《网络安全域流量及策略监管系统方案》由会员分享,可在线阅读,更多相关《网络安全域流量及策略监管系统方案(28页珍藏版)》请在金锄头文库上搜索。
1、网络安全域流量与策略集中监管系统方案,目录,背景与现状,典型应用场景与优势,一、,三、,二、,技术方案,网络安全域监管面临的挑战,建立安全域策略关系视图,感知安全域内异常攻击行为,高效管理安全域边界策略。,业务实际连接关系是怎样的?,各系统和设备之间的实际连接关系是怎样的? 是否能直观的展示各业务连接关系,即连接关系可视化?,安全域划分和互连关系是否符合规范要求?,安全域策略是否设置严谨?,是否存在有效的安全域策略管理机制?,安全域内设备运行状态如何? 安全域划分是否合理?是否存在安全域定义之外的未知设备? 业务连接关系是否符合规范? 是否存在可疑和异常连接行为?,安全域策略是否设置严谨? 安
2、全域策略是否设置高效?是否存在冲突、重复、冗余或过期无用策略?,为什么存在这条策略? 谁批准的这条策略? 什么时候加的这条策略? 这条策略的有效期是多久?,目录,背景与现状,典型应用场景与优势,一、,三、,二、,技术方案,主要技术思路,自动对域内安全设备进行统一监控,对域间流量连接关系进行监管,对域间防护策略进行风险分析和优化以及变更流程管理。,典型安全域示意图,安全域及策略集中监管系统,一、配置与状态集中管理,二、策略安全分析与风险管理,三、策略变更管理,以业务子域为单位,对安全设备的状态和策略进行集中管理和监控。,对域内网络拓扑和业务连接关系进行自动绘制,对现有流量连接关系进行监管,对高风
3、险防护策略进行分析、识别和告警。,对边界安全防护策略进行统一变更流程管理和版本管理。,体系架构,以业务系统为单位,基于安全域的设备集中管理 以防火墙设备为单位进行策略版本管理,策略信息、路由信息以及设备状态信息获取 SSH/Telnet/SNMP方式自动提取 策略信息离线导入 第三方平台接口推送,主要功能一 配置与状态集中管理,配置信息获取,设备集中管理,防火墙设备状态监控,CPU内存使用率监控,接口流量监控,短信邮件实时告警,对安全域内防火墙和网络设备的状态进行统一监控和管理。,主要功能二 安全分析与风险管理安全子域识别与可视化,提供自定义接口,根据IP范围对安全子域进行识别,生成接口配置信
4、息可视化视图。,安全子域识别,接口配置信息可视化,人工定义安全子域IP范围,基于IP范围和接口对安全子域进行划分,根据接口和配置信息,实现单体设备策略可视化,主要功能二 安全分析与风险管理拓扑与连接关系绘制(一),防火墙配置信息,路由器配置信息,交换机配置信息,自动绘制网络拓扑与连接关系,自动提取安全域中各防火墙和路由交换设备的配置信息,自动绘制网络拓扑图,以及基于IP的业务连接关系现状。,网络拓扑,业务连接关系,主要功能二 安全分析与风险管理拓扑与连接关系绘制(二),根据设备IP、接口和路由等信息,绘制设备所处安全子域拓扑与连接示意图。绿色加粗连接线表示可扩展部分。,单设备拓扑与连接分析,根
5、据安全子域识别情况,以及采集的域间策略绘制域间业务连接关系,以连线+标签的形式直观显示。,安全域拓扑与连接分析,主要功能二 安全分析与风险管理安全域策略分析建模,根据各安全子域特性,梳理各子域之间典型的高风险策略,建立域间连接关系安全分析模型。,业务系统与Cmnet域建模示例,高风险,中风险,低风险,高,全为any的策略 管理端口对cmnet开放 ,中,SNMP对cmnet开放 文件共享对cmnet开放 ,低,业务系统域端口为any的策略 ,82,域间策略健康指数,主要功能二 安全分析与风险管理安全域连接关系建模(一),根据对安全域流量的抓取,根据IP端口五元组的连接关系进行建模,识别异常连接
6、行为,优化安全域策略。,新设备上线发现,连接基线自学习,异常模型定义,内网新上线设备发现 内网异常设备分析判断 内网异常连接发现,Mac表维护 端口状态维护 连接基线的建立与学习,异常主机、异常连接 Scan、Arp欺骗 Botnet、Worm,内网业务识别 HTTP承载分辨 基于应用的连接基线,DPI应用识别,DFI行为识别,行为识别模式框架 异常行为模型建立 同DPI识别的结合,Arp和五元组,应用层及行为分析,主要功能二 安全分析与风险管理安全域连接关系建模(二),根据IP端口五元组的连接关系进行网络异常检测建模,通过DPI和DFI进行业务检测建模。,业务异常检测模型,网络异常检测模型,
7、主要功能二 安全分析与风险管理安全域连接关系建模(三),基于baseline的连接建模:自动发现的基线均为灰基线,通过管理员的手工确认,得到白基线和黑基线。所有的白基线即构成了正常的网络体系,而所有的黑基线则标识了潜在的异常情况。,IP基线,连接基线,端口基线,灰基线,白基线,黑基线,主要功能二 安全分析与风险管理安全域连接关系建模(四),基于DPI和DFI的业务异常检测建模。,根据预定义及自定义业务特征获取与现有基线相似的数据包特征,并入现有基线,DPI,通过分析数据流的统计特点,例如会话发起时间、频率、先后顺序、数据包大小分布比例等,假设可能的数据基线,DFI,从流量数据内容和行为特征两方
8、面分析,主要功能二 安全分析与风险管理安全域流量监管系统架构,主要功能二 安全分析与风险管理安全域流量系统模块,主要功能二 安全分析与风险管理安全域流量集中管理系统模块,主要功能二 安全分析与风险管理安全域流量监管系统工作流程,主要功能二 安全分析与风险管理安全域流量监控,主要功能二 安全分析与风险管理策略优化命令自动生成,在生成的业务连接关系图中直观显现高风险策略,根据策略优化分析模型和连接关系模型生成安全域优化策略,并提供可执行的策略优化操作命令。,高风险策略高亮显示,点击可查看详情,自动生成优化命令脚本,主要功能三 故障排查,网络故障排查,使用自定义工具排查网络故障: 自定义排查源地址
9、Traceroute Ping 正方向解析 端口探测等,策略故障排查,根据已解析的域间策略连接关系,查询指定源地址和目的地址的连接关系,从而进行网络故障排错。,主要功能四 安全域策略变更管理,需求:业务部门提出具体需求 制定:根据业务部门的需求,制定相应的防火墙策略 审计:将制定的策略在防火墙分析系统中,结合已有策略和分析模型进行安全分析和审计 执行:将策略加入防火墙中,并记录相关信息,如申请和加入时间、申请和审批部门等 管理:对防火墙策略进行版本管理,并定期比对,策略变更流程管理,策略版本管理,策略修改,策略新增,策略删除,目录,背景与现状,典型应用场景与优势,一、,三、,二、,技术方案,典
10、型应用场景,设备状态监控 拓扑自动绘制 业务连接关系绘制 基于安全域的高危策略建模、分析与优化 异常连接检测与识别 安全域策略优化命令脚本自生成 策略变更管理,提取安全域内防火墙和网络设备的配置信息,包括路由交换信息、SNMP信息和访问控制策略信息,自动进行安全分析。,策略与配置,策略与配置,策略与配置,流量,安全域策略集中监管系统,技术优势,1、业务边界不明确、不清晰 2、管理员掌握的网络拓扑与实际拓扑的一致性问题,网络拓扑图实时重绘并直观展现。管理员对网络结构一目了然 安全域边界自动识别与界定。未知设备或安全域边界不清晰的设备直观显示,方案技术优势,现状与挑战,优势一:安全域网络连接关系可
11、视化,优势二:安全域策略连通关系可视化,1、安全域内和域间策略设置复杂 2、现有策略设置情况不直观,关联分析安全域内所有安全策略,绘制直观的策略连接关系图,实现安全域策略可视化,方案技术优势,现状与挑战,技术优势,1、业务连接关系是否满足基线要求 2、是否存在域内和域间的可疑连接 3、是否存在恶意攻击行为,通过IP五元组连接关系基线,自动识别异常连接行为 通过DPI和DFI自动检测恶意攻击,方案技术优势,现状与挑战,优势三:异常连接与异常行为检测自动化,优势四:安全域策略分析与优化建议自动化,1、安全域内和域间现有策略设置复杂 2、现有策略设置情况不直观,策略自动化优化分析 策略自动化安全性和严谨性分析 策略自动优化建议,方案技术优势,现状与挑战,技术优势,1、网络故障排查对人员的能力提出更高要求 2、手工排查故障能力效率低,通过安全域策略连接关系视图,输入起点IP和终点IP,则可查询两个IP之间的连接情况,方案技术优势,现状与挑战,优势五:网络故障排查与诊断能力,优势六:完善的策略管理流程,1、缺乏完善的策略维护流程与技术手段,通过策略变更管理流程,有效管理安全域策略的变更 与管控平台存在接口,形成资源统一提取和工单下发,形成良好互动,方案技术优势,现状与挑战,
