防火墙策略核查系统系统可对各类型主流防火墙的策略进行自动化分析,使防火墙策略满足权限最小化和效率最优化原则,主要包含通用策略审计和业务策略审计功能。审计过程结合业务实际使用情况,并能对多类型防火墙策略进行标准化展示,从多个维度辅助管理员定位问题策略,加强对防火墙策略的管理,避免建立具有安全风险策略。
帮助中国移动互联网公司防火墙维护的网络工程师实现防火墙的管理工作,使策略审计、封堵与解封均实现自动化过程。
选定防火墙设备。选择被检查防火墙设备,确定防火墙策略核查任务的检查范围,并获取被检查设备登录信息(设备类型、IP地址、帐号名、密码、端口)等。
根据预设连接方式登录防火墙。多台Probe服务器并发登录被检查防火墙设备,支持多种连接协议,包括Telnet、SSH等。
执行采集命令,获得原始策略信息。根据防火墙设备厂家的不同,选择执行不同的采集脚本,获取防火墙全量原始策略信息。
原始策略信息标准化。对采集到的防火墙策略信息进行分析与标准化处理,屏蔽不同厂家之间策略格式的差异。
对标准化后的策略进行审计分析,生成报表。以防火墙为单位,展现该防火墙所有问题策略明细信息。