Firemon客户案例学习资料 参考.pdfVIP

Firemon中国地区 实际案例场景分享 Firemon中国地区部分客户  银行：交通银行、国家开发银行、招商银行、浦东发展银行、上海银 行、包商银行、深圳农商行、广发银行、宁波银行、中国邮政储蓄银 行、中国银行广东省分行、中国建设银行广东省分行  券商：中信证券、海通证券、东方证券、光大证券、国金证券、中信 建投证券  交易所：香港证券交易所、郑州商品期货交易所  保险：太平洋保险、太平保险、出口信用保险、大地保险  互联网金融：陆金所、网金控股  电力：上海电力、广东电力  企业：华为、联想集团、中海油、迈瑞医疗、上海烟草、广东省进出 口检验检疫局、美的集团、中芯国际  运营商：广东移动、深圳移动、四川电信、广东联通  教育：华东理工大学  国有企业：中海油 金融客户的典型功能需求总结 需求实例一：某国有商业银行  Firemon之前的防火墙安全运维现状概要  防火墙数量众多  防火墙类型包括Juniper ScreenOS、SRX，Cisco ASA 、PIX  防火墙策略条目繁杂  大量的僵尸策略无法清除  安全矩阵表详尽细致  安全运维管理工作量大，排错查找困难  防火墙策略配置流程为人工方式 需求实例二：某保险  目前网络设备策略管理的困难：  无法就策略生成报表，需人工统计，消耗大量人力，也并不精确  无法对策略展开分析，无法计算策略利用率和无用率，并对策略开 展优化  某些防火墙策略纯命令行的界面，可视性比较差，增加了复杂性  变更人员在制定操作手册，必须登录到防火墙查看已有策略，无法 做到前后台分离，增加了操作风险。  防火墙的安全策略配置发生变更时，缺乏工具来对策略变更情况进 行记录  防火墙的安全策略管理时，缺乏工具来检查策略的冗余情况以及对 过宽的策略进行收敛  防火墙的安全审计时，缺乏工具来检查策略的合规性以及策略使用 情况 实际需求场景一 策略清理 需求分析：防火墙策略清理  问题：防火墙上累积了大量的策略，管理员不知 道这些策略的被使用情况，存在不少僵尸策略， 管理员无法对僵尸策略策略进行清理  其中的僵尸策略通常包括  冗余策略：  被其他某条或者某些条策略完全覆盖的策略。被覆 盖后，该条策略无法被命中  同时存在策略不冗余，但其中的object被冗余的情况  大部分防火墙品牌不支持冗余策略检查  无用策略  策略虽然未被覆盖，但由于种种原因，该条策略不 会被命中，如测试策略、过期策略等 直接在Dashboard界面查看僵尸策略 通过Firemon产品生成僵尸策略报告 通过Firemon产品生成可删除策略报告 通过Firemon产品生成策略利用率报告 通过Firemon产品生成对象利用率报告 策略利用率的定制化查询及僵尸策略查询  可定制化查询防火墙上的策略利用率  如，查询从2013年7月10 日，到2013年8月31 日，被 命中百分比大于20%的所有策略  或者，可查询最近3个月命中百分比为0的策略  上述查询结果可在Firemon 系统内查询  或者通过REST API输出数据到第三方防火墙策略 管理平台 策略的自动化清理  可以按需输出无用策略信息到第三方防火墙策略 管理平台，实现策略的自动化清理 实际需求场景二 策略使用情况的详细 “流”分析 “弱”(over-permissive)策略收敛 需求分析：策略流量的详细分析  系统中哪些策略配置的过宽 （over permissive ）？如何收敛？  防火墙管理员总是被问，’any’里面到底是什么？为什么要 配’any’ ？  某客户进行网络改造，购买了一台高端防火墙，计划将访问 控制从 “黑名单”方式，升级为 “白名单”方式。但由于不 知道哪些流量 （flow ）应该被允许，因此不知该如何配置策 略；  某客户计划新增安全域 （security zone ），计划在2个安全域 之间新增防火墙设备进行防火墙控制。但由于不清楚2个安全