存儲。策略信息包括各類安全策略、NAT策略、ACL策略路徑路由信息。主要功能明細說明如下：1.配置提?。褐С謱θW(wǎng)三層網(wǎng)關(guān)設(shè)備（包括防火墻、路由器、交換機、負載均衡）的安全策略配置信息的自動采集與解析；2.路由采集：支持對三層網(wǎng)關(guān)設(shè)備路由表數(shù)據(jù)采集與解析；3.策略可視：支持對被管理設(shè)備的對象（包括地址對象、服務(wù)對象、時間對象）、策略（包括安全策略、ACL策略、NAT策略）和路由信息集中展示、查詢及下載導(dǎo)出；4.網(wǎng)段管理：支持對全網(wǎng)網(wǎng)段的集中展示、查詢及下載導(dǎo)出；5.配置更新：支持定時方式對被管設(shè)備的策略配置進行自動采集和更新；6.配置比對：支持同一設(shè)備不同時間點的策略配置比對。2.2策略配置優(yōu)化檢查支持對被管理設(shè)備（防火墻、交換機、路由器、負載均衡）的策略配置和對象進行優(yōu)化檢查，檢查類型包括：隱藏策略、冗余策略、可合并策略、空策略、過期策略及寬松策略，以及空對象和未被應(yīng)用對象。各類策略檢查描述如下：1.隱藏策略：同一策略集內(nèi)，一條高優(yōu)先級策略的源地址、目的地址、服務(wù)對象、時間對象完全包含或等于另外一條低優(yōu)先級策略的源地址、目的地址、服務(wù)對象、時間對象，不管動作是否一致或相反；2.冗余策略：同一策略集內(nèi)，一條低優(yōu)先級策略的源地址、目的地址、服務(wù)對象、時間對象、老化時間（長短鏈接）完全包含高優(yōu)先級另外一條策略的源地址、目的地址、服務(wù)對象，時間對象、老化時間，并且動作相同；3.空策略：策略引用的源地址對象、目的地址對象或服務(wù)對象有為空的對象，此類策略在實際應(yīng)用中是不會被匹配；4.可合并策略：同一策略集內(nèi)，兩條及以上策略源域、目的域以及動作相同的策略，源地址、目的地址、服務(wù)對象、時間對象四個元素只有一項不相同，其余均相同；5.過期策略：策略中會包含時間對象，當時間對象過期后，該策略會顯示為過期策略；6.寬松策略：源IP、目的IP及服務(wù)端口命中率過低的為寬松策略；7.空對象：只有對象名，對象內(nèi)容為空；8.未被應(yīng)用對象：未被安全策略、ACL策略和NAT策略所引用的對象。2.3安全拓撲架構(gòu)可視支持系統(tǒng)根據(jù)全網(wǎng)防火墻、路由交換等三層設(shè)備的子網(wǎng)、安全域、路由、NAT、ACL等影響網(wǎng)絡(luò)通路和可達的配置信息，并運用可視化技術(shù)，自動生成業(yè)務(wù)拓撲圖，實現(xiàn)基于全網(wǎng)的面向業(yè)務(wù)視角的安全域拓撲架構(gòu)可視。主要功能明細說明如下：1.邏輯拓撲：支持系統(tǒng)基于三層網(wǎng)關(guān)設(shè)備的配置信息，并運用可視化技術(shù)，自動生成全網(wǎng)邏輯拓撲圖，實現(xiàn)基于全網(wǎng)的面向業(yè)務(wù)視角的安全域拓撲架構(gòu)可視；2.圖層管理：支持根據(jù)不同業(yè)務(wù)視角，自定義創(chuàng)建并維護多張邏輯拓撲圖，如全網(wǎng)、各業(yè)務(wù)區(qū)域、各分行等；3.邏輯安全域：支持防火墻安全域解析，以及邏輯安全域定義和管理，結(jié)合邏輯拓撲圖，實現(xiàn)各區(qū)域防火墻重點防護區(qū)域的可視化2.4安全策略自動生成實現(xiàn)與現(xiàn)有的安全運維體系對接，構(gòu)建基于業(yè)務(wù)安全策略變更工作流，對變更操作的各個步驟進行監(jiān)控及影響性分析，并結(jié)合合規(guī)策略基線提出配置建議。安全策略自動化運維包含開通業(yè)務(wù)請求、開通建議、策略風險分析、策略遠程下發(fā)以及策略開通驗證等功能，協(xié)助網(wǎng)絡(luò)安全運維人員能快速、有效的完成策略變更，并確保變更內(nèi)容準確，從而提高工作效率，降低維護成本。1.開通工單管理：支持通過工單形式維護策略開通任務(wù)，包括策略開通的新增、查詢、刪除等；支持按工單創(chuàng)建人進行快速查詢和過濾。支持開通結(jié)果報告管理，包括策略開通申請選路建議、風險分析、命令行翻譯、開通驗證等結(jié)果信息集中展示。2.開通模擬仿真：根據(jù)開通申請的源/目的/服務(wù)進行仿真分析，判斷當前開通請求的通路情況，并定位出需要新增放通策略的防火墻設(shè)備及策略詳情。支持多源、多目的、多服務(wù)的開通申請，對可能的源/目的/服務(wù)組合進行開通模擬仿真。源與目地對象間存在NAT的情況，應(yīng)能夠自動檢測到，并自動按NAT規(guī)則正確替換訪問控制規(guī)則中的源或目的地址，實現(xiàn)過NAT前后防火墻配訪問控制配置腳本的自動分段生成，以保證過NAT時訪問控制策略下發(fā)的正確性與效率。3.策略配置檢查：在配置生成時，能夠針對每一條網(wǎng)絡(luò)訪問需求提示現(xiàn)有策略是否已經(jīng)滿足需求?；谀M仿真結(jié)果，將待開通策略與目的防火墻已有策略進行隱藏（沖突）策略的比對分析，對可能出現(xiàn)的隱藏策略進行預(yù)警提示。在配置生成時，對于能夠在現(xiàn)有策略進行合并的配置進行提示（策略合并規(guī)則為五元組：源、目的、服務(wù)、時間、action，至少有四項相同，目的地址除外）。4.策略風險分析：在配置生成時，可同時安全基線檢查，如是否包含高危端口（TCP445,139,3389等），并對不合規(guī)配置需求進行提示和告警。支持根據(jù)安全域或業(yè)務(wù)組的互訪基線進行檢查，針對不合規(guī)的開通需求進行提示和告警。5.命令行生成：基于模擬仿真結(jié)果，系統(tǒng)根據(jù)目的防火墻命令行規(guī)則自動翻譯生成安全策略命令行腳本。支持靈活命令行翻譯規(guī)則配置，如命令行中是否需要源域/目的域、是否需要創(chuàng)建地址對象、新增策略插入的行號位置等；新增策略時優(yōu)先使用目的防火墻已有的服務(wù)對象，避免重復(fù)創(chuàng)建冗余服務(wù)對象；支持對批量工單的命令行腳本按目標防火墻維度進行匯總。6.策略開通驗證：在安全策略下發(fā)完成后，可對開通路徑進行源到目的仿真分析并可視化展示，輔助定位異常問題（如邏輯路徑未開通非訪問控制問題、訪問控制策略在哪臺墻上未開通成功）。2.5自定義報表報告支持自定義報表訂閱管理，可周期性自動生成報表報告，可訂閱發(fā)送至指定郵箱；支持自定義組織報表內(nèi)容，包括策略列表、策略查詢、策略檢查、策略監(jiān)控等報表。2.6動態(tài)評估節(jié)點配置平臺內(nèi)置多種基線檢查規(guī)則，并可自定義基線規(guī)則，通過多任務(wù)并發(fā)的形式快速高效的生成基線配置合規(guī)報表，及時準確的篩選出違反配置規(guī)則的設(shè)備，并提供相應(yīng)的處置建議。支持多維度的展示檢查結(jié)果，支持高亮顯示違規(guī)配置。2.7API接口平臺采用開放式體系架構(gòu)，對外提供完整的RESTAPI接口，以便與第三方運維平臺、安全管理平臺等系統(tǒng)或產(chǎn)品進行深度集成與對接。3設(shè)備采購清單3.1設(shè)備采購清單序號產(chǎn)品名稱規(guī)格參數(shù)數(shù)量單位1基礎(chǔ)平臺詳見設(shè)備參數(shù)指標1套2動態(tài)拓撲詳見設(shè)備參數(shù)指標1套3策略命中與收斂詳見設(shè)備參數(shù)指標1套4拓撲與路徑詳見設(shè)備參數(shù)指標1套5策略開通詳見設(shè)備參數(shù)指標1套6應(yīng)急封堵詳見設(shè)備參數(shù)指標1套7防火墻設(shè)備授權(quán)防火墻、網(wǎng)閘設(shè)備授權(quán)，包括主備，虛墻等15臺8其他網(wǎng)關(guān)設(shè)備授權(quán)除防火墻之外的網(wǎng)關(guān)設(shè)備，包括路由、交換、負載均衡、模擬網(wǎng)關(guān)30臺9設(shè)備授權(quán)100臺設(shè)備授權(quán)1套10首次安裝部署安裝實施服務(wù)項13.2設(shè)備參數(shù)指標1基礎(chǔ)要求支持傳統(tǒng)網(wǎng)絡(luò)架構(gòu)中防火墻、路由器、交換機、負載均衡等設(shè)備策略配置信息和路由信息的自動提取與解析，包括對網(wǎng)絡(luò)訪問路徑和數(shù)據(jù)安全產(chǎn)生影響的設(shè)備接口與安全域、訪問控制策略、NAT策略、路由信息；持多品牌防火墻、路由交換、負載均衡。支持預(yù)定義資產(chǎn)分類規(guī)則庫，支持對已發(fā)現(xiàn)資產(chǎn)自動確定設(shè)備類型及廠商；支持設(shè)備自動分組，根據(jù)預(yù)定義的設(shè)備命名規(guī)則或IP地址規(guī)則，自動移動設(shè)備到對應(yīng)設(shè)備組；支持批量方式添加納管設(shè)備，可通過批量Excel方式將設(shè)備IP、用戶名、密碼等信息批量導(dǎo)入系統(tǒng)并通過SSH協(xié)議方式進行批量設(shè)備的配置采集和解析；支持在平臺設(shè)備列表中，提供命令行窗口，快速鏈接到并訪問被管設(shè)備的cli控制臺或web管理頁面；支持針對被納管設(shè)備的采集憑據(jù)和下發(fā)憑據(jù)進行分開管理；2網(wǎng)絡(luò)設(shè)備發(fā)現(xiàn)支持種子發(fā)現(xiàn)和指定網(wǎng)段發(fā)現(xiàn)兩種網(wǎng)絡(luò)設(shè)備發(fā)現(xiàn)方式，包括：

1）支持通過種子設(shè)備自動發(fā)現(xiàn)下掛設(shè)備，支持任意指定一臺核心交換機為“種子”節(jié)點，自動發(fā)現(xiàn)區(qū)域內(nèi)部路由器、交換機、負載均衡和防火墻設(shè)備；

2）指定網(wǎng)段發(fā)現(xiàn)時，支持網(wǎng)段、IP范圍以及其組合的方式進行錄入；支持自動發(fā)現(xiàn)任務(wù)監(jiān)控和管理，能夠紀錄更新發(fā)現(xiàn)耗時以及發(fā)現(xiàn)資產(chǎn)數(shù)量等；，支持在web頁面查看發(fā)現(xiàn)任務(wù)執(zhí)行過程的詳細信息，包括但不限于：掃描IPSNMP狀態(tài)ARP表、鏈路表數(shù)據(jù)等；3物理拓撲及鏈路發(fā)現(xiàn)根據(jù)全網(wǎng)網(wǎng)絡(luò)設(shè)備鏈路信息，或者根據(jù)自身獲取配置信息變化，動態(tài)展示拓撲變化，如新增、刪除設(shè)備后自動更新拓撲圖；對于設(shè)備down、端口up/down和性能超閾值告警提示，能夠直接反應(yīng)到拓撲圖標和連接的狀態(tài)變化；支持物理拓撲圖層編輯管理，包括但不限于組面板、設(shè)備面板、屬性面板、關(guān)聯(lián)數(shù)據(jù)面板、搜索面板、告警面板等；4策略優(yōu)化檢查支持策略考核評分功能，通過系統(tǒng)預(yù)置防火墻健康度量化評估模型，定期對防火墻風險策略進行百分制評分，并支持按組織結(jié)構(gòu)進行分組統(tǒng)計平均考核分數(shù)；支持被管理設(shè)備（防火墻、交換機、路由器、負載均衡）的策略配置信息進行優(yōu)化檢查，檢查策略類型包括：隱藏策略、冗余策略、可合并策略、ACL策略未被調(diào)用、空策略和過期策略，并以餅狀圖方式顯示問題策略分布梳理情況和統(tǒng)計每類問題策略數(shù)量；支持策略優(yōu)化檢查出的問題策略進行標記功能，便于再次檢查時忽略檢查，或清理時忽略已標記的問題策略；支持被管理設(shè)備（防火墻、交換機、路由器、負載均衡）的策略的地址對象，服務(wù)對象，時間對象進行優(yōu)化檢查，檢查類型包括：空對象和未被引用對象，并以餅狀圖方式顯示問題對象分布梳理情況和統(tǒng)計每類問題對象數(shù)量；支持策略優(yōu)化檢查處置功能，可針對問題策略直接翻譯生成對應(yīng)的處置優(yōu)化腳本，并通過策略下發(fā)模塊進行下發(fā)；5策略收斂梳理基于防火墻策略命中日志分析，支持安全策略的歷史命中次數(shù)統(tǒng)計以趨勢圖方式顯示；支持策略三元組（源地址、目的地址、目的端口）命中數(shù)與利用率統(tǒng)計分析。顯示源址的目的地址的對象內(nèi)每個地址的命中次數(shù)，并且統(tǒng)計源地址的百分比利用率、目的地址的百分比利用率、目的端口的百分比以利用率；支持對大段策略進行收斂梳理，梳理條件支持合并方式、掩碼長度、合并標準、統(tǒng)計周期等多個維度進行組合設(shè)定，并支持對收斂建議結(jié)果自動轉(zhuǎn)換為整改優(yōu)化命令行腳本，通過策略下發(fā)模塊進行下發(fā)，實現(xiàn)策略寬松策略收斂的閉環(huán)；支持自定義內(nèi)網(wǎng)IP地址范圍、互聯(lián)網(wǎng)地址范圍，并在收斂梳理任務(wù)中可設(shè)置是否跳過互聯(lián)網(wǎng)地址梳理；6安全域拓撲管理運用可視化技術(shù)，基于防火墻、路由器、交換機、負載均衡設(shè)備配置信息自動生成全網(wǎng)邏輯拓撲圖，實現(xiàn)網(wǎng)絡(luò)安全域基礎(chǔ)架構(gòu)與訪問關(guān)系的可視化展示；支持靈活的網(wǎng)絡(luò)拓撲編輯功能，可任意控制網(wǎng)關(guān)設(shè)備、連接子網(wǎng)等元素的顯示和隱藏；支持拓撲圖層上網(wǎng)關(guān)設(shè)備的大小、圖標、位置等顯示屬性的修改和調(diào)整；支持根據(jù)不同的網(wǎng)絡(luò)區(qū)域繪制多個網(wǎng)絡(luò)拓撲圖層；支持通過虛擬網(wǎng)關(guān)的方式模擬不同區(qū)域網(wǎng)絡(luò)的互聯(lián)關(guān)系，并支持經(jīng)過虛擬網(wǎng)絡(luò)的跨區(qū)域路徑分析功能；針對邊界區(qū)域的模擬網(wǎng)關(guān)，支持自動采集邊界路由器的路由表數(shù)據(jù)，并將路由中的業(yè)務(wù)網(wǎng)段或IP信息補充到模擬網(wǎng)關(guān)設(shè)備配置中；支持二層防火墻設(shè)備的接入，并通過模擬串聯(lián)的方式在拓撲圖中體現(xiàn)；支持子網(wǎng)拆分功能，針對有相同管理或業(yè)務(wù)地址的設(shè)備通過子網(wǎng)拆分實現(xiàn)自動拓撲的合理性；7策略開通運維支持仿真開通、自動開通、定向開通三種策略開通運維方式：

1）仿真開通：平臺基于路徑模擬仿真引擎，通過待開通的五元組進行路徑仿真分析，自動定位到需新增放通策略的防火墻設(shè)備，并生成命令行腳本；

2）自動開通：支持在只納管防火墻設(shè)備的情況，通過實現(xiàn)維護好的防火墻與防護網(wǎng)段字典表，根據(jù)待開通的五元組與字典表進行匹配并確定需新增放通策略的防火墻設(shè)備，并生成命令行腳本；

3）定向開通：用戶指定防火墻設(shè)備，系統(tǒng)根據(jù)待開通的五元組翻譯生成命令行腳本；支持負載均衡策略的自動開通運維，可根據(jù)開通需服務(wù)器地址、服務(wù)、POOL信息、Na跳轉(zhuǎn)換等信息自動生成開通命令行腳本；支持開通管理：支持通過任務(wù)工單形式維護策略開通申請，包括新增操作，以及策略開通申請選路建議、風險分析、策略下發(fā)、開通驗證等結(jié)果信息展示；支持Excel批量導(dǎo)入訪問控制策略開通申請，支持對批量策略開通結(jié)果進行匯總下載；支持源、目的地址錄入單個或多個主機IP、單個或多個網(wǎng)段IP（網(wǎng)段支持各類變長子網(wǎng)掩碼，至少包括/8、/16、/24）、單個或多個IP地址范圍（如：1.1.1.1-1.1.1.20），并可組合錄入，最多可支持254組；支持同時錄入TCP、UDP、ICMP等不同類型的開通協(xié)議；支持每類服務(wù)能夠錄入單個端口、多個端口或端口范圍；支持開通建議：根據(jù)開通申請的源、目的進行全網(wǎng)路徑查詢，并展示查詢結(jié)果，列出開通建議，包括涉及到的節(jié)點設(shè)備信息，以及路由、ACL策略配置建議等；針對多源/多目的/多服務(wù)開通申請，需根據(jù)每一組源/目的/服務(wù)的組合進行開通建議，然后再從防火墻維度進行合并匯總；在單臺防火墻涉及到多條策略需求時，支持將該臺防火墻配置集中顯示在一個文本中；支持過NAT前后防火墻配訪問控制配置腳本的自動分段生成，以保證過NAT時訪問控制策略下發(fā)的正確性與效率；支持自定義策略生成命令行規(guī)范，至少包括但不限于：是否創(chuàng)建地址對象；是否復(fù)用現(xiàn)有對象；安全域配置；ACL掛載接口方向設(shè)置；支持新增策略位置的配置管理，包括：插入最前，插入最后，插入到指定行之前，插入到指定行之后，插入到相關(guān)策略之前；支持策略下發(fā)反饋管理配置，如自定義一些常見錯誤，下發(fā)時命中錯誤時可繼續(xù)跳過錯