无码人妻一区二区三区在线,日韩专区欧美,亚洲欧美动漫在线制丝袜国产,99re思思

引用：Gartner預(yù)測：“到2023年，99%的防火墻損壞是由于防火墻配置錯誤，而不是防火墻本身的缺陷?！?/p>

防火墻是最常見的網(wǎng)絡(luò)安全設(shè)備，廣泛構(gòu)建在各種金融機(jī)構(gòu)的網(wǎng)絡(luò)中。防火墻的基本功能包括設(shè)置網(wǎng)絡(luò)訪問控制策略、收斂網(wǎng)絡(luò)訪問權(quán)限、降落最低賦權(quán)原則、防止未經(jīng)授權(quán)的訪問、防止和降低網(wǎng)絡(luò)風(fēng)險(xiǎn)。訪問控制策略是防火墻的靈魂，是網(wǎng)絡(luò)安全防御系統(tǒng)的基礎(chǔ)，設(shè)置效果直接影響防火墻的應(yīng)用效果和網(wǎng)絡(luò)安全防御的總體水平。如果對網(wǎng)絡(luò)的訪問控制策略沒有正確部署，即使是最先進(jìn)的網(wǎng)絡(luò)安全設(shè)備，攻擊者也可以用最簡單的方法進(jìn)行非法入侵。(David aser，Northern Exposure(美國電視電視劇)，網(wǎng)絡(luò))2019年二月Gartner在技術(shù)觀察報(bào)告中預(yù)測：“到2023年為止，99%的防火墻都是因?yàn)榉阑饓ε渲缅e誤而不是防火墻本身的缺陷而受到攻擊的?！?/p>

目前，大多數(shù)金融機(jī)構(gòu)的防火墻策略都是手動管理的。隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和業(yè)務(wù)的頻繁更改，政策規(guī)則的數(shù)量和劇增、效果評估難度和法規(guī)遵從性都無法得到保證。在鄧波2.0中，明確提出了防火墻策略精細(xì)化、集中管理的要求，但對于用戶單位或評估機(jī)構(gòu)，在復(fù)雜的網(wǎng)絡(luò)方案中，大規(guī)模防火墻策略分析超出了人員。防火墻政策的細(xì)致管理和評價(jià)工作都很難落實(shí)。

金融機(jī)構(gòu)防火墻政策管理的難點(diǎn)

金融機(jī)構(gòu)防火墻政策管理的困難主要在異構(gòu)、復(fù)雜和動態(tài)三個茄子方面。

1.異構(gòu)體

金融機(jī)構(gòu)網(wǎng)絡(luò)中的防火墻品牌通常超過5個，每個牌子設(shè)備的訪問控制策略配置不同，同一牌子設(shè)備的每個軟件版本的訪問控制策略配置也不同。大中型金融機(jī)構(gòu)網(wǎng)絡(luò)的防火墻數(shù)量可以從數(shù)十臺到數(shù)百臺，每個設(shè)備的政策規(guī)則一般為1000多個，核心邊界設(shè)備的政策規(guī)則可以達(dá)到數(shù)萬個。異質(zhì)性的另一個主要表現(xiàn)是同時(shí)存在本地和云的混合網(wǎng)絡(luò)環(huán)境，其形式包括物理、虛擬、安全組策略和主機(jī)訪問控制。

2.復(fù)雜性

防火墻策略設(shè)置的有效性和風(fēng)險(xiǎn)分析應(yīng)通過單個防火墻以及網(wǎng)絡(luò)對象之間的訪問關(guān)系和訪問路徑進(jìn)行分析。網(wǎng)絡(luò)中兩點(diǎn)之間的訪問路徑需要對多個網(wǎng)絡(luò)設(shè)備的邏輯連接和訪問控制進(jìn)行關(guān)聯(lián)分析。此處提到的網(wǎng)絡(luò)設(shè)備不僅包括防火墻，還包括路由器、交換機(jī)和負(fù)載平衡、需要分析的數(shù)據(jù)，包括IP、VLAN、VXLAN、路由、策略路由、NAT、ACL、安全策略等。金融機(jī)構(gòu)的網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，幾乎不可能手動實(shí)施全球網(wǎng)絡(luò)對象訪問路徑和訪問關(guān)系分析。

3.動態(tài)

金融機(jī)構(gòu)的防火墻政策變更正常，每周至少有兩次變更窗口，主要原因是防火墻訪問控制政策與網(wǎng)絡(luò)連接和安全有關(guān)。訪問控制的安全原則是聚合網(wǎng)絡(luò)連接，以降低網(wǎng)絡(luò)風(fēng)險(xiǎn)。因此，每當(dāng)網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)發(fā)生變化時(shí)，訪問控制策略都必須發(fā)生變化，在業(yè)務(wù)敏捷性高的金融機(jī)構(gòu)網(wǎng)絡(luò)中，策略變得更加頻繁，規(guī)則數(shù)量也越來越多。

上述三個茄子問題使金融機(jī)構(gòu)的防火墻政策精細(xì)管理變得困難，可能導(dǎo)致兩個茄子結(jié)果。一種是頻繁的政策變更，增加引入安全風(fēng)險(xiǎn)的機(jī)會，另一種是占用大量人力。一些金融機(jī)構(gòu)的政策管理工作量達(dá)安全操作維護(hù)工作量的40%，其他高級別的工作資源沒有保障。

防火墻策略集中管理響應(yīng)

1.關(guān)于NSPM定義

Gartner在2019年的技術(shù)觀測中定義了網(wǎng)絡(luò)安全策略管理(NSPM)。nspm超過了防火墻供應(yīng)商提供的用戶策略管理界面，在異構(gòu)環(huán)境中提供了集中的安全策略可視化控制，NSPM提供了整個網(wǎng)絡(luò)設(shè)備，NSPM提供了異構(gòu)牌子安全策略的集中管理、更改管理、風(fēng)險(xiǎn)和漏洞分析，以及應(yīng)用程序連接管理的四個茄子方面。

在混合網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)防火墻的形式更加多樣化，包括專用物理設(shè)備、虛擬設(shè)備、內(nèi)置防火墻模塊，以及IaaS平臺提供的防火墻控制系統(tǒng)。Gartner建議考慮使用NSPM等特殊工具，以便在2019年網(wǎng)絡(luò)防火墻幻方圖報(bào)告中集中管理混合網(wǎng)絡(luò)的訪問控制策略。

防火墻策略集中管理平臺整體體系結(jié)構(gòu)

參考Gartner的NSPM定義，結(jié)合現(xiàn)階段金融行業(yè)用戶防火墻策略管理方法和管理體系的研究，牙齒文章對防火墻策略集中管理平臺的整體體系結(jié)構(gòu)進(jìn)行了一般性說明。希望金融業(yè)用戶能對防火墻政策集中管理系統(tǒng)的設(shè)計(jì)、構(gòu)建和運(yùn)行起到借鑒作用。

防火墻策略集中管理平臺整體體系結(jié)構(gòu)由四個茄子關(guān)鍵元素組成：策略組態(tài)管理、策略最優(yōu)化清除、標(biāo)準(zhǔn)和風(fēng)險(xiǎn)管理以及變更進(jìn)程管理。

策略組態(tài)管理模塊基于平臺，必須能夠徐璐收集其他牌子、各種網(wǎng)絡(luò)訪問控制設(shè)備配置、提取策略相關(guān)數(shù)據(jù)、向父計(jì)算模塊提供標(biāo)準(zhǔn)化數(shù)據(jù)，并將配置腳本反向發(fā)送到設(shè)備。策略組態(tài)管理模塊包括SSH、telnet、