安全策略集中管理平台建设方案
概述
建设背景
近年来,随着XXX网络升级改造的完成,在网络性能、可靠性、稳定性等方面均已达到同业先进水平。在网络规模逐步扩大和结构日趋复杂的背景下,网络安全策略管理已成为确保网络安全的核心基础性工作,其在保障信息系统安全稳定运行、避免外部攻击和未授权访问等方面发挥了重要作用。为解决XXX网络安全访问控制策略管理维护成本高、交付效率低,以及难以依靠手工进行全行网络安全访问控制策略一体化管理的问题,将依托本项目建设全行网络安全访问控制策略智能化管理平台,实现全行网络安全访问控制运维的自动化、一体化、可视化管理。
现状分析
目前全行网络安全访问控制策略管理工作主要以防火墙运维人员为主,其主要内容、方式和面临的问题有:
(1)访问控制策略合规检查和优化方面:
通过人工方式对存量访问控制策略的中的风险点进行定期梳理并整改,如是否开放高危端口、跨安全域访问、是否存Any到Any访问等;人工定期优化存量策略中的冗余、掩盖、失效条目等。
面临的问题:访问控制策略数量庞大,通过人工定期、逐条筛查,工作量较大;设备厂商类型众多,策略表达方式各不相同;缺乏标准操作规范,需要长期反复进行策略分析和优化工作。
(2)访问控制策略的开通与验证方面:
需求方(运维人员、项目组、业务部门)提出访问控制策略需求->网络管理员根据安全管理要求(如是否包含高危端口、是否跨安全区域访问等)进行合规评估->登录网络设备确认策略是否开通->手工编写策略开通脚本->通过自动化平台下发执行->通知需求方验证访问控制策略是否开通。
面临的主要问题:需求量大,人工操作环节过多,检查内容复杂且数量较多,效率不高;各管理员编写脚本差异性较大。
(3)访问控制策略查询和排障方面:
遇到网络异常需要排查访问控制策略时,由网络管理员根据访问路径逐一确认策略开通情况(即在哪些网络设备设置了访问控制),再由管理员逐台登录设备进行访问控制列表筛查,最终确认策略开通情况;
面临的问题:根据策略路径节点逐个分析,效率较低,同时大量依赖管理员个人对各网络区域的熟悉程度和技术技能。
建设目标及内容
建设目标
构建全行网络访问控制策略智能化管理平台,实现全行网络访问控制运维管理的一体化、可视化、自动化管理,加速数据中心自动化、集约化、智能化进程,全面提升数据中心及全行网络运维及安全防护保障能力。
一体化:实现总行、37家分行和信用卡中心异构网络及安全设备访问控制策略的集中管理,包括各类安全策略、ACL策略、NAT策略的统一展示、优化清理、分析等,实现访问控制策略的一体化全生命周期管理;
可视化:基于全行现网网络及安全设备的实际配置,依托可视化技术,实现全行面向业务视角的网络拓扑可视化,包括全行业务域拓扑图、信息系统安全区域分布、风险暴露面(即可被外部访问的服务和端口)以及相互之间的互访关系、访问路径等;
自动化:实现从业务开通请求、仿真分析、开通建议、策略风险评估、策略下发以及开通验证为一体的全流程访问控制策略自动化运维,确保业务变更准确,提升策略开通效率由一周缩短为一天。
建设内容
本项目范围将覆盖:XX台网络及安全设备。
本项目建设内容主要包含安全访问控制策略集中管理、基于安全拓扑的访问路径可视化、内网资产暴露风险可视化以及安全访问控制策略自动化运维四部分,各部分的主要内容描述如下:
安全访问控制策略集中管理
构建全行一体化安全策略管理体系与平台,实现对全网防火墙、路由交换、负载均衡等异构网络及安全设备进行统一集中可视化管理,包括策略采集、策略解析、策略监控、策略查询、策略清理、策略开通等相关功能;
基于安全拓扑的访问路径可视化
运用可视化技术,基于防火墙、路由器、交换机、负载均衡设备配置信息自动生成全网逻辑拓扑图,实现网络安全域基础架构拓扑可视与访问关系的可视化展示,明晰全网安全域及核心业务资产与关键数据的分布位置,以及相互之间互访通路情况,可基于源地址、目的地址、协议、端口等条件进行路径仿真分析及可视化呈现,包括源到目的多条网络路径以及路径上所有经过网关设备的策略详情信息,辅助定位业务访问通路及中断等异常问题,以及分析核心业务资产对外暴露面及潜在的风险路径等;
安全访问控制策略自动化运维
实现全网访问控制与安全策略运维管理自动化和可视化,包括开通业务请求服务化、模拟仿真分析、开通选路建议、策略风险分析、策略配置自动生成以及策略开通验证等功能,协助网络安全运维人员能快速、有效的完成策略变更,并确保变更内容准确,提升智能化运维水平。
系统设计
系统架构
系统采用分层设计理念,共分为数据采集层、策略生成层、策略管理分析层、可视化展示层。系统总体架构设计如下图所示:
数据采集层主要通过在线采集方式定期采集防火墙、路由、交换机、负载均衡等设备的策略配置文件与路由数据,并进行归一化入库存储。
策略生成层提供了一套策略模拟仿真环境,可以根据业务开通信息进行全网访问路径模拟仿真分析,生成策略开通建议并翻译成命令行。
策略管理分析层主要提供访问控制策略的集中管理和分析,主要包括策略列表、策略梳理、策略检查、策略命中与收敛分析。
可视化展示层主要提供网络拓扑可视化、安全路径可视化以及攻击面可视化。
平台通过在线采集方式定期抓取防火墙、路由交换、负载均衡等网关设备的策略配置文件以及路由表信息,再通过归一化方式解析存储到统一的安全策略模型中,最终实现对异构品牌型号及设备的各类访问控制策略的集中展示、查询、导出、分析等相关功能。
防火墙策略由于日积月累、频繁变更等原因造成很多垃圾无效策略,安全策略配置检查通过对配置文件中的安全策略进行逐一与其他策略进行比对分析,判断相互之间的包含与被包含关系,最终检查分析判断是否为冗余策略或隐藏策略,以及是否存在可合并策略和空策略等,管理员可根据分析结果进行精简和优化调整。
通过读取防火墙、路由交换设备的配置,解析出各网关设备包含的接口与网段、以及安全域设置;任意两个网关节点之间,若存在相同的接口子网,即为互联关系,在拓扑上会自动通过子网连线体现出来,依次递归遍历所有网关设备,即可自动形成全网逻辑拓扑;在此基础上,通过人工干预安全域及资产信息,描绘安全域架构拓扑。
图:部分安全域拓扑
实现任意源地址到目的地址的访问路径及数据流分析,包括是否有可达路径、可达路径经过的节点及命中的路由及策略信息、允许或拒绝的数据流详情等;访问路径分析时,通过源地址定位到对应的网关设备,再通过网关设备上的路由逐一寻找下一网关,直到目的地址;期间需匹配网关设备上的ACL策略、Nat策略、路由、安全策略等信息。
图:源到目的的可达路径详情
图:主机与其他资产的互访关系
访问控制策略自动化运维包括开通业务请求服务化、模拟仿真分析、开通选路建议、策略风险分析、策略配置自动生成以及策略开通验证等多个环节,通过全流程化、自动化的方式减轻访问控制开通业务工作量,并确保变更内容准确。
系统部署
设备名称 | 配置描述 | 操作系统 | 数量 |
安全策略集中管理平台服务器 | 16Core,32G,2T | RedHat 7.4+ | 1 |
描述 | 端口 |
PC端到安全策略集中管理平台端口及协议 | HTTPS/443、SSH/22 |
安全策略集中管理平台到网络设备端口及协议 | SSH/22 |
安全策略集中管理平台日志收集(网络设备到安全策略集中管理平台) | UDP/514 |
实现对全网防火墙、路由交换、负载均衡、VPN等异构品牌、异构型号的网络安全设备进行统一集中管理,包括策略采集、策略解析、策略历史、策略变更监控、策略查询、策略清理、策略开通等相关功能。兼容设备厂商包括但不限于以下:
设备类型:防火墙 | ||
序号 | 品牌 | 型号/系列 |
1 | 华为 | Eudemon |
USG | ||
secoway srg20 | ||
2 | 华三 | H3C SecPath |
3 | 思科 | PIX |
ASA 系列 | ||
4 | 飞塔 | FortiGate系列 |
5 | Juniper | SRX |
SSG/ISG | ||
6 | 启明星辰 | 天清汉马 USG |
P系列 | ||
7 | 网域星云 | Power V6000 |
8 | 360网神 | 360网神防火墙NSG5000 |
SecGate 3600 | ||
9 | 网康 | NGFW-NF |
10 | 天融信 | 天融信NGFW |
11 | 安博通 | SG 8000 |
12 | 中新网安 | 中新金盾 |
中新金盾 二代 | ||
13 | Iptables | Linux Iptables |
14 | 中兴 | ZXSEC US 系列 |
15 | 东软 | NetEye 防火墙 |
16 | 绿盟 |
|
17 | 锐捷 |
|
18 | 迪普 | 迪普 FW1000 |
19 | 山石 | SG-6000系列 |
20 | 深信服 | NGAF |
设备类型:路由器/交换机 | ||
序号 | 品牌 | 型号/系列 |
1 | 思科 | IOS XR |
IOS | ||
Nexus NX-OS | ||
2 | 华为 |
|
3 | 华三 | H3C |
4 | juniper |
|
5 | 锐捷网络 |
|
6 | 中兴 |
|
7 | 迪普交换机 | 3600系列 |
8 | aruba AC |
|
9 | 迈普 | SM4200 |
10 | 烽火 |
|
设备类型:负载均衡 | ||
序号 | 品牌 | 型号/系列 |
1 | radware |
|
2 | Array | ArrayOS APV |
3 | F5 | f5-bigipltm |
4 | 启明星辰 |
|
5 | 深信服 |
|
6 | 信安世纪 | 负载均衡 |
支持对被管设备通过SSH、Telnet等远程访问管理协议在线定期自动采集策略配置信息,并通过解析模板解析成归一化的格式进行存储。策略信息包括各类安全策略、NAT策略、ACL策略路径路由信息。主要功能明细说明如下:
配置提取:支持对全网三层网关设备(包括防火墙、路由器、交换机、负载均衡)的安全策略配置信息的自动采集与解析;
路由采集:支持对三层网关设备路由表数据采集与解析;
策略可视:支持对被管理设备的对象(包括地址对象、服务对象、时间对象)、策略(包括安全策略、ACL策略、NAT策略)和路由信息集中展示、查询及下载导出;
网段管理:支持对全网网段的集中展示、查询及下载导出;
配置更新:支持定时方式对被管设备的策略配置进行自动采集和更新;
配置比对:支持同一设备不同时间点的策略配置比对。
支持对被管理设备(防火墙、交换机、路由器、负载均衡)的策略配置和对象进行优化检查,检查类型包括:隐藏策略、冗余策略、可合并策略、空策略、过期策略及宽松策略,以及空对象和未被应用对象。各类策略检查描述如下:
隐藏策略:同一策略集内,一条高优先级策略的源地址、目的地址、服务对象、时间对象完全包含或等于另外一条低优先级策略的源地址、目的地址、服务对象、时间对象,不管动作是否一致或相反;
冗余策略:同一策略集内,一条低优先级策略的源地址、目的地址、服务对象、时间对象、老化时间(长短链接)完全包含高优先级另外一条策略的源地址、目的地址、服务对象,时间对象、老化时间,并且动作相同;
空策略:策略引用的源地址对象、目的地址对象或服务对象有为空的对象,此类策略在实际应用中是不会被匹配;
可合并策略:同一策略集内,两条及以上策略源域、目的域以及动作相同的策略,源地址、目的地址、服务对象、时间对象四个元素只有一项不相同,其余均相同;
过期策略:策略中会包含时间对象,当时间对象过期后,该策略会显示为过期策略;
宽松策略:源IP、目的IP及服务端口命中率过低的为宽松策略;
空对象:只有对象名,对象内容为空;
未被应用对象:未被安全策略、ACL策略和NAT策略所引用的对象。
支持系统根据全网防火墙、路由交换等三层设备的子网、安全域、路由、NAT、ACL等影响网络通路和可达的配置信息,并运用可视化技术,自动生成业务拓扑图,实现基于全网的面向业务视角的安全域拓扑架构可视。主要功能明细说明如下:
逻辑拓扑:支持系统基于三层网关设备的配置信息,并运用可视化技术,自动生成全网逻辑拓扑图,实现基于全网的面向业务视角的安全域拓扑架构可视;
图层管理:支持根据不同业务视角,自定义创建并维护多张逻辑拓扑图,如全网、各业务区域、各分行等;
逻辑安全域:支持防火墙安全域解析,以及逻辑安全域定义和管理,结合逻辑拓扑图,实现各区域防火墙重点防护区域的可视化
支持在安全域业务拓扑上,实现基于源地址、目的地址、常用协议、端口等条件过滤的安全路径和数据流查询与展示,能够实现对源到目的多条网络路径可视化,帮助管理员决策并规避网络路径风险。主要功能明细说明如下:
支持在安全域业务拓扑上,实现基于源地址、目的地址、协议、端口等条件进行路径查询分析与展示,能够实现源到目的多条网络路径以及路径上所有经过网关设备的可视化;
支持源到目的部分数据流通的详情展示,包括允许数据和禁止数据流详情;
支持根据安全路径节点展示相关安全策略并列出影响此路径的相关策略;
支持业务拓扑中NAT地址转换后的路径分析。
内网暴露风险可视
内网暴露风险可视以全网主机、服务等为对象,依托攻击面综合评估模型,从安全路径角度描述其对外的暴露情况。帮助用户及时了解某些重要主机对外暴露面的大小,辅助用户进行暴露面收敛与路径安全加固。平台可展示个主机对外暴露面的风险等级,列出该主机暴露的对象,可针对某一范围或全局输出主机暴露风险排名。
实现与现有的安全运维体系对接,构建基于业务安全策略变更工作流,对变更操作的各个步骤进行监控及影响性分析,并结合合规策略基线提出配置建议。安全策略自动化运维包含开通业务请求、开通建议、策略风险分析、策略远程下发以及策略开通验证等功能,协助网络安全运维人员能快速、有效的完成策略变更,并确保变更内容准确,从而提高工作效率,降低维护成本。
支持通过工单形式维护策略开通任务,包括策略开通的新增、查询、删除等;支持按工单创建人进行快速查询和过滤。支持开通结果报告管理,包括策略开通申请选路建议、风险分析、命令行翻译、开通验证 等结果信息集中展示。
根据开通申请的源/目的/服务进行仿真分析,判断当前开通请求的通路情况,并定位出需要新增放通策略的防火墙设备及策略详情。支持多源、多目的、多服务的开通申请,对可能的源/目的/服务组合进行开通模拟仿真。源与目地对象间存在NAT的情况,应能够自动检测到,并自动按NAT规则正确替换访问控制规则中的源或目的地址,实现过NAT前后防火墙配访问控制配置脚本的自动分段生成,以保证过NAT时访问控制策略下发的正确性与效率。
在配置生成时,能够针对每一条网络访问需求提示现有策略是否已经满足需求。基于模拟仿真结果,将待开通策略与目的防火墙已有策略进行隐藏(冲突)策略的比对分析,对可能出现的隐藏策略进行预警提示。在配置生成时,对于能够在现有策略进行合并的配置进行提示(策略合并规则为五元组:源、目的、服务、时间、action,至少有四项相同,目的地址除外)。
在配置生成时,可同时安全基线检查,如是否包含高危端口(TCP 445,139,3389等),并对不合规配置需求进行提示和告警。支持根据安全域或业务组的互访基线进行检查,针对不合规的开通需求进行提示和告警。
基于模拟仿真结果,系统根据目的防火墙命令行规则自动翻译生成安全策略命令行脚本。支持灵活命令行翻译规则配置,如命令行中是否需要源域/目的域、是否需要创建地址对象、新增策略插入的行号位置等;新增策略时优先使用目的防火墙已有的服务对象,避免重复创建冗余服务对象;支持对批量工单的命令行脚本按目标防火墙维度进行汇总。
在安全策略下发完成后,可对开通路径进行源到目的仿真分析并可视化展示,辅助定位异常问题(如逻辑路径未开通非访问控制问题、访问控制策略在哪台墙上未开通成功)。
支持自定义报表订阅管理,可周期性自动生成报表报告,可订阅发送至指定邮箱;支持自定义组织报表内容,包括策略列表、策略查询、策略检查、策略监控等报表。
系统规格
功能模块 | 功能项 | 详细要求 |
网络架构风险分析子系统 | 资产与业务管理 | 支持按照业务系统、设备组、安全域等维度对防火墙、路由器、交换机以及服务器等IT设备资产进行管理; |
支持设备资产、业务、安全域的添加、删除、修改、导入、导出等操作 | ||
支持对安全设备采集安全策略的采集凭据与采集周期进行管理 | ||
安全策略与路由配置采集 | 支持对防火墙、路由器、交换机、负载均衡等网络关键路径节点设备的网络访问控制策略和路由策略配置信息采集与解析,解析内容包括安全策略、NAT策略、ACL策略、静态路由、策略路由、路由表等 | |
信息采集支持在线采集与离线采集两种方式,在线采集方式支持设定周期性任务 | ||
策略管理与梳理 | 支持统一视图呈现异构设备的安全策略列表信息,支持对策略信息进行查找和搜索 | |
支持策略采集历史管理,可下载历史采集策略文件 ,对任意两个历史策略信息进行对比分析 | ||
支持策略注释,针对每条策略可添加策略注释信息 | ||
支持访问控制策略的优化检查,自动分析发现并展示如下明显不合理规则: 可合并策略:同一策略集内,指两条源域、目的域以及动作相同的策略,源地址、目的地址、服务对象、时间对象四个元素只有一项不相同,其余均相同 过期策略:策略中会包含时间对象,当时间对象过期后,该策略会显示为过期策略 | ||
支持基于防火墙策略日志分析,提供安全策略的历史命中次数统计和分析功能,并支持源地址、目的地址、目的端口等维度对安全策略利用率进行分析,实现对ANY、宽松策略的逐步收敛和缩紧 | ||
支持通过防火墙策略日志(或会话日志)历史数据分析,自动梳理出防火墙安全策略配置建议,并支持按源地址、目的地址分别进行合并汇聚梳理,梳理结果支持Excel导出 | ||
安全拓扑 | 支持根据全网防火墙、路由交换等三层设备的子网、安全域、路由、NAT、ACL等影响网络通路和可达的配置信息,并运用可视化技术,自动生成安全域拓扑图,实现基于全网的面向业务视角的安全域拓扑架构可视 | |
支持拓扑图人工干预,支持拖拽式拓扑编辑与显示设定 | ||
可显示指定安全域或业务系统与其他安全域及核心业务之间访问关系,至少包括是否可达,是否违反访问策略基线定义 | ||
路径分析 | 支持在安全域业务拓扑上,实现基于源地址、目的地址、常用协议、端口等条件过滤的安全路径和数据流查询与展示,能够实现对源到目的多条网络路径可视化,帮助用户决策并规避网络路径风险 | |
路径分析时,安全域、业务组、子网、主机、服务、IP地址等均可作为源域目的地址,并支持在拓扑图上进行选择 | ||
支持安全拓扑中NAT地址转换后路径可达分析 | ||
支持根据安全合规路径节点查询相关安全策略并列出影响此路径的相关策略 | ||
攻击面分析 | 支持主机攻击面分析。以主机资产为分析对象,从安全路径角度描述其对外的暴露情况,包括对外暴露的详细路径数量、源地址明细、目的端口明细等信息,并最终以按指标形式呈现 | |
支持主机服务攻击面分析。以主机服务为分析对象,从安全路径角度描述其对外的暴露情况,包括对外暴露的详细路径数量、源地址明细、目的端口明细等信息,并最终以按指标形式呈现 | ||
域间访问表名单 | 支持安全域间访问控制关系白名单管理和持续监测,实现违反域间访问白名单基线的自动可视化告警 | |
支持安全域间访问控制关系白名单矩阵的可视化设定与展示 | ||
支持将违反域间访问白名单告警通路一键设置为白名单通路 | ||
风险规则管理 | 系统预置多种域间访问基线、宽松策略、高危端口、配置风险等策略风险分析规则 | |
支持系统定期或即时对全网或部分被管设备的策略信息进行风险分析与告警 | ||
策略自动化运维 | 支持通过任务工单形式维护策略开通申请,包括新增操作,以及策略开通申请 选路建议、风险分析、策略下发、开通验证等结果信息展示 | |
支持Excel批量导入访问控制策略开通申请,支持对批量策略开通结果进行汇总下载 | ||
根据开通申请的源、目的进行全网路径查询,并展示查询结果,列出开通建议,包括涉及到的节点设备信息,以及路由、ACL策略配置建议等 | ||
针对多源/多目的/多服务开通申请,需根据每一组源/目的/服务的组合进行开通建议,然后再从防火墙维度进行合并汇总;在单台防火墙涉及到多条策略需求时,支持将该台防火墙配置集中显示在一个文本中 | ||
当所提访问控制需求中,源与目地对象间存在NAT的情况(至少支持3次以上NAT),应能够自动检测到,并自动按NAT规则正确替换访问控制规则中的源或目的地址,实现过NAT前后防火墙配访问控制配置脚本的自动分段生成,以保证过NAT时访问控制策略下发的正确性与效率 | ||
根据策略开通申请详情,结合目标防火墙已有策略配置信息,综合进行策略配置优化检查,提示可合并策略与隐藏策略 | ||
根据策略开通申请详情,结合策略基线与风险分析规格进行检测,输出策略风险分析报告,列出申请开通后所引发的策略风险概览及详情 | ||
支持对防火墙设置用户使用习惯模板,平台根据该模板生成命令行配置 | ||
通过维护策略下发信息,包括策略新增操作,通过策略下发模块下发到指定的目标防火墙 | ||
待策略开通完成后,重新采集节点设备策略配置,验证策略开通准确性 | ||
统计报表 | 支持自定义报表订阅管理,自定义组织报表内容,包括策略列表、策略查询、策略检查、策略监控等报表,可周期性自动生成报表报告,可订阅发送至指定邮箱 | |
兼容性要求 | 支持路由交换设备品牌包括但不限于华为、华三、思科、锐捷、Juniper | |
支持防火墙设备品牌包括但不限于华为、飞塔、华三、思科、中新网安、天融信、网神、网康、启明、迪普、网域、迈普、安博通、东软、Juniper、深信服 |
成功案例
某大型国有银行
某大型商业银行
