1
防火墙策略收敛的困境:
“一个月只能收敛一条策略,
太影响防火墙性能了,我们不敢再开了!”
安全策略的配置是发挥防火墙防护作用的关键,精细化安全策略配置成为应对威胁的重要手段,而防火墙厂商自带的配置工具现已经无法满足防火墙策略管理的运维需求。
近日,一次技术论坛上,来自各行业的网络负责人纷纷描述了自己工作中的困境:
“我们的防火墙有50万条策略的限制,现在用满了,无效策略很多,但是我们不敢删。如果只是检查重复配置,我们人工可以搞定,但是还有很多场景需要实现,除了检测各种无效策略,还需要策略的收敛。我问过我们下属的机构,他们买过某国际产品,花了几十万,该产品是根据日志来收敛的,想收敛哪一条策略,就开启哪一条策略的日志,不能全开,因为开启日志非常影响防火墙性能,现在他们想收敛一条策略起码1个月,因此收敛了一条,就不敢再开了。”
“策略越积越多,不知道这条策略有没有命中,不敢随便删。业务部门告知他的业务下线了,我还是不敢删策略,万一有其他业务在用这条策略呢?”
“每次业务不通,需排查防火墙的策略是否开通,这个排查非常繁琐且耗时。希望有一个自服务平台,能提供给业务部门自主查询策略是否开通。”
“防火墙经常发生不应该有的deny流量,需要有工具帮我们列出被防火墙deny的通讯对,我们好交给业务部门去自查问题原因。”
2
等保2.0法规要求:
防火墙策略要实现精细化管理
图1 【等保2.0法规内容节选】
随着《网络安全法》出台,国家网络安全等级保护工作进入了2.0时代,其对防火墙策略访问控制的要求&#