- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
32-策略分析
本章节下载: 32-策略分析 (576.39 KB)
控制策略分析对当前存在或即将新建的策略进行分析,查看现有环境中有:冲突、冗余、隐藏、合并、过期和空策略中的哪一种情况,让设备更易于使用、便于维护和管理。
策略分析针对策略内的用户、源接口、目的接口、源地址、应用、服务、目的地址和时间进行对象内逐一分析。策略分析的结果包括六类:
· 冲突策略:不区分匹配的前后顺序,若策略A和策略B存在数据流交集(非包含和被包含关系),且AB策略的行为不同,则A和B互为冲突策略;
· 冗余策略:根据匹配的前后顺序(先匹配A策略匹配B策略),如果A策略匹配的所有数据流会被B策略包含在里面,删除A策略不会对其余策略产生影响,如果AB策略行为相同,那么A策略会被计算为冗余策略;
· 隐藏策略:根据匹配的前后顺序(先匹配A策略在匹配B策略),如果B策略匹配的所有数据流会被A策略包含在里面,如果AB策略行为相同,那么B策略会被计算为隐藏策略;
· 可合并策略:不区分匹配的前后顺序,策略内元组信息只有一项不同(且可合并)的情况下,则认为是可以合并的策略;
· 空策略:当策略中匹配的任何一个对象为空时,那么该策略会被计算为空策略;
· 过期策略:发现当前策略中,匹配的时间范围已经不会再次出现的策略。
策略分析分为全局分析和单独策略的即时分析两种方式。
在导航栏中选择“策略配置>控制策略>策略分析”,进入控制策略分析显示界面,如图1-1所示。
控制策略分析的含义如表1-1所示:
|
标题项 |
说明 |
|
策略分析设置 |
点击 |
|
立即分析 |
立即进行控制策略分析。 |
|
策略问题数量 |
用柱状图进行分类显示存在问题的策略数量。 |
|
策略宽松度分析 |
用柱状图进行分类显示策略中源地址和目的地址的宽松度。 |
|
冲突策略 |
显示当前策略中存在的冲突策略信息。 |
|
冗余策略 |
显示当前策略中存在的冗余策略信息。 |
|
隐藏策略 |
显示当前策略中存在的隐藏策略信息。 |
|
可合并策略 |
显示当前策略中存在的可合并策略信息。 |
|
空策略 |
显示当前策略中存在的空策略信息。 |
|
过期策略 |
显示当前策略中存在的过期策略信息。 |
|
忽略策略 |
显示当前策略中存在的忽略策略信息。 |
|
状态 |
控制策略的状态: · · |
|
ID |
控制策略的ID。 |
|
行为 |
控制策略行为的状态包含: · 允许 · 拒绝 |
|
策略组 |
匹配控制策略匹配的时间对象。 |
|
用户 |
匹配控制策略的用户对象。 |
|
源接口/域 |
匹配控制策略的源接口/域。 |
|
目的接口/域 |
匹配控制策略的目的接口/域。 |
|
源地址 |
匹配控制策略的源地址。 |
|
目的地址 |
匹配控制策略的目的地址。 |
|
应用 |
匹配控制策略的应用对象。 |
|
服务 |
匹配控制策略的服务对象。 |
|
终端 |
匹配控制策略匹配的终端类型,包括:any、移动终端、PC、多终端。 移动终端:基于Android或IOS系统的智能手机或Pad; PC:基于Windows操作系统的PC或笔记本; 多终端:单个IP下同时存在电脑和移动终端。 |
|
描述 |
控制策略描述。 |
|
匹配次数 |
匹配控制策略的次数。 |
|
应用安全 |
如果显示图标 |
|
时间 |
匹配控制策略匹配的时间对象。 |
|
日志 |
控制策略行为选择为拒绝时是否记录日志。 |
|
老化时间 |
基于控制策略的老化时间,缺省情况下,老化时间为0,表示使用各个协议默认的老化时间。 |
|
操作 |
控制策略支持的操作,包含编辑和忽略策略设置。 |
策略分支支持定时分析,在导航栏中选择“策略配置>控制策略>策略分析”,进入控制策略分析页面,点击策略分析设置,如图1-2所示。
策略分析设置界面的详细信息如表1-2所示:
|
标题项 |
说明 |
|
开启分析 |
开启/关闭策略定时分析。 |
|
CPU高于 |
配置范围(50-99)内,当CPU高于配置信息后自动策略分析停止。 |
|
内存高于 |
配置范围(50-99)内,当内存高于配置信息后自动策略分析停止。 |
|
周期 |
可以选择每天、每周、每月。 |
|
时间 |
可以选择定时自动分析的时间。 |
策略分析界面默认显示上次的分析结果,单击<立即分析>按钮,可以对整体的策略进行策略分析,如图1-3所示。
控制策略分析完成后会显示开始分析时间和分析结束时间,并显示耗时时长,如表1-3所示。
|
标题项 |
说明 |
|
上次分析开始时间 |
显示上次开始分析的时间。 |
|
上次分析结束时间 |
显示上次分析结束的时间。 |
|
耗时 |
显示总耗时为多长时间。 |
在导航栏中选择“策略配置>控制策略”,点击新建按钮,进入控制策略配置显示界面,如图1-4所示。
控制策略配置完成后,点击<策略分析>按钮,进行即时分析并显示分析进度条,分析完成后弹出策略分析完成的提示,如图1-5所示。
如当前策略和已存在策略存在影响,会在页面显示分析结果。点击分析结果,会显示当前策略和哪些策略存在影响关系,如图1-6所示。如果当前策略和已存在策略互不影响,则会显示策略较合理,如图1-7所示。
图1-7 控制策略即时分析结果-策略合理
策略分析结果中异常策略详细信息如表1-4所示:
|
标题项 |
说明 |
|
冲突策略 |
不区分匹配的前后顺序,若策略A和策略B存在数据流交集(非包含和被包含关系),且AB策略的行为不同,则A和B互为冲突策略。 |
|
冗余策略 |
根据匹配的前后顺序(先匹配A策略匹配B策略),如果A策略匹配的所有数据流会被B策略包含在里面,删除A策略不会对其余策略产生影响,如果AB策略行为相同,那么A策略会被计算为冗余策略。 |
|
隐藏策略 |
根据匹配的前后顺序(先匹配A策略在匹配B策略),如果B策略匹配的所有数据流会被A策略包含在里面,如果AB策略行为相同,那么B策略会被计算为隐藏策略。 |
|
可合并策略 |
不区分匹配的前后顺序,策略内元组信息只有一项不同(且可合并)的情况下,则认为是可以合并的策略。 |
|
空策略 |
当策略中匹配的任何一个对象为空时,那么该策略会被计算为空策略。 |
|
过期策略 |
发现当前策略中,匹配的时间范围已经不会再次出现的策略。 |
|
忽略策略 |
手动忽略不进行分析的策略。 |
某公司当前策略比较多,对当前所有策略进行分析查看有哪些异常策略,可以对控制策略进行梳理如图1-8所示。
进入策略分析页面,点击立即分析按钮,当分析完成后可以看到该公司策略存在哪些异常策略方便管理员进行维护和修改,如图1-9所示
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
