网络安全域流量与策略监管系统方案分析.ppt

技术优势 1、网络故障排查对人员的能力提出更高要求 2、手工排查故障能力效率低 通过安全域策略连接关系视图，输入起点IP和终点IP，则可查询两个IP之间的连接情况 方案技术优势 现状与挑战 优势五：网络故障排查与诊断能力 优势六：完善的策略管理流程 1、缺乏完善的策略维护流程与技术手段 通过策略变更管理流程，有效管理安全域策略的变更 与管控平台存在接口，形成资源统一提取和工单下发，形成良好互动 方案技术优势 现状与挑战 * * * * * * * * * * * * * * * * * * * * * * * * * * * * 网络安全域流量与策略集中监管系统方案 目录 网络安全域监管面临的挑战 建立安全域策略关系视图，感知安全域内异常攻击行为，高效管理安全域边界策略。 业务实际连接关系是怎样的？ 各系统和设备之间的实际连接关系是怎样的？ 是否能直观的展示各业务连接关系，即连接关系可视化？ 安全域划分和互连关系是否符合规范要求？ 安全域策略是否设置严谨？ 是否存在有效的安全域策略管理机制？ 安全域内设备运行状态如何？ 安全域划分是否合理？是否存在安全域定义之外的未知设备？ 业务连接关系是否符合规范？ 是否存在可疑和异常连接行为？ 安全域策略是否设置严谨？ 安全域策略是否设置高效？是否存在冲突、重复、冗余或过期无用策略？ 为什么存在这条策略？ 谁批准的这条策略？ 什么时候加的这条策略？ 这条策略的有效期是多久？ 目录 主要技术思路 自动对域内安全设备进行统一监控，对域间流量连接关系进行监管，对域间防护策略进行风险分析和优化以及变更流程管理。 典型安全域示意图 安全域及策略集中监管系统 一、配置与状态集中管理 二、策略安全分析与风险管理 三、策略变更管理 以业务子域为单位，对安全设备的状态和策略进行集中管理和监控。 对域内网络拓扑和业务连接关系进行自动绘制，对现有流量连接关系进行监管，对高风险防护策略进行分析、识别和告警。 对边界安全防护策略进行统一变更流程管理和版本管理。 体系架构 以业务系统为单位，基于安全域的设备集中管理 以防火墙设备为单位进行策略版本管理 策略信息、路由信息以及设备状态信息获取 SSH/Telnet/SNMP方式自动提取 策略信息离线导入 第三方平台接口推送 主要功能一 配置与状态集中管理 配置信息获取 设备集中管理 防火墙设备状态监控 CPU内存使用率监控 接口流量监控 短信邮件实时告警 对安全域内防火墙和网络设备的状态进行统一监控和管理。 主要功能二 安全分析与风险管理—安全子域识别与可视化 提供自定义接口，根据IP范围对安全子域进行识别，生成接口配置信息可视化视图。 安全子域识别 接口配置信息可视化 人工定义安全子域IP范围，基于IP范围和接口对安全子域进行划分 根据接口和配置信息，实现单体设备策略可视化 主要功能二 安全分析与风险管理—拓扑与连接关系绘制（一） 防火墙配置信息 路由器配置信息 交换机配置信息 自动绘制网络拓扑与连接关系 自动提取安全域中各防火墙和路由交换设备的配置信息，自动绘制网络拓扑图，以及基于IP的业务连接关系现状。 网络拓扑 业务连接关系 主要功能二 安全分析与风险管理—拓扑与连接关系绘制（二） 根据设备IP、接口和路由等信息，绘制设备所处安全子域拓扑与连接示意图。绿色加粗连接线表示可扩展部分。 单设备拓扑与连接分析 根据安全子域识别情况，以及采集的域间策略绘制域间业务连接关系，以连线+标签的形式直观显示。 安全域拓扑与连接分析 ① ① 主要功能二 安全分析与风险管理—安全域策略分析建模 根据各安全子域特性，梳理各子域之间典型的高风险策略，建立域间连接关系安全分析模型。 业务系统与Cmnet域建模示例 高风险 中风险 低风险 高 全为any的策略 管理端口对cmnet开放 …… 中 SNMP对cmnet开放 文件共享对cmnet开放 …… 低 业务系统域端口为any的策略 …… 82 审计结果：共审计策略2000条，发现6种违反安全规则的策略，3个高，2个中，1个低 序号 审计规则ID 危险级别 审计规则描述 违反审计规则的策略数 1 M32 高 从外网到内网的所有udp端口 20 2 M25 高 从外网到DMZ的所有tcp端口 6 3 M4 高 外网到DMZ无目的地址转换 12 4 M23 中 从DMZ到内网的所有tcp端口 25 5 M2 中 从业务到网管的所有服务 13 6 M3 低 内网到DMZ的源地址转换 77 域间策略健康指数 主要功能二 安全分析与风险管理—安全域连接关系建