日韩一区二区不卡,岳腿缝之间水汪汪,亚洲你Ⅴ无码专区在线,久久15免费视频

引用：Gartner預測：“到2023年，99%的防火墻損壞是由于防火墻配置錯誤，而不是防火墻本身的缺陷?！?/p>

防火墻是最常見的網(wǎng)絡(luò)安全設(shè)備，廣泛構(gòu)建在各種金融機構(gòu)的網(wǎng)絡(luò)中。防火墻的基本功能包括設(shè)置網(wǎng)絡(luò)訪問控制策略、收斂網(wǎng)絡(luò)訪問權(quán)限、降落最低賦權(quán)原則、防止未經(jīng)授權(quán)的訪問、防止和降低網(wǎng)絡(luò)風險。訪問控制策略是防火墻的靈魂，是網(wǎng)絡(luò)安全防御系統(tǒng)的基礎(chǔ)，設(shè)置效果直接影響防火墻的應用效果和網(wǎng)絡(luò)安全防御的總體水平。如果對網(wǎng)絡(luò)的訪問控制策略沒有正確部署，即使是最先進的網(wǎng)絡(luò)安全設(shè)備，攻擊者也可以用最簡單的方法進行非法入侵。(David aser，Northern Exposure(美國電視電視劇)，網(wǎng)絡(luò))2019年二月Gartner在技術(shù)觀察報告中預測：“到2023年為止，99%的防火墻都是因為防火墻配置錯誤而不是防火墻本身的缺陷而受到攻擊的?！?/p>

目前，大多數(shù)金融機構(gòu)的防火墻策略都是手動管理的。隨著網(wǎng)絡(luò)規(guī)模的不斷擴大和業(yè)務(wù)的頻繁更改，政策規(guī)則的數(shù)量和劇增、效果評估難度和法規(guī)遵從性都無法得到保證。在鄧波2.0中，明確提出了防火墻策略精細化、集中管理的要求，但對于用戶單位或評估機構(gòu)，在復雜的網(wǎng)絡(luò)方案中，大規(guī)模防火墻策略分析超出了人員。防火墻政策的細致管理和評價工作都很難落實。

金融機構(gòu)防火墻政策管理的難點

金融機構(gòu)防火墻政策管理的困難主要在異構(gòu)、復雜和動態(tài)三個茄子方面。

1.異構(gòu)體

金融機構(gòu)網(wǎng)絡(luò)中的防火墻品牌通常超過5個，每個牌子設(shè)備的訪問控制策略配置不同，同一牌子設(shè)備的每個軟件版本的訪問控制策略配置也不同。大中型金融機構(gòu)網(wǎng)絡(luò)的防火墻數(shù)量可以從數(shù)十臺到數(shù)百臺，每個設(shè)備的政策規(guī)則一般為1000多個，核心邊界設(shè)備的政策規(guī)則可以達到數(shù)萬個。異質(zhì)性的另一個主要表現(xiàn)是同時存在本地和云的混合網(wǎng)絡(luò)環(huán)境，其形式包括物理、虛擬、安全組策略和主機訪問控制。

2.復雜性

防火墻策略設(shè)置的有效性和風險分析應通過單個防火墻以及網(wǎng)絡(luò)對象之間的訪問關(guān)系和訪問路徑進行分析。網(wǎng)絡(luò)中兩點之間的訪問路徑需要對多個網(wǎng)絡(luò)設(shè)備的邏輯連接和訪問控制進行關(guān)聯(lián)分析。此處提到的網(wǎng)絡(luò)設(shè)備不僅包括防火墻，還包括路由器、交換機和負載平衡、需要分析的數(shù)據(jù)，包括IP、VLAN、VXLAN、路由、策略路由、NAT、ACL、安全策略等。金融機構(gòu)的網(wǎng)絡(luò)結(jié)構(gòu)復雜，幾乎不可能手動實施全球網(wǎng)絡(luò)對象訪問路徑和訪問關(guān)系分析。

3.動態(tài)

金融機構(gòu)的防火墻政策變更正常，每周至少有兩次變更窗口，主要原因是防火墻訪問控制政策與網(wǎng)絡(luò)連接和安全有關(guān)。訪問控制的安全原則是聚合網(wǎng)絡(luò)連接，以降低網(wǎng)絡(luò)風險。因此，每當網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)發(fā)生變化時，訪問控制策略都必須發(fā)生變化，在業(yè)務(wù)敏捷性高的金融機構(gòu)網(wǎng)絡(luò)中，策略變得更加頻繁，規(guī)則數(shù)量也越來越多。

上述三個茄子問題使金融機構(gòu)的防火墻政策精細管理變得困難，可能導致兩個茄子結(jié)果。一種是頻繁的政策變更，增加引入安全風險的機會，另一種是占用大量人力。一些金融機構(gòu)的政策管理工作量達安全操作維護工作量的40%，其他高級別的工作資源沒有保障。

防火墻策略集中管理響應

1.關(guān)于NSPM定義

Gartner在2019年的技術(shù)觀測中定義了網(wǎng)絡(luò)安全策略管理(NSPM)。nspm超過了防火墻供應商提供的用戶策略管理界面，在異構(gòu)環(huán)境中提供了集中的安全策略可視化控制，NSPM提供了整個網(wǎng)絡(luò)設(shè)備，NSPM提供了異構(gòu)牌子安全策略的集中管理、更改管理、風險和漏洞分析，以及應用程序連接管理的四個茄子方面。

在混合網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)防火墻的形式更加多樣化，包括專用物理設(shè)備、虛擬設(shè)備、內(nèi)置防火墻模塊，以及IaaS平臺提供的防火墻控制系統(tǒng)。Gartner建議考慮使用NSPM等特殊工具，以便在2019年網(wǎng)絡(luò)防火墻幻方圖報告中集中管理混合網(wǎng)絡(luò)的訪問控制策略。

防火墻策略集中管理平臺整體體系結(jié)構(gòu)

參考Gartner的NSPM定義，結(jié)合現(xiàn)階段金融行業(yè)用戶防火墻策略管理方法和管理體系的研究，牙齒文章對防火墻策略集中管理平臺的整體體系結(jié)構(gòu)進行了一般性說明。希望金融業(yè)用戶能對防火墻政策集中管理系統(tǒng)的設(shè)計、構(gòu)建和運行起到借鑒作用。

防火墻策略集中管理平臺整體體系結(jié)構(gòu)由四個茄子關(guān)鍵元素組成：策略組態(tài)管理、策略最優(yōu)化清除、標準和風險管理以及變更進程管理。

策略組態(tài)管理模塊基于平臺，必須能夠徐璐收集其他牌子、各種網(wǎng)絡(luò)訪問控制設(shè)備配置、提取策略相關(guān)數(shù)據(jù)、向父計算模塊提供標準化數(shù)據(jù)，并將配置腳本反向發(fā)送到設(shè)備。策略組態(tài)管理模塊包括SSH、telnet、