定期审计和优化安全策略

你的网络不断变化。新用户和新设备，新服务和新应用，意味着你需要新的安全策略。在网络环境的不断变化中，曾经热门的应用可能已经不再流行，安全策略也会过时。随着安全策略列表不断变长，管理复杂度飞速增加，安全风险可能被隐藏，防火墙的性能也开始受到影响。定期审计是解决这个难题的一个有效方法。表面上，审计工作带来了额外的投入，但是定期的审计是在事情变得糟糕之前解决问题的好办法。一些行业法规要求组织必须定期审计安全策略，如PCI DSS要求每半年审计1次。

建议定期审视防火墙的安全策略。通过审计，精简和优化安全策略，帮助防火墙在性能和安全性之间实现相对理想的平衡。

• 首先花点时间理解当前的安全策略，了解其意图和背景。如果你为安全策略设置了语义化的名称、在描述字段记录了策略变更请求的历史信息，这项工作并不难。如果可能，跟业务方确认该安全策略是否还有必要保留。
• 检查描述字段为空的安全策略。虽然描述字段为空本身不是问题，但是这确实增加了安全策略的管理复杂度。
• 检查临时安全策略，删除过期失效的安全策略。序号前的图标表示临时安全策略已经过期。
• 检查禁用的安全策略，删除禁用期满的安全策略。
• 检查是否有未使用、重复或过时的安全策略。如果多人维护防火墙安全策略，就很有可能出现重复策略。如果网络中有设备或资产退役，防火墙上必然会出现过时策略。这些安全策略不会被流量命中，因此你可以集中分析命中次数为0的安全策略。请根据分析结果，删除冗余策略。
• 检查是否有匹配条件交叉的安全策略。如果交叉策略的动作相同，请合并它们。如果交叉策略的动作不同，请确认合理的动作，并调整配置。
• 检查匹配条件中带有Any的策略。要确认此安全策略是否必需，是否可以限制该匹配条件的范围。通常情况下，服务不应该设置为Any。
• 检查是否放行了不安全的服务，如FTP、Telnet等。这些服务明文传输，存在安全风险。
• 检查命中次数最多的那些安全策略。在不影响策略匹配结果的前提下，把频繁命中的安全策略调整到更前面的位置。这能显著提高匹配速度。

• 检查日志，根据会话日志、策略命中日志等优化和完善安全策略配置。

删除策略之前，建议先禁用，确认不影响业务之后再删除。一旦删除了安全策略，就很难恢复具体配置及其在策略列表中的位置了。禁用后，如果发现该安全策略还有必要，可以快速启用。

安全策略的审计和优化是一项非常复杂的工作，其中，安全策略的分析尤其困难。华为防火墙提供了Smart Policy功能，可以实现单台设备的策略冗余分析、策略命中分析和应用风险调优。你也可以选择专业的安全策略管理产品，如FireMon、AlgoSec。