防火墙策略监控分析平台

背景介绍

自从网络建设以来防火墙是网络边界安全成为网络安全必备产品，它依照特定的规则，允许或是限制传输的数据通过，通过对协议、地址和服务端口的识别和控制达到防范入侵的目的，发生网络攻击时，防火墙作为边界的守卫者显得尤为重要，策略的合理性更是核心所在。

据第三方的统计来看，其中99%的防火墙安全事件均是由防火墙的配置错误而引起，主要体现在人为的配置及策略变更管理两方面，防火墙策略配置是否合理，是否包含any，是否有冲突，是否有过变更，是亟待解决的难题。

产品架构

产品分为采集和数据中心部分，其中采集主要是采集网络中的数据，数据中心主要分析和呈现结果。

产品功能

防火墙策略梳理及分析系统包含资产管理、配置导入、策略梳理和分析、配置对比、报表管理几大功能模块。

资产管理：支持对防火墙进行管理，并可对防火墙进行分组管理。

配置导入：支持自动、手工导入防火墙配置方式

策略梳理和分析：主要是指通过对网络中已有的防火墙策略梳理出冲突策略，冗余策略，交叉策略，宽松策略等策略，并对梳理结果进行分析，近而为用户提供策略如何优化的合理化、可操作性建议，目前系统支持对市场上13家主流防火墙品牌进行策略梳理。

l 冲突策略：是指一条策略的源地址对象、目的地址对象、服务对象、时间对象完全包含或等于另外一条策略的地址对象、服务对象、时间对象，并且动作相反。

l 交叉策略：是指动作相反的两条策略的源地址对象、目的地址对象、服务对象、时间对象有一项或多项产生了交集。

l 冗余策略：是指一条低优先级策略完全包含高优先级另外一条策略并且动作相同，高优先级被包含的策略属于冗余策略。

l 命中策略：是指已命中采集到的流量的防火墙策略。

l 宽松策略：是指一条策略大于镜像流量命中的范围且超过一定的阈值。

l 

配置对比

对于防火墙策略的配置的对比，清楚的标识有变化的部分。

报表管理

支持策略分析结果生成报表，并可支持压缩包的格式进行下载保存。 

产品优势

l 无干扰式部署：系统采用旁路分布式部署方式采集流量，对用户网络无任何影响。

l 数据丰富：系统不但具有海量的数据存储能力。

l 灵活自动：配置导入后，支持自动梳理防火墙策略。

l 可视化展现：系统通过饼状图、列表等多种方式实现数据展现，展现的数据更加直观易懂。

l 操作简单：配置简单，易读易懂。