防火墙策略优化案例分析

防火墙策略优化案例分析

1、背景描述

•某银行将上线一套新核心系统，预计FWSM的策略会新增加8W条，而当前FWSM的已有策略已经达到9W条。一旦新核心上线，FWSM将无法容纳所有安全策略，所以需要对现有9W条安全策略进行优化

。

2、防火墙策略优化方法论

3、防火墙策略现状分析

按照ACL和ACE的关系，分解成一对一和一（多）对多两类，考虑到ACL

优化的对象是一对一和一（多）对多未命中ACL、deny策略、ANY大策略，部分命中ACL记为命中ACL，不作为优化的对象

4、ANY大策略清理方法

5、防火墙前期策略优化前后对比

优化过程中，删除一对一、一（多）对多未命中的ACL，删除deny策略和ANY 大策略，优化后保留一对一、一（多）对多命中ACL，合计2024条ACL、26943 条ACE

6、CSM 进一步策略优化步骤

•模拟平安银行现网中的FWSM，搭建DEMO，并进行基本配置

•在DEMO中导入前期优化后2039条访问控制配置

•在UCS上运行CSM软件，并将FWSM加入CSM进行管理

•在CSM上分别用full和Preserve模式进行策略优化

•提取优化结果

•将优化的结果在Demo上进行验证

7、CSM优化结果统计