评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
为什么要优化安全策略
现网中业务复杂,防火墙上的安全策略数量众多,出现安全策略异常和冗余的可能性很高。这不仅会影响业务的正常运行,还会带来安全风险,降低防火墙的性能。
安全策略异常
安全策略的排列顺序非常重要。华为防火墙的安全策略检查是按照顺序从上向下依次匹配的,一旦匹配到某一条安全策略就停止,并按照该安全策略指定的动作处理报文。如果两个安全策略的匹配条件没有重叠,它们的顺序无关紧要。但是,匹配条件重叠的情况很常见。在这种情况下,如果安全策略的顺序设置不合理,就会导致异常。安全策略的异常可能有多种情况,其影响和处理建议也各不相同,具体请参考附录:什么是安全策略异常?
安全策略过时
随着业务的发展和网络的变化,安全策略可能会过时。这些安全策略已经不再使用,也不会被任何报文命中。这些过时的安全策略会影响匹配速度和防火墙的性能,也会增加管理工作的复杂度。
安全策略不精确
安全策略应遵循最小授权原则,仅为合法流量开放安全策略。开放安全策略时,设置尽可能精确的匹配条件,谨慎使用Any作为匹配条件。安全策略不精确会带来安全风险。
