如果企业配置的访问控制策略已达到上百条甚至上千条,且策略逐渐复杂化,会给企业安全管理人员的排查定位问题带来了极大的挑战。当前云防火墙支持自动化策略分析能力,帮您及时且高效地分析当前企业的访问控制策略。本文介绍如何进行访问控制策略分析。
功能优势
策略分析能够及时发现无效、冗余、重复类、离散类策略,降低规格占用,节省成本和提升策略稳定性。
策略分析能够及时发现高危端口或默认非拒绝策略等,方便及时补齐访问控制策略,降低安全风险。
策略分析可以帮您检查当前配置策略的有效性,例如:
无流量命中策略
源和目的对象相同无效策略
重复冗余策略
业务冲突策略等
默认兜底策略不是Deny All白名单机制
高风险端口放行风险策略
管控策略过于宽松
策略分析规格
不同版本包含的分析规格
当前云防火墙的访问控制策略分析能力免费,不同版本默认包含的分析规格如下:
按量版:2,000条。即互联网边界、VPC边界、NAT边界、地址簿的访问控制策略分析规格总和。
高级版:3,000条。即互联网边界、NAT边界、地址簿的访问控制策略分析规格总和。
企业版:5,000条。即互联网边界、VPC边界、NAT边界、地址簿的访问控制策略分析规格总和。
旗舰版:10,000条。即互联网边界、VPC边界、NAT边界、地址簿的访问控制策略分析规格总和。
规格计算方式
策略分析占用规格数的计算公式如下:
策略分析占用的规格数=(访问控制策略条数+地址簿个数)*检查项个数。
地址簿中IP地址簿重复、重复、分散这条检查项不支持ECS标签地址簿分析。
例如,IPv4地址簿中包含10个IP地址簿,5个ECS标签地址簿,检查项为IP地址簿重复、重复、分散。此时您占用的策略分析规格为10*1=10。
查看规格占用量
云防火墙支持统计策略分析的占用规格,方便您把控当前购买版本的策略分析规格占用量。
在策略分析页面,查看总检查策略数、剩余规格、待处理风险条数以及不同边界的待处理风险类型分布情况,帮助您更准确识别业务中策略的风险情况并进行策略整改。
检查访问控制策略
云防火墙支持检查互联网边界、NAT边界、VPC边界和地址簿的访问控制策略。
登录云防火墙控制台。
在左侧导航栏,选择。
在策略分析页面,定位到您需要的检查项,单击操作列检查。
在确认提示框,单击确定。
检查完成后,会将检查结果展示在检查项详情页。
处理访问控制检查结果
对访问控制策略检查后,针对不合规的策略,您需要根据检查结果进行整改。
定位到已完成检查的检查项,单击操作列详情。
在检查项详情页面,您可以看到不合规策略详情。
根据业务,确认策略是否符合当前业务,并进行处理。
符合:单击忽略。后续将不会再检查该条策略。
不符合:根据整改建议修改该条策略。然后单击处理,将策略标记为已处理。
相关文档
配置或者查看互联网边界的访问控制策略,请参见配置互联网边界访问控制策略。
配置或者查看NAT边界的访问控制策略,请参见配置NAT边界访问控制策略。
配置或者查看VPC边界访问控制策略,请参见配置VPC边界访问控制策略。
配置或者查看地址簿的情况,请参见地址簿管理。