一、 产品概述
随着现代企业信息化程度的不断提高,部署防火墙、实施防火墙策略会越来越多。而这些工作主要依赖人工进行编写和实施。然而,编写防火墙策略的工作量是 很庞大的,而且容易出错,一旦出错会影响网络的正常运行,给企业生产造成影响。为此,各单位一直在研究防火墙策略的自动化维护技术,但是一直都没有取得实 质性进展,主要是难以实现从防火墙策略申请表自动生成防火墙策略,没有该项自动化工作的技术手段。而目前,防火墙厂商只能提供web方式的防火墙维护界 面,其功能同命令行界面是一样的,不能提供额外的功能,难以满足企业的实际运维需要。它不能读取并理解防火墙策略申请表,更不能自动生成防火墙策略。此 外,web维护界面也是在实际的防火墙设备上进行操作的,其操作是实时生效的,不支持虚拟机机制,因此不能提前验证防火墙策略的准确性,这可能会给网络的 正常运行带来巨大风险。 通过本产品,可以在省去很多人力和时间的情况下,完成防火墙的自动化维护,同时还能够保证准确性。
二、 产品功能简介
防火墙自动化平台主要提供以下几方面的功能:
> 变更计划校验
> 变更计划生成
> 垃圾配置清理
> 配置查询
> 流量日志查询
2.1 变更计划校验
功能介绍:
变更计划校验功能可以检查变更计划的语法错误、逻辑错误,另外,还能预验证变更需求在变更计划实施之后的是否能达到预期的效果。
用法介绍:
1) 打开“变更计划校验功能”的页面显示如图2.1.1所示;
2) 使用“变更计划校验功能”,需要提交“防火墙策略申请表”(如图2.1.2所示,excel表格)和变更计划;
3) 提交之后,首先检查变更计划的语法,如果出现语法错误,将告知语法错误信息,如图2.1.3所示;
4) 如果变更计划不存在语法错误,接着会检查变更计划和防火墙的原有配置是否存在逻辑冲突,比如说变更计划要引用一个没有定义过的地址,或者要定义一个已经定义过的地址等等,如果发现逻辑冲突也会将逻辑冲突信息呈现给用户,如图2.1.4所示;
5) 如果变更计划通过语法检查和逻辑冲突检查,接着会预验证变更需求(防火墙策略申请表的内容)在变更计划实施之后能否到达预期的效果。图2.1.5展示了没有达到预期效果的情况,图2.1.6则展示了与预期相符的情况。
图2.1.1 “变更计划校验功能”的初始页面
图2.1.2 防火墙策略申请表
图2.1.3 变更计划的语法错误提示信息
图2.1.4 变更计划与原有配置存在逻辑冲突的提示信息
图2.1.5 预验证结果与预期不符的情况
图2.1.6 预验证结果与预期相符的情况。
变更计划校验功能在预验证的过程中,不仅能够找到完全匹配的情况,还能给出部分匹配情况的信息
2.2变更计划生成
功能介绍:
变更计划生成功能可以快速生成能满足需求的变更计划,需求可以通过图2.1.2所示的“防火墙策略申请表”提交。
用法介绍:
1) 打开“变更计划生成功能”的页面显示如图2.2.1所示;
2) 上传防火墙策略申请表之后,点击“生成变更计划”按钮之后,可以给出变更计划生成的建议和按照此建议生成的步骤,如图2.2.2所示。
2.2.1 变更计划生成功能的初始页面
2.2.2 变更计划生成功能效果展示
变更计划生成功能能够充分理解防火墙的原有配置,按照需求自动生成合理的变更计划,还可同时生成相应的回退变更计划。
2.3垃圾配置清理
功能介绍:
垃圾配置清理功能可以快速遍历防火墙的所有配置,找出其中无效的配置,同时,能自动生成清除这些无效配置的变更计划;同样也支持生成相应的回退变更计划。
用法介绍:
1) 打开“垃圾配置清理功能”的页面显示如图2.3.1所示;
2) 选择目标设备,然后点击相应的功能按钮,就会把清除垃圾配置的变更计划生成出来。
图2.3.1 垃圾配置清理功能的界面
垃圾配置清理功能可以了解策略之间的关系,能找出那些被之前策略遮盖的策略,并将其清除。
2.4配置查询
功能介绍:
配置查询功能可以根据查询条件的不同,提供三种配置查询功能:可以根据地址查询策略,也可以根据服务查询策略,还可以根据地址和服务进行精确查询。
用法介绍:
1) 打开“配置查询功能”的页面显示如图2.4.1所示;
图2.4.1配置查询功能界面
2.5流量日志查询
功能介绍:
Netscreen防火墙可以将流量日志通过syslog发送到日志服务器,通过在日志服务器上部署入库程序实现将traffic日志保存到数据库中,并提供了查询接口。
使用介绍:
图2.5.1流量日志查询功能界面
