应用风险调优
本帮助主要介绍以下内容:
特性简介
应用风险调优功能通过应用层检测引擎智能地分析安全策略允许通过的流量中存在的潜在风险,为设备中所有安全策略的安全系数进行总体评估。总体安全评分越高表示安全策略的安全系数越高,相反评分越低表示存在的风险越大。
应用风险调优功能由风险分析、风险展示和风险调优三大功能模块组成。
风险分析
应用风险调优功能对安全策略风险分析的具体流程如下:
通过应用层检测引擎识别出安全策略允许通过的流量中包含的应用信息;
根据应用识别特征中定义的应用风险类型和建议的防护措施与安全策略中的策略信息进行对比;
根据对比结果为每个安全策略的风险级别和所有安全策略的安全系数进行评估。
风险展示
设备可以将应用风险分析的结果进行直观展示,其各项信息的详细介绍如下表所示:
表-1 应用风险分析结果信息表
参数 | 说明 |
总体安全评分 | 对设备中所有安全策略的综合评分,得分越高表示安全策略的安全系数越高,相反得分越低表示存在的风险越大 |
安全策略名称 | 存在安全风险的安全策略的名称 |
风险级别 | 取值范围为1-5,数值越大表示风险级别越高 |
总流量 | 命中安全策略的总流量 |
应用 | 在命中安全策略并允许通过流量中识别出的所有应用 |
流量 | 每个应用在安全策略中的流量及其所占的比例 |
风险类型 | 安全策略中所有应用对应的风险类型的汇总 |
状态 | 安全策略的调优状态,其取值包括如下:
|
风险调优
管理员可以根据应用风险分析结果对安全策略中的应用配置相应的防护,以此调优安全策略,设备支持如下两种调优方式:
自动批量调优:会将设备中所有待调优的安全策略,按照设备默认的安全策略调优规则进行策略调优,此方式比较方便快捷。
手工逐条调优:可以对设备中待调优的每条安全策略进行单独调优,此方式适用于对安全策略进行灵活调优。
应用风险调优功能对各种风险类型建议的防护措施如下表所示:
表-2 风险类型对应建议的防护措施表
风险类型 | 防护措施 |
可能包含漏洞 | 入侵防御、防病毒 |
可被恶意软件利用 | 入侵防御、防病毒 |
可传输文件 | 文件过滤、内容过滤 |
消耗带宽 | URL过滤 |
易误操作 | URL过滤 |
以其他应用为管道传输 | 入侵防御 |
易规避 | URL过滤 |
降低工作效率 | URL过滤 |
对于消耗带宽和降低工作效率的风险类型也可以进行带宽管理限制。有关带宽管理的详细介绍,请参考“带宽管理联机帮助”。
应用场景
应用风险调优功能常用的应用场景如下:
当对网络流量中存在的应用不是非常清楚时,可以先在设备上配置一个宽泛的安全策略,比如较大的IP地址范围或服务等,使设备稳定运行一段时间,尽可能还原企业日常运作中的网络环境。然后根据应用风险调优功能识别出的应用和风险,配置更加精准的安全策略。
对设备上已有的精细化安全策略进行风险评估和调优。
使用限制和注意事项
应用风险调优功能仅对安全策略允许通过的流量进行风险分析。
安全策略配置较多时,使用安全策略批量调优功能时,将会消耗较多的CPU资源,建议在业务量较低时使用。
批量调优过程中,不能新增安全策略。
批量调优过程中,当发生主备切换或内存门限告警时,批量调优会终止,但调优生成的规则仍然会被保存。如果需要重新批量调优,请在主备切换完成或内存恢复正常后,单击<自动批量调优>按钮。
如果在应用风险调优过程中,发生了主备切换,可能会导致主备设备配置不一致,需要用户手动检查主备设备配置的一致性。
配置指南
配置思路
应用风险调优功能的配置思路如下图所示:
图-1 应用风险调优配置指导图
配置准备
在配置本特性之前,需要完成以下任务:
配置接口IP地址。接口在“网络 > 接口与VRF > 接口”页面配置。
配置路由,保证路由可达。路由在“网络 > 路由”页面配置。
创建安全域。安全域在“网络 > 安全域”页面配置。
配置接口加入安全域。可在安全域页面添加接口,也可在接口页面选择接口所属的安全域。
配置安全策略,放行业务流量。安全策略在“策略 > 安全策略”页面配置。
开启安全策略的“策略匹配统计”功能。
激活应用层检测引擎,即配置一个带有应用的安全策略。
自动应用风险调优
本功能通过应用层检测引擎识别安全策略允许通过的流量中包含的应用信息,进行风险分析,可将应用风险分析的结果进行直观展示,通过自动批量调优可以快速批量调整和优化安全策略,能有效的提供操作效率。
选择“策略 > 安全策略 > 应用风险调优”。
在“应用风险调优”页面,单击左上角的<自动批量调优>按钮,之后将按照设备默认的调优规则对所有待调优的安全策略进行批量调优。
图-2 自动批量调优
手工应用风险调优
手动逐条调整允许更精细的控制和调整,每项安全策略可以根据具体情况进行单独配置,从而实现更加精细和准确的流量控制。
选择“策略 > 安全策略 > 应用风险调优”。
图-3 应用风险调优
在目标安全策略右边,单击<调优处理>按钮,进入“安全策略调优处理”页面。
图-4 调优处理
具体调优内容如下表所示:
表-3 安全策略配置参数表
参数
说明
安全策略名称
存在安全风险的安全策略的名称
应用
安全策略中识别出的应用及其名称,选择需要防护的应用
流量
每个应用在安全策略中的流量
风险级别
取值范围为1-5,数值越大表示风险级别越高
风险类型
应用中存在的潜在风险
策略防护动作
为需要防护的应用配置防护动作,即安全策略中相关的内容安全策略。缺省情况下,引用的均是设备上缺省的内容安全策略,如果原安全策略中已引用内容安全策略,则继续使用原安全策略中的内容安全策略
新策略选项
其包括如下两个选项:
生成一条新的策略放在原策略之前:不改变当前策略的配置,生成一条新的安全策略,优先级高于当前策略
在原策略的基础上直接修改:修改当前策略,为其配置相应防护措施的内容安全配置文件,但不会修改策略所匹配的应用
调优建议
按照设备默认的调优规则进行调优,与自动批量调优方式类似
单击<确定>按钮,完成策略调优。