某国有特大型能源供应企业,承担着为全省经济社会发展和人民生产生活提供电力供应与服务的重要使命。随着该企业网络建设的逐步深化,业务变化更加频繁多样,防火墙对企业的网络安全和业务稳定运行保障都发挥着重要作用。科来多年来为该企业的信息化建设保驾护航,在某次技术交流时该企业负责网络安全的工程师向科来描述了自己在防火墙管理工作中遇到的困境:
“我会反复确认几次策略规则和操作,防火墙也显示策略下发成功,但有时就是没效,不知道问题出在哪里。
虽然业务部门明确了XX业务已经下线,但真的不敢删啊,万一有其他业务还在用着这条策略呢?
将近30万条!肯定很多无效策略。防火墙日志确实可以帮忙收敛,但太影响性能,不敢轻易开这个功能。“
这些问题其实是绝大部分的工程师在管理企业防火墙策略时所面临的共同问题:
首先,从客户下发策略到防火墙执行需要多设备配合完成,任意设备出现阻塞都会导致策略下发失败;大量的封禁策略会使防火墙过载并影响设备性能,也可能导致策略下发失败。其次,启用日志会导致防火墙性能下降,日常不对策略进行有效管理,日积月累便无法对策略进行精准收敛,根本原因是缺乏对策略收敛的数据支撑依据。
找到问题原因后,科来与客户进行了深度交流,结合客户实际情况,通过实施科来防火墙策略验证方案,解决了困扰客户的防火墙策略问题,为用户的业务连续性提升了管理效率、提供了安全价值。
用户反馈
“通过科来这个方案进行策略验证更准确,而且是实时的,策略是否下发成功一目了然。多年的闲置策略也都筛出来了,在很大程度上帮我们减少了策略配置问题,不会影响设备性能。”
科来防火墙策略验证方案
轻松解决防火墙策略管理棘手问题
科来防火墙策略验证方案,通过旁路采集真实业务场景中的全流量数据包与策略进行匹配,发现长时间未命中策略,由于数据包的无损和全面,能够帮助用户准确、实时的进行防火墙策略验证及策略精简。
科来设备能够自动对接用户使用的任意厂商防火墙,将策略自动转换为科来产品自身的验证策略,通过反向的策略验证,确认策略有效性,实现防火墙阻断效果实时验证,帮助用户判断策略是否下发成功,及时感知边界防护效果。同时,在不影响防火墙性能的前提下,为用户提供全面、准确的策略管理数据支撑依据。
用户价值一:阻断效果实时验证
科来通过对客户原有防火墙策略的动态对接与转换,实时匹配网络流量,及时反馈策略验证结果,帮助用户准确判断阻断效果是否生效、防火墙是否存在风险。
用户价值二:策略运维效率高效提升
科来基于全流量反向验证失效策略、闲置策略,最大限度帮助运维人员减少策略配置问题,优化策略运维规划,整体提升防火墙策略运维效率,让运维人员更高效、清晰、便捷地进行安全分析。
方案优势
实时自动化失效检测
无需人工参与,系统自动梳理闲置及失效策略,定时同步动态防火墙策略,实时匹配网络流量,一旦发现越权访问行为,及时生成告警、反馈验证结果,保证检测的时效性。
高度兼容、性能零损伤
科来通过旁路部署,镜像采集流量,对防火墙性能零损伤;兼容任意厂商防火墙以及同一防火墙的不同型号,保证防火墙的高度兼容性。
策略精准验证、高效统一管理
单台科来设备可采集多台防火墙流量、对接转换多区域防火墙策略,实现对策略的统一高效管理;全流量网络数据采集,通过完整的原始数据包进行验证,保证验证结果的准确性,为策略收敛提供数据支撑。
科来产品通过对防火墙边界防护效果的实时监测,让用户及时感知未生效的阻断,发现访问控制漏洞。科来提供全面完整的策略依据,落实策略最小化原则,帮助用户设备以最少的承载获得更大价值的防护效果。