返回頂部
隱藏或顯示

新聞動態

News

深信服,讓IT更簡單、更安全、更有價值

怎樣用2秒發現上千條ACL規則中的錯誤?

/ 2016-10-11
在安全領域,安全運維人員往往會花費大量的時間精力在ACL規則的檢查中,因為對于中等規模的數據中心他們往往要檢查少則幾百條多則上千條的ACL控制策略,以便判斷其是否有邏輯錯誤。

ACL是什么?

ACL 即訪問控制列表。信息點間通信和內外網絡的通信都是企業網絡中必不可少的業務需求,為了保證內網的安全性,需要通過安全策略來保障非授權用戶只能訪問特定的網絡資源,從而達到對訪問進行控制的目的。簡而言之,ACL可以過濾網絡中的流量,是控制訪問的一種網絡技術手段。

比如,你可以允許主機A訪問人力資源系統,而禁止主機B訪問;還可以允許工作人員只在午休等非工作時間訪問某些特定服務。


令人頭疼的邏輯策略管理

過去,安全運維人員由于管理的應用策略眾多,同時又沒有簡單易用的管理工具,所以往往只能通過人工的、經驗式的方式進行策略添加、策略檢查和單一的策略查找。耗時費力不說,還總是會出現以下的問題:

策略難控—對于繁多的控制規則,很多時候可能有所忽略,導致前后添加的策略在邏輯上是沖突的,從而使部分策略失效或者沒有更好地對安全策略進行把控。

任務繁重——為了更好地維護控制規則,需要定期人工檢查,工作量巨大不說還無法有效保證準確率。

排查糾錯——針對新增的場景,想要知道到底有哪些策略是會對其產生影響的話,就需要一條條的查看,工作量之大令人心力交瘁。

辨識困難——某些策略是單獨針對特定的安全設備,過去只能修改名稱加一個前綴用以區分,比如AF_XXXX這種方式。但這種方式在規則數目很多的情況下并沒有起到實際分組的作用。

查找不便——如果要利用搜索功能查找一條信息,只能通過其名稱來查找,但是名稱復雜往往不易記憶,所以會導致無法精確查找或者查找出的模糊匹配條目太多,極大降低了工作效率。


2秒內核查上千條ACL規則是個夢?

一般來說遇到這些問題,運維人員首先會將ACL策略進行分類,在某一個類別里面看是否存在匹配次數為0的情況,如果有就需要重點關注。因為很可能是這條策略已經失效才導致不匹配,之后就需要憑借管理員的技能和經驗加以判斷了。

但是,這種傳統的方法存在BUG。首先匹配次數會在機器重啟后自動清零,意味著這個判斷方式并不完全準確。其次,即便匹配次數不為0,也不代表沒有問題。因此,僅靠個人的技能和經驗加以篩選,效率和準確度并不理想。


那如果想在2秒內準確查找到上千條ACL規則中的錯誤,對于傳統方法來說簡直就是天方夜譚,但是深信服安全產品可以做到。
在使用深信服安全產品時,可以對ACL邏輯進行配置,利用ACL邏輯錯誤自檢功能自動化、高效地對ACL邏輯進行核對,有效規避各類錯誤,提高工作效率。
豐富的常用功能:ACL邏輯管理中一般都有新增、刪除、啟用、禁用、導入和導出以及刷新功能。這些常用的功能方便相關人員進行策略的增刪和使用管理。

新增的策略管理輔助模塊:此外,可以通過失效策略檢查、啟用定期檢查、模擬策略匹配和分組管理功能解決策略難控、任務繁重、排查糾錯和辨識困難的問題。



強大的策略查找功能與策略調級矛盾自檢對于查找不便的情況,也可以通過搜索功能進行精確定位,這種搜索功能比傳統方式強大許多,精確到什么程度呢?比如搜索“全部”,可以看到在詳細信息中,所有包含“全部”字樣的條目都會展現出來,而不僅僅局限于名稱部分。此外,一般還可通過上移和下移的功能,方便安全運維人員對某些策略的升優先級和降優先級操作。而一旦操作后導致策略上產生矛盾,管理界面將會提示。



對于安全產品而言,如果ACL邏輯是混亂的,不僅會給運維人員帶來繁重的工作量還可能誘發無法預知的安全事件。因此,深信服希望可以通過工具化的手段、自動化的方式將ACL邏輯的問題所在予以呈現,讓IT更簡單、更安全、更有價值。

©2000-2018    深信服科技股份有限公司    版權所有     粵ICP備08126214號-5

粵公網安備

粵公網安備44030502002384號

一本道在线综合久久88