一、业务上线场景首先我们模拟一个业务上线的流程: 1.收集业务上线需求 业务部门有一个“报表材料”系统上线的需求,我们与业务部门明确相关的系统上线信息,包括:上线系统的IP为172.18.1.15,需要开放80、443与3306端口(直接登陆数据库的端口),需要开通“网盘系统”对他的访问权限,用于做数据同步;
2.【业务资产管理】配置资产与主动扫描服务器的端口开放情况 在内网服务器网段中配置该资产IP,这里由于历史配置的服务器网段中已经包含该IP,不重复进行配置; 然后开启主动扫描功能,“开启后”,使用该功能来确认该业务端口的开放情况,比对是否和业务部门提交的一致; 3.导出excel表,对比新上线业务实际端口情况和业务部门提交端口信息是否一致
4.配置ACL策略 根据业务部门提的需求,添加对应的ACL策略;
5让业务部门做上线测试,有流量经过 通过流量动态分析,我们发现XX系统开放的3306端口,被标记为是高危端口,黑客如果攻破了内网的设备作为跳板机,扫描到该端口开放,就能进行口令爆破,进而成功登陆数据库;
6.让业务部门做调整,同时防火墙上对应调整相关的ACL策略;
二、业务梳理场景 2.1.资产在线状态1.全局检视服务器在线状态,发现网络中存在离线的资产 2.与相关的业务部门确认该资产是否已经下线,若已下线,则可删除相关策略,降低风险
2.2.资产端口状态全局检视是否有端口使用状态风险: 1)端口开放为any; 2)存在风险端口 1.“流程申请服务器”系统:发现高危端口,ssh 22:挖矿病毒; 3389、445勒索常用端口,如永恒之蓝; 2.通知业务部门,关闭高危端口; 3. 跳转ACL策略界面,自动定位找到开放过大的策略,并把风险的端口关闭,实现最小权限的管理。
3)开放端口过大 生产区:“结算分析系统” 1.通过流量分析,发现443、3389端口是无效 2.截图给业务部门,该端口长时间没流量访问, 3.到对应存在权限放开过大的ACL策略,把开放的端口关闭;
2.3.互访关系状态全局检视网络中的违规流量,定位风险 违规访问:生产区供应链管理系统 1.通过动态流量分析,发现访问XX系统的违规流量 2.查看ACL日志,可以看到该流量已经被拒绝; 3.与业务部门确认,是否是有正常业务的互访流量,或者可能是源IP的供应商系统已经存在异常,被黑客控制;
跳转行为日志,查看违规流量行为详情,确认当前ACL策略是否合理 2.5.应用控制策略异常分析—还没录通过【策略优化】分析应用控制策略异常,分析结束后左上角可以查看当前策略问题统计情况,下方可以查看异常策略和策略状态。如某条策略分析结果不需要展示也可以加入【忽略列表】 避免了需要复杂的方法来梳理已有策略相互间逻辑存在的问题,从而能够针对性地对这些策略进行进一步的优化;
可点击颜色块的策略状态查看异常原因以及优化建议
分析完单条策略异常后可在详情界面进行调整异常策略
调整结束后直接在左下角可策略本次优化情况
所有策略修改记录在【策略生命周期管理】都有详细、易懂且无法修改的记录。 2.6.导出访问控制策略变更记录和访问控制策略支持在界面直接查询变更具体记录和导出EXCEL格式的变更记录 完成这次变更后可导出所有策略进行归档备份
同时也支持直接导入生成策略
以 上功能介绍,你GET到了吗?让我们静静期待8019版本正式上线! 有想要提前尝鲜的小伙伴们,现在可以去报名了哦,20个名额,先到先得!升级体验完以后,还有奖励哦! |