如何优化安全策略

了解使用限制和注意事项

在开始优化安全策略之前，请仔细阅读以下内容。

• 在优化安全策略之前，请先备份配置文件。如果策略优化时出现业务异常，请使用备份的配置文件恢复。
• 对于主备备份模式的双机组网，请在主用设备上执行策略命中分析。在主用设备上删除或修改安全策略，会自动同步到备用设备。
• 对于负载分担模式的双机组网，策略命中分析功能不可用。因为流量可能从任意一台设备转发，主用设备和备用设备上的策略命中日志都不完整，不能用来分析安全策略的实际使用情况。
• 虚拟系统下不支持策略冗余分析、策略命中分析。
• 策略冗余分析不支持自定义服务。如果安全策略中引用了自定义服务，则此安全策略不参与策略冗余分析。
• 策略冗余分析不支持域名组。如果安全策略中引用了域名组，策略冗余分析仅根据域名组的名称来判定安全策略是否冗余，无法根据域名组中的域名判定安全策略是否冗余。
• 设备对未配置动作或策略状态为禁用的安全策略不做冗余分析。未配置动作的安全策略属于冗余配置，可以直接删除。状态为禁用的安全策略不参与策略匹配，可在禁用期满后删除。
• 设备上配置的安全策略数量过多、安全策略的匹配条件过于复杂（例如安全策略中引用了过多地区，或者安全策略引用的地址集中包含了过多地址）时，策略冗余分析需要比较长的时间，请耐心等待。
• 防火墙产品提供的策略优化功能比较简单，你可以选择购专业的安全策略管理软件，如FireMon Security Manager、AlgoSec Firewall Analyzer。

策略冗余分析

1. 在防火墙的Web界面上，选择“策略 > 安全策略 > 策略冗余分析”。
2. 单击“开始分析”。当安全策略较多时，策略冗余分析耗时较长，且会占用大量的设备资源。在“确认”提示框中单击“确定”，开始分析。

   策略冗余分析只能分析出因包含关系导致的屏蔽异常和冗余异常，不支持由交叉关系导致的冗余异常和关联异常。有关策略异常的详细分析，请参考附录：什么是安全策略异常？

   例如：下图中，策略1和策略2为屏蔽异常，策略3和策略4是由包含关系导致的冗余异常，策略5和策略6是由交叉关系导致的关联异常。

   完成策略冗余分析后，防火墙只能识别出策略1和策略2、策略3和策略4。下图中，冗余标识为完全冗余，表示策略2和策略4分别是策略1和策略3的冗余策略。

3. 对照业务需求，检查冗余的安全策略。你可能需要删除冗余的安全策略，或者调整安全策略的顺序。

策略命中分析

策略命中分析功能依赖流量日志。使用策略命中分析功能前需要先确认已经开启流量日志记录功能，并运行足够长的时间（建议至少1个月）。

1. 在系统视图下，执行log type traffic enable命令开启流量日志记录功能。

   缺省情况下，开启log type traffic enable开关后，所有命中安全策略的流量日志都会被记录到存储介质中。如果你在安全策略规则视图下使用traffic logging disable命令禁用了该策略的流量日志记录功能，请先使用undo traffic logging命令取消该配置。你可以使用display current-configuration | include traffic logging disable检查。

2. 在防火墙的Web界面上，选择“策略 > 安全策略 > 策略命中分析”。
3. 选择“最近一个月”，查看策略命中情况。如果某安全策略长时间没有流量命中，请先禁用，并持续关注该安全策略相关的用户报告。如果1个月内没有业务异常报告，可以彻底删除该安全策略。

排查含有不精确匹配条件的安全策略

1. 检查并标识匹配条件中带有Any、动作为“允许”的安全策略。通常情况下，源安全区域、目的安全区域、源地址/地区、目的地址/地区、服务不能为Any。
2. 选择并编辑该安全策略，启用“记录策略命中日志”功能。

3. 分析策略命中日志，识别并细化合法业务范围。例如，某安全策略允许任意IP地址访问某服务（即源地址/地区为Any），则检查其策略命中日志所记录的源地址，确认合法的地址范围，建立地址集。然后将该安全策略的源地址/地区从Any修改为新建的地址集。

   在防火墙的Web界面上，可以添加该安全策略作为查询项，筛选出过去一段时间内（如过去1个月）的策略命中日志。

4. 逐一完成所有安全策略的日志分析和调整。