《FireMonSolutionsCH03》由会员分享,可在线阅读,更多相关《FireMonSolutionsCH03(57页珍藏版)》请在金锄头文库上搜索。
1、Better Security throughBetter Management杨锐Raymond Yang China Country M+86-13901725073公司背景全球总部位于美国堪萨斯城全球第一个发布防火墙安全策略管理及网络设备ACL管理解决方案的厂商(2001年发布)用户遍及全球各个行业,包括运营商(T-Mobile、Verizon等)、金融(美国银行、纽交所、AXA安盛人寿等)、大型企业(IBM、HP、Dell、壳牌石油、eBay、美国航空等)母公司为FishNet Security全美最大的安全产品分销商,是Juniper, CheckPoint等防火墙全美最大的Dist
2、ributor年营业额超过5亿美金,有超过5000个客户Firemon的部分客户防火墙与防火墙安全策略(security rule)防火墙与防火墙安全策略防火墙是网络中部署最广泛的安全网关产品之一,对用户信息系统的安全而言相当关键;防火墙的安全性基本是通过安全策略(security rule)的配置来实现的因此,防火墙安全策略配置的正确对防火墙的安全防护作用起着至关重要的作用一台再好的防火墙设备,如果不配置安全策略,或者安全策略的配置错误,那么这台防火墙不仅根本无法起到其应有的安全防护作用,并且还会带来许多安全隐患和安全事件 Access RequestPlan & DesignReviewI
3、mplementVerify防火墙安全策略配置标准流程Firewall requests often dont contain the information necessary to fully build the best access ruleCorrect change is critical for proper firewall access; this is the most important step in the processReviewing firewall access requests for validity is necessary to ensure ris
4、k is being effectively managed Verification must include visibility to; proposed solution and technical implementationActual implementation must match the approved design12345防火墙管理员常见困惑在防火墙的安全策略配置、变更时,包括新增策略、变更策略,或者删除策略时,管理员操作依据较为模糊,缺少相关的数据分析报告或者科学依据,从而有时会出现防火墙安全策略配置上的缺陷或者错误,如过多不必要的策略、过于复杂的策略,或者漏配一些
5、需要的安全策略等等,这给系统安全与稳定性带来隐忧; 常见问题:哪些安全策略是多余的?哪个或哪些安全策略被使用的最多、最频繁?而哪些策略没被使用过?这条安全策略的目的?谁配的?在起作用吗?可以删除吗?某条安全策略下的流量构成是什么,流量的占比情况如何,特别是那些any类型的安全策略?是否确实只有被允许的流量穿过这条安全策略?系统内的防火墙是否已经对已知的安全漏洞或者特定的危险端口进行了安全策略防护?是否存在误配置或者遗漏的状况?系统内防火墙的配置是否符合安全规范,如PCI、ISO27002等?如果存在不符合,是哪些不符合?该如何修改?配置错误造成大量防火墙安全事件根据Gartner的统计,99%
6、的防火墙安全事件均是由防火墙的配置错误而引起人为错误频发2012年4月9日,美国犹他州Department of Health被偷78条客户信息。该安全事件是由于管理员的配置错误而造成的;2012年7月,国内某银行由于某设备配置错误造成断网3小时缺乏安全策略变更管理,造成安全策略误删除、误修改事件马来西亚某银行由于新管理员错误移动了某条安全策略的位置(从第2条移动到较后位置),造成某关键业务中断12小时防火墙安全策略配置的典型问题过多的、不必要的、重复的安全策略统计表明,通常一个客户防火墙上约有30%50%的防火墙策略是多余的、不必要的;安全策略只增不减:无法确定是否仍然有用,或者配置后忘记删
7、除,或者人员变化后新管理员无法了解原有策略配置的原因等等法国雅高集团:某防火墙cluster上配置的安全策略达1000多条,后发现,超过700条是不必要的、重复的;防火墙安全策略的低效率过多的防火墙安全策略严重降低防火墙性能安全策略的顺序、位置对防火墙性能也有明确影响过于复杂的安全策略:过多的object等不合理的安全策略配置将使防火墙性能下降30%以上,而经过优化,性能最高可提升30%以上;安全策略对防火墙性能影响的实验测试配置IXIA IxLoadObjectives5,000 HTTP conn50 SMTP conn./sec10 DNS conn./secCPU与安全策略数5 rul
8、es: 27% load187 rules: 44% load264 rules: 48% load时延影响5 rules: 600 s187 rules: 1800 s264 rules: 2600 s安全策略位置对性能的影响将活跃安全策略位置向后移(rule 5 to rule 276),CPU负载提高超过10%即使策略数目不变,策略位置的变动将直接影响到防火墙性能其他安全管理难点安全策略配置缺少与系统安全漏洞的关联,使得防火墙安全策略的配置存在安全隐患黑客可利用安全漏洞进入被防火墙保护的系统传统的防火墙配置方式无法防护系统存在的安全风险,防火墙的安全策略配置需要了解系统当前的漏洞状况;路
9、由设备的ACL管理原因及解决方法管理员缺少一个防火墙安全策略分析管理系统,这个管理系统需要能够对防火墙安全策略进行全面分析,准确了解防火墙安全策略的使用状况,及时发现安全隐患,详细记录防火墙安全策略的变更,帮助管理员配置出正确的安全策略,确保防火墙的配置符合外部以及内部的安全规范,等等。FireMon防火墙安全策略分析管理解决方案领先者FireMon BACKBOXFireMon Risk AnalyzerFireMon Policy PlannerFireMon Security Manager1234防火墙安全策略及网络设备防火墙安全策略及网络设备ACL实时分析、优化、变更管理实时分析、优
10、化、变更管理防火墙安全策略防火墙安全策略规划设计规划设计系统安全漏洞系统安全漏洞态势分析系统态势分析系统网络设备网络设备配置信息集中管理配置信息集中管理更好的安全来自更好的管理Better Security Through Better Management FireMon Security Manager防火墙安全策略防火墙安全策略分析、优化、变更管理分析、优化、变更管理Security Manager 典型功能防火墙变更管理实时配置变更通知 变更控制跟踪、不同时间点配置比对 安全策略测试 Policy Test 防火墙安全策略使用状况分析安全策略使用状况分析 对象(object)使用状况分
11、析 每日活动报告冗余安全策略分析防火墙安全策略复杂度分析安全策略流量分析(Traffic Flow Analysis)防火墙配置安全规范审计PCI DSS, ISO 27002等国际标准规范审计自定义安全规范审计可对多厂家设备管理CheckPoint(包括Nokia及Crossbeam等)、Cisco、Juniper、Fortinet、PaloAlto、McAfee等防火墙,F5负载均衡设备,Cisco、Juniper网络设备等Security Manager:全图形化管理界面被管理的被管理的防火墙防火墙 设备列表设备列表网络网络 拓扑图拓扑图防火墙防火墙 配置变更配置变更 历史记录历史记录各
12、种报告各种报告查看防火墙上的配置信息Current Policy ReportSecurity Manager Reports DashboardUsage | Compliance | Analysis | Documentation | Change | Check配置变更管理:配置变更通知配置变更管理:服务变更通知配置变更管理:变更记录及配置比对记录每次防火墙配置的修改,包括修改的详细技术信息。并且可比较不同时间点的配置的异同,并详细标记差异之处,使得管理员能够清楚地了解配置的变化,以及变化的过程。 配置变更管理:安全策略历史变更记录配置变更管理:Policy TestSecurity
13、Manager的Policy Test功能,可以测试当前网络结构下,以及防火墙策略配置下,系统内的两个节点间的指导服务是否可达。如,可测试系统内A点到B点是否允许telnet服务。这样,管理员能够方便的了解所配置的某条策略是否生效,或者是否需要增加新的安全策略来阻止系统内两点间的某项服务 安全策略使用状况分析:rule usage reportDisplay of Rule Order by Most UsedDisplay Unused Rules安全策略使用状况分析:unused rule report对any类型防火墙安全策略的分析安全策略使用状况分析:安全策略复杂度分析防火墙配置安全规
14、范审计:国际标准防火墙配置安全规范审计:企业自定义标准许多客户会自定义企业自身的安全规范。如企业可自定义某TCP端口为危险端口,不允许任何流量通过该端口。这时,管理员可通过Security Manager的自定义安全审计功能,定义企业自身的安全规范,并根据此规范审计系统内所有防火墙设备上的安全策略配置,是否存在允许该危险TCP端口的安全策略,并做出相应的修改。 安全规范审计:安全域行为规范审计在系统内划分相应的安全域,定义安全域之间的操作规范,并进行相关审计。下图显示的例子是,定义了2个安全域之间不允许FTP服务,而审计报告表明该FTP服务可以穿过安全域,因此报告给出了警告。 安全规范审计:危
15、险服务分析 Service Risk AnalyzerACLWithout Security ManagerWith Security ManagerSecurity Manager 的其他报告样本Top Rules ReportTop Rules DetailWeekly Policy Reports多品牌防火墙支持防火墙Cisco:PIX、ASA、FWSMCheckPoint:CheckPoint Appliance, Nokia, Crossbeam, NG+, SmartCenter, Provider-1Juniper:Netscreen系列、SRX系列Fortinet: Forti
16、gate系列PaloAlto Networks:PA系列防火墙McAfee:MFE系列其他:ACL管理Cisco路由器、交换机F5:LTM、GTMFireMon Risk Analyzer系统安全漏洞系统安全漏洞态势分析态势分析Lets Talk RISK for a MomentThreatAssetVulnerabilityRiskFireMon Risk Analyzer图形化管理界面漏洞攻击路径分析及虚拟补丁Map of Attack PathsBased on the risk scenario, the possible attack paths through the netwo
17、rk are defined and overlaid on map. The map provides pan, and zoom capabilities for further investigation. Risk RecommendationsBased on the path through the network and value of the assets that can be compromised, Risk Analyzer calculates and recommends those actions which will provide the greatest
18、risk reduction.Virtual PatchingOnce recommendations have been identified, they can be virtually applied to the scenario. Risk Analyzer will immediately recalculate based on the patching providing validation before the assets are patched.Visualized Risk based on ReachabilityRiskAnalyzer 和 SecurityMan
19、ager 的集成FireMon Policy Planner防火墙安全策略防火墙安全策略规划设计规划设计Policy Planner Integrated “Work Flow” SolutionFully Customizable Change Request FormAccess Request SystemFull Support for Multiple RequirementsPolicy Planner Integrated “Work Flow” SolutionFEATURESIntuitive Web InterfaceRole Based AssignmentsRoute
20、IntelligenceCustomizable Fields and Logo BrandingRule Design AidsFile AttachmentsTightly Integrated with FireMonVerification of Actual Change vs. RequestAll the Key Elements of a Completed Change Ticket Flow back into FireMon as Policy Rule DocumentationSuggested RulesPolicy Planner Centralized Docu
21、mentationOrganize with Policy and Rule DocumentationFireMon Provides:Automatic documentation of firewall policies Centralized accessibility to firewall documentationComplete meta-data that explains a ruleOwnerBusiness UnitCreation DateReview or Expiration DateBusiness JustificationDocumentation of k
22、ey business attributes to meet compliance requirementsFirewall management strategies should include solid policy and rule documentationNSGA-FW121Include source accessibility from DMZ no.2Key Business Attributes策略变更对网络安全态势的影响使用Policy Planner后策略配置流程图Security Manager部署方式部署方式部署方式:集中式FireMon Can be Deplo
23、yed in a Unified or Distributed Fashion部署方式:分布式FireMon Can be Deployed in a Unified or Distributed FashionDistributed Data CollectorFM 3192FM 3193FireMon Policy Planner网络设备网络设备配置信息集中管理配置信息集中管理FireMon BACKBOX Verified Element BackupFlexible Scheduling with AlertingFireMon BACKBOX enables security and
24、 network administrators to schedule and monitor element configuration backups and alerts if such backups are not recentFireMon BACKBOX Verified Element BackupVisual Trending and MetricsFireMon BACKBOX contains a unique multi-check engine that not only verifies that a backup has been performed but also makes sure that the saved configuration meets the criteria needed to restore a device or applicationQuestionsQ & Ahttp:/
