【AF8.0.19新功能抢鲜看】8019沉浸式体验系列:业务资产精细化管控
  

Sangfor_闪电回_朱丽 5831人觉得有帮助



一、业务上线场景
首先我们模拟一个业务上线的流程:
1.收集业务上线需求
业务部门有一个“报表材料”系统上线的需求,我们与业务部门明确相关的系统上线信息,包括:上线系统的IP为172.18.1.15,需要开放80、443与3306端口(直接登陆数据库的端口),需要开通“网盘系统”对他的访问权限,用于做数据同步;

2.【业务资产管理】配置资产与主动扫描服务器的端口开放情况
在内网服务器网段中配置该资产IP,这里由于历史配置的服务器网段中已经包含该IP,不重复进行配置;
然后开启主动扫描功能,“开启后”,使用该功能来确认该业务端口的开放情况,比对是否和业务部门提交的一致;
11.png
3.导出excel表,对比新上线业务实际端口情况和业务部门提交端口信息是否一致
12.png

4.配置ACL策略
根据业务部门提的需求,添加对应的ACL策略;
13.png


5让业务部门做上线测试,有流量经过
通过流量动态分析,我们发现XX系统开放的3306端口,被标记为是高危端口,黑客如果攻破了内网的设备作为跳板机,扫描到该端口开放,就能进行口令爆破,进而成功登陆数据库;

6.让业务部门做调整,同时防火墙上对应调整相关的ACL策略;
14.png


二、业务梳理场景
2.1.资产在线状态
1.全局检视服务器在线状态,发现网络中存在离线的资产
2.与相关的业务部门确认该资产是否已经下线,若已下线,则可删除相关策略,降低风险
15.png

16.png

17.png

2.2.资产端口状态
全局检视是否有端口使用状态风险:
1)端口开放为any;
2)存在风险端口
1.“流程申请服务器”系统:发现高危端口,ssh 22:挖矿病毒;
3389、445勒索常用端口,如永恒之蓝;
2.通知业务部门,关闭高危端口;
3. 跳转ACL策略界面,自动定位找到开放过大的策略,并把风险的端口关闭,实现最小权限的管理。
18.png

19.png
20.png

21.png

3)开放端口过大
生产区:“结算分析系统”
1.通过流量分析,发现443、3389端口是无效
2.截图给业务部门,该端口长时间没流量访问,
3.到对应存在权限放开过大的ACL策略,把开放的端口关闭;


2.3.互访关系状态
全局检视网络中的违规流量,定位风险
违规访问:生产区供应链管理系统
1.通过动态流量分析,发现访问XX系统的违规流量
2.查看ACL日志,可以看到该流量已经被拒绝;
3.与业务部门确认,是否是有正常业务的互访流量,或者可能是源IP的供应商系统已经存在异常,被黑客控制;

22.png
跳转行为日志,查看违规流量行为详情,确认当前ACL策略是否合理
23.png
2.5.应用控制策略异常分析—还没录
通过【策略优化】分析应用控制策略异常,分析结束后左上角可以查看当前策略问题统计情况,下方可以查看异常策略和策略状态。如某条策略分析结果不需要展示也可以加入【忽略列表】
避免了需要复杂的方法来梳理已有策略相互间逻辑存在的问题,从而能够针对性地对这些策略进行进一步的优化;
24.png

可点击颜色块的策略状态查看异常原因以及优化建议
25.png

分析完单条策略异常后可在详情界面进行调整异常策略
26.png

调整结束后直接在左下角可策略本次优化情况
27.png

所有策略修改记录在【策略生命周期管理】都有详细、易懂且无法修改的记录。
28.png
2.6.导出访问控制策略变更记录和访问控制策略
支持在界面直接查询变更具体记录和导出EXCEL格式的变更记录
29.png
完成这次变更后可导出所有策略进行归档备份
30.png

同时也支持直接导入生成策略
31.png


以 上功能介绍,你GET到了吗?让我们静静期待8019版本正式上线!
有想要提前尝鲜的小伙伴们,现在可以去报名了哦,20个名额,先到先得!升级体验完以后,还有奖励哦!

喜欢这篇文章吗?喜欢就给楼主打赏吧!

打赏
4人已打赏

TCN 发表于 2019-12-6 17:19
  
导出EXCEL表?用来归档整理太方便了,终于不用自己做表了,赞一个
阿飞007 发表于 2019-12-7 13:14
  
图片太小,看不太清楚
沧海 发表于 2019-12-7 19:06
  
赞一个 学习一下!!!
主动出击 发表于 2019-12-9 08:27
  
导出EXCEL表这个功能很实用。
新手548437 发表于 2019-12-9 09:02
  
感谢分享。
新手084447 发表于 2019-12-18 05:05
  
我现在使用的是7.1的版本,太慢了,新的版本有很强有力的数据采集模块,对我的用处太大了,报名