做试管打夜针的作用上证信息FireMon安全策略管理平台测试报告-v8

2021年1月20日发(作者：十堰做试管婴儿的医院好)

目录


1

2

3

4

5

测试背景

.
........ .................................................. .................................................. .................................................. ...
2

测试产品

.
.............. .................................................. .................................................. ...............................................
2

测试时间

.
.................. .................................................. .................................................. ...........................................
3

参与人员

.
.................. .................................................. .................................................. ...........................................
3

测试环境准备

.
................ .................................................. .................................................. .....................................
4

5 .1

安装
Firemon Security Manager
服务器端系统
............................ .................................................. ..............
4

5 .2

通讯协议
.................................................. .................................................. .................................................. ...
5

Check Point

.
....... .................................................. .................................................. .................................................. ....................
5

Cisco

. .................................................. .................................................. .................................................. .....................................
5

Juniper Networks
......................... .................................................. .................................................. ............................................
6

5 .3

测试环境相关设备和系统的信息

.
............................................. .................................................. ..................
7

6

测试内容

.
............................ .................................................. .................................................. .................................
7

6 .1

系统管理（
Administration
）

.< br>............................................... .................................................. ........................
7

6.1.1
< br>用户管理
....................................... .................................................. .................................................. ......................
7

6.1.2

集中日志服务器设置

.
....................... .................................................. .................................................. .................
8

6 .2

查看管理系统支持的设备类型

.
................... .................................................. ................................................
9

6 .3

查看被管理设备上的配置信息

.
.............................................. .................................................. ...................
11

6 .4

安全策略注解
................................... .................................................. .................................................. ........
13

6 .5

配置变更报告及配置比对

.
..................... .................................................. .................................................. ..
14

6 .6

冗余策略分析
........ .................................................. .................................................. ...................................
15

6 .7

安全策略利用率报告
.................... .................................................. .................................................. ............
16

6 .8

未用安全策略报告
................................. .................................................. .................................................. ..
17

6 .9

防火墙安全策略流量分析及安全策略收敛

.
.............. .................................................. ...............................
17

6 .10

防火墙安全策略优化
........................ .................................................. .................................................. ...
18

6 .11

安全策略重复对象分析
.. .................................................. .................................................. .....................
19

6 .12

高危服务端口策略
................................. .................................................. ................................................
20

6 .13

安全评估最佳实践
........ .................................................. .................................................. .......................
21

6 .14

自定义合规规则
.................................. .................................................. .................................................. .
22

6 .15

策略组合查询
........ .................................................. .................................................. ...............................
23

6 .16

集成现有系统的
API
开发接口
........... .................................................. ..................................................
25

7

测试总结

.
....... .................................................. .................................................. .................................................. ..
25








1

测试背景

防火墙和路由交换设备是网络中部署最普遍的基础 设备。
在
XX
信息系统内部署了
YY
台
的防火墙及路由交换 设备，对
XX
集团信息系统的连通性和安全性起着非常重要的作用。

防火墙 和路由交换设备的安全访问控制作用是通过在设备上配置的访问控制策略
(ACL)
来实现的， 安全访问控制策略将直接影响到网络设备的安全性、性能、稳定性等。无论这些设
备是哪种品牌，
或者高端低端，
如果设备上的安全访问控制策略配置存在缺陷，
那么防火墙和
路由交 换设备也就存在缺陷或者安全隐患。

但是，由于以往缺少相关管理工具或系统，因此，在防火 墙的安全策略配置、变更时，包
括新增策略、变更策略，或者删除策略时，管理员操作依据较为模糊，缺 少相关的数据分析报
告或者科学依据，从而有时会出现安全访问控制策略配置上的缺陷或者错误，如冗余 的策略、
不必要的策略、
过于复杂的策略，
或者安全策略配置上遗漏了某些重要的安全 策略，
安全策略
配置不符合国际安全规范或者企业自定义的安全规范等。这会给系统安全与稳定 性带来隐患。

本次测试即针对上述需求，
目的是为了测试
XX
集团 防火墙和路由交换设备在访问控制策
略配置正确性检查、安全策略配置审计、策略收敛、变更管理、安全 策略配使用状况实时分析
等方面的功能，包括设备配置变更管理、安全策略使用状况分析、无用安全策略 分析、安全策
略复杂度分析、安全规范审计、策略申请流程管理等，并且体验相关产品在使用时的便捷性 。

2

测试产品

本次测试产品是
FireMon
公司的
Security Manager
策略管理系统。

FireMon
Security Manager
提供对防火墙和路由交换设备安全策略的统一管理，可以管理
不同厂家的防 火墙和路由交换设备的安全策略。
良好的全图形化界面将提升管理员对安全策略
的可视性，这将 大大提高管理员针对网络设备的安全管理效率。这些设备的管理将变得简单、
高效。

FireMon
Security
Manager
可以协助管理员优化防 火墙及路由交换的安全访问控制策略，
了解当前访问控制策略的使用状况，
可以查看哪些策略是 长期以来没有被使用过，
哪些安全策
略的使用率最高，可以查看某条安全策略实际的流量状况， 分析流量是如何穿过这条策略的；
根据这些信息，
管理员就可以对安全策略进行优化，
如清除掉一些不必要的策略，
并且能够准
确了解到当前策略的使用效果等。

测试产品的详细信息如下：

2

产品型号

FireMon Security Manager

软件版本

V8.x

内置

Policy Planner
和

Policy Optimizer
模块


FireMon
产品通讯模型：


3

测试时间

2018
年
2
月

4

参与人员

FireMon
：


序号

1

2










名称



职务



3

5

测试环境准备

需要一台测试服务器，
放置在客户的测试机房。
在这 台测试服务器上安装
FireMon
系统。
另外，在测试网段的
PC
上安装
Firefox
或
Chrome
浏览器，对其进行管理。

FireMon
能够安装在
VM
环境下，将模拟测试现网中主要的防火墙品牌 。


5 .1


安装
Firemon Security Manager
服务器端系统

本次测试
FireMon Security Manager
安装在
VM
虚拟机上，均需要如下的硬件配置。

安装所需硬件平台规格及需要的参数




平台物理要求


内存

硬盘

CPU

Root Level Password

WebUI Password

Domain name

IP Address

Gateway IP

DNS

NTP




16GB
或以上

500GB
或以上

8
核
CPU
（支持
64
位操作系统）

至少
8
位，含有大小写字母、数字和特殊字
符。

默认用户名
/
密码
:firemon/firemon





可先不配置

中国标准
NTP
地址 ：
210.72.145.44
，上海交
大
202.120.2.101

服务器

需要准备的参
数


WebUI





物理规格要求
< br>标准
PC
或笔记本均可，需要装有
Firefox
或
Chro me
浏览器。






安装过程：


1.

修改服务器启动配置，确认服务器可从光驱启动；

2.

将
FireMon
系统安装光盘装入服务器光驱，重启服务器；

3.

根据提示配置服务器参数，包括
root
级用户口令、
domain
name
（任意指定该台服务
的
domain
name
， 可任意配置）
、
IP
地址、网关、
SNMP
、
DNS
、
NTP
服务器地址等；

4.

配置完后，系统会进行安装，安装结束后会自动重启。


4

5 .2

通讯协议

下面是
FireMon 8.x
系统使用到的协议通讯端口号。


Check Point


Check Point

Device

Firewall-1,
CMA, MDS

Account Level for the
Data Collector

Ports

Other
Requirements


Read-write
admin
login
18210 on server

(one-time
use
to
create
OPSEC
application
object
using
CPRA)
on
CMA.
Optional.

Read-only
administrator
on
18184 to connect to a
CMA or MDS.

Check
Point
log
server
using
Log
Export API (LEA).




18190
for
CPMI
communication. Used
to
retrieve
policies
from the management
server.



Cisco


Cisco

Device

Account Level for the
Data Collector

Ports

Other
Requirements

PIX,
ASA,
Account
with
level
15
514 for Syslog

SSH access

FWSM,
IOS,
permissions

CatOS

22/23
for
SSH/Telnet
DC
as
a
syslog

for retrievals.

server
with
“informational”
level.


Keyword
“log”
in
ACE.

Will
need
Enable
password.

Nexus

Network-operator

514 for Syslog

Logging
of
informational
messages from:

acllog,
syslog,
local0

22/23
for
SSH/Telnet
DC
added
as
a
5


for retrievals.


remote
server

Syslog
Keyword
“log”
in
ACE.

SSH access




Juniper Networks


Juniper Networks

Device

NSM,
ScreenOS

Account Level for the
Data Collector

Read-only admin account

Ports

514 for Syslog

Other
Requirements

Enable
Syslog
messages to be sent
to the DC.


22/23
for
SSH/Telnet
Enable
event
logs,
for retrievals.

traffic
logs,
facility
local0.

8443
on
the
NSM’s

server IP (required for
NSM
communication)

SRX

Super-user account


514 for Syslog

Add
the
DC
as
a
Syslog host.

22/23
for
SSH/Telnet
Enable
syslog
messages
with
for retrievals.

“any”
facility
and
“info” level.


Management
address.

VSYS name.

514 for Syslog

Add
the
DC
as
a
Syslog host.

IP
VSYS

Read- only user account


M-
and
MX-
Series

Super-user account


22/23
for
SSH/Telnet
Enable
syslog
for retrievals.

messages
from
“any”
facility
and
“info” severity.


Add keyword “log”
to
each
term
in
firewall
filters.
(Required for usage
analysis.)




6

5 .3

测试环境相关设备和系统的信息

Security Manager
配置


?

IP
地址：
172.16.192.41

?

网关地址：















?

登录方式：
FireMon
或
Chrome
浏览器

?

用户名：
firemon

密码：
firemon


测试目标设备类型及数量


?

Hillstone
防火墙

1
台

?

……


测试环境相关设备和系统的信息如下：



6

测试内容

6 .1

系统管理（
Administration
）

6.1.1
用户管理

测试目的：检验被测系统的用户管理功能。应能够支持本地用户和用户组， 支持远程用户
认证服务器。

测试步骤：

使用浏览器登陆
FireMon
系统
IP
地址，输入默认账号
firemon/firemo n
，

登陆后页面为
Administration
系统管理。

1
、进入
Access->Users->Create User
创建新的管理员用户；

2
、进入
Access->User Groups->Create User Group
创建新的管理员用户组及设置用户权
限 ，或编辑现有用户组及修改用户权限；

3
、进入
Access->Authentication Servers->Create Authentication Server
设置
LDAP
、
Radius
、
Active Directory
认证服务器。

测试预期：
能够创建用户和用户组，能够支持
LDAP
、
Radius
、
Active
Directory
认证服务器。

7

截图：


测试结果：能够支持创建用户，及用户权限控制，支持主流的远程认证服务器协议。

注释：

6.1.2
集中日志服务器设置

测试目的：被测系统应能够支持集中日志服务器转发防火墙日志到该系统。

测试步骤：进入
System->Central Syslog Servers->Create Central Syslog Server
，根
据提示 设置集中日志服务器，用于转发
Syslog
给
FireMon DC
。

测试预期：能够创建集中日志服务器，并能够接收集中日志服务器转发的日志。

8

结果截图：
测试结果：能够支持集中日志服务器，接收该日志服务器转发的日志内容。

注释：



6 .2

查看管理系统支持的设备类型

测试目的

主要测试
Fir eMon
系统支持的网络设备类型，包括防火墙和路由交换设备，
目的是能够满足企业现在和未 来网络设备的发展变化，更好的提高投资回报
率（
ROI
）和降低总体拥有成本（TCO
）。

测试步骤

1
、使用浏览器登陆
WebUI
管理界面；

2
、 进入
Administration
，点击
Device->Devices->Cr eate Device
，新添加
一台设备；

3
、查看设备类型。

测试预期

被测系统应支持业界主流 的国内外防火墙及其他网络设备，比如
Juniper
、
Huawei
、Hillstone
等品牌。

9

截图


测试结果

支持主流的网络及安全设备，比如：思科、
Check poin t
、飞塔、
F5
、华为、
Juniper
、
Palo alto
、山石、天融信等。

注释




10

6 .3

查看被管理设备上的配置信息

测试目的

主要测试
FireMon
系统的
WebUI管理界面内，对被管理设备的配置进行查
看，包括策略或者
ACL
、网络端口、安 全域等。验证该系统是否对不同设备
配置标准化显示。

测试步骤

1
、登陆
FireMon
系统的
WebUI
管理界面；

2
、进入
Security Manager->Policy->Security Rules
，查看策略
GUI
显
示；

3
、进入
Security Manager->Policy->Security Rules
，点中某一设备，进
入
Policy->Policy View
，点击
Raw Files
，选中要显示的原始配置文件显示
其内容。

测试预期

截图

以统一的图形化界面显示各品牌防火墙的策略配置及保留原始配置格式。


统一图形化界面


原始配置文件

11

测试结果

能够将不同的设备的配置用统一的图形化界面显示，并保存原始的配置文< br>件，起到备份原始配置的作用。

注释





12