随着越来越多的数据泄露,符合 PCI DSS 要求对于处理支付卡数据的商家来说至关重要。遵守此监管要求可增强网络安全性。遵守此要求是一个持续的过程,需要持续监控您的网络流量、配置更改、审计跟踪等。
ManageEngine 的防火墙分析器 - 适用于多个防火墙供应商的防火墙配置管理和安全设备日志分析软件,可帮助您遵守 PCI -DSS 3.0 版要求,通过其开箱即用的报表解决防火墙策略问题。
规则 | 描述 | Firewall Analyzer 如何满足此要求 |
---|---|---|
1.1.1 | 批准和测试所有网络连接以及对防火墙和路由器配置的更改的正式流程 | 防火墙分析器为您提供有关防火墙配置更改的详细信息,这有助于网络连接的批准和测试。该解决方案会在任何配置更改时触发实时告警,帮助管理员对任何错误配置立即采取行动。 |
1.1.5.a | 验证防火墙和路由器配置标准是否包含业务所需的服务、协议和端口的文件化列表,例如超文本传输协议 (HTTP) 和安全套接字层 (SSL)、安全外壳 (SSH) 和虚拟专用网络 (VPN)协议 | Firewall Analyzer 为您提供有关所有允许的服务、协议和策略的详尽信息,帮助您验证防火墙和路由器配置标准 |
1.1.5.b | 识别不安全的服务、协议和允许的端口,并通过检查每个服务的防火墙和路由器配置标准和设置来验证它们是必要的,并记录和实施安全功能 | Firewall Analyzer 为您提供有关所有允许的服务、协议和端口的信息,帮助您分析和识别不安全的服务。此报表用作安全功能文档,允许您检查防火墙和路由器配置标准。使用此解决方案,您还可以根据内部业务需求从不安全服务列表中排除某些服务 |
1.1.6 | 每六个月至少检查一次防火墙规则集 | Firewall Analyzer 能够定期自动检查所有防火墙规则集 |
1.2.1.a | 验证入站和出站流量仅限于持卡人数据环境所需的流量,并且这些限制已记录在案 | 防火墙分析器关于网络流量的详尽报表有助于验证进出 PCI 区域的流量。此报表为您提供有关持卡人数据环境所有入站和出站流量的准确详细信息。防火墙分析器记录到 PCI 数据环境的受限流量,从而允许您验证/阻止不必要的网络流量 |
1.2.1.b | 验证所有其他入站和出站流量是否被明确拒绝,例如通过在允许语句之后使用显式拒绝全部或隐式拒绝 | Firewall Analyzer 允许您配置“显式拒绝规则”以避免未经授权/恶意流量进入您的 PCI 区域。它还为您提供有关所有明确拒绝的规则和允许的流量的报表 |
1.3.2 |
将入站 Internet 流量限制为 DMZ 内的 IP 地址 |
防火墙分析器记录所有允许的从非信任源到 DMZ/非 DMZ 网络的流量。此报表可帮助您将入站流量限制到外围网络内的 IP 地址 |
1.3.3 | 不允许任何直接连接入站或出站互联网和持卡人数据环境之间的流量 | 防火墙分析器为您提供有关从不信任来源到您的 PCI 区域的所有允许的非 NATed 流量的精确报表。该报表通过阻止 Internet 和持卡人数据环境之间的任何直接连接来帮助您保护持卡人环境 |
1.3.4 | 不允许内部地址从 Internet 传递到 DMZ | Firewall Analyzer 的“允许通过 WAN 接口从内部 IP 到 DMZ 的流量”报表使您能够阻止内部地址从 Internet 传递到 DMZ |
1.3.5 | 不要将私有 IP 地址和路由信息透露给未授权方 | 防火墙分析器为您提供 PCI 区域中所有未经过 NAT 并访问外部网络的地址的详尽报表。此报表提供各种信息,例如地址的策略名称、规则名称、源、目标、使用的服务和源/目标接口。使用此报表,用户可以轻松检查哪些私有 IP 地址暴露给外界,哪些不能帮助您保护您的私有 IP 和路由信息免受未经授权方的攻击 |
2.1 | 在网络上安装系统之前,始终更改供应商提供的默认值,包括但不限于密码、简单网络管理协议 (SNMP) 社区字符串和消除不必要的帐户 | 通过 Firewall Analyzer 的开箱即用报表,用户可以检查供应商提供的所有默认值是否已更改,例如密码、加密密钥、SNMP 社区字符串。该解决方案还为您提供了一份报表,其中提供了所有用户帐户的详细信息,并帮助您删除不必要的帐户 |
2.3 | 使用强密码术加密所有非控制台管理访问。使用 SSH、VPN 或 SSL/TLS 等技术进行基于 Web 的管理和其他非控制台管理访问 | Firewall Analyzer 为您提供所有不安全的服务详细信息,例如 HTTP 访问详细信息、TelNet 访问详细信息,可帮助您检查所有非控制台管理访问和基于 Web 的管理中的加密状态 |
10.1 | 建立一个流程,将所有对系统组件的访问(尤其是使用管理权限(如 root)进行的访问)链接到每个单独的用户 | Firewall Analyzer 为您提供“配置更改历史记录”报表,帮助您关联特定特权用户对系统组件的所有访问 |
10.2.1 | 对持卡人数据的所有个人访问 | Firewall Analyzer 允许您创建自定义报表配置文件,帮助您监控所有用户对 PCI 网络中持卡人数据的访问 |
10.2.2 | 任何具有 root 或管理权限的个人采取的所有操作 | Firewall Analyzer 的开箱即用的一段时间内的配置更改报表可帮助您监控所有特权用户/root 用户的操作。此报表为您提供有关所有防火墙配置的“地点、时间、内容、人员”信息变化 |
10.2.4 | 无效的逻辑访问尝试 | 通过 Firewall Analyzer 的“失败登录详细信息”报表,用户可以获得有关对其网络设备的无效逻辑访问尝试的信息 |
10.2.6 | 审计日志的初始化 | Firewall Analyzer 有助于遵守PCI-DSS指令的“用户执行命令的审计跟踪” (10.2.6 a),其配置更改报表记录所有用户活动,配置更改使您的审计跟踪变得简单。该解决方案还通过此报表支持 PCI DSS要求的“自动审计跟踪要求”(10.2.6 b) |
10.4 | 采用时间同步技术,同步所有关键系统时钟和时间 | 防火墙分析器使用时间同步技术同步所有关键系统时钟和时间 |
10.6 | 至少每天查看所有系统组件的日志。日志审查必须包括那些执行安全功能的服务器,如入侵检测系统 (IDS) 和身份验证、授权和计费协议 (AAA) 服务器(例如,RADIUS) | Firewall Analyzer 能够定期查看日志,并且具有针对入侵检测系统和 AAA 服务器(如 RADIUS)等安全功能的告警机制。使用此解决方案,您可以配置告警以满足与安全相关的日志审查 |
11.5 | 部署文件完整性监控工具,以提醒人员对关键系统文件、配置文件或内容文件进行未经授权的修改;并将软件配置为至少每周执行一次关键文件比较 | 防火墙分析器有助于文件完整性监控功能。该解决方案可以在未经授权修改关键配置文件等时提醒网络管理员。用户可以创建告警配置文件,在任何配置更改时触发即时通知。用户可以通过安排定期自动生成配置更改报表。报表也可以通过电子邮件重新分发 |
有关其他防火墙安全标准合规性的更多详细信息,请参阅防火墙合规性管理软件页面。
精选链接
管理防火墙规则以获得最佳性能。无异常、正确排序的规则使您的防火墙受到保护。审核防火墙安全并管理规则/配置更改以加强安全性。
获取大量安全和流量报表以评估网络安全状况。分析报表并采取措施防止未来发生安全事件。监控企业用户的互联网使用情况。
解锁隐藏在防火墙日志中的丰富网络安全信息。分析日志,找出网络面临的安全威胁。此外,获取用于容量规划的 Internet 流量模式。
通过实时带宽监控,您可以识别带宽使用的异常突然中断。采取补救措施,遏制带宽消耗的突然激增。
当您收到网络安全事件的实时通知时,立即采取补救措施。如果带宽超过指定阈值,则检查并限制 Internet 使用。
MSSP 可以托管多个租户,并对其各自的数据进行独占的分段和安全访问。可扩展以满足他们的需求。管理部署在全球的防火墙。