如果企业配置的访问控制策略已达到上百条甚至上千条,且策略逐渐复杂化,会给企业安全管理人员的排查定位问题带来了极大的挑战。当前云防火墙支持自动化策略分析能力,帮您及时且高效地分析当前企业的访问控制策略。本文介绍如何进行访问控制策略分析。
功能优势
-
策略分析能够及时发现无效、冗余、重复类、离散类策略,降低规格占用,节省成本和提升策略稳定性。
-
策略分析能够及时发现高危端口或默认非拒绝策略等,方便及时补齐访问控制策略,降低安全风险。
策略分析可以帮您检查当前配置策略的有效性,例如:
-
无流量命中策略
-
源和目的对象相同无效策略
-
重复冗余策略
-
业务冲突策略等
-
默认兜底策略不是Deny All白名单机制
-
高风险端口放行风险策略
-
管控策略过于宽松
策略分析规格
不同版本包含的分析规格
当前云防火墙的访问控制策略分析能力免费,不同版本默认包含的分析规格如下:
-
按量版:2,000条。即互联网边界、VPC边界、NAT边界、地址簿的访问控制策略分析规格总和。
-
高级版:3,000条。即互联网边界、NAT边界、地址簿的访问控制策略分析规格总和。
-
企业版:5,000条。即互联网边界、VPC边界、NAT边界、地址簿的访问控制策略分析规格总和。
-
旗舰版:10,000条。即互联网边界、VPC边界、NAT边界、地址簿的访问控制策略分析规格总和。
规格计算方式
策略分析占用的规格数=(访问控制策略条数+地址簿个数)*检查项个数。
地址簿中IP地址簿重复、重叠、分散这条检查项不支持ECS标签地址簿分析。
例如,IPv4地址簿中包含10个IP地址簿,5个ECS标签地址簿,检查项为IP地址簿重复、重叠、分散。此时您占用的策略分析规格为10*1=10。
查看规格占用量
云防火墙支持统计策略分析的占用规格,方便您把控当前购买版本的策略分析规格占用量。
在策略分析页面,查看总检查策略数、剩余规格、待处理风险条数以及不同边界的待处理风险类型分布情况,帮助您更准确识别业务中策略的风险情况并进行策略整改。
待处理风险类型分布包括互联网边界、NAT边界、VPC边界和地址簿四种类型。
检查访问控制策略
云防火墙支持检查互联网边界、NAT边界、VPC边界和地址簿的访问控制策略。
-
登录云防火墙控制台。
-
在左侧导航栏,选择。
-
在策略分析页面,定位到您需要的检查项,单击操作列检查。
页面顶部提供 互联网边界、NAT边界、VPC边界、地址簿 页签,可按需切换查看对应边界的策略检查结果。
-
在确认提示框,单击确定。
检查完成后,会将检查结果展示在检查项详情页。
处理访问控制检查结果
对访问控制策略检查后,针对不合规的策略,您需要根据检查结果进行整改。
-
定位到已完成检查的检查项,单击操作列详情。
-
在检查项详情页面,您可以看到不合规策略详情。
页面上方展示检查项名称(如管控策略过于宽松)、风险等级、检查项说明(检查策略源地址对象、目的地址对象、端口对象中是否含有 Any)、整改建议(建议规则对象尽可能最小颗粒度)、最近检查时间和边界类型。下方的不合规策略详情表格包含方向、策略ID、描述、访问源、访问目的、协议、应用、端口和操作列,操作列提供忽略和处理入口。
-
根据业务,确认策略是否符合当前业务,并进行处理。
-
符合:单击忽略。后续将不会再检查该条策略。
-
不符合:根据整改建议修改该条策略。然后单击处理,将策略标记为已处理。
-
相关文档
-
配置或者查看互联网边界的访问控制策略,请参见配置互联网边界访问控制策略。
-
配置或者查看NAT边界的访问控制策略,请参见配置NAT边界访问控制策略。
-
配置或者查看VPC边界访问控制策略,请参见配置VPC边界访问控制策略。
-
配置或者查看地址簿的情况,请参见地址簿。