领先的数据安全供应商

金融行业

某金融机构防火墙管理现状


  • 无防火墙策略变更的电子工单;
  • 各防火墙管理员之间的职责不清晰;
  • 对防火墙配置规范缺乏了解;
  • 防火墙型号繁多,涉及17类防火墙;
  • 防火墙服役周期长,版本变化大,性能存在隐患;
  • 对防火墙管理人员过度依赖,缺乏技术保障策略的有效性;
  • 防火墙安全检查周期长,检查内容不够详细,不足以解决防火墙问题;
  • 防火墙优化仅是为了满足网络扩容,而不是为了提高网络安全防护水平;
  • 缺乏防火墙的整改计划及长远规划。

解决方案

管理架构调整

由原先防火墙管理人员随意管理所有防火墙的方式,转变为指定每一台防火墙的第一责任人,该责任人只能通过防火墙管理平台管理自己的防火墙,明确了职责。


FIMAS部署

通过部署防火墙综合管理与审计系统(FIMAS),提高防火墙的技术保障能力。

FIMAS系统主要包括控制器和管理平台两部分。FIMAS控制器和FIMAS管理平台允许多级分布式部署,一套FIMAS管理平台能够管理多套FIMAS控制器。


防火墙接入

本次接入共涉及思科、H3C、华为、CHECKPOINT、JUNIPER五个品牌十七个型号的防火墙。


资产识别

通过资产分析发现,防火墙的策略中存在着大量未知资产,未知资产的访问控制策略是重大隐患。未知资产不在安全系统的防护之下,没有经过安全检查,可能成为网络安全的最短板,成为攻击者攻击核心系统的跳板。


策略优化

通过策略分析发现,大多数防火墙的策略冗余度已经接近总策略数的50%,部分防火墙的未使用对象已经超过对象综述的60%,这些问题严重影响了防火墙的运行状态,是造成CPU持续高负荷的主要原因。


合规审计

FIMAS分析了防火墙配置的日志配置、告警配置、攻击防护配置、安全策略配置、设备安全网管配置情况。

  • 所有防火墙在配置访问规则时,最后一条必须是拒绝一切流量;
  • 开启SYN flood、ICMP、UDP Flood攻击防范;
  • 通过ACL配置对常见的漏洞攻击及病毒报文进行过滤;
  • ......

通过合规审计发现,大部分防火墙采取了默认配置,存在安全隐患。

策略变更管理流程

协助该金融机构规范了防火墙策略变更的流程,对每一台防火墙策略的变更进行7x24监控,对变更的内容提供详细的报告。


通过工单才能进行防火墙策略变更,从技术上保障了变更管理流程。