FireMon Solutions CH 03.ppt

1、Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,Better Security throughBetter Management,杨锐,Raymond Yang China Country Manager,raymond.yang,+86-13901725073,公司背景,全球总部位于美国堪萨斯城,全球第一个发布防火墙安全策略管理及网络设备,ACL,管理解决方案的厂商（,2001,年发布）,用户遍及全球

2、各个行业，包括运营商（,T-Mobile,、,Verizon,等）、金融（美国银行、纽交所、,AXA,安盛人寿等）、大型企业（,IBM,、,HP,、,Dell,、壳牌石油、,eBay,、美国航空等）,母公司为,FishNet Security,全美最大的安全产品分销商，是,Juniper,CheckPoint,等防火墙全美最大的,Distributor,年营业额超过,5,亿美金，有超过,5000,个客户,Firemon,的部分客户,防火墙与防火墙安全策略,(security rule),防火墙与防火墙安全策略,防火墙是网络中部署最广泛的安全网关产品之一，对用户信息系统的安全而言相当关键；,防火

3、墙的安全性基本是通过安全策略,(security rule),的配置来实现的,因此，防火墙安全策略配置的,正确,对防火墙的安全防护作用起着至关重要的作用,一台再好的防火墙设备，如果不配置安全策略，或者安全策略的配置错误，那么这台防火墙不仅根本无法起到其应有的安全防护作用，并且还会带来许多安全隐患和安全事件,Access,Request,Plan&Design,Review,Implement,Verify,防火墙安全策略配置标准流程,Firewall requests often dont contain the information necessary to fully build the

4、 best access rule,Correct change is critical for proper firewall access;,this is the most important step in the process,Reviewing firewall access requests for validity is necessary to ensure risk is being effectively managed,Verification must include visibility to;proposed solution and technical imp

5、lementation,Actual implementation must match the approved design,1,2,3,4,5,防火墙管理员常见困惑,在防火墙的安全策略配置、变更时，包括新增策略、变更策略，或者删除策略时，管理员操作依据较为模糊，缺少相关的数据分析报告或者科学依据，从而有时会出现防火墙安全策略配置上的缺陷或者错误，如过多不必要的策略、过于复杂的策略，或者漏配一些需要的安全策略等等，这给系统安全与稳定性带来隐忧；,常见问题：,哪些安全策略是多余的？,哪个或哪些安全策略被使用的最多、最频繁？而哪些策略没被使用过？,这条安全策略的目的？谁配的？在起作用吗？可以删

6、除吗？,某条安全策略下的流量构成是什么，流量的占比情况如何，特别是那些,any,类型的安全策略？是否确实只有被允许的流量穿过这条安全策略？,系统内的防火墙是否已经对已知的安全漏洞或者特定的危险端口进行了安全策略防护？是否存在误配置或者遗漏的状况？,系统内防火墙的配置是否符合安全规范，如,PCI,、,ISO27002,等？如果存在不符合，是哪些不符合？该如何修改？,配置错误造成大量防火墙安全事件,根据,Gartner,的统计，,99%,的防火墙安全事件均是由防火墙的配置错误而引起,人为错误频发,2012,年,4,月,9,日，美国犹他州,Department of Health,被偷,78,条客户

7、信息。该安全事件是由于管理员的配置错误而造成的；,2012,年,7,月，国内某银行由于某设备配置错误造成断网,3,小时,缺乏安全策略变更管理，造成安全策略误删除、误修改事件,马来西亚某银行由于新管理员错误移动了某条安全策略的位置（从第,2,条移动到较后位置），造成某关键业务中断,12,小时,防火墙安全策略配置的典型问题,过多的、不必要的、重复的安全策略,统计表明，通常一个客户防火墙上约有,30%,50%,的防火墙策略是多余的、不必要的；,安全策略只增不减：无法确定是否仍然有用，或者配置后忘记删除，或者人员变化后新管理员无法了解原有策略配置的原因等等,法国雅高集团：某防火墙,cluster,上配

8、置的安全策略达,1000,多条，后发现，超过,700,条是不必要的、重复的；,防火墙安全策略的低效率,过多的防火墙安全策略严重降低防火墙性能,安全策略的顺序、位置对防火墙性能也有明确影响,过于复杂的安全策略：过多的,object,等,不合理的安全策略配置将使防火墙性能下降,30%,以上，而经过优化，性能最高可提升,30%,以上；,安全策略对防火墙性能影响的实验,测试配置,IXIA IxLoad,Objectives,5,000 HTTP conn,50 SMTP conn./sec,10 DNS conn./sec,CPU,与安全策略数,5 rules:27%load,187 rules:44

9、load,264 rules:48%load,时延影响,5 rules:600 s,187 rules:1800 s,264 rules:2600 s,安全策略位置对性能的影响,将活跃安全策略位置向后移,(rule 5 to rule 276),，,CPU,负载提高超过,10%,即使策略数目不变，策略位置的变动将直接影响到防火墙性能,其他安全管理难点,安全策略配置缺少与系统安全漏洞的关联，使得防火墙安全策略的配置存在安全隐患,黑客可利用安全漏洞进入被防火墙保护的系统,传统的防火墙配置方式无法防护系统存在的安全风险，防火墙的安全策略配置需要了解系统当前的漏洞状况；,路由设备的,ACL,管理,原

10、因及解决方法,管理员缺少一个防火墙安全策略分析管理系统，,这个管理系统需要能够对防火墙安全策略进行全面分析，准确了解防火墙安全策略的使用状况，及时发现安全隐患，详细记录防火墙安全策略的变更，帮助管理员配置出正确的安全策略，确保防火墙的配置符合外部以及内部的安全规范，等等。,FireMon,防火墙安全策略分析管理解决方案领先者,FireMon,BACKBOX,FireMon,Risk Analyzer,FireMon,Policy Planner,FireMon,Security Manager,1,2,3,4,防火墙安全策略及网络设备,ACL,实时分析、优化、变更管理,防火墙安全策略,规划设计

11、系统安全漏洞,态势分析系统,网络设备,配置信息集中管理,更好的安全来自更好的管理,Better Security Through Better Management,FireMon,Security Manager,防火墙安全策略,分析、优化、变更管理,Security Manager,典型功能,防火墙变更管理,实时配置变更通知,变更控制跟踪、不同时间点配置比对,安全策略测试,Policy Test,防火墙安全策略使用状况分析,安全策略使用状况分析,对象,(object),使用状况分析,每日活动报告,冗余安全策略分析,防火墙安全策略复杂度分析,安全策略流量分析（,Traffic Flow A

12、nalysis,）,防火墙配置安全规范审计,PCI DSS,ISO 27002,等国际标准规范审计,自定义安全规范审计,可对多厂家设备管理,CheckPoint,（包括,Nokia,及,Crossbeam,等）、,Cisco,、,Juniper,、,Fortinet,、,PaloAlto,、,McAfee,等防火墙，,F5,负载均衡设备，,Cisco,、,Juniper,网络设备等,Security Manager,：全图形化管理界面,被管理的防火墙 设备列表,网络 拓扑图,防火墙 配置变更 历史记录,各种报告,查看防火墙上的配置信息,Current Policy Report,Securit

13、y Manager Reports Dashboard,Usage|Compliance|Analysis|Documentation|Change|Check,配置变更管理：配置变更通知,配置变更管理：服务变更通知,配置变更管理：变更记录及配置比对,记录每次防火墙配置的修改，包括修改的详细技术信息。并且可比较不同时间点的配置的异同，并详细标记差异之处，使得管理员能够清楚地了解配置的变化，以及变化的过程。,配置变更管理：安全策略历史变更记录,配置变更管理：,Policy Test,Security Manager,的,Policy Test,功能，可以测试当前网络结构下，以及防火墙策略配置下，

14、系统内的两个节点间的指导服务是否可达。如，可测试系统内,A,点到,B,点是否允许,telnet,服务。这样，管理员能够方便的了解所配置的某条策略是否生效，或者是否需要增加新的安全策略来阻止系统内两点间的某项服务,安全策略使用状况分析：,rule usage report,Display of Rule Order by Most Used,Display Unused Rules,安全策略使用状况分析：,unused rule report,对,any,类型防火墙安全策略的分析,安全策略使用状况分析：安全策略复杂度分析,防火墙配置安全规范审计：国际标准,防火墙配置安全规范审计：企业自定义标准,

15、许多客户会自定义企业自身的安全规范。如企业可自定义某,TCP,端口为危险端口，不允许任何流量通过该端口。这时，管理员可通过,Security Manager,的自定义安全审计功能，定义企业自身的安全规范，并根据此规范审计系统内所有防火墙设备上的安全策略配置，是否存在允许该危险,TCP,端口的安全策略，并做出相应的修改。,安全规范审计：安全域行为规范审计,在系统内划分相应的安全域，定义安全域之间的操作规范，并进行相关审计。下图显示的例子是，定义了,2,个安全域之间不允许,FTP,服务，而审计报告表明该,FTP,服务可以穿过安全域，因此报告给出了警告。,安全规范审计：危险服务分析,Service

16、Risk Analyzer,ACL,Without Security Manager,With Security Manager,Security Manager,的其他报告样本,Top Rules Report,Top Rules Detail,Weekly Policy Reports,多品牌防火墙支持,防火墙,Cisco,：,PIX,、,ASA,、,FWSM,CheckPoint,：,CheckPoint Appliance,Nokia,Crossbeam,NG+,SmartCenter,Provider-1,Juniper,：,Netscreen,系列、,SRX,系列,Fortinet

17、Fortigate,系列,PaloAlto Networks,：,PA,系列防火墙,McAfee,：,MFE,系列,其他：,ACL,管理,Cisco,路由器、交换机,F5,：,LTM,、,GTM,FireMon,Risk Analyzer,系统安全漏洞,态势分析,Lets Talk RISK for a Moment,Threat,Asset,Vulnerability,Risk,Scenario Example,Risk From International Supplier,Partner,Network,Threat,Assets,Exposure,Server Farm B,Serv

18、er Farm A,Partner Network,Partner Network,FireMon Risk Analyzer,图形化管理界面,漏洞攻击路径分析及虚拟补丁,Map of Attack Paths,Based on the risk scenario,the possible attack paths through the network are defined and overlaid on map.The map provides pan,and zoom capabilities for further investigation.,Risk Recommendation

19、s,Based on the path through the network and value of the assets that can be compromised,Risk Analyzer calculates and recommends those actions which will provide the greatest risk reduction.,Virtual Patching,Once recommendations have been identified,they can be virtually applied to the scenario.Risk

20、Analyzer will immediately recalculate based on the patching providing validation before the assets are patched.,Visualized Risk based on Reachability,RiskAnalyzer,和,SecurityManager,的集成,FireMon,Policy Planner,防火墙安全策略,规划设计,Policy Planner Integrated“Work Flow”Solution,Fully Customizable Change Request

21、Form,Access Request System,Full Support for Multiple Requirements,Policy Planner Integrated“Work Flow”Solution,FEATURES,Intuitive Web Interface,Role Based Assignments,Route Intelligence,Customizable Fields and Logo Branding,Rule Design Aids,File Attachments,Tightly Integrated with FireMon,Verificati

22、on of Actual Change vs.Request,All the Key Elements of a Completed Change Ticket Flow back into FireMon as Policy Rule Documentation,Suggested Rules,Policy Planner Centralized Documentation,Organize with Policy and Rule Documentation,FireMon Provides:,Automatic documentation of firewall policies,Cen

23、tralized accessibility to firewall documentation,Complete meta-data that explains a rule,Owner,Business Unit,Creation Date,Review or Expiration Date,Business Justification,Documentation of key business attributes to meet compliance requirements,Firewall management strategies should include solid pol

24、icy and rule documentation,NSGA-FW121,Include source accessibility from DMZ no.2,Key Business Attributes,策略变更对网络安全态势的影响,使用,Policy Planner,后策略配置流程图,Security Manager,部署方式,部署方式：集中式,FireMon Can be Deployed in a Unified or Distributed Fashion,部署方式：分布式,FireMon Can be Deployed in a Unified or Distributed F

25、ashion,Distributed Data Collector,FM 3192,FM 3193,FireMon,Policy Planner,网络设备,配置信息集中管理,FireMon BACKBOX Verified Element Backup,Flexible Scheduling with Alerting,FireMon BACKBOX enables security and network administrators to schedule and monitor element configuration backups and alerts if such backup

26、s are not recent,FireMon BACKBOX Verified Element Backup,Visual Trending and Metrics,FireMon BACKBOX contains a unique multi-check engine that not only verifies that a backup has been performed but also makes sure that the saved configuration meets the criteria needed to restore a device or application,Questions,Q&A,