1.方案介绍
防火墙策略优化平台，通过网络旁路部署的方式对现有的网络、应用不产生任何影响的方式，7x24小时采集防火墙前后交换机的流量和防火墙策略配置。图表化界面将提高对防火墙策略的可视性。帮助管理员消除防火墙存在的问题策略，了解当前防火墙策略的使用状况，更好的去优化防火墙策略，让防火墙策略管理变得简单。
2.方案部署
防火墙策略优化平台以软硬一体化设备的方式部署，通过旁路部署的方式7x24小时采集现有网络、应用不产生任何影响的采集防火墙前后交换机的流量和防火墙策略配置，对防火墙性能零影响。
2 功能概述
2.1策略优化
防火墙由于日积月累，策略越积越多，通常会存在宽泛策略等原因形成的无效策略，这些无效策略会增加防火墙管理的难度，导致防火墙性能随之降低。另外，由于策略越积越多且数量巨大，如果采用人工方式逐条筛查，会消耗大量的人力和时间。而不同设备的厂商策略的格式和表达方式也都各不相同且操作流程不规范，需要反复进行策略分析优化。nCompass防火墙策略可视化平台可通过获取防火墙的配置信息，对防火墙策略进行逐条筛查，自动分析相互之间的重复、包含与被包含的关系，发现宽泛策略、无业务策略、长期未命中策略和可合并策略等问题策略，并且提供防火墙策略优化方案，将分析的结果作为运维人员策略优化的依据。从而大大减少防火墙策略的数量，优化防火墙性能，提升其工作效率。
2.2实时监控
可视化能力是运维的核心能力，只有看得到才能谈管理。如何消除防火墙策略可视化盲区，是众多用户的需求所在。nCompass防火墙策略可视化平台提供了实时监控功能，具备同时分析防火墙流量和策略配置的能力，以柱状图的方式呈现出最近1小时的防火墙无关、未命中与命中的流量，并且呈现出命中策略、未命中策略与非防火墙的数据流以及每一条策略数据流的状态信息。
2.3策略查询
在安全演练阶段，当安全部门发现有IP存在攻击行为，需要快速定位该威胁入口时；当业务部门新上业务，访问不了，需要了解防火墙策略的开通情况时；如果有一个功能可以准确地排查到问题策略，那么业务部门就可以自行去确认防火墙策略的开通情况。在过去出现以上情况通常只能让运维人员人工去逐条排查问题策略，会消耗运维团队大量的时间和人力，而且对问题策略无法保证准确性，对一些风险、不规范策略有时甚至无法检出。nCompass防火墙策略可视化平台同时具备实时流量和策略配置结合分析能力，以及策略查询自服务功能，能让防火墙策略管理工作效率得到极大提升。
2.4合规检测
数据中心内部业务区之间的互访往往有防火墙隔离，如果存在被这些防火墙阻断的数据流，那么这些数据流很可能是非法的尝试。合规检测可以专门分析这种异常跨区访问被防火墙Deny的策略，还能够对异常跨区访问做统计分析，并提供所有异常的数据流。
2.5变更验证
运维人员对防火墙替换后的效果常常会心存疑虑，因为会存在许多无法预测的问题。通过nCompass防火墙策略可视化平台采集新、旧防火墙的策略配置，并一一比对新、旧防火墙的策略，帮助运维人员在防火墙更换时提供有效的数据支撑，变更之后，还可以对比实际流量是否一致，大幅减轻变更后的业务访问验证等工作量，提高运维效率
2.6统计报告
nCompass防火墙策略可视化平台的统计报告功能，内置常用的报表系统，可以按照不同的使用场景、不同部门生成所需的报表，如导出防火墙问题策略、导出被防火墙Deny的通讯对等。

防火墙策略优化平台以软硬一体化设备的方式部署，通过旁路部署的方式7x24小时采集现有网络、应用不产生任何影响的采集防火墙前后交换机的流量和防火墙策略配置，对防火墙性能零影响。
1、旁路部署，对网络零影响；
2、不依赖于防火墙日志，对防火墙性能零影响；
2、全流量全通讯对，效果真实而准确。

1、防火墙策略优化
防火墙是通过安全策略来进行安全防护的，所以防火墙的安全策略配置和管理是企业信息安全工作的主要组成部分。缺乏安全策略的退出机制，比如定期的策略风险核查、策略生命周期管理、持续的策略收敛优化等。
在“防火墙概况”，用户可以点击进入存在问题策略的防火墙，在优化详情界面，将对防火墙的问题策略自动分析后进行归类，在不同的优化方向，有多少条目可优化变得一目了然。提供操作建议与操作风险提示，可作为用户对该策略优化的依据。
防火墙策略可视化平台支持发现以下类型的问题策略：
重复：配置完全一致，属于无效策略
被包含：被其他策略包含，属于无效 策略
未命中：长期没有流量命中，删除需谨慎
可合并：可与其他策略合并，减少策略条目，便于管理
可收敛：策略宽泛，收敛可提升安全性，满足等保规范
无业务：策略有命中，但无有效数据传输，可能业务已下线，删除需谨慎
违规：违反策略配置规则
高危端口：策略包含高危端口定义的端口
2、定位威胁入口
nCompass防火墙策略可视化平台可基于实时采集的防火墙流量和策略配置，提供安全人员“IP查策略”这个功能，协助安全部门及时通过灵活的检索规则，对存在攻击行为的IP作出相应的安全处理动作。
在使用“IP查策略”的这个功能界面里，只需要在右上角输入源IP地址，目的IP地址，以及端口与协议，就可以快速的自动分析出该IP或会话由哪个防火墙进来，是哪条策略放行的。也会显示相关数据流的实际流量有多少。
3、策略查询自服务
很多时候业务部门新上的业务访问不了，需要运维人员去确认防火墙策略是否开通，这些工作会消耗运维人员大量时间。nCompass防火墙策略可视化平台提供了策略查询自服务功能，业务部门可以自行确认防火墙策略开通的情况。
还有一种需要自服务的场景是：业务部门计划将一组服务器从一个数据中心迁移到另外一个数据中心，此时防火墙策略也要相应迁移，必须获取与该业务相关的所有策略，以便业务快速上线。而相关人员往往很难将需要开通什么端口记得清楚。
4、异常跨区访问
在数据中心内部业务区之间的互访有防火墙隔离，如果存在被这些防火墙阻断的数据流，这些数据流很可能是非法的尝试。需要一些技术方式找出这种异常的跨区访问，对异常跨区访问做统计分析，并提供所有异常的数据流。
针对该问题，用户可以通过nCompass防火墙策略可视化平台提供的Deny分析界面，页面特有的统计分析功能将展示出流量到达防火墙，但是被防火墙deny的流量。统计维度是源IP、目的IP、目的端口。
5、防火墙变更，为更换后验证提供数据支持
在运维人员对数据中心的防火墙进行更换时，通常需要将流经旧设备的流量镜像到新的设备，并将原有设备的配置预先做一个备份，然后将被替换设备的配置完整迁移到替换的设备上面，配置迁移完成之后，则需要按照业务需求进行测试。
这种迁移流程通常会存在以下问题：
配置迁移问题：在配置导入进新的设备后，这些配置有没有不兼容，有没有缺失以及有没有错误都无从知晓。
数据验证问题：在替换完成之后需要按照业务需求进行逐条测试，费时费力。
nCompass 防火墙策略可视化平台通过采集新、旧防火墙的实时流量和策略配置，同步比对新、旧防火墙的策略配置和流量数据， 使流量与配置结合，数据验证更加高效和准确。为运维人员在防火墙更换时提供有效的数据支撑，减轻变更后验证等工作量，提高运维效率。