防火墙管家Security Manager

FireMon Security Manager可以协助管理员优化防火墙的安全策略，了解当前防火墙策略的使用状况，可以查看哪些策略是长期以来没有被使用过，哪些安全策略的使用率最高，可以查看某条安全策略实际的流量状况，分析流量是如何穿过这条策略的；根据这些信息，管理员就可以对安全策略进行优化，如清理掉一些不必要的策略，并且能够准确了解到当前策略的使用效果等。良好的全图形化界面将提升管理员对安全策略的可视性，这将大大提高管理员针对防火墙的安全管理效率。防火墙的管理将变得简单、容易。

FireMon Security Manager的一些典型功能包括：

安全策略变更管理

实时配置变更通知

FireMon Security Manager会实时监控防火墙，当防火墙的配置或者安全策略被变更时，指定的管 理员会实时收到Security Manager发来的通知，告知管理员配置的变更以及变更状况。

防火墙安全策略配置助手

当需要增加或修改防火墙安全策略时，可通过Security Manager的Policy Planner模块协助规划安全策略的配置。Policy Planner能够更具输入的信息，智能的分析是否该如何配置策略，包括是否需要新的安全策略，如何需要，则会建议出所需配置的安全策略，包括给出配置的具体位置、配置的防火墙等。

变更控制跟踪、不同时间点配置比对

记录每次防火墙配置的修改，包括修改的详细技术信息。并且可比较不同时间点的配置的异同， 并详细标记差异之处，使得管理员清楚地了解配置的变化，以及变化的过程。

比对不同防火墙安全策略效果的异同

统一格式导出所有防火墙的安全策略配置

能够以统一的CSV格式导出所管理防火墙上的所有安全策略配置，方便文档管理。

安全策略使用状况分析

安全策略利用率报告

FireMon Security Manager记录每条安全策略的被使用情况，并且通过图形化方式显示策略利用率报告。通过这个报告，你可以查看某台防火墙上安全策略的利用率状况，或者哪些策略是长期以来没有被使用过。管理员通过该报告可以调整防火墙安全策略的顺序，或者删除删除长期命中率为零的安全策略。

下图就是一张安全策略利用率报告样本。

对象(object)使用状况分析

FireMon Security Manager 不仅能够记录每条安全策略的使用率状况，还能够记录每天策略内的各个对象（object）的使用状况，是否存在冗余的、无用的对象，管理员可以通过此信息精简策略配置，提升防火墙效率；

访问路径分析 Access Path Analysis

管理员可以利用Security Manager的APA功能，分析当前网络结构下，以及防火墙策略配置下，系统内的两个节点间的某服务是否可达，并给出可达的详细报告，包括路径、通过的设备、通过的防火墙设备命中的哪一条策略等等。这样，管理员能够方便的了解所配置的某条策略是否生效，或者是否需要增加新的安全策略来阻止系统内两点间的某项服务。

冗余安全策略分析

随着网络复杂度的提升，防火墙的策略也变得日益庞大，而其中通常有大量的无用，或者冗余的安全策略。过多的安全策略严重降低防火墙的性能及效率。通过Security Manager，管理员可查看哪些安全策略是不必要的冗余配置。可以根据该报告清理多余的安全策略。

安全策略收敛及安全策略流量分析（Traffic Flow Analysis）

许多防火墙上均会存在一些过于“宽松”的安全策略，包括允许了过多的IP地址、允许了过多的服务端口，或者直接是’any’类型的安全策略。这不符合安全策略配置的一般性原则，需要进行“收敛”。这需要了解这些安全策略下的流量状况，包括特定应用流量的占比，如HTTP流量百分比多少，TCP端口443的占比多少等。通过Security Manager的Traffic Flow Analysis功能，管理员可查看任何一条安全策略的流量详细信息，包括各种应用的占比等。管理员可以根据该报告制定更加有针对性、更加准确的安全策略，从而提升防火墙的安全性。

防火墙配置合规性审计

基于国标的合规性审计

Security Manager可根据国际规范，包括PCI或者ISO 27002等，审计防火墙的配置。审计报告中会显示哪些配置是不符合规范，并且会给出修改配置的建议。

自定义企业自身安全规范

并据此进行安全合规性审计

许多客户都有企业自身的安全规范。主要包括安全域之间互访的一些规则规范、自定义危险端口等。通过Security Manager，特别是利用Security Manager中提供FMQL工具，管理员可将企业的安全规范在Security Manager中进行定义，并且可据此对系统内防火墙设备的安全策略配置进行合规性检查，发现不合规的安全策略。可自定义非常复杂条件的安全规范，包括各种复杂查询条件的组合，与、或、非等。查询结果可按照管理员的指定格式进行输出，如CSV、XML、PDF、JSON等。也可输出到企业自身的管理系统。这些合规性审计报告，除了可实时查看外，也可定期自动发送给指定管理员。

部署

FireMon Security Manager可部署在系统中任何IP可达位置。硬件方面，用户可以选择FireMon的专用硬件产品，也可以选择将Security Manager软件安装在系统内的服务器上。并不需要在防火墙或者其他网络设备上安装软件，对用户网络安全方面的配置不会有任何改变。

可管理的防火墙设备

以下这些设备均可在安全管家Security Manager上被管理：