防火墙管理已经成为了每一个企业进行业务运作和客户、合作伙伴交流的必不可少的网络设备管理，因此，企业网络环境中，防火墙使用环境的稳定性、可靠性、安全性也成为了企业IT部门管理和维护的重要方面。在我们同很多企业相关管理人员的多次面谈、实地考察，我们归纳了大型企业目前互联网使用环境的特点：

现有以某个大型企业为例，防火墙管理环境和应用情况描述：

l  该大型企业目前有多个分支机构和一个总部，采用内外网隔离的架构，同时分别在内外网部署了为数众多的防火墙。

l  内部网络不同安全域隔离的防火墙以Check Point防火墙为主，通过位于本部的集中管理服务器进行统一管理。

l  外网访问Internet的安全防护以Juniper防火墙为主，但数量很少，通过Web方式分别单独管理。

 

需求分析

随着现在网络技术的飞速发展，大多数企业通常在成功建设了防火墙/VPN、路由器等传统网络安全产品，相应的安全管理优化显得日益突出，比较明显的防火墙/VPN管理的需求如下：

n  设备策略多而效率低下

现在设备上安全规则随着业务的不断扩充而迅速增长，累积的安全规则越来越多，甚至有些业务已经下线而没有通知安全设备管理部门，这些无效的安全规则仍然存在；

在测试阶段会发生安全策略全开的情况，而在后期没有及时修正，导致安全设备形同虚设等一系列不知问题。

另外，安全设备的规则在添加、设置的时候，不同的业务可能采用的安全规则类似，但没有很好的优化，导致安全规则重复、冗余。

安全设备的性能和安全规则数量存在直接关系，设备存在大量冗余、无效的安全规则会导致设备的性能大幅下降，从而影响业务系统的正常使用。

n  设备策略变更无从得知

业务的变更需要对公司安全设备的安全策略进行调整，并要求相应的人员去进行后期的审核，但都是管理制度上规定，没有从技术层面得以实施。

管理员什么时候修改的规则，修改后的效果如何无从得知，需要有相应的技术手段来进行辅助管理制度的落实。

n  设备故障排查无从下手

偶有安全设备的发生故障，一方面要保证业务系统的正常运行，同时也要对安全设备进行及时的故障排除，目前相对缺乏有效的手段来对设备的故障进行及时的排除。

n  不同厂商设备替换困难

目前公司内部有不同厂商的安全设备，通常会延续同一厂商的设备，但，也会存在用不同的厂商设备来做更替的情况，由于不同厂商的配置方式不同，在进行不同厂商的设备更换的时候，存在诸多障碍，给设备更换造成很大的麻烦。

n  设备运行情况审计

公司在安全管理上面的制度和规定，目前来说还没有严格的技术手段来落实到实处。

通过在公司内网部署AlgoSec防火墙管理优化系统，以上安全设备存在的问题得以解决。从而实现对公司安全系统进行管理优化，提升安全设备性能，延长设备的使用周期，投资保护。

AlgoSec防火墙管理优化产品厂商作为防火墙优化和安全风险管理解决方案市场的领导者，提供对防火墙/VPN和路由器自动化，对防火墙进行审计和分析过程中毫无影响。帮助安全管理员提升对防火墙/VPN进行有效配置管理，变更跟踪管理，提升设备性能，延长设备的使用生命周期，为企业节省在防火墙/VPN等设备上的投资，实现已投资设备的投资保护。

除此之外，厂商作为防火墙优化和安全风险管理解决方案的领导者，除了在对安全设备进行优化管理之外，还提供安全策略变更流程化管理，以及和安全管理国际标准相关的合规审计等功能，在今后对安全设备的管理、风险管理及安全合规审计上对公司的发展大有裨益。

 

工作原理

AlgoSec防火墙管理优化系统通过标准的通信协议或者主流防火墙/VPN厂商的专有协议读取安全设备的安全规则，日志以及路由表，通过本身段引擎对安全规则进行分析，对安全事件进行关联，分析，最终形成报表，以图形和表格的方式展示给管理员，管理员可以根据报告对防火墙/VPN设备进行相应的管理和优化。

1. 通过与防火墙/VPN设备实时通信，实现对安全设备的变更做到实时监控；
2. 数据收集，对防火墙/VPN设备的安全过滤规则，日志和路由表进行在线或离线方式收集；
3. 分析

• 对收集的数据进行离线分析
• 分析流经安全设备的网络流量

4. 最终根据分析及过形成报表

专家知识库

把实际环境的安全规则和内嵌的业界最佳实践相比对，给出管理优化的合理建议，帮助用户提升安全设备的性能，延长设备使用寿命周期。 系统部署方式：

根据XX公司目前的网络环境，我们建议采用下面的拓扑部署AlgoSec防火墙管理优化系统：

部署原理图

部署说明：

l  我们将在已有的专用的高性能服务器来分布式增加安装防火墙管理优化解决方案。

l  AlgoSec防火墙管理优化系统将结合公司内部网络的分支机构的防火墙部署。