技术点对点应答唯品会

1、安全策 略变更 管理变更通知当防火墙的配置或者安全策略被变更时，指定的管一类理员会实时收到发来的通知，告知管理员配置的变更以及变更状况答：满足。Firemon Security Manager 记录被管理设备的变更，根据配置，当发现被管理设备的某些事件后，可发送email 通知到指定人员或者发送syslog 到 log 服务器。事件可以包括：防火墙、路由交换设备策略配置变更、预定的审计结果、预定的策略测试报告结果等。同时，当发现策略配置变更事件后，Security Manager 可以试试抓取被管理设备的配置，做到和被管理设备的配置同步。变更控制跟踪不同时间点配置比对记录每次防火墙配置的修一类

2、改，包括修改的详细技术信息。并且可比较不同时间点的配置的异同，并详细标记差异之处。答：满足要求。Firemon Security Manager 可对比被管理防火墙不同时间点配置的异同，支持变更比对、全部 比对，已经文本形式的比对方式，并给出报告，请参考下图：安全策略测试可以测试当前网络结构下，以及防火墙策略配置二类下， 系统内的两个节点间的指导服务是否可达。方便的了解所配置的某条策略是否生效，或者是否需要增加新的安全策略来阻止系统内两点间的某项如果路径上存在NAT，也会显示出命中的哪一条NAT 策略，并且是如何进行地址翻译的。答：满足要求。Firemon 的 APA 功能( Access P

3、ath Analysis )能够测试当前网络结构下，以及防火墙策略配置下，系统内的两个节点间的指导服务是否可达。方便的了解所配置的某条策略是否生效，或者是否需要增加新的安全策略来阻止系统内两点间的某项服务。在 Firemon 的 APA 功能下，用户只需输入：起始源、终结点、服务，Firemon 即可给出这两个节点间是否可达，如可达，则显示出可达的路径；如不可达，则显示出在哪里被阻断。如果该路径上存在防火墙，则会显示出是命中的哪一条策略，或者哪一条策略把流量drop 掉。记录每次防火墙配置变更的具体状况，包括那个人、 什么时间、修改了什么等等。可通过格式化输 出审计报告。答：满足要求。Fire

4、mon Security Manager 可记录下被管理设备的每一次变更，并在系统中保存，保存的时间可以为数年甚至更长时间。根据上述记录，管理员可利用Firemon Security Manager查看被被管理设备的配置、配置变更记录，包括变更记录的详细信息，何时、何地、何人、做了怎样的变更。可通过格式化输出审计报告。策略使用状况策略使用状况分析通过记录每条安全策略的被使用情况，并且通过图形化方式显示。通过报告可以查看某台防火墙上哪分析些策略是长期以来没有被使用过，哪些安全策略的使用率最高等等。通过该报告可以调整防火墙安全策略的顺序，可以删除长期命中率为零的策略等。答：满足要求。FireMon

5、 Security Manager 记录每条安全策略的被使用情况。其Rule Usage 报告能够实时以图形化方式或者报表方式显示当前时刻某防火墙或者路由交换设备上安全策略使用率状况。通过这个报告，你可以查看某台防火墙上哪些策略是长期以来没有被使用过，哪些安全策略的使用率最高等等。通过该报告可以调整防火墙安全策略的顺序，可以删除长期命中率为零的策略等。需要说明的是：Firemon 的策略利用率报告生成，可以由用户自由选择需要分析的起始时间和结束时间（如生成2016 年 3 月 12 日到 2016 年 5 月 20 日的指定防火墙上的策略利用率）也可以搜索特定利用率的策略（如搜索所有防火墙上策

6、略利用率大于5% 的所有策略）。下图就是一张安全策略使用率报告样本对象使用状况分析还能够记录是否存在冗余无用的对象，管理员可以通过此信息精简策略配置，提升防火墙效率答：满足要求。Firemon 的策略利用率分析功能，能够记录每条安全策略的使用率状况，还能够记录每天策略内的各个对象的使用状况，是否存在冗余的、无用的对象，管理员可以通过此信息精简策略配置，提升防火墙效率。活动报告每天的活动状况，并产生防火墙的每日活动报告。通过这个报告，管理员可查看该防火墙当日是否过于繁忙，或者异常的无活动等。答：满足要求。FireMon 分析防火墙每天活动情况，能够生成每天连接数，最近的来源 IP 和目的 IP。

7、30 天的总连接数，使用最频繁拓扑和访问策略进出流向的展现监控后是否能自动发现设备并自动生成逻辑拓扑，另通过源和目的IP 查询能提供访问策略流量所经过的设备及匹配的访问策略。Firemon 可根据获取到的被管理设备配置信息，自动生成网络拓扑结构图，并且可在该拓扑结APA 功能( Access Path Analysis ) ，测试当前网络结构下，以及防火墙策内两点间的某项服务。Firemon 的 APA 功能下，用户只需输入：起始源、终结点、服务，Firemon 即可给出这两个drop 掉。NAT，也会显示出命中的哪一条NAT 策略，并且是如何进行地址翻译的。Firemon Security

8、Manager 的冗余策略报告功能，能够分析某防火墙当前策略是否存在冗余策并生成相应报告。报告中详细分析了冗余策略的状况，Manager 上，不仅可分析出策略的冗余，还可以分析出对象（冗余安全策略分析大量的无用，或者冗余的安全策略，审计管理协助管理员可以查看哪些安全策略是不必要的冗余配一类置。可以根据该报告清理多余的安全策略。并给出建议的操作。另外， 在 Securityobject ）的冗余状况，能够更加全Firemon Security Manager 也可正常分析出安全策略复杂度分析查看所有防火墙配置的复杂度状况，过于复杂的防火墙配置，包括安全策略配置，将大幅影响防火墙的工作效率。通过报

9、告，可以发现哪些防火墙的配置过于复杂，需要进行清理。答：满足要求。Firemon Security Manager 的防火墙复杂度报告，能够查看所有防火墙配置的复杂度状况，过于复杂的防火墙配置，包括安全策略配置，将大幅影响防火墙的工作效率。通过报告，可以发现哪些防火墙的配置过于复杂，需要进行清理。安全策略流量分析管理员可查看任何一条安全策略的流量详细信息，包括各种应用的占比等。根据该报告制定更加有针对性、 更加准确的安全策略，从而提升防火墙的安全性。答：满足要求。Firemon Security Manager 的 TFA 策略流量分析功能(Traffic Flow Analysis )可查看

10、任何一条安全策略的流量详细信息，包括各种应用的占比等。根据该报告制定更加有针对性、更加准确的安全策略，从而提升防火墙的安全性。启动对某策略的TFA 分析操作上非常简单。在 Firmeon 产品中对这条策略启动TFA 功能；Firemon 产品会开始自动对该策略的流量进行分析统计；一段时间后，管理员到Firemon 产品上操作生成TFA 报告。TFA 报告将包括这段时间目标策略的详细被使用情况，包括哪些IP 地址使用了该策略、都命中的哪些对象(object ) 、每个对象命中次数多少等，并根据算法，进行统计整理。TFA 报告还可输出为可编辑的CSV 格式，供管理员进行进一步的加工处理。下图为一份

11、TFA报告样本:安全规范审计安全规范审计答：满足要求据 国 际 规 范 或 者 标 准 ， 包 括 PCI 或 者一类ISO27002 等，审计防火墙的配置。审计报告中会Firemon 产品中， 其产品内部缺省内置了几十种安全规范模板，包括 PCI -DSS、 SOX、 ISO27002等（防火墙相关部分）火墙的配置。审计报告中会显示哪些配置是不符合规范，并且给出建议。自定义安全规范审审计系统的自定义安全审计功能，审计系统内所有一类计防火墙设备上的安全策略配置，是否存在允许该危险 TCP 端口的安全策略，并做出相应的修改答：满足要求。Firemon Security Manager 提供了自定

12、义安全规范的能力，内部提供了良好的模板及安全规范定义工具，基本上所有的安全规范，无论行业自身规范，还是企业自身规范，均可自定义在Firemon 产品中。ADMINiSTRAItON/ WcrldhowConroh twn< locO Can (Scum*.CMfOk3«MC«SOrrKfGroup，LattMsdifM1 A 8ew ptmdcwz nrewaii q*ei j s« M best pr.970Slg62：04PM.2 A O$A $D6SfCuriY/lTechnical impEEUton Guide * Cisco CMc.310o82

13、1/2016 2：(M PM3 ft Z5T|SP)8cd4*iattond imttute of Standards and Techno!.2300S1/2016Z04PM.4 0 Palo Ako Fir«wal Security Con/<ur»oon 一SANS Security contfigurMiOH benchmark for .7300M1/2016 2：04 PM.自司内安全燃费保目税角套JU到不M的的火也/佛持脩性需宣电台身火也烫略的合战性36204PM”2016 1 27八*ADMINISTRATION .3 System 人SOmw Acc

14、m CcmpHneOau ColtociorsServer Groupt C.mrai Sydog $«r«K 为田 HMwsrk S«grr«n»OxunMatMn30O«X4CMOOtf A tfFOAT 1YPIChi ftApcnCompdruon *«ponComplea F/mmBs ftopoa支援定期景出PDF帼/福案格式Cwpl w Md Aux，mtr< porT|4Control AfiporT"Cuntnt 2ky RatCo*MMncy Reportrwcccary Aapotfib

15、red <4m IWpoaAto Com<kdnsfln fteponArandl Complexly RapoaH切。UMd ZiM LOMCbthe 2 Bm* ReportObjea S<xch AoponObfKi uufe ikonPOOU “2o 代RonrK>/Xte ftjtos AepenRuto UUf。Moe支持为具体用户指派角色，角色定义用户可进行哪些操作答：满足要求。Firemon Security Manager 支持多个管理员，不同的管理员可以被赋予不同的管理权限，管理不同的防火墙、路由交换设备。一个管理员登录进入系统后，将只能够看到自己权限内的防火墙或路由交换设备。并且管理员的操作权限也可控制细分，能够按照功能需求分配操作权限。授 权 管 基于用户角色授权Firemon 产品支持并提供与其他系统的接口。Firemon 产品内置数据库，存储从被管理防火墙上获取并分析后提取的数据，通过Firemon UI 界面产生的报告均基于数据库中存储的数据产生。Firemon 系统存储数据，而不是报告。从大数据角度而言，Firemon 产品内部存储了系统内部所有以“访问控制”角度的“大数据”这些大数据包括：系统的拓扑结构图、访问控制网关的位置（包括防火墙、路由交换设备等）访问控制网关的配置（特别是安全策略配置）、配置的变更历史、配置