防火墙安全策略管理实验

【实验目的】

根据企业内部不同的安全需求制定不同的防火墙安全策略，并防止冗余策略的出现。

【实验场景】

A公司购入一台防火墙设备，公司不同部门的安全要求是不同的，并在每个部门设置一个管理员，设置各自部门的安全策略，例如，采购一部不允许访问亚马逊网站，采购二部允许访问亚马逊网站。最近安全运维工程师发现，采购一部的同事也可以访问亚马逊网站，安全部门经理要求安全运维工程师处理该问题并复现配置过程。请思考应如何复现并处理安全策略的问题。

【实验原理】

安全策略是防火墙的核心功能，它提供了多种维度，比如源IP、目的IP、源安全域、目的安全域、服务、应用、时间、地域、用户等多种过滤功能，可以根据自身的需要设置相应的安全策略，对经过防火墙的数据进行过滤。

通常情况下，防火墙会从上到下按照顺序匹配安全策略，一旦有一条安全策略匹配后，将不再向下匹配，而在企业业务繁多的情况下，安全策略的条目会随着企业的业务丰富而增多，容易产生重复配置、配置错误、规则顺序错误、冲突的安全策略，这类型安全策略称为“冗余策略”,防火墙平台会检测到冗余策略，管理员可以根据实际情况及防火墙的建议进行调整或删除冗余策略。

实验拓扑：