You need to enable JavaScript to run this app.
导航
云防火墙
  • 文档首页
    • /云防火墙/用户指南/运维管理/策略分析
策略分析
最近更新时间:2025.03.27 22:12:18首次发布时间:2025.03.10 19:09:18
我的收藏
有用
有用
无用
无用

随着企业业务发展,防火墙访问控制策略数量可能激增至数百甚至上千条,策略体系日益复杂。冗余或陈旧的策略若未被及时清理,可能成为攻击者的突破口;而配置错误引发的策略冲突,更会导致关键流量被错误放行或拦截,直接影响业务安全。本文将介绍如何通过策略分析功能,快速定位并优化问题策略,有效降低安全风险。

前提条件

您已完成互联网边界防火墙、NAT边界防火墙或VPC边界防火墙的访问控制策略配置。

策略分析内容

兜底非全阻断策略

  • 分析概述:云防火墙默认为全放行,若未配置兜底全阻断策略,则容易存在未授权访问,建议结合业务判断,默认配置兜底全全阻断策略,仅放行信任的流量,提升业务安全性。
  • 检查范围:互联网边界防火墙、NAT边界防火墙、VPC边界防火墙。
  • 检查方法:检查优先级最低的策略是否为源地址、目的地址、协议、目的端口为ANY,动作为拒绝的策略,访问控制策略列表中若未配置策略也会视为未配置兜底全阻断策略。

高危端口放行策略

  • 分析概述:检查策略是否向互联网开放了高风险应用端口,高风险端口暴露在互联网上,存在较大的攻击风险。建议结合业务判断,建议关闭高风险端口,减少暴露面,降低攻击风险。高风险端口检测包括:
    • Linux远程运维端口22
    • Windows远程运维端口3389
    • MySQL远程运维端口3306
    • Redis远程运维端口6379
    • Oracle远程运维端口1521
    • PostgreSQL远程运维端口5432
    • SQL Server远程运维端口1433
    • DB2远程运维端口50000
    • Elasticsearch远程运维端口9200,9300
    • Hadoop YARN远程运维端口8088
    • Hadoop远程运维端口50030,50070
    • MongoDB远程运维端口27017
    • Spark远程运维端口6066
    • Splunk远程运维端口8089,8090
  • 检查范围:互联网边界防火墙入站策略,NAT边界防火墙入站策略。
  • 检查方法:检查策略是否放行如22、3306等高风险端口。

无流量命中策略

  • 分析概述:若策略因为下线或其他原因导致最近30天没有流量中, 没有被及时清理,可能成为攻击者或者违规访问的入口点,建议结合业务判断,删除无效策略。
  • 检查范围:互联网边界防火墙、NAT边界防火墙、VPC边界防火墙。
  • 检查方法:检查策略近30天是否有流量命中。

源地址和目的地址相同策略

  • 分析概述:当访问控制策略配置了访问源和访问目的相同的策略,则该策略无法生效,建议删除。
  • 检查范围:互联网边界防火墙、NAT边界防火墙、VPC边界防火墙。
  • 检查方法:检查策略的源地址与目的地址是否一致。

管控过于宽松策略

  • 分析概述:白名单放行策略建议配置最小权限,减少未授权访问和攻击入侵风险,建议结合业务判断,配置精准策略。
  • 检查范围:互联网边界防火墙、NAT边界防火墙、VPC边界防火墙动作为放行/观察的策略。
  • 检查方法:检查策略的源地址、目的地址、目的端口中任意两个为ANY。

深度分析策略

  • 分析概述:通过策略深度分析,识别出重复冗余、业务冲突类略,重复冗余策略,导致存在一些完全失效策略增加管理员成本,业务冲突类略可能会会导致关键流量被错误放行或拦截。
  • 检查范围:互联网边界防火墙、NAT边界防火墙、VPC边界防火墙。
  • 检查方法:通过深度分析算法,检查出无法命中的策略以及与其冲突的策略。

深度分析策略案例说明

案例1:重复冗余策略识别
当前策略被优先级更高的策略覆盖,包括IP覆盖、域名覆盖、端口覆盖,且动作完全一致,导致低优先级策略失效,如下所示:

  • 优先级1和优先级2的策略分别覆盖了优先级3策略的不同部分。虽然优先级3策略最终完全失效,但这是由两个高优先级策略共同造成的,单个高优先级策略无法完全覆盖优先级3策略的生效范围,属于非全覆盖类型。

  • 优先级4的策略完全覆盖了优先级5的策略生效范围,导致优先级5策略完全失效。这种情况下,单个高优先级策略就能完全覆盖低优先级策略的生效范围,属于全覆盖类型。

    规则优先级

    访问源类型

    访问源

    访问目的类型

    访问目的

    协议类型

    目的端口

    动作

    1

    IP

    1.1.1.1

    IP

    2.2.2.2

    ANY

    0/65535

    放行

    2

    IP

    1.1.1.1

    IP

    3.3.3.3

    ANY

    0/65535

    放行

    3

    IP

    1.1.1.1

    IP

    2.2.2.2和3.3.3.3

    ANY

    0/65535

    放行

    4

    IP

    1.1.1.1

    IP

    192.168.1.0/24

    ANY

    0/65535

    放行

    5

    IP

    1.1.1.1

    IP

    192.168.1.2

    ANY

    0/65535

    放行

案例2:冲突策略识别
当前策略被优先级更高的策略覆盖,包括IP覆盖、域名覆盖、端口覆盖,但动作不完全一致,导致策略冲突。如下所示:

  • 优先级1和优先级2的策略分别覆盖了优先级3策略的不同部分,优先级1策略可以放行目的2.2.2.2,优先级2策略可以阻断目的3.3.3.3,导致优先级3策略失效。由于优先级1策略和优先级2策略的均不能单独覆盖优先级3策略的生效范围,属于非全覆盖类型。

  • 优先级4的策略完全覆盖了优先级5的策略生效范围,导致目的192.168.1.23被错误的放行。由于优先级4策略能单独覆盖优先级5策略的生效范围,属于全覆盖类型。

    规则优先级

    访问源类型

    访问源

    访问目的类型

    访问目的

    协议类型

    目的端口

    动作

    1

    IP

    1.1.1.1

    IP

    2.2.2.2

    ANY

    0/65535

    放行

    2

    IP

    1.1.1.1

    IP

    3.3.3.3

    ANY

    0/65535

    阻断

    3

    IP

    1.1.1.1

    IP

    2.2.2.2和3.3.3.3

    ANY

    0/65535

    放行

    4

    IP

    1.1.1.1

    IP

    192.168.1.0/24

    ANY

    0/65535

    放行

    5

    IP

    1.1.1.1

    IP

    192.168.1.2

    ANY

    0/65535

    阻断

操作步骤

  1. 登录云防火墙控制台,在左侧导航栏,单击运维工具策略分析
  2. 策略分析支持单个检查场景分析和批量分析。
    • 单个策略分析:支持按照某个防火墙类型,某一个策略检查场景单独分析,分析速度更快。
    • 防火墙批量分析:支持将某一类防火墙,全部策略检查场景进行分析,分析速度适中。
    • 全部分析:对所有防火墙类型,全部策略检查场景进行分析,分析速度较慢。
  3. 策略分析支持分析全部策略和分析开启策略。
    • 分析全部策略:开启防护的策略和未开启防护的策略全部参与分析。
    • 分析开启策略:只分析开启防护的策略,未开启的策略不参与分析。
      Image

    说明

    策略检查分析过程,不会影响您的业务。

  4. 查看策略检查详情,可以策略检查类型的描述,以及需要修复的策略列表。
    • 去修复:若该策略需要根据业务进行修复整改,点击去修复,可以跳转至对应的访问控制策略中进行编辑。
    • 忽略:若该策略检查结果符合业务预期,可以点修复,忽略该提示。忽略后,系统不会再显示此检查类型”问题策略数“的提示,但策略仍会进行后续的检查分析。
    • 已删除:在策略检查分析后,该检查策略已被删除。您可以重新进行检查,更新检查结果。
      Image

    说明

    1. 策略检查分析列表是策略分析任务开始时的检查结果,如果分析过程中或者分析结束后策略被修改,策略分析的结果与当前策略列表可能不一致,建议重新分析。
    2. 策略分析时,若策略中含有地址簿,系统会对地址簿中具体IP、域名、端口进行逐一分析。