试管可以吃哪些水果FireMon安全策略管理平台测试文档-v8

2021年2月1日发(作者：第三代试管男性如何取精)
目录

1

2

3

4

5

测试背景

.
.................. .................................................. .................................................. ....................................... 2

测试产品

.
............................ .................................................. .................................................. ............................. 2

测试时间
< br>.
.......................................... .................................................. .................................................. ............... 3

参与人员

.
...... .................................................. .................................................. .................................................. . 4

测试环境准备
........................... .................................................. .................................................. ....................... 4

5.1

5.2

6

硬件资源要求及安装
F
IRE
M
ON
系统

.
............................................ .................................................. .................... 4

测试环境信息

.
................................................. .................................................. .................................................. 5

测试内容

.
...................... .................................................. .................................................. ................................... 6

6.1

设备配置规范化

.
............. .................................................. .................................................. ................................ 6

6.1.1

6.1.2

6.1.3

6.1.4

6.1.5

6.2

查看管理系统 支持的设备类型
....................................... .................................................. ......................... 6

自动化生成拓扑图
. .................................................. .................................................. ................................ 7

规范化显示策略规则
................................ .................................................. ............................................... 8

策略组合查询
............................. .................................................. .................................................. .......... 10

安全策略注解
................. .................................................. .................................................. ...................... 12

变更管理

................................................. .................................................. .................................................. ....... 13

6.2.1

6.2.2

6.3

配置变更比对
....................... .................................................. .................................................. ................ 13

配置变更报告
........... .................................................. .................................................. ............................ 14

策略梳理及优化

.
......................... .................................................. .................................................. .................. 15

6.3.1

6.3.2

6.3.3

6.3.4

6.3.5

6.3.6

6.4

冗余策略分析
................................... .................................................. .................................................. .... 15

策略利用率分析
...................... .................................................. .................................................. ............. 16

宽泛策略分析及收敛
........... .................................................. .................................................. ................ 17

可合并策略分析
.......... .................................................. .................................................. ......................... 18

重复对象分析
.. .................................................. .................................................. ..................................... 18

策略顺序优化
................................... .................................................. .................................................. .... 19

策略合规遵从

.
.............. .................................................. .................................................. ................................. 20

6.4.1

6.4.2

6.4.3

6.5

6.6

7

高危服务端口策略
.................................................. .................................................. ............................... 20

安全评估最佳实践
................................. .................................................. ................................................ 21

自定义合规规则
........................... .................................................. .................................................. ........ 22

策略变更流程及推送

.
....... .................................................. .................................................. ............................ 24

与第三方系统对接接口

.
...................... .................................................. .................................................. ......... 25

测试总结

.
........... .................................................. .................................................. .............................................
2
6



1

测试背景


防火墙和路由交换设备是网络中部署最普遍的基础设备。在
XX
信息系统内 部署了
YY
台
的防火墙及路由交换设备，对
XX
集团信息系统的连通 性和安全性起着非常重要的作用。

防火墙和路由交换设备的安全访问控制作用是通过在设备上 配置的访问控制策略
(ACL)
来
实现的，安全访问控制策略将直接影响到网络设备的 安全性、性能、稳定性等。无论这些设
备是哪种品牌，或者高端低端，如果设备上的安全访问控制策略配 置存在缺陷，那么防火墙
和路由交换设备也就存在缺陷或者安全隐患。

但是，由于以 往缺少相关管理工具或系统，因此，在防火墙的安全策略配置、变更时，
包括新增策略、变更策略，或者 删除策略时，管理员操作依据较为模糊，缺少相关的数据分
析报告或者科学依据，从而有时会出现安全访 问控制策略配置上的缺陷或者错误，如冗余的
策略、不必要的策略、过于复杂的策略，或者安全策略配置 上遗漏了某些重要的安全策略，
安全策略配置不符合国际安全规范或者企业自定义的安全规范等。这会给 系统安全与稳定性
带来隐患。

本次测试即针对上述需求，目的是为了测试
X X
集团防火墙和路由交换设备在访问控制策
略配置正确性检查、安全策略配置审计、策略收敛、 变更管理、安全策略配使用状况实时分
析等方面的功能，包括设备配置变更管理、安全策略使用状况分析 、无用安全策略分析、安
全策略复杂度分析、安全规范审计、策略申请流程管理等，并且体验相关产品在 使用时的便
捷性。

2

测试产品


本次测试产品是
FireMon
公司的
Security Manager
策略管理系统。

FireMon Security Manage r
提供对防火墙和路由交换设备安全策略的统一管理，可以管理
不同厂家的防火墙和路由交换设 备的安全策略。良好的全图形化界面将提升管理员对安全策
2

略的可视性，这将大 大提高管理员针对网络设备的安全管理效率。这些设备的管理将变得简
单、高效。实现配置变更实时监控 、策略清理及优化和策略合规检查自动化。

FireMon Security Manag er
可以协助管理员优化防火墙及路由交换的安全访问控制策略，
了解当前访问控制策略的使用 状况，可以查看哪些策略是长期以来没有被使用过，哪些安全
策略的使用率最高，可以查看某条安全策略 实际的流量状况，分析流量是如何穿过这条策略
的；根据这些信息，管理员就可以对安全策略进行优化， 如清除掉一些不必要的策略，并且
能够准确了解到当前策略的使用效果等。

测试产品的详细信息如下：

产品型号

FireMon Security Manager
软件版本

v8.x
内置

Policy Planner
和

Policy Optimizer
模块


FireMon
产品通讯模型：


3

测试时间

2018
年
5
月

3

4

参与人员

FireMon
和合作伙伴：


序号

1
2





名称



职务



5

测试环境准备

需要一台测试服务器，放置在客户的测试机房。在这台测试服务器上安装
FireMon 系
统。另外，在测试网段的
PC
上安装
Firefox
或
Chrome
浏览器，对其进行管理。

FireMon
能够安装在
VM
环境下，将模拟测试现网中主要的防火墙品牌。

5.1

硬件资源要求及安装
F
IRE
M
ON
系统

本次测试
FireMon Security Manager
安装在物理服务器或< br>VM
虚拟机上，均需要如下的硬
件配置。

安装所需硬件平台规格及需要的参数





内存

平台物理要求

硬盘

CPU
OS
密码

服务器

需要准备的参
数

WebUI
密码

域名

IP
地址及掩码

网关

IP
地址

DNS
4

24GB
或以上

300GB
或以上

8
核
CPU
（支持
64
位操作系统）

至少
8
位，含有大小写字母、数字和特殊
字符。

默认用户名
/
密码
:firemon/firemon





NTP


WebUI



物理规格要求



阿里巴巴
NTP
地址：

；苹
果公司
NTP
地址：

标准
PC
或笔记本均可，推荐使用
Firefox
或
Chrom e
浏览器。




安装过程：

1.

修改服务器启动配置，确认服务器可从光驱启动；

2.

将
FireMon
系统安装光盘装入服务器光驱，重启服务器；

3.

根据提示配置服务器参数，包括系统管理用户口令、
Domain N ame
、
IP
地址、网
关、
SNMP
、
DNS、
NTP
服务器地址等；

4.

配置完后，系统会进行安装，安装结束后会自动重启。

5.2

测试环境信息


测试环境相关设备和系统信息如下：

Security Manager
配置


?

IP
地址：




















?

网关地址：



















?

登录方式：
FireMon
或
Chrome
浏览
器

?

用户名：
firemon

密码：
firemon

测试目标设备类型及数量


?

Juniper Screen OS
防火墙



台

?

Juniper SRX
防火墙




台

?

Huawei
防火墙




台

?

Hillstone
防火墙




台



5

?

……


6

测试内容

6.1

设备配置规范化

6.1.1

查看管理系统支持的设备类型

测试目的

主要测试
Fir eMon
系统支持的网络设备类型，包括防火墙和路由交换设
备，目的是能够满足企业现在和未 来网络设备的发展变化，更好的提高投
资回报率（
ROI
）和降低总体拥有成本（TCO
）。

测试步骤

1
、使用浏览器登陆
WebUI
管理界面；

2
、 进入
Administration
，点击
Device->Devices->Cr eate Device
，新添
加一台设备；

3
、查看设备类型。

测试预期

被测系统应支持业界主流 的国内外防火墙及其他网络设备，比如
Juniper
、
Huawei
、Hillstone
、
Cisco
路由交换等品牌。

6

截图


测试结果

支持主流的网络及安全设备，比如：思科、
Check point
、飞塔、
F5
、华
为、华三、
Juniper
、
Palo alto
、山石、天融信等。

注释



6.1.2

自动化生成拓扑图

测试目的

主要 测试
FireMon
系统直观显示网络设备的相对拓扑示意图，验证系统是
否方便管理 员查看每个设备的拓扑信息及访问路径。


7

测试步骤

1
、登陆
FireMon
系统的
Web UI
管理界面；

2
、进入
Security Manager
，点击
Map
查看生成的拓扑图状态；

3
、点击左侧三角号，展出
Access Path Analysis
；

4
、输入访问路径来源、目标
IP
地 址、协议
/
端口和起始网段，查看访问
路径分析。

测试预期

被测系统应能够根据获取的配置信息自动生成拓扑示意图，具备路径跟踪
查询功能。

截图


测试结果

注释


6.1.3

规范化显示策略规则

测试目的

主 要测试
FireMon
系统的
WebUI
管理界面内，对被管理设备的配置进 行查
看，包括策略或者
ACL
、网络端口、安全域等。验证该系统是否对不同设
备配置标准化显示。

测试步骤

1
、登陆
FireMo n
系统的
WebUI
管理界面；

2
、进入
Security Manager->Policy->Security Rules
，查看策略
GUI
显
示；

能够自动生成设备拓扑，并能够根据拓扑图进行访问路径分析。


8

3
、进入
Security Manager->Policy->Security Rules
，点中某一设备，
进入
Policy->Policy View
，点击
Raw Files
，选中要显示的原始配置文
件显示其内容。

测试预期

截图

以统一的图形化界面显示各品牌防火墙的策略配置及保留原始配置格式。


统一图形化界面


原始配置文件

测试结果
< br>能够将不同的设备的配置用统一的图形化界面显示，并保存原始的配置文
件，起到备份原始配置的 作用。

注释



9

6.1.4

策略组合查询

测试目的

测试FireMon
提供的
SIQL
工具。管理员可在策略界面中，根据自己的需求，定义各种条件，
SIQL
可根据管理员所指定的条件，查询出结果。在
条件中 ，可指定设备、地址范围、地址类型、用户名、包含关键字、服务
端口范围等等，并可自由进行组合查询 。非常贴近管理员实际管理查询的
需求。

测试步骤

1
、在
Firemon WebUI
界面内选择“
Security Manager
”；

2
、进入
Policy->Security Rules
或其他
Objects
，点击右上的
Show
Query
；

3
、输入查询条件：

rule{ >=22 AND <=1024)}
查询测试环境中加入的防火墙上大于等于端口是
22< br>小于，小于等于端口
1024
的策略。

测试预期

可根据管理员定义的条件，查询出相应的策略。

10

截图


测试结果

能够根据组合查询条件，查询出需要的策略。可通过
Add Filter
或表格形式添加查询条件。并可将查询结果导出为
CSV
格式文件。

注释




11


6.1.5

安全策略注解

测试目的

测试
Security Manager
为被管理设备上的安全策略或者
AC L
增加注解。
注解信息可包含策略管理人、过期时间、策略配置目的、申请部门等。注
解可以为中文。

测试步骤

1
、在
Security Manager
的
WebUI
管理界面内；

2
、进入
Security Manager->Policy->Security Rules
；

3
、点击第一列
RULE
的编号或名称，查 看某条策略，在页面下方右侧点击
Edit
打开注解的操作界面。

测试预期

截图

可以给策略增加注解


测试结果

注释

能够对策略属性进行注解，并且支持中文，还能够对注解信息查询。





12


6.2

变更管理

6.2.1

配置变更比对

测试目的

测试
FireMon
产品根据配置变更的情况，能够对配 置文件变化的内容比
对，清晰标识变更类型。

测试步骤

1
、在某防火墙上修改一项策略或对象配置；

2
、在
Security Manager
上找到这台设备，点击
Policy->Policy View
；

3
、点击切换
View Changes
为
On
，选择
Compare To
的
Advanced
，设置对
比的版次，将显示配置对比。

测试预期

截图

系统能够比对选中的两次变更的内容。


测试结果

当策略发生变更时，能够实时分析变更内容，并用不同颜色标识增删改的
变更动作。

注释





13