Firemon Security Manager简介 Firemon Security Manager最早于2003年推出,是全球第一款防火墙安全策略分析管理系统,在全球得到了广泛的成功使用。许多国内客户也使用了Security Manager,并且通过Security Manager成功的解决了长期困扰客户的防火墙管理方面的问题。目前Firemon公司在国内的部分案例包括: 银行:交通银行、国家开发银行、招商银行、浦东发展银行、上海银行、包商银行、深圳农商行、广发银行、宁波银行、中国邮政储蓄银行、中国银行广东省分行、中国建设银行广东省分行 券商:中信证券、海通证券、东方证券、光大证券、国金证券、中信建投证券 交易所:证券交易所、郑州商品期货交易所 保险:太平洋保险、太平保险、出口信用保险、大地保险 互联网金融:陆金所、网金控股 电力:上海电力、广东电力 企业:华为、联想集团、中海油、迈瑞医疗、上海烟草、广东省进出口检验检疫局、美的集团、中芯国际 运营商:广东移动、深圳移动、四川电信、广东联通 教育:华东理工大学 Firemon产品部署在系统中任一IP可达点,用于对防火墙安全策略进行科学系统的管理、分析、审计。这样,可以更加高效率的管理防火墙配置,保障防火墙安全策略配置的准确性,系统化防火墙配置的变更管理,保障防火墙安全策略的合规性,实时分析防火墙安全策略的利用状况,优化防火墙的安全策略配置,从而使得防火墙管理的更加系统化、规范化、流程化。良好的全图形化界面将提升管理员对安全策略的可视性,这将大大提高管理员针对防火墙的安全管理效率。防火墙的管理将变得简单、高效、准确。 Firemon产品的典型性能参数包括: 最大可同时管理的防火墙及网络路由交换设备数量:5,000台; 最大可同时处理的信息:每秒30,000条; 最大可存贮的防火墙配置信息及使用信息:大于10年; 典型报告产生时间:小于1分钟; 对被管理设备的支持广泛,包括几乎所有国外防火墙产品以及国产防火墙设备的支持(包括华为、山石、天融信等); 同时,针对系统所有被管理的防火墙设备及路由交换设备,均可提供如下的典型功能: 实现被管理设备配置统一管理:目前防火墙设备品牌众多,并且当前系统防火墙异构的要求也越来越高,因此系统中往往有许多不同品牌的防火墙设备。这些防火墙设备的管理方式,特别是配置的格式均不相同,这给防火墙配置的管理带来了问题,特别是需要从整个系统全局角度管理防火墙安全策略配置时。Firemon产品能够将所有被管理设备的配置用统一的格式显示,并且可以将这些不同品牌设备的安全策略配置以统一格式输出,这大大方便了管理员对不同品牌防火墙的统一管理。具体功能包括: 以良好的统一界面显示不同品牌被管理设备的安全策略配置; 以统一格式输出不同品牌被管理设备的安全策略; 安全策略注解:通过Security Manager可以为被管理设备上的安全策略或者ACL增加注解。注解信息可包含策略管理人、过期时间、策略配置目的、申请部门等。注解可以为中文。该功能可以对配置的策略进行注解备案。同时FireMon提供了灵活的查询工具,能够根据策略注解的每项参数的内容进行查询,方便进行维护管理。 被管理设备配置备份 实现变更管理及分析:Firemon产品记录被管理设备的每一次变更,并对变更信息进行长期统一管理,包括修改的详细技术信息。并在系统中保存,保存的时间可以为数十年甚至更长时间。这大大方便了管理员统计、分析、比较、追溯被管理设备的各种变更。具体功能包括: 变更通知:FireMon产品会实时监控防火墙,当防火墙的配置或者安全策略被变更时,根据配置,可发送email通知到指定人员或者发送syslog到log服务器。 变更比对:管理员可利用Firemon 产品查看被被管理设备的配置、配置变更记录,包括变更记录的详细信息,何时、何地、何人、做了怎样的变更。并且可比较不同时间点的配置的异同,并详细标记差异之处,使得管理员清楚地了解配置的变化,以及变化的过程 实现被管理设备使用状况分析:Firemon可详细分析被管理设备的安全策略是如何被使用的,包括策略利用率、使用情况统计、策略路径等,这从根本上改变了长期以来被防火墙设备使用状况不可见的问题。具体功能包括: 安全策略利用率分析:FireMon 产品记录每条安全策略的被使用情况,并且通过图形化方式显示策略利用率报告。通过这个报告,你可以查看某台防火墙上安全策略的利用率状况,或者哪些策略是长期以来没有被使用过。管理员通过该报告可以调整防火墙安全策略的顺序,或者删除删除长期命中率为零的安全策略; 冗余策略分析:防火墙安全策略配置中通常有大量的无用,或者冗余的安全策略。过多的安全策略严重降低防火墙的性能及效率。通过Firemon产品,管理员可查看哪些安全策略是不必要的冗余配置。可以根据该报告清理多余的安全策略; 安全策略流量分析及安全策略收敛:许多防火墙上均会存在一些过于“宽松”的安全策略,包括允许了过多的IP地址、允许了过多的服务端口,或者直接是’any’类型的安全策略。这不符合安全策略配置的一般性原则,需要进行“收敛”。这需要了解这些安全策略下的流量状况,包括特定应用流量的占比,如HTTP流量百分比多少,TCP端口443的占比多少等。通过Firemon产品的Traffic Flow Analysis功能,管理员可查看任何一条安全策略的流量详细信息,包括各种应用的占比等。管理员可以根据该报告制定更加有针对性、更加准确的安全策略,从而提升防火墙的安全性; 访问路径分析:管理员可以利用Firemon产品的APA功能,分析当前网络结构下,以及防火墙策略配置下,系统内的两个节点间的某服务是否可达,并给出可达的详细报告,包括路径、通过的设备、通过的防火墙设备命中的哪一条策略等等。这样,管理员能够方便的了解所配置的某条策略是否生效,或者是否需要增加新的安全策略来阻止系统内两点间的某项服务; 定制化安全策略查询:FireMon提供的Insight工具。管理员可在Insight界面中,根据自己的需求,定义各种条件,Insight可根据管理员所指定的条件,查询出结果。在条件中,可指定设备、地址范围、地址类型、用户名、包含关键字、服务端口范围等等,并可自由进行组合查询。非常贴近管理员实际管理查询的需求。 实现基于自定义安全规范的安全合规性审计:Firemon系统内部除了内置了一些常见的合规性标准(包括PCI DSS、ISO27002等)外,还可以根据一些自定义的合规性安全规范对系统内的防火墙进行合规性审计。这是Firemon的独有功能。以往虽然定义了一些内部的安全规范,但是如何检查系统内的防火墙是否符合这些安全规范,只能够通过人工进行,费时、费力、不准确。而利用Firemon产品提供的功能,首先可以将那些自定义的内部安全规范“定义”到Firemon系统内,然后,可以在Firemon产品内基于这些安全规范对指定的防火墙进行合规性审计。可实现的功能包括:基于企业内部防火墙管理的安全规范合规性审计、基于系统内部安全域互访规范的合规性审计、基于行业或者上级监管机构防火墙管理安全规范进行合规性审计、自定义高危端口审计等。利用Firemon的这一独有功能,可大大提升防火墙合规性审计效率及准确性。 防火墙安全策略变更智能辅助系统(可选模块):一个长期困扰防火墙管理员的的问题是,当收到业务部门提交的安全策略配置申请时,该如何配置策略?是否该条策略已经存在,不需要变更配置?如需要变更配置,是需要新增策略,还是修改现有的某条策略?如新增策略,该配置一条什么样的策略?该在哪一台防火墙上增加策略?这条新增的策略合规吗?等等。通过FireMon 的安全策略变更智能辅助系统Policy Planner,客户可将防火墙或者其他网关设备安全策略变革流程化、自动化。防火墙策略变更申请人可通过在线填写表单方式,提交申请。该申请经过内部的批准流程,得到批准后,管理员可继续通过Policy Planner模块,自动生成配置建议方案,提供建议配置的策略及配置位置等信息供管理员参考。 具备良好的开放接口与二次开发能力:作为防火墙数据采集分析平台,Firemon平台可以提供良好的用户数据接口,可以利用已有系统自带工具或网管工具对其数据进行读取分析;Firemon产品支持还REST-API接口,通过该接口,可简单灵活的将防火墙安全策略分析的各种数据,按需提供给外部的管理系统。据此可实现管理界面及功能的二次开发,可针对客户需求定制界面及各种报告。上述能力可以非常有效地帮助数据中心实现与第三方工具集成和整合,不但能够满足日常安全运维中出现的各种场景,还能满足网络服务质量平台的建设需要。同时,FireMon提供在线论坛,发布Audit Extensions提供审计条件的扩展。
