唯品会 技术方案建议书

唯品会安全策略审计系统项目唯品会安全策略审计系统项目技术方案建议书目录1.概述32.项目背景及需求52.1.技术需求说明52.2.技术功能需求53.产品及技术建议方案73.1.产品配置清单73.2.部署方式84.Firemon产品介绍94.1.安全策略变更管理94.1.1.实时配置变更通知94.1.2.变更追踪及不同时间点配置比对104.1.3.统一格式导出防火墙策略配置124.1.4.安全策略注解124.2.安全策略使用状况分析134.2.1.安全策略利用率报告134.2.2.对象(object)使用状况分析134.2.3.访问路径分析134.2.4.冗余安全策略分析144.2.5.安全策略流量分析及安全策略收敛154.2.6.定制化策略查询164.3.防火墙配置合规性审计174.3.1.基于国标的合规性审计174.3.2.高危端口审计174.3.3.安全域互访规则合规性审计184.3.4.自定义企业自身安全规范194.4.安全策略流程管理模块194.5.Firemon产品支持并提供与其他系统的接口214.5.1.Firemon产品内部的大数据214.5.2.外部系统如何调用Firemon内部的数据224.5.3.通过Firemon系统REST API可实现的客户化功能示例224.6.网络漏洞风险分析模块234.7.可管理的防火墙设备245.售后服务及培训255.1.服务网站账户信息建立255.2.系统安装255.3.故障排除服务(7X24)265.4.软件升级265.5.备件更换（保修）265.6.服务及联络方式265.7.培训276.Firemon产品优势及特色287.国内部分成功案例307.1.Firemon在国内的部分案例307.2.华为307.2.1.背景及需求307.2.2.Firemon解决方案317.2.3.对多品牌防火墙的支持317.2.4.大数量防火墙环境下的存储需求327.2.5.与华为现有策略管理平台的对接327.2.6.策略自动清理的实现327.3.交通银行347.3.1.背景及需求347.3.2.安全矩阵347.3.3.利用Firemon产品系统化维护安全矩阵及审计347.3.4.策略流程管理357.3.5.“弱”策略处理367.3.6.Firemon产品效果及总结371. 概述当前，随着信息化的加速，用户面临的网络安全威胁也越来越大。因此，用户往往购买了许多的网络安全设备部署在网络信息系统中，其中应用和部署最广的网络安全设备之一就是防火墙。防火墙是通过安全策略来进行安全防护的，防火墙安全策略的配置对防火墙的安全防护作用起着至关重要的作用。试想，一台再好的防火墙设备，如果不配置安全策略，或者安全策略的配置错误，那么这台防火墙就完全无法起到应有的安全防护作用，并且还会带来许多安全隐患和安全事件。根据Gartner的统计，95%的防火墙安全事件均是由防火墙的配置错误而引起的。而另一份Gartner的报告表明，造成系统故障的原因有超过80%是由于人员失误，包括配置失误、流程失误等。因此，防火墙安全策略配置的正确性对于防火墙设备的安全防护作用至关重要。但是，许多用户目前对防火墙安全策略的管理缺乏有效的手段，使得防火墙安全策略处于“不可见”的状态。最基本的两个困惑之处是：1）如何确定防火墙上的安全策略配置是正确的？2）当收到业务部门提交的安全策略配置申请时，该如何配置一条正确的策略？一些典型的管理员关于安全策略的问题包括：l 哪些安全策略是冗余的？ 哪些策略是无用的？l 哪个或哪些安全策略被使用的最多、最频繁？l 这条安全策略的目的？谁配的？什么时间配的？在起作用吗？l 是否存在过于“宽松”的安全策略，允许了过多的流量通过？该如何收敛该条策略？l 是否存在安全策略，允许了高危端口流量的通过？l 网络中某两点间某服务是否可达？可达的路径是什么？穿过了哪些防火墙设备？命中了哪些策略？l 当收到业务部门提交的安全策略配置申请时，该如何配置策略？是否需要新增策略？该配置一条什么样的策略？该在哪一台防火墙上增加策略？这条新增的策略合规吗？l 系统内防火墙的配置是否符合安全规范，如PCI、ISO27002等？l 企业内部安全域之间的互访规则，在防火墙上的安全策略是否符合这些互访规则呢？因此，在防火墙的安全策略配置、变更时，包括新增策略、变更策略，或者删除策略时，管理员操作依据较为模糊，缺少相关的数据分析报告或者科学依据，从而有时会出现防火墙安全策略配置上的缺陷或者错误，有些配置错误造成了客户信息系统的故障。现在，有了FireMon的Security Manager，这些头痛的问题将迎刃而解！FireMon是全球领先的防火墙安全策略管理及网络风险分析解决方案提供商，总部位于美国堪萨斯城。FireMon于2001年全球首家推出防火墙安全策略管理系统，带领了该市场的兴起。其Security Manager产品能够协助客户管理防火墙上配置、发现防火墙配置中的问题、分析当前策略使用状况、安全域互访合规性审计、自定义安全规范审计等。而在防火墙策略变更时，Firemon的策略流程规划模块Policy Planner可大大帮助客户简化该过程，提高变更的准确性。另外，其RiskAnalyzer是市场领先的网络漏洞分析系统，能够协助管理员更加准确的了解当前网络安全的态势。FireMon的产品被广泛应用于金融机构、运营商、政府、中大型企业等，用户遍及全球各个行业，包括运营商（T-Mobile、Verizon等）、金融（美国银行、纽交所、AXA安盛人寿等）、大型企业（IBM、HP、Dell、壳牌石油、eBay、美国航空等）。Firemon公司在北京、上海、深圳等地设有代表处，国内案例包括交通银行、浦东发展银行、上海银行、国家开发银行、中信证券、华为、联想集团、中国电信、中国移动、迈瑞集团、上海电力、上海烟草等。本方案将根据Firemon Security Manager及其相关功能模块的功能及技术特点，并结合唯品会在防火墙策略管理的具体需求，就项目的具体需求、技术实现、应用环境以及实施策略和部署方法进行概要性说明，以期为唯品会防火墙配置管理工具采购项目提供参考。2. 项目背景及需求为了保障唯品会网络和业务系统安全和有效运行，需要对防火墙策略和三层交换机的访问控制策略进行安全审计，要求所有设备上的访问控制策略必须符合相关安全标准、合规性要求、信息安全保障体系技术框架和访问策略开通最小化原则。. 技术需求说明目前公司业务发展迅速，办公场所分散、仓库分散到全国多个区域，导致网路安全设备不断增加，承载访问控制策略的设备有防火墙、网络交换机、上网行为管理设备等；经初步调研，现阶段公司拥有大量物理和虚拟防火墙，防火墙上也存在大量的访问控制策略。在各仓库中也有三层交换机的ACL列表对终端访问仓库内的服务系统进行控制，这部份策略也是访问控制策略审计内容。我司不断有新业务系统上线不断新增策略，同时设备多、策略多，多人运维防火墙和三层交换机，定期只通过人工方式审计和梳理开通的访问策略，现难以满足目前我司的防火墙策略安全审计和优化工作的要求，现主要存在如下隐患：l 存在僵尸策略：冗余策略、无用策略；l 存在 “宽泛”的安全策略；l 开放了高危端口的安全策略；l 存在违反了安全域互访规范的安全策略；l 无法了解策略的使用情况，不能对大量积累的策略进行清理；l 通过人工的审核不法确保策略的一致性；安全策略控制不严格将导致用户越权使用、导致生产事故、甚至信息泄露的风险，急需采购安全策略审计系统对策略进行集中审计、监控、告警。2.2. 技术功能需求安全策略管理优化解决方案为我司的网络安全管理提供了便利的审计工具，为网络安全优化工作提供了指导依据。在应用中，信息安全审计员无需再登陆到每一台网关设备来进行策略检查，通过一个平台即可准确地检测出配置不当的策略，并及时地发现无效、冗余的安全策略条目，修复不正确的安全策略配置，降低了企业发生安全事故的风险。部署后，可以实现如下的安全收益：l 统一管理审计系统可对防火墙设备进行统一管理，能够以视图方式呈现网络拓扑，通过其数据包路径分析功能，能够测试在当前策略配置下网络中各节点间的服务的可达性，并分析出每条策略的命中率。l 配置管理和变更管理审计系统监测防火墙设备的配置变更和策略变更情况，发生变更后实时通知信息安全审计员并保存变更记录，并能够提醒管理员及时删除将要过期的临时策略。l 策略配置实时分析审计系统自动分析防火墙设备上安全策略的配置和使用状况，发现冗余策略、无用策略以及“宽泛”的安全策略，生成当前策略分析报告和策略利用率报告，提供策略优化依据和策略配置建议。l 安全审计检测管理员配置的合规性审计系统具备防火墙配置和策略合规性审计功能，能够检测管理员的配置是否遵循了安全域互访规范和企业自定义的安全规范，包括支付牌照、PCI、ISO27001等国际标准，还可以检测出允许了高危端口流量通过的策略。3. 产品及技术建议方案经过对标书的研究，以及对该领域产品技术的分析，我们在本方案中建议在唯品会配置一套FireMon Security Manager系统，配置130个防火墙管理许可证。 FireMon Security Manager提供对防火墙设备安全策略的统一管理，可以管理不同厂家的防火墙设备的安全策略。良好的全图形化界面将提升管理员对安全策略的可视性，这将大大提高管理员针对防火墙的安全管理效率。防火墙的管理将变得简单、容易。通过FireMon Security Manager，管理员可以更加准确、全面的了解当前防火墙策略的使用状况，可以查看策略利用率，收敛宽泛安全策略，找出冗余安全策略，分析安全策略流量构成占比等等；根据这些信息，管理员就可以对安全策略进行优化，如清除掉一些不必要的策略，并且能够准确了解到当前策略的使用效果等。3.3.1. 产品配置清单产品配置清单如下：序号产品描述数量说明1.1SPFM-ASMFireMon应用服务器（Application Server）软件许可证。 硬件未包含。可运行在SPX系列专用服务、VM虚拟环境或者通用服务器上。1中央软件系统1.2SS-SPFM-ASM应用服务器(Security Manager)三年服务1三年服务2.1SPFM-SMLO管理防火墙需要的许可证。包括OSM许可证130被管理主防火墙软件许可证2.2SS-SPFM-SMLO许可证三年服务130三年服务上述产品均包含3年原厂服务。3.2. 部署方式根据实际需要，可以在管理网段和办公网段（要求与FireMon设备路由可达）中的PC上安装FireMon GUI Client，用于登录FireMon Security Manager对防火墙策略进行管理和分析。FireMon Security Manager可部署在系统中任何IP可达位置。硬件方面，用户可以选择FireMon的专用硬件产品，也可以选择将Security Manager软件安装在系统内的服务器上。并不需要在防火墙或者其他网络设备上安装软件，对用户网络安全方面的配置不会有任何改变。部署的示意图如下：图一Firemon Security Manager部署示例4. Firemon产品介绍FireMon Security Manager可以协助管理员优化防火墙的安全策略，了解当前防火墙策略的使用状况，可以查看哪些策略是长期以来没有被使用过，哪些安全策略的使用率最高，可以查看某条安全策略实际的流量状况，分析流量是如何穿过这条策略的；根据这些信息，管理员就可以对安全策略进行优化，如清理掉一些不必要的策略，并且能够准确了解到当前策略的使用效果等。良好的全图形化界面将提升管理员对安全策略的可视性，这将大大提高管理员针对防火墙的安全管理效率。防火墙的管理将变得简单、容易。图二Firemon Security Manager网络拓扑结构图显示FireMon Security Manager的一些典型功能包括：4.4.1. 安全策略变更管理4.1.1. 实时配置变更通知FireMon Security Manager会实时监控防火墙，当防火墙的配置或者安全策略被变更时，根据配置，可发送email通知到指定人员或者发送syslog到log服务器。事件可以包括：防火墙、路由交换设备策略配置变更、预定的审计结果、预定的策略测试报告结果等 图三实时变更记录图四实时变更邮件通知4.1.2. 变更追踪及不同时间点配置比对Firemon Security Manager记录每次防火墙配置的修改，包括修改的详细技术信息。并在系统中保存，保存的时间可以为数十年甚至更长时间。根据上述记录，管理员可利用Firemon Security Manager查看被被管理设备的配置、配置变更记录，包括变更记录的详细信息，何时、何地、何人、做了怎样的变更。并且可比较不同时间点的配置的异同，并详细标记差异之处，使得管理员清楚地了解配置的变化，以及变化的过程。同时可比对不同品牌防火墙安全策略效果的异同。图五变更报告样本图六变更比对样本（一）图七变更比对样本（二）图八不同品牌防火墙配置比对4.1.3. 统一格式导出防火墙策略配置无论被管理设备的类型，Security Manager可以将被管理设备的访问控制策略等配置以统一的CSV格式导出，也可以将这些配置通过WEB接口，导出到第三方的管理系统。不同品牌防火墙、路由交换设备上的ACL等，均可以统一的CSV格式导出。便于管理员对这些信息的统一管理。4.1.4. 安全策略注解通过Security Manager可以为被管理设备上的安全策略或者ACL增加注解。注解信息可包含策略管理人、过期时间、策略配置目的、申请部门等。注解可以为中文。该功能可以对配置的策略进行注解备案。同时FireMon提供了灵活的查询工具，能够根据策略注解的每项参数的内容进行查询，方便进行维护管理。选中一条策略后，还可以查看这条策略过往的配置变更情况，如策略创建时间、在源地址、目标地址、协议中添加/删除对象的记录等。图九安全策略注解4.2. 安全策略使用状况分析.1. 安全策略利用率报告FireMon Security Manager记录每条安全策略的被使用情况，并且通过图形化方式显示策略利用率报告。通过这个报告，你可以查看某台防火墙上安全策略的利用率状况，或者哪些策略是长期以来没有被使用过。管理员通过该报告可以调整防火墙安全策略的顺序，或者删除删除长期命中率为零的安全策略。图十安全策略利用率4.2.2. 对象(object)使用状况分析FireMon Security Manager 不仅能够记录每条安全策略的使用率状况，还能够记录每天策略内的各个对象（object）的使用状况，是否存在冗余的、无用的对象，管理员可以通过此信息精简策略配置，提升防火墙效率；4.2.3. 访问路径分析管理员可以利用Security Manager的APA功能，分析当前网络结构下，以及防火墙策略配置下，系统内的两个节点间的某服务是否可达，并给出可达的详细报告，包括路径、通过的设备、通过的防火墙设备命中的哪一条策略等等。这样，管理员能够方便的了解所配置的某条策略是否生效，或者是否需要增加新的安全策略来阻止系统内两点间的某项服务。图十一访问路径分析4.2.4. 冗余安全策略分析随着网络复杂度的提升，防火墙的策略也变得日益庞大，而其中通常有大量的无用，或者冗余的安全策略。过多的安全策略严重降低防火墙的性能及效率。通过Security Manager，管理员可查看哪些安全策略是不必要的冗余配置。可以根据该报告清理多余的安全策略。图十二冗余策略报告4.2.5. 安全策略流量分析及安全策略收敛许多防火墙上均会存在一些过于“宽松”的安全策略，包括允许了过多的IP地址、允许了过多的服务端口，或者直接是any类型的安全策略。这不符合安全策略配置的一般性原则，需要进行“收敛”。这需要了解这些安全策略下的流量状况，包括特定应用流量的占比，如HTTP流量百分比多少，TCP端口443的占比多少等。通过Security Manager的Traffic Flow Analysis功能，管理员可查看任何一条安全策略的流量详细信息，包括各种应用的占比等。管理员可以根据该报告制定更加有针对性、更加准确的安全策略，从而提升防火墙的安全性。图十三安全策略流量分析报告图十四服务端口统计报告4.2.6. 定制化策略查询FireMon提供的Insight工具。管理员可在Insight界面中，根据自己的需求，定义各种条件，Insight可根据管理员所指定的条件，查询出结果。在条件中，可指定设备、地址范围、地址类型、用户名、包含关键字、服务端口范围等等，并可自由进行组合查询。非常贴近管理员实际管理查询的需求。下面是一些查询的例子：device ipaddress = AND rule true 查询ip地址为的防火墙上的所有策略device name abc AND rule destination.type = network 查询名称包含abc的防火墙上，目的地址类型为网络的所有策略rule source.addressSpace 10 OR service.portcount 5 查询源地址数目大于10，或者服务端口数目大于5的所有策略rule usage(date(2012-07-10, 2012-07-14).count 500 查询从2012年7月10日，到7月14日，被命中次数大于500的所有策略rule usage(date(last 30 days).percent 10 查询从2最近30天，被命中百分比大于10%的所有策略ruledisabled = false and log = LOG and usage().count 0 and service.port = 22 未被disable，且log打开，且被命中数目大于0，且服务端口为22的所有策略图十五定制化策略查询4.3. 防火墙配置合规性审计.1. 基于国标的合规性审计Security Manager可根据国际规范，包括PCI或者ISO 27002等，审计防火墙的配置。审计报告中会显示哪些配置是不符合规范，并且会给出修改配置的建议。图十六基于国际标准的合规性审计4.3.2. 高危端口审计Firemon Security Manager可根据企业自身定义的安全规范进行审计。Security Manager提供了相关的工具及模板，能够让管理员方便灵活的定义自身的安全规范，并据此安全规范对全系统内的防火墙进行审计。图十七自定义高危端口图十八高危端口审计报告4.3.3. 安全域互访规则合规性审计安全域是指同一系统内有相同的安全保护需求，相互信任，并具有相同的安全访问控制和边界控制策略的子网或网络，且相同的网络。安全域共享一样的安全策略。对安全域的访问是需要严格控制的，以保护安全域内的系统及资产。这也是划分安全域的首要目的。而安全域的访问控制主要通过防火墙上安全策略实现如何确定防火墙上的策略是符合安全域之间互访规则，通常只能通过管理员手工凭经验检查，费时、费力、不准确。利用Firemon Security Manager，管理员可将安全域互访规则定义在系统中，并据此对相关的防火墙进行合规性审计。这样，管理员可快速、准确的确定防火墙上策略配置是否符合安全域互访规则。该操作可定期自动进行，结果可输出第三方系统。图十九将安全域互访规范定义在Firemon Security Manager中图二十基于安全域互访规范的合规性审计报告4.3.4. 自定义企业自身安全规范许多客户都有企业自身的安全规范。主要包括自定义危险端口、及安全域互访规则等。管理员可将企业的安全规范在Security Manager中进行定义，并且可据此对系统内防火墙设备的安全策略配置进行合规性检查，发现不合规的安全策略。可自定义非常复杂条件的安全规范，包括各种复杂查询条件的组合，与、或、非等。查询结果可按照管理员的指定格式进行输出，如CSV、XML、PDF、JSON等。也可输出到企业自身的管理系统。这些合规性审计报告，除了可实时查看外，也可定期自动发送给指定管理员。4.4. 安全策略流程管理模块通过FireMon 的安全策略配置流程模块Policy Planner，客户可将防火墙或者其他网关设备安全策略变革流程化、自动化。防火墙策略变更申请人可通过在线填写表单方式，提交申请。该申请经过内部的批准流程，得到批准后，管理员可继续通过Policy Planner模块，生成配置建议方案，提供建议配置的策略及配置位置等信息供管理员参考。Policy Planner支持BPMN 2.0标准，客户通过Policy Planner可自定义策略变更申请的内部流程。图二十一Policy Planner申请表格样本功能：l 防火墙变更流程管理l 策略变更策略建议l 预防不必要的变更l 策略变更影响分析l 整合的规则文件图二十二Policy Planner策略建议样本图二十三Policy Planner策略建议报告样本4.5. Firemon产品支持并提供与其他系统的接口.4.5.1. Firemon产品内部的大数据Firemon产品支持并提供与其他系统的接口。Firemon产品内置数据库，存储从被管理防火墙上获取并分析后提取的数据，通过Firemon UI界面产生的报告均基于数据库中存储的数据产生。Firemon系统存储数据，而不是报告。从大数据角度而言，Firemon产品内部存储了系统内部所有以“访问控制”角度的“大数据”。这些大数据包括：系统的拓扑结构图、访问控制网关的位置（包括防火墙、路由交换设备等）、访问控制网关的配置（特别是安全策略配置）、配置的变更历史、配置的使用情况、合规性情况等等。这些数据全部存贮在Firemon产品内部的数据库内部，可以供Firemon自己的UI界面使用，也可以通过接口，供外部系统使用。Firemon系统内部的数据可通过REST-API方式提供给。外部系统Firemon将根据外部系统发来的REST API查询，返回指定格式的数据信息。可返回的数据格式包括XML, JSON, PDF, CDR等。REST 从资源的角度来观察整个网络，分布在各处的资源由URI确定，而客户端的应用通过URI来获取资源的表征。获得这些表征致使这些应用程序转变了其状态。随着不断获取资源的表征，客户端应用不断地在转变着其状态，所谓表征状态转移（Representational State Transfer）。REST目前是WEB服务的国际标准，HTTP 1.1就是基于REST架构风格设计的。REST-ful的系统能够轻松实现与外部系统的对接，通过WEB方式：类似HTTP访问，如/。4.5.2. 外部系统如何调用Firemon内部的数据可以简单的使用HTTP的GET、POST、PUT以及DELETE方式与Firemon服务器进行通信，通过查询，以获取Firemon产品内部的数据。如：/firemon/api/1.0/rules.json?q=device ipaddress = AND rule true 从这台Firemon服务器上查询IP地址为的防火墙上的所有策略，并以JSON格式返回https:/fmit2/firemon/api/1.0/rules?q=device%7Bname%3DAll%20Devices%7D%20and%20rule%7Bcomment%20matches%20.*%5B0-9%5D%7B1%2C2%7D%2F%5B0-9%5D%7B1%2C2%7D%2F%5B0-9%5D%7B2%2C4%7D.*%7D4.5.3. 通过Firemon系统REST API可实现的客户化功能示例l 安全策略注释信息的客户化管理可输出：策略、有效期、所属部门、配置原因、所属人、源IP、目的IP、服务端口等信息，同时外部系统可推送策略注释信息会Firemon系统。可根据上述信息任意组合查询。l 安全策略的客户化查询管理员可自由组合各种条件查询策略信息，包括策略的地址、端口、各种注释信息，可组合的运算包括：等于、大于、小于、包含，可判断地址类型、端口范围等等。l 策略配置前检查策略是否存在l 安全策略利用率信息客户化输出及查询某条策略或者某些策略的利用率，也可根据指定的利用率查询策略。l 安全策略客户化化变更报告Firemon可输出策略变更信息，可根据：防火墙、防火墙组、指定策略等输出策略变更信息。可根据上述信息产生客户化化变更报告，包括各种汇总、分类变更信息。格式完全可定制化。l 安全策略合规性客户化报告Firemon可输出各种合规性审计的结果信息。根据上述信息可产生客户化合规性报告。l 安全策略变更流程相关信息外部系统可通过接口在Firemon系统中创建工单。可查询Firemon系统通过变更流程系统建议出的策略。图二十三Firemon Security Manager REST-API4.6. 网络漏洞风险分析模块Firemon公司的Risk Analyzer模块来自于全球著名的麻省理工MIT的林肯实验室（MIT Lincoln Laboratory）。林肯实验室成立于1951年，许多影响深远的技术或产品均出自这里，如雷达技术等。Risk Analyzer可判断已知的安全漏洞在的系统中严重性或者优先级。Risk Analyzer结合了网络中防火墙的位置、安全策略配置，安全漏洞扫描结果，以及CVE数据库，分析出特定的安全漏洞对系统将会造成影响的大小。可分析安全网络扫描设备发现的安全漏洞对系统的实际风险，这个结果更加准确、具有实际意义。有别于将漏洞分类，以及仅用传统评分方式设定补救优先级，风险分析工具会依照可用的网络使用方式，对于曝露的漏洞自动提供详细解析。功能：l 网络攻击路径可视化l 持续攻击端口监控l 网络安全防护分析l 安全性操作效率分析l 网络漏洞风険优先级分析4.7. 可管理的防火墙设备厂商产品系列CheckPointNG+系列各款防火墙，SmartCenter Provider-1。包括CheckPoint公司硬件平台，以及Nokia IPSO硬件平台，Crossbeam X系列及C系列硬件平台CiscoPIX系列，ASA系列，FWSM模块，各款IOS路由器，交换机等F5GTM，LTMFortinetFortigate系列防火墙JuniperNetScreen系列，SRX系列McAfeeMcAfee Firewall Enterprise系列防火墙Palo Alto NetworksPA 系列防火墙Huawei华为Eudemon系列防火墙HillStone山石SG系列防火墙TopSec天融信NGFW4000系列防火墙5. 售后服务及培训宇信安将和FireMon公司原厂共同为客户提供全方位的支持服务。服务包含724的电话、邮件以及网络服务、现场服务等。Firemon公司原厂在国内有专门的售后及售前工程师，FireMon公司原厂工程师将负责客户Firemon产品的初始安装以及相应的现场培训，同时FireMon原厂工程师也将另行安排时间，专门安排一个更全面的培训。项目安装完成移交初验后，宇信安将主要负责日常的系统维护等服务内容。在需要时，FireMon原厂工程师也将在今后的维护中提供现场服务。另外，FireMon的全球TAC小组将提供724的技术支持。宇信安将协同FireMon公司成立专门的售后服务小组，负责对该项目的服务。该小组组成、联系方式以及与FireMon公司总部TAC小组的联络方式，请参见“项目工作团队人员构成”。5.5.1. 服务网站账户信息建立Firemon设置了一个全球客户服务网站：。合同签订后，唯品会将获得一个在该网站的账户，并获得用户名及口令。唯品会管理员可以在该网站上生成相应的许可证，并在网站中获得丰富的各种技术资料、与Firemon工程师交流技术问题、开Case、获得最新版本软件等。FireMon也将通过该网站建立客户项目的详细信息，跟踪记录所有技术问题。5.2. 系统安装Firemon公司原厂工程师，以及宇信安工程师共同进行系统安装，以Firemon公司原厂工程师为主。安装服务内容包括但不限于：1)设备的安装调试；2)配合网络管理端口的开通；3)管理软件安装、配置，及系统安全加固；4)现有访问控制策略信息导入系统进行纳管；5)系统用户的权限设置、身份认证、审计功能；6)统计报表的生成与客户化定制；7)配合将设备纳入客户网管系统实施监控。5.3. 故障排除服务(7X24)当使用部门提出故障服务请求时，Firemon服务小组将保证在收到买方故障服务请求1小时之内给予响应，需要时在4小时内派技术人员到现场排除故障。如果4小时内无法排除故障而影响正常运行，将免费提供变通解决方案和临时替换设备，保证系统正常运转。5.4. 软件升级投标人将对所投标产品提供三年的软件升级服务。新的软件版本在公布后一周内将由FireMon提供。升级由FireMon售后服务小组工程师指导客户维护人员进行软件升级，若有必要FireMon售后服务小组将派技术人员到现场进行设备软件的升级。5.5. 备件更换（保修）FireMon公司对本项目合同内的全部合同设备提供硬件保修服务。硬件保修服务为3年。如果在4小时内无法排除故障而影响正常运行，将免费提供变通解决方案和临时替换设备，保证系统正常运转。 5.6. 服务及联络方式客户可以以电话、传真或E-Mail的方式和FireMon售后服务小组联系，如需要，将在FireMon售后服务小组的协调下，与Firemon全球技术支持中心进行联系。联系方式请参见下表：“项目工作团队人员构成”。姓名职责身份联系电话邮件孔庆恩技术支持Firemon中国区技术支持工程杨锐项目协调Firemon公司中国区总经SK Jang技术支持Firemon亚太区技术总监Will Butler技术支持Firemon公司总部技术支持W5.7. 培训FireMon公司技术人员将在设备到达用户最终用户现场后，在现场安装过程中，对所有相关人员进行一个现场培训。同时，在安装结束后，FireMon公司将为客户安排一次内容更全面的技术培训，包括安装、配置、故障诊断等内容。FireMon公司将安排原厂工程师负责培训并提供相应的电子培训教材。培训的具体时间由双方协商。6. Firemon产品优势及特色提供业界领先的策略分析管理系统：作为全球首家推出防火墙策略分析管理系统的厂商，Firemon公司一直在功能的丰富度上始终处于领先地位。坚持从客户需求角度出发，推出了许多很受客户欢迎的独特功能；易用性Firemon系统的操作界面良好，操作流程从实际使用者的角度出发，贴近用户的使用习惯，易学、易用。并且，不仅可提供客户端管理GUI系统，也同时可提供WEB方式的管理，提供用户多种选择；灵活的防火墙许可证FireMon产品的防火墙许可证与防火墙品牌无关。如，假设某用户购买了10个防火墙许可证，管理10台A品牌防火墙。如客户需要，可将FireMon系统中某个A品牌防火墙设备删除，然后可加入1台B品牌防火墙，只要同时管理的防火墙数仍然为10个即可。这一特性方便用户防火墙设备迁移或替换。当被管理设备需要迁移或替换时，用户无需联系代理商或厂商，管理员可以自行在FireMon系统替换被管理设备，切实保护现有投资；高效的存储处理FireMon不在本地磁盘存储防火墙的Log，只存储从中LOG中提取的策略匹配信息，并存储在FireMon设备中的数据库中。每条Log及每条策略均只占用12个字节。根据计算，对于管理100台防火墙，且每台防火墙上策略数为2000条，且策略活跃度为65%，这100台防火墙在FireMon设备第一年的存储需求约为24GB，今后每年存储增加约4GB。FireMon产品典型存储均在2TB。因此，FireMon设备上可存储数百台防火墙的数据多达10年甚至更多。用户无需准备巨大容量的磁盘空间存储报告，当需要报告时，FireMon会从数据库中调取数据生成所需要的报告。管理员也不需要花费太大精力维护磁盘容量（比如定期清理磁盘）；功能强大的SIQL 策略定制化查询工具FireMon 产品的FMQL查询工具为客户提供了即见即所得的策略维护请求，不仅能够实时查询管理员想要的策略数据，还能够将企业的内部安全矩阵表定义到Security Manager系统，自动化安全审计，从而降低审计成本，提高审计效率，提升审计准确率；良好的可定制化能力Firemon产品提供了良好的定制化能力，客户可利用Firemon产品定制许多独有的功能，包括将企业自身安全规范定义在Firemon产品中，定制化安全策略变更申请流程等等。这可使得Firemon产品能够更加贴近客户的实际需求；安全域互访规范审计客户可将其系统内安全域互访规范定义在Firemon产品中，并据此对系统内防火墙的安全策略进行审计，查找不符合安全域互访规范的安全策略配置，大大提高了安全域管理的效率及准确性；与现有系统集成的APIFireMon 产品提供了功能强大的API，利用业界流行的Web Service RestAPI技术，通过接口，客户自身的管理系统可灵活调用FireMon 系统中的一些数据，实现与客户管理系统的结合。客户能够根据自身需要通过API定制开发。FireMon不仅通过API提供防火墙策略管理分析数据，还提供策略变更流程的数据，使FireMon系统作为管理系统后台服务运行；支持本地防火墙品牌FireMon 产品除了支持国外主流品牌外，还为中国用户提供了本地防火墙的支持，比如华为、山石、天融信等。这为国内用户扩展防火墙品牌提供了良好的投资回报，从而降低总体拥有成本；具备数量众多的客户案例基础。FireMon全球乃至中国的大型用户应用案例为唯品会提供了最佳实践的基础，比如交通银行、浦发银行、上海银行、AIG、HP、IBM、华为、联想、迈瑞等客户均具有规模化应用；本地化原厂技术支持。 FireMon 公司在中国本地有完善的原厂商务和技术支持团队，可以在第一时间响应唯品会的技术支持需求，提供原厂本地化快速响应服务，解决唯品会产品使用的后顾之忧，切实保护投资利用率。7. 国内部分成功案例7.1. Firemon在国内的部分案例Firemon产品在国内众多的用户处得到应用，并且帮助客户解决了许多在管理防火墙及防火墙安全策略方面的难题。目前Firemon公司在国内的部分案例包括：l 银行：交通银行、国家开发银行、招商银行、浦东发展银行、上海银行、包商银行、深圳农商行、广发银行、宁波银行、中国邮政储蓄银行、中国银行广东省分行、中国建设银行广东省分行l 券商：中信证券、海通证券、东方证券、光大证券、国金证券、中信建投证券l 交易所：香港证券交易所、郑州商品期货交易所l 保险：太平洋保险、太平保险、出口信用保险、大地保险l 互联网金融：陆金所、网金控股l 电力：上海电力、广东电力l 企业：华为、联想集团、中海油、迈瑞医疗、上海烟草、广东省进出口检验检疫局、美的集团、中芯国际l 运营商：广东移动、深圳移动、四川电信、广东联通l 教育：华东理工大学l 国有企业：中海油这些客户使用了许多的Firemon产品功能，下面针对几个案例进行分析，重点介绍对他们帮助显著的一些功能。7.2. 华为 7.2.1. 背景及需求 过多的策略/策略清理： 使用的防火墙产品无策略冗余检查功能，防火墙上存在大量冗余策略，策略只增不减，部分防火墙上配置的策略超过2000条； 安全策略收敛： 以及策略下流量分析：希望针对“弱”安全策略逐步收敛，并且希望能够看到某条安全策略下流量的详细信息及统计分析。目前只能够通过手工分析log方式实现，准确性低，并且非常耗时； 高危端口 企业内部会定义某些“危险端口”，不允许在企业网络中有任何的该端口流量通过。但是现实中，无法确保管理员不出现误配置。需要人工对防火墙策略配置进行逐条检查。但几百台防火墙，几乎无法一一检查。 与现有防火墙策略管理平台的对接 华为具有完善的防火墙策略管理平台 但没有清理策略的功能7.2.2. Firemon解决方案 产品 2Security Manager中央服务器软件系统及其专用Appliance 12Data Collector及其专用Appliance 650个被管理防火墙许可证SMLO Policy Planner模块 部署 分布式部署，多个Data Collecotr在不同区域 被管理的防火墙遍布全国各地及全球多个研究所及办事机构 被管理防火墙品牌包括： CheckPoint Juniper （NetScreen及SRX） 华为 Eudemon系列 山石HillStone PaloAlto7.2.3. 对多品牌防火墙的支持 系统中存在多个不同品牌的防火墙产品 CheckPoint Juniper （NetScreen及SRX） 华为 Eudemon系列 山石HillStone PaloAlto Firemon公司根据华为需求，专门开发了对国产防火墙的支持，包括华为Eudemon系列及山石HillStone防火墙 所配置的290个被管理防火墙许可证与被管理防火墙的品牌无关 如，管理员可在Firemon系统中删除某个Juniper防火墙，然后用此许可证加入一台PaloAlto或者华为防火墙，而不需要专门申请7.2.4. 大数量防火墙环境下的存储需求 Firemon Security Manager中内置数据库，用于存储防火墙上配置及日志处理后的数据 每条防火墙安全策略存储空间：12字节 每条LOG处理后数据存储空间：12字节 按照计算Firemon系统的存储空间需求： 如果，290台防火墙，每台防火墙策略数为2,000条，且策略活跃度为65%，则第一年的存储空间需求约为70GB，今后每年的增加量约为10GB。 即使按照700台防火墙的最大量计算，第一年的存储需求为约170GB，今后每年增加约24GB 而Firemon硬件平台的存储大小为1.2TB，可满足华为若干年以上的存储需求7.2.5. 与华为现有策略管理平台的对接 Firemon产品已经实现了和华为防火墙策略管理平台的对接 可根据策略管理平台的查询，输出数据结