如果企業配置的訪問控制策略已達到上百條甚至上千條,且策略逐漸復雜化,會給企業安全管理人員的排查定位問題帶來了極大的挑戰。當前云防火墻支持自動化策略分析能力,幫您及時且高效地分析當前企業的訪問控制策略。本文介紹如何進行訪問控制策略分析。
功能優勢
策略分析能夠及時發現無效、冗余、重復類、離散類策略,降低規格占用,節省成本和提升策略穩定性。
策略分析能夠及時發現高危端口或默認非拒絕策略等,方便及時補齊訪問控制策略,降低安全風險。
策略分析可以幫您檢查當前配置策略的有效性,例如:
無流量命中策略
源和目的對象相同無效策略
重復冗余策略
業務沖突策略等
默認兜底策略不是Deny All白名單機制
高風險端口放行風險策略
管控策略過于寬松
策略分析規格
不同版本包含的分析規格
當前云防火墻的訪問控制策略分析能力免費,不同版本默認包含的分析規格如下:
按量版:2,000條。即互聯網邊界、VPC邊界、NAT邊界、地址簿的訪問控制策略分析規格總和。
高級版:3,000條。即互聯網邊界、NAT邊界、地址簿的訪問控制策略分析規格總和。
企業版:5,000條。即互聯網邊界、VPC邊界、NAT邊界、地址簿的訪問控制策略分析規格總和。
旗艦版:10,000條。即互聯網邊界、VPC邊界、NAT邊界、地址簿的訪問控制策略分析規格總和。
規格計算方式
策略分析占用規格數的計算公式如下:
策略分析占用的規格數=(訪問控制策略條數+地址簿個數)*檢查項個數。
地址簿中IP地址簿重復、重復、分散這條檢查項不支持ECS標簽地址簿分析。
例如,IPv4地址簿中包含10個IP地址簿,5個ECS標簽地址簿,檢查項為IP地址簿重復、重復、分散。此時您占用的策略分析規格為10*1=10。
查看規格占用量
云防火墻支持統計策略分析的占用規格,方便您把控當前購買版本的策略分析規格占用量。
在策略分析頁面,查看總檢查策略數、剩余規格、待處理風險條數以及不同邊界的待處理風險類型分布情況,幫助您更準確識別業務中策略的風險情況并進行策略整改。
檢查訪問控制策略
云防火墻支持檢查互聯網邊界、NAT邊界、VPC邊界和地址簿的訪問控制策略。
登錄云防火墻控制臺。
在左側導航欄,選擇。
在策略分析頁面,定位到您需要的檢查項,單擊操作列檢查。
在確認提示框,單擊確定。
檢查完成后,會將檢查結果展示在檢查項詳情頁。
處理訪問控制檢查結果
對訪問控制策略檢查后,針對不合規的策略,您需要根據檢查結果進行整改。
定位到已完成檢查的檢查項,單擊操作列詳情。
在檢查項詳情頁面,您可以看到不合規策略詳情。
根據業務,確認策略是否符合當前業務,并進行處理。
符合:單擊忽略。后續將不會再檢查該條策略。
不符合:根據整改建議修改該條策略。然后單擊處理,將策略標記為已處理。
相關文檔
配置或者查看互聯網邊界的訪問控制策略,請參見配置互聯網邊界訪問控制策略。
配置或者查看NAT邊界的訪問控制策略,請參見配置NAT邊界訪問控制策略。
配置或者查看VPC邊界訪問控制策略,請參見配置VPC邊界訪問控制策略。
配置或者查看地址簿的情況,請參見地址簿管理。