安全策略集中管理智能化運(yùn)維平臺(tái)需求說明

安全策略集中管理智能化運(yùn)維平臺(tái)需求說明1系統(tǒng)概述1.1建設(shè)目標(biāo)對(duì)中心網(wǎng)絡(luò)設(shè)備安全防護(hù)提升，在安全防護(hù)提升方面，安全策略集中管理智能化運(yùn)維平臺(tái)納管全網(wǎng)異構(gòu)訪問控制設(shè)備，形成作戰(zhàn)地圖，平時(shí)持續(xù)進(jìn)行策略優(yōu)化、暴露面收斂和業(yè)務(wù)開通，戰(zhàn)時(shí)進(jìn)行一鍵封堵，快速阻斷攻擊。在簡(jiǎn)化運(yùn)維及節(jié)約成本方面，攔截網(wǎng)關(guān)減小后續(xù)安全防護(hù)設(shè)備處理壓力，減少重復(fù)日志，簡(jiǎn)化其他安全設(shè)備的運(yùn)維；全流量分析提供可視化分析能力，降低人員對(duì)流量分析的技術(shù)門檻，降低人員能力要求，節(jié)約人力成本。安全策略集中管理智能化運(yùn)維平臺(tái)統(tǒng)一納管全網(wǎng)異構(gòu)訪問控制設(shè)備，自動(dòng)化化開通，減少運(yùn)維人力，降低技術(shù)門檻，規(guī)范化并簡(jiǎn)化業(yè)務(wù)流程；系統(tǒng)聯(lián)動(dòng)，如策略可視化與攔截網(wǎng)關(guān)聯(lián)動(dòng)，快速自動(dòng)化封禁惡意地址，為實(shí)現(xiàn)一鍵處置、一鍵查找、一鍵封堵做準(zhǔn)備，進(jìn)一步簡(jiǎn)化運(yùn)維并節(jié)約投入成本。（1）實(shí)現(xiàn)全網(wǎng)安全策略集中可視化管理，提升網(wǎng)絡(luò)安全運(yùn)維效率通過網(wǎng)絡(luò)安全設(shè)備與安全策略的集中管理，實(shí)現(xiàn)對(duì)網(wǎng)異構(gòu)品牌的防火墻、交換路由、負(fù)載均衡等設(shè)備的安全策略、路由策略、NAT策略等策略配置信息的自動(dòng)采集、解析、歸一化存儲(chǔ)，并采用統(tǒng)一的可視化結(jié)構(gòu)進(jìn)行策略業(yè)務(wù)邏輯展示，可讀性和可維護(hù)管理性大大提高。安全策略集中管理智能化運(yùn)維平臺(tái)提供了智能化、自動(dòng)化的策略開通管理，從策略變更申請(qǐng)工單提交到工單審批、工單推送、策略執(zhí)行做到及時(shí)跟蹤和審核，同時(shí)平臺(tái)自帶策略仿真功能，在工單審批環(huán)節(jié)可根據(jù)全網(wǎng)安全策略現(xiàn)狀與企業(yè)訪問控制策略基線提供全面的策略變更風(fēng)險(xiǎn)分析報(bào)告，協(xié)助運(yùn)維人員能快速、有效的完成策略變更，并確保變更內(nèi)容準(zhǔn)確性。同時(shí)平臺(tái)圍繞安全策略管理方面還提供策略查詢分析、策略優(yōu)化檢查、策略歷史備份與對(duì)比、策略命中與收斂分析、策略報(bào)表報(bào)告等一系列功能，最終實(shí)現(xiàn)全網(wǎng)安全策略可控、可看、可管，大幅提升網(wǎng)絡(luò)安全運(yùn)維管理效率。（2）通過策略優(yōu)化檢查，落實(shí)信息安全最小化原則由于網(wǎng)絡(luò)安全設(shè)備長時(shí)間維護(hù)和使用，通常會(huì)存在較多過多的、不必要的、重復(fù)的安全策略，同時(shí)也會(huì)存在一些過于寬松的策略設(shè)置(服務(wù)、地址全any)，這類垃圾與過于寬松的策略驗(yàn)證影響設(shè)備運(yùn)行效率，也不符合信息安全管理規(guī)范，同時(shí)還存在被惡意利用和攻擊的嚴(yán)重安全隱患。針對(duì)此類策略的檢查和梳理，平臺(tái)提供基于大數(shù)據(jù)和機(jī)器學(xué)習(xí)算法的安全策略優(yōu)化檢查功能，可對(duì)設(shè)備中安全策略進(jìn)行秒級(jí)的優(yōu)化檢查，從而快速找出設(shè)備中的各類冗余策略、屏蔽策略、空策略、過期策略，及時(shí)發(fā)現(xiàn)并規(guī)避全網(wǎng)中過于“寬松”的安全策略與訪問控制策略（類似核心交換防火墻安全策略默認(rèn)全通），從而減少核心業(yè)務(wù)與數(shù)據(jù)資產(chǎn)受攻擊面。（3）通過策略開通實(shí)現(xiàn)智能化運(yùn)維，釋放業(yè)務(wù)敏感性提供網(wǎng)絡(luò)訪問控制策略變更全生命周期管理能力，實(shí)現(xiàn)工單申請(qǐng)、路徑仿真、策略檢查、風(fēng)險(xiǎn)分析、配置生成下發(fā)、路徑驗(yàn)證與報(bào)告審計(jì)全流程自動(dòng)化，批量業(yè)務(wù)開通最快能實(shí)現(xiàn)分鐘級(jí)完成，確保業(yè)務(wù)變更準(zhǔn)確的同時(shí)提升業(yè)務(wù)變更響應(yīng)與交付效率。完美解決策略運(yùn)維工作效率低與業(yè)務(wù)敏捷性高的矛盾，持續(xù)保證策略變更工作的準(zhǔn)確、合規(guī)與高效。（4）助力安全監(jiān)管真正合規(guī)、網(wǎng)絡(luò)環(huán)境更加健康安全等保2.0中對(duì)安全策略與訪問控制方面的強(qiáng)制要求：應(yīng)對(duì)服務(wù)層個(gè)安全組件的安全策略進(jìn)行集中的可視化展示、管理和控制，并檢測(cè)安全策略的有效性；應(yīng)刪除多余或無效的訪問控制規(guī)則，優(yōu)化訪問控制列表，并保證訪問控制規(guī)則梳理最小化。安全策略集中管理智能化運(yùn)維平臺(tái)安全策略管理、策略優(yōu)化檢查、策略基線等功能將很好助力企業(yè)安全監(jiān)管真正合規(guī)、絡(luò)環(huán)境更加健康安全。（5）監(jiān)控聯(lián)動(dòng)告警、提升運(yùn)維智能化水平告警可視化：通過廣泛集成，增強(qiáng)網(wǎng)絡(luò)運(yùn)維支撐系統(tǒng)間橫向聯(lián)動(dòng)，實(shí)現(xiàn)監(jiān)控告警可視化展示，相關(guān)監(jiān)控系統(tǒng)的告警信息能直觀在拓?fù)湟晥D中顯示，準(zhǔn)確定位告警位置；報(bào)表報(bào)告：依托大數(shù)據(jù)分析和統(tǒng)計(jì)，滿足用戶自定義各類設(shè)備臺(tái)賬、設(shè)備變更、拓?fù)滏溄痈碌认嚓P(guān)監(jiān)控告警、報(bào)表報(bào)告。1.2系統(tǒng)架構(gòu)（1）安全策略可視化系統(tǒng)技術(shù)架構(gòu)系統(tǒng)采用分層設(shè)計(jì)理念，共分為數(shù)據(jù)采集層、建模分析層、安全清理運(yùn)維層、監(jiān)控呈現(xiàn)層。數(shù)據(jù)采集層主要通過在線采集方式定期采集防火墻、路由、交換機(jī)、負(fù)載均衡等設(shè)備的策略配置文件與路由數(shù)據(jù)，并進(jìn)行歸一化入庫存儲(chǔ)。建模分析層提供了一套策略模擬仿真環(huán)境，可以根據(jù)業(yè)務(wù)開通信息進(jìn)行全網(wǎng)訪問路徑模擬仿真分析，生成策略開通建議并翻譯成命令行。業(yè)務(wù)功能層主要提供訪問控制策略的集中管理和分析，主要包括策略列表、策略梳理、策略檢查、策略命中與收斂分析?？梢暬故緦又饕峁┚W(wǎng)絡(luò)拓?fù)淇梢暬鞍踩窂娇梢暬?。?）網(wǎng)絡(luò)節(jié)點(diǎn)資源管理平臺(tái)技術(shù)架構(gòu)網(wǎng)絡(luò)資源節(jié)點(diǎn)管理平臺(tái)由數(shù)據(jù)采集層、建模分析層、業(yè)務(wù)應(yīng)用層、可視化展示層組成。主要通過種子設(shè)備的方式，采用SNMP協(xié)議定期采集防火墻、路由、交換機(jī)、負(fù)載均衡等設(shè)備的MIB庫數(shù)據(jù)，并進(jìn)行歸一化入庫存儲(chǔ)?；谧x取到的MIB庫基本信息，匹配預(yù)定義規(guī)則庫，實(shí)現(xiàn)自動(dòng)分類設(shè)備類型廠商，通過接口-IP-MAC映射數(shù)據(jù)，關(guān)聯(lián)分析出生成樹。業(yè)務(wù)功能層提供了一套設(shè)備發(fā)現(xiàn)及設(shè)備管理的環(huán)境，可以通過種子發(fā)現(xiàn)設(shè)備自動(dòng)發(fā)現(xiàn)設(shè)備，并自動(dòng)按機(jī)構(gòu)分組，自動(dòng)生成拓?fù)鋱D?？梢暬故緦又饕峁┚W(wǎng)絡(luò)拓?fù)淇梢暬?、鏈路信息可視及設(shè)備狀態(tài)告警可視。1.3部署方式部署位置：中心主機(jī)房與下屬網(wǎng)點(diǎn)機(jī)房部署方式：安全策略集中管理智能化運(yùn)維平臺(tái)為軟件系統(tǒng)，采用旁路部署即可，不改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)。建議部署在網(wǎng)絡(luò)安全管理區(qū)，保證平臺(tái)與被管防火墻設(shè)備之間IP網(wǎng)絡(luò)可到即可，平臺(tái)通過節(jié)點(diǎn)設(shè)備只讀賬號(hào)以SSH方式在線讀取設(shè)備配置信息。1.4規(guī)劃體現(xiàn)（1）異構(gòu)設(shè)備集中管理技術(shù)異構(gòu)設(shè)備關(guān)聯(lián)分析的基礎(chǔ)工作是針對(duì)多源異構(gòu)設(shè)備進(jìn)行統(tǒng)一解析和治理。依照網(wǎng)絡(luò)OSI結(jié)構(gòu)模型，異構(gòu)多源網(wǎng)絡(luò)安全設(shè)備在網(wǎng)絡(luò)安全管理上同樣具備共通性，如網(wǎng)絡(luò)層安全訪問控制，最終通過對(duì)源地址、目的地址、源端口、目的端口、協(xié)議端口號(hào)等七元組信息來達(dá)成管控的目的。異構(gòu)設(shè)備策略解析技術(shù)通過策略建模將多源異構(gòu)網(wǎng)絡(luò)安全設(shè)備的策略進(jìn)行統(tǒng)一解析。（2）異構(gòu)設(shè)備策略關(guān)聯(lián)分析技術(shù)多源異構(gòu)設(shè)備策略統(tǒng)一解析后，多臺(tái)設(shè)備和各業(yè)務(wù)系統(tǒng)之間可進(jìn)行關(guān)聯(lián)分析。安全策略集中管理系統(tǒng)運(yùn)用數(shù)據(jù)關(guān)聯(lián)分析技術(shù)進(jìn)行多源異構(gòu)網(wǎng)絡(luò)安全設(shè)備策略解析形成業(yè)務(wù)拓?fù)洳⑦M(jìn)行業(yè)務(wù)路徑分析。（3）異構(gòu)設(shè)備聯(lián)動(dòng)處置技術(shù)基于安全策略集中管理平臺(tái)根據(jù)異構(gòu)網(wǎng)絡(luò)安全設(shè)備實(shí)際配置所構(gòu)建的安全業(yè)務(wù)域拓?fù)?，平臺(tái)分析網(wǎng)絡(luò)攻擊所利用的業(yè)務(wù)路徑信息，判斷可進(jìn)行威脅處理的網(wǎng)絡(luò)安全設(shè)備，并向異構(gòu)網(wǎng)絡(luò)安全設(shè)備下發(fā)配置，實(shí)現(xiàn)安全威脅的一鍵處置、快速封禁和策略收斂。本項(xiàng)目進(jìn)行流程和技術(shù)的自動(dòng)化設(shè)計(jì)，通過系統(tǒng)間關(guān)聯(lián)分析，自動(dòng)化發(fā)現(xiàn)和處置安全威脅，提升網(wǎng)絡(luò)安全和運(yùn)維效率，并降低運(yùn)維成本。策略自動(dòng)化開通和封堵包括業(yè)務(wù)請(qǐng)求服務(wù)化、模擬仿真分析、選路建議、策略風(fēng)險(xiǎn)分析、策略配置自動(dòng)生成以及策略開通驗(yàn)證等多個(gè)環(huán)節(jié)，通過全流程化、自動(dòng)化的方式減輕策略開通和封堵業(yè)務(wù)工作量，并確保變更內(nèi)容準(zhǔn)確。1.5關(guān)鍵技術(shù)設(shè)計(jì)（1）異構(gòu)設(shè)備訪問控制策略集中管理平臺(tái)通過在線采集方式定期抓取防火墻、路由交換、負(fù)載均衡等網(wǎng)關(guān)設(shè)備的策略配置文件以及路由表信息，再通過歸一化方式解析存儲(chǔ)到統(tǒng)一的安全策略模型中，最終實(shí)現(xiàn)對(duì)異構(gòu)品牌型號(hào)及設(shè)備的各類訪問控制策略的集中展示、查詢、導(dǎo)出、分析等相關(guān)功能。為滿足不同的應(yīng)用場(chǎng)景，支持手工采集和在線采集兩種策略配置采集提取方式：手工采集：管理員通過手工方式在目標(biāo)防火墻等設(shè)備Web管理界面通過“導(dǎo)出配置”或命令行控制臺(tái)通過ShowConfig的方式將設(shè)備策略配置信息導(dǎo)出到配置文件中，再將配置文件上傳至安全策略集中管理平臺(tái)。支持Log、txt、conf、cfg、XML等多種文件格式的配置文件解析。在線采集：針對(duì)目標(biāo)防火墻設(shè)備是否支持命令行配置管理，安全策略集中管理平臺(tái)提供兩種在線采集方式。對(duì)于支持命令行配置的目標(biāo)設(shè)備，平臺(tái)可通過SSH、Telnet等遠(yuǎn)程訪問管理協(xié)議在線自動(dòng)采集目標(biāo)設(shè)備的策略配置信息；對(duì)于不支持命令行配置的目標(biāo)設(shè)備，平臺(tái)可通過API接口或Web管理頁面獲取策略配置信息。（2）安全策略配置檢查與優(yōu)化分析防火墻策略由于日積月累、頻繁變更等原因造成很多垃圾無效策略，安全策略配置檢查通過對(duì)配置文件中的安全策略進(jìn)行逐一與其他策略進(jìn)行比對(duì)分析，判斷相互之間的包含與被包含關(guān)系，最終檢查分析判斷是否為冗余策略或隱藏策略，以及是否存在可合并策略和空策略等，管理員可根據(jù)分析結(jié)果進(jìn)行精簡(jiǎn)和優(yōu)化調(diào)整。（3）邏輯安全域拓?fù)渥詣?dòng)生成通過讀取防火墻、路由交換設(shè)備的配置，解析出各網(wǎng)關(guān)設(shè)備包含的接口與網(wǎng)段、以及安全域設(shè)置；任意兩個(gè)網(wǎng)關(guān)節(jié)點(diǎn)之間，若存在相同的接口子網(wǎng)，即為互聯(lián)關(guān)系，在拓?fù)渖蠒?huì)自動(dòng)通過子網(wǎng)連線體現(xiàn)出來，依次遞歸遍歷所有網(wǎng)關(guān)設(shè)備，即可自動(dòng)形成全網(wǎng)邏輯拓?fù)?；在此基礎(chǔ)上，通過人工干預(yù)安全域及資產(chǎn)信息，描繪安全域架構(gòu)拓?fù)?。?）端到端全路徑分析實(shí)現(xiàn)任意源地址到目的地址的訪問路徑及數(shù)據(jù)流分析，包括是否有可達(dá)路徑、可達(dá)路徑經(jīng)過的節(jié)點(diǎn)及命中的路由及策略信息、允許或拒絕的數(shù)據(jù)流詳情等；訪問路徑分析時(shí)，通過源地址定位到對(duì)應(yīng)的網(wǎng)關(guān)設(shè)備，再通過網(wǎng)關(guān)設(shè)備上的路由逐一尋找下一網(wǎng)關(guān)，直到目的地址；期間需匹配網(wǎng)關(guān)設(shè)備上的ACL策略、Nat策略、路由、安全策略等信息。（5）訪問控制策略自動(dòng)化運(yùn)維訪問控制策略自動(dòng)化運(yùn)維包括開通業(yè)務(wù)請(qǐng)求服務(wù)化、模擬仿真分析、開通選路建議、策略風(fēng)險(xiǎn)分析、策略配置自動(dòng)生成以及策略開通驗(yàn)證等多個(gè)環(huán)節(jié)，通過全流程化、自動(dòng)化的方式減輕訪問控制開通業(yè)務(wù)工作量，并確保變更內(nèi)容準(zhǔn)確。2項(xiàng)目建設(shè)需求本項(xiàng)目包括但不限于以下建設(shè)需求：2.1異構(gòu)設(shè)備集中管理實(shí)現(xiàn)對(duì)全網(wǎng)防火墻、路由交換、負(fù)載均衡、VPN等異構(gòu)品牌、異構(gòu)型號(hào)的網(wǎng)絡(luò)安全設(shè)備進(jìn)行統(tǒng)一集中管理，包括策略采集、策略解析、策略歷史、策略變更監(jiān)控、策略查詢、策略清理、策略開通等相關(guān)功能。支持對(duì)被管設(shè)備通過SSH、Telnet等遠(yuǎn)程訪問管理協(xié)議在線定期自動(dòng)采集策略配置信息，并通過解析模板解析成歸一化的格式進(jìn)行存儲(chǔ)。策略信息包括各類安全策略、NAT策略、ACL策略路徑路由信息。主要功能明細(xì)說明如下：1.配置提?。褐С謱?duì)全網(wǎng)三層網(wǎng)關(guān)設(shè)備（包括防火墻、路由器、交換機(jī)、負(fù)載均衡）的安全策略配置信息的自動(dòng)采集與解析；2.路由采集：支持對(duì)三層網(wǎng)關(guān)設(shè)備路由表數(shù)據(jù)采集與解析；3.策略可視：支持對(duì)被管理設(shè)備的對(duì)象（包括地址對(duì)象、服務(wù)對(duì)象、時(shí)間對(duì)象）、策略（包括安全策略、ACL策略、NAT策略）和路由信息集中展示、查詢及下載導(dǎo)出；4.網(wǎng)段管理：支持對(duì)全網(wǎng)網(wǎng)段的集中展示、查詢及下載導(dǎo)出；5.配置更新：支持定時(shí)方式對(duì)被管設(shè)備的策略配置進(jìn)行自動(dòng)采集和更新；6.配置比對(duì)：支持同一設(shè)備不同時(shí)間點(diǎn)的策略配置比對(duì)。2.2策略配置優(yōu)化檢查支持對(duì)被管理設(shè)備（防火墻、交換機(jī)、路由器、負(fù)載均衡）的策略配置和對(duì)象進(jìn)行優(yōu)化檢查，檢查類型包括：隱藏策略、冗余策略、可合并策略、空策略、過期策略及寬松策略，以及空對(duì)象和未被應(yīng)用對(duì)象。各類策略檢查描述如下：1.隱藏策略：同一策略集內(nèi)，一條高優(yōu)先級(jí)策略的源地址、目的地址、服務(wù)對(duì)象、時(shí)間對(duì)象完全包含或等于另外一條低優(yōu)先級(jí)策略的源地址、目的地址、服務(wù)對(duì)象、時(shí)間對(duì)象，不管動(dòng)作是否一致或相反；2.冗余策略：同一策略集內(nèi)，一條低優(yōu)先級(jí)策略的源地址、目的地址、服務(wù)對(duì)象、時(shí)間對(duì)象、老化時(shí)間（長短鏈接）完全包含高優(yōu)先級(jí)另外一條策略的源地址、目的地址、服務(wù)對(duì)象，時(shí)間對(duì)象、老化時(shí)間，并且動(dòng)作相同；3.空策略：策略引用的源地址對(duì)象、目的地址對(duì)象或服務(wù)對(duì)象有為空的對(duì)象，此類策略在實(shí)際應(yīng)用中是不會(huì)被匹配；4.可合并策略：同一策略集內(nèi)，兩條及以上策略源域、目的域以及動(dòng)作相同的策略，源地址、目的地址、服務(wù)對(duì)象、時(shí)間對(duì)象四個(gè)元素只有一項(xiàng)不相同，其余均相同；5.過期策略：策略中會(huì)包含時(shí)間對(duì)象，當(dāng)時(shí)間對(duì)象過期后，該策略會(huì)顯示為過期策略；6.寬松策略：源IP、目的IP及服務(wù)端口命中率過低的為寬松策略；7.空對(duì)象：只有對(duì)象名，對(duì)象內(nèi)容為空；8.未被應(yīng)用對(duì)象：未被安全策略、ACL策略和NAT策略所引用的對(duì)象。2.3安全拓?fù)浼軜?gòu)可視支持系統(tǒng)根據(jù)全網(wǎng)防火墻、路由交換等三層設(shè)備的子網(wǎng)、安全域、路由、NAT、ACL等影響網(wǎng)絡(luò)通路和可達(dá)的配置信息，并運(yùn)用可視化技術(shù)，自動(dòng)生成業(yè)務(wù)拓?fù)鋱D，實(shí)現(xiàn)基于全網(wǎng)的面向業(yè)務(wù)視角的安全域拓?fù)浼軜?gòu)可視。主要功能明細(xì)說明如下：1.邏輯拓?fù)洌褐С窒到y(tǒng)基于三層網(wǎng)關(guān)設(shè)備的配置信息，并運(yùn)用可視化技術(shù)，自動(dòng)生成全網(wǎng)邏輯拓?fù)鋱D，實(shí)現(xiàn)基于全網(wǎng)的面向業(yè)務(wù)視角的安全域拓?fù)浼軜?gòu)可視；2.圖層管理：支持根據(jù)不同業(yè)務(wù)視角，自定義創(chuàng)建并維護(hù)多張邏輯拓?fù)鋱D，如全網(wǎng)、各業(yè)務(wù)區(qū)域、各分行等；3.邏輯安全域：支持防火墻安全域解析，以及邏輯安全域定義和管理，結(jié)合邏輯拓?fù)鋱D，實(shí)現(xiàn)各區(qū)域防火墻重點(diǎn)防護(hù)區(qū)域的可視化2.4安全策略自動(dòng)生成實(shí)現(xiàn)與現(xiàn)有的安全運(yùn)維體系對(duì)接，構(gòu)建基于業(yè)務(wù)安全策略變更工作流，對(duì)變更操作的各個(gè)步驟進(jìn)行監(jiān)控及影響性分析，并結(jié)合合規(guī)策略基線提出配置建議。安全策略自動(dòng)化運(yùn)維包含開通業(yè)務(wù)請(qǐng)求、開通建議、策略風(fēng)險(xiǎn)分析、策略遠(yuǎn)程下發(fā)以及策略開通驗(yàn)證等功能，協(xié)助網(wǎng)絡(luò)安全運(yùn)維人員能快速、有效的完成策略變更，并確保變更內(nèi)容準(zhǔn)確，從而提高工作效率，降低維護(hù)成本。1.開通工單管理：支持通過工單形式維護(hù)策略開通任務(wù)，包括策略開通的新增、查詢、刪除等；支持按工單創(chuàng)建人進(jìn)行快速查詢和過濾。支持開通結(jié)果報(bào)告管理，包括策略開通申請(qǐng)選路建議、風(fēng)險(xiǎn)分析、命令行翻譯、開通驗(yàn)證等結(jié)果信息集中展示。2.開通模擬仿真：根據(jù)開通申請(qǐng)的源/目的/服務(wù)進(jìn)行仿真分析，判斷當(dāng)前開通請(qǐng)求的通路情況，并定位出需要新增放通策略的防火墻設(shè)備及策略詳情。支持多源、多目的、多服務(wù)的開通申請(qǐng)，對(duì)可能的源/目的/服務(wù)組合進(jìn)行開通模擬仿真。源與目地對(duì)象間存在NAT的情況，應(yīng)能夠自動(dòng)檢測(cè)到，并自動(dòng)按NAT規(guī)則正確替換訪問控制規(guī)則中的源或目的地址，實(shí)現(xiàn)過NAT前后防火墻配訪問控制配置腳本的自動(dòng)分段生成，以保證過NAT時(shí)訪問控制策略下發(fā)的正確性與效率。3.策略配置檢查：在配置生成時(shí)，能夠針對(duì)每一條網(wǎng)絡(luò)訪問需求提示現(xiàn)有策略是否已經(jīng)滿足需求。基于模擬仿真結(jié)果，將待開通策略與目的防火墻已有策略進(jìn)行隱藏（沖突）策略的比對(duì)分析，對(duì)可能出現(xiàn)的隱藏策略進(jìn)行預(yù)警提示。在配置生成時(shí)，對(duì)于能夠在現(xiàn)有策略進(jìn)行合并的配置進(jìn)行提示（策略合并規(guī)則為五元組：源、目的、服務(wù)、時(shí)間、action，至少有四項(xiàng)相同，目的地址除外）。4.策略風(fēng)險(xiǎn)分析：在配置生成時(shí)，可同時(shí)安全基線檢查，如是否包含高危端口（TCP445,139,3389等），并對(duì)不合規(guī)配置需求進(jìn)行提示和告警。支持根據(jù)安全域或業(yè)務(wù)組的互訪基線進(jìn)行檢查，針對(duì)不合規(guī)的開通需求進(jìn)行提示和告警。5.命令行生成：基于模擬仿真結(jié)果，系統(tǒng)根據(jù)目的防火墻命令行規(guī)則自動(dòng)翻譯生成安全策略命令行腳本。支持靈活命令行翻譯規(guī)則配置，如命令行中是否需要源域/目的域、是否需要?jiǎng)?chuàng)建地址對(duì)象、新增策略插入的行號(hào)位置等；新增策略時(shí)優(yōu)先使用目的防火墻已有的服務(wù)對(duì)象，避免重復(fù)創(chuàng)建冗余服務(wù)對(duì)象；支持對(duì)批量工單的命令行腳本按目標(biāo)防火墻維度進(jìn)行匯總。6.策略開通驗(yàn)證：在安全策略下發(fā)完成后，可對(duì)開通路徑進(jìn)行源到目的仿真分析并可視化展示，輔助定位異常問題（如邏輯路徑未開通非訪問控制問題、訪問控制策略在哪臺(tái)墻上未開通成功）。2.5自定義報(bào)表報(bào)告支持自定義報(bào)表訂閱管理，可周期性自動(dòng)生成報(bào)表報(bào)告，可訂閱發(fā)送至指定郵箱；支持自定義組織報(bào)表內(nèi)容，包括策略列表、策略查詢、策略檢查、策略監(jiān)控等報(bào)表。2.6動(dòng)態(tài)評(píng)估節(jié)點(diǎn)配置平臺(tái)內(nèi)置多種基線檢查規(guī)則，并可自定義基線規(guī)則，通過多任務(wù)并發(fā)的形式快速高效的生成基線配置合規(guī)報(bào)表，及時(shí)準(zhǔn)確的篩選出違反配置規(guī)則的設(shè)備，并提供相應(yīng)的處置建議。支持多維度的展示檢查結(jié)果，支持高亮顯示違規(guī)配置。2.7API接口平臺(tái)采用開放式體系架構(gòu)，對(duì)外提供完整的RESTAPI接口，以便與第三方運(yùn)維平臺(tái)、安全管理平臺(tái)等系統(tǒng)或產(chǎn)品進(jìn)行深度集成與對(duì)接。3設(shè)備采購清單3.1設(shè)備采購清單序號(hào)產(chǎn)品名稱規(guī)格參數(shù)數(shù)量單位1基礎(chǔ)平臺(tái)詳見設(shè)備參數(shù)指標(biāo)1套2動(dòng)態(tài)拓?fù)湓斠娫O(shè)備參數(shù)指標(biāo)1套3策略命中與收斂詳見設(shè)備參數(shù)指標(biāo)1套4拓?fù)渑c路徑詳見設(shè)備參數(shù)指標(biāo)1套5策略開通詳見設(shè)備參數(shù)指標(biāo)1套6應(yīng)急封堵詳見設(shè)備參數(shù)指標(biāo)1套7防火墻設(shè)備授權(quán)防火墻、網(wǎng)閘設(shè)備授權(quán)，包括主備，虛墻等15臺(tái)8其他網(wǎng)關(guān)設(shè)備授權(quán)除防火墻之外的網(wǎng)關(guān)設(shè)備，包括路由、交換、負(fù)載均衡、模擬網(wǎng)關(guān)30臺(tái)9設(shè)備授權(quán)100臺(tái)設(shè)備授權(quán)1套10首次安裝部署安裝實(shí)施服務(wù)項(xiàng)13.2設(shè)備參數(shù)指標(biāo)1基礎(chǔ)要求支持傳統(tǒng)網(wǎng)絡(luò)架構(gòu)中防火墻、路由器、交換機(jī)、負(fù)載均衡等設(shè)備策略配置信息和路由信息的自動(dòng)提取與解析，包括對(duì)網(wǎng)絡(luò)訪問路徑和數(shù)據(jù)安全產(chǎn)生影響的設(shè)備接口與安全域、訪問控制策略、NAT策略、路由信息；持多品牌防火墻、路由交換、負(fù)載均衡。支持預(yù)定義資產(chǎn)分類規(guī)則庫，支持對(duì)已發(fā)現(xiàn)資產(chǎn)自動(dòng)確定設(shè)備類型及廠商；支持設(shè)備自動(dòng)分組，根據(jù)預(yù)定義的設(shè)備命名規(guī)則或IP地址規(guī)則，自動(dòng)移動(dòng)設(shè)備到對(duì)應(yīng)設(shè)備組；支持批量方式添加納管設(shè)備，可通過批量Excel方式將設(shè)備IP、用戶名、密碼等信息批量導(dǎo)入系統(tǒng)并通過SSH協(xié)議方式進(jìn)行批量設(shè)備的配置采集和解析；支持在平臺(tái)設(shè)備列表中，提供命令行窗口，快速鏈接到并訪問被管設(shè)備的cli控制臺(tái)或web管理頁面；支持針對(duì)被納管設(shè)備的采集憑據(jù)和下發(fā)憑據(jù)進(jìn)行分開管理；2網(wǎng)絡(luò)設(shè)備發(fā)現(xiàn)支持種子發(fā)現(xiàn)和指定網(wǎng)段發(fā)現(xiàn)兩種網(wǎng)絡(luò)設(shè)備發(fā)現(xiàn)方式，包括：

1）支持通過種子設(shè)備自動(dòng)發(fā)現(xiàn)下掛設(shè)備，支持任意指定一臺(tái)核心交換機(jī)為“種子”節(jié)點(diǎn)，自動(dòng)發(fā)現(xiàn)區(qū)域內(nèi)部路由器、交換機(jī)、負(fù)載均衡和防火墻設(shè)備；

2）指定網(wǎng)段發(fā)現(xiàn)時(shí)，支持網(wǎng)段、IP范圍以及其組合的方式進(jìn)行錄入；支持自動(dòng)發(fā)現(xiàn)任務(wù)監(jiān)控和管理，能夠紀(jì)錄更新發(fā)現(xiàn)耗時(shí)以及發(fā)現(xiàn)資產(chǎn)數(shù)量等；，支持在web頁面查看發(fā)現(xiàn)任務(wù)執(zhí)行過程的詳細(xì)信息，包括但不限于：掃描IPSNMP狀態(tài)ARP表、鏈路表數(shù)據(jù)等；3物理拓?fù)浼版溌钒l(fā)現(xiàn)根據(jù)全網(wǎng)網(wǎng)絡(luò)設(shè)備鏈路信息，或者根據(jù)自身獲取配置信息變化，動(dòng)態(tài)展示拓?fù)渥兓?，如新增、刪除設(shè)備后自動(dòng)更新拓?fù)鋱D；對(duì)于設(shè)備down、端口up/down和性能超閾值告警提示，能夠直接反應(yīng)到拓?fù)鋱D標(biāo)和連接的狀態(tài)變化；支持物理拓?fù)鋱D層編輯管理，包括但不限于組面板、設(shè)備面板、屬性面板、關(guān)聯(lián)數(shù)據(jù)面板、搜索面板、告警面板等；4策略優(yōu)化檢查支持策略考核評(píng)分功能，通過系統(tǒng)預(yù)置防火墻健康度量化評(píng)估模型，定期對(duì)防火墻風(fēng)險(xiǎn)策略進(jìn)行百分制評(píng)分，并支持按組織結(jié)構(gòu)進(jìn)行分組統(tǒng)計(jì)平均考核分?jǐn)?shù)；支持被管理設(shè)備（防火墻、交換機(jī)、路由器、負(fù)載均衡）的策略配置信息進(jìn)行優(yōu)化檢查，檢查策略類型包括：隱藏策略、冗余策略、可合并策略、ACL策略未被調(diào)用、空策略和過期策略，并以餅狀圖方式顯示問題策略分布梳理情況和統(tǒng)計(jì)每類問題策略數(shù)量；支持策略優(yōu)化檢查出的問題策略進(jìn)行標(biāo)記功能，便于再次檢查時(shí)忽略檢查，或清理時(shí)忽略已標(biāo)記的問題策略；支持被管理設(shè)備（防火墻、交換機(jī)、路由器、負(fù)載均衡）的策略的地址對(duì)象，服務(wù)對(duì)象，時(shí)間對(duì)象進(jìn)行優(yōu)化檢查，檢查類型包括：空對(duì)象和未被引用對(duì)象，并以餅狀圖方式顯示問題對(duì)象分布梳理情況和統(tǒng)計(jì)每類問題對(duì)象數(shù)量；支持策略優(yōu)化檢查處置功能，可針對(duì)問題策略直接翻譯生成對(duì)應(yīng)的處置優(yōu)化腳本，并通過策略下發(fā)模塊進(jìn)行下發(fā)；5策略收斂梳理基于防火墻策略命中日志分析，支持安全策略的歷史命中次數(shù)統(tǒng)計(jì)以趨勢(shì)圖方式顯示；支持策略三元組（源地址、目的地址、目的端口）命中數(shù)與利用率統(tǒng)計(jì)分析。顯示源址的目的地址的對(duì)象內(nèi)每個(gè)地址的命中次數(shù)，并且統(tǒng)計(jì)源地址的百分比利用率、目的地址的百分比利用率、目的端口的百分比以利用率；支持對(duì)大段策略進(jìn)行收斂梳理，梳理?xiàng)l件支持合并方式、掩碼長度、合并標(biāo)準(zhǔn)、統(tǒng)計(jì)周期等多個(gè)維度進(jìn)行組合設(shè)定，并支持對(duì)收斂建議結(jié)果自動(dòng)轉(zhuǎn)換為整改優(yōu)化命令行腳本，通過策略下發(fā)模塊進(jìn)行下發(fā)，實(shí)現(xiàn)策略寬松策略收斂的閉環(huán)；支持自定義內(nèi)網(wǎng)IP地址范圍、互聯(lián)網(wǎng)地址范圍，并在收斂梳理任務(wù)中可設(shè)置是否跳過互聯(lián)網(wǎng)地址梳理；6安全域拓?fù)涔芾磉\(yùn)用可視化技術(shù)，基于防火墻、路由器、交換機(jī)、負(fù)載均衡設(shè)備配置信息自動(dòng)生成全網(wǎng)邏輯拓?fù)鋱D，實(shí)現(xiàn)網(wǎng)絡(luò)安全域基礎(chǔ)架構(gòu)與訪問關(guān)系的可視化展示；支持靈活的網(wǎng)絡(luò)拓?fù)渚庉嫻δ埽扇我饪刂凭W(wǎng)關(guān)設(shè)備、連接子網(wǎng)等元素的顯示和隱藏；支持拓?fù)鋱D層上網(wǎng)關(guān)設(shè)備的大小、圖標(biāo)、位置等顯示屬性的修改和調(diào)整；支持根據(jù)不同的網(wǎng)絡(luò)區(qū)域繪制多個(gè)網(wǎng)絡(luò)拓?fù)鋱D層；支持通過虛擬網(wǎng)關(guān)的方式模擬不同區(qū)域網(wǎng)絡(luò)的互聯(lián)關(guān)系，并支持經(jīng)過虛擬網(wǎng)絡(luò)的跨區(qū)域路徑分析功能；針對(duì)邊界區(qū)域的模擬網(wǎng)關(guān)，支持自動(dòng)采集邊界路由器的路由表數(shù)據(jù)，并將路由中的業(yè)務(wù)網(wǎng)段或IP信息補(bǔ)充到模擬網(wǎng)關(guān)設(shè)備配置中；支持二層防火墻設(shè)備的接入，并通過模擬串聯(lián)的方式在拓?fù)鋱D中體現(xiàn)；支持子網(wǎng)拆分功能，針對(duì)有相同管理或業(yè)務(wù)地址的設(shè)備通過子網(wǎng)拆分實(shí)現(xiàn)自動(dòng)拓?fù)涞暮侠硇裕?策略開通運(yùn)維支持仿真開通、自動(dòng)開通、定向開通三種策略開通運(yùn)維方式：

1）仿真開通：平臺(tái)基于路徑模擬仿真引擎，通過待開通的五元組進(jìn)行路徑仿真分析，自動(dòng)定位到需新增放通策略的防火墻設(shè)備，并生成命令行腳本；

2）自動(dòng)開通：支持在只納管防火墻設(shè)備的情況，通過實(shí)現(xiàn)維護(hù)好的防火墻與防護(hù)網(wǎng)段字典表，根據(jù)待開通的五元組與字典表進(jìn)行匹配并確定需新增放通策略的防火墻設(shè)備，并生成命令行腳本；

3）定向開通：用戶指定防火墻設(shè)備，系統(tǒng)根據(jù)待開通的五元組翻譯生成命令行腳本；支持負(fù)載均衡策略的自動(dòng)開通運(yùn)維，可根據(jù)開通需服務(wù)器地址、服務(wù)、POOL信息、Na跳轉(zhuǎn)換等信息自動(dòng)生成開通命令行腳本；支持開通管理：支持通過任務(wù)工單形式維護(hù)策略開通申請(qǐng)，包括新增操作，以及策略開通申請(qǐng)選路建議、風(fēng)險(xiǎn)分析、策略下發(fā)、開通驗(yàn)證等結(jié)果信息展示；支持Excel批量導(dǎo)入訪問控制策略開通申請(qǐng)，支持對(duì)批量策略開通結(jié)果進(jìn)行匯總下載；支持源、目的地址錄入單個(gè)或多個(gè)主機(jī)IP、單個(gè)或多個(gè)網(wǎng)段IP（網(wǎng)段支持各類變長子網(wǎng)掩碼，至少包括/8、/16、/24）、單個(gè)或多個(gè)IP地址范圍（如：1.1.1.1-1.1.1.20），并可組合錄入，最多可支持254組；支持同時(shí)錄入TCP、UDP、ICMP等不同類型的開通協(xié)議；支持每類服務(wù)能夠錄入單個(gè)端口、多個(gè)端口或端口范圍；支持開通建議：根據(jù)開通申請(qǐng)的源、目的進(jìn)行全網(wǎng)路徑查詢，并展示查詢結(jié)果，列出開通建議，包括涉及到的節(jié)點(diǎn)設(shè)備信息，以及路由、ACL策略配置建議等；針對(duì)多源/多目的/多服務(wù)開通申請(qǐng)，需根據(jù)每一組源/目的/服務(wù)的組合進(jìn)行開通建議，然后再從防火墻維度進(jìn)行合并匯總；在單臺(tái)防火墻涉及到多條策略需求時(shí)，支持將該臺(tái)防火墻配置集中顯示在一個(gè)文本中；支持過NAT前后防火墻配訪問控制配置腳本的自動(dòng)分段生成，以保證過NAT時(shí)訪問控制策略下發(fā)的正確性與效率；支持自定義策略生成命令行規(guī)范，至少包括但不限于：是否創(chuàng)建地址對(duì)象；是否復(fù)用現(xiàn)有對(duì)象；安全域配置；ACL掛載接口方向設(shè)置；支持新增策略位置的配置管理，包括：插入最前，插入最后，插入到指定行之前，插入到指定行之后，插入到相關(guān)策略之前；支持策略下發(fā)反饋管理配置，如自定義一些常見錯(cuò)誤，下發(fā)時(shí)命中錯(cuò)誤時(shí)可繼續(xù)跳過錯(cuò)