今天小编为大家带来一篇『干货』,由我们宜信技术研发中心网络安全负责人王志强原创编写,他根据自己多年的运维从业经验和心得,结合技术手段开发出了一款便利又实用的运维平台,解决了日常运维遇到的一些瓶颈和问题,小编在这里就不多絮叨了,让我们赶快进入正题↓

传统运维那些坑

互联网金融行业快速发展,覆盖范围广, 行业规范监管要求等特点,宜信作为行业知名企业,传统运维模式已问题凸显。

异构网络架构下多品牌防火墙并存,各大厂商产品从配置管理角度也不尽相同,包含GUI、CLI、WEB等多种方式,了解防火墙安全策略的使用状况,及时发现安全隐患,详细记录防火墙安全策略的变更,帮助管理员配置出正确的安全策略,确保防火墙的配置符合外部以及内部的安全规范等问题,运维工作急迫一套集中管理平台完成这些内容。

防火墙运维平台

更好的安全来源于更好的管理,宜信防火墙运维平台结合现状解决具有如下问题:

1.策略自主查询:提供用户自助查询功能,解决用户疑惑如A到B的访问是否默认已经开通?

2.策略申请:平台填写申请安全策略五元组及日期,事由等相关信息,平台利用预制规则对申请进行预判断,是否为合理需求?是否无需开通? 从需求提出阶段减少人工成本和快速预响应。

3.策略审核变更:管理员得到相应申请通知邮件后通过平台进行策略评估后,进行同意变更下发策略或打回动作。

4.审计:平台记录所有用户申请,管理员的操作记录,方便后期查询并满足如等保及其他合规要求。

5.报表:可看到各部门当前使用了哪些安全规则。

6.配置管理:通过平台对设备配置进行备份,方便进行配置比对和配置恢复工作。

平台开发过程中两个核心问题需要解决:

1.如何判断一个主机访问另外主机经过哪些网络设备?

2.如何将各个厂商防火墙策略导出并离线合并生成统一数据库作为平台基础。

综合考虑对比各种方案,如携程网运维平台路由计算方法,Firemon的配置抓取生成拓扑等,我们最终采用使用Python的三方库Networkx做拓扑计算和生成,将各区域网段定义为点对象,按照生产拓扑连接情况进行边连接,最终利用最短路径和权重特性完成主机通讯路径判断,并定位到经过哪些防火墙。

Nexworkx使用举例

对于如Paloalto这种提供Rest XML API的防火墙直接利用其接口进行配置提取,Checkpoint因为宜信暂未用到其最新有API的R80版本,只能通过厂商工具Web Visualization Tool(https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk112056&partition=Advanced&product=Security)命令行将策略导出为XML格式做处理,平台底层使用自动化脚本定时登陆Smartcenter系统进行策略抓取,对于其他如使用命令行方式为主配置的防火墙,如山石/思科等通过命令完成策略相关导出和配置,最终完成策略库生成(在此呼吁各大厂商开放自动化API,大势所趋呀!!!)

Paloalto API举例

Checkpoint自动登陆并导出

平台申请审批流程

审计&报告

平台其他功能:

1.安全策略使用状况分析,如策略命中数,策略可合并梳理,实现策略优化及设备性能提升。

2.防火墙配置安全规范审计,完善宜信自身的安全规范,并根据此规范审计系统内所有防火墙设备上的安全策略配置,是否存在允许该危险端口的安全策略,并做出相应的修改。

平台当前开发完善功能:

自动化防护建立:完善利用防火墙与其他安全设备或威胁情报系统集成通过攻击态势感知,自动创建针对攻击流量的安全策略防护。

声明:本文来自宜信安全应急响应中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。