策略分析

如果企业配置的访问控制策略已达到上百条甚至上千条,且策略逐渐复杂化,会给企业安全管理人员的排查定位问题带来了极大的挑战。当前云防火墙支持自动化策略分析能力,帮您及时且高效地分析当前企业的访问控制策略。本文介绍如何进行访问控制策略分析。

功能优势

  • 策略分析能够及时发现无效、冗余、重复类、离散类策略,降低规格占用,节省成本和提升策略稳定性。

  • 策略分析能够及时发现高危端口或默认非拒绝策略等,方便及时补齐访问控制策略,降低安全风险。

策略分析可以帮您检查当前配置策略的有效性,例如:

  • 无流量命中策略

  • 源和目的对象相同无效策略

  • 重复冗余策略

  • 业务冲突策略等

  • 默认兜底策略不是Deny All白名单机制

  • 高风险端口放行风险策略

  • 管控策略过于宽松

策略分析规格

不同版本包含的分析规格

当前云防火墙的访问控制策略分析能力免费,不同版本默认包含的分析规格如下:

  • 按量版:2,000条。即互联网边界、VPC边界、NAT边界、地址簿的访问控制策略分析规格总和。

  • 高级版:3,000条。即互联网边界、NAT边界、地址簿的访问控制策略分析规格总和。

  • 企业版:5,000条。即互联网边界、VPC边界、NAT边界、地址簿的访问控制策略分析规格总和。

  • 旗舰版:10,000条。即互联网边界、VPC边界、NAT边界、地址簿的访问控制策略分析规格总和。

规格计算方式

策略分析占用规格数的计算公式如下:

策略分析占用的规格数=(访问控制策略条数+地址簿个数)*检查项个数

地址簿中IP地址簿重复、重复、分散这条检查项不支持ECS标签地址簿分析。

例如,IPv4地址簿中包含10个IP地址簿,5个ECS标签地址簿,检查项为IP地址簿重复、重复、分散。此时您占用的策略分析规格为10*1=10。

查看规格占用量

云防火墙支持统计策略分析的占用规格,方便您把控当前购买版本的策略分析规格占用量。

策略分析页面,查看总检查策略数、剩余规格、待处理风险条数以及不同边界的待处理风险类型分布情况,帮助您更准确识别业务中策略的风险情况并进行策略整改。

image

检查访问控制策略

云防火墙支持检查互联网边界、NAT边界、VPC边界和地址簿的访问控制策略。

  1. 登录云防火墙控制台

  2. 在左侧导航栏,选择防护配置 > 策略分析

  3. 策略分析页面,定位到您需要的检查项,单击操作检查

    image

  4. 在确认提示框,单击确定

    检查完成后,会将检查结果展示在检查项详情页。

处理访问控制检查结果

对访问控制策略检查后,针对不合规的策略,您需要根据检查结果进行整改。

  1. 定位到已完成检查的检查项,单击操作详情

  2. 检查项详情页面,您可以看到不合规策略详情。

    image

  3. 根据业务,确认策略是否符合当前业务,并进行处理。

    • 符合:单击忽略。后续将不会再检查该条策略。

    • 不符合:根据整改建议修改该条策略。然后单击处理,将策略标记为已处理。

相关文档