上证信息FireMon安全策略管理平台测试报告-v8

FireMon Security Manager安全策略管理平台测试报告2018年5月26FireMon Security Manager安全策略管理平台测试报告目录1测试背景32测试产品33测试时间44参与人员45测试环境准备55 .1安装Firemon Security Manager服务器端系统55 .2通讯协议6Check Point6Cisco6Juniper Networks75 .3测试环境相关设备和系统的信息86测试内容86 .1系统管理（Administration）86.1.1 用户管理86.1.2 集中日志服务器设置96 .2查看管理系统支持的设备类型106 .3查看被管理设备上的配置信息126 .4安全策略注解146 .5配置变更报告及配置比对156 .6冗余策略分析166 .7安全策略利用率报告186 .8未用安全策略报告196 .9防火墙安全策略流量分析及安全策略收敛196 .10防火墙安全策略优化206 .11安全策略重复对象分析226 .12高危服务端口策略226 .13安全评估最佳实践236 .14自定义合规规则246 .15策略组合查询266 .16集成现有系统的API开发接口287测试总结281 测试背景防火墙和路由交换设备是网络中部署最普遍的基础设备。在XX信息系统内部署了YY台的防火墙及路由交换设备，对XX集团信息系统的连通性和安全性起着非常重要的作用。防火墙和路由交换设备的安全访问控制作用是通过在设备上配置的访问控制策略(ACL)来实现的，安全访问控制策略将直接影响到网络设备的安全性、性能、稳定性等。无论这些设备是哪种品牌，或者高端低端，如果设备上的安全访问控制策略配置存在缺陷，那么防火墙和路由交换设备也就存在缺陷或者安全隐患。但是，由于以往缺少相关管理工具或系统，因此，在防火墙的安全策略配置、变更时，包括新增策略、变更策略，或者删除策略时，管理员操作依据较为模糊，缺少相关的数据分析报告或者科学依据，从而有时会出现安全访问控制策略配置上的缺陷或者错误，如冗余的策略、不必要的策略、过于复杂的策略，或者安全策略配置上遗漏了某些重要的安全策略，安全策略配置不符合国际安全规范或者企业自定义的安全规范等。这会给系统安全与稳定性带来隐患。本次测试即针对上述需求，目的是为了测试XX集团防火墙和路由交换设备在访问控制策略配置正确性检查、安全策略配置审计、策略收敛、变更管理、安全策略配使用状况实时分析等方面的功能，包括设备配置变更管理、安全策略使用状况分析、无用安全策略分析、安全策略复杂度分析、安全规范审计、策略申请流程管理等，并且体验相关产品在使用时的便捷性。2 测试产品本次测试产品是FireMon公司的Security Manager策略管理系统。FireMon Security Manager提供对防火墙和路由交换设备安全策略的统一管理，可以管理不同厂家的防火墙和路由交换设备的安全策略。良好的全图形化界面将提升管理员对安全策略的可视性，这将大大提高管理员针对网络设备的安全管理效率。这些设备的管理将变得简单、高效。FireMon Security Manager可以协助管理员优化防火墙及路由交换的安全访问控制策略，了解当前访问控制策略的使用状况，可以查看哪些策略是长期以来没有被使用过，哪些安全策略的使用率最高，可以查看某条安全策略实际的流量状况，分析流量是如何穿过这条策略的；根据这些信息，管理员就可以对安全策略进行优化，如清除掉一些不必要的策略，并且能够准确了解到当前策略的使用效果等。测试产品的详细信息如下：产品型号软件版本FireMon Security ManagerV8.x内置 Policy Planner 和 Policy Optimizer 模块FireMon 产品通讯模型：3 测试时间2018年2月4 参与人员FireMon： 序号名称职务12 5 测试环境准备需要一台测试服务器，放置在客户的测试机房。在这台测试服务器上安装FireMon 系统。另外，在测试网段的PC上安装Firefox或Chrome浏览器，对其进行管理。FireMon能够安装在VM环境下，将模拟测试现网中主要的防火墙品牌。5 .1 安装Firemon Security Manager服务器端系统本次测试FireMon Security Manager安装在VM虚拟机上，均需要如下的硬件配置。安装所需硬件平台规格及需要的参数服务器平台物理要求内存16GB或以上硬盘500GB或以上CPU8核CPU（支持64位操作系统）需要准备的参数Root Level Password至少8位，含有大小写字母、数字和特殊字符。WebUI Password默认用户名/密码:firemon/firemonDomain nameIP AddressGateway IPDNSNTP可先不配置中国标准NTP地址：210.72.145.44，上海交大202.120.2.101WebUI物理规格要求标准PC或笔记本均可，需要装有Firefox或Chrome浏览器。安装过程：1. 修改服务器启动配置，确认服务器可从光驱启动；2. 将FireMon系统安装光盘装入服务器光驱，重启服务器；3. 根据提示配置服务器参数，包括root级用户口令、domain name（任意指定该台服务的domain name，可任意配置）、IP地址、网关、SNMP、DNS、NTP服务器地址等；4. 配置完后，系统会进行安装，安装结束后会自动重启。5 .2 通讯协议下面是FireMon 8.x系统使用到的协议通讯端口号。Check PointCheck PointDeviceAccount Level for the Data CollectorPortsOther RequirementsFirewall-1, CMA, MDSRead-write admin login (one-time use to create OPSEC application object using CPRA) on CMA. Optional.18210 on serverRead-only administrator on CMA or MDS.18184 to connect to a Check Point log server using Log Export API (LEA).18190 for CPMI communication. Used to retrieve policies from the management server.CiscoCiscoDeviceAccount Level for the Data CollectorPortsOther RequirementsPIX, ASA, FWSM, IOS, CatOSAccount with level 15 permissions514 for SyslogSSH access22/23 for SSH/Telnet for retrievals.DC as a syslog server with “informational” level.Keyword “log” in ACE.Will need Enable password.NexusNetwork-operator 514 for SyslogLogging of informational messages from:acllog, syslog, local022/23 for SSH/Telnet for retrievals.DC added as a remote Syslog serverKeyword “log” in ACE.SSH accessJuniper NetworksJuniper NetworksDeviceAccount Level for the Data CollectorPortsOther RequirementsNSM, ScreenOSRead-only admin account514 for SyslogEnable Syslog messages to be sent to the DC.22/23 for SSH/Telnet for retrievals.Enable event logs, traffic logs, facility local0.8443 on the NSMs server IP (required for NSM communication)SRXSuper-user account514 for SyslogAdd the DC as a Syslog host.22/23 for SSH/Telnet for retrievals.Enable syslog messages with “any” facility and “info” level.VSYSRead-only user accountManagement IP address.VSYS name.M- and MX-SeriesSuper-user account514 for SyslogAdd the DC as a Syslog host.22/23 for SSH/Telnet for retrievals.Enable syslog messages from “any” facility and “info” severity.Add keyword “log” to each term in firewall filters. (Required for usage analysis.)5 .3 测试环境相关设备和系统的信息测试环境相关设备和系统的信息如下：Security Manager配置 l IP 地址：172.16.192.41l 网关地址： l 登录方式：FireMon或Chrome浏览器l 用户名：firemon 密码：firemon测试目标设备类型及数量 l Hillstone 防火墙 1 台l 6 测试内容6 .1 系统管理（Administration）6.1.1 用户管理测试目的：检验被测系统的用户管理功能。应能够支持本地用户和用户组，支持远程用户认证服务器。测试步骤：使用浏览器登陆FireMon系统IP地址，输入默认账号firemon/firemon， 登陆后页面为Administration系统管理。1、 进入Access-Users-Create User 创建新的管理员用户；2、 进入Access-User Groups-Create User Group创建新的管理员用户组及设置用户权限，或编辑现有用户组及修改用户权限；3、 进入Access-Authentication Servers-Create Authentication Server设置LDAP、Radius、Active Directory认证服务器。测试预期：能够创建用户和用户组，能够支持LDAP、Radius、Active Directory认证服务器。截图：测试结果：能够支持创建用户，及用户权限控制，支持主流的远程认证服务器协议。注释：6.1.2 集中日志服务器设置测试目的：被测系统应能够支持集中日志服务器转发防火墙日志到该系统。测试步骤：进入System-Central Syslog Servers-Create Central Syslog Server，根据提示设置集中日志服务器，用于转发Syslog给FireMon DC。测试预期：能够创建集中日志服务器，并能够接收集中日志服务器转发的日志。结果截图：测试结果：能够支持集中日志服务器，接收该日志服务器转发的日志内容。注释：6 .2 查看管理系统支持的设备类型测试目的主要测试FireMon系统支持的网络设备类型，包括防火墙和路由交换设备，目的是能够满足企业现在和未来网络设备的发展变化，更好的提高投资回报率（ROI）和降低总体拥有成本（TCO）。测试步骤1、使用浏览器登陆WebUI管理界面；2、进入Administration，点击Device-Devices-Create Device，新添加一台设备；3、查看设备类型。测试预期被测系统应支持业界主流的国内外防火墙及其他网络设备，比如Juniper、Huawei、Hillstone等品牌。截图测试结果支持主流的网络及安全设备，比如：思科、Check point、飞塔、F5、华为、Juniper、Palo alto、山石、天融信等。注释6 .3 查看被管理设备上的配置信息测试目的主要测试FireMon系统的WebUI管理界面内，对被管理设备的配置进行查看，包括策略或者ACL、网络端口、安全域等。验证该系统是否对不同设备配置标准化显示。测试步骤1、登陆FireMon系统的WebUI管理界面；2、进入Security Manager-Policy-Security Rules，查看策略GUI显示；3、进入Security Manager-Policy-Security Rules，点中某一设备，进入Policy-Policy View，点击Raw Files，选中要显示的原始配置文件显示其内容。测试预期以统一的图形化界面显示各品牌防火墙的策略配置及保留原始配置格式。截图统一图形化界面原始配置文件测试结果能够将不同的设备的配置用统一的图形化界面显示，并保存原始的配置文件，起到备份原始配置的作用。注释6 .4 安全策略注解测试目的测试Security Manager为被管理设备上的安全策略或者ACL增加注解。注解信息可包含策略管理人、过期时间、策略配置目的、申请部门等。注解可以为中文。测试步骤1、在Security Manager的WebUI管理界面内；2、进入Security Manager-Policy-Security Rules；3、点击第一列RULE的编号或名称，查看某条策略，在页面下方右侧点击Edit打开注解的操作界面。测试预期可以给策略增加注解截图测试结果能够对策略属性进行注解，并且支持中文，还能够对注解信息查询。注释6 .5 配置变更报告及配置比对测试目标测试FireMon产品可查看被管理防火墙设备的配置变更记录。管理员可选择时间段，然后FireMon产品可给出该时间段内指定防火墙设备的配置变更记录。报告包括何时、何地、何人、做了如何的配置变更，可追溯数月甚至数年前的配置。测试Security Manager配置比对功能。管理员可以比对不同时间点的配置的异同，便于发现配置中的问题。在配置变更报告中，管理员可以比对不同时间点配置的不同，可显示出当前配置的变更过程等，并使用不同颜色进行标记。测试步骤1、进入Security Manager界面，点击Change-Changes；2、查看设备配置变更情况；3、点击第二列Revision某一项打开该变更，切换View Changes为On，选择Compare To的Advanced，设置对比的版次，将显示配置对比；4、进入Security Manager-Reports-Change Report，根据提示设置，生成变更报告；测试预期生成配置变更报告截图测试结果能够生成变更报告，并且与上次的配置进行比对，找出变更的策略内容，绿色加号代表新增加，红色减号代表删除。注释6 .6 冗余策略分析测试目的测试Security Manager对防火墙上策略进行分析功能，查看是否存在冗余策略（即某条策略被另外一条或者一些策略覆盖）。给出的报告名为Removable Rules Report，其中包含了对这安全策略的分析，以及建议的操作。管理员可以根据这份报告，发现哪些策略是多余的，并且可以考虑进一步的管理动作。测试步骤1、在Security Manager的WebUI管理界面内； 2、点击顶部右侧，选择Reports，接着选择“Removable Rules Report”；3、根据提示选择选项，然后Security Manager系统将产生针对目标管理设备的冗余策略分析报告。测试预期生成冗余策略分析报告截图测试结果能够生成冗余策略报告，分析覆盖、遮盖、对象冗余等各种情况。注释6 .7 安全策略利用率报告测试项功能描述与测试目标测试Security Manager可以实时分析当前时刻某防火墙上安全策略的使用状况（rule usage），给出每条安全规则的利用率。并产生相关的分析报告，其中包括安全策略使用率的排名，饼状图显示，以及近期未被使用的安全策略。管理员可以根据这份报告，调整防火墙上安全策略的顺序，以使得防火墙的策略配置次序最优。测试步骤1、在Security Manager的WebUI管理界面内； 2、点击顶部右侧，选择Reports，接着选择“Rule Usage Report”；3、根据提示将输入各种选项，系统将产生安全策略利用率报告。测试预期生成安全策略利用率报告截图测试结果能够根据设置的时间条件，生成该时间范围的策略利用率报告，并统计该策略的命中数。注释6 .8 未用安全策略报告测试目的测试FireMon产品动态统计防火墙策略的命中状况，也记录中在一段时间内未被命中过的安全策略。这些策略包括被其他策略冗余的策略，或者在系统中未被使用过的策略（由于无相关流量、应用或者IP等）。管理员可根据该报告精简防火墙策略。测试步骤1、在Security Manager的WebUI管理界面内； 2、点击顶部右侧，选择Reports，接着选择“Unused Rules Report”；3、根据提示将输入各种选项，系统将产生无用策略报告。测试预期生成未用安全策略报告截图测试结果能够生成未用安全策略报告，详细列出该时间范围内没有命中的策略。注释6 .9 防火墙安全策略流量分析及安全策略收敛测试目的测试Security Manager的“Traffic Flow Analysis”的功能，能够对任意指定的防火墙安全策略，分析该条策略下的流量状况，包括服务类型、源及目的地址等。管理员可以根据这个统计分析报告，更加精细化“any”类型的安全规则，或者查看该条策略下的数据流量状况。测试步骤1、进入Security Manager的WebUI管理界面；2、点击顶部右侧菜单“Tools-Traffic Flow Analysis-”，进入Profiles点击Create New Flow Profile设置；一段时间后，在Security Manager的WebUI管理界面内，3、点击顶部右侧，选择Reports，接着选择“Traffic Flow Report”；4、根据提示，设置相关信息。根据提示生成报告。测试预期生成流量分析统计报告截图测试结果能够对宽泛的策略做流量流分析，并细化到没有策略对象的命中情况。注释6 .10 防火墙安全策略优化测试目的测试Security Manager的策略优化功能，能够分析该设备策略命中率比较高，而位置位于所有策略一半以下的安全策略。管理员可以根据这个策略优化分析报告，调整策略顺序，使策略命中更加快速，提高策略匹配效率。测试步骤1、进入Security Manager的WebUI管理界面；2、点击顶部右侧菜单“Report-Report Library”，进入“Highly Used Rules Low in the rule Base Report”；按照提示设置有关参数，生成报告。测试预期生成策略优化分析报告截图测试结果能够对策略列表中位置一半以下而命中率较高的策略进行分析。注释6 .11 安全策略对象使用分析测试目的测试Security Manager的策略对象使用情况分析功能，能够分析该设备策略哪些对象是使用的，包括网络对象和服务对象。管理员可以根据这个分析报告清理重复的策略对象。测试步骤1、进入Security Manager的WebUI管理界面；2、点击顶部右侧菜单“Report-Report Library”，进入“Objects Usage Report”；按照提示设置有关参数，生成报告。测试预期生成策略优化分析报告截图测试结果能够对策略对象使用情况进行分析。并且能够分析哪个对象被策略规则调用。注释6 .12 高危服务端口策略测试目的测试FireMon产品可根据管理员输入的高危端口信息，一键查询所有设备含有该高危端口的策略。测试步骤1、在WebUI内选择Security Manager；2、点击Policy-Security Rules，在Add Filter中输入高危端口信息，回车运行。测试预期显示符合条件的高危端口策略截图测试结果能够检查到高危端口策略，并可以导出为CSV格式文件。注释6 .13 安全评估最佳实践测试目的测试Security Manager根据预定义的安全评估规则，对防火墙或路由交换机的策略做标准的安全评估。测试步骤1、在Security Manager的GUI界面内，选择compliance；2、点击顶部右侧，选择Reports，接着选择“Compliance and Assessment Report”；3、根据提示可选择需要评估的设备或设备组。测试预期根据预定义的安全规范，生成最佳实践安全评估报告截图测试结果能够根据最佳实践合规规则，生成最佳实践合规安全评估报告。注释6 .14 自