BetterSecuritythroughBetterManagement杨锐RaymondYang–ChinaCountryManagerraymond.yang@firemon.com+86-13901725073公司背景全球总部位于美国堪萨斯城全球第一个发布防火墙安全策略管理及网络设备ACL管理解决方案的厂商(2001年发布)用户遍及全球各个行业,包括运营商(T-Mobile、Verizon等)、金融(美国银行、纽交所、AXA安盛人寿等)、大型企业(IBM、HP、Dell、壳牌石油、eBay、美国航空等)母公司为FishNetSecurity全美最大的安全产品分销商,是Juniper,CheckPoint等防火墙全美最大的Distributor年营业额超过5亿美金,有超过5000个客户Firemon的部分客户防火墙与防火墙安全策略(securityrule)防火墙与防火墙安全策略防火墙是网络中部署最广泛的安全网关产品之一,对用户信息系统的安全而言相当关键;防火墙的安全性基本是通过安全策略(securityrule)的配置来实现的因此,防火墙安全策略配置的正确对防火墙的安全防护作用起着至关重要的作用一台再好的防火墙设备,如果不配置安全策略,或者安全策略的配置错误,那么这台防火墙不仅根本无法起到其应有的安全防护作用,并且还会带来许多安全隐患和安全事件防火墙安全策略配置标准流程Firewallrequestsoftendon’tcontaintheinformationnecessarytofullybuildthebestaccessruleFirewallrequestsoftendon’tcontaintheinformationnecessarytofullybuildthebestaccessruleCorrectchangeiscriticalforproperfirewallaccess;thisisthemostimportantstepintheprocessCorrectchangeiscriticalforproperfirewallaccess;thisisthemostimportantstepintheprocessReviewingfirewallaccessrequestsforvalidityisnecessarytoensureriskisbeingeffectivelymanagedReviewingfirewallaccessrequestsforvalidityisnecessarytoensureriskisbeingeffectivelymanagedVerificationmustincludevisibilityto;proposedsolutionandtechnicalimplementationVerificationmustincludevisibilityto;proposedsolutionandtechnicalimplementationActualimplementationmustmatchtheapproveddesignActualimplementationmustmatchtheapproveddesign12345防火墙管理员常见困惑在防火墙的安全策略配置、变更时,包括新增策略、变更策略,或者删除策略时,管理员操作依据较为模糊,缺少相关的数据分析报告或者科学依据,从而有时会出现防火墙安全策略配置上的缺陷或者错误,如过多不必要的策略、过于复杂的策略,或者漏配一些需要的安全策略等等,这给系统安全与稳定性带来隐忧;常见问题:哪些安全策略是多余的?哪个或哪些安全策略被使用的最多、最频繁?而哪些策略没被使用过?这条安全策略的目的?谁配的?在起作用吗?可以删除吗?某条安全策略下的流量构成是什么,流量的占比情况如何,特别是那些’any’类型的安全策略?是否确实只有被允许的流量穿过这条安全策略?系统内的防火墙是否已经对已知的安全漏洞或者特定的危险端口进行了安全策略防护?是否存在误配置或者遗漏的状况?系统内防火墙的配置是否符合安全规范,如PCI、ISO27002等?如果存在不符合,是哪些不符合?该如何修改?配置错误造成大量防火墙安全事件根据Gartner的统计,99%的防火墙安全事件均是由防火墙的配置错误而引起人为错误频发2012年4月9日,美国犹他州DepartmentofHealth被偷78条客户信息。该安全事件是由于管理员的配置错误而造成的;2012年7月,国内某银行由于某设备配置错误造成断网3小时缺乏安全策略变更管理,造成安全策略误删除、误修改事件马来西亚某银行由于新管理员错误移动了某条安全策略的位置(从第2条移动到较后位置),造成某关键业务中断12小时防火墙安全策略配置的典型问题过多的、不必要的、重复的安全策略统计表明,通常一个客户防火墙上约有30%~50%的防火墙策略是多余的、不必要的;安全策略只增不减:无法确定是否仍然有用,或者配置后忘记删除,或者人员变化后新管理员无法了解原有策略配置的原因等等法国雅高集团:某防火墙cluster上配置的安全策略达1000多条,后发现,超过700条是不必要的、重复...
