聯(lián)軟科技攜手至賽科技聯(lián)合發(fā)布全新一代網(wǎng)絡(luò )安全策略管理系統，依托聯(lián)軟科技強大的網(wǎng)絡(luò )安全運維能力，雙方的合作將構建統一安全策略管理能力體系，對防火墻、路由交換、負載均衡等異構品牌、異構型號的網(wǎng)絡(luò )設備進(jìn)行統一集中管理，提供策略集中管理、策略梳理、策略可視化監控、策略運維等多個(gè)維度的綜合策略管理能力，促進(jìn)網(wǎng)絡(luò )運營(yíng)降本增效。此外，在原有安全策略管理引擎基礎上，結合聯(lián)軟科技網(wǎng)絡(luò )空間資產(chǎn)測繪能力，即將推出掛圖作戰網(wǎng)絡(luò )安全場(chǎng)景解決方案。

策略管理耗時(shí)久，有隱患，怎么辦？

1、策略開(kāi)通工作復雜由于各行業(yè)發(fā)展迅速，需求量大，往往配備多種防火墻設備，人工操作環(huán)節多，檢查內容復雜，導致效率低下。
2、策略?xún)?yōu)化耗時(shí)久安全策略需要定期、逐條篩查，消耗大量人力和時(shí)間。不同設備廠(chǎng)商對策略的表達方式各不相同，操作流程不規范，需要反復進(jìn)行策略分析優(yōu)化。
3、安全策略存隱患當出現配置問(wèn)題時(shí)，管理員需要根據策略路徑節點(diǎn)逐個(gè)分析，效率較低且容易出錯，系統安全與穩定性存在隱憂(yōu)。

4、安全策略“不可見(jiàn)”由于對安全策略的管理缺乏有效的手段，處于“不可見(jiàn)”的狀態(tài)，無(wú)法檢查全策略配置的正確性、合規性。

策略運維真的優(yōu)化了嗎？

安全策略運維新階段？

聯(lián)軟至賽UniNSPM安全策略管理系統解決方案

●技術(shù)領(lǐng)先：策略可視化技術(shù)領(lǐng)先國外頭牌公司，國內唯一原創(chuàng )技術(shù)供應商●完全自主研發(fā)●策略管理集中一體管理●策略梳理高效精細●等保合規●策略態(tài)勢可視化●智能運維●廣泛兼容：支持國內外90%廠(chǎng)商防火墻、路由器、交換機

聯(lián)軟至賽網(wǎng)絡(luò )安全策略管理系統能夠對企業(yè)內所涉及到的網(wǎng)絡(luò )設備及安全設備的策略進(jìn)行全面的梳理和優(yōu)化，及時(shí)發(fā)現網(wǎng)絡(luò )策略的各類(lèi)異常并通知維護人員，以保證網(wǎng)絡(luò )以最優(yōu)狀態(tài)運行，提升網(wǎng)絡(luò )用戶(hù)的感知。

策略集中管理

1策略采集

聯(lián)軟至賽網(wǎng)絡(luò )安全策略管理系統可實(shí)現全網(wǎng)防火墻、路由交換、負載均衡等異構品牌、異構型號的網(wǎng)絡(luò )設備進(jìn)行統一集中管理。系統通過(guò)在線(xiàn)采集（ssh/telnet)、手工導入等方式納管三層網(wǎng)絡(luò )設備，支持設備中接口、ZONE、地址、服務(wù)、策略、NAT、路由等數據。管理人員可以對策略中可能存在的地址、服務(wù)等進(jìn)行包含過(guò)濾，快速找到與之相關(guān)的策略，同時(shí)對一些策略進(jìn)行標記，例如記錄請求者、創(chuàng )建用途、截止時(shí)間等信息，提高后期維護效率。

2策略搜索

全網(wǎng)策略、對象快速搜索定位設備配置統一標準化管理可快速統一搜索IP匹配規則等于、包含、被包含、相交、不相交等支持全網(wǎng)設備及單個(gè)設備的策略查找支持端口數的策略查詢(xún)

3變更對比跟蹤

不同時(shí)間點(diǎn)配置對比，記錄每次采集防火墻配置的修改，包括修改的詳細技術(shù)信息?？杀容^不同版本的策略、地址對象、服務(wù)對象等的變化，也可比較配置文本的差異。

策略梳理


1策略?xún)?yōu)化分析

隨著(zhù)網(wǎng)絡(luò )復雜度的提升，防火墻的策略也變得日益龐大，而其中通常有大量的隱藏、冗余、過(guò)期、空策略和可合并策略。通過(guò)聯(lián)軟至賽網(wǎng)絡(luò )安全策略管理系統，管理員可以對現有策略集進(jìn)行梳理，清除各種冗余、失效的垃圾策略，降低防火墻策略的復雜性，提高網(wǎng)絡(luò )性能。

2策略命中分析

對于開(kāi)啟日志功能的策略，防火墻會(huì )生成命中日志syslog，平臺收集日志并與策略關(guān)聯(lián)，計算出對應的命中數量。對于未開(kāi)啟日志功能的策略，系統定期采集防火墻自帶的策略命中累計數，通過(guò)對比不同時(shí)間采集的累計數差異，計算出該時(shí)間段的命中數。通過(guò)記錄每條安全策略的命中情況，查看某臺防火墻上哪些策略是長(cháng)期以來(lái)沒(méi)有被使用過(guò)，哪些安全策略的使用率最高等等。

3策略流量分析

對于開(kāi)啟日志功能的策略，可以進(jìn)行策略流量分析。通過(guò)收集防火墻發(fā)出來(lái)的命中日志syslog，系統會(huì )提取出日志中的五元組信息（源地址、目的地址、源端口、目的端口、協(xié)議），并關(guān)聯(lián)到對應的策略上，從而梳理出該策略的明細流量。系統可以根據明細流量生成明細策略及對應設備的命令行腳本，實(shí)現寬泛策略到明細策略的整改，實(shí)現策略最小化原則。

4合規性檢查

系統依據企業(yè)和行業(yè)安全配置指導標準和規范進(jìn)行安全配置檢查，對不符合規范的策略和配置自動(dòng)檢測生成報告。系統提供預定義檢查項一百多個(gè)。檢查項可以是基于正則表達式或策略搜索。用戶(hù)可以自定義檢查項，比如對高危端口、策略帶有any放行、大于16位子網(wǎng)等進(jìn)行檢查。

策略可視化

1可視化拓撲

自動(dòng)生成網(wǎng)絡(luò )拓撲模型，在模型上進(jìn)行深度計算，支持源地址、目的地址的訪(fǎng)問(wèn)路徑查詢(xún)，計算匹配的策略、nat、路由信息；計算網(wǎng)絡(luò )中任意兩點(diǎn)的數據包可通性，支持源、目的網(wǎng)段或安全域放通關(guān)系查詢(xún)，顯示放通的數據明細?？捎糜跀祿鞑樵?xún)、攻擊面分析、跳板分析、域間基線(xiàn)檢查。

2數據流查詢(xún)

輸入網(wǎng)段或者安全域，查看數據的放通情況，可以進(jìn)行攻擊面的分析。

3跳板分析

根據可以訪(fǎng)問(wèn)的目的作為下一次訪(fǎng)問(wèn)的源，進(jìn)行下一跳計算，被攻擊后可以再次訪(fǎng)問(wèn)哪里。

策略運維

關(guān)鍵點(diǎn)：路徑查詢(xún)、策略規劃、策略生成、策略下發(fā)、下發(fā)驗證回退
針對新的開(kāi)通需求（源地址、目的地址、端口），策略自動(dòng)化可以通過(guò)全網(wǎng)拓撲模型，進(jìn)行路徑計算，展示出經(jīng)過(guò)的防火墻和放通情況，自動(dòng)定位防火墻，自動(dòng)梳理出防火墻策略建議，可以計算出添加策略的位置，或修改原有策略，同時(shí)可將策略建議轉換成命令腳本，實(shí)現策略開(kāi)通、策略批量下發(fā)、一鍵封堵等多項功能，提高運維效率和策略配置的準確性。

典型應用場(chǎng)景一

基礎運維流程化提供標準接口，可對接工單系統工單需求快速定位工單參數、放通狀態(tài)校驗

典型應用場(chǎng)景二

攻防場(chǎng)景主動(dòng)防御

查詢(xún)所有訪(fǎng)問(wèn)、放通關(guān)系，及時(shí)進(jìn)行策略?xún)?yōu)化。

●攻擊面分析：攻防演練前預先對網(wǎng)段或域進(jìn)行掃描和分析

●跳板分析：提前預演，對某一結點(diǎn)被滲透后會(huì )進(jìn)一步對哪些系統造成攻擊。

●安全策略收斂：避免策略開(kāi)放過(guò)于寬泛造成暴露面風(fēng)險。

●一鍵阻斷：一旦發(fā)現滲透攻擊，可通過(guò)一鍵阻斷功能直接回收網(wǎng)絡(luò )訪(fǎng)問(wèn)權限。

●安全策略自動(dòng)下發(fā)：攻防演練中，設定安全策略定時(shí)下發(fā)，預驗證策略提高容錯處理能力。

典型應用場(chǎng)景三

加強網(wǎng)絡(luò )合規性建設

合規性管理國家等保2.0策略集中管控監管部門(mén)防火墻合規審計內部合規部門(mén)管理
定期審計防火墻策略審計網(wǎng)絡(luò )合規審計
定期輸出報表防火墻安全策略報表路由交換策略報表配置變更報表
策略檢查冗余、無(wú)效策略定期清理防火墻安全基線(xiàn)符合性檢查

聯(lián)軟至賽UniNSPM

方案亮點(diǎn)

1策略梳理可以定義審計項，對不合規的端口或放行過(guò)大的策略進(jìn)行檢查，梳理出不符合要求的策略。
2自動(dòng)計算對于開(kāi)通工單，平臺可以自動(dòng)計算路徑判斷是否已有策略放通，沒(méi)有放通的定位設備給出規劃建議和腳本。
3黑名單監控根據業(yè)務(wù)定義不同的邏輯安全域，計算域間的放通情況，對不允許的定義黑名單，不斷進(jìn)行監控。
4集中管理集中納管現網(wǎng)所有防火墻、路由交換，實(shí)現全網(wǎng)的集中管理，可以快速全網(wǎng)搜索地址、服務(wù)，以及對應策略導出，提高運維效率。
5策略?xún)?yōu)化防火墻存在上萬(wàn)條策略，通過(guò)人為清理無(wú)效策略很難落地，平臺能自動(dòng)計算策略中存在的隱藏、冗余、過(guò)期策略等，生成清理腳本下發(fā)。
6跟蹤配置變化記錄設備的變更情況，對不同配置版本進(jìn)行比較跟蹤管理，幫助管理員及時(shí)了解配置變化詳情。

典型案例-某證券項目

●通過(guò)對異構品牌的設備信息采集、解析，可用于全網(wǎng)策略的展示、搜索、對比、導出等功能。每次采集記錄配置變更，可對不同的配置版本深度可視化對比。
●針對新的開(kāi)通需求，系統提供智能化、自動(dòng)化的策略開(kāi)通流程，將策略建議轉換成命令腳本并下發(fā)到設備。

●通過(guò)網(wǎng)絡(luò )拓撲模型的深度計算，分析出訪(fǎng)問(wèn)路徑，實(shí)現攻擊面分析和跳板分析。用戶(hù)可以定義各個(gè)安全域之間的訪(fǎng)問(wèn)關(guān)系黑白名單，以此作為安全域基線(xiàn)，系統自動(dòng)對比計算出的現網(wǎng)開(kāi)通情況，實(shí)現域間異常開(kāi)通關(guān)系的告警。

（該資訊首發(fā)于2022-03-25）