Firemon我的资源Firemon Solution

轻松管理防火墙告别防火墙“亚健康”状态,孔庆恩JimKongJim.kong,公司背景,全球总部位于美国堪萨斯城全球第一个发布防火墙安全策略管理及网络设备ACL管理解决方案的厂商（2001年发布）用户遍及全球各个行业，包括运营商（T-Mobile、Verizon等）、金融（美国银行、纽交所、AXA安盛人寿等）、大型企业（IBM、HP、Dell、壳牌石油、eBay、美国航空等）母公司为FishNetSecurity全美最大的安全产品分销商，是Juniper,CheckPoint等防火墙全美最大的Distributor年营业额超过5亿美金，有超过5000个客户,2012,“theUltimatePolicyandRiskManagementTool”2012GroupTest,部分用户,OptionalIntegratedProductModules,FireMonEnterpriseSecurityPlatform,NetworkTopologyContinuousMonitoringReal-TimeAlertingPolicyBehaviorAnalysisComplianceEnforcementFirewallClean-UpSuiteScheduledReporting,SecurityManager,RiskAnalyzer,VisualizeRiskAssessPosturePrioritizeRemediationReduceRisk,PolicyPlanner,RealChangeAutomationProactivelyAssessImpactAuditComplianceImproveEfficiency,EnterpriseSecuritySolution,H,M,L,RISKSCORE,SecurityManager主界面,典型功能一：对当前安全策略配置的管理、分析,防火墙配置管理及变更管理实时配置变更通知防火墙配置比对：同一台防火墙不同时间点配置的比对，以及不同防火墙安全策略配置的比对管理安全策略注解统一格式导出不同品牌防火墙上的安全策略防火墙安全策略分析安全策略使用状况分析及对象(object)使用状况分析访问路径分析冗余及无用安全策略分析找出“宽松”策略，并对这些策略进行安全策略收敛及流量分析防火墙配置合规性审计PCIDSS,ISO27002等国际标准规范审计自定义安全规范审计FMQL：定义企业自身的安全规范防火墙安全策略合规性检查的“利器”,典型功能二：配置的建议及预检查,PolicyPlanner：事前策略配置合规性检查及流程管理策略配置规划建议、分析新增策略预分析等,多品牌防火墙支持,国外防火墙Cisco：PIX、ASA、FWSMCheckPoint：CheckPointAppliance,Nokia,Crossbeam,NG+,SmartCenter,Provider-1Juniper：Netscreen系列、SRX系列Fortinet:Fortigate系列PaloAltoNetworks：PA系列防火墙McAfee：MFE系列国内防火墙华为Eudemon系列、山石(HillStone)其他：ACL管理Cisco路由器、交换机F5：LTM、GTMBlueCoat,案例分析以下实际客户需求来自华为、交通银行、上海银行、浦东发展银行、联想集团等,典型需求,配置预检查与配置建议在网络部收到策略配置请求时，1）对配置请求进行预检查，是否需要配置；2）如需要，给出防火墙策略配置建议策略清理反向掩码：55“弱”策略收敛“弱”策略，指开放的过宽、过松的安全策略；开发了一些不需要的范围。典型的例子包括“Any”类型策略、B网段目标地址策略等；需要发现“弱”策略，并进行收敛安全矩阵合规性检查安全矩阵安全加固和现有防火墙管理系统的结合报告接口查询接口,防火墙安全策略预配置检查及策略建议,利用Firemon的PolicyPlanner全网页方式处理可定制化合规性检查,业务部门,管理员,防火墙管理员检查建议配置,是否需要配置,Firemon,管理员进入Firemon系统,无需配置（已有或违规）,将建议策略转发给管理员,通过网页系统提交申请,配置实施,策略清理（一）,基于HiddenRuleReport以及RuleUsageReport进行策略清理及优化FiremonSecurityManager中的HiddenRuleReport功能可分析防火墙安全策略中的冗余状况，具体可发现：被另一条防火墙覆盖掉的冗余策略被多条防火墙策略综合覆盖掉的冗余策略被其他策略的object覆盖掉的冗余object利用unusedrulereport，管理员收集一段时间（如3个月），生成最近3个月的无用策略报告，列出其中的无用策略并进行重点关注，再继续收集一段时间数据并二次生成无用策略报告后，对其中两次都在列表中的策略，可以考虑和业务需求部门确认后，决定是否有必要保留这条策略,策略清理（二）,定制化策略利用率查询通过网页方式，或者其防火墙管理系统发送HTTP请求方式ruleusage(date(2012-07-10,2012-07-14).count500ruleusage(date(last30days).percent10报告可以指定格式输出，包括JSON、XML、CSV、PDF等根据上述信息，实现自动的策略清理策略清理流程每3个月，系统会自动从Firemon系统中获取无用策略信息RULEUSAGE().count512ORservice.portcount8完全网页方式，通过外部系统发送HTTP请求，Firemon系统会回复结果，并且以指定的格式；收敛“弱”策略通过Firemon的TFA功能TFA报告可输出，可以可编辑的CSV格式,发现不合规安全策略,网络内定义了一些相关的安全规范，规定了网络流量的一些安全规范。但是否防火墙上的配置符合了这些安全规范，是否有不合规的安全策略？以往较难检查。该系统提供了界面，可组合一些条件，审计防火墙上的安全策略，查出不合规安全策略。如，中心规定，分行到生产之间，只允许访问网络掩码大于24，或者服务端口大于1024，并且服务端口等于80、443、23。则管理员可利用该系统，找出不符合上述要求的安全策略。该需求即通过SecurityManager的FMQL实现,通过FMQL定义企业的安全规范并进行合规性审计,通过Firemon的FMQL将“安全矩阵”所要求的安全规范，定义在Firemon系统中可手工查询（网页方式），也可系统自动查询，每周一自动发送合规性报告（邮件），其中包括通过FMQL以及其他方式定义的合规性检查的结果。,FMQL：功能强大的安全策略查询及合规性审计语言,FMQL：FireMonQueryLanguage用户可利用FMQL自定义各种查询条件，并自由进行各种ANDOR的组合，查询符合条件的组合：rulesourceissupersetof/24ANDdestination.any=falseORservice.any=falseANDaction=ACCEPT支持各种模糊查询,使用FMQL的查询示例,deviceipaddress=ANDruletrue查询ip地址为的防火墙上的所有策略devicenameabcANDruledestination.type=network查询名称包含abc的防火墙上，目的地址类型为网络的所有策略rulesource.addressSpace10ORservice.portcount5查询源地址数目大于10，或者服务端口数目大于5的所有策略ruleusage(date(2012-07-10,2012-07-14).count500查询从2012年7月10日，到2012年7月14日，被命中数目大于500的所有策略ruleusage(date(last30days).percent10查询从2最近30天，被命中百分比大于10%的所有策略ruledisabled=falseandlog=LOGandusage().count0andservice.port=22未被disable，且log打开，且被命中数目大于0，且服务端口为22的所有策略,输出示例（还可输出为CSV、JSON、XML等）,网络掩码小于24，或服务端口小于1024，且服务端口不等于80且不等于443的所有策略,路由器上的ACL也可被图形化显示及统一管理,防火墙策略统一格式导出,可通过FiremonSecurityManager将所管理防火墙上的安全策略导出为统一的格式，典型为CSV文件（即excel格式）。可对这些安全策略文件进行统一的编辑、保留等。,配置变更通知、报告及比对,管理员有时需要及时了解防火墙上配置的变更，如，当防火墙上某重要配置被变更时，管理员可实时得到通知；同时，管理员需要分析同一台防火墙上不同时间点的配置的异同。如，该台防火墙上在本月或本周做了哪些变更？另外，特别是在防火墙策略迁移时，需要在安全策略迁移结束后，确认迁移后的策略与原来的策略效果是否相同。FiremonSecurityManager提供了解决上述问题的功能防火墙配置变更通知配置比对不同防火墙策略效果比对该系统可记录所管理防火墙的每一次配置变更，并可实现实时通知配置的变更，记录变更，或者比对不同时期的配置的异同。这可使管理员更好的分析了解防火墙配置的变化过程，易于管理员提高防火墙配置准确性、有效性，对故障排除也有一定帮助。,配置变更通知,同一台防火墙不同时间配置的比对,记录每次防火墙配置的修改，包括修改的详细技术信息。并且可比较不同时间点的配置的异同，并详细标记差异之处，使得管理员能够清楚地了解配置的变化，以及变化的过程。,不同防火墙安全策略配置的比对,可比较不同防火墙上安全策略配置的异同，即使是不同品牌的防火墙也可进行比对；这在防火墙迁移时很有用。可比对迁移后防火墙安全策略效果的异同,高危端口安全策略审计,网络定义了一些高危端口。但是否系统内所有的防火墙上的安全策略配置均禁止了这些流量的通过？通过手工方式，较难检查。企业内部会定义某些“危险端口”，不允许在企业网络中有任何的该端口流量通过。但是现实中，无法确保管理员不出现误配置。需要人工对防火墙策略配置进行逐条检查。但几百台防火墙，几乎无法一一检查FiremonSecurityManager可实现针对这些定义的高危端口，对全系统内或者选择的防火墙进行安全策略审计，发现在防火墙上允许这些端口流量的安全策略