防火墙策略集中管理平台总体架构

防火墙策略集中管理平台总体架构包含四大部分，即：策略配置管理、策略优化清理、基线与风险管理、变更流程管理。

策略配置管理模块是平台的基础，需要实现不同品牌、不同种类的网络访问控制设备配置的采集，对策略相关数据进行提取，为上层计算模块提供标准化数据，并且可以反向将配置脚本下发至设备。策略配置管理模块可以通过SSH、Telnet、https等方式登录到设备上进行配置采集，也可以通过API接口从设备上或CMDB中获取配置。之后，需要解析策略ID、源地址对象、目的地址对象、服务、动作、生效时间、老化时间等策略相关数据，并基于标准化的格式进行输出，使得采用不同语法的策略配置数据实现统一的、标准化的展示。策略配置管理模块需要支持不同品牌防火墙策略配置脚本模版的预置与自定义，以实现防火墙策略配置脚本自动生成与下发。为了实现安全拓扑的自动生成，策略配置管理模块还需要实现接口、IP、路由、 NAT等数据的解析。

策略优化清理模块主要的作用是实现垃圾策略与风险策略的检查，通过定期对存量策略规则的清理优化，实现策略规则最小化与精细化的平衡。在策略优化清理模块中，需要对标准化的策略数据进行计算，检查策略规则之间的相互关系，从而发现隐藏策略、冗余策略与可合并策略，并且通过某些字段的分析发现空策略、含ANY策略、过期策略，实现垃圾策略与风险策略的检查，并提供处置建议，优化策略规则。对于一些较为深层的问题策略，不能通过策略配置的分析实现，需要将策略配置数据与会话日志数据进行比对，在一段时间周期内统计策略配置中源地址、目的地址、服务三个对象的命中率与命中细节，实现宽松策略与长期不命中策略的分析。

基线与风险管理模块包含三个子模块，即安全域与安全拓扑管理、访问控制基线管理与网络暴露风险管理。安全域与安全拓扑管理子模块需实现全局访问控制策略关联分析建模，自动生成安全拓扑，安全拓扑与传统基于SNMP的物理拓扑不同，基于SNMP的网络拓扑主要描述设备的物理状态与物理连接关系，而安全拓扑描述的是网络对象间的逻辑连接关系与访问控制关系；访问控制基线管理子模块能够根据安全域间访问控制规则设置区域之间的访问控制基线，访问控制基线信息至少包括源域、源地址、目的域、目的地址、协议、端口、动作等信息，支持黑白名单、高危端口、病毒端口的自定义，支持定期依据访问控制基线对网络访问控制策略进行检查，发现违规策略；网络暴露风险管理子模块能够以某一主机或主机组为对象，自动化实现网络暴露路径与暴露风险的分析，从网络访问关系与安全路径的角度描述其对外的暴露情况，可以帮助用户及时了解某些重要主机与主机组网络暴露面的大小、风险的高低，辅助用户进行暴露面收敛与暴露路径的安全加固。

变更流程管理模块需要实现策略变更业务的全流程闭环管理，包括策略变更工单管理、路径仿真计算、路径合规与风险分析、策略开通与验证。变更工单管理子模块的作用是接受业务部门的策略变更申请，并对工单执行进展进行监控，对执行结果实行记录与审计。路径仿真计算子模块的作用是基于策略变更工单的需求对变更路径进行计算与查询，自动找出需要开通的路径与需要进行策略配置变更的目标设备。路径合规与风险分析子模块的作用主要有两方面：一是分析新增策略规则与现有策略规则是否存在冲突关系，避免出现冗余与隐藏规则；二是分析新增策略规则是否符合域间安全基线与风险策略规则。策略开通与验证子模块的作用主要有两方面：一方面是依据路径仿真的计算结果，对不同目标设备的策略变更配置脚本进行生成；二是将生成的配置脚本进行下发，下发完成后，依据策略变更工单的路径开通要求，进行源到目的路径查询，以确认策略变更是否正确完成