FireMon_POC_測試環(huán)境準備_External_r1

FireMonPOC 測試環(huán)境準備四月 18, 2020目錄目錄2前言3目標3主要聯(lián)系人31.0POC 概況42.0POC 細節(jié)4階段 1: 啟動工作4階段 2: 安裝工作42.1 POC 清單52.1.1FireMon 要求：62.1.2通訊協(xié)議62.1.3網(wǎng)絡/設備要求：Check PointCiscoCrossbeamF5FortinetJuniper NetworksMcAfeeNokiaPalo Alto0Huawei1Hillstone2Topsec142.1.4設備列表152.1.5硬件資源要求及部署詳情部署模型163.0客戶技術要求/成功標準174.0時間線18前言這個文件的目的是提供功能驗證（POC）測試計劃的簡明和詳細總結。注：這不是服務參與或生產實施。 這只是一個詳細的測試計劃，可以幫助各方了解并確保FireMon解決方案的成功評估。目標我們的銷售工程師致力于確保我們的產品和服務符合客戶期望的領先的網(wǎng)絡安全分析和風險分析解決方案嚴格的質量標準。如果您對此POC測試計劃有任何疑問或疑慮，請聯(lián)系我們的團隊成員。 我們在這里幫助您正確地測試我們的解決方案。 主要聯(lián)系人客戶主要聯(lián)系人名稱：職務：電話：郵件：FireMon 主要聯(lián)系人名稱：孔慶恩職務：售前顧問電話件：名稱：職務：電話：郵件：1.0POC 概況FireMon 準備在你的網(wǎng)絡環(huán)境中安裝和配置Security Manager。安裝和配置可能包括下列任一或全部任務。 安裝在物理設備或虛擬機(VM)。 配置服務器以與Security Manager客戶端和某些網(wǎng)絡及安全設備進行通信 (不超過5臺設備)。 設置對被納管設備變更監(jiān)控和配置檢索。 驗證Security Manager的核心功能和授權的其他軟件模塊, 如Policy Planner、Policy Optimizer和Risk Analyzer。請注意, Security Manager及其他模塊功能 (支持級別 1-4) 因設備類型而異。 建立優(yōu)化防火墻策略配置的管理任務。 答復各功能的應用問題。 演示我們的產品如何滿足您的 POC技術要求標準。2.0POC 細節(jié)階段 1: 啟動工作這一階段的目的是與客戶確認, 已經(jīng)完成必要的初步工作, 以繼續(xù)后面的POC 測試過程。 POC 啟動會議o POC 準備的項目 （參見2.1.1, 2.1.4, 3.0） 測試環(huán)境準備會議階段 2: 安裝工作FireMon 或合作伙伴SE將在客戶的技術人員協(xié)助下安裝和配置FireMon 系統(tǒng)。 包括以下內容 利用屏幕共享系統(tǒng) FireMon 使用 Zoom（遠程協(xié)助） 遵循 FireMon 實施方法o 記錄安裝方法中的任何/所有偏差 驗證核心功能以及在安裝范圍內確定的內容o 標準化配置o 檢測變更o 接收利用率（命中）日志o 用戶、組和權限 完成開機自檢系統(tǒng)健康性檢查參與方：FireMon 或合作伙伴 SE2.1 POC 清單 本節(jié)列出了在客戶環(huán)境中安裝和配置Security Manager及其他功能模塊所需的網(wǎng)絡和服務器要求。 為了準備好測試, 我們建議確保在POC開始前滿足條件要求, 或者在安裝FireMon系統(tǒng)期間能夠有效地滿足要求。通常, 客戶的其他部門將需要參與其中。例如, 一個部門可能擁有 Cisco 設備的管理, 并且可以訪問為Security Manager數(shù)據(jù)收集器創(chuàng)建必要的帳戶, 而您可能擁有Security Manager的管理權限, 但您可能沒有權限配置須納管的設備。充分利用每個人的時間, 如果您的設備訪問或時間有限, 我們強烈建議您在POC前盡可能多地完成這些準備工作。2.1.1FireMon 要求：無論您是安裝在 FireMon 硬件還是安裝在 VM，您都需要在安裝當天之前提供以下數(shù)據(jù)。 服務器必須上架并建立物理連接。（比如網(wǎng)線連接） FireMon自帶操作系統(tǒng)，您不需要服務器上預裝任何操作系統(tǒng)。 操作系統(tǒng)的首次運行安裝向導需要以下內容：o 網(wǎng)絡連接o IP 地址o 子網(wǎng)掩碼o 域名o 默認網(wǎng)關o DNS 服務器 o NTP 服務器 （如果可用）o SNMP 服務器（如果可用）o SMTP 服務器（如果可用）參與方：客戶2.1.2通訊協(xié)議FireMon系統(tǒng)是B/S架構, 使用 HTTPS 通信協(xié)議。下面是列出用于連接的各種端口及其功能的表單。本節(jié)將更多地用于對我們的產品工作過程的理解, 而不是所有的端口都適用于此 POC。安全通信-CVE 更新-Web 瀏覽器端口類型連接功能443TCPHTTPS用于應用程序服務器（Application Server，簡稱AS）和數(shù)據(jù)收集器（Data Collector，簡稱DC）之間的安全通信, 以及從 Web 瀏覽器到應用服務器之間的安全通訊。也可用于從應用服務器使用 SSL 訪問.gov 下載新的 CVE 更新.日志處理和配置檢索端口類型連接功能514UDPSyslog當您使用中央日志服務器進行日志記錄時需要。22 / 23TCPSSH用于從數(shù)據(jù)收集器（Data Collector）獲取配置信息到非 Checkpoint 設備。18190TCPCP CPMI從Data Collector到 Checkpoint 管理服務器。 用于CPMI 通信的默認防火墻端口。用于從管理服務器獲取策略配置。18184TCPCP LEA用于在 Data Collector 和 Check Point 管理服務器之間建立 LEA 連接。 安全管理器（Security Manager，簡稱SM）使用日志導出API（LEA）連接到 Check Point 日志服務器。18210TCPCP Certs用于在 Data Collector 和 Check Point 管理服務器之間生成證書。443TCPHTTPS從瀏覽器到應用程序服務器（AS），從應用程序服務器到.gov網(wǎng)站。 用于通過SSL從安全管理器導出配置。 也用于從應用程序服務器訪問.gov以下載新的CVE更新。 數(shù)據(jù)庫通訊端口類型連接功能5432TCPPostgreSQLPostgreSQL 數(shù)據(jù)庫服務器偵聽的端口號。2049TCPNFSNFS服務器偵聽的端口號。 這為分布式部署提供了一個共享文件系統(tǒng)。應用服務器（AS）各應用通信端口類型連接功能5701TCPDistr CacheSecurity Manager 分布式緩存使用的端口號。 5702TCPDistr Cache工作流（Policy Planner 和 Policy Optimizer）分布式緩存使用的端口號。61617TCPDistr MSG QueueJava消息服務（JMS）偵聽器的端口號。 JMS消息傳遞允許應用程序組件創(chuàng)建、發(fā)送、接收和讀取消息。6155UDPCluster DiscoveryJMS集群成員發(fā)現(xiàn)使用的端口號。54327UDPCluster Discovery分布式緩存集群成員發(fā)現(xiàn)使用的端口號。通知端口類型連接功能25TCPSMTP用于從應用程序服務器（AS）發(fā)送電子郵件通知。服務端口圖示說明2.1.3網(wǎng)絡/設備要求：本節(jié)介紹FireMon Data Collector（數(shù)據(jù)收集器，簡稱“DC”）從網(wǎng)絡和安全設備獲取策略和配置所需的訪問權限。在大多數(shù)情況下，安全管理器（SM）數(shù)據(jù)收集器（DC）必須從設備接收系統(tǒng)日志消息，并且它需要SSH訪問才能獲取配置。 但是，具體要求因設備而略有不同。 請在下面內容中找到您使用的設備類型。 參與： FireMon 和客戶如果貴公司要求在預定變更窗口期間批準并實施下述訪問請求，請確保在POC開始之前實施這些更改。 然后，記下所有設備IP地址和帳戶信息。我們強烈建議客戶在實施過程中有一個開放的變更控制權限。 這將確保您可以靈活地在遵守公司的變更控制要求的同時進行最后時限的訪問更改。 Check PointCheck Point設備Data Collector帳戶級別端口其他要求Firewall-1, CMA, MDSCMA或MDS上的只讀權限管理員。 MDS需要Global Manager帳戶。18210在管理服務器上建立SIC。OPSEC LEA對象必須使用FireMon數(shù)據(jù)收集器（DC）的IP地址創(chuàng)建。FireMon DC必須添加為GUI客戶端。18184使用日志導出API（LEA）連接到Check Point日志服務器。18190用于CPMI通信。用于從管理服務器檢索策略。CiscoCisco設備Data Collector帳戶級別端口其他要求ASA, FWSM, IOS, CatOS擁有15級權限的帳戶514 用于 SyslogSSH 訪問22 用于 SSH檢索配置DC作為“Informational”級別的Syslog 服務器。將需要 Enable 密碼。記錄來自以下方面的信息性消息：acllog，syslog，local0NexusNetwork-operator 514 用于 SyslogDC作為遠程Syslog服務器添加22用于 SSH檢索配置ACE中的關鍵字“l(fā)og”。SSH 訪問CrossbeamCrossbeam設備Data Collector帳戶級別端口其他要求X-Series, C-Series只讀權限管理員帳戶514 用于 SyslogDC添加為Syslog服務器22 用于 SSH檢索配置日志設置：Monitor Level 4,Logging Level 7,Log Level Name F5F5設備Data Collector帳戶級別端口其他要求Big-IP資源（Resource）管理員514 用于SyslogDC添加為Syslog服務器22 用于 SSH檢索配置日志設備local0的Syslog消息。FortinetFortinet設備Data Collector帳戶級別端口其他要求FortiGate (non-VDOM)Super_admin 賬戶514 用于Syslog啟用Syslog轉發(fā)到DC。22用于 SSH檢索配置禁用 “other” 流量 (推薦)FortiGate VDOM全局 super_admin 賬戶514 用于 Syslog啟用Syslog轉發(fā)到DC。22用于 SSH檢索配置禁用 “other” 流量 (推薦)FortiManager SuperUser ReadOnly 8080 發(fā)現(xiàn)設備并檢索配置 Juniper NetworksJuniper Networks設備Data Collector帳戶級別端口其他要求NSM, ScreenOSRead-only 管理員帳戶514 用于Syslog啟用Syslog消息發(fā)送到DC。22用于 SSH檢索配置啟用 event logs, traffic logs, facility local0。8443 用于NSM服務器 IP (NSM 通訊需要)SRXSuper-user 帳戶514 用于 Syslog將DC添加為Syslog主機。22用于 SSH檢索配置啟用Syslog 消息 “any” 設備和 “info” 級別。VSYSRead-only 用戶帳戶管理 IP 地址VSYS 名稱M- and MX-SeriesSuper-user 帳戶514 用于Syslog將DC添加為Syslog主機。22用于 SSH檢索配置啟用Syslog消息 “any” 設備和“info” 嚴重性。將關鍵字“l(fā)og”添加到防火墻過濾器中的每個條目。 （利用率分析使用）McAfeeMcAfee設備Data Collector帳戶級別端口其他要求Sidewinder (v7)讀寫帳戶514 用于 Syslog啟用Syslog消息發(fā)送到DC。22用于 SSH檢索配置使用facility local0，啟用Syslog消息，并僅篩選變更審計事件。Firewall Enterprise (v8)管理員用戶帳戶514 用于Syslog啟用Syslog消息發(fā)送到DC。22用于 SSH檢索配置使用facility local0和格式SEF，啟用Syslog消息。NokiaNokia / Check Point設備Data Collector帳戶級別端口其他要求IPSORead-only 管理員帳戶514 用于Syslog啟用Syslog消息發(fā)送到DC。22用于 SSH檢索配置使用facility local0，啟用Syslog消息，并僅篩選變更審計事件。Palo AltoPalo Alto設備Data Collector帳戶級別端口其他要求PanoramaDynamic SuperUser_ReadWrite 帳戶514 用于 Syslog將DC設置為Syslog服務器以接收設備Log_Local0和配置日志的日志。443 用于檢索配置將DC添加為允許訪問的IP地址。Firewalls 和 虛擬 Firewalls (VSYS)Dynamic SuperUser514 用于 Syslog將DC設置為Syslog服務器以接收配置、系統(tǒng)（informational）和流量日志。22用于 SSH檢索配置0HuaweiHuawei（華為）設備Data Collector帳戶級別端口其他要求EudemonRead-only 管理員帳戶514 用于 Syslog啟用Syslog消息發(fā)送到DC。22用于 SSH檢索配置將DC設置為Syslog服務器以接收配置、系統(tǒng)（informational）和流量日志。NGFWRead-only 管理員帳戶514 用于Syslog啟用Syslog消息發(fā)送到DC。22用于 SSH檢索配置將DC設置為Syslog服務器以接收配置、系統(tǒng)（informational）和流量日志。1HillstoneHillstone（山石）設備Data Collector帳戶級別端口其他要求HillstoneRead-only 管理員帳戶514 用于 Syslog啟用Syslog消息發(fā)送到DC。22用于 SSH檢索配置將DC設置為Syslog服務器以接收配置、系統(tǒng)（informational）和流量日志。勾選“配