智能运维之防火墙策略管理

        随着互联网技术的不断发展，防火墙作为内网的安全屏障，被大量的使用。防火墙数量的增加以及防火墙中安全策略条目的增加，安全工程师的运维工作量成倍的增长，应用交付往往要求防火墙策略能快速设置。用传统的人工方式运维大量的防火墙策略已经变得非常困难。

        本次分享将会介绍网络安全运维如何通过自动化方式，在防火墙数量达到几十台，策略条目庞大、多品牌的情况下，对防火墙策略进行集中式统一化的管理，提升用户查询、申请策略体验，优化申批流程，提升安全工程师效率的同时降低人工出错概率。

防火墙运维存在的痛点

1.     多品牌

        我们在建设基础的安全架构的时候，企业网使用多品牌防火墙是一种普遍情况。比如金融业有双墙异构的合规要求。不同品牌的防火墙提供不同的功能特性，不同时期、商务因素等原因，导致我们使用了多种品牌的防火墙来满足安全隔离的要求。

2.     数量大

        防火墙运维的第二个痛点来自于数量的增加，随着互联网技术的不断发展，网络的规模越来越大，防火墙作为网络的安全屏障在广泛使用，其数量也在相应的增加。下图的拓扑图展示了一些较大规模互联网公司或金融型的防火墙部署示意图，体现了边界防护、重要业务系统隔离保护、办公与生产隔离的一些保护需求。据我了解使用几台到几十台的企业有很多，也有一些大型集团公司或跨国公司使用数百台防火墙。

3.运维实际过程遇到的问题

        用户经常会提出这样的问题，我访问某个资源不通，是不是被墙拦截了？访问lab 环境有没有墙呀？上午提的申请为什么中午还是不通呀，测试访问生产是违规的，需要特别审批，找谁去审批呢？而防火墙安全工程师呢要一遍遍解答用户的疑问，不断与用户沟通。同时要人工审核策略需求，编写防火墙配置工艺，在变更窗口登录到防火墙设备下发配置，不断重复这个过程。

防火墙策略管理利器-FireMon

        Firemon产品部署在系统中任一IP可达点，用于对防火墙安全策略进行科学系统的管理、分析、审计。这样，可以更加高效率的管理防火墙配置，保障防火墙安全策略配置的准确性，系统化防火墙配置的变更管理，保障防火墙安全策略的合规性，实时分析防火墙安全策略的利用状况，优化防火墙的安全策略配置，从而使得防火墙管理的更加系统化、规范化、流程化。良好的全图形化界面将提升管理员对安全策略的可视性，这将大大提高管理员针对防火墙的安全管理效率。防火墙的管理将变得简单、高效、准确。

核心功能介绍

实现被管理设备配置统一管理：

        目前防火墙设备品牌众多，并且当前系统防火墙异构的要求也越来越高，因此系统中往往有许多不同品牌的防火墙设备。这些防火墙设备的管理方式，特别是配置的格式均不相同，这给防火墙配置的管理带来了问题，特别是需要从整个系统全局角度管理防火墙安全策略配置时。Firemon产品能够将所有被管理设备的配置用统一的格式显示，并且可以将这些不同品牌设备的安全策略配置以统一格式输出，这大大方便了管理员对不同品牌防火墙的统一管理。

 传统查看ACl方式

使用FireMon 统一格式查看

安全策略注解：

        通过Security Manager可以为被管理设备上的安全策略或者ACL增加注解。注解信息可包含策略管理人、过期时间、策略配置目的、申请部门等。注解可以为中文。该功能可以对配置的策略进行注解备案，同时FireMon提供了灵活的查询工具，能够根据策略注解的每项参数的内容进行查询，方便进行维护管理。

注解格式

安全策略利用率分析：

        FireMon 产品记录每条安全策略的被使用情况，并且通过图形化方式显示策略利用率报告。通过这个报告，你可以查看某台防火墙上安全策略的利用率状况，或者哪些策略是长期以来没有被使用过。管理员通过该报告可以调整防火墙安全策略的顺序，或者删除长期命中率为零的安全策略。

冗余策略分析：

        防火墙安全策略配置中通常有大量的无用，或者冗余的安全策略。过多的安全策略严重降低防火墙的性能及效率。通过Firemon产品，管理员可查看哪些安全策略是不必要的冗余配置，可以根据该报告清理多余的安全策略。

安全策略流量分析及安全策略收敛：

        许多防火墙上均会存在一些过于“宽松”的安全策略，包括允许了过多的IP地址、允许了过多的服务端口，或者直接是’any’类型的安全策略。这不符合安全策略配置的一般性原则，需要进行“收敛”。通过Firemon产品的Traffic Flow Analysis功能，管理员可查看任何一条安全策略的流量详细信息，包括各种应用的命中次数等。管理员可以根据该报告制定更加有针对性、更加准确的安全策略，从而提升防火墙的安全性。

访问路径分析：

        管理员可以利用Firemon产品的APA功能，分析当前网络结构下，以及防火墙策略配置下，系统内的两个节点间的某服务是否可达，并给出可达的详细报告，包括路径、通过的设备、通过的防火墙设备命中的哪一条策略等等。这样，管理员能够方便的了解所配置的某条策略是否生效，或者是否需要增加新的安全策略来阻止系统内两点间的某项服务。

定制化安全策略查询：

        FireMon提供的Insight工具。管理员可在Insight界面中，根据自己的需求，定义各种条件，Insight可根据管理员所指定的条件，查询出结果。在条件中，可指定设备、地址范围、地址类型、用户名、包含关键字、服务端口范围等等，并可自由进行组合查询，非常贴近管理员实际管理查询的需求。

变更通知：

        FireMon产品会实时监控防火墙，当防火墙的配置或者安全策略被变更时，根据配置，可发送email通知到指定人员或者发送syslog到log服务器。

变更比对：

        管理员可利用Firemon 产品查看被管理设备的配置、配置变更记录，包括变更记录的详细信息，何时、何地、何人、做了怎样的变更，并且可比较不同时间点的配置的异同，并详细标记差异之处，使得管理员清楚地了解配置的变化，以及变化的过程。

防火墙策略变更“预”检查及变更流程管理：

        FireMon IPA利用自动化和智能化来减少变更管理流程每个阶段的工作量并提高准确性。

Ø  捕获请求详细信息

Ø  确定是/否应该设计什么规则

Ø  分析对合规性和风险的影响

Ø  低影响变化的跳过审查

Ø  自动验证计划的更改

Ø  实施后审查/监控

Ø  利用 Policy Optimizer

技术联盟伙伴——国内外品牌

未来发展

        随着网络设备和防火墙设备的普及应用，设备自动化运维将是未来的趋势。这不仅能够提高设备运行的效率，还能够降低维护成本，有效提高投资回报率。业内其他银行很多都已经搭建设备自动化运维的系统，成效显著。

        我们根据自身业务的发展以及防火墙设备的安全策略运维情况，未来逐步完善IT系统安全可靠运行所需要的各种条件，确保整个系统无故障无间断的安全运行。