技术点对点应答 唯品会

唯品会安全策略审计系统项目技术点对点应答针对“技术指标要求”的点对点应答功能类别功能项功能描述需求类别安全策略变更管理变更通知当防火墙的配置或者安全策略被变更时，指定的管理员会实时收到发来的通知，告知管理员配置的变更以及变更状况一类答：满足。Firemon Security Manager记录被管理设备的变更，根据配置，当发现被管理设备的某些事件后，可发送email通知到指定人员或者发送syslog到log服务器。事件可以包括：防火墙、路由交换设备策略配置变更、预定的审计结果、预定的策略测试报告结果等。同时，当发现策略配置变更事件后，Security Manager可以试试抓取被管理设备的配置，做到和被管理设备的配置同步。变更控制跟踪不同时间点配置比对 记录每次防火墙配置的修改，包括修改的详细技术信息。并且可比较不同时间点的配置的异同，并详细标记差异之处。一类答：满足要求。Firemon Security Manager可对比被管理防火墙不同时间点配置的异同，支持变更比对、全部比对，已经文本形式的比对方式，并给出报告，请参考下图：安全策略测试可以测试当前网络结构下，以及防火墙策略配置下，系统内的两个节点间的指导服务是否可达。方便的了解所配置的某条策略是否生效，或者是否需要增加新的安全策略来阻止系统 内两点间的某项服务。二类答：满足要求。Firemon的APA功能（Access Path Analysis）能够测试当前网络结构下，以及防火墙策略配置下，系统内的两个节点间的指导服务是否可达。方便的了解所配置的某条策略是否生效，或者是否需要增加新的安全策略来阻止系统 内两点间的某项服务。在Firemon的APA功能下，用户只需输入：起始源、终结点、服务，Firemon即可给出这两个节点间是否可达，如可达，则显示出可达的路径；如不可达，则显示出在哪里被阻断。如果该路径上存在防火墙，则会显示出是命中的哪一条策略，或者哪一条策略把流量drop掉。如果路径上存在NAT，也会显示出命中的哪一条NAT策略，并且是如何进行地址翻译的。日志审计记录每次防火墙配置变更的具体状况，包括那个人、什么时间、修改了什么等等。可通过格式化输出审计报告。一类答：满足要求。Firemon Security Manager可记录下被管理设备的每一次变更，并在系统中保存，保存的时间可以为数年甚至更长时间。根据上述记录，管理员可利用Firemon Security Manager查看被被管理设备的配置、配置变更记录，包括变更记录的详细信息，何时、何地、何人、做了怎样的变更。可通过格式化输出审计报告。策略使用状况分析策略使用状况分析通过记录每条安全策略的被使用情况，并且通过图形化方式显示。通过报告可以查看某台防火墙上哪些策略是长期以来没有被使用过，哪些安全策略的使用率最高等等。通过该报告可以调整防火墙安全策略的顺序，可以删除长期命中率为零的策略等。一类答：满足要求。FireMon Security Manager记录每条安全策略的被使用情况。其Rule Usage报告能够实时以图形化方式或者报表方式显示当前时刻某防火墙或者路由交换设备上安全策略使用率状况。通过这个报告，你可以查看某台防火墙上哪些策略是长期以来没有被使用过，哪些安全策略的使用率最高等等。通过该报告可以调整防火墙安全策略的顺序，可以删除长期命中率为零的策略等。需要说明的是：Firemon的策略利用率报告生成，可以由用户自由选择需要分析的起始时间和结束时间（如生成2016年3月12日到2016年5月20日的指定防火墙上的策略利用率）。并且也可以搜索特定利用率的策略（如搜索所有防火墙上策略利用率大于5%的所有策略）。下图就是一张安全策略使用率报告样本对象使用状况分析能够记录每条安全策略的使用率状况，还能够记录每天策略内的各个对象的使用状况，是否存在冗余的、无用的对象，管理员可以通过此信息精简策略配置，提升防火墙效率一类答：满足要求。Firemon的策略利用率分析功能，能够记录每条安全策略的使用率状况，还能够记录每天策略内的各个对象的使用状况，是否存在冗余的、无用的对象，管理员可以通过此信息精简策略配置，提升防火墙效率。活动报告每天的活动状况，并产生防火墙的每日活动报告。通过这个报告，管理员可查看该防火墙当日是否过于繁忙，或者异常的无活动等。一类答：满足要求。FireMon分析防火墙每天活动情况，能够生成每天连接数，最近30天的总连接数，使用最频繁的来源IP和目的IP。拓扑和访问策略进出流向的展现监控后是否能自动发现设备并自动生成逻辑拓扑，另通过源和目的IP查询能提供访问策略流量所经过的设备及匹配的访问策略。一类答：满足要求。Firemon可根据获取到的被管理设备配置信息，自动生成网络拓扑结构图，并且可在该拓扑结构图的基础上，利用APA功能（Access Path Analysis），测试当前网络结构下，以及防火墙策略配置下，系统内的两个节点间的指导服务是否可达。方便的了解所配置的某条策略是否生效，或者是否需要增加新的安全策略来阻止系统 内两点间的某项服务。在Firemon的APA功能下，用户只需输入：起始源、终结点、服务，Firemon即可给出这两个节点间是否可达，如可达，则显示出可达的路径；如不可达，则显示出在哪里被阻断。如果该路径上存在防火墙，则会显示出是命中的哪一条策略，或者哪一条策略把流量drop掉。如果路径上存在NAT，也会显示出命中的哪一条NAT策略，并且是如何进行地址翻译的。冗余安全策略分析大量的无用，或者冗余的安全策略，审计管理协助管理员可以查看哪些安全策略是不必要的冗余配置。可以根据该报告清理多余的安全策略。一类答：满足要求。Firemon Security Manager的冗余策略报告功能，能够分析某防火墙当前策略是否存在冗余策略，并生成相应报告。报告中详细分析了冗余策略的状况，并给出建议的操作。另外，在Security Manager上，不仅可分析出策略的冗余，还可以分析出对象（object）的冗余状况，能够更加全面的分析当前策略的冗余状况。可以根据该报告清理多余的安全策略。需要说明的是，即使客户策略配置包含反向掩码，Firemon Security Manager也可正常分析出冗余策略报告。下图是一个冗余策略报告的截图。安全策略复杂度分析查看所有防火墙配置的复杂度状况，过于复杂的防火墙配置，包括安全策略配置，将大幅影响防火墙的工作效率。通过报告，可以发现哪些防火墙的配置过于复杂，需要进行清理。一类答：满足要求。Firemon Security Manager的防火墙复杂度报告，能够查看所有防火墙配置的复杂度状况，过于复杂的防火墙配置，包括安全策略配置，将大幅影响防火墙的工作效率。通过报告，可以发现哪些防火墙的配置过于复杂，需要进行清理。安全策略流量分析管理员可查看任何一条安全策略的流量详细信息，包括各种应用的占比等。根据该报告制定更加有针对性、更加准确的安全策略，从而提升防火墙的安全性。一类答：满足要求。Firemon Security Manager的TFA策略流量分析功能（Traffic Flow Analysis）可查看任何一条安全策略的流量详细信息，包括各种应用的占比等。根据该报告制定更加有针对性、更加准确的安全策略，从而提升防火墙的安全性。启动对某策略的TFA分析操作上非常简单。l 在Firmeon产品中对这条策略启动TFA功能；l Firemon产品会开始自动对该策略的流量进行分析统计；一段时间后，管理员到Firemon产品上操作生成TFA报告。TFA报告将包括这段时间目标策略的详细被使用情况，包括哪些IP地址使用了该策略、都命中的哪些对象（object）、每个对象命中次数多少等，并根据算法，进行统计整理。TFA报告还可输出为可编辑的CSV格式，供管理员进行进一步的加工处理。下图为一份TFA报告样本:安全规范审计安全规范审计根据国际规范 或者标准，包括 PCI 或者 ISO27002等，审计防火墙的配置。审计报告中会显示哪些配置是不符合规范，并且给出建议。一类答：满足要求Firemon产品中，其产品内部缺省内置了几十种安全规范模板，包括PCI-DSS、SOX、ISO27002等（防火墙相关部分），以及各防火墙厂家的最佳安全实践。可根据这些内置的安全规范审计防火墙的配置。审计报告中会显示哪些配置是不符合规范，并且给出建议。自定义安全规范审计审计系统的自定义安全审计功能，审计系统内所有防火墙设备上的安全策略配置，是否存在允许该危险 TCP 端口的安全策略，并做出相应的修改一类答：满足要求。Firemon Security Manager提供了自定义安全规范的能力，内部提供了良好的模板及安全规范定义工具，基本上所有的安全规范，无论行业自身规范，还是企业自身规范，均可自定义在Firemon产品中。授权管理基于用户角色授权支持为具体用户指派角色，角色定义用户可进行哪些操作一类答：满足要求。Firemon Security Manager支持多个管理员，不同的管理员可以被赋予不同的管理权限，管理不同的防火墙、路由交换设备。一个管理员登录进入系统后，将只能够看到自己权限内的防火墙或路由交换设备。并且管理员的操作权限也可控制细分，能够按照功能需求分配操作权限。支持管理用户组授权能够设置不同的管理用户组，每个用户组具有不同的管理角色和权限。一类答：满足要求。Firemon Security Manager支持多个管理员，不同的管理员能够设置不同的管理用户组，每个用户组具有不同的管理角色和权限。一个管理员登录进入系统后，将只能够看到自己权限内的防火墙或路由交换设备。并且管理员的操作权限也可控制细分，能够按照功能需求分配操作权限。操作审计支持用户活动审计支持记录每个用户的活动记录，如在何时、使用何帐号、登录何机器以及登录持续时间等一类答：满足要求。Firemon支持记录每个用户的活动记录，如在何时、使用何帐号、登录何机器以及登录持续时间等。支持命令行审计支持记录通过ssh登录后执行的命令行，可下载或存储到指定位置一类答：满足要求。Firemon支持记录通过ssh登录后执行的命令行，可下载或存储到指定位置。支持命令行查询可以通过关键字进行查询，并快速定位到活动发生的时间点一类答：满足要求。Firemon可以通过关键字进行查询，并快速定位到活动发生的时间点。系统管理统一数据归集支持将数据、日志定期发送到服务器，以便于长期存档，满足合规性要求。一类答：满足要求。Firemon Security Manager支持将数据、日志定期发送到服务器，以便于长期存档，满足合规性要求。其他API开发接口审计系统提供与我司管理系统的API开发接口，并且提供多种方式的数据交互方式。二类答：满足要求。Security Manager提供标准的WebServer接口，外部系统可以通过该WEB接口，调用Security Manager中提供的一些数据或报告，如策略利用率、不合规安全策略等。这样外部系统可以根据这些数据进行二次开发，使得防火墙及路由交换设备的管理更加自动、智能。Firemon产品支持并提供与其他系统的接口。Firemon产品内置数据库，存储从被管理防火墙上获取并分析后提取的数据，通过Firemon UI界面产生的报告均基于数据库中存储的数据产生。Firemon系统存储数据，而不是报告。从大数据角度而言，Firemon产品内部存储了系统内部所有以“访问控制”角度的“大数据”。这些大数据包括：系统的拓扑结构图、访问控制网关的位置（包括防火墙、路由交换设备等）、访问控制网关的配置（特别是安全策略配置）