【强叔侃墙第二季】15 策略管理难度大,调测运维有利器---安全策略部署指导

digest [复制链接]
发表于 : 2016-2-4 10:22:05 最新回复:2019-08-19 13:40:43
7254 4
强叔侃墙
强叔侃墙 官方号

通过前面几篇贴子,我们把NGFW内容安全中的反病毒、入侵防御、URL过滤、邮件过滤、文件过滤、内容过滤、HTTPFTP应用行为控制七大特性都介绍完毕了。部署这些特性的时候,它们必须依托于安全策略才能生效。我们在前几篇贴子中重点讲解了特性的实现原理和配置实例,涉及安全策略的部分只是在配置实例中简单带过,所用笔墨不多。本篇我们就来补上这块的内容,讲解安全策略的构成,以及调测维护方法。

一体化安全策略

NGFW上,安全策略是控制流量转发以及对流量进行内容安全检测处理的一体化策略。这里的一体化主要体现在两个方面:其一,体现在内部处理上,通过智能感知引擎IAEIntelligent Awareness Engine)对一条流量只进行一次检测,多业务并行处理,提高了设备的处理性能,如下图所示。

【强叔侃墙第二季】15 策略管理难度大,调测运维有利器---安全策略部署指导-1046363-1

 

其二,体现在外部配置上,所有内容安全功能都可以通过在安全策略中引用安全配置文件来实现,降低了管理员的配置难度,如下图所示。

【强叔侃墙第二季】15 策略管理难度大,调测运维有利器---安全策略部署指导-1046363-2

 

安全策略中包含很多种匹配条件,通过这些条件可以精确地识别出各类流量。如果一条流量同时符合多条安全策略中的匹配条件,此时应依照哪一条安全策略来对流量进行处理呢?这就涉及到安全策略的匹配顺序问题。

NGFW上支持配置多条安全策略,多个安全策略之间存在优先级关系(即匹配顺序),流量会按照从上到下的顺序进行匹配。如果流量匹配到了一条安全策略,NGFW就会按照该安全策略的动作对流量进行处理,不会再去匹配下一条安全策略。我们常说一条安全策略的优先级高,意思就是说该安全策略的匹配顺序在前。

如下图所示,NGFW上配置了3条安全安全策略,NGFW收到流量后,先匹配policy1,如果流量特征完全匹配policy1,则按照policy1的动作来处理;否则继续向下匹配policy2,以此类推。

【强叔侃墙第二季】15 策略管理难度大,调测运维有利器---安全策略部署指导-1046363-3

 

我们注意到,policy2policy1相比,条件更加精确,但是匹配顺序却位于policy1之后。这就会导致流量永远无法匹配到policy2,也就是说,源地址为192.168.0.2的流量就不会被阻断。

解决该问题的方法是调整策略之间的匹配顺序,将policy2挪到policy1之上,保证policy2先被匹配到。所以管理员在一开始配置安全策略的时候,就需要先配置匹配条件精确的安全策略,使其先匹配,然后再配置匹配条件宽泛的安全策略。

安全策略的匹配条件很多,内容安全功能也很多,在不同的网络环境中如何配置安全策略是个难题。NGFW贴心地提供了多个安全策略模板,针对企业常见的防护场景,快速创建相应的安全策略,如下图所示。

【强叔侃墙第二季】15 策略管理难度大,调测运维有利器---安全策略部署指导-1046363-4

 

管理员可直接选择合适的模板,NGFW会自动配置相应的应用分类、时间段、动作以及内容安全防护措施。当然,任何环境下安全策略的配置都不能一蹴而就,管理员还需根据现网实际情况不断优化调整当前的安全策略。

管理员在部署实施安全策略时要考虑很多因素,这需要管理员具备深厚的专业知识并投入大量精力。另外,对已有安全策略进行调整时,管理员手动调整的方式不仅低效且容易出错,产生许多冗余无效的安全策略,不容易被发现;同时,由于应用也会携带一些安全风险,导致许多安全策略本身存在安全隐患。

针对这些问题,NGFW创新性的提供了智能策略(Smart Policy)功能,增强了安全策略的自动化管理能力。智能策略并不是一条具体的安全策略,而是安全策略调测运维的工具,包括策略冗余分析、策略命中分析和应用风险调优三大利器,下面我们逐一介绍。

策略冗余分析

策略冗余分析工具只分析动作相同的安全策略的匹配条件,将高优先级(匹配顺序在前)的安全策略依次与低优先级(匹配顺序在后)的策略进行遍历比较,如果符合以下两种情况的任意一种,便会认定为出现完全冗余:

  • 所有匹配条件完全相同的安全策略,则低优先级的安全策略会被认定为完全冗余。
  • 安全策略A的所有匹配条件被安全策略B完全包含,并且安全策略A的优先级低于安全策略B,则安全策略A会被认定为完全冗余。

如下图所示,经过策略冗余分析后,NGFW给出了分析结果:第2条安全策略和第4条安全策略完全冗余。这两条安全策略的匹配条件分别被第1条安全策略和第3条安全策略完全包含,而匹配顺序又分别在第1条安全策略和第3条安全策略之后,所以永远不会被匹配上。

【强叔侃墙第二季】15 策略管理难度大,调测运维有利器---安全策略部署指导-1046363-5

 

针对冗余的安全策略,管理员可以选择两种处理方式:一是确认安全策略应该继续保留,则可以修改策略的匹配条件,避免冗余;二是确认安全策略确实冗余,即可删除该安全策略。

策略冗余分析可以在没有流量经过NGFW时进行静态分析,因此该操作可以在配置安全策略后立即开始。通过策略冗余分析,我们识别出了冗余策略,精简了安全策略的数量,那么保留下来的这些安全策略,在实际网络环境中是否都能起到作用呢?为此,智能策略提供了第二个工具:策略命中分析。

策略命中分析

策略命中分析的依据是流量是否匹配安全策略,因此在进行策略命中分析前,请尽量让NGFW正常运行(有流量经过)一段时间,以保证分析结果会更全面、准确。

下图给出了在特定时间段之内,策略命中分析结果示例。分析结果中列出的安全策略都没有被命中,也就是说,没有流量匹配到这些安全策略。究其原因,或者是安全策略的匹配条件配置有误,或者是网络中就没有相应的业务流量经过NGFW

【强叔侃墙第二季】15 策略管理难度大,调测运维有利器---安全策略部署指导-1046363-6

 

同样,针对未命中的安全策略,管理员可以选择两种处理方式:一是修改安全策略的匹配条件,使其能够被流量匹配上;二是直接删除安全策略。

通过策略命中分析,我们进一步优化精简了安全策略,清理了一些没有生效的安全策略。那么,有流量命中的那些安全策略是否就很完善呢,存在安全风险的流量是否也被允许通过了呢?为了解决这个问题,智能策略又提了另一个工具:应用风险调优。

应用风险调优

应用风险调优只针对有流量命中且动作为允许的安全策略,它能够识别安全策略中包含的应用类别,将基于服务(端口)的安全策略转换为基于应用的安全策略;还可以识别安全策略中包含的应用风险,并对相应的风险进行深度防护,即在安全策略中配置入侵防御、反病毒等配置文件。

关于应用风险,我们在应用识别一篇中也提到过,它是NGFW标识应用安全性的一个属性。NGFW为常用应用定义了相应的风险类型,而对于各类风险类型提供了相应的防护措施。如果安全策略中使用了某些应用作为匹配条件,却没有配置相应的防护措施(内容安全功能),或者配置的防护措施不全面,则应用风险调优工具会认为该安全策略存在应用风险,需要进一步优化调整。应用风险类型和防护措施的对应关系如下表所示。

风险分类

风险类型

防护措施

安全类风险

可被利用、承载恶意软件、具有躲避特征

入侵防御、反病毒、URL过滤

泄漏类风险

隧道协议、造成数据泄漏

文件过滤、内容过滤

办公效率下降类风险

造成工作效率下降、消耗网络带宽

带宽控制或禁用该应用

 

其中,对于安全类风险和泄漏类风险,NGFW提供了相应的防护措施。对于办公效率下降类风险,可配置带宽管理功能对相应的应用进行带宽控制,或在安全策略中禁止此类应用。关于带宽管理的内容我们将在后续贴子中详细介绍。

下图给出了应用风险分析结果的示例,从分析结果可知,应用风险调优工具认为这些安全策略中的应用作为匹配条件,允许相应的流量通过,但是并没有配置完善的防护措施。因此,这些安全策略存在不同程度的应用安全风险,需要进一步调整和完善。

【强叔侃墙第二季】15 策略管理难度大,调测运维有利器---安全策略部署指导-1046363-7

 

接下来,管理员可以按照应用风险调优工具给出的调优建议来调整安全策略的配置,也可以手工调整。这里我们选取了一条存在应用安全风险的策略,单击“调优处理”按钮,弹出该条安全策略的调优处理界面,如下图所示。

【强叔侃墙第二季】15 策略管理难度大,调测运维有利器---安全策略部署指导-1046363-8

 

在该界面上单击“调优建议”按钮,应用风险调优工具将对该条安全策略进行调优处理,处理后的界面如下图所示。

【强叔侃墙第二季】15 策略管理难度大,调测运维有利器---安全策略部署指导-1046363-9

 

将上图与调优前的界面对比后可知,应用风险调优工具对该条安全策略的调优处理包括以下三个方面:

  • 第一,将所有的应用都作为该安全策略的匹配条件。这里的应用包括原安全策略中已配置的应用,以及在已命中安全策略的流量中,NGFW识别出的所有应用。这样就使匹配条件中的应用类型更加真实和全面,也有助于企业管理员了解业务的流量构成。
  • 第二,将所有的应用作为深度防护对象,为其配置策略防护动作,即在安全策略中配置内容安全功能。目前应用风险调优工具只支持引用缺省存在的安全策略配置文件(default),如需引用自定义配置文件请管理员后续手动修改该安全策略。
  • 第三,不改变当前策略的配置,生成一条新的安全策略放在原有策略之前,优先级高于原有策略。这样操作能够起到策略备份的作用,如果调优后的安全策略影响业务运行,可以快速恢复原有安全策略。新的安全策略在现网运行一段时间之后,如果没有问题,后续再使用策略冗余分析工具来去掉原有安全策略。

应用风险调优工具能够帮助管理员快速完成带有应用风险的安全策略的调优处理,但是需要特别注意,应用风险调优工具给出了只是给出了通用的处理建议,最合适有效的处理方式还需管理员结合网络实际情况手工调整策略,自动调优和手工调整相辅相成,才能更好地消除安全风险,增强策略安全性。

综上所述,智能策略提供的策略冗余分析、策略命中分析和应用风险调优工具,能够有效减少管理员人工操作的劳动量,缩短调测时间,降低维护成本,不愧为安全策略调测运维之利器。

由于企业的网络环境千变万化,安全策略的时效性难以保证。我们建议企业管理员在部署安全策略时,循环使用智能策略的三大工具,提高安全策略的时效性,持续保护企业内网安全,如下图所示。

【强叔侃墙第二季】15 策略管理难度大,调测运维有利器---安全策略部署指导-1046363-10

 

至此,NGFW的一系列内容安全特性都介绍完毕。内容安全特性是NGFW的核心特性,是NGFW区别于传统防火墙的重要标志,希望通过强叔的介绍,能让大家了解特性原理并掌握配置方法。后续我们将陆续介绍NGFW的其他重点特性,敬请期待。

 

 

返回至汇总贴

本帖被以下专题推荐:

  • x
  • 常规:

点评 回复

跳转到指定楼层
DD师兄
DD师兄   发表于 2016-2-4 14:57:40 已赞(0) 赞(0)

支持强叔啊我要细读,应用行为控制篇缺少了一些图,强叔抽空重新贴下,谢谢!   强叔新春快乐!

  • x
  • 常规:

点评 回复

wenlg136
wenlg136   发表于 2016-2-6 01:21:10 已赞(0) 赞(0)

支持强叔啊我要细读,我想了解有没有能验证策略与NAT的正确性的软件或者方法。

  • x
  • 常规:

点评 回复

GhostBoy
GhostBoy   发表于 2019-8-16 09:26:00 已赞(0) 赞(0)

学习【强叔侃墙第二季】15 策略管理难度大,调测运维有利器---安全策略部署指导-3035727-1【强叔侃墙第二季】15 策略管理难度大,调测运维有利器---安全策略部署指导-3035727-2【强叔侃墙第二季】15 策略管理难度大,调测运维有利器---安全策略部署指导-3035727-3【强叔侃墙第二季】15 策略管理难度大,调测运维有利器---安全策略部署指导-3035727-4【强叔侃墙第二季】15 策略管理难度大,调测运维有利器---安全策略部署指导-3035727-5
  • x
  • 常规:

点评 回复

Yep
Yep   发表于 2019-8-19 13:40:43 已赞(0) 赞(0)

支持强叔
  • x
  • 常规:

点评 回复

福建龙田网络科技
发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录