久久精品一二三区,亚洲欧美一区日本一区,欧美BBw精品一区二区三区

1- 防火墻運維的困擾

防火墻，作為數據中心建設體系中最重要的環節，承擔著訪問控制的責任，需要時刻保護數據中心內不受非法訪問的影響。但在實際運維中，防火墻又是問題最頻發的環節，眾多的訪問失敗問題和安全問題，均是由于防火墻訪問策略配置錯誤或不嚴謹導致。運維人員在面臨這些問題時，往往依賴傳統抓取防火墻策略配置及日志的方式進行訪問控制策略的優化。但是，防火墻本身就容易成為數據中心架構中的性能瓶頸點，獲取日志的方式必然加大防火墻的負荷，這就導致在“先進、實用、穩定、可靠”的數據中心運維管理原則下，管理員往往選擇不開啟防火墻日志，通過獲取策略配置對防火墻進行日常管理。此情況下，管理員只能判斷策略開通了哪些，卻無法獲知訪問策略是否有效，以及是否還有訪問安全問題等。

2- 流量結合訪問控制策略的解決方案

基于此，智維數據推出了流量結合訪問控制策略的解決方案，通過采集流量，來對防火墻策略的有效性進行對比分析。相較于傳統監控方案，流量結合訪問控制策略的方案優勢是極其明顯的，主要體現在以下幾個方面：

旁路部署，對網絡零影響；

不依賴防火墻日志，防火墻性能零影響；

全流量全通訊對，效果真實而準確

2021年，智維數據隆重發布了防火墻策略可視化平臺產品，從真實流量出發，在不影響防火墻性能的情況下，幫助用戶篩查出大量的防火墻訪問策略中的無效策略、可收斂策略、業務已下線策略以及誤定義策略，實際效果得到了眾多用戶的認可。

3- 使用場景分析

防火墻策略可視化平臺產品在用戶的實際使用中，不僅幫助用戶實現了訪問策略的精細化，還在眾多的運維場景中發揮了價值。以下我們通過幾個場景，來詳解防火墻策略可視化平臺在日常運維中的應用：

高危端口訪問溯源

數據中心內提供各種應用業務，而這些應用開放了眾多的服務端口，一些端口常常會被黑客和木馬病毒利用，對數據中心系統進行攻擊。比如我們最常用的TCP8080端口，通常會被一些提供網頁服務的應用使用，但這個端口同樣可以被各種病毒程序所利用，比如：Brown Orifice（BrO）特洛伊木馬病毒可以利用8080端口完全遙控被感染的計算機；另外，RemoConChubo、RingZero木馬也可以利用該端口進行攻擊。

對于運維人員來說，既要保證8080端口可訪問，又要及時發現基于此端口的攻擊流量并快速應對，如何解決？

針對高危端口，我們可在防火墻策略可視化平臺中進行預定義，來篩查訪問策略中是否存在包含高危端口的訪問策略。

【上圖為demo數據演示】

然后結合流量，篩查包含高危端口的訪問策略是否有命中，命中的訪問量是多少，請求數量是多少。并可進一步追溯訪問高危端口的請求都是由哪些源IP發起的，結合CMDB系統，判斷這些源IP是否是可信的IP，對非法源IP進行快速處理。

異常跨區訪問溯源

往往數據中心內部業務區之間的互訪有防火墻隔離，如果有數據流被這些防火墻阻斷，那么這些數據流很可能是非法嘗試。這種異常的跨區訪問，會在通過防火墻時，被防火墻Deny。防火墻策略可視化平臺能夠對這種異常跨區訪問且被防火墻 Deny 的通訊對進行統計分析，展示非法嘗試的通訊對分布情況及變化情況，幫助用戶進行快速梳理異常跨區訪問，并可將數據提供給相關部門處理。

【上圖為demo數據演示】

業務變更遷移保障

數據中心中90%以上的業務變更和業務遷移都和防火墻有關，訪問策略的正確與否，直接影響變更的成功與否。以往我們在變更前，都需要將前防火墻的配置手動記錄，并配置到新的防火墻。但是，始終缺乏一種有效的手段對這些策略的正確與否進行精確驗證。筆者在過往的割接經驗中，曾不止一次的發生過業務割接上線后，由于訪問策略方向錯誤、網段定義錯誤導致的業務不通，甚至割接回退的情況。

防火墻策略可視化平臺，提供了便捷、高效的可視化能力，輔助數據中心的業務變更和業務遷移：

割接前對策略進行對比，能夠輸出訪問策略的差異，確保策略的準確性。防火墻策略可視化平臺支持不同品牌防火墻的策略對比；