安徽省某银行

运维挑战

1、由于运行着多个供应商的防火墙,变更过程难以管理

2、现有的安全策略管理方法效率低下,包括使用Excel电子表格,难以维护且容易出错

3、上万条规则需要管理,工作人员没有办法根据配置来确定业务需要哪些规则

4、手动跟踪和删除规则复杂且耗时,并且由于更改会导致冗余、隐藏和放行过大规则,使得网络更容易受到攻击。

客户需求

1、手工检查可合并策略、冗余策略、隐藏策略、空策略、过期策略等策略配置问题工作量大、耗时长、不准确,目前1000多条策略待清理

2、策略变更需求大,人工进行操作耗时耗力;每月有策略变更工单约200条,手工完成1个工单耗时10分钟

3、对安全策略的管理缺乏有效的手段,无法检查全策略配置的正确性

4、难以对全行异构品牌网络防火墙设备的访问控制策略进行管理

解决方案

1、通过策略检查,针对测试和生产环境中的防火墙进行策略优化检查,并输出详细的检查报告,为用户下一步策略清理和优化提供依据

2、基于网络设备配置,依托可视化技术,实现面向业务视角的网络安全域拓扑架构可视,辅助网络故障定位诊断

3、实现异构网络及安全设备访问控制策略的集中管理,包括策略优化清理、策略开通、策略分析等一体化管理

实施效果

隐藏、冗余、过期策略自动生成脚本

清理1000多条策略

可在一小时内完成

减少策略变动时间,提高效率

平均每个工单变更的时间为3分钟

共节约70%的时间

统一管理

全网策略

与工单系统对接实现策略

自动规划下发

广东某银行

运维挑战

1、研发中心所有三层设备,纳管149台设备,防火墙15台,主要是华为和思科厂商,交换路由SDN等网络设备134台,主要是华为和华三厂商。

2、复杂场景:网络规模日益扩大网络、安全设备增多,跨区域、跨机房部署使运维难度上升

3、设备异构:研发中心具有多种系统、设备品牌,无法统一集中管理,使管理缺乏精细化

4、策略控制:目前存在难识别的无效策略,配置极度依赖人工,梳理优化困难

5、运维管理:现有系统缺乏可视化管理,存在隐患难以预防,故障排查困难,违规告警手段缺失的问题

客户需求

1、清理和优化冗余安全策略

2、系统需具备自动、即时更新的网络拓扑

3、人工处理工作量大、响应慢,节省人力

4、等保2.0 对访问控制管理提出更高要求

解决方案

1、实现全网近10万条安全策略统一集中管理,全网地址服务端口any相交包含快速搜索导出

2、研发中心每月可产生3000多条无效策略,使用策略优化自动分析,自动生成清理脚本,解决人工梳理困难,提高安全策略有效性

3、与行内使用的工单系统对接,通过策略开通下发,实现每月1000多条工单策略开通自动化、智能化,网络需求流程工单整体自动化开通率>90%

4、对行内要求高危端口进行定期合规检查生成报表,满足行内合规统计要求

5、使用全网路径查询,对数据不通的情况进行排查,提高问题排查定位速度

实施效果

策略集中管理

单一的管理平台纳管现有的网络设备(H3C、HUAWEI、Cisco asa)

安全域访问基线检查

加强审计监管的灵活性

报表功能

降低运维团队的工作强度

提升工作效率

策略自动规划

根据全网路径计算哪些设备要放通策略,拒绝单点故障

版权所有2024 苏州至赛信息科技有限公司 苏ICP备19006981号