1、唯品会安全策略审计系统项目技术方案建议书唯品会安全策略审计系统项目 1 / 38目录目录1.概述.32.项目背景及需求 .52.1.技术需求说明 .52.2.技术功能需求 .53.产品及技术建议方案 .73.1.产品配置清单 .73.2.部署方式 .84.Firemon 产品介绍.94.1.安全策略变更管理 .94.1.1.实时配置变更通知.94.1.2.变更追踪及不同时间点配置比对.104.1.3.统一格式导出防火墙策略配置.124.1.4.安全策略注解.124.2.安全策略使用状况分析.134.2.1.安全策略利用率报告.134.2.2.对象(object)使用状况分析.134.2.3.访
2、问路径分析.134.2.4.冗余安全策略分析.144.2.5.安全策略流量分析及安全策略收敛.154.2.6.定制化策略查询.164.3.防火墙配置合规性审计.174.3.1.基于国标的合规性审计.174.3.2.高危端口审计.174.3.3.安全域互访规则合规性审计.184.3.4.自定义企业自身安全规范.194.4.安全策略流程管理模块.194.5.Firemon 产品支持并提供与其他系统的接口.214.5.1.Firemon 产品内部的大数据.214.5.2.外部系统如何调用 Firemon 内部的数据.224.5.3.通过 Firemon 系统 REST API 可实现的客户化功能示例
3、.224.6.网络漏洞风险分析模块.234.7.可管理的防火墙设备.245.售后服务及培训 .255.1.服务网站账户信息建立.255.2.系统安装 .255.3.故障排除服务(7X24).265.4.软件升级 .265.5.备件更换(保修) .265.6.服务及联络方式 .265.7.培训.27唯品会安全策略审计系统项目 2 / 386.Firemon 产品优势及特色.287.国内部分成功案例 .307.1.Firemon 在国内的部分案例.307.2.华为.307.2.1.背景及需求 .307.2.2.Firemon 解决方案.317.2.3.对多品牌防火墙的支持.317.2.4.大数量防
4、火墙环境下的存储需求.327.2.5.与华为现有策略管理平台的对接.327.2.6.策略自动清理的实现.327.3.交通银行.347.3.1.背景及需求 .347.3.2.安全矩阵 .347.3.3.利用 Firemon 产品系统化维护安全矩阵及审计.347.3.4.策略流程管理.357.3.5.“弱”策略处理 .367.3.6.Firemon 产品效果及总结.37唯品会安全策略审计系统项目 3 / 381.概述概述当前,随着信息化的加速,用户面临的网络安全威胁也越来越大。因此,用户往往购买了许多的网络安全设备部署在网络信息系统中,其中应用和部署最广的网络安全设备之一就是防火墙。防火墙是通过安
5、全策略来进行安全防护的,防火墙安全策略的配置对防火墙的安全防护作用起着至关重要的作用。试想,一台再好的防火墙设备,如果不配置安全策略,或者安全策略的配置错误,那么这台防火墙就完全无法起到应有的安全防护作用,并且还会带来许多安全隐患和安全事件。根据 Gartner的统计,95%的防火墙安全事件均是由防火墙的配置错误而引起的。而另一份Gartner 的报告表明,造成系统故障的原因有超过 80%是由于人员失误,包括配置失误、流程失误等。因此,防火墙安全策略配置的正确性对于防火墙设备的安全防护作用至关重要。但是,许多用户目前对防火墙安全策略的管理缺乏有效的手段,使得防火墙安全策略处于“不可见”的状态。
6、最基本的两个困惑之处是:1)如何确定防火墙上的安全策略配置是正确的?2)当收到业务部门提交的安全策略配置申请时,该如何配置一条正确的策略?一些典型的管理员关于安全策略的问题包括:哪些安全策略是冗余的? 哪些策略是无用的?哪个或哪些安全策略被使用的最多、最频繁?这条安全策略的目的?谁配的?什么时间配的?在起作用吗?是否存在过于“宽松”的安全策略,允许了过多的流量通过?该如何收敛该条策略?是否存在安全策略,允许了高危端口流量的通过?网络中某两点间某服务是否可达?可达的路径是什么?穿过了哪些防火墙设备?命中了哪些策略?当收到业务部门提交的安全策略配置申请时,该如何配置策略?是否需要新增策略?该配置一
7、条什么样的策略?该在哪一台防火墙上增加策略?这条新增的策略合规吗?唯品会安全策略审计系统项目 4 / 38系统内防火墙的配置是否符合安全规范,如 PCI、ISO27002 等?企业内部安全域之间的互访规则,在防火墙上的安全策略是否符合这些互访规则呢?因此,在防火墙的安全策略配置、变更时,包括新增策略、变更策略,或者删除策略时,管理员操作依据较为模糊,缺少相关的数据分析报告或者科学依据,从而有时会出现防火墙安全策略配置上的缺陷或者错误,有些配置错误造成了客户信息系统的故障。现在,有了 FireMon 的 Security Manager,这些头痛的问题将迎刃而解!FireMon 是全球领先的防火
8、墙安全策略管理及网络风险分析解决方案提供商,总部位于美国堪萨斯城。FireMon 于 2001 年全球首家推出防火墙安全策略管理系统,带领了该市场的兴起。其 Security Manager 产品能够协助客户管理防火墙上配置、发现防火墙配置中的问题、分析当前策略使用状况、安全域互访合规性审计、自定义安全规范审计等。而在防火墙策略变更时,Firemon 的策略流程规划模块 Policy Planner 可大大帮助客户简化该过程,提高变更的准确性。另外,其 RiskAnalyzer 是市场领先的网络漏洞分析系统,能够协助管理员更加准确的了解当前网络安全的态势。FireMon 的产品被广泛应用于金融
9、机构、运营商、政府、中大型企业等,用户遍及全球各个行业,包括运营商(T-Mobile、Verizon 等) 、金融(美国银行、纽交所、AXA 安盛人寿等) 、大型企业(IBM、HP、Dell、壳牌石油、eBay、美国航空等) 。Firemon 公司在北京、上海、深圳等地设有代表处,国内案例包括交通银行、浦东发展银行、上海银行、国家开发银行、中信证券、华为、联想集团、中国电信、中国移动、迈瑞集团、上海电力、上海烟草等。本方案将根据 Firemon Security Manager 及其相关功能模块的功能及技术特点,并结合唯品会在防火墙策略管理的具体需求,就项目的具体需求、技术实现、应用环境以及实
10、施策略和部署方法进行概要性说明,以期为唯品会防火墙配置管理工具采购项目提供参考。唯品会安全策略审计系统项目 5 / 382.项目背景及需求项目背景及需求为了保障唯品会网络和业务系统安全和有效运行,需要对防火墙策略和三层交换机的访问控制策略进行安全审计,要求所有设备上的访问控制策略必须符合相关安全标准、合规性要求、信息安全保障体系技术框架和访问策略开通最小化原则。技术需求说明技术需求说明目前公司业务发展迅速,办公场所分散、仓库分散到全国多个区域,导致网路安全设备不断增加,承载访问控制策略的设备有防火墙、网络交换机、上网行为管理设备等;经初步调研,现阶段公司拥有大量物理和虚拟防火墙,防火墙上也存在
11、大量的访问控制策略。在各仓库中也有三层交换机的 ACL 列表对终端访问仓库内的服务系统进行控制,这部份策略也是访问控制策略审计内容。我司不断有新业务系统上线不断新增策略,同时设备多、策略多,多人运维防火墙和三层交换机,定期只通过人工方式审计和梳理开通的访问策略,现难以满足目前我司的防火墙策略安全审计和优化工作的要求,现主要存在如下隐患:存在僵尸策略:冗余策略、无用策略;存在 “宽泛”的安全策略;开放了高危端口的安全策略;存在违反了安全域互访规范的安全策略;无法了解策略的使用情况,不能对大量积累的策略进行清理;通过人工的审核不法确保策略的一致性;安全策略控制不严格将导致用户越权使用、导致生产事故
12、、甚至信息泄露的风险,急需采购安全策略审计系统对策略进行集中审计、监控、告警。2.2.技术功能需求技术功能需求安全策略管理优化解决方案为我司的网络安全管理提供了便利的审计工具,为网络安全优化工作提供了指导依据。在应用中,信息安全审计员无需再登陆到每一台网关设备来进行策略检查,通过一个平台即可准确地检测出配置不当的策略,并及时地发现无效、冗余的安全策略条目,修复不正确的安全策略配置,降低了企业发生安全事故的风险。部署后,可以实现如下的安全收益:统一管理审计系统可对防火墙设备进行统一管理,能够以视图方式呈现网络拓扑,唯品会安全策略审计系统项目 6 / 38通过其数据包路径分析功能,能够测试在当前策
13、略配置下网络中各节点间的服务的可达性,并分析出每条策略的命中率。配置管理和变更管理审计系统监测防火墙设备的配置变更和策略变更情况,发生变更后实时通知信息安全审计员并保存变更记录,并能够提醒管理员及时删除将要过期的临时策略。策略配置实时分析审计系统自动分析防火墙设备上安全策略的配置和使用状况,发现冗余策略、无用策略以及“宽泛”的安全策略,生成当前策略分析报告和策略利用率报告,提供策略优化依据和策略配置建议。安全审计检测管理员配置的合规性审计系统具备防火墙配置和策略合规性审计功能,能够检测管理员的配置是否遵循了安全域互访规范和企业自定义的安全规范,包括支付牌照、PCI、ISO27001 等国际标准
14、,还可以检测出允许了高危端口流量通过的策略。唯品会安全策略审计系统项目 7 / 383.产品及技术建议方案产品及技术建议方案经过对标书的研究,以及对该领域产品技术的分析,我们在本方案中建议在唯品会配置一套 FireMon Security Manager 系统,配置 130 个防火墙管理许可证。 FireMon Security Manager 提供对防火墙设备安全策略的统一管理,可以管理不同厂家的防火墙设备的安全策略。良好的全图形化界面将提升管理员对安全策略的可视性,这将大大提高管理员针对防火墙的安全管理效率。防火墙的管理将变得简单、容易。通过 FireMon Security Manage
15、r,管理员可以更加准确、全面的了解当前防火墙策略的使用状况,可以查看策略利用率,收敛宽泛安全策略,找出冗余安全策略,分析安全策略流量构成占比等等;根据这些信息,管理员就可以对安全策略进行优化,如清除掉一些不必要的策略,并且能够准确了解到当前策略的使用效果等。产品配置清单产品配置清单产品配置清单如下:序号产品描述数量说明1.1SPFM-ASMFireMon 应用服务器(Application Server)软件许可证。 硬件未包含。可运行在 SPX 系列专用服务、VM 虚拟环境或者通用服务器上。1中央软件系统1.2SS-SPFM-ASM应用服务器(Security Manager)三年服务1三年
16、服务2.1SPFM-SMLO管理防火墙需要的许可证。包括 OSM许可证130被管理主防火墙软件许可证2.2SS-SPFM-SMLO许可证三年服务130三年服务上述产品均包含 3 年原厂服务。唯品会安全策略审计系统项目 8 / 383.2. 部署方式部署方式根据实际需要,可以在管理网段和办公网段(要求与 FireMon 设备路由可达)中的 PC 上安装 FireMon GUI Client,用于登录 FireMon Security Manager 对防火墙策略进行管理和分析。FireMon Security Manager 可部署在系统中任何 IP 可达位置。硬件方面,用户可以选择 FireM
17、on 的专用硬件产品,也可以选择将 Security Manager 软件安装在系统内的服务器上。并不需要在防火墙或者其他网络设备上安装软件,对用户网络安全方面的配置不会有任何改变。部署的示意图如下:图一Firemon Security Manager 部署示例唯品会安全策略审计系统项目 9 / 384.Firemon 产品介绍产品介绍FireMon Security Manager 可以协助管理员优化防火墙的安全策略,了解当前防火墙策略的使用状况,可以查看哪些策略是长期以来没有被使用过,哪些安全策略的使用率最高,可以查看某条安全策略实际的流量状况,分析流量是如何穿过这条策略的;根据这些信息,
18、管理员就可以对安全策略进行优化,如清理掉一些不必要的策略,并且能够准确了解到当前策略的使用效果等。良好的全图形化界面将提升管理员对安全策略的可视性,这将大大提高管理员针对防火墙的安全管理效率。防火墙的管理将变得简单、容易。图二Firemon Security Manager 网络拓扑结构图显示FireMon Security Manager 的一些典型功能包括:安全策略变更管理安全策略变更管理4.1.1. 实时配置变更通知实时配置变更通知FireMon Security Manager 会实时监控防火墙,当防火墙的配置或者安全策略被变更时,根据配置,可发送 email 通知到指定人员或者发送
19、syslog 到 log服务器。事件可以包括:防火墙、路由交换设备策略配置变更、预定的审计结果、预定的策略测试报告结果等唯品会安全策略审计系统项目 10 / 38 图三实时变更记录图四实时变更邮件通知4.1.2. 变更追踪及不同时间点配置比对变更追踪及不同时间点配置比对Firemon Security Manager 记录每次防火墙配置的修改,包括修改的详细技术信息。并在系统中保存,保存的时间可以为数十年甚至更长时间。根据上述记录,管理员可利用 Firemon Security Manager 查看被被管理设备的配置、配置变更记录,包括变更记录的详细信息,何时、何地、何人、做了怎样的变更。并且
20、可比较不同时间点的配置的异同,并详细标记差异之处,使得管理员清楚地了解配置的变化,以及变化的过程。同时可比对不同品牌防火墙安全策略效果的异同。唯品会安全策略审计系统项目 11 / 38图五变更报告样本图六变更比对样本(一)图七变更比对样本(二)唯品会安全策略审计系统项目 12 / 38图八不同品牌防火墙配置比对4.1.3.统一格式导出防火墙策略配置统一格式导出防火墙策略配置无论被管理设备的类型,Security Manager 可以将被管理设备的访问控制策略等配置以统一的 CSV 格式导出,也可以将这些配置通过 WEB 接口,导出到第三方的管理系统。不同品牌防火墙、路由交换设备上的 ACL 等
21、,均可以统一的 CSV 格式导出。便于管理员对这些信息的统一管理。4.1.4. 安全策略注解安全策略注解通过 Security Manager 可以为被管理设备上的安全策略或者 ACL 增加注解。注解信息可包含策略管理人、过期时间、策略配置目的、申请部门等。注解可以为中文。该功能可以对配置的策略进行注解备案。同时 FireMon 提供了灵活的查询工具,能够根据策略注解的每项参数的内容进行查询,方便进行维护管理。选中一条策略后,还可以查看这条策略过往的配置变更情况,如策略创建时间、在源地址、目标地址、协议中添加/删除对象的记录等。图九安全策略注解唯品会安全策略审计系统项目 13 / 384.2.
22、安全策略使用状况分析安全策略使用状况分析安全策略利用率报告安全策略利用率报告FireMon Security Manager 记录每条安全策略的被使用情况,并且通过图形化方式显示策略利用率报告。通过这个报告,你可以查看某台防火墙上安全策略的利用率状况,或者哪些策略是长期以来没有被使用过。管理员通过该报告可以调整防火墙安全策略的顺序,或者删除删除长期命中率为零的安全策略。图十安全策略利用率4.2.2.对象对象(object)使用状况分析使用状况分析FireMon Security Manager 不仅能够记录每条安全策略的使用率状况,还能够记录每天策略内的各个对象(object)的使用状况,是否
23、存在冗余的、无用的对象,管理员可以通过此信息精简策略配置,提升防火墙效率;4.2.3. 访问路径分析访问路径分析管理员可以利用 Security Manager 的 APA 功能,分析当前网络结构下,以及防火墙策略配置下,系统内的两个节点间的某服务是否可达,并给出可达的详细报告,包括路径、通过的设备、通过的防火墙设备命中的哪一条策略等等。这样,管理员能够方便的了解所配置的某条策略是否生效,或者是否需要增加新的安全策略来阻止系统内两点间的某项服务。唯品会安全策略审计系统项目 14 / 38图十一访问路径分析4.2.4.冗余安全策略分析冗余安全策略分析随着网络复杂度的提升,防火墙的策略也变得日益庞
24、大,而其中通常有大量的无用,或者冗余的安全策略。过多的安全策略严重降低防火墙的性能及效率。通过 Security Manager,管理员可查看哪些安全策略是不必要的冗余配置。可以根据该报告清理多余的安全策略。图十二冗余策略报告唯品会安全策略审计系统项目 15 / 384.2.5. 安全策略流量分析及安全策略收敛安全策略流量分析及安全策略收敛许多防火墙上均会存在一些过于“宽松”的安全策略,包括允许了过多的 IP地址、允许了过多的服务端口,或者直接是any类型的安全策略。这不符合安全策略配置的一般性原则,需要进行“收敛”。这需要了解这些安全策略下的流量状况,包括特定应用流量的占比,如 HTTP 流
25、量百分比多少,TCP 端口 443的占比多少等。通过 Security Manager 的 Traffic Flow Analysis 功能,管理员可查看任何一条安全策略的流量详细信息,包括各种应用的占比等。管理员可以根据该报告制定更加有针对性、更加准确的安全策略,从而提升防火墙的安全性。图十三安全策略流量分析报告图十四服务端口统计报告唯品会安全策略审计系统项目 16 / 384.2.6.定制化策略查询定制化策略查询FireMon 提供的 Insight 工具。管理员可在 Insight 界面中,根据自己的需求,定义各种条件,Insight 可根据管理员所指定的条件,查询出结果。在条件中,可指
26、定设备、地址范围、地址类型、用户名、包含关键字、服务端口范围等等,并可自由进行组合查询。非常贴近管理员实际管理查询的需求。下面是一些查询的例子:device ipaddress = 1.1.1.1 AND rule true 查询ip地址为1.1.1.1的防火墙上的所有策略device name abc AND rule destination.type = network 查询名称包含abc的防火墙上,目的地址类型为网络的所有策略rule source.addressSpace 10 OR service.portcount 5 查询源地址数目大于10,或者服务端口数目大于5的所有策略rul
27、e usage(date(2012-07-10, 2012-07-14).count 500 查询从2012年7月10日,到7月14日,被命中次数大于500的所有策略rule usage(date(last 30 days).percent 10 查询从2最近30天,被命中百分比大于10%的所有策略ruledisabled = false and log = LOG and usage().count 0 and service.port = 22 未被disable,且log打开,且被命中数目大于0,且服务端口为22的所有策略图十五定制化策略查询唯品会安全策略审计系统项目 17 / 384.
28、3.防火墙配置合规性审计防火墙配置合规性审计基于国标的合规性审计基于国标的合规性审计Security Manager 可根据国际规范,包括 PCI 或者 ISO 27002 等,审计防火墙的配置。审计报告中会显示哪些配置是不符合规范,并且会给出修改配置的建议。图十六基于国际标准的合规性审计4.3.2. 高危端口审计高危端口审计Firemon Security Manager 可根据企业自身定义的安全规范进行审计。Security Manager 提供了相关的工具及模板,能够让管理员方便灵活的定义自身的安全规范,并据此安全规范对全系统内的防火墙进行审计。图十七自定义高危端口唯品会安全策略审计系统
29、项目 18 / 38图十八高危端口审计报告4.3.3. 安全域互访规则合规性审计安全域互访规则合规性审计安全域是指同一系统内有相同的安全保护需求,相互信任,并具有相同的安全访问控制和边界控制策略的子网或网络,且相同的网络。安全域共享一样的安全策略。对安全域的访问是需要严格控制的,以保护安全域内的系统及资产。这也是划分安全域的首要目的。而安全域的访问控制主要通过防火墙上安全策略实现如何确定防火墙上的策略是符合安全域之间互访规则,通常只能通过管理员手工凭经验检查,费时、费力、不准确。利用 Firemon Security Manager,管理员可将安全域互访规则定义在系统中,并据此对相关的防火墙进
30、行合规性审计。这样,管理员可快速、准确的确定防火墙上策略配置是否符合安全域互访规则。该操作可定期自动进行,结果可输出第三方系统。图十九将安全域互访规范定义在 Firemon Security Manager 中唯品会安全策略审计系统项目 19 / 38图二十基于安全域互访规范的合规性审计报告4.3.4.自定义企业自身安全规范自定义企业自身安全规范许多客户都有企业自身的安全规范。主要包括自定义危险端口、及安全域互访规则等。管理员可将企业的安全规范在 Security Manager 中进行定义,并且可据此对系统内防火墙设备的安全策略配置进行合规性检查,发现不合规的安全策略。可自定义非常复杂条件的
31、安全规范,包括各种复杂查询条件的组合,与、或、非等。查询结果可按照管理员的指定格式进行输出,如CSV、XML、PDF、JSON 等。也可输出到企业自身的管理系统。这些合规性审计报告,除了可实时查看外,也可定期自动发送给指定管理员。4.4.安全策略流程管理模块安全策略流程管理模块通过 FireMon 的安全策略配置流程模块 Policy Planner,客户可将防火墙或者其他网关设备安全策略变革流程化、自动化。防火墙策略变更申请人可通过在线填写表单方式,提交申请。该申请经过内部的批准流程,得到批准后,管理员可继续通过 Policy Planner 模块,生成配置建议方案,提供建议配置的策略及配置
32、位置等信息供管理员参考。Policy Planner 支持 BPMN 2.0 标准,客户通过 Policy Planner 可自定义策略变更申请的内部流程。唯品会安全策略审计系统项目 20 / 38图二十一Policy Planner 申请表格样本功能:防火墙变更流程管理策略变更策略建议预防不必要的变更策略变更影响分析整合的规则文件图二十二Policy Planner 策略建议样本唯品会安全策略审计系统项目 21 / 38图二十三Policy Planner 策略建议报告样本4.5.Firemon 产品支持并提供与其他系统的接口产品支持并提供与其他系统的接口Firemon 产品内部的大数据产品
33、内部的大数据Firemon 产品支持并提供与其他系统的接口。Firemon 产品内置数据库,存储从被管理防火墙上获取并分析后提取的数据,通过 Firemon UI 界面产生的报告均基于数据库中存储的数据产生。Firemon 系统存储数据,而不是报告。从大数据角度而言,Firemon 产品内部存储了系统内部所有以“访问控制”角度的“大数据”。这些大数据包括:系统的拓扑结构图、访问控制网关的位置(包括防火墙、路由交换设备等)、访问控制网关的配置(特别是安全策略配置)、配置的变更历史、配置的使用情况、合规性情况等等。这些数据全部存贮在 Firemon 产品内部的数据库内部,可以供 Firemon 自
34、己的 UI 界面使用,也可以通过接口,供外部系统使用。Firemon 系统内部的数据可通过 REST-API 方式提供给。外部系统 Firemon将根据外部系统发来的 REST API 查询,返回指定格式的数据信息。可返回的数据格式包括 XML, JSON, PDF, CDR 等。REST 从资源的角度来观察整个网络,分布在各处的资源由 URI 确定,而客户端的应用通过 URI 来获取资源的表征。获得这些表征致使这些应用程序转变了其状态。随着不断获取资源的表征,客户端应用不断地在转变着其状态,所谓表征状态转移(Representational State Transfer)。REST 目前是
35、WEB 服务的国际标准,HTTP 1.1 就是基于 REST 架构风格设计唯品会安全策略审计系统项目 22 / 38的。REST-ful 的系统能够轻松实现与外部系统的对接,通过 WEB 方式:类似HTTP 访问,如 http:/ 外部系统如何调用外部系统如何调用 Firemon 内部的数据内部的数据可以简单的使用 HTTP 的 GET、POST、PUT 以及 DELETE 方式与 Firemon服务器进行通信,通过查询,以获取 Firemon 产品内部的数据。如:https:/192.168.1.1/firemon/api/1.0/rules.json?q=device ipaddress
36、= 1.1.1.1 AND rule true 从 192.168.1.1 这台 Firemon 服务器上查询 IP 地址为 1.1.1.1 的防火墙上的所有策略,并以 JSON 格式返回https:/fmit2/firemon/api/1.0/rules?q=device%7Bname%3DAll%20Devices%7D%20and%20rule%7Bcomment%20matches%20.*%5B0-9%5D%7B1%2C2%7D%2F%5B0-9%5D%7B1%2C2%7D%2F%5B0-9%5D%7B2%2C4%7D.*%7D4.5.3. 通过通过 Firemon 系统系统 RES
37、T API 可实现的客户化功能示可实现的客户化功能示例例安全策略注释信息的客户化管理可输出:策略、有效期、所属部门、配置原因、所属人、源 IP、目的 IP、服务端口等信息,同时外部系统可推送策略注释信息会 Firemon 系统。可根据上述信息任意组合查询。安全策略的客户化查询管理员可自由组合各种条件查询策略信息,包括策略的地址、端口、各种注释信息,可组合的运算包括:等于、大于、小于、包含,可判断地址类型、端口范围等等。策略配置前检查策略是否存在安全策略利用率信息客户化输出及查询某条策略或者某些策略的利用率,也可根据指定的利用率查询策略。安全策略客户化化变更报告唯品会安全策略审计系统项目 23
38、/ 38Firemon 可输出策略变更信息,可根据:防火墙、防火墙组、指定策略等输出策略变更信息。可根据上述信息产生客户化化变更报告,包括各种汇总、分类变更信息。格式完全可定制化。安全策略合规性客户化报告Firemon 可输出各种合规性审计的结果信息。根据上述信息可产生客户化合规性报告。安全策略变更流程相关信息外部系统可通过接口在 Firemon 系统中创建工单。可查询 Firemon 系统通过变更流程系统建议出的策略。图二十三Firemon Security Manager REST-API4.6.网络漏洞风险分析模块网络漏洞风险分析模块Firemon 公司的 Risk Analyzer 模
39、块来自于全球著名的麻省理工 MIT 的林肯实验室(MIT Lincoln Laboratory) 。林肯实验室成立于 1951 年,许多影响深远的技术或产品均出自这里,如雷达技术等。Risk Analyzer 可判断已知的安全漏洞在的系统中严重性或者优先级。Risk Analyzer 结合了网络中防火墙的位置、安全策略配置,安全漏洞扫描结果,以及 CVE 数据库,分析出特定的安全漏洞对系统将会造成影响的大小。可分析安全网络扫描设备发现的安全漏洞对系统的实际风险,这个结果更加准确、具有实际意义。有别于将漏洞分类,以及仅用传统评分方式设定补救优先级,风险分析工具会依照可用的网络使用方式,对于曝露的
40、漏洞自动提供详细解析。功能:唯品会安全策略审计系统项目 24 / 38网络攻击路径可视化持续攻击端口监控网络安全防护分析安全性操作效率分析网络漏洞风険优先级分析4.7.可管理的防火墙设备可管理的防火墙设备厂商产品系列CheckPointNG+系列各款防火墙,SmartCenter Provider-1。包括 CheckPoint 公司硬件平台,以及 Nokia IPSO 硬件平台,Crossbeam X 系列及 C 系列硬件平台CiscoPIX 系列,ASA 系列,FWSM 模块,各款 IOS 路由器,交换机等F5GTM,LTMFortinetFortigate 系列防火墙JuniperNet
41、Screen 系列,SRX 系列McAfeeMcAfee Firewall Enterprise 系列防火墙Palo Alto NetworksPA 系列防火墙Huawei 华为Eudemon 系列防火墙HillStone 山石SG 系列防火墙TopSec 天融信NGFW4000 系列防火墙唯品会安全策略审计系统项目 25 / 385.售后服务及培训售后服务及培训宇信安将和 FireMon 公司原厂共同为客户提供全方位的支持服务。服务包含 724 的电话、邮件以及网络服务、现场服务等。Firemon 公司原厂在国内有专门的售后及售前工程师,FireMon 公司原厂工程师将负责客户 Firemo
42、n 产品的初始安装以及相应的现场培训,同时 FireMon原厂工程师也将另行安排时间,专门安排一个更全面的培训。项目安装完成移交初验后,宇信安将主要负责日常的系统维护等服务内容。在需要时,FireMon 原厂工程师也将在今后的维护中提供现场服务。另外,FireMon 的全球 TAC 小组将提供 724 的技术支持。宇信安将协同 FireMon 公司成立专门的售后服务小组,负责对该项目的服务。该小组组成、联系方式以及与 FireMon 公司总部 TAC 小组的联络方式,请参见“项目工作团队人员构成”。服务网站账户信息建立服务网站账户信息建立Firemon 设置了一个全球客户服务网站:。合同签订后
43、,唯品会将获得一个在该网站的账户,并获得用户名及口令。唯品会管理员可以在该网站上生成相应的许可证,并在网站中获得丰富的各种技术资料、与 Firemon 工程师交流技术问题、开 Case、获得最新版本软件等。FireMon 也将通过该网站建立客户项目的详细信息,跟踪记录所有技术问题。5.2.系统安装系统安装Firemon 公司原厂工程师,以及宇信安工程师共同进行系统安装,以Firemon 公司原厂工程师为主。安装服务内容包括但不限于:1)设备的安装调试;2)配合网络管理端口的开通;3)管理软件安装、配置,及系统安全加固;4)现有访问控制策略信息导入系统进行纳管;5)系统用户的权限设置、身份认证、
44、审计功能;6)统计报表的生成与客户化定制;唯品会安全策略审计系统项目 26 / 387)配合将设备纳入客户网管系统实施监控。5.3. 故障排除服务故障排除服务(7X24)当使用部门提出故障服务请求时,Firemon 服务小组将保证在收到买方故障服务请求 1 小时之内给予响应,需要时在 4 小时内派技术人员到现场排除故障。如果 4 小时内无法排除故障而影响正常运行,将免费提供变通解决方案和临时替换设备,保证系统正常运转。5.4.软件升级软件升级投标人将对所投标产品提供三年的软件升级服务。新的软件版本在公布后一周内将由 FireMon 提供。升级由 FireMon 售后服务小组工程师指导客户维护人
45、员进行软件升级,若有必要 FireMon 售后服务小组将派技术人员到现场进行设备软件的升级。5.5. 备件更换(保修)备件更换(保修)FireMon 公司对本项目合同内的全部合同设备提供硬件保修服务。硬件保修服务为 3 年。如果在 4 小时内无法排除故障而影响正常运行,将免费提供变通解决方案和临时替换设备,保证系统正常运转。 5.6.服务及联络方式服务及联络方式客户可以以电话、传真或 E-Mail 的方式和 FireMon 售后服务小组联系,如需要,将在 FireMon 售后服务小组的协调下,与 Firemon 全球技术支持中心进行联系。联系方式请参见下表:“项目工作团队人员构成”。姓名职责身
46、份联系电话邮件孔庆恩技术支持Firemon 中国区技术支持工程师18601200211J杨锐项目协调Firemon 公司中国区总经理13901725073R唯品会安全策略审计系统项目 27 / 38SK Jang技术支持Firemon 亚太区技术总监Will Butler技术支持Firemon 公司总部技术支持W5.7. 培训培训FireMon 公司技术人员将在设备到达用户最终用户现场后,在现场安装过程中,对所有相关人员进行一个现场培训。同时,在安装结束后,FireMon 公司将为客户安排一次内容更全面的技术培训,包括安装、配置、故障诊断等内容。FireMon 公司将安排原厂工程师负责培训并提
47、供相应的电子培训教材。培训的具体时间由双方协商。唯品会安全策略审计系统项目 28 / 386.Firemon 产品优势及特色产品优势及特色提供业界领先的策略分析管理系统提供业界领先的策略分析管理系统:作为全球首家推出防火墙策略分析管理系统的厂商,Firemon 公司一直在功能的丰富度上始终处于领先地位。坚持从客户需求角度出发,推出了许多很受客户欢迎的独特功能;易用性易用性Firemon 系统的操作界面良好,操作流程从实际使用者的角度出发,贴近用户的使用习惯,易学、易用。并且,不仅可提供客户端管理 GUI 系统,也同时可提供 WEB 方式的管理,提供用户多种选择;灵活的防火墙许可证灵活的防火墙许
48、可证FireMon 产品的防火墙许可证与防火墙品牌无关。如,假设某用户购买了10 个防火墙许可证,管理 10 台 A 品牌防火墙。如客户需要,可将 FireMon 系统中某个 A 品牌防火墙设备删除,然后可加入 1 台 B 品牌防火墙,只要同时管理的防火墙数仍然为 10 个即可。这一特性方便用户防火墙设备迁移或替换。当被管理设备需要迁移或替换时,用户无需联系代理商或厂商,管理员可以自行在 FireMon 系统替换被管理设备,切实保护现有投资;高效的存储处理高效的存储处理FireMon 不在本地磁盘存储防火墙的 Log,只存储从中 LOG 中提取的策略匹配信息,并存储在 FireMon 设备中的
49、数据库中。每条 Log 及每条策略均只占用 12 个字节。根据计算,对于管理 100 台防火墙,且每台防火墙上策略数为2000 条,且策略活跃度为 65%,这 100 台防火墙在 FireMon 设备第一年的存储需求约为 24GB,今后每年存储增加约 4GB。FireMon 产品典型存储均在 2TB。因此,FireMon 设备上可存储数百台防火墙的数据多达 10 年甚至更多。用户无需准备巨大容量的磁盘空间存储报告,当需要报告时,FireMon 会从数据库中调取数据生成所需要的报告。管理员也不需要花费太大精力维护磁盘容量(比如定期清理磁盘) ;功能强大的功能强大的 SIQL 策略定制化查询工具策
50、略定制化查询工具FireMon 产品的 FMQL 查询工具为客户提供了即见即所得的策略维护请求,不仅能够实时查询管理员想要的策略数据,还能够将企业的内部安全矩阵表定义到 Security Manager 系统,自动化安全审计,从而降低审计成本,提高审计唯品会安全策略审计系统项目 29 / 38效率,提升审计准确率;良好的可定制化能力良好的可定制化能力Firemon 产品提供了良好的定制化能力,客户可利用 Firemon 产品定制许多独有的功能,包括将企业自身安全规范定义在 Firemon 产品中,定制化安全策略变更申请流程等等。这可使得 Firemon 产品能够更加贴近客户的实际需求;安全域互
