主页 » 合规性报表

策略优化


在防火墙分析仪的合规性页签下,有策略优化子页签。通过它可得到被认知为异常的规则列表,从而帮助您优化防火墙策略的性能。

本报表支持Cisco, Fortigate, 和 Juniper SRX 设备。

在策略优化的页面中,将为您提供防火墙设备的详尽的、不同种类的策略异常报表。

Policy Optimization Selection

 

策略异常报表是针对特定防火墙的,因此必须选择特定的防火墙设备才可得到报表,否则无法显示数据。

策略优化报表

显示的异常报表包括:相关、归纳、组合、冗余、影子,将以图形和表格的形式加以呈现。

 

Policy Anaomaly Options

 

策略优化

异常分类

Firewall Rule Anomaly

 

1. 影子异常 

  • 当前面的规则匹配了符合该规则的所有数据包,其后的规则从来不会被触及,则后续的规则被称之影子规则,如果删除该影子规则,对安全策略没有任何影响。
  • 规则 Rx 是 Ry 的影子,条件为:如果 Rx 在顺序上紧随 Ry 之后,并且,Rx 是  Ry 的匹配子集,并且 Rx 和 Ry 的动作不同
  • 影子规则的存在,有可能导致允许的流量被阻止,或者阻止的流量被允许。因此它是异常规则。发现影子规则并告警管理员,纠正(删除或重排序)影子规则非常重要。
示例:

Source
Destination
Service
Action
10.0.0.1-10.0.0.10 20.0.0.1-20.0.0.10 http,https
Allow
10.0.0.5 20.0.0.3
http
Deny

这种情况下,第二个规则永远不会击中,动作不同,它是影子规则。


2. 冗余异常

  • 冗余规则,针对相同的数据包,执行与其它规则同样的动作。因此,删除冗余规则,对安全策略没有任何影响。
  • 规则 Rx 是 Ry 的冗余,如果 Rx 是 Ry 的匹配子集,并且Rx和Ry的动作类似。
  • 如果删除该规则,策略的结果不受影响。
  • 冗余被认为是一种错误,是因为它不会对过滤结果起任何作用,但是它增加的过滤表的大小,导致搜索时间的增加和资源空间的耗费。发现冗余异常,并告警管理员,让其做适当的修改,对改进防火墙性能非常重要。
影子和冗余规则多少有些类似,区别在于:如果动作不同,则为影子,动作相同则为冗余。

情形 1 (R1 is subset/equal of R2): 管理员可以删除 R1

情形 2 (R2 is subset of R1): 管理员可以删除 R2


示例:

Source
Destination
Service
Action
10.0.0.1-10.0.0.10 20.0.0.1-20.0.0.10 http,https
Allow
10.0.0.5 20.0.0.3
http
Allow


3. 相关异常

  • 如果两个规则有不同的过滤动作,并且第一个规则匹配一部分能匹配第二个规则的数据包,第二个规则也能匹配一部分匹配第一个规则的数据包,则这两个规则是相关的规则。
  • 规则Rx和规则Ry具有相关异常,如果Rx和Ry相关,且动作不同
  • 如果互换这两个规则的顺序,策略的结果将会发生变化。

示例:

Source
Destination
Service
Action
10.0.0.5 20.0.0.1-20.0.0.10 http,https
Allow
10.0.0.1-10.0.0.10 20.0.0.3
http
Deny

在上述例子中,规则1中,从10.0.0.5 到 20.0.0.3 的HTTP流量被允许通过,但是,如果将第二个规则移到先与第一个规则,结果 从10.0.0.5 到 20.0.0.3 的HTTP流量被阻止通过。策略的结果发生和变化。
相关只是作为异常警告,不需要建议。这类异常必须由防火墙的管理员手动明确地处理。

4. 归纳异常: 

  • 如果第一个规则匹配了第二个规则能匹配的所有数据包,但是 ,反过来,第二个规则不能匹配第一个规则的所有数据包,则第一个规则归纳了第二个规则。
  • 规则 Rx 是规则Ry的归纳,如果Rx顺序上在Ry之后,并且Rx 是Ry匹配的超集(更大),并且Rx和Ry的动作不同。
  • 如果两个规则的顺序交换,策略的结果会发生变化。

示例:

Source
Destination
Service
Action
10.0.0.5 20.0.0.3 http
Allow
10.0.0.1-10.0.0.10 20.0.0.1-20.0.0.1-20.0.0.10 http,https
Deny

上述示例中,规则2是规则1的归纳。如果这两个规则的顺序互换,策略的结果将发生变化,并且规则1将不再起作用。因为它变为规则2的影子了。作为一般性的指南,如果两个规则的匹配条件中存在包容性的关系,则具有超集的规则必须在具有子集的规则后边。

归纳只是作为异常警告,因为在常规规则前,插入一个特定的规则允许特定的例外是可以的。这类异常需由防火墙管理员来处理。

5. 规则组合

它不是标准的异常,而是本软件特别提供的。

  • 如果两个规则动作相同,并且在源、目的、服务中其中一个因素有些不同,而其余的都相同,则这两个规则可以组合起来(成为一个规则)。
  • 例如: Rx 和 Ry 具有相同的目的和服务,只有源不同 ,建议将这两个规则组合,通过分别定义各个源的网络对象,将这两个规则合并为一个规则。

示例:

Source
Destination
Service
Action
10.0.0.11-10.0.0.20 20.0.0.1-20.0.0.10 http,https Allow
10.0.0.1-10.0.0.10 20.0.0.1-20.0.0.10 http,https
Allow

管理员可以创建一个叫做 'InternalTest'的网络对象(其中包含10.0.0.11-10.0.0.20 和 10.0.0.1-10.0.0.10 网络对象),然后删除这两个规则,重新创建一个新规则,如下所示:

Source Destination Service Action
InternalTest (or) 10.0.0.1-10.0.0.20  20.0.0.1-20.0.0.10 http,https Allow

这里,也可以直接将源合并组合为: '10.0.0.1-10.0.0.20'。

 

 



版权所有 © 2015, 卓豪(北京)技术有限公司, 保留一切权利