防火墙智能策略详解

今天继续给大家介绍华为防火墙系列内容。本文主要内容是华为USG6000系列防火墙的智能策略原理。

一、智能策略的引入

在传统的安全策略中，解决了最基本的防火墙访问控制问题，但是在具体的业务环境下，安全策略配置也存在了一些其他问题，具体表现为以下三点：
1、配置逻辑复杂。 逻辑配置复杂一方面指维度条件多，从应用、用户、时间、地区、域和五元组方面的应用配置十分复杂，特别是应用，目前华为系列防火墙已达6000多个。另一方面指防护手段多，具体包括AV、IPS、URL、DLP、文件过滤、邮件过滤、应用行为管控等等。
2、易产生安全风险。 安全风险一方面指未配置合理安全profile引发的安全问题，另一方面指随意配置安全profile导致的防火墙性能下降问题。
3、易冗余。 管理的精细化必然导致策略数量增加，而数量增加进而加大了维护的难度。长期的策略增删改维护必然又导致冗余策略产生，而冗余策略又是难以识别的。
针对安全策略存在的上述问题，智能策略（Smart Policy）提供了冗余分析和策略调优功能，可以很好的解决上述安全策略配置存在的问题。

二、智能策略原理

智能策略应用如下图所示：

智能策略可以应对以下三种情况。

（一）冗余策略产生及应对

冗余策略是指优先级高的策略的所有匹配条件均为优先级低的策略的超集时，则成两条策略间存在冗余关系。
冗余策略会占用优先的防火墙策略资源，消耗宝贵的防火墙性能。
智能策略可以进行冗余策略分析，其原理是安全安全策略按优先级从高到低遍历，每条策略与优先级高的进行两两比较，比较的内容包括应用、服务、用户、时间段、源目IP、源目安全域等，识别出冗余策略并提示用户删除。

（二）未命中策略产生及应对

未命中策略是指指定时间段内未被任何流量所命中的策略。未命中策略会加重管理的维护负担，白白占用优先的策略资源，消耗宝贵的防火墙性能。
智能策略可以进行命中分析，根据日志，识别出指定时间段内从未被命中的安全策略，并提示用户删除。

（三）有风险策略产生及应对

有风险策略是指策略存在被流量命中的多种应用安全风险，而且为引用对应的安全profile文件的策略。
针对有风险策略，智能策略可以进行风险调优，为存在风险的策略应用合理的内容安全防护手段。
在这里要注意的是，只有动作为permit的安全策略才会有风险，动作为deny的策略无风险可言。

三、智能策略注意事项

在配置智能策略时，一定要注意以下5点：
1、智能策略不支持双机热备。
2、虚拟系统不支持智能策略。
3、设备型号不同，对智能策略的支持也不同，并不是所有型号的防火墙都支持智能策略。
4、在配置智能策略时，可以考虑从web界面配置。
5、智能策略的配置必须要通盘考虑业务场景的安全防护方案。比如说有专门的WAF来做内容安全处理，则考虑到防火墙的性能，就没有必要在防火墙上对指定的应用做内容安全处理；长时间未命中的策略也不一定必须删除，还是需要通盘考虑实际的业务场景。
原创不易，转载请说明出处：https://blog.csdn.net/weixin_40228200/article/details/119117598