需要体检的不但是你 尚有你的墙

宣布时间 2019-09-05
按期体检是身体康健的包管,有助于找出隐藏的疾病,对疾病早发明早治疗......你可知,有一种很是主要的网络清静装备像人一样需要按期做检查,它就是——防火墙!

想要防火墙高效稳固运行,按期“体检”必不可少!

“康健”标准解读,人的康健状态有严酷的权衡标准,那防火墙的康健标准又是什么呢?

国家公安部在今年宣布的等保2.0中做了叙述:


耀世娱乐-科技赋能场景,让娱乐更有趣。


摘自《GBT22239-2019信息清静手艺网络清静品级掩护基本要求》

众所周知,防火墙的事情原理是凭证预先设置的战略控制规则,来决议允许或拒绝(deny or permit)数据包的收支。数据包匹配战略控制规则保存优先顺序,一样平常是凭证由前到后举行顺序匹配。

然而,防火墙管理员在使用防火墙的历程中,只会凭证新增的营业需求,对防火墙战略举行添加,却不敢容易删减。随着战略规则的日渐增多,防火墙就会泛起“康健问题”,即等保2.0中提到的“多余”和“无效”的战略规则。

别的,管理员在添加战略时,为了确保营业的正常运行,经常将源地址、目的地址和端口规模设置过大,甚至设置为any,给网络造成较大清静隐患。因此,等保2.0内里明确要求“检查战略规则的源地址、目的地址、端口和协议”,并确保规则规模的最小化。



防火墙战略剖析系统


耀世娱乐网络清静域流监控系统(FlowEye)产品团队,恒久致力于防火墙战略问题的研究,并拥有一款防火墙战略剖析系统,该系统善于检查防火墙战略中保存的种种“疑难杂症”。主要包括:

◆ 检查多余或无效战略规则

多余或无效的战略规则主要包括战略中保存的被笼罩、冗余、冲突、交织、可合并、逾期等战略,这些“多余”“无效”的问题战略会给防火墙造成较大的性能压力,并且保存一定的清静隐患。

针对战略中保存的“多余”“无效”战略,防火墙战略剖析系统通过剖析战略规则文件,将战略的源、目的、服务、行动和有用时间举行数字化处置惩罚,再依据战略规则优先级,将数字化处置惩罚后的战略举行全遍历盘算,剖析出战略中保存的被笼罩、冗余、冲突、交织、可合并和逾期的战略。

◆ 检查规模过大战略和ANY战略

规模过大和ANY战略是指战略中的源地址、目的地址、服务设置的规模凌驾了正常营业使用的规模,甚至将规模设置为ANY。无论是ANY战略照旧规模过大战略,都可能给攻击者提供“钻空子”的时机。

针对该类问题,防火墙战略剖析系统通过剖析用户的营业流量,将营业流量数据举行结构化处置惩罚,并将其存入数据库,然后将防火墙战略与存储的营业流量数据举行模拟“流量过墙”,可以剖析出规模设置过大的战略,并且可展示ANY战略里通过的详细营业流量,资助用户缩小战略规模以及挣脱ANY战略的困扰。


乐成应用案例


某天下性银行凭证羁系单位要求,需要对网络中的防火墙战略举行优化,整理防火墙中多余无效的战略规则,包管战略规则的最优化和最小化,在所有放行的战略规则(源、目的、服务)中不可泛起有任何ANY的设置项。

针对该要求,使用耀世娱乐防火墙战略剖析系统举行战略问题剖析,安排方法示意图如下:

耀世娱乐-科技赋能场景,让娱乐更有趣。

通过交流机将营业流量镜像至防火墙战略剖析系统,并将防火墙战略规则设置文件导入至剖析系统,剖析系统经由一个完整营业周期的流量收罗,将战略规则与营业流量举行匹配剖析,可以得出战略中保存的被笼罩战略、冗余战略、可合并战略、交织战略、冲突战略、逾期战略、活跃战略、不活跃战略、宽松战略。

耀世娱乐-科技赋能场景,让娱乐更有趣。

针对战略规则保存的种种问题,剖析系统可以给出详细的详细效果和明确处置惩罚建议,用户可凭证剖析效果直接调解防火墙战略。

? 被笼罩战略

耀世娱乐-科技赋能场景,让娱乐更有趣。

? 宽松战略

耀世娱乐-科技赋能场景,让娱乐更有趣。

防火墙战略剖析系统可以准确剖析战略规则保存的种种问题,协助用户对战略规则举行优化,获得了该银行客户的一致认可,并已在天下举行了规模安排。

耀世娱乐防火墙战略剖析系统可以资助用户消除战略设置隐患、降低战略管理危害。通过对战略间逻辑关系的静态剖析,可发明战略中保存的被笼罩、冗余、冲突、可合并、交织和逾期等多余无效战略,还可结适用户营业流量对战略的掷中情形举行动态剖析,能直观展示战略的宽松水平和ANY战略所掷中的详细营业数据。现在,耀世娱乐防火墙战略剖析系统已支持耀世娱乐、网御星云、思科、华为、天融信、东软等十多家防火墙品牌的战略剖析,并普遍应用于政府、金融、电力、运营商、烟草、公检法等行业,并取得了优异的使用效果,获得了用户的一致好评。