FlowEye-让防火墙策略管理变的简单

当前，随着信息化的加速，用户面临的网络安全威胁也越来越大。因此，用户往往购买了许多的网络安全设备部署在网络信息系统中，其中应用和部署最广的网络安全设备之一就是防火墙。

防火墙是通过安全策略(rule)来进行安全防护的，防火墙安全策略的配置对防火墙的安全防护作用起着至关重要的作用。试想，一台再好的防火墙设备，如果不配置安全策略，或者安全策略的配置错误，那么这台防火墙就完全无法起到应有的安全防护作用，并且还会带来许多安全隐患和安全事件。根据Gartner 的统计，95%的防火墙安全事件均是由防火墙的配置错误而引起的。而另一份Gartner 的报告表明，造成系统故障的原因有超过80%是由于人员失误，包括配置失误、流程失误等。

因此，防火墙安全策略配置的正确性对于防火墙设备的安全防护作用至关重要。

但是，许多用户目前对防火墙安全策略的管理缺乏有效的手段，使得防火墙安全策略处于“不可见”的状态。最基本的两个困惑之处是：1）如何确定防火墙上的安全策略配置是正确的？2）当收到业务部门提交的安全策略配置申请时，该如何配置一条正确的策略？

一些典型的管理员关于安全策略的问题包括：

• 哪些安全策略是冗余的？ 哪些策略是无用的？
• 哪个或哪些安全策略被使用的最多、最频繁？
• 这条安全策略的目的？谁配的？什么时间配的？在起作用吗？
• 是否存在过于“宽松”的安全策略，允许了过多的流量通过？该如何收敛该条策略？
• 是否存在安全策略，允许了高危端口流量的通过？
• 网络中某两点间某服务是否可达？可达的路径是什么？穿过了哪些防火墙设备？命中了哪些策略？
• 当收到业务部门提交的安全策略配置申请时，该如何配置策略？是否需要新增策略？该配置一条什么样的策略？该在哪一台防火墙上增加策略？这条新增的策略合规吗？
• 系统内防火墙的配置是否符合安全规范，如PCI、ISO27002 等？
• 企业内部安全域之间的互访规则，在防火墙上的安全策略是否符合这些互访规则呢？

因此，在防火墙的安全策略配置、变更时，包括新增策略、变更策略，或者删除策略时，管理员操作依据较为模糊，缺少相关的数据分析报告或者科学依据，从而有时会出现防火墙安全策略配置上的缺陷或者错误，有些配置错误甚至造成了客户信息系统的故障。

现在，有了启明星辰的FlowEye，这些头痛的问题将迎刃而解！

FlowEye可以协助管理员优化防火墙的安全策略，了解当前防火墙策略的使用状况，可以查看哪些策略是长期以来没有被使用过，哪些安全策略的使用率最高，可以查看某条安全策略实际的流量状况，分析流量是如何穿过这条策略的；根据这些信息，管理员就可以对安全策略进行优化，如清理掉一些不必要的策略，并且能够准确了解到当前策略的使用效果等。良好的全图形化界面将提升管理员对安全策略的可视性，这将大大提高管理员针对防火墙的安全管理效率。防火墙的管理将变得简单、容易。

FlowEye的一些典型功能包括：

1.安全策略初始化

FlowEye提供统一的模板，能够将不同品牌的防火墙策略配置文件导入到FlowEye中，以便FlowEye统一对不同位置的、不同品牌的防火墙策略进行分析

2.安全策略审计分析

• 冗余安全策略分析

随着网络复杂度的提升，防火墙的策略也变得日益庞大，而其中通常有大量的无用或者冗余的安全策略。过多的安全策略严重降低防火墙的性能及效率。通过FlowEye，管理员可查看哪些安全策略是不必要的冗余配置。可以根据该报告清理多余的安全策略。

• 安全策略收敛分析

许多防火墙上均会存在一些过于“宽松”的安全策略，包括允许了过多的IP 地址、允许了过多的服务端口，或者直接是“any”类型的安全策略。这不符合安全策略配置的一般性原则，需要进行“收敛”。这需要了解这些安全策略下的真实流量状况，包括具体的源和目的都是谁，特定应用的发生频次。。通过FlowEye，管理员可查看任何一条安全策略的流量详细信息，包括各种应用的占比等。管理员可以根据该报告制定更加有针对性、更加准确的安全策略，从而提升防火墙的安全性。

• 策略命中频率分析

通常，将命中频率高的策略放在靠前的位置，有助于提升防火墙的处理能力。但是，当策略达到一定规模时，靠人去分析命中频率情况是不现实的。FlowEye利用自身采集到的一定时间范围内流经防火墙的流量，对每一条防火墙策略的流量命中情况进行计算，报告出策略命中情况，辅助用户快速完成策略次序的调整。从而达到优化防火墙处理性能的目的。

（图中数据为构造数据，仅供了解功能使用）

• 潜在冲突策略分析

潜在冲突策略是指防火墙访问控制效果与策略次序相关的策略。例如，将any any策略放在最前和放在最后会导致访问控制效果完全不同。放在最前导致防火墙形同虚设。放在最后却不然（虽然防火墙也不应该允许any any策略的存在，在此仅为方便描述问题），因为其前如果有DENY动作的策略，就能起到一定的访问控制效果。这类策略是用户最难发现的，而且也是导致用户总是将新策略插入到最后，不敢删除老策略的一个重要的原因。导致策略条目越来越多、策略次序不合理等现象出现。FlowEye使用特有的策略元素重合度分析技术，能够准确发现这类策略，帮助用户消除策略中潜藏的隐患。

• 直观的策略分析报告

FlowEye提供清晰易懂的、符合防火墙策略管理员习惯的分析报告。

（图中数据为构造数据，仅供了解功能使用）

• 策略动态跟踪

FlowEye的策略监视实现了对防火墙策略全生命周期的管理。FlowEye根据自身采集到的流量持续不断地对防火墙策略进行监视，一旦发现问题及时给出告警。使得用户对防火墙策略的管理变得更加主动。

3.部署

FlowEye可部署在系统中任何IP 可达的位置，技术上通过旁路镜像抓包的形式采集交换上的镜像流量。硬件方面，用户可以选择FlowEye 的专用硬件产品，并不需要在防火墙或者其他网络设备上安装软件，对用户网络安全方面的配置不会有任何改变。