指标项 主要技术参数及功能要求 *支持思科ASA防火墙,7.X,8.X及以上版本;思科IOS网络设备,11.0及以上版本;Check Point防火墙,R60及以上版本;Juniper防火墙,Screen OS 5.0及以上版本Juniper防火墙,JUNOS9.6 R1.13及以上版本飞塔FortiGate防火墙,FortiOS 4.0及以上版本,山石HillStone防火墙,StoneOS4.0及以上版本,华为防火墙Eudemon,VRP 3.3及VRP 5.3,天融信NWFW4000系列,TOS 3.3;东软防火墙 可根据客户实际情况提供支持; *系统可管理网络设备数量 > 50台 兼容性 系统基本性能要求 *系统可管理策略总数 > 10万条 *系统可存储防火墙数据量(包括LOG信息、配置变更信息等) > 2年 系统平台要求 License管理 界面友好性要求 系统具备独立的硬件平台,无需底层服务器及操作系统的支持 支持分布式部署 *系统内的防火墙管理许可证应与被管理防火墙的品牌及型号无关,管理员可在系统内操作,移除某厂家防火墙,并用此许可证加入另一个厂家的防火墙 *实现图形化显示被管理设备配置,包括策略或者ACL、网络端口、NAT映射关系、安全域等。界面直观友好,管理员也可选择以原始命令行方式查看配置 实现在管理平台上为访问控制策略添加或导入注解,以满足对于策略周期的管理需求。注解信息可包含策略管理人、变更号、创建或过期时间、策略配置目的、申请部门、策略所属系统等。 可根据上述注解信息,任意组合条件对策略进行查询。 访问控制策略注解辅助功能 冗余策略冗余策略分析,实现访问控制策略分析,查看是否存在冗余策略。包含了对分析功能 这访问控制策略的分析,以及建议的操作, 冗余策略检查支持反向掩码 可以分析网络中的一点到另一点,某个特定的服务是否可达。实现访问路径分析功能,任选网络中的源地址、目的地址以及服务,能够告知这个服务是访问路径否可达,并且能够给出详细的访问路径,以及该路径上所通过的每台网络安分析 全设备具体是命中了那一条策略,可以非常清晰的了解到网络路径以及访问控制策略的具体工作状况 策略变更通知,发现被管理设备的某些事件后,可发送通知到指定的人员(通过email)或者直接发送syslog到log服务器。事件可以包括:防火墙、策略变更路由交换设备策略配置变更、预定的审计结果、预定的策略测试报告结果等 管理 策略变更报告及策略比对,可查看被管理设备的配置、访问控制策略变更记录。报告包括何时、何地、何人、做了具体的配置变更,可追溯数月甚至数年前的配置 ,访问控制可以实时分析当前时刻某设备上访问控制策略的使用状况(rule usage)策略利用给出每条安全规则的利用率。可以给出特定时间段内、特定命中率范围、或率分析 特定命中次数范围的安全策略使用率信息 访问控制能够对任意指定设备的访问控制策略,分析该条策略下的流量状况,包括服策略流量务类型、源及目的地址等 分析及策略收敛 安全域合可将网络中安全域之间的互访规范,定义在系统中,并根据定义的这些规范规性审计 对防火墙上安全策略进行合规性审计。(请提供具体的合规性审计模板) 配置访问可根据管理员输入的相关信息,产生一份访问控制策略配置建议报告,并可可给出策略的建议,如新增一条策略,控制策略以按照配置策略建议对设备进行配置。建议功能 还是修改某条策略,还是完全不需要修改策略 可根据指定条件,查询出防火墙安全策略配置中的“宽松”策略。如查找出允许了超过一定数目的目的IP地址或服务端口的策略。 策略查询 支持安全策略查询语言,用户可以利用该语言自定义各种条件,对防火墙策略进行查询,上述条件须可包括:IP地址范围、IP地址类型、允许的服务(service)、策略的利用率、注解中包含的关键字段等,并且各种条件可通过’AND’和’OR’灵活组合 访问控制策略、被管理设备配置支持CSV格式导出 策略与设备配置导出 Web Service API 提供Web Service API,用于第三方集成、信息查询和二次开发需求 管理平台应满足分岗管理需求,不同防火墙、路由交换设备可以授权不同的岗位角色进行管理 系统管理支持多用户方式,允许多人同时进行访问控制策略管理操作或在线编辑操作 功能要求 管理平台配置文件支持本地及远程备份 对于平台的操作权限需能够细分,能够按功能需求分配操作权限 管理平台需能记录自身操作的日志,以满足审计的需求
防火墙安全策略管理技术需求(表格版)
