如何配置防火墙之如何开始部署安全策略

前言

网络中的流量错综复杂，安全策略的部署不可能一蹴而就，而任何错误的操作都可能影响组织的正常工作，所有的安全人员都对此提心吊胆。在把防火墙接入网络之前，防火墙管理员最大的困惑是，如何开始配置防火墙安全策略，才能不影响业务运行？

实际上，有一种万无一失的方法，可以降低这种风险，保证业务零中断。

01

适用范围

这个部署方法既适用于防火墙首次接入网络时初始部署安全策略，也适用于安全策略的优化。如果当前部署的某个安全策略不够精确（如指定了Any作为匹配条件），你可以参照这个方法来确定更具体的匹配条件。

通常情况下，安全策略中不指定用户、应用、URL分类、时间段是可以接受的。但是源/目的IP地址、源/目的安全区域、服务应指定具体的范围。

02

暑期培训注意事项

【1】确定防火墙在网络中的部署位置，并使用安全区域划分网络。你需要对照组网图，了解当前网络资源的分布情况，识别关键信息资产、服务及其安全等级。

【2】尽你所能了解当前网络中的运行的合法业务，建立白名单。业务白名单通常有以下几类。

【3】结合企业信息安全政策（ ）、用户组结构和业务白名单，确定通信矩阵和业务访问规则。

【4】类似的，尽你所能了解需要禁止的高风险应用和非法业务（企业信息安全政策禁止的服务），建立黑名单，确定业务禁止规则。

【5】首先在防火墙上创建一条允许所有流量的临时安全策略，并记录策略命中日志。

【6】根据前面识别的业务规则，在防火墙上为白名单和黑名单配置安全策略。调整顺序，使临时安全策略位于策略列表底部，缺省安全策略之前，如表1-1所示。这样，可以保证所有业务都能通过防火墙，不会影响业务运行。同时，未知业务会命中临时安全策略，并在日志中记录下来。

表1-1 临时安全策略示意

【7】分析策略命中日志，识别并判断业务的合法性和必要性，并添加新的、精确的安全策略。在分析策略命中日志时，重点关注业务的源/目的IP地址、源/目的安全区域、服务/端口，识别出同类业务。然后把策略命中日志中离散的IP地址合并为地址段，创建地址组，并在精确安全策略中引用。建议优先分析和处理命中次数最多的服务/端口或应用（如图1-1中的），这样可以快速减少日志的数量。

除了使用Web界面，你还可以从日志服务器查看策略命中日志，或者使用命令行 table " "。

图1-1 策略命中日志列表

【8】把新添加的精确安全策略移动到临时安全策略的前面。

【9】清除临时安全策略的命中计数，继续观察和分析日志、添加精确安全策略，直到没有流量命中临时安全策略。根据网络业务复杂度的不同，这个过程可能需要几个小时，甚至几天。

【10】在确认网络中所有流量都得到了充分的分析以后，删除临时策略。

【11】分析放行业务可能存在的安全风险，为安全策略添加合适的内容安全配置文件。

2022