互联网企业安全运维实践(4)

我们自主开发了防火墙运维管理系统，这张图是核心功能模块的索引和实现功能简介。拓扑计算，通过计算路由，生成防火墙拓扑，判断出一个策略需求，经过哪几台防火墙。策略查询2个功能，一是用户自助查询2点间的防火墙策略;二是申请策略时后台会自动判断是否已有策略支持，如果有的话，会返回消息告诉用户说已经有策略了，无须申请。

策略生成模块，抽象策略对象，判断策略申请是增删改哪种场景生成相应的工艺。工单对接是指如何与企业中的变更管理工单管理系统对接。自动化不能逾越流程，反而要严格遵循流程。在工单对接环节会重点强调。其它工具，VPN管理、改密码、审批关系维护、墙元素查询，都非常有价值，极大提升运维工作效率。

总结

最后简单谈一些感想。第一做安全运维也要理解业务，理解业务才能针对不同业务实施不一样的保护级别，如果全部采用相同保护级别的话，你的安全成本会非常高。

第二个要有充分的预案，因为我们不知道接下来会发生什么，我们通常认为防火墙HA部署的可靠性已经很高了，但是极端情况下会出现两台防火墙同时坏掉的悲剧，就需要有应急预案处理这样的极端情况。

第三个是定期演练。即使有了预案，还需要定期演练，不然真出现问题，对方案不熟悉或是预案针对的环境已经发生变化，预案早已不再有效却没有及时发现。

第四是善用乙方的资源，在系统的专业性方面，已方的工程师可能比较强，但对于业务本身，当然是甲方工程师更清楚，要利用相应的优势，为业务提供保护。

第五是创新思维，就是用创新的想法去解决实际问题，并且成为一种能力。

第六是全面安全视角，安全运维不仅是对各种安全设备和软件进行运维保障系统安全，还要兼顾运维安全，解决研发、运维同事产生的各种危险坑点，基本上是涵盖了整个系统安全的方方面面。所以需要有全面的安全视角，才能应对不断产生的安全风险和挑战。

（编辑：ASP站长网）