FireMon安全策略管理平台测试文档v8.docx
- 文档编号:29447303
- 上传时间:2023-07-23
- 格式:DOCX
- 页数:24
- 大小:1.72MB
FireMon安全策略管理平台测试文档v8.docx
《FireMon安全策略管理平台测试文档v8.docx》由会员分享,可在线阅读,更多相关《FireMon安全策略管理平台测试文档v8.docx(24页珍藏版)》请在冰豆网上搜索。
FireMon安全策略管理平台测试文档v8
1测试背景
防火墙和路由交换设备是网络中部署最普遍的基础设备。
在XX信息系统内部署了YY台的防火墙及路由交换设备,对XX集团信息系统的连通性和安全性起着非常重要的作用。
防火墙和路由交换设备的安全访问控制作用是通过在设备上配置的访问控制策略(ACL)来实现的,安全访问控制策略将直接影响到网络设备的安全性、性能、稳定性等。
无论这些设备是哪种品牌,或者高端低端,如果设备上的安全访问控制策略配置存在缺陷,那么防火墙和路由交换设备也就存在缺陷或者安全隐患。
但是,由于以往缺少相关管理工具或系统,因此,在防火墙的安全策略配置、变更时,包括新增策略、变更策略,或者删除策略时,管理员操作依据较为模糊,缺少相关的数据分析报告或者科学依据,从而有时会出现安全访问控制策略配置上的缺陷或者错误,如冗余的策略、不必要的策略、过于复杂的策略,或者安全策略配置上遗漏了某些重要的安全策略,安全策略配置不符合国际安全规范或者企业自定义的安全规范等。
这会给系统安全与稳定性带来隐患。
本次测试即针对上述需求,目的是为了测试XX集团防火墙和路由交换设备在访问控制策略配置正确性检查、安全策略配置审计、策略收敛、变更管理、安全策略配使用状况实时分析等方面的功能,包括设备配置变更管理、安全策略使用状况分析、无用安全策略分析、安全策略复杂度分析、安全规范审计、策略申请流程管理等,并且体验相关产品在使用时的便捷性。
2测试产品
本次测试产品是FireMon公司的SecurityManager策略管理系统。
FireMonSecurityManager提供对防火墙和路由交换设备安全策略的统一管理,可以管理不同厂家的防火墙和路由交换设备的安全策略。
良好的全图形化界面将提升管理员对安全策略的可视性,这将大大提高管理员针对网络设备的安全管理效率。
这些设备的管理将变得简单、高效。
实现配置变更实时监控、策略清理及优化和策略合规检查自动化。
FireMonSecurityManager可以协助管理员优化防火墙及路由交换的安全访问控制策略,了解当前访问控制策略的使用状况,可以查看哪些策略是长期以来没有被使用过,哪些安全策略的使用率最高,可以查看某条安全策略实际的流量状况,分析流量是如何穿过这条策略的;根据这些信息,管理员就可以对安全策略进行优化,如清除掉一些不必要的策略,并且能够准确了解到当前策略的使用效果等。
测试产品的详细信息如下:
产品型号
软件版本
FireMonSecurityManager
v8.x
内置PolicyPlanner和PolicyOptimizer模块
FireMon产品通讯模型:
1
2
3测试时间
2018年5月
4参与人员
FireMon和合作伙伴:
序号
名称
职务
1
2
5测试环境准备
需要一台测试服务器,放置在客户的测试机房。
在这台测试服务器上安装FireMon系统。
另外,在测试网段的PC上安装Firefox或Chrome浏览器,对其进行管理。
FireMon能够安装在VM环境下,将模拟测试现网中主要的防火墙品牌。
5.1硬件资源要求及安装FireMon系统
本次测试FireMonSecurityManager安装在物理服务器或VM虚拟机上,均需要如下的硬件配置。
安装所需硬件平台规格及需要的参数
服务器
平台物理要求
内存
24GB或以上
硬盘
300GB或以上
CPU
8核CPU(支持64位操作系统)
需要准备的参数
OS密码
至少8位,含有大小写字母、数字和特殊字符。
WebUI密码
默认用户名/密码:
firemon/firemon
域名
IP地址及掩码
网关IP地址
DNS
NTP
阿里巴巴NTP地址:
;苹果公司NTP地址:
WebUI
物理规格要求
标准PC或笔记本均可,推荐使用Firefox或Chrome浏览器。
安装过程:
1.修改服务器启动配置,确认服务器可从光驱启动;
2.将FireMon系统安装光盘装入服务器光驱,重启服务器;
3.根据提示配置服务器参数,包括系统管理用户口令、DomainName、IP地址、网关、SNMP、DNS、NTP服务器地址等;
4.配置完后,系统会进行安装,安装结束后会自动重启。
5.2测试环境信息
测试环境相关设备和系统信息如下:
SecurityManager配置
●IP地址:
●网关地址:
●登录方式:
FireMon或Chrome浏览器
●用户名:
firemon密码:
firemon
测试目标设备类型及数量
●JuniperScreenOS防火墙台
●JuniperSRX防火墙台
●Huawei防火墙台
●Hillstone防火墙台
●……
6测试内容
6.1设备配置规范化
6.1.1查看管理系统支持的设备类型
测试目的
主要测试FireMon系统支持的网络设备类型,包括防火墙和路由交换设备,目的是能够满足企业现在和未来网络设备的发展变化,更好的提高投资回报率(ROI)和降低总体拥有成本(TCO)。
测试步骤
1、使用浏览器登陆WebUI管理界面;
2、进入Administration,点击Device->Devices->CreateDevice,新添加一台设备;
3、查看设备类型。
测试预期
被测系统应支持业界主流的国内外防火墙及其他网络设备,比如Juniper、Huawei、Hillstone、Cisco路由交换等品牌。
截图
测试结果
支持主流的网络及安全设备,比如:
思科、Checkpoint、飞塔、F5、华为、华三、Juniper、Paloalto、山石、天融信等。
注释
6.1.2自动化生成拓扑图
测试目的
主要测试FireMon系统直观显示网络设备的相对拓扑示意图,验证系统是否方便管理员查看每个设备的拓扑信息及访问路径。
测试步骤
1、登陆FireMon系统的WebUI管理界面;
2、进入SecurityManager,点击Map查看生成的拓扑图状态;
3、点击左侧三角号,展出AccessPathAnalysis;
4、输入访问路径来源、目标IP地址、协议/端口和起始网段,查看访问路径分析。
测试预期
被测系统应能够根据获取的配置信息自动生成拓扑示意图,具备路径跟踪查询功能。
截图
测试结果
能够自动生成设备拓扑,并能够根据拓扑图进行访问路径分析。
注释
6.1.3规范化显示策略规则
测试目的
主要测试FireMon系统的WebUI管理界面内,对被管理设备的配置进行查看,包括策略或者ACL、网络端口、安全域等。
验证该系统是否对不同设备配置标准化显示。
测试步骤
1、登陆FireMon系统的WebUI管理界面;
2、进入SecurityManager->Policy->SecurityRules,查看策略GUI显示;
3、进入SecurityManager->Policy->SecurityRules,点中某一设备,进入Policy->PolicyView,点击RawFiles,选中要显示的原始配置文件显示其内容。
测试预期
以统一的图形化界面显示各品牌防火墙的策略配置及保留原始配置格式。
截图
统一图形化界面
原始配置文件
测试结果
能够将不同的设备的配置用统一的图形化界面显示,并保存原始的配置文件,起到备份原始配置的作用。
注释
6.1.4策略组合查询
测试目的
测试FireMon提供的SIQL工具。
管理员可在策略界面中,根据自己的需求,定义各种条件,SIQL可根据管理员所指定的条件,查询出结果。
在条件中,可指定设备、地址范围、地址类型、用户名、包含关键字、服务端口范围等等,并可自由进行组合查询。
非常贴近管理员实际管理查询的需求。
测试步骤
1、在FiremonWebUI界面内选择“SecurityManager”;
2、进入Policy->SecurityRules或其他Objects,点击右上的ShowQuery;
3、输入查询条件:
rule{Service.port>=22ANDService.port<=1024)}
查询测试环境中加入的防火墙上大于等于端口是22小于,小于等于端口1024的策略。
测试预期
可根据管理员定义的条件,查询出相应的策略。
截图
测试结果
能够根据组合查询条件,查询出需要的策略。
可通过AddFilter或表格形式添加查询条件。
并可将查询结果导出为CSV格式文件。
注释
6.1.5安全策略注解
测试目的
测试SecurityManager为被管理设备上的安全策略或者ACL增加注解。
注解信息可包含策略管理人、过期时间、策略配置目的、申请部门等。
注解可以为中文。
测试步骤
1、在SecurityManager的WebUI管理界面内;
2、进入SecurityManager->Policy->SecurityRules;
3、点击第一列RULE的编号或名称,查看某条策略,在页面下方右侧点击Edit打开注解的操作界面。
测试预期
可以给策略增加注解
截图
测试结果
能够对策略属性进行注解,并且支持中文,还能够对注解信息查询。
注释
6.2变更管理
6.2.1配置变更比对
测试目的
测试FireMon产品根据配置变更的情况,能够对配置文件变化的内容比对,清晰标识变更类型。
测试步骤
1、在某防火墙上修改一项策略或对象配置;
2、在SecurityManager上找到这台设备,点击Policy->PolicyView;
3、点击切换ViewChanges为On,选择CompareTo的Advanced,设置对比的版次,将显示配置对比。
测试预期
系统能够比对选中的两次变更的内容。
截图
测试结果
当策略发生变更时,能够实时分析变更内容,并用不同颜色标识增删改的变更动作。
注释
6.2.2配置变更报告
测试目标
测试FireMon产品可查看被管理防火墙设备的配置变更记录。
管理员可选择时间段,然后FireMon产品可给出该时间段内指定防火墙设备的配置变更记录。
报告包括何时、何地、何人、做了如何的配置变更,可追溯数月甚至数年前的配置。
在配置变更报告中,管理员可以比对不同时间点配置的不同,可显示出当前配置的变更过程等,并使用不同颜色进行标记。
测试步骤
1、进入SecurityManager->Reports->ChangeReport,根据提示设置,生成变更报告;
2、可实时查看,或在SecurityManager->Reports->MyReports中查看
测试预期
生成配置变更报告
截图
测试结果
能够生成变更报告,并且与上次的配置进行比对,找出变更的策略内容,绿色加号代表新增加,红色减号代表删除。
注释
6.3策略梳理及优化
6.3.1冗余策略分析
测试目的
测试SecurityManager对防火墙上策略进行分析功能,查看是否存在冗余策略(即某条策略被另外一条或者一些策略覆盖)。
给出的报告名为RemovableRulesReport,其中包含了对这安全策略的分析,以及建议的操作。
管理员可以根据这份报告,发现哪些策略是多余的,并且可以考虑进一步的管理动作。
测试步骤
1、在SecurityManager的WebUI管理界面内;
2、点击顶部右侧,选择‘Reports’,接着选择“RemovableRulesReport”;
3、根据提示选择选项,然后SecurityManager系统将产生针对目标管理设备的冗余策略分析报告。
测试预期
生成冗余策略分析报告
截图
测试结果
能够生成冗余策略报告,分析覆盖、遮盖、对象冗余等各种情况。
注释
6.3.2策略利用率分析
测试项功能描述与测试目标
测试SecurityManager可以实时分析当前时刻某防火墙上安全策略的使用状况(ruleusage),给出每条安全规则的利用率。
并产生相关的分析报告,其中包括安全策略使用率的排名,饼状图显示,以及近期未被使用的安全策略。
管理员可以根据这份报告,调整防火墙上安全策略的顺序,以使得防火墙的策略配置次序最优。
测试步骤
1、在SecurityManager的WebUI管理界面内;
2、点击顶部右侧,选择‘Reports’,接着选择“RuleUsageReport”;
3、根据提示将输入各种选项,系统将产生安全策略利用率报告。
测试预期
生成安全策略利用率报告
截图
测试结果
能够根据设置的时间条件,生成该时间范围的策略利用率报告,并统计该策略的命中数。
注释
6.3.3宽泛策略分析及收敛
测试目的
测试SecurityManager的“TrafficFlowAnalysis”的功能,能够对任意指定的防火墙安全策略,分析该条策略下的流量状况,包括服务类型、源及目的地址等。
管理员可以根据这个统计分析报告,更加精细化“any”类型的安全规则,或者查看该条策略下的数据流量状况。
测试步骤
1、进入SecurityManager的WebUI管理界面;
2、点击顶部右侧菜单“Tools->TrafficFlowAnalysis->”,进入Profiles点击CreateNewFlowProfile设置;
一段(收到命中日志后至少10分钟)时间后,在SecurityManager的WebUI管理界面内查看。
3、点击顶部右侧,选择‘Reports’,接着选择“TrafficFlowReport”;
4、根据提示,设置相关信息。
根据提示生成报告。
测试预期
生成流量分析统计报告
截图
测试结果
能够对宽泛的策略做流量流分析,并细化到没有策略对象的命中情况。
注释
6.3.4可合并策略分析
测试目的
测试SecurityManager的策略优化功能,能够分析该设备可合并的策略。
管理员可以根据这个策略合并分析报告,优化策略数量。
测试步骤
1、进入SecurityManager的WebUI管理界面;
2、点击顶部右侧菜单“Report->ReportLibrary”,进入“RuleConsolidationReport”;
按照提示设置有关参数,生成报告。
测试预期
生成策略合并分析报告
截图
测试结果
能够对可合并的策略进行分析,并高亮显示合并的对象。
注释
6.3.5重复对象分析
测试目的
测试SecurityManager的策略重复对象分析功能,能够分析该设备策略哪些对象是重复的,包括网络对象和服务对象。
管理员可以根据这个分析报告清理重复的策略对象。
测试步骤
1、进入SecurityManager的WebUI管理界面;
2、点击顶部右侧菜单“Report->ReportLibrary”,进入“DuplicateObjectsReport”;
按照提示设置有关参数,生成报告。
测试预期
生成策略优化分析报告
截图
测试结果
能够对重复策略对象进行分析。
并且能够分析哪个对象被策略规则调用。
注释
6.3.6策略顺序优化
测试目的
测试SecurityManager的策略优化功能,能够分析该设备策略命中率比较高,而位置位于所有策略一半以下的安全策略。
管理员可以根据这个策略优化分析报告,调整策略顺序,使策略命中更加快速,提高策略匹配效率。
测试步骤
1、进入SecurityManager的WebUI管理界面;
2、点击顶部右侧菜单“Report->ReportLibrary”,进入“HighlyUsedRulesLowintheruleBaseReport”;
按照提示设置有关参数,生成报告。
测试预期
生成策略优化分析报告
截图
测试结果
能够对策略列表中位置一半以下而命中率较高的策略进行分析。
注释
6.4策略合规遵从
6.4.1高危服务端口策略
测试目的
测试FireMon产品可根据管理员输入的高危端口信息,一键查询所有设备含有该高危端口的策略。
测试步骤
1、在WebUI内选择SecurityManager;
2、点击Policy->SecurityRules,在AddFilter中输入高危端口信息,回车运行。
测试预期
显示符合条件的高危端口策略
截图
测试结果
能够检查到高危端口策略,并可以导出为CSV格式文件。
注释
6.4.2安全评估最佳实践
测试目的
测试SecurityManager根据预定义的安全评估规则,对防火墙或路由交换机的策略做标准的安全评估。
测试步骤
1、在SecurityManager的GUI界面内,选择‘compliance’;
2、点击顶部右侧,选择‘Reports’,接着选择“ComplianceandAssessmentReport”;
3、根据提示可选择需要评估的设备或设备组。
测试预期
根据预定义的安全规范,生成最佳实践安全评估报告
截图
测试结果
能够根据最佳实践合规规则,生成最佳实践合规安全评估报告。
注释
6.4.3自定义合规规则
测试目的
测试SecurityManager也可根据企业自身定义的安全规范进行审计。
SecurityManager提供了相关的工具及模板,能够让管理员方便灵活的定义自身的安全规范,并据此安全规范对全系统内的防火墙进行审计。
测试步骤
1、在Administration的WebUI界面内;
2、点击“Compliance->Controls”,点击“CreateControl”;
3、根据提示输入相关信息,这样SecurityManager就可以生成一个企业自定义的安全规范条件。
可重复上述过程,定义多种企业自定义安全规范条件。
4、定义结束后,点击‘Assessment’中的‘CreateAssessment’;
5、根据提示可选择上面生成的的企业自定义安全规范条件。
可选择多个安全规范条件进行组合,包括企业自定义的或者系统自带的,形成一个安全规范后,SecurityManager可根据此规范对选择的设备进行审计。
测试预期
根据自定义的安全规范,生成策略中使用了Any对象(含源地址、目标地址、协议)的防火墙策略审计报告
截图
测试结果
能够自定义安全合规规则,并根据该规则检查设备策略的合规遵从情况。
注释
6.5策略变更流程及推送
测试目的
测试FireMon产品策略变更流程中,每个流程节点的功能,以及对已支持的设备策略配置自动推送功能。
测试步骤
1、进入PolicyPlanner->Createticket;
2、按照每个流程节点操作;
3、在Implement节点完成后,在目标防火墙或集中管理器上查看策略推送情况;(提示:
目标设备须给FireMon账号具有写的权限)
4、如果不具备策略自动推送的测试条件,可仅测试变更流程功能。
测试预期
FireMon系统应具备策略流程的每个环节,并能够支持策略建议和安全评估,对支持自动推送策略的设备下发策略。
截图
测试结果
具有完整的变更流程,支持推送策略到目标设备。
注释
6.6与第三方系统对接接口
测试目的
测试FireMon产品能否提供二次开发的API接口,便于以后与内部管理系统集成。
测试API开发接口的类型和说明信息是否详尽。
测试步骤
1、在WebUI中选择Administration;
2、点击右侧下方Resources或右上角“?
”->APIReference;
3、查看API开发接口文档;
测试预期
FireMon系统应提供与用户管理系统的API开发接口,并且提供多种方式的数据交互方式。
截图
测试结果
能够通过RESTAPI与第三方系统集成,或二次开发。
具有丰富的API接口,将所分析的数据输出给调用此API的软件。
注释
7测试总结
FireMon具有以上所有测试出来的策略管理功能,满足用户对这类产品的功能需求。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- FireMon 安全策略 管理 平台 测试 文档 v8